OpenShift 文档正在迁移,不久之后将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

在受限网络中于 IBM Power 虚拟服务器上安装集群

先决条件

关于在受限网络中的安装

在OpenShift Container Platform 4.17中,您可以执行不需要主动连接到互联网即可获取软件组件的安装。受限网络安装可以使用安装程序提供的基础设施或用户提供的基础设施来完成,具体取决于您要向其安装集群的云平台。

对于OpenShift Container Platform 4.17中的安装程序提供的基础设施,您需要在OpenShift Container Platform 4.16中部署受限网络集群并将其升级到OpenShift Container Platform 4.17。

如果您选择在云平台上执行受限网络安装,您仍然需要访问其云API。某些云功能(例如Amazon Web Service的Route 53 DNS和IAM服务)需要互联网访问。根据您的网络,您可能需要较少的互联网访问才能在裸机硬件、Nutanix或VMware vSphere上进行安装。

要完成受限网络安装,您必须创建一个镜像注册表,该注册表镜像OpenShift镜像注册表的内容并包含安装介质。您可以在可以访问互联网和封闭网络的镜像主机上创建此注册表,或者使用其他满足您限制的方法。

其他限制

受限网络中的集群具有以下其他限制。

  • ClusterVersion状态包含无法检索可用更新错误。

  • 默认情况下,您无法使用开发者目录的内容,因为您无法访问所需的镜像流标签。

关于使用自定义VPC

在OpenShift Container Platform 4.17中,您可以将集群部署到现有IBM®虚拟私有云 (VPC) 的子网中。

使用您的VPC的要求

您必须在安装集群之前正确配置现有的VPC及其子网。在此场景中,安装程序不会创建VPC或VPC子网。

安装程序无法:

  • 细分集群使用的网络范围

  • 设置子网的路由表

  • 设置VPC选项(如DHCP)

安装程序要求您使用云提供的DNS服务器。不支持使用自定义DNS服务器,这会导致安装失败。

VPC验证

VPC和所有子网必须位于现有的资源组中。集群将部署到此资源组。

作为安装的一部分,请在install-config.yaml文件中指定以下内容:

  • 资源组的名称

  • VPC的名称

  • VPC子网的名称

为了确保您提供的子网合适,安装程序会确认您指定的所有子网都存在。

不支持子网ID。

集群之间的隔离

如果您将OpenShift Container Platform部署到现有网络,则集群服务的隔离将以以下方式降低:

  • 允许ICMP Ingress访问整个网络。

  • 允许TCP端口22 Ingress (SSH)访问整个网络。

  • 允许控制平面TCP 6443 Ingress (Kubernetes API)访问整个网络。

  • 允许控制平面TCP 22623 Ingress (MCS)访问整个网络。

OpenShift Container Platform的互联网访问

在OpenShift Container Platform 4.17中,您需要访问互联网才能获取安装集群所需的镜像。

您必须具有互联网访问权限才能:

  • 访问OpenShift集群管理器以下载安装程序并执行订阅管理。如果集群具有互联网访问权限并且您没有禁用遥测,则该服务会自动授权您的集群。

  • 访问Quay.io以获取安装集群所需的软件包。

  • 获取执行集群更新所需的软件包。

生成用于集群节点SSH访问的密钥对

在OpenShift Container Platform安装期间,您可以向安装程序提供SSH公钥。该密钥通过其Ignition配置文件传递给Red Hat Enterprise Linux CoreOS (RHCOS) 节点,并用于验证对节点的SSH访问。该密钥将添加到每个节点上core用户的~/.ssh/authorized_keys列表中,从而启用无需密码的身份验证。

密钥传递到节点后,您可以使用密钥对以core用户身份通过SSH登录到RHCOS节点。要通过SSH访问节点,必须由本地用户的SSH管理私钥身份。

如果您想通过SSH登录到集群节点以执行安装调试或灾难恢复,则必须在安装过程中提供SSH公钥。./openshift-install gather命令也需要集群节点上已存在SSH公钥。

