|
要为您的集群启用 FIPS 模式,您必须从配置为在 FIPS 模式下运行的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 上配置 FIPS 模式的更多信息,请参阅 将 RHEL 切换到 FIPS 模式。 在 FIPS 模式下引导 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS) 时,OpenShift Container Platform 核心组件仅在 x86_64、ppc64le 和 s390x 架构上使用已提交给 NIST 以进行 FIPS 140-2/140-3 验证的 RHEL 加密库。 |
- 文档
- OpenShift Container Platform
- 机器管理
- 添加更多 RHEL 计算机器 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装专用集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在 GCP 的受限网络中使用用户提供的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud (Classic) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 使用自定义设置在 OpenStack 上安装集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在受限网络的 OpenStack 上安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机的集群
- 在 Azure 上创建具有多架构计算机的集群
- 在 AWS 上创建具有多架构计算机的集群
- 在 GCP 上创建具有多架构计算机的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 LPAR 中在 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机的集群
- 在 IBM Power 上创建具有多架构计算机的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将已连接集群转换为已断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- Red Hat OpenShift 的 cert-manager 操作符
- Red Hat OpenShift 的 cert-manager 操作符概述
- Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作符
- 配置出口代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 对 Red Hat OpenShift 的 cert-manager 操作符进行身份验证
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作符
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作符的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许基于 JavaScript 的访问来自其他主机的 API 服务器
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 配置 Ingress 控制器以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非正常节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动伸缩器运算符自动伸缩 Pod
- 控制 Pod 到节点的部署(调度)
- 使用作业和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘上的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 适用于 vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 基于镜像的单节点 OpenShift 集群升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常见对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动缩放 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- 构建 [config.openshift.io/v1]
- 集群操作符 [config.openshift.io/v1]
- 集群版本 [config.openshift.io/v1]
- 控制台 [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- 特性开关 [config.openshift.io/v1]
- Helm 图表仓库 [helm.openshift.io/v1beta1]
- 镜像 [config.openshift.io/v1]
- 镜像摘要镜像集 [config.openshift.io/v1]
- 镜像内容策略 [config.openshift.io/v1]
- 镜像标签镜像集 [config.openshift.io/v1]
- 基础设施 [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- 网络 [config.openshift.io/v1]
