OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

在 Azure 上安装具有网络自定义的集群

在 OpenShift Container Platform 4.17 版本中,您可以安装一个具有自定义网络配置的集群,该集群位于安装程序在 Microsoft Azure 上配置的基础架构上。通过自定义网络配置,您的集群可以与环境中现有的 IP 地址分配共存,并与现有的 MTU 和 VXLAN 配置集成。

您必须在安装过程中设置大多数网络配置参数,并且只能修改运行集群中的kubeProxy配置参数。

创建安装配置文件

您可以自定义您在 Microsoft Azure 上安装的 OpenShift Container Platform 集群。

先决条件

  • 您拥有 OpenShift Container Platform 安装程序和集群的拉取密钥。

  • 您拥有 Azure 订阅 ID 和租户 ID。

  • 如果您使用服务主体安装集群,则拥有其应用程序 ID 和密码。

  • 如果您使用系统分配的托管标识安装集群,则已在其上启用它您将从中运行安装程序的虚拟机。

  • 如果您使用用户分配的托管标识安装集群,则已满足以下先决条件

    • 您拥有其客户端 ID。

    • 您已将其分配给您将从中运行安装程序的虚拟机。

步骤

  1. 可选:如果您之前在此计算机上运行过安装程序,并且想要使用替代服务主体或托管标识,请转到~/.azure/目录并删除osServicePrincipal.json配置文件。

    删除此文件可防止安装程序自动重用先前安装中的订阅和身份验证值。

  2. 创建install-config.yaml文件。

    1. 切换到包含安装程序的目录并运行以下命令

      $ ./openshift-install create install-config --dir <installation_directory> (1)
      1 对于<安装目录>,请指定用于存储安装程序创建文件的目录名称。

      指定目录时

      • 验证该目录是否具有执行权限。此权限是运行安装目录下 Terraform 二进制文件的必要条件。

      • 使用空目录。某些安装资源(例如引导 X.509 证书)的有效期很短,因此您不能重复使用安装目录。如果您想重复使用另一个集群安装中的单个文件,可以将它们复制到您的目录中。但是,安装资源的文件名在不同版本之间可能会发生变化。从较早版本的 OpenShift Container Platform 复制安装文件时,请谨慎操作。

    2. 在提示符下,提供您的云的配置详细信息

      1. 可选:选择一个 SSH 密钥来访问您的集群机器。

        对于要对其执行安装调试或灾难恢复的生产 OpenShift Container Platform 集群,请指定您的ssh-agent进程使用的 SSH 密钥。

      2. 选择azure作为目标平台。

        如果安装程序无法从之前的安装中找到osServicePrincipal.json配置文件,系统将提示您输入 Azure 订阅和身份验证值。

      3. 输入您的订阅的以下 Azure 参数值

        • azure 订阅 ID:输入要用于集群的订阅 ID。

        • azure 租户 ID:输入租户 ID。

      4. 根据您用于部署集群的 Azure 身份,在提示您输入azure 服务主体客户端 ID时执行以下操作之一

        • 如果您使用的是服务主体,请输入其应用程序 ID。

        • 如果您使用的是系统分配的托管身份,请将此值留空。

        • 如果您使用的是用户分配的托管身份,请指定其客户端 ID。

      5. 根据您用于部署集群的 Azure 身份,在提示您输入azure 服务主体客户端密钥时执行以下操作之一

        • 如果您使用的是服务主体,请输入其密码。

        • 如果您使用的是系统分配的托管身份,请将此值留空。

        • 如果您使用的是用户分配的托管身份,请将此值留空。

      6. 选择要将集群部署到的区域。

      7. 选择要将集群部署到的基础域名。基础域名对应于您为集群创建的 Azure DNS 区域。

      8. 输入集群的描述性名称。

        所有通过公共端点可用的 Azure 资源都受资源名称限制,您不能创建使用某些术语的资源。有关 Azure 限制的术语列表,请参阅 Azure 文档中的解决保留的资源名称错误

  3. 修改install-config.yaml文件。您可以在“安装配置参数”部分找到有关可用参数的更多信息。

  4. 备份install-config.yaml文件,以便您可以使用它来安装多个集群。

    install-config.yaml文件在安装过程中会被使用。如果您想重复使用该文件,您现在必须备份它。

如果之前未检测到,安装程序会创建一个osServicePrincipal.json配置文件并将此文件存储在您计算机上的~/.azure/目录中。这确保了安装程序在目标平台上创建 OpenShift Container Platform 集群时可以加载配置文件。

其他资源

集群安装的最低资源要求

每台集群机器必须满足以下最低要求

表 1. 最低资源要求
机器 操作系统 vCPU [1] 虚拟内存 存储 每秒输入/输出次数 (IOPS)[2]

引导程序

RHCOS

4

16 GB

100 GB

300

控制平面

RHCOS

4

16 GB

100 GB

300

计算

RHCOS,RHEL 8.6 及更高版本 [3]

2

8 GB

100 GB

300

  1. 当未启用同时多线程 (SMT) 或超线程时,一个 vCPU 等于一个物理核心。启用时,请使用以下公式计算相应的比率:(每个核心的线程数 × 核心数)× 插槽数 = vCPU。

  2. OpenShift Container Platform 和 Kubernetes 对磁盘性能敏感,建议使用更快的存储,特别是对于控制平面节点上的 etcd,它需要 10 毫秒 p99 fsync 时长。请注意,在许多云平台上,存储大小和 IOPS 是成比例的,因此您可能需要过度分配存储卷以获得足够的性能。

  3. 与所有用户配置的安装一样,如果您选择在集群中使用 RHEL 计算机器,您将负责所有操作系统生命周期管理和维护,包括执行系统更新、应用补丁以及完成所有其他必需的任务。RHEL 7 计算机器的使用已弃用,并在 OpenShift Container Platform 4.10 及更高版本中已被移除。

