8.3. 禁用直接身份验证
如果需要,您可以为集群禁用直接身份验证,并恢复为使用内置 OpenShift OAuth 服务器进行身份验证。
先决条件
-
您可以访问安装程序为集群生成的
kubeconfig
文件。
流程
-
确保您使用安装程序生成的
kubeconfig
文件,或者另一个长期以集群管理员身份登录的方法。 运行以下命令,更新身份验证配置以使用内置 OpenShift OAuth 服务器:
oc patch authentication.config/cluster --type=merge -p='
$ oc patch authentication.config/cluster --type=merge -p=' spec: type: ""
1 oidcProviders: null
2 '
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 等待集群向所有节点推出新修订版本。
运行以下命令,检查 Kubernetes API 服务器 Operator 状态:
oc get co kube-apiserver
$ oc get co kube-apiserver
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE MESSAGE kube-apiserver 4.19.0 True True False 85m NodeInstallerProgressing: 2 node are at revision 12; 1 node is at revision 14
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE MESSAGE kube-apiserver 4.19.0 True True False 85m NodeInstallerProgressing: 2 node are at revision 12; 1 node is at revision 14
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 上例中的消息显示一个节点已进入新修订版本,两个节点还没有更新。根据集群大小,可能需要 20 分钟或更长时间向所有节点推出新修订版本。
-
要排除任何问题,您还可以检查 Cluster Authentication Operator 和
kube-apiserver
pod 日志中的错误。
- 如有必要,恢复任何现有的身份验证配置。
验证
-
验证您可以成功登录到 OpenShift Container Platform Web 控制台和 OpenShift CLI (
oc
)。