在需要灾难恢复和调试的生产环境中,请勿跳过此过程。

您必须使用本地密钥,而不是使用平台特定方法(例如AWS密钥对)配置的密钥。
步骤

  1. 如果您在本地计算机上没有现有的SSH密钥对可用于对集群节点进行身份验证,请创建一个。例如,在使用Linux操作系统的计算机上,运行以下命令:

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> (1)
    1 指定新SSH密钥的路径和文件名,例如~/.ssh/id_ed25519。如果您有现有的密钥对,请确保您的公钥位于您的~/.ssh目录中。

  2. 查看SSH公钥

    $ cat <path>/<file_name>.pub

    例如,运行以下命令以查看~/.ssh/id_ed25519.pub公钥:

    $ cat ~/.ssh/id_ed25519.pub

  3. 如果尚未添加,请将SSH私钥身份添加到本地用户的SSH代理。SSH代理对密钥的管理对于对集群节点进行无需密码的SSH身份验证是必需的,或者如果您想使用./openshift-install gather命令。

    在某些发行版中,默认的SSH私钥身份(例如~/.ssh/id_rsa~/.ssh/id_dsa)会自动管理。

    1. 如果本地用户的ssh-agent进程尚未运行,请将其作为后台任务启动:

      $ eval "$(ssh-agent -s)"
      示例输出
      Agent pid 31874

  4. 将您的SSH私钥添加到ssh-agent

    $ ssh-add <path>/<file_name> (1)
    1 指定SSH私钥的路径和文件名,例如~/.ssh/id_ed25519
    示例输出
    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
后续步骤

  • 安装OpenShift Container Platform时,请向安装程序提供SSH公钥。

导出API密钥

您必须将创建的API密钥设置为全局变量;安装程序在启动期间会提取该变量以设置API密钥。

先决条件

  • 您已为您的IBM Cloud®帐户创建了用户API密钥或服务ID API密钥。

步骤

  • 将您的帐户API密钥导出为全局变量

    $ export IBMCLOUD_API_KEY=<api_key>

您必须准确按照指定的名称设置变量名;安装程序需要在启动时存在该变量名。

创建安装配置文件

您可以自定义在其中安装 OpenShift Container Platform 集群的配置。

先决条件

  • 您拥有 OpenShift Container Platform 安装程序和集群的拉取密钥。对于受限网络安装,这些文件位于您的镜像主机上。

  • 您拥有在镜像注册表创建期间生成的 `imageContentSources` 值。

  • 您已获得镜像注册表证书的内容。

  • 您已检索到 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像并将其上传到可访问的位置。

步骤

  1. 创建 `install-config.yaml` 文件。

    1. 切换到包含安装程序的目录并运行以下命令:

      $ ./openshift-install create install-config --dir <installation_directory> (1)
      1 对于 `<installation_directory>`,请指定用于存储安装程序创建的文件的目录名。

      指定目录时:

      • 请使用空目录。某些安装资源(例如引导 X.509 证书)的有效期很短,因此您不能重复使用安装目录。如果您想重复使用来自另一个集群安装的单个文件,您可以将它们复制到您的目录中。但是,安装资源的文件名可能会在不同版本之间发生变化。从早期 OpenShift Container Platform 版本复制安装文件时,请谨慎操作。

        始终删除 `~/.powervs` 目录以避免重复使用过时的配置。运行以下命令:

        $ rm -rf ~/.powervs

    2. 在提示符下,提供云的配置详细信息。

      1. 可选:选择一个 SSH 密钥用于访问您的集群机器。

        对于您想要执行安装调试或灾难恢复的生产 OpenShift Container Platform 集群,请指定您的 `ssh-agent` 进程使用的 SSH 密钥。

      2. 选择 **powervs** 作为目标平台。

      3. 选择要部署集群的区域。

      4. 选择要部署集群的区域。

      5. 选择要部署集群的基础域名。基础域名对应于您为集群创建的公共 DNS 区域。

      6. 输入集群的描述性名称。

  2. 编辑 `install-config.yaml` 文件,以提供受限网络安装所需的附加信息。

    1. 更新 `pullSecret` 值,使其包含注册表的身份验证信息。

      pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "[email protected]"}}}'