- 节点 [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- 项目 [config.openshift.io/v1]
- 项目 Helm 图表仓库 [helm.openshift.io/v1beta1]
- 代理 [config.openshift.io/v1]
- 调度器 [config.openshift.io/v1]
- 控制台 API
- 扩展 API
- 镜像 API
- 机器 API
- 关于机器 API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet 配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager 配置 [monitoring.coreos.com/v1beta1]
- 告警重新标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod 监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus 规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod 指标 [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有 IP 配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站 IP [k8s.ovn.org/v1]
- 出站 QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- Ingress 类 [networking.k8s.io/v1]
- IP 池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围 IP 预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 认证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 预配 API
- 关于预配 API
- BMC 事件订阅 [metal3.io/v1alpha1]
- 裸机主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3 补救 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3 补救模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配镜像 [metal3.io/v1alpha1]
- 预配 [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 关于调度和配额 API
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 API
- 关于安全 API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和追踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 适用于 2.1 的 3scale WebAssembly
- 适用于 2.0 的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
向 OpenShift Container Platform 集群添加更多 RHEL 计算机器
如果您的 OpenShift Container Platform 集群已包含 Red Hat Enterprise Linux (RHEL) 计算机器(也称为工作机器),则可以向其中添加更多 RHEL 计算机器。
关于向集群添加 RHEL 计算节点
在 OpenShift Container Platform 4.17 中,如果您在 `x86_64` 架构上使用用户预配或安装程序预配的基础架构安装,则可以选择在集群中使用 Red Hat Enterprise Linux (RHEL) 机器作为计算机器。您必须在集群中为控制平面机器使用 Red Hat Enterprise Linux CoreOS (RHCOS) 机器。
如果您选择在集群中使用 RHEL 计算机器,则您负责所有操作系统生命周期管理和维护。您必须执行系统更新、应用补丁并完成所有其他必需的任务。
对于安装程序预配的基础架构集群,您必须手动添加 RHEL 计算机器,因为安装程序预配的基础架构集群中的自动缩放默认情况下会添加 Red Hat Enterprise Linux CoreOS (RHCOS) 计算机器。
|
RHEL 计算节点的系统要求
OpenShift Container Platform 环境中的 Red Hat Enterprise Linux (RHEL) 计算机器主机必须满足以下最低硬件规格和系统级要求
-
您必须在您的 Red Hat 帐户上拥有活动的 OpenShift Container Platform 订阅。如果没有,请联系您的销售代表了解更多信息。
-
生产环境必须提供计算机器以支持您预期的工作负载。作为集群管理员,您必须计算预期的工作负载,并增加约 10% 的开销。对于生产环境,请分配足够的资源,以便节点主机故障不会影响您的最大容量。
-
每个系统都必须满足以下硬件要求
-
物理或虚拟系统,或在公共或私有 IaaS 上运行的实例。
-
基本操作系统:使用 RHEL 8.8 或更高版本,并使用最小安装选项。
不支持将 RHEL 7 计算机器添加到 OpenShift Container Platform 集群。
如果您有在过去的 OpenShift Container Platform 版本中以前受支持的 RHEL 7 计算机器,则无法将它们升级到 RHEL 8。您必须部署新的 RHEL 8 主机,并且应删除旧的 RHEL 7 主机。有关更多信息,请参阅“删除节点”部分。
