$ tar xvf <file>- 文档
- OpenShift Container Platform
- 断开连接的环境
- 在断开连接的环境中更新集群
- 镜像 OpenShift Container Platform 镜像 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的所在地)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在受限网络中使用用户预配的基础设施在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序预配的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础设施上在 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- Red Hat OpenShift 的 cert-manager 运算符
- Red Hat OpenShift 的 cert-manager 运算符概述
- Red Hat OpenShift 的 cert-manager 运算符发行说明
- 安装 Red Hat OpenShift 的 cert-manager 运算符
- 配置出站代理
- 使用 cert-manager 运算符 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 运算符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 运算符保护路由
- 监控 Red Hat OpenShift 的 cert-manager 运算符
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 运算符的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 运算符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络运算符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标与网络连接关联
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 了解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 关于 Operator SDK
- 安装 Operator SDK CLI
- 基于 Go 的 Operators
- 基于 Ansible 的 Operators
- 基于 Helm 的 Operators
- 基于 Java 的 Operators
- 定义集群服务版本 (CSV)
- 使用 bundle 镜像
- 符合 Pod 安全准入
- 令牌认证
- 使用评分卡验证 Operator
- 验证 Operator bundle
- 高可用性或单节点集群检测和支持
- 使用 Prometheus 配置内置监控
- 配置领导者选举
- 配置对多个平台的支持
- 对象修剪工具
- 将包清单项目迁移到 bundle 格式
- Operator SDK CLI 参考
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 部署到节点(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 针对 vDU 应用程序工作负载推荐的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和还原
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群 CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights 运算符 [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift APIServer [operator.openshift.io/v1]
- OpenShift ControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 APIs
- 项目 APIs
- 供应 APIs
- 关于供应 APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC APIs
- 角色 APIs
- 调度和配额 APIs
- 安全 APIs
- 关于安全 APIs
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审查 [security.openshift.io/v1]
- Pod 安全策略自身主体审查 [security.openshift.io/v1]
- Pod 安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账户 [undefined/v1]
- 存储 APIs
- 关于存储 APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附件 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 APIs
- 用户和组 APIs
- 工作负载 APIs
- 关于工作负载 APIs
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
镜像 OpenShift Container Platform 镜像