      对于 `<mirror_host_name>`,请指定您在镜像注册表证书中指定的注册表域名;对于 `<credentials>`,请指定镜像注册表的 Base64 编码用户名和密码。

    2. 添加 `additionalTrustBundle` 参数和值。

      additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----

      该值必须是您用于镜像注册表的证书文件的内容。证书文件可以是现有的受信任证书颁发机构,也可以是您为镜像注册表生成的自签名证书。

    3. 在父 `platform.powervs` 字段下定义用于安装集群的 VPC 的网络和子网。

      vpcName: <existing_vpc>
vpcSubnets: <vpcSubnet>

      对于 `platform.powervs.vpcName`,请指定现有 IBM Cloud® 的名称。对于 `platform.powervs.vpcSubnets`,请指定现有子网。

    4. 添加镜像内容资源,类似于以下 YAML 片段:

      imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.redhat.io/ocp/release

      对于这些值,请使用您在镜像注册表创建期间记录的 `imageContentSources`。

    5. 可选:将发布策略设置为 `Internal`

      publish: Internal

      通过设置此选项,您可以创建一个内部 Ingress 控制器和一个私有负载均衡器。

  3. 对 `install-config.yaml` 文件进行任何其他所需的修改。

    有关参数的更多信息,请参阅“安装配置参数”。

  4. 备份 `install-config.yaml` 文件,以便您可以使用它来安装多个集群。

    安装过程中会使用 `install-config.yaml` 文件。如果您想重复使用该文件,则现在必须对其进行备份。
其他资源

集群安装的最低资源要求

每台集群机器都必须满足以下最低要求:

表 1. 最低资源要求
机器 操作系统 vCPU [1] 虚拟内存 存储 每秒输入/输出次数 (IOPS)[2]

引导程序

RHCOS

2

16 GB

100 GB

300

控制平面

RHCOS

2

16 GB

100 GB

300

计算

RHCOS

2

8 GB

100 GB

300

  1. 当未启用同时多线程 (SMT) 或超线程时,一个 vCPU 等于一个物理核心。启用时,请使用以下公式计算相应的比率:(每个核心的线程数 × 核心数)× 插槽数 = vCPU 数。

  2. OpenShift Container Platform 和 Kubernetes 对磁盘性能敏感,建议使用更快的存储,特别是对于控制平面节点上的 etcd。请注意,在许多云平台上,存储大小和 IOPS 是成比例的,因此您可能需要过度分配存储卷才能获得足够的性能。

从 OpenShift Container Platform 4.13 版本开始,RHCOS 基于 RHEL 9.2 版本,更新了微架构要求。以下列表包含每个架构所需的最低指令集架构 (ISA):

  • x86-64 架构需要 x86-64-v2 ISA

  • ARM64 架构需要 ARMv8.0-A ISA

  • IBM Power 架构需要 Power 9 ISA

  • s390x 架构需要 z14 ISA

有关更多信息,请参阅 RHEL 架构

如果平台的实例类型满足集群机器的最低要求,则支持在 OpenShift Container Platform 中使用它。

其他资源

IBM Power Virtual Server 的自定义 install-config.yaml 文件示例

您可以自定义 `install-config.yaml` 文件以指定有关 OpenShift Container Platform 集群平台的更多详细信息,或修改所需参数的值。