有关 OpenShift Container Platform 中已弃用或删除的最新主要功能列表,请参阅 OpenShift Container Platform 发行说明中的“已弃用和删除的功能”部分。
-
如果您在 FIPS 模式下部署了 OpenShift Container Platform,则必须在引导 RHEL 机器之前在其上启用 FIPS。请参阅 RHEL 8 文档中的 启用 FIPS 模式的 RHEL 8 系统安装。
-
NetworkManager 1.0 或更高版本。
-
1 个 vCPU。
-
至少 8 GB RAM。
-
包含
/var/的文件系统至少需要 15 GB 的硬盘空间。 -
包含
/usr/local/bin/的文件系统至少需要 1 GB 的硬盘空间。 -
包含其临时目录的文件系统至少需要 1 GB 的硬盘空间。临时系统目录根据 Python 标准库中 tempfile 模块定义的规则确定。
-
-
每个系统必须满足系统提供商的任何其他要求。例如,如果您在 VMware vSphere 上安装了集群,则必须根据其存储指南配置磁盘,并且必须设置
disk.enableUUID=true属性。 -
每个系统必须能够使用可解析 DNS 的主机名访问集群的 API 端点。任何现有的网络安全访问控制都必须允许系统访问集群的 API 服务端点。
-
对于在 Microsoft Azure 上安装的集群
-
确保系统包含
Standard_D8s_v3虚拟机的硬件要求。 -
启用加速网络。加速网络使用单根 I/O 虚拟化 (SR-IOV) 为 Microsoft Azure VM 提供更直接的交换机路径。
-
为您的云准备镜像
由于 AWS 无法直接使用各种镜像格式,因此需要 Amazon 机器镜像 (AMI)。您可以使用 Red Hat 提供的 AMI,也可以手动导入您自己的镜像。在配置 EC2 实例之前,必须存在 AMI。您必须列出 AMI ID,以便选择计算机器所需的正确 RHEL 版本。
列出 AWS 上最新的可用 RHEL 镜像
AMI ID 对应于 AWS 的原生启动镜像。由于必须在配置 EC2 实例之前存在 AMI,因此您需要在配置之前知道 AMI ID。AWS 命令行界面 (CLI) 用于列出可用的 Red Hat Enterprise Linux (RHEL) 镜像 ID。
先决条件
-
您已安装 AWS CLI。
步骤
-
使用此命令列出 RHEL 8.4 Amazon 机器镜像 (AMI)
$ aws ec2 describe-images --owners 309956199498 \ (1) --query 'sort_by(Images, &CreationDate)[*].[CreationDate,Name,ImageId]' \ (2) --filters "Name=name,Values=RHEL-8.4*" \ (3) --region us-east-1 \ (4) --output table (5)1 --owners命令选项根据帐户 ID309956199498显示 Red Hat 镜像。此帐户 ID 是显示 Red Hat 提供的镜像的 AMI ID 所必需的。
2 --query命令选项设置镜像的排序方式,参数为'sort_by(Images, &CreationDate)[*].[CreationDate,Name,ImageId]'。在这种情况下,镜像按创建日期排序,表格结构显示创建日期、镜像名称和 AMI ID。3 --filter命令选项设置显示哪个版本的 RHEL。在此示例中,由于过滤器由"Name=name,Values=RHEL-8.4*"设置,则显示 RHEL 8.4 AMI。4 --region命令选项设置存储 AMI 的区域。5 --output命令选项设置结果的显示方式。
|
为 AWS 创建 RHEL 计算机器时,请确保 AMI 为 RHEL 8.4 或 8.5。 |
示例输出
------------------------------------------------------------------------------------------------------------
| DescribeImages |
+---------------------------+-----------------------------------------------------+------------------------+
| 2021-03-18T14:23:11.000Z | RHEL-8.4.0_HVM_BETA-20210309-x86_64-1-Hourly2-GP2 | ami-07eeb4db5f7e5a8fb |
| 2021-03-18T14:38:28.000Z | RHEL-8.4.0_HVM_BETA-20210309-arm64-1-Hourly2-GP2 | ami-069d22ec49577d4bf |
| 2021-05-18T19:06:34.000Z | RHEL-8.4.0_HVM-20210504-arm64-2-Hourly2-GP2 | ami-01fc429821bf1f4b4 |
| 2021-05-18T20:09:47.000Z | RHEL-8.4.0_HVM-20210504-x86_64-2-Hourly2-GP2 | ami-0b0af3577fe5e3532 |
+---------------------------+-----------------------------------------------------+------------------------+其他资源
-
您也可以手动将 RHEL 镜像导入 AWS。
准备 RHEL 计算节点