从 OpenShift Container Platform 4.13 版本开始,RHCOS 基于 RHEL 9.2 版本,更新了微架构要求。以下列表包含每个架构所需的最低指令集架构 (ISA):

  • x86-64 架构需要 x86-64-v2 ISA

  • ARM64 架构需要 ARMv8.0-A ISA

  • IBM Power 架构需要 Power 9 ISA

  • s390x 架构需要 z14 ISA

有关更多信息,请参阅RHEL 架构

您必须使用将premiumIO参数设置为true的 Azure 虚拟机。

如果平台的实例类型满足集群机器的最低要求,则支持在 OpenShift Container Platform 中使用它。

其他资源

Azure 的已测试实例类型

以下 Microsoft Azure 实例类型已通过 OpenShift Container Platform 测试。

基于 64 位 x86 架构的机器类型

  • standardBasv2Family

  • standardBSFamily

  • standardBsv2Family

  • standardDADSv5Family

  • standardDASv4Family

  • standardDASv5Family

  • standardDCACCV5Family

  • standardDCADCCV5Family

  • standardDCADSv5Family

  • standardDCASv5Family

  • standardDCSv3Family

  • standardDCSv2Family

  • standardDDCSv3Family

  • standardDDSv4Family

  • standardDDSv5Family

  • standardDLDSv5Family

  • standardDLSv5Family

  • standardDSFamily

  • standardDSv2Family

  • standardDSv2PromoFamily

  • standardDSv3Family

  • standardDSv4Family

  • standardDSv5Family

  • standardEADSv5Family

  • standardEASv4Family

  • standardEASv5Family

  • standardEBDSv5Family

  • standardEBSv5Family

  • standardECACCV5Family

  • standardECADCCV5Family

  • standardECADSv5Family

  • standardECASv5Family

  • standardEDSv4Family

  • standardEDSv5Family

  • standardEIADSv5Family

  • standardEIASv4Family

  • standardEIASv5Family

  • standardEIBDSv5Family

  • standardEIBSv5Family

  • standardEIDSv5Family

  • standardEISv3Family

  • standardEISv5Family

  • standardESv3Family

  • standardESv4Family

  • standardESv5Family

  • standardFXMDVSFamily

  • standardFSFamily

  • standardFSv2Family

  • standardGSFamily

  • standardHBrsv2Family

  • standardHBSFamily

  • standardHBv4Family

  • standardHCSFamily

  • standardHXFamily

  • standardLASv3Family

  • standardLSFamily

  • standardLSv2Family

  • standardLSv3Family

  • standardMDSHighMemoryv3Family

  • standardMDSMediumMemoryv2Family

  • standardMDSMediumMemoryv3Family

  • standardMIDSHighMemoryv3Family

  • standardMIDSMediumMemoryv2Family

  • standardMISHighMemoryv3Family

  • standardMISMediumMemoryv2Family

  • standardMSFamily

  • standardMSHighMemoryv3Family

  • standardMSMediumMemoryv2Family

  • standardMSMediumMemoryv3Family

  • StandardNCADSA100v4Family

  • Standard NCASv3_T4 Family

  • standardNCSv3Family

  • standardNDSv2Family

  • StandardNGADSV620v1Family

  • standardNPSFamily

  • StandardNVADSA10v5Family

  • standardNVSv3Family

  • standardXEISv4Family

在64位ARM架构Azure上测试的实例类型

以下Microsoft Azure ARM64实例类型已通过OpenShift Container Platform测试。

基于64位ARM架构的机器类型

  • standardBpsv2Family

  • standardDPSv5Family

  • standardDPDSv5Family

  • standardDPLDSv5Family

  • standardDPLSv5Family

  • standardEPSv5Family

  • standardEPDSv5Family

启用Azure虚拟机的可信启动

在Azure上安装集群时,您可以启用两个可信启动功能:安全启动虚拟化可信平台模块

有关支持可信启动功能的虚拟机大小的更多信息,请参见虚拟机大小

可信启动仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参见技术预览功能支持范围
先决条件

  • 您已创建了一个install-config.yaml文件。

步骤

  • 在部署集群之前,请编辑install-config.yaml文件

    • 仅在控制平面启用可信启动,请添加以下节

      controlPlane:
  platform:
    azure:
      settings:
        securityType: TrustedLaunch
        trustedLaunch:
          uefiSettings:
            secureBoot: Enabled
            virtualizedTrustedPlatformModule: Enabled

    • 仅在计算节点启用可信启动,请添加以下节

      compute:
  platform:
    azure:
      settings:
        securityType: TrustedLaunch
        trustedLaunch:
          uefiSettings:
            secureBoot: Enabled
            virtualizedTrustedPlatformModule: Enabled

    • 在所有节点上启用可信启动,请添加以下节

      platform:
  azure:
    settings:
      securityType: TrustedLaunch
      trustedLaunch:
        uefiSettings:
          secureBoot: Enabled
          virtualizedTrustedPlatformModule: Enabled

启用机密虚拟机

安装集群时,您可以启用机密虚拟机。您可以为计算节点、控制平面节点或所有节点启用机密虚拟机。

使用机密虚拟机仅为技术预览功能。技术预览功能不受Red Hat生产服务级别协议 (SLA) 的支持,并且可能功能不完整。Red Hat不建议在生产环境中使用它们。这些功能提供对即将推出的产品功能的早期访问,使客户能够在开发过程中测试功能并提供反馈。

