4.3. 下载和更新 pull secret
4.3.1. 从 OpenShift Cluster Manager 下载 pull secret
镜像 pull secret 为集群提供身份验证,以访问为 OpenShift 组件提供容器镜像的服务和 registry。每个单个用户都生成了一个 pull secret。
在安装 OpenShift Container Platform 集群时使用 pull secret。OpenShift Cluster Manager 还用来在传输集群所有权时标识特定的红帽用户。要将集群转让给另一个所有者,您需要下载集群所有权的用户的 pull secret。
先决条件
- 一个 Red Hat 登录
流程
以您要下载 pull secret 的红帽用户身份登录 OpenShift Cluster Manager。
重要每个 pull secret 都对特定用户是唯一的。如果要下载 pull secret 以将集群转让到另一个所有者,则必须以集群所有权的用户身份登录到 OpenShift Cluster Manager,并获取该用户的 pull secret。
进入 OpenShift Cluster Manager 下载 ,并在 Tokens 类别中找到您的 pull secret。
- 点 Copy 将 pull secret 复制到剪贴板。
- 点 Download 下载您的 pull secret。
不要共享您的 pull secret。pull secret 应被视为密码。
现在,您可以使用此 pull secret 创建 OpenShift Container Platform 集群或传输集群所有权。
其他资源
- 要将集群转让到其他所有者,请参阅 传输集群所有权。
- 要创建 OpenShift Container Platform 集群,请参阅 OpenShift Container Platform 安装文档。
- 有关使用 pull secret 的更多信息,请参阅 OpenShift Container Platform 文档中的使用镜像 pull secret。
4.3.2. 更新全局 pull secret
镜像 pull secret 为集群提供身份验证,以访问为 OpenShift 组件提供容器镜像的服务和 registry。每个单个用户都生成了一个 pull secret。
在安装 OpenShift Container Platform 集群和传输集群所有权时,会使用 pull secret。
要将连接的集群传送到新所有者,您必须在 OpenShift Cluster Manager 中启动集群转让后,将集群中的 pull secret 更新至新所有者的 pull secret。必须在启动转让过程的五天内更新 pull secret,或者需要从 OpenShift Cluster Manager 再次启动该进程。请参阅 第 4.4 节 “传输集群所有权”。
在使用比 4.7.4 之前的 OpenShift Container Platform 版本的集群中,集群资源必须调整为新的 pull secret。这可临时限制集群的可用性。这是因为更新 pull secret 会导致 Machine Config Operator 排空节点、应用更改和取消协调节点。
这不会影响使用 OpenShift Container Platform 版本 4.7.4 及更新的版本,其中 pull secret 更改不会造成节点排空或重启。
先决条件
- OpenShift Container Platform 集群
- 在 OpenShift Cluster Manager 中的集群上带有 Cluster Owner 或 Organization Administrator 权限的 Red Hat 登录
- 要上传的新或修改的 pull secret 文件。您可以从 Tokens 区域 下载 您的 pull secret。
-
您可以使用具有
cluster-admin角色的用户访问集群。如需有关集群角色的更多信息,请参阅 OpenShift Container Platform 文档中的 身份验证和授权 部分。 - 如果要将集群传送到新所有者,您必须在 OpenShift Cluster Manager 中启动转让,然后才能 更改全局 pull secret 才能接收 Telemetry 指标来监控集群。
流程
使用您从 OpenShift Cluster Manager 下载的 pull secret 运行以下命令,以更改集群的 pull secret:
# oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=pull-secret.txt
如果还没有创建 secret,请运行以下命令来创建 secret:
# oc create secret generic pull-secret -n openshift-config --type=kubernetes.io/dockerconfigjson --from-file=.dockerconfigjson=/path/to/downloaded/pull-secret
这将开始对集群中的所有节点的更新,可能需要一些时间,具体取决于集群的大小。
验证步骤
进入 OpenShift Cluster Manager 下载,并在 Tokens 类别中找到您的 pull secret 以验证更改:
- 点 Copy 将 pull secret 复制到剪贴板。
- 点 Download 下载您的 pull secret。
其他资源
- 请参阅 OpenShift Container Platform 文档中的使用镜像 pull secret。
- 要转让集群所有权,请参阅 第 4.4 节 “传输集群所有权”。
4.3.3. 创建新的 pull secret
在某些情况下,您可以创建新的 pull secret。例如,如果您的当前 pull secret 无法正常工作,或者出于安全原因需要新的 pull secret。
要创建新的 pull secret,请按照 KCS 文章 如何请求 pull-secret 轮转。
使用此方法需要使用 ocm CLI 工具。如需有关 ocm CLI 工具的更多信息,请参阅使用 ocm-cli 在 OpenShift Cluster Manager 中管理集群。