在将 Red Hat Enterprise Linux (RHEL) 机器添加到 OpenShift Container Platform 集群之前,必须使用 Red Hat Subscription Manager (RHSM) 注册每个主机,附加活动的 OpenShift Container Platform 订阅,并启用所需的存储库。
-
在每个主机上,使用 RHSM 注册
# subscription-manager register --username=<user_name> --password=<password> -
从 RHSM 获取最新的订阅数据
# subscription-manager refresh -
列出可用的订阅
# subscription-manager list --available --matches '*OpenShift*' -
在先前命令的输出中,查找 OpenShift Container Platform 订阅的池 ID 并附加它
# subscription-manager attach --pool=<pool_id> -
禁用所有 yum 存储库
-
禁用所有启用的 RHSM 存储库
# subscription-manager repos --disable="*" -
列出剩余的 yum 存储库,并记下它们在
repo id下的名称(如有)。# yum repolist -
使用
yum-config-manager禁用剩余的 yum 存储库# yum-config-manager --disable <repo_id>或者,禁用所有存储库
# yum-config-manager --disable \*请注意,如果您有大量可用的存储库,这可能需要几分钟时间。
-
-
仅启用 OpenShift Container Platform 4.17 所需的存储库
# subscription-manager repos \ --enable="rhel-8-for-x86_64-baseos-rpms" \ --enable="rhel-8-for-x86_64-appstream-rpms" \ --enable="rhocp-4.17-for-rhel-8-x86_64-rpms" \ --enable="fast-datapath-for-rhel-8-x86_64-rpms" -
停止并禁用主机上的 firewalld
# systemctl disable --now firewalld.service您以后不得启用 firewalld。如果您这样做,则无法访问工作程序上的 OpenShift Container Platform 日志。
将角色权限附加到 AWS 中的 RHEL 实例
使用浏览器中的 Amazon IAM 控制台,您可以选择所需的权限并将它们分配给工作节点。
其他资源
-
请参阅IAM 角色所需的 AWS 权限。
将 RHEL 工作节点标记为已拥有或共享
集群使用kubernetes.io/cluster/<clusterid>,Value=(owned|shared)标签的值来确定与 AWS 集群相关的资源的生命周期。
-
如果应在销毁集群时销毁资源,则应添加
owned标签值。 -
如果资源在集群销毁后继续存在,则应添加
shared标签值。此标记表示集群使用此资源,但资源有单独的所有者。
步骤
-
对于 RHEL 计算机器,必须使用
kubernetes.io/cluster/<clusterid>=owned或kubernetes.io/cluster/<cluster-id>=shared标记 RHEL 工作实例。
|
不要使用 |
向集群添加更多 RHEL 计算机器
您可以向 OpenShift Container Platform 4.17 集群添加更多使用 Red Hat Enterprise Linux (RHEL) 作为操作系统的计算机器。
先决条件
-
您的 OpenShift Container Platform 集群已包含 RHEL 计算节点。
-
用于将第一个 RHEL 计算机器添加到集群的
hosts文件位于您用于运行 playbook 的机器上。 -
您运行 playbook 的机器必须能够访问所有 RHEL 主机。您可以使用公司允许的任何方法,包括带有 SSH 代理的堡垒机或 VPN。
-
集群的
kubeconfig文件和用于安装集群的安装程序位于您用于运行 playbook 的机器上。 -
您必须准备 RHEL 主机以进行安装。
-
在您运行 playbook 的机器上配置一个用户,该用户具有对所有 RHEL 主机的 SSH 访问权限。
-
如果您使用基于 SSH 密钥的身份验证,则必须使用 SSH 代理管理密钥。
-
在运行 playbook 的机器上安装 OpenShift CLI(
oc)。
步骤
-
打开 Ansible inventory 文件,路径为
/<path>/inventory/hosts,该文件定义了您的计算机器主机和所需变量。 -
将文件中的
[new_workers]部分重命名为[workers]。 -
向文件中添加一个
[new_workers]部分,并定义每个新主机的完全限定域名。该文件类似于以下示例[all:vars] ansible_user=root #ansible_become=True openshift_kubeconfig_path="~/.kube/config" [workers] mycluster-rhel8-0.example.com mycluster-rhel8-1.example.com [new_workers] mycluster-rhel8-2.example.com mycluster-rhel8-3.example.com
在此示例中,
mycluster-rhel8-0.example.com和mycluster-rhel8-1.example.com机器位于集群中,您添加了mycluster-rhel8-2.example.com和mycluster-rhel8-3.example.com机器。 -
导航到 Ansible playbook 目录