此示例 YAML 文件仅供参考。您必须使用安装程序获取您的 `install-config.yaml` 文件并对其进行修改。

 
apiVersion: v1
baseDomain: example.com (1)
controlPlane:  (2) (3)
  hyperthreading: Enabled (4)
  name: master
  platform:
    powervs:
      smtLevel: 8 (5)
  replicas: 3
compute:  (2) (3)
- hyperthreading: Enabled (4)
  name: worker
  platform:
    powervs:
      smtLevel: 8 (5)
    ibmcloud: {}
  replicas: 3
metadata:
  name: example-restricted-cluster-name (1)
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14 (6)
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16 (7)
  networkType: OVNKubernetes (8)
  serviceNetwork:
  - 192.168.0.0/24
platform:
  powervs:
    userid: ibm-user-id
    powervsResourceGroup: "ibmcloud-resource-group" (9)
    region: "powervs-region"
    vpcRegion: "vpc-region"
    vpcName: name-of-existing-vpc (10)
    vpcSubnets: (11)
       - name-of-existing-vpc-subnet
    zone: "powervs-zone"
    serviceInstanceID: "service-instance-id"
publish: Internal
credentialsMode: Manual
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "[email protected]"}}}' (12)
sshKey: ssh-ed25519 AAAA... (13)
additionalTrustBundle: | (14)
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: (15)
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
1 必需。
2 如果您未提供这些参数和值,安装程序将提供默认值。
3 `controlPlane` 部分是单个映射,但 `compute` 部分是映射序列。为了满足不同数据结构的要求,`compute` 部分的第一行必须以连字符 `-` 开头,而 `controlPlane` 部分的第一行则不能。仅使用一个控制平面池。
4 启用或禁用同时多线程,也称为超线程。默认情况下,启用同时多线程以提高机器核心性能。您可以将其参数值设置为 `Disabled` 来禁用它。如果您在某些集群机器中禁用了同时多线程,则必须在所有集群机器中禁用它。

如果您禁用同时多线程,请确保您的容量规划考虑到了机器性能的急剧下降。如果您禁用同时多线程,请为您的机器使用更大的机器类型,例如 `n1-standard-8`。
5 smtLevel 指定控制平面和计算机的 SMT级别。支持的值为 1、2、4、8、'off''on'。默认值为 8。smtLevel'off' 时,将 SMT 关闭;smtLevel'on' 时,将集群节点上的 SMT 设置为默认值 8。

如果未启用同时多线程 (SMT) 或超线程,则一个 vCPU 等效于一个物理核心。如果启用,则总 vCPU 数计算公式为:(每个核心的线程数 * 每个套接字的核心数)* 套接字数。smtLevel 控制每个核心的线程数。较低的 SMT 级别在部署集群节点时可能需要分配更多核心。可以通过在 install-config.yaml 文件中将 'processors' 参数设置为适当的值来满足成功部署 OpenShift Container Platform 的要求。
6 机器 CIDR 必须包含计算机器和控制平面机器的子网。
7 CIDR 必须包含 platform.ibmcloud.controlPlaneSubnetsplatform.ibmcloud.computeSubnets 中定义的子网。
8 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
9 现有资源组的名称。现有 VPC 和子网应位于此资源组中。集群将部署到此资源组。
10 指定现有 VPC 的名称。
11 指定现有 VPC 子网的名称。子网必须属于您指定的 VPC。为该区域中的每个可用区指定一个子网。
12 对于 <local_registry>,请指定镜像注册表用于提供内容的注册表域名,以及可选的端口,例如 registry.example.com 或 registry.example.com:5000。对于 <credentials>,请指定镜像注册表的 base64 编码用户名和密码。
13 您可以选择提供用于访问集群中机器的 sshKey 值。
14 提供您用于镜像注册表的证书文件的内容。
15 提供镜像存储库输出命令中的 imageContentSources 部分。

对于您想要执行安装调试或灾难恢复的生产 OpenShift Container Platform 集群,请指定您的 `ssh-agent` 进程使用的 SSH 密钥。

在安装期间配置集群范围的代理

生产环境可能会拒绝直接访问互联网,而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置来配置新的 OpenShift Container Platform 集群以使用代理。

先决条件

  • 您拥有现有的 install-config.yaml 文件。

  • 您已查看集群需要访问的站点,并确定其中哪些站点需要绕过代理。默认情况下,所有集群出口流量都通过代理,包括对托管云提供商 API 的调用。如有必要,您可以将站点添加到 Proxy 对象的 spec.noProxy 字段以绕过代理。

    Proxy 对象的 status.noProxy 字段填充了安装配置中的 networking.machineNetwork[].cidrnetworking.clusterNetwork[].cidrnetworking.serviceNetwork[] 字段的值。

