9.4. マシン設定プールの一時停止
このカナリアロールアウト更新プロセスでは、OpenShift Container Platform クラスターの残りの部分で更新しないノードにラベルを付け、マシン設定プール (MCP) を作成し、それらの MCP を一時停止します。MCP を一時停止にすると、Machine Config Operator (MCO) がその MCP に関連付けられたノードを更新できなくなります。
MCP を一時停止すると、kube-apiserver-to-kubelet-signer
自動 CA 証明書のローテーションも一時停止します。新しい CA 証明書は、インストール日と古い証明書の 292 日で生成され、インストール日から 365 日は削除されます。次の自動 CA 証明書のローテーションまでの所要時間については、Understanding CA cert auto updates in Red Hat OpenShift 4 を参照してください。
CA 証明書のローテーションが発生したときに、プールが一時停止されていないことを確認してください。MCP が一時停止されている場合、MCO は新しくローテーションされた証明書をそれらのノードにプッシュできません。これにより、クラスターが劣化し、oc debug
、oc logs
、oc exec
、oc attach
などの複数の oc
コマンドで障害が発生します。証明書がローテーションされたときに MCP が一時停止された場合、OpenShift Container Platform コンソールのアラート UI でアラートを受け取ります。
MCP を一時停止するには、以下を実行します。
一時停止する MCP にパッチを適用します。
$ oc patch mcp/<mcp_name> --patch '{"spec":{"paused":true}}' --type=merge
以下に例を示します。
$ oc patch mcp/workerpool-canary --patch '{"spec":{"paused":true}}' --type=merge
出力例
machineconfigpool.machineconfiguration.openshift.io/workerpool-canary patched