Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

在 Oracle Edge Cloud 上安装

OpenShift Container Platform 4.20

在 Oracle Cloud Edge 上安装 OpenShift Container Platform

Red Hat OpenShift Documentation Team

摘要

本文档论述了如何在 Oracle Edge Cloud Infrastructure 上安装 OpenShift Container Platform。

借助 Oracle® Edge Cloud,您可以在数据中心的高性能云基础架构上使用 Oracle® Cloud Infrastructure (OCI) 服务运行应用程序和中间件。

以下流程描述了 Oracle® Compute Cloud@Customer 上的集群安装作为示例。

1.1. 支持的 Oracle Edge Cloud 基础架构
复制链接

下表描述了每个 Oracle® Edge Cloud 基础架构的支持状态:

Expand
表 1.1. Oracle Edge Cloud Infrastructure 支持状态
基础架构类型支持状态

Private Cloud Appliance

正式发行(GA)

Oracle Compute Cloud@Customer

正式发行(GA)

Roving Edge

技术预览

1.2. 概述
复制链接

您可以使用 Assisted Installer 在 Oracle Edge Cloud 上安装 OpenShift Container Platform。

有关替代安装方法,请参阅"使用基于代理的安装程序在 Oracle® Edge Cloud 上安装集群"。

预安装注意事项

  • 确保您的安装满足为 Oracle 指定的先决条件。详情请查看 Oracle 文档中的 "访问权限和注意事项"部分。
  • 确保您的基础架构经过认证并使用兼容的云实例类型。详情请查看 Oracle Cloud Infrastructure
  • 确保您在虚拟机上执行安装。

安装过程

安装过程在 OpenShift Container Platform 集群的指定划分中构建堡垒主机。堡垒主机用于运行两个 Terraform 脚本:

  • 第一个脚本在 Oracle® Edge Cloud 系统的 OCI Home 区域中构建 IAM 资源(两个动态组和一个策略)。
  • 第二个脚本在 Oracle® Edge Cloud 系统上构建基础架构资源,以支持 OpenShift Container Platform 集群,包括 OpenShift Container Platform VCN、公共和私有子网、负载均衡器、互联网 GW、NAT GW 和 DNS 服务器。该脚本包括激活 control plane 节点和组成集群的计算节点所需的所有资源。

堡垒主机安装在指定的 OpenShift Container Platform 中,并配置为通过 Oracle® Edge Cloud 父租期中的指定 Oracle® Edge Cloud DRG Subnet 或 Internet GW Subnet 进行通信。

随后安装过程会置备三个 control plane (master)节点和三个计算(worker)节点,以及组成集群的外部和内部负载平衡器。这是 Oracle Edge Cloud 的标准实现。

主要步骤

该流程的主要步骤如下:

  1. 准备 Oracle® Edge Cloud 堡垒服务器。
  2. 通过 Home 区域运行 Terraform 脚本。
  3. 为 Oracle Edge Cloud 准备 OpenShift Container Platform 镜像。
  4. 通过 Oracle® Edge Cloud 区域运行 Terraform 脚本。
  5. 使用 Assisted Installer Web 控制台安装集群。

1.3. 准备 OCI 堡垒服务器
复制链接

通过实施堡垒主机,您可以安全、高效地管理对 Oracle Cloud Infrastructure (OCI) 资源的访问,确保私有实例保持保护并只能通过安全控制的入口点访问。

先决条件

  • 请参阅 Oracle 文档中的 "Bastion server - 先决条件"部分。

流程

  1. 安装堡垒服务器。详情请查看 Oracle 文档中的 "安装"部分。
  2. 安装用于运行 Terraform 脚本的 Terraform 应用程序。详情请查看 Oracle 文档中的 "Terraform Installation"部分。
  3. 安装和配置 OCI 命令行界面(CLI)。详情请参阅 Oracle 文档中的 "安装和配置 OCI CLI"部分。

其他资源

1.4. 通过 Home 区域运行 Terraform 脚本
复制链接

将 Terraform 脚本 createInfraResources.tfterraform.tfvars 复制到堡垒服务器。然后运行 createInfraResources.tf 脚本,在 Oracle Cloud Infrastructure (OCI) Home Region 上创建 Dynamic Group Identity 资源。这些资源包括动态组、策略和标签。