在更新断开连接的环境中的集群之前,必须将容器镜像镜像到镜像注册表。您也可以在连接的环境中使用此过程,以确保您的集群仅运行已满足您组织对外部内容的控制的已批准容器镜像。
|
集群运行期间,镜像注册表必须始终运行。 |
以下步骤概述了将镜像镜像到镜像注册表的高级工作流程
-
在所有用于检索和推送发行版镜像的设备上安装 OpenShift CLI (
oc)。 -
下载注册表拉取密钥并将其添加到您的集群。
-
如果您使用的是 oc-mirror OpenShift CLI (
oc) 插件-
在所有用于检索和推送发行版镜像的设备上安装 oc-mirror 插件。
-
为插件创建镜像设置配置文件,用于确定要镜像哪些发行版镜像。您可以稍后编辑此配置文件以更改插件镜像的发行版镜像。
-
将目标发行版镜像直接镜像到镜像注册表,或镜像到可移动介质,然后镜像到镜像注册表。
-
配置您的集群以使用 oc-mirror 插件生成的资源。
-
根据需要重复这些步骤以更新镜像注册表。
-
-
如果您使用的是
oc adm release mirror命令-
设置与您的环境和您要镜像的发行版镜像相对应的环境变量。
-
将目标发行版镜像直接镜像到镜像注册表,或镜像到可移动介质,然后镜像到镜像注册表。
-
根据需要重复这些步骤以更新镜像注册表。
-
与使用 oc adm release mirror 命令相比,oc-mirror 插件具有以下优势
-
它可以镜像容器镜像以外的内容。
-
首次镜像镜像后,更新注册表中的镜像更容易。
-
oc-mirror 插件提供了一种自动镜像 Quay 中发行版有效负载的方法,还为在断开连接的环境中运行的 OpenShift 更新服务构建最新的图形数据镜像。
使用 oc-mirror 插件镜像资源
您可以使用 oc-mirror OpenShift CLI (oc) 插件将镜像镜像到完全或部分断开连接的环境中的镜像注册表。您必须从具有互联网连接的系统运行 oc-mirror,才能从官方 Red Hat 注册表下载所需的镜像。
有关更多详细信息,请参阅 使用 oc-mirror 插件镜像断开连接安装的镜像。
使用 oc adm release mirror 命令镜像镜像
您可以使用 oc adm release mirror 命令将镜像镜像到您的镜像注册表。
先决条件
-
您必须拥有一个支持Docker v2-2的容器镜像注册表,该注册表位于将托管 OpenShift Container Platform 集群的位置,例如 Red Hat Quay。
如果您使用 Red Hat Quay,则必须使用 3.6 或更高版本以及 oc-mirror 插件。如果您有 Red Hat Quay 的授权,请参阅有关部署 Red Hat Quay 的文档,用于概念验证目的或使用 Quay Operator。如果您需要选择和安装注册表的额外帮助,请联系您的销售代表或 Red Hat 支持。
如果您没有现有的容器镜像注册表解决方案,则Red Hat OpenShift 的镜像注册表包含在 OpenShift Container Platform 订阅中。Red Hat OpenShift 的镜像注册表是一个小型容器注册表,您可以使用它在断开连接的安装和更新中镜像 OpenShift Container Platform 容器镜像。
准备镜像主机
在执行镜像过程之前,必须准备主机以检索内容并将其推送到远程位置。
安装 OpenShift CLI
您可以安装 OpenShift CLI (oc) 以通过命令行界面与 OpenShift Container Platform 交互。您可以在 Linux、Windows 或 macOS 上安装 oc。
|
如果您安装了早期版本的 |
在 Linux 上安装 OpenShift CLI
您可以使用以下步骤在 Linux 上安装 OpenShift CLI (oc) 二进制文件。
步骤
-
导航到 Red Hat 客户门户上的OpenShift Container Platform 下载页面。
-
从“产品变体”下拉列表中选择体系结构。
-
从“版本”下拉列表中选择相应的版本。
-
单击“OpenShift v4.17 Linux Clients”条目旁边的“立即下载”,然后保存文件。
-
解压存档
-
将
oc二进制文件放在您的PATH上的目录中。要检查您的
PATH,请执行以下命令$ echo $PATH
验证
-
安装 OpenShift CLI 后,可以使用
oc命令。$ oc <command>
在 Windows 上安装 OpenShift CLI
您可以使用以下步骤在 Windows 上安装 OpenShift CLI (oc) 二进制文件。
步骤
-
导航到 Red Hat 客户门户上的OpenShift Container Platform 下载页面。
-
从“版本”下拉列表中选择相应的版本。
-
单击“OpenShift v4.17 Windows Client”条目旁边的“立即下载”,然后保存文件。
-
使用 ZIP 程序解压缩存档。
-
将
oc二进制文件移动到您的PATH上的目录。要检查您的
PATH,请打开命令提示符并执行以下命令C:\> path
验证
-
安装 OpenShift CLI 后,可以使用
oc命令。C:\> oc <command>
在 macOS 上安装 OpenShift CLI
您可以使用以下步骤在 macOS 上安装 OpenShift CLI (oc) 二进制文件。
步骤
-
导航到 Red Hat 客户门户上的OpenShift Container Platform 下载页面。
-
从“版本”下拉列表中选择相应的版本。
-
单击“OpenShift v4.17 macOS Clients”条目旁边的“立即下载”,然后保存文件。
对于 macOS arm64,请选择“OpenShift v4.17 macOS arm64 Client”条目。
-
解压存档。
-
将
oc二进制文件移动到 PATH 上的目录。要检查您的
