8.3. 禁用直接身份验证

流程

1. 确保您使用安装程序生成的 kubeconfig 文件，或者另一个长期以集群管理员身份登录的方法。

2. 运行以下命令，更新身份验证配置以使用内置 OpenShift OAuth 服务器：

   $ oc patch authentication.config/cluster --type=merge -p='
   spec:
     type: "" 

   1

   
     oidcProviders: null 

   2

   
   '

   Copy to Clipboard Toggle word wrap

   1

   将 type 设置为 ""，以使用内置 OpenShift OAuth 服务器。这与 IntegratedOAuth 值等效。

   2

   删除 oidcProviders 配置。

3. 等待集群向所有节点推出新修订版本。

   1. 运行以下命令，检查 Kubernetes API 服务器 Operator 状态：

      $ oc get co kube-apiserver

      Copy to Clipboard Toggle word wrap

      输出示例

      NAME             VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
      kube-apiserver   4.19.0    True        True          False      85m     NodeInstallerProgressing: 2 node are at revision 12; 1 node is at revision 14

      Copy to Clipboard Toggle word wrap

      上例中的消息显示一个节点已进入新修订版本，两个节点还没有更新。根据集群大小，可能需要 20 分钟或更长时间向所有节点推出新修订版本。

   2. 要排除任何问题，您还可以检查 Cluster Authentication Operator 和 kube-apiserver pod 日志中的错误。
4. 如有必要，恢复任何现有的身份验证配置。