先决条件

  • 您有租期权限来创建动态组和策略。如果没有,您可以在此过程中手动置备它们。

流程

  1. 通过 SSH 连接到堡垒服务器。
  2. 创建 OpenShift\createResourceOnHomeRegion 文件夹。
  3. createInfraResources.tfterraform.tfvars 文件从 C3_PCA GitHub 存储库复制到 createResourceOnHomeRegion 文件夹中。
  4. 确保您有权访问源环境,并且已导出了 C3 证书。
  5. 运行 createInfraResources.tf Terraform 脚本。

有关完整流程,请参阅 Oracle 文档中的 "Terraform Script Execution Part-1 (Run Script via Home Region) "部分。

1.5. 准备 OCI 镜像
复制链接

在红帽客户门户上的 Assisted Installer 中生成 OpenShift Container Platform ISO 镜像。然后,将镜像转换为 Oracle Edge Cloud 兼容镜像,并将其上传到 Oracle Edge Cloud 环境的 Custom Images 页。

您可以在笔记本电脑上生成、转换和上传镜像,而不是在堡垒服务器或 Oracle 解决方案中心等环境中生成和上传。

1.5.1. 在 Assisted Installer 中生成镜像
复制链接

创建集群并下载发现 ISO 镜像。

流程

  1. 使用您的凭证登录到 Assisted Installer Web 控制台
  2. Red Hat OpenShift 标题中,选择 OpenShift
  3. Red Hat OpenShift Container Platform 标题中,选择 Create Cluster
  4. Cluster Type 页中,滚动到 Cloud 选项卡的末尾,然后选择 Oracle Cloud Infrastructure (虚拟机)。
  5. Create a OpenShift Cluster 页中,选择 Interactive 标题。

  6. Cluster Details 页面上,完成以下字段:

    Expand
    字段所需的操作

    集群名称

    指定 OpenShift Container Platform 集群的名称。这个名称与您通过 Terraform 脚本创建资源的名称相同。名称必须在 1 到 54 个字符之间。它可以使用小写字母数字字符或连字符(-),但必须以小写或数字开头和结尾。

    基域

    指定集群的基域。这是用于在 Oracle® Edge 上运行的 Terraform 脚本中的 zone_dns 变量的值。记录下这个值。

    OpenShift version

    选择 OpenShift 4.16.20。如果没有立即可见,请滚动到下拉菜单的末尾,选择 Show all available version,然后在搜索框中输入版本。

    与外部合作伙伴平台集成

    选择 Oracle Cloud Infrastructure

    指定这个值后,会默认选择 Include custom manifests 复选框,并将 Custom manifests 页添加到向导中。

  7. 保留其余字段的默认设置,然后点 Next
  8. Operators 页面上,单击 Next

  9. Host Discovery 页中,点 Add hosts 并完成以下步骤:

    注意

    最小 ISO 镜像是 Oracle Edge Cloud 的强制 置备类型,且无法更改。

    1. SSH 公钥 字段中,通过复制以下命令的输出来添加 SSH 公钥: 

      $ cat ~/.ssh/id_rsa.put

      SSH 公钥将安装到所有 OpenShift Container Platform control plane 和计算节点上。

    2. Show proxy settings 复选框。

    3. 从您之前配置的堡垒服务器的 /etc/environment 文件中添加代理变量: 

      http_proxy=http://www-proxy.<your_domain>.com:80
https_proxy=http://www-proxy.<your_domain>.com:80
no_proxy=localhost,127.0.0.1,1,2,3,4,5,6,7,8,9,0,.<your_domain>.com
#(ie.oracle.com,.oraclecorp.com)
    4. Generate Discovery ISO 生成发现 ISO 镜像文件。
  10. Download Discovery ISO 将该文件保存到本地系统。下载 ISO 文件后,您可以根据需要重命名该文件,如 discovery_image_<your_cluster_name>.iso

1.5.2. 转换并上传镜像到 Oracle Edge Cloud
复制链接

将 ISO 镜像转换为 Oracle Cloud Infrastructure (OCI) 镜像,并将其上传到您的 OCI Home Region Object Store 中的 Oracle Edge Cloud 系统。

流程

  1. 将镜像从 ISO 转换为 OCI。
  2. 将 OCI 镜像上传到 OCI 存储桶,并生成 Pre-Authenticated Request (PAR) URL。
  3. 将 OCI 镜像导入到 Oracle® Edge Cloud 门户。
  4. 复制镜像的 Oracle Cloud Identifier (OCID),以便在下一步中使用。

