Red Hat Summit1.4. 非接続環境での Multicluster Global Hub のインストール
クラスターが制限付きネットワーク内にある場合は、非接続環境に Multicluster Global Hub Operator をデプロイメントできます。
必要なアクセス権: クラスター管理者
1.4.1. 前提条件
非接続環境に Multicluster Global Hub をインストールする前に、次の要件を満たす必要があります。
- インターネットとミラーレジストリーの両方にアクセスできるイメージレジストリーと bastion ホスト
- Operator Lifecycle Manager をクラスターにインストールする。Operator Lifecycle Manager (OLM) を参照してください。
- Red Hat Advanced Cluster Management for Kubernetes をインストールする。
以下のコマンドラインインターフェイスをインストールする。
- OpenShift Container Platform コマンドライン。OpenShift Container Platform CLI のスタートガイド を参照してください。
-
opmコマンドライン。opm CLI のインストール を参照してください。 -
oc-mirrorプラグイン。oc-plugin プラグインを使用した非接続インストールのイメージのミラーリング を参照してください。
1.4.2. ミラーレジストリーの設定
非接続環境に Multicluster Global Hub をインストールするには、ローカルミラーイメージレジストリーを使用する必要があります。この時点では、OpenShift Container Platform クラスターのインストール中にミラーレジストリーを設定済みであることを前提としています。
以下の手順に従って、Multicluster Global Hub のミラーレジストリーをプロビジョニングします。
1.4.2.1. oc-mirror プラグインを使用したミラーカタログでの Operator パッケージの作成
Red Hat は、Multicluster Global Hub および AMQ Streams Operator を Red Hat Operator カタログで提供しており、これらは、registry.redhat.io/redhat/redhat-operator-index インデックスイメージによって提供されます。このカタログインデックスイメージのミラーを準備する場合に、Red Hat が提供するカタログ全体をミラーリングするか、使用する Operator パッケージのみを含むサブセットをミラーリングするかを選択できます。
フルミラーカタログを作成する場合、Multicluster Global Hub および AMQ Streams のインストールに必要なすべてのパッケージが含まれているため、特別な考慮事項はありません。ただし、特定のパッケージを含めるかを特定するために、一部または絞り込んだミラーリングカタログを作成する場合には、multicluster-global-hub-operator-rh と amq-streams のパッケージ名をリストに含める必要があります。
multicluster-global-hub-operator-rh および amq-streams パッケージのローカルミラーレジストリーを作成するには、以下の手順を実行します。
ImageSetConfigurationYAML ファイルを作成し、Operator イメージを設定して追加します。YAML ファイルは次の内容のようになり、現在のバージョンを4.xに置き換えます。kind: ImageSetConfiguration apiVersion: mirror.openshift.io/v1alpha2 storageConfig: registry: imageURL: myregistry.example.com:5000/mirror/oc-mirror-metadata mirror: platform: channels: - name: stable-4.x type: ocp operators: - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.x packages: - name: multicluster-global-hub-operator-rh - name: amq-streams additionalImages: [] helm: {}次のコマンドを使用して、イメージセットをターゲットミラーレジストリーに直接ミラーリングします。
oc mirror --config=./imageset-config.yaml docker://myregistry.example.com:5000- 完全な非接続環境でイメージセットをミラーリングします。詳細は、Mirroring images for a disconnected installationを参照してください。
1.4.2.2. 非接続クラスターへのレジストリーとカタログの追加
非接続クラスターでミラーレジストリーとカタログを使用できるようにするには、以下の手順を実行します。
Operator Hub のデフォルトのカタログソースを無効にします。以下のコマンドを実行して
OperatorHubリソースを更新します。oc patch OperatorHub cluster --type json \ -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'- Operator カタログのミラーリング の手順を実行して、Operator カタログをミラーリングします。
ミラーリングされたカタログの
CatalogSourceリソースをopenshift-marketplacenamespace に追加します。CatalogSourceYAML ファイルは、次の例のようになります。4.xはサポートされるバージョンに設定します。apiVersion: operators.coreos.com/v1alpha1 kind: CatalogSource metadata: name: my-mirror-catalog-source namespace: openshift-marketplace spec: image: myregistry.example.com:5000/mirror/my-operator-index:v4.x sourceType: grpc secrets: - <global-hub-secret>-
注記:
metadata.nameフィールドの値に注意してください。
-
注記:
- 更新したファイルを保存します。
利用可能な
PackageManifestリソースをクエリーして、非接続クラスターから必要なパッケージが利用できることを確認します。以下のコマンドを実行します。oc -n openshift-marketplace get packagemanifests表示されるリストには
multicluster-global-hub-operator-rhおよびamq-streamsパッケージがミラーカタログのカタログソースによって提供されていることを示すエントリーが含まれているはずです。
1.4.3. イメージレジストリーの設定
クラスターがインターネットでホストされているレジストリーからではなく、ローカルミラーレジストリーから Multicluster Global Hub Operator のコンテナーイメージを取得できるようにするには、非接続クラスターで ImageContentSourcePolicy リソースを設定し、イメージ参照をミラーレジストリーにリダイレクトする必要があります。ImageContentSourcePolicy は、digest イメージを使用したイメージミラーのみをサポートします。
