ホーム
製品
OpenShift Container Platform
4.8
クラスターの更新
9.4. OpenShift Update Service を使用しない非接続環境でのクラスターの更新

9.4. OpenShift Update Service を使用しない非接続環境でのクラスターの更新

9.4.1. 前提条件
リンクのコピー

oc コマンドツールインターフェイス (CLI) ツールがインストールされていること。
OpenShift Container Platform イメージリポジトリーのミラーリングで説明されているように、更新用のコンテナーイメージを使用してローカルのコンテナーイメージレジストリーをプロビジョニングしている。
admin 権限を持つユーザーとしてクラスターにアクセスできる。RBAC の使用によるパーミッションの定義および適用を参照してください。
更新が失敗し、クラスターを以前の状態に復元する必要がある場合に備えて、最新の etcd バックアップがある。
すべてのマシン設定プール (MCP) が実行中であり、一時停止していないことを確認する。一時停止した MCP に関連付けられたノードは、更新プロセス中にスキップされます。カナリアロールアウト更新ストラテジーを実行している場合は、MCP を一時停止することができます。
クラスターで手動で保守される認証情報を使用する場合は、Cloud Credential Operator (CCO) がアップグレード可能な状態であることを確認する。AWS、Azure、または GCP の 手動で保守される認証情報を使用したクラスターのアップグレードを参照してください。
Operator を実行している場合、または Pod 中断バジェットを使用してアプリケーションを設定している場合、アップグレードプロセス中に中断が発生する可能性があります。PodDisruptionBudget で minAvailable が 1 に設定されている場合、削除 プロセスをブロックする可能性がある保留中のマシン設定を適用するためにノードがドレインされます。複数のノードが再起動された場合に、すべての Pod が 1 つのノードでのみ実行される可能性があり、PodDisruptionBudget フィールドはノードのドレインを防ぐことができます。

9.4.2. 切断されたクラスターのアップグレード
リンクのコピー

切断されたクラスターを、リリースイメージをダウンロードした OpenShift Container Platform バージョンに更新します。

注記

ローカルの OpenShift Update Service がある場合は、この手順ではなく、接続された Web コンソールまたは CLI の手順を使用して更新できます。

前提条件

新規リリースのイメージをレジストリーに対してミラーリングしている。
新規リリースのリリースイメージ署名 ConfigMap をクラスターに適用している。
イメージ署名 ConfigMap からリリースの sha256 合計値を取得している。
OpenShift CLI (oc)、バージョン 4.4.8 以降をインストールします。

手順

クラスターを更新します。
```
oc adm upgrade --allow-explicit-upgrade --to-image ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}<sha256_sum_value>
```
```
$ oc adm upgrade --allow-explicit-upgrade --to-image ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}<sha256_sum_value> 
```
1
Copy to Clipboard Toggle word wrap
1
<sha256_sum_value> 値は、イメージ署名 ConfigMap からのリリースの sha256 合計値です (例: @sha256:81154f5c03294534e1eaf0319bef7a601134f891689ccede5d705ef659aa8c92)。
ミラーレジストリーに ImageContentSourcePolicy を使用する場合、LOCAL_REGISTRY の代わりに正規レジストリー名を使用できます。
注記
ImageContentSourcePolicy オブジェクトを持つクラスターのグローバルプルシークレットのみを設定できます。プロジェクトにプルシークレットを追加することはできません。

9.4.3. イメージレジストリーのリポジトリーミラーリングの設定
リンクのコピー

コンテナーレジストリーのリポジトリーミラーリングの設定により、以下が可能になります。

ソースイメージのレジストリーのリポジトリーからイメージをプルする要求をリダイレクトするように OpenShift Container Platform クラスターを設定し、これをミラーリングされたイメージレジストリーのリポジトリーで解決できるようにします。
各ターゲットリポジトリーに対して複数のミラーリングされたリポジトリーを特定し、1 つのミラーがダウンした場合に別のミラーを使用できるようにします。

以下は、OpenShift Container Platform のリポジトリーミラーリングの属性の一部です。

イメージプルには、レジストリーのダウンタイムに対する回復性があります。
切断された環境のクラスターは、quay.io などの重要な場所からイメージをプルし、会社のファイアウォールの背後にあるレジストリーに要求されたイメージを提供することができます。
イメージのプル要求時にレジストリーへの接続が特定の順序で試行され、通常は永続レジストリーが最後に試行されます。
入力したミラー情報は、OpenShift Container Platform クラスターの全ノードの /etc/containers/registries.conf ファイルに追加されます。
ノードがソースリポジトリーからイメージの要求を行うと、要求されたコンテンツを見つけるまで、ミラーリングされた各リポジトリーに対する接続を順番に試行します。すべてのミラーで障害が発生した場合、クラスターはソースリポジトリーに対して試行します。成功すると、イメージはノードにプルされます。