有关完整流程,请参阅 Oracle 文档中的 "OpenShift 镜像准备"部分中的第 6 - 8 步。

1.6. 通过 C3 区域运行 Terraform 脚本
复制链接

运行 terraform.tfvars Terraform 脚本,以在 Oracle® Edge Cloud 上创建所有基础架构资源。这些资源包括 OpenShift Container Platform VCN、公共和私有子网、负载均衡器、互联网 GW、NAT GW 和 DNS 服务器。

此流程部署一个由三个 control plane (master) 和三个计算 (worker) 节点组成的集群。部署后,您必须重命名并重新引导节点。此过程临时复制节点,需要在下一步中手动清理。

流程

  1. 通过 SSH 连接到堡垒服务器。
  2. 设置 C3 证书位置并导出证书。
  3. 运行 terraform.tfvars 脚本,以创建三个 control plane 节点和三个计算节点。
  4. 更新 control plane 和计算节点的标签。
  5. 在 Oracle® Edge Cloud 门户上逐一停止并重启实例。

有关完整流程,请参阅 Oracle 文档中的 "Terraform Script Execution - 第 2 部分。

1.7. 使用 Assisted Installer Web 控制台完成安装
复制链接

配置基础架构后,实例现在正在运行并准备好与红帽注册。

1.7.1. 分配节点角色
复制链接

如果 Terraform 脚本成功完成,则会为集群列出十二个主机。三个 control plane 主机和三个计算主机的状态为 "Disconnected"。三个 control plane 主机和三个计算主机的状态为 "Insufficient"。

删除断开连接的主机,并将角色分配给剩余的主机。

流程

  1. Assisted Installer web 控制台中选择集群并进入到 Host discovery 页。
  2. 通过点每个主机的选项按钮并选择 Remove host 来删除六个带有"Disconnected"状态的主机。剩余的主机的状态从 "Insufficient" 改为 "Ready"。这个过程最多可能需要三分钟时间。
  3. Role 列中,将 Control plane 角色分配给引导大小为 1.10 TB 的三个节点。将 Worker 角色分配给三个节点,其引导大小为 100 GB。
  4. 点主机的选项按钮并选择 Change hostname 来重命名任何带有名称小于 63 个字符的主机。否则,集群安装将失败。
  5. Next
  6. Storage 页中,点 Next

1.7.2. 配置网络
复制链接

Networking 页中,为显示 Some validations failed 状态的任何主机添加 NTP 源。

流程

  1. Host inventory 表中,点显示此状态的每个主机的 Some validations failed 链接。
  2. Add NTP sources,然后为其中一个节点添加 IP 地址 169.254.169.254
  3. 等待 2 - 3 分钟,直到所有 Some validations failed 指标都消失。
  4. 选择 Next

1.7.3. 添加自定义清单
复制链接

创建、修改和上传 Oracle 提供的四个强制自定义清单。

  • C3/custom_manifests_C3/manifests 文件夹中,需要以下清单:

    • oci-ccm.yml
    • oci-csi.yml

  • C3/custom_manifests_C3/openshift 文件夹中,需要以下清单:

    • machineconfig-ccm.yml
    • machineconfig-csi.yml

先决条件

  • 准备自定义清单。详情请参阅 Oracle 文档中的 "使用 RH Assisted Installer UI 安装集群"一节中的第 8 步。

流程

  1. 进入到 Custom manifests 页面。

  2. 上传并保存 oci-ccm.ymloci-csi.yml 清单文件:

    1. Folder 字段中,选择 manifests
    2. File name 字段中,输入 oci-ccm.yml
    3. Content 部分中,单击 Browse
    4. C3/custom_ manifest_C3/manifests 文件夹中选择 oci-ccm.yml 文件。
    5. Add another manifest,为 oci-csi.yml 文件重复前面的子步骤。

  3. 上传并保存 machineconfig-ccm.ymlmachineconfig-csi.yml 清单文件:

    1. 单击 Add another inventory
    2. Folder 字段中,选择 openshift
    3. File name 字段中,输入 machineconfig-ccm.yml
    4. Content 部分中,单击 Browse
    5. C3/custom_ manifest_C3/openshift 文件夹中选择 machineconfig-ccm.yml 文件。
    6. Add another manifest,为 machineconfig-csi.yml 文件重复前面的子步骤。
  4. Next 以保存自定义清单。
  5. Review and create 页中,点 Install cluster 创建 OpenShift Container Platform 集群。这个过程大约需要 30 分钟。

有关从 Oracle Edge Cloud 访问 OpenShift Container Platform 控制台的说明,请参阅 Oracle 文档中的 "安装集群"一节中的第 15 - 17 步。