$ cd /usr/share/ansible/openshift-ansible -
运行扩展 playbook
$ ansible-playbook -i /<path>/inventory/hosts playbooks/scaleup.yml (1)1 对于 <path>,请指定您创建的 Ansible inventory 文件的路径。
批准您机器的证书签名请求
将机器添加到集群时,会为每个添加的机器生成两个待处理的证书签名请求 (CSR)。您必须确认这些 CSR 已获批准,或者如有必要,自行批准它们。必须先批准客户端请求,然后才能批准服务器请求。
先决条件
-
您已将机器添加到集群。
步骤
-
确认集群是否识别这些机器
$ oc get nodes示例输出NAME STATUS ROLES AGE VERSION master-0 Ready master 63m v1.30.3 master-1 Ready master 63m v1.30.3 master-2 Ready master 64m v1.30.3输出列出了您创建的所有机器。
在批准某些 CSR 之前,上述输出可能不包含计算节点(也称为工作节点)。
-
查看待处理的 CSR,并确保您看到为添加到集群的每台机器的客户端请求显示的状态为“待处理”或“已批准”。
$ oc get csr示例输出NAME AGE REQUESTOR CONDITION csr-8b2br 15m system:serviceaccount:openshift-machine-config-operator:node-bootstrapper Pending csr-8vnps 15m system:serviceaccount:openshift-machine-config-operator:node-bootstrapper Pending ...在此示例中,两台机器正在加入集群。您可能会在列表中看到更多已批准的 CSR。
-
如果 CSR 未获批准,则在您添加的所有机器的待处理 CSR 状态均为“待处理”后,请批准集群机器的 CSR
由于 CSR 会自动轮换,因此请在将机器添加到集群后一小时内批准您的 CSR。如果您在一小时内未批准它们,证书将轮换,每个节点将存在两个以上的证书。您必须批准所有这些证书。批准客户端 CSR 后,Kubelet 会为服务证书创建辅助 CSR,这需要手动批准。然后,如果 Kubelet 请求具有相同参数的新证书,则 `machine-approver` 会自动批准后续的服务证书续订请求。
对于在未启用机器 API 的平台(例如裸机和其他用户配置的基础设施)上运行的集群,您必须实现一种自动批准 kubelet 服务证书请求 (CSR) 的方法。如果未批准请求,则 `oc exec`、`oc rsh` 和 `oc logs` 命令将无法成功,因为 API 服务器连接到 kubelet 时需要服务证书。任何联系 Kubelet 端点的操作都需要此证书批准到位。该方法必须监视新的 CSR,确认 CSR 是由 `system:node` 或 `system:admin` 组中的 `node-bootstrapper` 服务帐户提交的,并确认节点的身份。
-
要单独批准它们,请对每个有效的 CSR 运行以下命令
$ oc adm certificate approve <csr_name> (1)1 <csr_name>是当前 CSR 列表中 CSR 的名称。 -
要批准所有待处理的 CSR,请运行以下命令
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve在批准某些 CSR 之前,某些操作符可能不可用。
-
-
现在您的客户端请求已获批准,您必须查看添加到集群的每台机器的服务器请求
$ oc get csr示例输出NAME AGE REQUESTOR CONDITION csr-bfd72 5m26s system:node:ip-10-0-50-126.us-east-2.compute.internal Pending csr-c57lv 5m26s system:node:ip-10-0-95-157.us-east-2.compute.internal Pending ... -
如果剩余的 CSR 未获批准且状态为“待处理”,请批准集群机器的 CSR
-
要单独批准它们,请对每个有效的 CSR 运行以下命令
$ oc adm certificate approve <csr_name> (1)1 <csr_name>是当前 CSR 列表中 CSR 的名称。 -
要批准所有待处理的 CSR,请运行以下命令
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
-
-
批准所有客户端和服务器 CSR 后,机器将具有“就绪”状态。通过运行以下命令来验证这一点
$ oc get nodes示例输出NAME STATUS ROLES AGE VERSION master-0 Ready master 73m v1.30.3 master-1 Ready master 73m v1.30.3 master-2 Ready master 74m v1.30.3 worker-0 Ready worker 11m v1.30.3 worker-1 Ready worker 11m v1.30.3批准服务器 CSR 后,机器可能需要几分钟才能过渡到“就绪”状态。
其他信息
Ansible 主机文件所需的参数
在将 Red Hat Enterprise Linux (RHEL) 计算机器添加到集群之前,您必须在 Ansible 主机文件中定义以下参数。
| 参数 | 描述 | 值 |
|---|---|---|
|
允许基于 SSH 的身份验证且无需密码的 SSH 用户。如果您使用基于 SSH 密钥的身份验证,则必须使用 SSH 代理管理密钥。 |
系统上的用户名。默认值为 |
|
如果 |
|
|
指定包含集群 |
配置文件的路径和名称。 |