リポジトリーミラーリングのセットアップは次の方法で実行できます。

OpenShift Container Platform のインストール時:
OpenShift Container Platform に必要なコンテナーイメージをプルし、それらのイメージを会社のファイアウォールの背後に配置することで、切断された環境にあるデータセンターに OpenShift Container Platform をインストールできます。
OpenShift Container Platform の新規インストール後:
OpenShift Container Platform インストール時にミラーリングを設定しなくても、ImageContentSourcePolicy オブジェクトを使用して後で設定することができます。

以下の手順では、インストール後のミラーを設定し、以下を識別する ImageContentSourcePolicy オブジェクトを作成します。

ミラーリングするコンテナーイメージリポジトリーのソース
ソースリポジトリーから要求されたコンテンツを提供する各ミラーリポジトリーの個別のエントリー。

注記

ImageContentSourcePolicy オブジェクトを持つクラスターのグローバルプルシークレットのみを設定できます。プロジェクトにプルシークレットを追加することはできません。

前提条件

cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

手順

ミラーリングされたリポジトリーを設定します。以下のいずれかを実行します。
- Repository Mirroring in Red Hat Quay で説明されているように、Red Hat Quay でミラーリングされたリポジトリーを設定します。Red Hat Quay を使用すると、あるリポジトリーから別のリポジトリーにイメージをコピーでき、これらのリポジトリーを一定期間繰り返し自動的に同期することもできます。
- skopeo などのツールを使用して、ソースディレクトリーからミラーリングされたリポジトリーにイメージを手動でコピーします。
  たとえば、Red Hat Enterprise Linux (RHEL 7 または RHEL 8) システムに skopeo RPM パッケージをインストールした後、以下の例に示すように skopeo コマンドを使用します。
  $ skopeo copy \ docker://registry.access.redhat.com/ubi8/ubi-minimal@sha256:5cfbaf45ca96806917830c183e9f37df2e913b187adb32e89fd83fa455ebaa6 \ docker://example.io/example/ubi-minimal
  Copy to Clipboard Toggle word wrap
  この例では、example.io いう名前のコンテナーイメージレジストリーと example という名前のイメージリポジトリーがあり、そこに registry.access.redhat.com から ubi8/ubi-minimal イメージをコピーします。レジストリーを作成した後、OpenShift Container Platform クラスターを設定して、ソースリポジトリーで作成される要求をミラーリングされたリポジトリーにリダイレクトできます。
OpenShift Container Platform クラスターにログインします。

ImageContentSourcePolicy ファイル (例: registryrepomirror.yaml) を作成し、ソースとミラーを固有のレジストリー、およびリポジトリーのペアとイメージのものに置き換えます。

apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: ubi8repo
spec:
  repositoryDigestMirrors:
  - mirrors:
    - example.io/example/ubi-minimal 
    source: registry.access.redhat.com/ubi8/ubi-minimal 
  - mirrors:
    - example.com/example/ubi-minimal
    source: registry.access.redhat.com/ubi8/ubi-minimal
  - mirrors:
    - mirror.example.com/redhat
    source: registry.redhat.io/openshift4

apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: ubi8repo
spec:
  repositoryDigestMirrors:
  - mirrors:
    - example.io/example/ubi-minimal


    source: registry.access.redhat.com/ubi8/ubi-minimal


  - mirrors:
    - example.com/example/ubi-minimal
    source: registry.access.redhat.com/ubi8/ubi-minimal
  - mirrors:
    - mirror.example.com/redhat
    source: registry.redhat.io/openshift4

Copy to Clipboard

Toggle word wrap

1: イメージレジストリーおよびリポジトリーの名前を示します。
2: ミラーリングされているコンテンツが含まれるレジストリーおよびリポジトリーを示します。
3: レジストリー内の namespace を、その namespace の任意のイメージを使用するように設定できます。レジストリードメインをソースとして使用する場合、ImageContentSourcePolicy リソースはレジストリーからすべてのリポジトリーに適用されます。

新しい ImageContentSourcePolicy オブジェクトを作成します。
```
oc create -f registryrepomirror.yaml
```
```
$ oc create -f registryrepomirror.yaml
```
Copy to Clipboard Toggle word wrap
ImageContentSourcePolicy オブジェクトが作成されると、新しい設定が各ノードにデプロイされ、クラスターはソースリポジトリーへの要求のためにミラーリングされたリポジトリーの使用を開始します。