您可以使用基于代理的安装程序在 Oracle® Edge Cloud 上安装集群,以便您可以在内部基础架构上运行集群工作负载,同时仍然使用 Oracle® Cloud Infrastructure (OCI) 服务。

以下流程描述了 Oracle® Compute Cloud@Customer 上的集群安装作为示例。

2.1. 支持的 Oracle Edge Cloud 基础架构
复制链接

下表描述了每个 Oracle® Edge Cloud 基础架构的支持状态:

Expand
表 2.1. Oracle Edge Cloud Infrastructure 支持状态
基础架构类型支持状态

Private Cloud Appliance

正式发行(GA)

Oracle Compute Cloud@Customer

正式发行(GA)

Roving Edge

技术预览

2.2. 安装过程工作流
复制链接

以下工作流描述了使用基于代理的安装程序在 Oracle Edge Cloud 上安装 OpenShift Container Platform 集群的过程的高级概述:

  1. 创建 Oracle Cloud Infrastructure (OCI) 资源和服务 (Oracle)。
  2. 为基于代理的安装程序准备配置文件(Red Hat)。
  3. 生成代理 ISO 镜像(红帽)。
  4. 将 ISO 镜像转换为 OCI 镜像,将它上传到 OCI Home Region Bucket,然后将上传的镜像导入到 Oracle Edge Cloud 系统 (Oracle)。
  5. 断开连接的环境:准备可供 Oracle Edge Cloud 实例访问的 Web 服务器 (Red Hat)。
  6. 断开连接的环境:将 rootfs 镜像上传到 web 服务器(红帽)。
  7. 为 OpenShift Container Platform 配置防火墙(红帽)。
  8. 创建 control plane 节点并配置负载均衡器(Oracle)。
  9. 创建计算节点并配置负载均衡器(Oracle)。
  10. 验证集群是否在 Oracle Edge Cloud (Oracle) 上运行。

2.3. 创建 OCI 基础架构资源和服务
复制链接

您必须在虚拟机(VM)上创建 Oracle Edge Cloud 环境。通过创建此环境,您可以安装 OpenShift Container Platform,并在支持广泛的云选项和强大的安全策略的基础架构上部署集群。预先了解 Oracle Cloud Infrastructure (OCI) 组件的相关知识可帮助您了解 OCI 资源的概念以及如何配置它们来满足您的机构需求。

重要

为确保与 OpenShift Container Platform 兼容,您必须将 A 设置为每个 DNS 记录和名称记录的记录类型,如下所示:

  • api.<cluster_name>.<base_domain>,它以 API 负载均衡器的 apiVIP 参数为目标
  • api-int.<cluster_name>.<base_domain>,它以 API 负载均衡器的 apiVIP 参数为目标
  • *.apps.<cluster_name>.<base_domain>,它以 Ingress 负载均衡器的 ingressVIP 参数为目标

api.*api-int.* DNS 记录与 control plane 机器相关,因此您必须确保安装的 OpenShift Container Platform 集群中的所有节点都可以访问这些 DNS 记录。

先决条件

流程

您需要创建 install-config.yamlagent-config.yaml 配置文件,以便您可以使用基于 Agent 的安装程序来生成可引导 ISO 镜像。基于代理的安装包含一个可引导 ISO,它带有辅助发现代理和辅助服务。这两个组件都需要执行集群安装,但后者的组件仅在其中一个主机上运行。

注意

您还可以使用基于代理的安装程序来生成或接受 Zero Touch Provisioning (ZTP)自定义资源。

先决条件

  • 您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
  • 您可以阅读有关选择集群安装方法的文档,并为用户准备相关的环境。
  • 您已阅读了"准备基于代理的安装程序"文档。
  • 您已从 Red Hat Hybrid Cloud Console 下载了基于代理的安装程序和命令行界面 (CLI)。

  • 如果要在断开连接的环境中安装,您已准备了环境中的镜像 registry,并将发行镜像 mirror 到 registry。

    重要

    运行以下命令,检查 openshift-install 二进制版本是否与本地镜像容器 registry 以及共享 registry (如 Red Hat Quay)相关: 

    $ ./openshift-install version

    共享 registry 二进制文件的输出示例

    ./openshift-install 4.20.0
built from commit ae7977b7d1ca908674a0d45c5c243c766fa4b2ca
release image registry.ci.openshift.org/origin/release:4.20ocp-release@sha256:0da6316466d60a3a4535d5fed3589feb0391989982fba59d47d4c729912d6363
release architecture amd64