PATH,请打开终端并执行以下命令$ echo $PATH
验证
-
使用
oc命令验证您的安装$ oc <command>
其他资源
配置允许镜像镜像的凭据
创建一个容器镜像注册表凭据文件,使您可以将镜像从 Red Hat 镜像到您的镜像。
|
安装集群时,不要使用此镜像注册表凭据文件作为拉取密钥。如果您在安装集群时提供此文件,则集群中的所有机器都将具有对您的镜像注册表的写入访问权限。 |
先决条件
-
您已配置一个镜像注册表以在您的断开连接的环境中使用。
-
您已确定镜像注册表上要将镜像镜像到的镜像存储库位置。
-
您已预配了一个镜像注册表帐户,允许将镜像上传到该镜像存储库。
-
您可以写入镜像注册表。
步骤
在安装主机上完成以下步骤
-
从 Red Hat OpenShift 集群管理器下载您的
registry.redhat.io拉取密钥。 -
通过运行以下命令创建拉取密钥的 JSON 格式副本
$ cat ./pull-secret | jq . > <path>/<pull_secret_file_in_json> (1)1 指定要存储拉取密钥的文件夹的路径以及要创建的 JSON 文件的名称。 示例拉取密钥{ "auths": { "cloud.openshift.com": { "auth": "b3BlbnNo...", "email": "[email protected]" }, "quay.io": { "auth": "b3BlbnNo...", "email": "[email protected]" }, "registry.connect.redhat.com": { "auth": "NTE3Njg5Nj...", "email": "[email protected]" }, "registry.redhat.io": { "auth": "NTE3Njg5Nj...", "email": "[email protected]" } } } -
可选:如果使用 oc-mirror 插件,请将文件保存为
~/.docker/config.json或$XDG_RUNTIME_DIR/containers/auth.json-
如果
.docker或$XDG_RUNTIME_DIR/containers目录不存在,请通过输入以下命令创建一个:$ mkdir -p <directory_name>其中
<directory_name>为~/.docker或$XDG_RUNTIME_DIR/containers。 -
通过输入以下命令将拉取密钥复制到相应的目录:
$ cp <path>/<pull_secret_file_in_json> <directory_name>/<auth_file>其中
<directory_name>为~/.docker或$XDG_RUNTIME_DIR/containers,而<auth_file>为config.json或auth.json。
-
-
通过运行以下命令生成镜像注册表的 base64 编码用户名和密码或令牌:
$ echo -n '<user_name>:<password>' | base64 -w0 (1)1 对于 <user_name>和<password>,请指定您为注册表配置的用户名和密码。示例输出BGVtbYk3ZHAtqXs= -
编辑 JSON 文件并添加一个描述您的注册表的节:
"auths": { "<mirror_registry>": { (1) "auth": "<credentials>", (2) "email": "[email protected]" } },1 指定镜像注册表用于提供内容的注册表域名,以及可选的端口。例如, registry.example.com或registry.example.com:84432 指定镜像注册表的 base64 编码用户名和密码。 示例修改后的拉取密钥{ "auths": { "registry.example.com": { "auth": "BGVtbYk3ZHAtqXs=", "email": "[email protected]" }, "cloud.openshift.com": { "auth": "b3BlbnNo...", "email": "[email protected]" }, "quay.io": { "auth": "b3BlbnNo...", "email": "[email protected]" }, "registry.connect.redhat.com": { "auth": "NTE3Njg5Nj...", "email": "[email protected]" }, "registry.redhat.io": { "auth": "NTE3Njg5Nj...", "email": "[email protected]" } } }
将镜像镜像到镜像注册表
|
为避免 OpenShift 更新服务应用程序过度使用内存,必须按照以下步骤将发行版镜像镜像到单独的存储库。 |
先决条件
-
您已配置一个镜像注册表以在您的断开连接的环境中使用,并且可以访问您已配置的证书和凭据。
-
您已下载Red Hat OpenShift 集群管理器中的拉取密钥,并将其修改为包含对镜像存储库的身份验证。
-
如果您使用自签名证书,则您已在证书中指定了主题备用名称。
步骤
-
使用Red Hat OpenShift Container Platform 更新图可视化工具和更新规划器来规划从一个版本到另一个版本的更新。OpenShift 更新图提供通道图,并提供一种方法来确认您的当前集群版本和目标集群版本之间是否存在更新路径。
-
设置所需的環境變量
-
导出发行版版本
$ export OCP_RELEASE=<release_version>对于
<release_version>,指定与您要更新到的 OpenShift Container Platform 版本相对应的标签,例如4.5.4。 -
