13.5.2.2. 命令行主机访问


配置外部验证器来限制直接访问并防止未经授权的修改。Machine Config Operator (MCO)管理这些登录并在集群中保持一致性。

外部验证器的示例包括轻量级目录访问协议(LDAP)和系统安全服务守护进程(SSSD)。如果节点重新引导导致超时问题,请创建一个节点中断策略。使用这个策略,您可以在主机上配置外部验证器,而无需重启节点。如需更多信息,请参阅附加资源部分中的 "使用节点中断策略来最大程度减少机器配置变化的中断"。

重要

不要配置对任何 OpenShift Container Platform 集群服务器上的 root ID 的直接访问。

您可以使用以下方法连接到集群中的节点:

使用 debug pod

红帽建议此方法访问节点。要调试或连接到节点,请运行以下命令:

$ oc debug node/<worker_node_name>

连接到节点后,运行以下命令访问根文件系统:

# chroot /host

这可让您在节点上的 debug pod 中 root 访问权限。如需更多信息,请参阅"启动具有 root 访问权限的 debug pod"。

直接 SSH

避免使用 root 用户。反之,使用核心用户 ID (或您自己的 ID)。要使用 SSH 连接到节点,请运行以下命令:

$ ssh core@<worker_node_name>
重要

最初,核心用户 ID 被授予集群中的 sudo 权限。

如果您无法使用 SSH 连接到节点,请将 SSH 密钥添加到 core 用户。如需更多信息,请参阅附加资源部分中的 "如何使用 SSH 堡垒 pod 连接到 OpenShift Container Platform 4.x 集群节点"。

使用 SSH 连接到节点后,运行以下命令访问 root shell:

$ sudo -i
控制台访问

确保控制台安全。不允许使用 root ID 直接登录,而是使用单独的 ID。

注意

按照您的机构的最佳实践保护控制台访问。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

Legal Notice

Theme

© 2026 Red Hat
返回顶部