  • 已使用管理员权限登录到 OpenShift Container Platform。

流程

  1. 运行以下命令,创建一个安装目录来存储配置文件: 

    $ mkdir ~/<directory_name>

  2. 配置 install-config.yaml 配置文件,以满足您的机构的需求,并将文件保存到您创建的目录中。

    设定外部平台的 install-config.yaml 文件

    # install-config.yaml
apiVersion: v1
baseDomain: <base_domain>
    1 
    
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  network type: OVNKubernetes
  machineNetwork:
  - cidr: <ip_address_from_cidr>
    2 
    
  serviceNetwork:
  - 172.30.0.0/16
compute:
  - architecture: amd64
    3 
    
  hyperthreading: Enabled
  name: worker
  replicas: 0
controlPlane:
  architecture: amd64
    4 
    
  hyperthreading: Enabled
  name: master
  replicas: 3
platform:
   external:
    platformName: oci
    5 
    
    cloudControllerManager: External
sshKey: <public_ssh_key>
    6 
    
pullSecret: '<pull_secret>'
    7 
    
# ...

    1
    云供应商的基域。
    2
    CIDR 分配给网络上操作的资源和组件的虚拟网络 (VCN) 的 IP 地址。
    3 4
    根据您的基础架构,您可以选择 arm64amd64
    5
    OCI 设置为外部平台,以便 OpenShift Container Platform 能够与 OCI 集成。
    6
    指定 SSH 公钥。
    7
    为 OpenShift Container Platform 组件和服务(如 Quay.io)下载容器镜像时,您需要验证目的的 pull secret。请参阅通过 Red Hat Hybrid Cloud Console 安装 OpenShift Container Platform 4

  3. 在本地系统上创建一个名为 openshift 的目录。这必须是安装目录的子目录。

    重要

    不要将 install-config.yamlagent-config.yaml 配置文件移到 openshift 目录中。

  4. 配置 Oracle 自定义清单文件。

    1. 进入 OpenShift Cluster Setup with Agent Based Installer on Compute Cloud@Customer (Oracle 文档) 中的 "Prepare the OpenShift Master Images"。
    2. oci-ccm.ymloci-csi.ymlmachineconfig-ccm.yml 文件复制到 openshift 目录中。
    3. 编辑 oci-ccm.ymloci-csi.yml 文件,以指定比较 Oracle® 云标识符(OCID)、VCN OCID、负载均衡器中的子网 OCID 和 c3-cert.pem 部分。

  5. 配置 agent-config.yaml 配置文件,以满足您的机构要求。

    IPv4 网络的 agent-config.yaml 文件示例。

    apiVersion: v1beta1
metadata:
  name: <cluster_name>
    1 
    
  namespace: <cluster_namespace>
    2 
    
rendezvousIP: <ip_address_from_CIDR>
    3 
    
bootArtifactsBaseURL: <server_URL>
    4 
    
# ...

    1
    您在 DNS 记录中指定的集群名称。
    2
    OpenShift Container Platform 上集群的命名空间。
    3
    如果您使用 IPv4 作为网络 IP 地址格式,请确保将 rendezvousIP 参数设置为在网络上分配的 VCN 的无类别域间路由 (CIDR) 方法的 IPv4 地址。另外,请确保使用 ISO 引导的实例池中至少有一个实例与您为 rendezvousIP 参数设置的 IP 地址值匹配。
    4
    要上传 rootfs 镜像的服务器的 URL。这个参数只适用于断开连接的环境。

  6. 通过在安装目录中输入以下命令来生成最小 ISO 镜像,它排除 rootfs 镜像: 

    $ ./openshift-install agent create image --log-level debug

    该命令还会完成以下操作:

    • 创建子目录 ./<installation_directory>/auth directory::将 kubeadmin-passwordkubeconfig 文件放在 子目录中。
    • 根据您在 agent-config.yaml 配置文件中指定的 IP 地址,创建一个 rendezvousIP 文件。

    • 可选:您对 agent-config.yamlinstall-config.yaml 配置文件所做的任何修改都会导入到 Zero Touch Provisioning (ZTP)自定义资源。

      重要

      基于代理的安装程序使用 Red Hat Enterprise Linux CoreOS (RHCOS)。在后续步骤中提到的 rootfs 镜像是引导、恢复和修复您的操作系统所必需的。