有关Red Hat技术预览功能的支持范围的更多信息,请参见技术预览功能支持范围

您可以将机密虚拟机与以下虚拟机大小一起使用

  • DCasv5系列

  • DCadsv5系列

  • ECasv5系列

  • ECadsv5系列

目前在64位ARM架构上不支持机密虚拟机。
先决条件

  • 您已创建了一个install-config.yaml文件。

步骤

  • 在部署集群之前,请编辑install-config.yaml文件

    • 仅在控制平面启用机密虚拟机,请添加以下节

      controlPlane:
  platform:
    azure:
      settings:
        securityType: ConfidentialVM
        confidentialVM:
          uefiSettings:
            secureBoot: Enabled
            virtualizedTrustedPlatformModule: Enabled
      osDisk:
        securityProfile:
          securityEncryptionType: VMGuestStateOnly

    • 仅在计算节点启用机密虚拟机,请添加以下节

      compute:
  platform:
    azure:
      settings:
        securityType: ConfidentialVM
        confidentialVM:
          uefiSettings:
            secureBoot: Enabled
            virtualizedTrustedPlatformModule: Enabled
      osDisk:
        securityProfile:
          securityEncryptionType: VMGuestStateOnly

    • 在所有节点上启用机密虚拟机,请添加以下节

      platform:
  azure:
    settings:
      securityType: ConfidentialVM
      confidentialVM:
        uefiSettings:
          secureBoot: Enabled
          virtualizedTrustedPlatformModule: Enabled
    osDisk:
      securityProfile:
        securityEncryptionType: VMGuestStateOnly

Azure自定义install-config.yaml文件示例

您可以自定义install-config.yaml文件以指定有关OpenShift Container Platform集群平台的更多详细信息,或修改所需参数的值。

此YAML文件示例仅供参考。您必须使用安装程序获取您的install-config.yaml文件并进行修改。

 
apiVersion: v1
baseDomain: example.com (1)
controlPlane: (2)
  hyperthreading: Enabled  (3) (4)
  name: master
  platform:
    azure:
      encryptionAtHost: true
      ultraSSDCapability: Enabled
      osDisk:
        diskSizeGB: 1024 (5)
        diskType: Premium_LRS
        diskEncryptionSet:
          resourceGroup: disk_encryption_set_resource_group
          name: disk_encryption_set_name
          subscriptionId: secondary_subscription_id
      osImage:
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      type: Standard_D8s_v3
  replicas: 3
compute: (2)
- hyperthreading: Enabled  (3) (4)
  name: worker
  platform:
    azure:
      ultraSSDCapability: Enabled
      type: Standard_D2s_v3
      encryptionAtHost: true
      osDisk:
        diskSizeGB: 512 (5)
        diskType: Standard_LRS
        diskEncryptionSet:
          resourceGroup: disk_encryption_set_resource_group
          name: disk_encryption_set_name
          subscriptionId: secondary_subscription_id
      osImage:
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      zones: (6)
      - "1"
      - "2"
      - "3"
  replicas: 5
metadata:
  name: test-cluster (1)
networking: (2)
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes (7)
  serviceNetwork:
  - 172.30.0.0/16
platform:
  azure:
    defaultMachinePlatform:
      osImage: (8)
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      ultraSSDCapability: Enabled
    baseDomainResourceGroupName: resource_group (9)
    region: centralus (1)
    resourceGroupName: existing_resource_group (10)
    outboundType: Loadbalancer
    cloudName: AzurePublicCloud
pullSecret: '{"auths": ...}' (1)
fips: false (11)
sshKey: ssh-ed25519 AAAA... (12)
1 必需。安装程序会提示您输入此值。
2 如果您不提供这些参数和值,安装程序将提供默认值。
3 controlPlane部分是一个单映射,但compute部分是映射序列。为了满足不同数据结构的要求,compute部分的第一行必须以连字符-开头,而controlPlane部分的第一行则不能。只使用一个控制平面池。
4 是否启用或禁用同时多线程处理或超线程。默认情况下,启用同时多线程处理以提高机器内核的性能。您可以将其参数值设置为Disabled来禁用它。如果在某些集群机器中禁用同时多线程处理,则必须在所有集群机器中禁用它。

如果禁用同时多线程处理,请确保您的容量规划考虑了机器性能的大幅下降。如果禁用同时多线程处理,请为您的机器使用更大的虚拟机类型,例如Standard_D8s_v3
5 您可以指定要使用的磁盘大小(以GB为单位)。控制平面节点的最低建议值为1024 GB。
6 指定要将机器部署到的区域列表。为确保高可用性,请至少指定两个区域。
7 要安装的集群网络插件。默认值OVNKubernetes是唯一受支持的值。
8 可选:应用于引导控制平面和计算机的自定义Red Hat Enterprise Linux CoreOS (RHCOS)映像。platform.azure.defaultMachinePlatform.osImage下的publisherofferskuversion参数适用于控制平面和计算机。如果设置了controlPlane.platform.azure.osImagecompute.platform.azure.osImage下的参数,则它们将覆盖platform.azure.defaultMachinePlatform.osImage参数。
9 指定包含您的基本域的DNS区域的资源组的名称。
10 指定要将集群安装到的已存在资源组的名称。如果未定义,则会为集群创建一个新的资源组。
11 是否启用或禁用FIPS模式。默认情况下,不启用FIPS模式。如果启用了FIPS模式,则运行OpenShift Container Platform的Red Hat Enterprise Linux CoreOS (RHCOS)机器将绕过默认的Kubernetes加密套件,并改为使用随RHCOS提供的加密模块。

要为您的集群启用FIPS模式,您必须从配置为在FIPS模式下运行的Red Hat Enterprise Linux (RHEL)计算机运行安装程序。有关在RHEL上配置FIPS模式的更多信息,请参见将RHEL切换到FIPS模式

在运行以FIPS模式引导的Red Hat Enterprise Linux (RHEL)或Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform核心组件仅在x86_64、ppc64le和s390x架构上使用已提交给NIST进行FIPS 140-2/140-3验证的RHEL加密库。
12 您可以选择提供用于访问集群中机器的sshKey值。