ミラーリングされた設定が適用されていることを確認するには、ノードのいずれかで以下を実行します。

ノードの一覧を表示します。

oc get node

$ oc get node

Copy to Clipboard

Toggle word wrap

出力例

NAME                           STATUS                     ROLES    AGE  VERSION
ip-10-0-137-44.ec2.internal    Ready                      worker   7m   v1.21.0
ip-10-0-138-148.ec2.internal   Ready                      master   11m  v1.21.0
ip-10-0-139-122.ec2.internal   Ready                      master   11m  v1.21.0
ip-10-0-147-35.ec2.internal    Ready,SchedulingDisabled   worker   7m   v1.21.0
ip-10-0-153-12.ec2.internal    Ready                      worker   7m   v1.21.0
ip-10-0-154-10.ec2.internal    Ready                      master   11m  v1.21.0

NAME                           STATUS                     ROLES    AGE  VERSION
ip-10-0-137-44.ec2.internal    Ready                      worker   7m   v1.21.0
ip-10-0-138-148.ec2.internal   Ready                      master   11m  v1.21.0
ip-10-0-139-122.ec2.internal   Ready                      master   11m  v1.21.0
ip-10-0-147-35.ec2.internal    Ready,SchedulingDisabled   worker   7m   v1.21.0
ip-10-0-153-12.ec2.internal    Ready                      worker   7m   v1.21.0
ip-10-0-154-10.ec2.internal    Ready                      master   11m  v1.21.0

Copy to Clipboard

Toggle word wrap

変更が適用されているため、各ワーカーノードのスケジューリングが無効にされていることを確認できます。

デバッグプロセスを開始し、ノードにアクセスします。

oc debug node/ip-10-0-147-35.ec2.internal

$ oc debug node/ip-10-0-147-35.ec2.internal

Copy to Clipboard

Toggle word wrap

出力例

Starting pod/ip-10-0-147-35ec2internal-debug ...
To use host binaries, run `chroot /host`

Starting pod/ip-10-0-147-35ec2internal-debug ...
To use host binaries, run `chroot /host`

Copy to Clipboard

Toggle word wrap

ルートディレクトリーを /host に変更します。
```
chroot /host
```
```
sh-4.2# chroot /host
```
Copy to Clipboard Toggle word wrap

/etc/containers/registries.conf ファイルをチェックして、変更が行われたことを確認します。

cat /etc/containers/registries.conf

sh-4.2# cat /etc/containers/registries.conf

Copy to Clipboard

Toggle word wrap

出力例

unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
[[registry]]
  location = "registry.access.redhat.com/ubi8/"
  insecure = false
  blocked = false
  mirror-by-digest-only = true
  prefix = ""

  [[registry.mirror]]
    location = "example.io/example/ubi8-minimal"
    insecure = false

  [[registry.mirror]]
    location = "example.com/example/ubi8-minimal"
    insecure = false

unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
[[registry]]
  location = "registry.access.redhat.com/ubi8/"
  insecure = false
  blocked = false
  mirror-by-digest-only = true
  prefix = ""

  [[registry.mirror]]
    location = "example.io/example/ubi8-minimal"
    insecure = false

  [[registry.mirror]]
    location = "example.com/example/ubi8-minimal"
    insecure = false

Copy to Clipboard

Toggle word wrap

ソースからノードにイメージダイジェストをプルし、ミラーによって解決されているかどうかを確認します。ImageContentSourcePolicy オブジェクトはイメージダイジェストのみをサポートし、イメージタグはサポートしません。
```
podman pull --log-level=debug registry.access.redhat.com/ubi8/ubi-minimal@sha256:5cfbaf45ca96806917830c183e9f37df2e913b187adb32e89fd83fa455ebaa6
```
```
sh-4.2# podman pull --log-level=debug registry.access.redhat.com/ubi8/ubi-minimal@sha256:5cfbaf45ca96806917830c183e9f37df2e913b187adb32e89fd83fa455ebaa6
```
Copy to Clipboard Toggle word wrap

リポジトリーのミラーリングのトラブルシューティング

リポジトリーのミラーリング手順が説明どおりに機能しない場合は、リポジトリーミラーリングの動作方法についての以下の情報を使用して、問題のトラブルシューティングを行うことができます。

最初に機能するミラーは、プルされるイメージを指定するために使用されます。
メインレジストリーは、他のミラーが機能していない場合にのみ使用されます。
システムコンテキストによって、Insecure フラグがフォールバックとして使用されます。
/etc/containers/registries.conf ファイルの形式が最近変更されました。現在のバージョンはバージョン 2 で、TOML 形式です。

9.4.4. クラスターノードの再起動の頻度を減らすために、ミラーイメージカタログの範囲を拡大
リンクのコピー

リポジトリーレベルまたはより幅広いレジストリーレベルでミラーリングされたイメージカタログのスコープを設定できます。幅広いスコープの ImageContentSourcePolicy リソースにより、リソースの変更に対応するためにノードが再起動する必要のある回数が減ります。