oc adm catalog mirror コマンドを使用してカタログをミラーリングした場合に、必要なイメージコンテンツソースポリシー設定は、そのコマンドによって作成される manifests-* ディレクトリー内の imageContentSourcePolicy.yaml ファイルにあります。
代わりに oc-mirror プラグインを使用してカタログをミラーリングした場合に、imageContentSourcePolicy.yaml ファイルは oc-mirror プラグインによって作成された oc-mirror-workspace/results- ディレクトリー内にあります。
いずれの場合も、oc replace -f ./<path>/imageContentSourcePolicy.yaml のような oc apply または oc replace コマンドを使用して、ネットワーク接続なしのコマンドにポリシーを適用できます。
必要なイメージコンテンツソースポリシーステートメントは、ミラーレジストリーの作成方法によって異なりますが、次の例のようになります。
apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
labels:
operators.openshift.org/catalog: "true"
name: global-hub-operator-icsp
spec:
repositoryDigestMirrors:
- mirrors:
- myregistry.example.com:5000/multicluster-globalhub
source: registry.redhat.io/multicluster-globalhub
- mirrors:
- myregistry.example.com:5000/openshift4
source: registry.redhat.io/openshift4
- mirrors:
- myregistry.example.com:5000/redhat
source: registry.redhat.io/redhat
ManagedClusterImageRegistry を使用して、マネージドハブごとに異なるイメージレジストリーを設定できます。ManagedClusterImageRegistry API を使用してエージェントイメージを置き換える方法は、ManagedClusterImageRegistry を持つクラスターのインポート を参照してください。
前の手順を完了すると、選択した ManagedCluster にラベルとアノテーションが追加されます。これは、クラスター内のエージェントイメージがミラーイメージに置き換えられることを意味します。
-
ラベル:
multicluster-global-hub.io/image-registry=<namespace.managedclusterimageregistry-name> -
アノテーション:
multicluster-global-hub.io/image-registries: <image-registry-info>
1.4.3.1. イメージプルシークレットを設定する
サブスクライブされた Operator によって参照される Operator または Operand イメージがプライベートレジストリーへのアクセスを必要とする場合は、クラスター内のすべての namespace へのアクセスを提供するか、個々のターゲットテナント namespace へのアクセスを提供する ことができます。
1.4.3.1.1. OpenShift Container Platform クラスターでの Multicluster Global Hub イメージプルシークレットの設定
イメージプルシークレットを既存の OpenShift Container Platform クラスターに設定できます。
注記: 既存のクラスターにイメージプルシークレットを適用すると、すべてのノードがローリング再起動されます。
プルシークレットを設定するには、以下の手順を実行します。
プルシークレットからユーザー名をエクスポートします。
export USER=<the-registry-user>プルシークレットからパスワードをエクスポートします。
export PASSWORD=<the-registry-password>プルシークレットをコピーします。
oc get secret/pull-secret -n openshift-config --template='{{index .data ".dockerconfigjson" | base64decode}}' > pull_secret.yamlプルシークレットを使用してログインします。
oc registry login --registry=${REGISTRY} --auth-basic="$USER:$PASSWORD" --to=pull_secret.yamlMulticluster Global Hub イメージプルシークレットを指定します。
oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=pull_secret.yaml古いプルシークレットを削除します。
rm pull_secret.yaml
1.4.3.1.2. Multicluster Global Hub イメージプルシークレットの個別の namespace への設定
以下の手順を実行することで、イメージプルシークレットを個別の namespace に設定できます。
次のコマンドを実行して、テナントの namespace にシークレットを作成します。
oc create secret generic <secret_name> -n <tenant_namespace> \ --from-file=.dockerconfigjson=<path/to/registry/credentials> \ --type=kubernetes.io/dockerconfigjsonシークレットをオペレーターまたはオペランドのサービスアカウントにリンクします。
oc secrets link <operator_sa> -n <tenant_namespace> <secret_name> --for=pull
1.4.3.2. グローバルハブオペレーターのインストール
Red Hat OpenShift Container Platform Web コンソールを使用して、OperatorHub から Operator をインストールしてサブスクライブできます。手順は、Operator のクラスターへの追加 を参照してください。Operator を追加した後、次のコマンドを実行して、Multicluster Global Hub Operator のステータスを確認できます。
oc get pods -n multicluster-global-hub
NAME READY STATUS RESTARTS AGE
multicluster-global-hub-operator-687584cb7c-fnftj 1/1 Running 0 2m12s1.4.4. 関連情報
- ミラーレジストリーの作成の詳細は、ミラーレジストリーの作成 を参照してください。
- イメージのミラーリングの詳細は、非接続インストールのミラーリング を参照してください。
- Operator カタログのミラーリングの詳細は、Operator カタログのミラーリング を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}