  7. 断开连接的环境:将 rootfs 镜像上传到 web 服务器。

    1. 进入创建最小 ISO 镜像时生成的 ./<installation_directory>/boot-artifacts 目录。

    2. 使用您首选的 Web 服务器,如任何 Hypertext 传输协议守护进程(httpd),将 rootfs 镜像上传到 agent-config.yaml 文件的 bootArtifactsBaseURL 参数中指定的位置。

      例如,如果 bootArtifactsBaseURL 参数状态 http://192.168.122.20,您可以将生成的 rootfs 镜像上传到此位置,以便基于代理的安装程序可以从 http://192.168.122.20/agent.x86_64-rootfs.img 访问镜像。在基于代理的安装程序为外部平台引导最小 ISO 后,基于代理的安装程序将 rootfs 镜像从 http://192.168.122.20/agent.x86_64-rootfs.img 位置下载到系统内存中。

      注意

      基于代理的安装程序还将 bootArtifactsBaseURL 的值添加到最小 ISO 镜像的配置中,以便在 Operator 引导集群节点时,基于代理的安装程序会将 rootfs 镜像下载到系统内存中。

      重要

      考虑超过 1 GB 的完整 ISO 镜像包括 rootfs 镜像。镜像大于最小 ISO 镜像,该镜像通常小于 150 MB。

2.5. 为 OpenShift Container Platform 配置防火墙
复制链接

在安装 OpenShift Container Platform 前,您必须配置防火墙,以授予 OpenShift Container Platform 所需站点的访问权限。在使用防火墙时,为防火墙提供额外的配置,以便 OpenShift Container Platform 可以访问正常工作所需的站点。

与 worker 节点相比,仅在控制器节点上运行的服务没有特殊的配置注意事项。

注意

如果您的环境在 OpenShift Container Platform 集群前面有一个专用的负载均衡器,请查看防火墙和负载均衡器之间的允许列表,以防止对集群造成不必要的网络限制。

流程

  1. 为您的防火墙的允许列表设置以下 registry URL:

    Expand
    URLport功能

    registry.redhat.io

    443

    提供核心容器镜像

    access.redhat.com

    443

    托管签名存储,容器客户端需要验证从 registry.access.redhat.com 中拉取的镜像。在防火墙环境中,确保此资源位于允许列表中。

    registry.access.redhat.com

    443

    托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像,包括核心容器镜像。

    quay.io

    443

    提供核心容器镜像

    cdn.quay.io

    443

    提供核心容器镜像

    cdn01.quay.io

    443

    提供核心容器镜像

    cdn02.quay.io

    443

    提供核心容器镜像

    cdn03.quay.io

    443

    提供核心容器镜像

    cdn04.quay.io

    443

    提供核心容器镜像

    cdn05.quay.io

    443

    提供核心容器镜像

    cdn06.quay.io

    443

    提供核心容器镜像

    sso.redhat.com

    443

    https://console.redhat.com 站点使用来自 sso.redhat.com 的身份验证

    icr.io

    443

    提供 IBM Cloud Pak 容器镜像。只有在使用 IBM Cloud Paks 时,才需要这个域。

    cp.icr.io

    443

    提供 IBM Cloud Pak 容器镜像。只有在使用 IBM Cloud Paks 时,才需要这个域。

    • 您可以在 allowlist 中使用通配符 *.quay.io 来替代 cdn.quay.iocdn0[1-6].quay.io
    • 您可以使用通配符 *.access.redhat.com 来简化配置,并确保所有子域(包括 registry.access.redhat.com )都被允许。
    • 在 allowlist 中添加站点(如 quay.io )时,不要向 denylist 添加通配符条目,如 *.quay.io。在大多数情况下,镜像 registry 使用内容交付网络(CDN)来提供镜像。如果防火墙阻止访问,则初始下载请求重定向到一个主机名(如 cdn01.quay.io )时,镜像下载将被拒绝。
  2. 将防火墙的允许列表设置为包含为构建所需的语言或框架提供资源的任何站点。

  3. 如果不禁用 Telemetry,您必须授予对以下 URL 的访问权限,以访问 Red Hat Lightspeed:

    Expand
    URLport功能

    cert-api.access.redhat.com

    443

    Telemetry 所需

    api.access.redhat.com

    443

    Telemetry 所需

    infogw.api.openshift.com

    443

    Telemetry 所需

    console.redhat.com

    443

    Telemetry 和 insights-operator需要

  4. 如果使用 Alibaba Cloud、Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud 来托管您的集群,您必须授予对为该云提供云供应商 API 和 DNS 的 URL 的访问权限:

    Expand
    URLport功能

    Alibaba

    *.aliyuncs.com

    443

    需要此项以访问 Alibaba Cloud 服务和资源。查看 Alibaba endpoint_config.go 文件,以查找您使用的区域所允许的确切端点。

    AWS

    aws.amazon.com

    443

    用于在 AWS 环境中安装和管理集群。

    *.amazonaws.com

    另外,如果您选择不对 AWS API 使用通配符,则必须在允许列表中包含以下 URL:

    443

    需要此项以访问 AWS 服务和资源。请参阅 AWS 文档中的 AWS Service Endpoints,以查找您使用的区域所允许的确切端点。

    ec2.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    events.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    iam.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    route53.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    *.s3.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    *.s3.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    *.s3.dualstack.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    sts.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    sts.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    tagging.us-east-1.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。

    ec2.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    elasticloadbalancing.<aws_region>.amazonaws.com

    443

    用于在 AWS 环境中安装和管理集群。

    servicequotas.<aws_region>.amazonaws.com

    443

    必需。用于确认用于部署该服务的配额。

    tagging.<aws_region>.amazonaws.com

    443

    允许以标签的形式分配 AWS 资源的元数据。

    *.cloudfront.net

    443

    用于提供对 CloudFront 的访问。如果使用 AWS 安全令牌服务(STS)和私有 S3 存储桶,您必须提供对 CloudFront 的访问。

    GCP

    *.googleapis.com

    443

    需要此项以访问 Google Cloud 服务和资源。请参阅 Google Cloud 文档中的 Cloud Endpoints,以查找您的 API 所允许的端点。

    accounts.google.com

    443

    需要此项以访问 Google Cloud 帐户。

    Microsoft Azure

    management.azure.com

    443

    需要此项以访问 Microsoft Azure 服务和资源。请参阅 Microsoft Azure 文档中的 Microsoft Azure REST API 参考,以查找允许您 API 的端点。

    *.blob.core.windows.net

    443

    需要下载 Ignition 文件。

    login.microsoftonline.com

    443

    需要此项以访问 Microsoft Azure 服务和资源。请参阅 Microsoft Azure 文档中的 Azure REST API 参考,以查找您的 API 允许的端点。

  5. 将以下 URL 列入允许列表:

    Expand
    URLport功能

    *.apps.<cluster_name>.<base_domain>

    443

    需要此项以访问默认集群路由,除非您在安装过程中设置了入口通配符。

    api.openshift.com

    443

    集群令牌需要,并检查集群是否有可用的更新。

    console.redhat.com

    443

    集群令牌所需。

    mirror.openshift.com

    443

    需要此项以访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源,但 Cluster Version Operator 只需要一个可正常工作的源。

    quayio-production-s3.s3.amazonaws.com

    443

    需要此项以访问 AWS 中的 Quay 镜像内容。

    rhcos.mirror.openshift.com

    443

    下载 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像需要此项。

    sso.redhat.com

    443

    https://console.redhat.com 站点使用来自 sso.redhat.com 的身份验证

    storage.googleapis.com/openshift-release

    443

    发行版本镜像签名源,但 Cluster Version Operator 只需要一个可正常工作的源。

    Operator 需要路由访问权限来执行健康检查。特别是,身份验证和 Web 控制台 Operator 会连接到两个路由,以验证路由是否正常工作。如果您是集群管理员,且不想允许 *.apps.<cluster_name>.<base_domain>,则允许这些路由:

    • oauth-openshift.apps.<cluster_name>.<base_domain>
    • canary-openshift-ingress-canary.apps.<cluster_name>.<base_domain>
    • console-openshift-console.apps.<cluster_name>.<base_domain>,或在 consoles.operator/cluster 对象中的 spec.route.hostname 项指定的主机名(如果这个项不为空)。

  6. 将以下 URL 列入允许的可选第三方内容:

    Expand
    URLport功能

    registry.connect.redhat.com

    443

    所有第三方镜像和认证操作器必填.

