13.5.2.2. 命令行主机访问
配置外部验证器来限制直接访问并防止未经授权的修改。Machine Config Operator (MCO)管理这些登录并在集群中保持一致性。
外部验证器的示例包括轻量级目录访问协议(LDAP)和系统安全服务守护进程(SSSD)。如果节点重新引导导致超时问题,请创建一个节点中断策略。使用这个策略,您可以在主机上配置外部验证器,而无需重启节点。如需更多信息,请参阅附加资源部分中的 "使用节点中断策略来最大程度减少机器配置变化的中断"。
不要配置对任何 OpenShift Container Platform 集群服务器上的 root ID 的直接访问。
您可以使用以下方法连接到集群中的节点:
- 使用 debug pod
红帽建议此方法访问节点。要调试或连接到节点,请运行以下命令:
$ oc debug node/<worker_node_name>连接到节点后,运行以下命令访问根文件系统:
# chroot /host这可让您在节点上的 debug pod 中 root 访问权限。如需更多信息,请参阅"启动具有 root 访问权限的 debug pod"。
- 直接 SSH
避免使用 root 用户。反之,使用核心用户 ID (或您自己的 ID)。要使用 SSH 连接到节点,请运行以下命令:
$ ssh core@<worker_node_name>重要最初,核心用户 ID 被授予集群中的
sudo权限。如果您无法使用 SSH 连接到节点,请将 SSH 密钥添加到 core 用户。如需更多信息,请参阅附加资源部分中的 "如何使用 SSH 堡垒 pod 连接到 OpenShift Container Platform 4.x 集群节点"。
使用 SSH 连接到节点后,运行以下命令访问 root shell:
$ sudo -i- 控制台访问
确保控制台安全。不允许使用 root ID 直接登录,而是使用单独的 ID。
注意按照您的机构的最佳实践保护控制台访问。