    对于在 Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure 和 Red Hat OpenStack Platform (RHOSP) 上的安装,Proxy 对象的 status.noProxy 字段也填充了实例元数据端点 (169.254.169.254)。
步骤

  1. 编辑您的 install-config.yaml 文件并添加代理设置。例如:

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> (1)
  httpsProxy: https://<username>:<pswd>@<ip>:<port> (2)
  noProxy: example.com (3)
additionalTrustBundle: | (4)
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> (5)
    1 用于创建集群外部 HTTP 连接的代理 URL。URL 方案必须为 http
    2 用于创建集群外部 HTTPS 连接的代理 URL。
    3 要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域名前加 . 以仅匹配子域。例如,.y.com 匹配 x.y.com,但不匹配 y.com。使用 * 可绕过所有目标的代理。
    4 如果提供,安装程序将生成一个名为 user-ca-bundle 的配置映射,该映射位于 openshift-config 命名空间中,其中包含一个或多个代理 HTTPS 连接所需的附加 CA 证书。然后,集群网络操作员将创建一个 trusted-ca-bundle 配置映射,并将这些内容与 Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包合并,并且此配置映射在 Proxy 对象的 trustedCA 字段中引用。除非代理的身份证书由 RHCOS 信任捆绑包中的授权机构签名,否则需要 additionalTrustBundle 字段。
    5 可选:确定 Proxy 对象的配置以在 trustedCA 字段中引用 user-ca-bundle 配置映射的策略。允许的值为 ProxyonlyAlways。使用 Proxyonly 仅在配置了 http/https 代理时引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly

    安装程序不支持代理 readinessEndpoints 字段。

    如果安装程序超时,请重新启动,然后使用安装程序的 wait-for 命令完成部署。例如:

    $ ./openshift-install wait-for install-complete --log-level debug

  2. 保存文件并在安装 OpenShift Container Platform 时引用它。

安装程序创建一个名为 cluster 的集群范围代理,该代理使用提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置,仍然会创建 cluster Proxy 对象,但它将具有 nil spec

仅支持名为 clusterProxy 对象,并且无法创建其他代理。

手动创建 IAM

安装集群需要 Cloud Credential Operator (CCO) 在手动模式下运行。虽然安装程序将 CCO 配置为手动模式,但您必须为您的云提供商指定身份和访问管理密钥。

您可以使用 Cloud Credential Operator (CCO) 实用程序 (ccoctl) 来创建所需的 IBM Cloud® 资源。

先决条件

  • 您已配置 ccoctl 二进制文件。

  • 您拥有现有的 install-config.yaml 文件。

步骤

  1. 编辑 install-config.yaml 配置文件,使其包含设置为 ManualcredentialsMode 参数。

    install-config.yaml 配置文件示例
    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual (1)
compute:
- architecture: ppc64le
  hyperthreading: Enabled
    1 添加此行是为了将 credentialsMode 参数设置为 Manual

  2. 要生成清单,请从包含安装程序的目录运行以下命令:

    $ ./openshift-install create manifests --dir <installation_directory>

  3. 从包含安装程序的目录中,通过运行以下命令设置包含发行版镜像的 $RELEASE_IMAGE 变量:

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  4. 通过运行以下命令,从 OpenShift Container Platform 发行版镜像中提取CredentialsRequest自定义资源 (CR) 列表。

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \(1)
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \(2)
  --to=<path_to_directory_for_credentials_requests> (3)
    1 --included 参数仅包含您的特定集群配置所需的清单。
    2 指定install-config.yaml文件的路径。
    3 指定要存储CredentialsRequest对象的目录路径。如果指定的目录不存在,此命令将创建它。