对于要对其执行安装调试或灾难恢复的生产 OpenShift Container Platform 集群,请指定您的ssh-agent进程使用的 SSH 密钥。

在安装过程中配置集群范围的代理

生产环境可以拒绝直接访问互联网,而是提供HTTP或HTTPS代理。您可以通过在install-config.yaml文件中配置代理设置来配置新的OpenShift Container Platform集群以使用代理。

先决条件

  • 您已经有了一个install-config.yaml文件。

  • 您已检查集群需要访问的站点,并确定其中哪些站点需要绕过代理。默认情况下,所有集群出站流量都使用代理,包括对托管云提供商 API 的调用。如有必要,您可以将站点添加到Proxy对象的spec.noProxy字段以绕过代理。

    Proxy对象的status.noProxy字段将填充安装配置中networking.machineNetwork[].cidrnetworking.clusterNetwork[].cidrnetworking.serviceNetwork[]字段的值。

    对于 Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure 和 Red Hat OpenStack Platform (RHOSP) 上的安装,Proxy 对象的 status.noProxy 字段还会填充实例元数据端点 (169.254.169.254)。
步骤

  1. 编辑您的install-config.yaml文件并添加代理设置。例如:

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> (1)
  httpsProxy: https://<username>:<pswd>@<ip>:<port> (2)
  noProxy: example.com (3)
additionalTrustBundle: | (4)
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> (5)
    1 用于在集群外部创建 HTTP 连接的代理 URL。URL 方案必须为http
    2 用于在集群外部创建 HTTPS 连接的代理 URL。
    3 要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域名前加.以仅匹配子域名。例如,.y.com匹配x.y.com,但不匹配y.com。使用*绕过所有目标的代理。
    4 如果提供,安装程序将生成一个名为user-ca-bundle的 configmap,位于openshift-config命名空间中,其中包含一个或多个用于代理 HTTPS 连接的附加 CA 证书。集群网络操作符 (Cluster Network Operator) 然后创建一个trusted-ca-bundle configmap,将这些内容与 Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包合并,并在Proxy对象的trustedCA字段中引用此 configmap。除非代理的身份证书由 RHCOS 信任捆绑包中的机构签名,否则需要additionalTrustBundle字段。
    5 可选:确定Proxy对象的配置以在trustedCA字段中引用user-ca-bundle configmap 的策略。允许的值为ProxyonlyAlways。使用Proxyonly仅在配置http/https代理时引用user-ca-bundle configmap。使用Always始终引用user-ca-bundle configmap。默认值为Proxyonly

    安装程序不支持代理readinessEndpoints字段。

    如果安装程序超时,请重启然后使用安装程序的wait-for命令完成部署。例如:

    $ ./openshift-install wait-for install-complete --log-level debug

  2. 保存文件并在安装 OpenShift Container Platform 时引用它。

安装程序创建一个名为cluster的集群范围代理,它使用提供的install-config.yaml文件中的代理设置。如果未提供代理设置,仍然会创建cluster Proxy对象,但它将具有空spec

仅支持名为clusterProxy对象,不能创建其他代理。

网络配置阶段

在安装 OpenShift Container Platform 之前,有两个阶段可以自定义网络配置。

阶段 1

在创建清单文件之前,您可以在install-config.yaml文件中自定义以下与网络相关的字段:

  • networking.networkType

  • networking.clusterNetwork

  • networking.serviceNetwork

  • networking.machineNetwork

    有关更多信息,请参见“安装配置参数”。

    networking.machineNetwork设置为与首选子网所在的无类别域间路由 (CIDR) 匹配。

    CIDR 范围172.17.0.0/16libVirt保留。您不能对集群中的网络使用与172.17.0.0/16 CIDR 范围重叠的任何其他 CIDR 范围。
阶段 2

运行openshift-install create manifests创建清单文件后,您可以仅使用要修改的字段定义自定义的集群网络操作符清单。您可以使用该清单指定高级网络配置。

在阶段 2 中,您不能覆盖在阶段 1 中在install-config.yaml文件中指定的値。但是,您可以在阶段 2 中自定义网络插件。

指定高级网络配置

您可以对网络插件使用高级网络配置,以将集群集成到现有网络环境中。

您只能在安装集群之前指定高级网络配置。

不支持通过修改安装程序创建的 OpenShift Container Platform 清单文件来自定义网络配置。支持应用您创建的清单文件,如下面的过程所示。
先决条件

  • 您已创建install-config.yaml文件并完成了对其的任何修改。

步骤

  1. 更改到包含安装程序的目录并创建清单:

    $ ./openshift-install create manifests --dir <installation_directory> (1)
    1 <installation_directory>指定包含集群install-config.yaml文件的目录的名称。

  2. 为高级网络配置创建一个存根清单文件,名为cluster-network-03-config.yml,位于<installation_directory>/manifests/目录中。

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:

  3. cluster-network-03-config.yml文件中指定集群的高级网络配置,例如以下示例:

    为 OVN-Kubernetes 网络提供程序启用 IPsec。
    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      ipsecConfig:
        mode: Full

  4. 可选:备份manifests/cluster-network-03-config.yml文件。创建 Ignition 配置文件时,安装程序会使用manifests/目录。

集群网络操作符配置

集群网络的配置作为集群网络操作符 (CNO) 配置的一部分指定,并存储在名为cluster的自定义资源 (CR) 对象中。CR 指定operator.openshift.io API 组中Network API 的字段。

在集群安装期间,CNO 配置从Network.config.openshift.io API 组中的Network API 继承以下字段:

clusterNetwork

分配 Pod IP 地址的 IP 地址池。

serviceNetwork

服务的 IP 地址池。

defaultNetwork.type

集群网络插件。OVNKubernetes是安装期间唯一受支持的插件。

您可以通过设置名为cluster的 CNO 对象中defaultNetwork对象的字段来指定集群的集群网络插件配置。

集群网络操作符配置对象

集群网络操作符 (CNO) 的字段在以下表格中描述:

表 2. 集群网络操作符配置对象
字段 类型 描述

metadata.name

字符串

CNO 对象的名称。此名称始终为cluster

spec.clusterNetwork

数组

指定分配 Pod IP 地址的 IP 地址块以及分配给集群中每个单独节点的子网前缀长度的列表。例如:

spec:
  clusterNetwork:
  - cidr: 10.128.0.0/19
    hostPrefix: 23
  - cidr: 10.128.32.0/19
    hostPrefix: 23

spec.serviceNetwork

数组

服务的 IP 地址块。OVN-Kubernetes 网络插件仅支持服务网络的单个 IP 地址块。例如:

spec:
  serviceNetwork:
  - 172.30.0.0/14

您只能在创建清单之前在install-config.yaml文件中自定义此字段。该值在清单文件中是只读的。

spec.defaultNetwork

对象

配置集群网络的网络插件。

spec.kubeProxyConfig

对象

此对象的字段指定 kube-proxy 配置。如果您使用的是 OVN-Kubernetes 集群网络插件,则 kube-proxy 配置无效。

对于需要跨多个网络部署对象的集群,请确保为install-config.yaml文件中定义的每种网络类型指定相同的clusterNetwork.hostPrefix参数值。为每个clusterNetwork.hostPrefix参数设置不同的值可能会影响OVN-Kubernetes网络插件,导致插件无法有效地路由不同节点之间的对象流量。

defaultNetwork 对象配置

defaultNetwork 对象的值定义在下表中

表 3. defaultNetwork 对象
字段 类型 描述

类型

字符串

OVNKubernetes。安装过程中选择 Red Hat OpenShift Networking 网络插件。此值在集群安装后无法更改。

OpenShift Container Platform 默认使用 OVN-Kubernetes 网络插件。OpenShift SDN 不再作为新集群的安装选项。

ovnKubernetesConfig

对象

此对象仅对 OVN-Kubernetes 网络插件有效。
OVN-Kubernetes 网络插件配置

下表描述了 OVN-Kubernetes 网络插件的配置字段

表 4. ovnKubernetesConfig 对象
字段 类型 描述

mtu

整数

Geneve(通用网络虚拟化封装)覆盖网络的最大传输单元 (MTU)。此值会根据主网络接口的 MTU 自动检测。通常不需要覆盖检测到的 MTU。

如果自动检测到的值与预期不符,请确认节点上主网络接口的 MTU 是否正确。无法使用此选项更改节点上主网络接口的 MTU 值。

如果您的集群需要为不同的节点设置不同的 MTU 值,则必须将此值设置为集群中最低 MTU 值减去100。例如,如果集群中某些节点的 MTU 为9001,而某些节点的 MTU 为1500,则必须将此值设置为1400

genevePort

整数

所有 Geneve 数据包使用的端口。默认值为6081。此值在集群安装后无法更改。

ipsecConfig

对象

指定一个配置对象来自定义 IPsec 配置。

ipv4

对象

指定 IPv4 设置的配置对象。

ipv6

对象

指定 IPv6 设置的配置对象。

policyAuditConfig

对象

指定一个配置对象来自定义网络策略审计日志记录。如果未设置,则使用默认的审计日志设置。

gatewayConfig

对象

可选:指定一个配置对象来自定义如何将出站流量发送到节点网关。

迁移出站流量期间,在集群网络操作员 (CNO) 成功推出更改之前,可能会出现工作负载和服务流量中断。
表 5. ovnKubernetesConfig.ipv4 对象
字段 类型 描述

internalTransitSwitchSubnet

字符串

如果您的现有网络基础设施与100.88.0.0/16 IPv4 子网重叠,您可以为 OVN-Kubernetes 的内部使用指定不同的 IP 地址范围。启用东西向流量的分布式转接交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。它必须足够大,足以容纳集群中每个节点的一个 IP 地址。

默认值为100.88.0.0/16

internalJoinSubnet

字符串

如果您的现有网络基础设施与100.64.0.0/16 IPv4 子网重叠,您可以为 OVN-Kubernetes 的内部使用指定不同的 IP 地址范围。您必须确保 IP 地址范围不与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可以添加到集群的最大节点数。例如,如果clusterNetwork.cidr值为10.128.0.0/14,而clusterNetwork.hostPrefix值为/23,则最大节点数为2^(23-14)=512

默认值为100.64.0.0/16
表 6. ovnKubernetesConfig.ipv6 对象
字段 类型 描述

internalTransitSwitchSubnet

字符串

如果您的现有网络基础设施与fd97::/64 IPv6 子网重叠,您可以为 OVN-Kubernetes 的内部使用指定不同的 IP 地址范围。启用东西向流量的分布式转接交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。它必须足够大,足以容纳集群中每个节点的一个 IP 地址。

默认值为fd97::/64

internalJoinSubnet

字符串

如果您的现有网络基础设施与fd98::/64 IPv6 子网重叠,您可以为 OVN-Kubernetes 的内部使用指定不同的 IP 地址范围。您必须确保 IP 地址范围不与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可以添加到集群的最大节点数。

默认值为fd98::/64
表 7. policyAuditConfig 对象
字段 类型 描述

rateLimit

整数

每个节点每秒生成的最大消息数。默认值为每秒20条消息。

maxFileSize

整数

审计日志的最大大小(字节)。默认值为50000000或 50 MB。

maxLogFiles

整数

保留的最大日志文件数。

destination

字符串

以下附加审计日志目标之一

libc

主机上 journald 进程的 libc syslog() 函数。

udp:<host>:<port>

一个 syslog 服务器。将<host>:<port>替换为 syslog 服务器的主机和端口。

unix:<file>

<file>指定的 Unix 域套接字文件。

null

不将审计日志发送到任何其他目标。

syslogFacility

字符串

syslog 设施,例如 RFC5424 中定义的kern。默认值为local0
表 8. gatewayConfig 对象
字段 类型 描述

routingViaHost

布尔值

将此字段设置为true可将 Pod 的出站流量发送到主机网络堆栈。对于依赖于内核路由表中手动配置的路由的高度专业化安装和应用程序,您可能希望将出站流量路由到主机网络堆栈。默认情况下,出站流量在 OVN 中处理以退出集群,并且不受内核路由表中专用路由的影响。默认值为false