ImageContentSourcePolicy リソースのミラーイメージカタログの範囲を拡大するには、以下の手順を実行します。

前提条件

OpenShift Container Platform CLI (oc) をインストールしている。
cluster-admin 権限を持つユーザーとしてログインしている。
非接続クラスターで使用するようにミラーリングされたイメージカタログを設定する。

手順

<local_registry>, <pull_spec>, and <pull_secret_file> の値を指定して、以下のコマンドを実行します。
```
oc adm catalog mirror <local_registry>/<pull_spec> <local_registry> -a <pull_secret_file> --icsp-scope=registry
```
```
$ oc adm catalog mirror <local_registry>/<pull_spec> <local_registry> -a <pull_secret_file> --icsp-scope=registry
```
Copy to Clipboard Toggle word wrap
ここでは、以下のようになります。
<local_registry>
非接続クラスター (例: local.registry:5000) 用に設定したローカルレジストリーです。
<pull_spec>
非接続レジストリーで設定されるプル仕様です (例: redhat/redhat-operator-index:v4.8)。
<pull_secret_file>
.json ファイル形式の registry.redhat.io プルシークレットです。プルシークレットは、Red Hat Open Shift Cluster Manager からダウンロードできます。
oc adm catalog mirror コマンドは、/redhat-operator-index-manifests ディレクトリーを作成し、imageContentSourcePolicy.yaml、catalogSource.yaml、および mapping.txt ファイルを生成します。
新しい ImageContentSourcePolicy リソースをクラスターに適用します。
```
oc apply -f imageContentSourcePolicy.yaml
```
```
$ oc apply -f imageContentSourcePolicy.yaml
```
Copy to Clipboard Toggle word wrap

検証

oc apply が ImageContentSourcePolicy に変更を正常に適用していることを確認します。

oc get ImageContentSourcePolicy -o yaml

$ oc get ImageContentSourcePolicy -o yaml

Copy to Clipboard

Toggle word wrap

出力例

apiVersion: v1
items:
- apiVersion: operator.openshift.io/v1alpha1
  kind: ImageContentSourcePolicy
  metadata:
    annotations:
      kubectl.kubernetes.io/last-applied-configuration: |
        {"apiVersion":"operator.openshift.io/v1alpha1","kind":"ImageContentSourcePolicy","metadata":{"annotations":{},"name":"redhat-operator-index"},"spec":{"repositoryDigestMirrors":[{"mirrors":["local.registry:5000"],"source":"registry.redhat.io"}]}}
...

apiVersion: v1
items:
- apiVersion: operator.openshift.io/v1alpha1
  kind: ImageContentSourcePolicy
  metadata:
    annotations:
      kubectl.kubernetes.io/last-applied-configuration: |
        {"apiVersion":"operator.openshift.io/v1alpha1","kind":"ImageContentSourcePolicy","metadata":{"annotations":{},"name":"redhat-operator-index"},"spec":{"repositoryDigestMirrors":[{"mirrors":["local.registry:5000"],"source":"registry.redhat.io"}]}}
...

Copy to Clipboard

Toggle word wrap

ImageContentSourcePolicy リソースを更新した後に、OpenShift Container Platform は新しい設定を各ノードにデプロイし、クラスターはソースリポジトリーへの要求のためにミラーリングされたリポジトリーの使用を開始します。

トップに戻る

9.4. OpenShift Update Service を使用しない非接続環境でのクラスターの更新

9.4.1. 前提条件
リンクのコピー

9.4.2. 切断されたクラスターのアップグレード
リンクのコピー

9.4.3. イメージレジストリーのリポジトリーミラーリングの設定
リンクのコピー

9.4.4. クラスターノードの再起動の頻度を減らすために、ミラーイメージカタログの範囲を拡大
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.4. OpenShift Update Service を使用しない非接続環境でのクラスターの更新

9.4.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

9.4.2. 切断されたクラスターのアップグレードリンクのコピーリンクがクリップボードにコピーされました!

9.4.3. イメージレジストリーのリポジトリーミラーリングの設定リンクのコピーリンクがクリップボードにコピーされました!

9.4.4. クラスターノードの再起動の頻度を減らすために、ミラーイメージカタログの範囲を拡大リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.4.1. 前提条件
リンクのコピー

9.4.2. 切断されたクラスターのアップグレード
リンクのコピー

9.4.3. イメージレジストリーのリポジトリーミラーリングの設定
リンクのコピー

9.4.4. クラスターノードの再起動の頻度を減らすために、ミラーイメージカタログの範囲を拡大
リンクのコピー