    此命令为每个CredentialsRequest对象创建一个 YAML 文件。

    CredentialsRequest对象示例
      apiVersion: cloudcredential.openshift.io/v1
  kind: CredentialsRequest
  metadata:
    labels:
      controller-tools.k8s.io: "1.0"
    name: openshift-image-registry-ibmcos
    namespace: openshift-cloud-credential-operator
  spec:
    secretRef:
      name: installer-cloud-credentials
      namespace: openshift-image-registry
    providerSpec:
      apiVersion: cloudcredential.openshift.io/v1
      kind: IBMCloudProviderSpec
      policies:
      - attributes:
        - name: serviceName
          value: cloud-object-storage
        roles:
        - crn:v1:bluemix:public:iam::::role:Viewer
        - crn:v1:bluemix:public:iam::::role:Operator
        - crn:v1:bluemix:public:iam::::role:Editor
        - crn:v1:bluemix:public:iam::::serviceRole:Reader
        - crn:v1:bluemix:public:iam::::serviceRole:Writer
      - attributes:
        - name: resourceType
          value: resource-group
        roles:
        - crn:v1:bluemix:public:iam::::role:Viewer

  5. 为每个凭据请求创建服务 ID,分配已定义的策略,创建 API 密钥并生成密钥。

    $ ccoctl ibmcloud create-service-id \
  --credentials-requests-dir=<path_to_credential_requests_directory> \(1)
  --name=<cluster_name> \(2)
  --output-dir=<installation_directory> \(3)
  --resource-group-name=<resource_group_name> (4)
    1 指定包含组件CredentialsRequest对象文件的目录。
    2 指定 OpenShift Container Platform 集群的名称。
    3 可选:指定您希望ccoctl实用程序创建对象的目录。默认情况下,该实用程序在运行命令的目录中创建对象。
    4 可选:指定用于限定访问策略的资源组的名称。

    如果您的集群使用由TechPreviewNoUpgrade功能集启用的技术预览功能,则必须包含--enable-tech-preview参数。

    如果提供了不正确的资源组名称,则安装将在引导阶段失败。要查找正确的资源组名称,请运行以下命令

    $ grep resourceGroup <installation_directory>/manifests/cluster-infrastructure-02-config.yml
验证

  • 确保在集群的manifests目录中生成了相应的密钥。

部署集群

您可以在兼容的云平台上安装 OpenShift Container Platform。

您只能在初始安装期间运行安装程序的create cluster命令一次。
先决条件

  • 您已配置了一个帐户,该帐户与托管您的集群的云平台相关联。

  • 您拥有 OpenShift Container Platform 安装程序和集群的拉取密钥。

  • 您已验证主机上的云提供商帐户是否具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败,并显示一条错误消息,其中显示缺少的权限。

步骤

  • 更改到包含安装程序的目录,并初始化集群部署

    $ ./openshift-install create cluster --dir <installation_directory> \ (1)
    --log-level=info (2)
    1 对于<installation_directory>,请指定您自定义的./install-config.yaml文件的路径。
    2 要查看不同的安装详细信息,请指定warndebugerror代替info
验证

当集群部署成功完成时

  • 终端将显示访问集群的说明,包括指向 Web 控制台的链接和kubeadmin用户的凭据。

  • 凭据信息也会输出到<installation_directory>/.openshift_install.log

不要删除安装程序或安装程序创建的文件。两者都需要删除集群。
示例输出
...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

  • 安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书,届时会续期。如果在续期证书之前关闭集群,并且在 24 小时后重新启动集群,则集群会自动恢复过期的证书。例外情况是,您必须手动批准挂起的node-bootstrapper证书签名请求 (CSR) 以恢复 kubelet 证书。有关更多信息,请参阅有关“从过期的控制平面证书中恢复”的文档。

  • 建议您在生成 Ignition 配置文件后 12 小时内使用它们,因为 24 小时证书会在集群安装后 16 到 22 小时之间轮换。在 12 小时内使用 Ignition 配置文件,可以避免在安装期间证书更新运行时安装失败。

安装 OpenShift CLI

您可以安装 OpenShift CLI (oc) 以通过命令行界面与 OpenShift Container Platform 交互。您可以在 Linux、Windows 或 macOS 上安装oc