此字段与 Open vSwitch 硬件卸载功能存在交互。如果将此字段设置为true,则不会获得卸载带来的性能优势,因为出站流量由主机网络堆栈处理。

ipForwarding

对象

您可以使用Network资源中的ipForwarding规范来控制 OVN-Kubernetes 管理的接口上所有流量的 IP 转发。指定Restricted仅允许与 Kubernetes 相关的流量进行 IP 转发。指定Global允许转发所有 IP 流量。对于新安装,默认值为Restricted。对于 OpenShift Container Platform 4.14 或更高版本的更新,默认值为Global

ipv4

对象

可选:指定一个对象来配置用于主机到服务流量的 IPv4 地址的内部 OVN-Kubernetes 伪装地址。

ipv6

对象

可选:指定一个对象来配置用于主机到服务流量的 IPv6 地址的内部 OVN-Kubernetes 伪装地址。
表 9. gatewayConfig.ipv4 对象
字段 类型 描述

internalMasqueradeSubnet

字符串

内部使用的伪装 IPv4 地址,用于启用主机到服务的流量。主机也配置了这些 IP 地址以及共享网关桥接口。默认值为169.254.169.0/29

对于 OpenShift Container Platform 4.17 和更高版本,集群使用169.254.0.0/17作为默认伪装子网。对于升级的集群,默认伪装子网没有更改。
表 10. gatewayConfig.ipv6 对象
字段 类型 描述

internalMasqueradeSubnet

字符串

内部使用伪装 IPv6 地址来启用主机到服务的流量。主机配置了这些 IP 地址以及共享网关桥接接口。默认值为fd69::/125

对于 OpenShift Container Platform 4.17 及更高版本,集群使用fd69::/112作为默认伪装子网。对于升级后的集群,默认伪装子网没有变化。
表 11. ipsecConfig 对象
字段 类型 描述

模式

字符串

指定 IPsec 实现的行为。必须是以下值之一

  • Disabled:集群节点上未启用 IPsec。

  • External:对与外部主机的网络流量启用 IPsec。

  • Full:对 Pod 流量和与外部主机的网络流量启用 IPsec。
启用 IPSec 的 OVN-Kubernetes 配置示例
defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
      ipsecConfig:
        mode: Full

使用 OVN-Kubernetes 配置混合网络

您可以将集群配置为使用 OVN-Kubernetes 网络插件的混合网络。这允许支持不同节点网络配置的混合集群。

此配置对于在同一个集群中运行 Linux 和 Windows 节点是必要的。
先决条件

  • 您在install-config.yaml文件中将networking.networkType参数定义为OVNKubernetes。有关在您选择的云提供商上配置 OpenShift Container Platform 网络自定义的更多信息,请参见安装文档。

步骤

  1. 更改到包含安装程序的目录并创建清单:

    $ ./openshift-install create manifests --dir <installation_directory>

    其中

    <安装目录>

    指定包含集群install-config.yaml文件的目录名称。

  2. 为高级网络配置创建一个存根清单文件,名为cluster-network-03-config.yml,位于<installation_directory>/manifests/目录中。

    $ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
EOF

    其中

    <安装目录>

    指定包含集群manifests/目录的目录名称。

  3. 在编辑器中打开cluster-network-03-config.yml文件,并按照以下示例配置具有混合网络的 OVN-Kubernetes

    指定混合网络配置
    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      hybridOverlayConfig:
        hybridClusterNetwork: (1)
        - cidr: 10.132.0.0/14
          hostPrefix: 23
        hybridOverlayVXLANPort: 9898 (2)
    1 指定用于附加覆盖网络上节点的 CIDR 配置。hybridClusterNetwork CIDR 必须与clusterNetwork CIDR 不重叠。
    2 为附加覆盖网络指定自定义 VXLAN 端口。这对于在 vSphere 上安装的集群中运行 Windows 节点是必需的,并且不得为任何其他云提供商配置。自定义端口可以是任何开放端口,但不包括默认的4789端口。有关此要求的更多信息,请参见 Microsoft 文档中的主机之间 Pod 到 Pod 的连接在我的运行在 vSphere 上的 Kubernetes 集群中中断

    Windows Server 长期服务通道 (LTSC):对于具有自定义hybridOverlayVXLANPort值的集群,不支持 Windows Server 2019,因为此 Windows 服务器版本不支持选择自定义 VXLAN 端口。

  4. 保存cluster-network-03-config.yml文件并退出文本编辑器。

  5. 可选:备份manifests/cluster-network-03-config.yml文件。安装程序在创建集群时会删除manifests/目录。

有关在同一集群中使用 Linux 和 Windows 节点的更多信息,请参见了解 Windows 容器工作负载
其他资源

存储管理员级密钥在 kube-system 项目中的替代方法

默认情况下,管理员密钥存储在kube-system项目中。如果您在install-config.yaml文件中将credentialsMode参数配置为Manual,则必须使用以下替代方法之一

手动创建长期凭据

在无法访问云身份和访问管理 (IAM) API 或管理员更倾向于不在集群kube-system命名空间中存储管理员级凭据密钥的环境中,可以在安装之前将云凭据操作员 (CCO) 置于手动模式。

步骤

  1. 如果您之前未在install-config.yaml配置文件中将credentialsMode参数设置为Manual,请修改该值,如下所示

    示例配置文件片段
    apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...