导出本地注册表名称和主机端口
$ LOCAL_REGISTRY='<local_registry_host_name>:<local_registry_host_port>'对于
<local_registry_host_name>,指定镜像仓库的注册表域名,对于<local_registry_host_port>,指定其提供内容的端口。 -
导出本地仓库名称
$ LOCAL_REPOSITORY='<local_repository_name>'对于
<local_repository_name>,指定要在注册表中创建的仓库名称,例如ocp4/openshift4。 -
如果您正在使用 OpenShift 更新服务,请导出另一个本地仓库名称来包含发行版镜像
$ LOCAL_RELEASE_IMAGES_REPOSITORY='<local_release_images_repository_name>'对于
<local_release_images_repository_name>,指定要在注册表中创建的仓库名称,例如ocp4/openshift4-release-images。 -
导出要镜像的仓库名称
$ PRODUCT_REPO='openshift-release-dev'对于生产版本,必须指定
openshift-release-dev。 -
导出注册表拉取密钥的路径
$ LOCAL_SECRET_JSON='<path_to_pull_secret>'对于
<path_to_pull_secret>,指定您创建的镜像注册表的拉取密钥的绝对路径和文件名。如果您的集群使用
ImageContentSourcePolicy对象配置仓库镜像,则只能对镜像注册表使用全局拉取密钥。您不能向项目添加拉取密钥。 -
导出镜像版本
$ RELEASE_NAME="ocp-release"对于生产版本,必须指定
ocp-release。 -
导出集群的架构类型
$ ARCHITECTURE=<cluster_architecture> (1)1 指定集群的架构,例如 x86_64、aarch64、s390x或ppc64le。 -
导出托管镜像的目录路径
$ REMOVABLE_MEDIA_PATH=<path> (1)1 指定完整路径,包括初始正斜杠 (/) 字符。
-
-
查看要镜像的镜像和配置清单
$ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} --dry-run -
将版本镜像镜像到镜像注册表。
-
如果您的镜像主机没有互联网访问权限,请执行以下操作
-
将可移动介质连接到已连接到互联网的系统。
-
将镜像和配置清单镜像到可移动介质上的目录
$ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE}此命令还会生成并保存镜像的发行版镜像签名配置映射到可移动介质上。
-
将介质带到断开连接的环境,并将镜像上传到本地容器注册表。
$ oc image mirror -a ${LOCAL_SECRET_JSON} --from-dir=${REMOVABLE_MEDIA_PATH}/mirror "file://openshift/release:${OCP_RELEASE}*" ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} (1)1 对于 REMOVABLE_MEDIA_PATH,您必须使用镜像镜像时指定的相同路径。 -
使用
oc命令行界面 (CLI) 登录到您正在更新的集群。 -
将镜像的发行版镜像签名配置映射应用到已连接的集群
$ oc apply -f ${REMOVABLE_MEDIA_PATH}/mirror/config/<image_signature_file> (1)1 对于 <image_signature_file>,指定文件的路径和名称,例如signature-sha256-81154f5c03294534.yaml。 -
如果您正在使用 OpenShift 更新服务,请将发行版镜像镜像到单独的仓库
$ oc image mirror -a ${LOCAL_SECRET_JSON} ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} ${LOCAL_REGISTRY}/${LOCAL_RELEASE_IMAGES_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}
-
-
如果本地容器注册表和集群已连接到镜像主机,请执行以下操作
-
使用以下命令直接将发行版镜像推送到本地注册表并将配置映射应用到集群
$ oc adm release mirror -a ${LOCAL_SECRET_JSON} --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \ --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} --apply-release-image-signature如果您包含
--apply-release-image-signature选项,请勿为镜像签名验证创建配置映射。 -
如果您正在使用 OpenShift 更新服务,请将发行版镜像镜像到单独的仓库
$ oc image mirror -a ${LOCAL_SECRET_JSON} ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} ${LOCAL_REGISTRY}/${LOCAL_RELEASE_IMAGES_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}
-
-