如果您安装了早期版本的oc,则无法使用它来完成 OpenShift Container Platform 4.17 中的所有命令。下载并安装新版本的oc

在 Linux 上安装 OpenShift CLI

您可以使用以下步骤在 Linux 上安装 OpenShift CLI (oc) 二进制文件。

步骤

  1. 导航到 Red Hat 客户门户网站上的OpenShift Container Platform 下载页面

  2. 从“产品变体”下拉列表中选择架构。

  3. 从“版本”下拉列表中选择相应的版本。

  4. 单击“OpenShift v4.17 Linux 客户端”条目旁边的“立即下载”,然后保存文件。

  5. 解压存档

    $ tar xvf <file>

  6. oc二进制文件放在您的PATH上的目录中。

    要检查您的PATH,请执行以下命令

    $ echo $PATH
验证

  • 安装 OpenShift CLI 后,可以使用oc命令。

    $ oc <command>

在 Windows 上安装 OpenShift CLI

您可以使用以下步骤在 Windows 上安装 OpenShift CLI (oc) 二进制文件。

步骤

  1. 导航到 Red Hat 客户门户网站上的OpenShift Container Platform 下载页面

  2. 从“版本”下拉列表中选择相应的版本。

  3. 单击“OpenShift v4.17 Windows 客户端”条目旁边的“立即下载”,然后保存文件。

  4. 使用 ZIP 程序解压存档。

  5. oc二进制文件移动到PATH上的目录。

    要检查您的PATH,请打开命令提示符并执行以下命令

    C:\> path
验证

  • 安装 OpenShift CLI 后,可以使用oc命令。

    C:\> oc <command>

在 macOS 上安装 OpenShift CLI

您可以使用以下步骤在 macOS 上安装 OpenShift CLI (oc) 二进制文件。

步骤

  1. 导航到 Red Hat 客户门户网站上的OpenShift Container Platform 下载页面

  2. 从“版本”下拉列表中选择相应的版本。

  3. 单击“OpenShift v4.17 macOS 客户端”条目旁边的“立即下载”,然后保存文件。

    对于 macOS arm64,请选择“OpenShift v4.17 macOS arm64 客户端”条目。

  4. 解压存档。

  5. oc二进制文件移动到PATH上的目录。

    要检查您的PATH,请打开终端并执行以下命令

    $ echo $PATH
验证

  • 使用oc命令验证您的安装

    $ oc <command>

使用 CLI 登录集群

您可以通过导出集群kubeconfig文件以默认系统用户身份登录到集群。kubeconfig文件包含有关集群的信息,CLI 使用这些信息将客户端连接到正确的集群和 API 服务器。该文件特定于一个集群,并在 OpenShift Container Platform 安装期间创建。

先决条件

  • 您已部署了 OpenShift Container Platform 集群。

  • 您已安装oc CLI。

步骤

  1. 导出kubeadmin凭据

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig (1)
    1 对于<installation_directory>,请指定您存储安装文件的目录的路径。

  2. 验证您可以使用导出的配置成功运行oc命令

    $ oc whoami
    示例输出
    system:admin
其他资源

禁用默认 OperatorHub 目录源

在 OpenShift Container Platform 安装期间,默认情况下会为 OperatorHub 配置从 Red Hat 和社区项目提供的源内容的 Operator 目录。在受限网络环境中,您必须以集群管理员身份禁用默认目录。

步骤

  • 通过在OperatorHub对象中添加disableAllDefaultSources: true来禁用默认目录的源。

    $ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'

或者,您可以使用 Web 控制台来管理目录源。在**管理** → **集群设置** → **配置** → **OperatorHub**页面中,点击**源**选项卡,您可以在此处创建、更新、删除、禁用和启用单个源。

OpenShift Container Platform 的遥测访问

在 OpenShift Container Platform 4.17 中,默认运行的遥测服务用于提供有关集群健康状况和更新成功情况的指标,需要互联网访问。如果您的集群连接到互联网,则遥测服务会自动运行,并且您的集群将注册到OpenShift 集群管理器

确认您的OpenShift 集群管理器清单正确无误后(无论是由遥测自动维护还是手动使用 OpenShift 集群管理器维护),使用订阅监控来跟踪您在帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

后续步骤