  7. 如果您使用默认的红帽网络时间协议(NTP)服务器允许以下 URL:

    • 1.rhel.pool.ntp.org
    • 2.rhel.pool.ntp.org
    • 3.rhel.pool.ntp.org
注意

如果您不使用默认的 Red Hat NTP 服务器,请验证您的平台的 NTP 服务器并在防火墙中允许它。

2.6. 在 Oracle Edge Cloud 上运行集群
复制链接

要在 Oracle® Edge Cloud 上运行集群,您必须首先将生成的 Agent ISO 镜像转换为 OCI 镜像,将其上传到 OCI Home Region Bucket 中,然后将上传的镜像导入到 Oracle Edge Cloud 系统。

注意

Oracle Edge Cloud 支持以下 OpenShift Container Platform 集群拓扑:

  • 在单一节点上安装 OpenShift Container Platform 集群。
  • 高可用性集群至少有三个 control plane 实例和两个计算实例。
  • 紧凑的三节点集群,至少有三个 control plane 实例。

先决条件

  • 您生成了 Agent ISO 镜像。请参阅 "Creating configuration files for installing a cluster on Oracle Edge Cloud" 部分。

流程

  1. 将代理 ISO 镜像转换为 OCI 镜像,将它上传到 OCI Home Region Bucket,然后将上传的镜像导入到 Oracle Edge Cloud 系统。具体步骤,请参阅 OpenShift Cluster Setup with Agent Based Installer on Compute Cloud@Customer (Oracle documentation) 中的 "Prepare the OpenShift Master Images"。
  2. 在 Oracle Edge Cloud 上创建 control plane 实例。具体步骤,请参阅 OpenShift Cluster Setup with Agent Based Installer on Compute Cloud@Customer (Oracle documentation) 中的 "Create control plane instances on C3 and Master Node LB Backend Sets"。

  3. 从集群拓扑提供的基础镜像创建计算实例。具体步骤,请参阅 OpenShift Cluster Setup with Agent Based Installer on Compute Cloud@Customer (Oracle documentation) 中的 "Add worker nodes"。

    重要

    在创建计算实例前,请检查您有足够的内存和磁盘资源。另外,请确保至少有一个计算实例与 agent-config.yaml 文件中 rendezvousIP 下声明的地址相同的 IP 地址。

验证集群是否已安装,并在 Oracle Edge Cloud 上正常运行。

先决条件

  • 您创建了所有必需的 Oracle Cloud Infrastructure (OCI) 资源和服务。请参阅"创建 OCI 基础架构资源和服务"部分。
  • 已创建 install-config.yamlagent-config.yaml 配置文件。请参阅 "Creating configuration files for installing a cluster on Oracle Edge Cloud" 部分。
  • 将代理 ISO 镜像上传到默认的 Oracle Object Storage 存储桶,并在 Oracle Edge Cloud 上创建计算实例。如需更多信息,请参阅 "Running a cluster on Oracle Edge Cloud"。

流程

在 OpenShift Container Platform 集群的自管理节点上部署计算实例后,您可以选择以下选项之一来监控集群的状态:

  • 在 OpenShift Container Platform CLI 中输入以下命令: 

    $ ./openshift-install agent wait-for install-complete --log-level debug

    检查运行 bootstrap 节点的 rendezvous 主机节点的状态。主机重启后,集群的主机表单部分。

  • 使用 kubeconfig API 检查各种 OpenShift Container Platform 组件的状态。对于 KUBECONFIG 环境变量,请设置集群的 kubeconfig 配置文件的相对路径: 

    $  export KUBECONFIG=~/auth/kubeconfig

    检查每个集群的自我管理的节点的状态。CCM 对每个节点应用标签,以指定在 OCI 上集群中运行的节点。 

    $ oc get nodes -A

    输出示例

    NAME                                   STATUS ROLES                 AGE VERSION
main-0.private.agenttest.oraclevcn.com Ready  control-plane, master 7m  v1.27.4+6eeca63
main-1.private.agenttest.oraclevcn.com Ready  control-plane, master 15m v1.27.4+d7fa83f
main-2.private.agenttest.oraclevcn.com Ready  control-plane, master 15m v1.27.4+d7fa83f

    检查每个集群的 Operator 的状态,其中 CCM Operator 状态是集群正在运行的良好指示。 

    $ oc get co

    截断的输出示例

    NAME           VERSION     AVAILABLE  PROGRESSING    DEGRADED   SINCE   MESSAGE
authentication 4.20.0-0    True       False          False      6m18s
baremetal      4.20.0-0    True       False          False      2m42s
network        4.20.0-0    True       True           False      5m58s  Progressing: …
    …

Legal Notice
复制链接

Copyright © Red Hat

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of the OpenJS Foundation.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

Legal Notice

Theme

© 2026 Red Hat返回顶部