  2. 如果您以前没有创建安装清单文件,请运行以下命令来创建

    $ openshift-install create manifests --dir <installation_directory>

    其中<安装目录>是安装程序创建文件的目录。

  3. 通过运行以下命令,使用安装文件中的发行版映像设置$RELEASE_IMAGE变量

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  4. 通过运行以下命令,从 OpenShift Container Platform 发行版映像中提取CredentialsRequest自定义资源 (CR) 列表

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \(1)
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \(2)
  --to=<path_to_directory_for_credentials_requests> (3)
    1 --included参数仅包含特定集群配置所需的清单。
    2 指定install-config.yaml文件的位置。
    3 指定要存储CredentialsRequest对象的目录的路径。如果指定的目录不存在,此命令将创建它。

    此命令将为每个CredentialsRequest对象创建一个 YAML 文件。

    CredentialsRequest对象示例
    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

  5. 在您之前生成的openshift-install清单目录中为密钥创建 YAML 文件。必须使用每个CredentialsRequest对象中spec.secretRef定义的命名空间和密钥名称来存储密钥。

    包含密钥的CredentialsRequest对象示例
    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...
    Secret对象示例
    apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

在升级使用手动维护的凭据的集群之前,必须确保 CCO 处于可升级状态。

配置 Azure 集群以使用短期凭据

要安装使用 Microsoft Entra 工作负载 ID 的集群,必须配置云凭据操作员实用程序并为集群创建所需的 Azure 资源。

配置云凭据操作员实用程序

当云凭据操作员 (CCO) 处于手动模式时,要从集群外部创建和管理云凭据,请提取并准备 CCO 实用程序 (ccoctl) 二进制文件。

ccoctl实用程序是一个 Linux 二进制文件,必须在 Linux 环境中运行。
先决条件

  • 您可以访问具有集群管理员访问权限的 OpenShift Container Platform 帐户。

  • 您已安装 OpenShift CLI (oc)。

  • 您已为ccoctl实用程序创建了一个全局 Microsoft Azure 帐户,并具有以下权限

    所需的 Azure 权限

    • Microsoft.Resources/subscriptions/resourceGroups/read

    • Microsoft.Resources/subscriptions/resourceGroups/write

    • Microsoft.Resources/subscriptions/resourceGroups/delete

    • Microsoft.Authorization/roleAssignments/read

    • Microsoft.Authorization/roleAssignments/delete

    • Microsoft.Authorization/roleAssignments/write

    • Microsoft.Authorization/roleDefinitions/read

    • Microsoft.Authorization/roleDefinitions/write

    • Microsoft.Authorization/roleDefinitions/delete

    • Microsoft.Storage/storageAccounts/listkeys/action

    • Microsoft.Storage/storageAccounts/delete

    • Microsoft.Storage/storageAccounts/read

    • Microsoft.Storage/storageAccounts/write

    • Microsoft.Storage/storageAccounts/blobServices/containers/write

    • Microsoft.Storage/storageAccounts/blobServices/containers/delete

    • Microsoft.Storage/storageAccounts/blobServices/containers/read

    • Microsoft.ManagedIdentity/userAssignedIdentities/delete

    • Microsoft.ManagedIdentity/userAssignedIdentities/read

    • Microsoft.ManagedIdentity/userAssignedIdentities/write

    • Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read

    • Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write

    • Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete

    • Microsoft.Storage/register/action

    • Microsoft.ManagedIdentity/register/action

步骤

  1. 运行以下命令,设置OpenShift Container Platform发行版镜像的变量

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  2. 运行以下命令,从OpenShift Container Platform发行版镜像中获取CCO容器镜像

    $ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)

    确保$RELEASE_IMAGE的架构与您将使用ccoctl工具的环境架构匹配。

  3. 运行以下命令,从OpenShift Container Platform发行版镜像中的CCO容器镜像中提取ccoctl二进制文件

    $ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \(1)
  -a ~/.pull-secret
    1 对于<rhel_version>,请指定与主机使用的Red Hat Enterprise Linux (RHEL)版本相对应的值。如果未指定值,则默认使用ccoctl.rhel8。有效值为:

    • rhel8:对于使用RHEL 8的主机,指定此值。

    • rhel9:对于使用RHEL 9的主机,指定此值。

  4. 运行以下命令更改权限,使ccoctl可执行

    $ chmod 775 ccoctl.<rhel_version>
验证

  • 要验证ccoctl是否可以使用,请显示帮助文件。运行命令时,请使用相对文件名,例如:

    $ ./ccoctl.rhel9
    示例输出
    OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for {ibm-cloud-title}
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

使用Cloud Credential Operator实用程序创建Azure资源

您可以使用ccoctl azure create-all命令自动创建Azure资源。

默认情况下,ccoctl在运行命令的目录中创建对象。要在不同的目录中创建对象,请使用--output-dir标志。此过程使用<path_to_ccoctl_output_dir>来引用此目录。
先决条件

您必须:

  • 已提取并准备ccoctl二进制文件。

  • 通过Azure CLI访问您的Microsoft Azure帐户。

步骤

  1. 通过运行以下命令,使用安装文件中的发行版映像设置$RELEASE_IMAGE变量

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  2. 运行以下命令,从OpenShift Container Platform发行版镜像中提取CredentialsRequest对象的列表

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \(1)
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \(2)
  --to=<path_to_directory_for_credentials_requests> (3)
    1 --included参数仅包含特定集群配置所需的清单。
    2 指定install-config.yaml文件的位置。
    3 指定要存储CredentialsRequest对象的目录的路径。如果指定的目录不存在,此命令将创建它。

    此命令可能需要几分钟才能运行。

  3. 要使ccoctl实用程序能够自动检测您的Azure凭据,请运行以下命令登录到Azure CLI:

    $ az login

  4. 使用ccoctl工具处理所有CredentialsRequest对象,运行以下命令:

    $ ccoctl azure create-all \
  --name=<azure_infra_name> \(1)
  --output-dir=<ccoctl_output_dir> \(2)
  --region=<azure_region> \(3)
  --subscription-id=<azure_subscription_id> \(4)
  --credentials-requests-dir=<path_to_credentials_requests_directory> \(5)
  --dnszone-resource-group-name=<azure_dns_zone_resource_group_name> \(6)
  --tenant-id=<azure_tenant_id> (7)
    1 指定所有创建的Azure资源的用户定义名称,用于跟踪。
    2 可选:指定您希望ccoctl实用程序创建对象的目录。默认情况下,该实用程序在运行命令的目录中创建对象。
    3 指定将创建云资源的Azure区域。
    4 指定要使用的Azure订阅ID。
    5 指定包含组件CredentialsRequest对象文件的目录。
    6 指定包含集群基本域Azure DNS区域的资源组的名称。
    7 指定要使用的Azure租户ID。

    如果您的集群使用由TechPreviewNoUpgrade功能集启用的技术预览功能,则必须包含--enable-tech-preview参数。

    要查看其他可选参数以及如何使用它们的说明,请运行azure create-all --help命令。
验证

  • 要验证OpenShift Container Platform密钥是否已创建,请列出<path_to_ccoctl_output_dir>/manifests目录中的文件

    $ ls <path_to_ccoctl_output_dir>/manifests
    示例输出
    azure-ad-pod-identity-webhook-config.yaml
cluster-authentication-02-config.yaml
openshift-cloud-controller-manager-azure-cloud-credentials-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capz-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-disk-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-file-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-azure-cloud-credentials-credentials.yaml

    您可以通过查询Azure来验证Microsoft Entra ID服务帐户是否已创建。有关更多信息,请参阅Azure关于列出Entra ID服务帐户的文档。

合并Cloud Credential Operator实用程序清单

要实现为各个组件管理集群外部的短期安全凭据,您必须将Cloud Credential Operator实用程序(ccoctl)创建的清单文件移动到安装程序的正确目录。

先决条件

  • 您已配置了一个帐户,该帐户拥有托管您的集群的云平台。

  • 您已配置Cloud Credential Operator实用程序(ccoctl)。

  • 您已使用ccoctl实用程序创建了集群所需的云提供商资源。

步骤

  1. 如果您之前未在install-config.yaml配置文件中将credentialsMode参数设置为Manual,请修改该值,如下所示

    示例配置文件片段
    apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...

  2. 如果您使用ccoctl实用程序创建了一个新的Azure资源组而不是使用现有的资源组,请修改install-config.yaml中的resourceGroupName参数,如下所示:

    示例配置文件片段
    apiVersion: v1
baseDomain: example.com
# ...
platform:
  azure:
    resourceGroupName: <azure_infra_name> (1)
# ...
    1 此值必须与使用ccoctl azure create-all命令的--name参数指定的Azure资源的用户定义名称匹配。

  3. 如果您以前没有创建安装清单文件,请运行以下命令来创建

    $ openshift-install create manifests --dir <installation_directory>

    其中<安装目录>是安装程序创建文件的目录。

  4. 运行以下命令,将ccoctl实用程序生成的清单复制到安装程序创建的manifests目录:

    $ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/

  5. 将包含私钥的tls目录复制到安装目录

    $ cp -a /<path_to_ccoctl_output_dir>/tls .

部署集群

您可以在兼容的云平台上安装OpenShift Container Platform。

您只能在初始安装期间运行安装程序的create cluster命令一次。
先决条件

  • 您已配置了一个帐户,该帐户拥有托管您的集群的云平台。

  • 您拥有 OpenShift Container Platform 安装程序和集群的拉取密钥。

  • 您拥有 Azure 订阅 ID 和租户 ID。

步骤

  • 更改到包含安装程序的目录并初始化集群部署

    $ ./openshift-install create cluster --dir <installation_directory> \ (1)
    --log-level=info (2)
    1 对于<installation_directory>,请指定自定义./install-config.yaml文件的位置。
    2 要查看不同的安装详细信息,请指定warndebugerror代替info
验证

当集群部署成功完成时:

  • 终端将显示访问集群的说明,包括指向Web控制台的链接和kubeadmin用户的凭据。

  • 凭据信息也会输出到<installation_directory>/.openshift_install.log

不要删除安装程序或安装程序创建的文件。两者都是删除集群所必需的。
示例输出
...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

  • 安装程序生成的Ignition配置文件包含在24小时后过期的证书,届时将续订这些证书。如果集群在续订证书之前关闭,并且集群在24小时后重新启动,则集群会自动恢复过期的证书。例外情况是,您必须手动批准挂起的node-bootstrapper证书签名请求 (CSR) 以恢复kubelet证书。有关更多信息,请参阅有关“从过期的控制平面证书中恢复”的文档。

  • 建议您在生成Ignition配置文件后12小时内使用它们,因为在集群安装后16到22小时,24小时证书会轮换。在12小时内使用Ignition配置文件,可以避免在安装过程中证书更新运行时安装失败。

使用CLI登录到集群

您可以通过导出集群kubeconfig文件以默认系统用户身份登录到集群。kubeconfig文件包含有关集群的信息,CLI使用这些信息将客户端连接到正确的集群和API服务器。该文件特定于一个集群,并在OpenShift Container Platform安装期间创建。

先决条件

  • 您已部署了OpenShift Container Platform集群。

  • 您已安装oc CLI。

步骤

  1. 导出kubeadmin凭据

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig (1)
    1 对于<installation_directory>,请指定您存储安装文件的目录的路径。

  2. 验证您可以使用导出的配置成功运行oc命令

    $ oc whoami
    示例输出
    system:admin
其他资源

  • 有关访问和了解OpenShift Container Platform Web控制台的更多详细信息,请参见访问Web控制台

后续步骤