지원콘솔개발자평가판 시작연락처

3.6. 연결이 끊긴 환경에서 클러스터 업데이트

3.6.1. 연결이 끊긴 환경의 클러스터 업데이트 정보

연결이 끊긴 환경은 클러스터 노드가 인터넷에 액세스할 수 없는 환경입니다. 따라서 레지스트리에 설치 이미지를 입력해야합니다. 레지스트리 호스트가 인터넷과 클러스터에 모두 액세스할 수 없는 경우 해당 환경에서 연결이 끊긴 파일 시스템에 이미지를 미러링한 다음 해당 호스트 또는 이동식 미디어를 가져올 수 있습니다. 로컬 컨테이너 레지스트리와 클러스터가 미러 레지스트리의 호스트에 연결된 경우 릴리스 이미지를 로컬 레지스트리로 직접 푸시할 수 있습니다.

단일 컨테이너 이미지 레지스트리는 연결이 끊긴 네트워크에서 여러 클러스터에 대해 미러링된 이미지를 호스팅하는 데 충분합니다.

3.6.1.1. OpenShift Container Platform 이미지 미러링

연결이 끊긴 환경에서 클러스터를 업데이트하려면 클러스터 환경에서 대상 업데이트에 필요한 이미지 및 리소스가 있는 미러 레지스트리에 액세스할 수 있어야 합니다. 다음 페이지에는 연결이 끊긴 클러스터의 저장소로 이미지를 미러링하는 방법이 있습니다.

3.6.1.2. 연결이 끊긴 환경에서 클러스터 업데이트 수행

다음 절차 중 하나를 사용하여 연결이 끊긴 OpenShift Container Platform 클러스터를 업데이트할 수 있습니다.

3.6.1.3. 클러스터에서 OpenShift Update Service 설치 제거

다음 절차에 따라 클러스터에서 OpenShift Update Service(OSUS)의 로컬 사본을 제거할 수 있습니다.

3.6.2. OpenShift Container Platform 이미지 미러링

연결이 끊긴 환경에서 클러스터를 업데이트하려면 컨테이너 이미지를 미러 레지스트리에 미러링해야 합니다. 또한 연결된 환경에서 이 절차를 사용하여 클러스터가 외부 콘텐츠에 대한 조직의 제어 조건을 충족하는 승인된 컨테이너 이미지만 실행하도록 할 수 있습니다.

참고

미러 레지스트리는 클러스터가 실행되는 동안 항상 실행되어야 합니다.

다음 단계에서는 이미지를 미러 레지스트리에 미러링하는 방법에 대한 고급 워크플로를 간략하게 설명합니다.

  1. 릴리스 이미지를 검색하고 내보내는 데 사용되는 모든 장치에 OpenShift CLI(oc)를 설치합니다.
  2. 레지스트리 풀 시크릿을 다운로드하여 클러스터에 추가합니다.

  3. oc-mirror OpenShift CLI (oc) 플러그인 을 사용하는 경우 :

    1. 릴리스 이미지를 검색하고 내보내는 데 사용되는 모든 장치에 oc-mirror 플러그인을 설치합니다.
    2. 미러링할 릴리스 이미지를 결정할 때 사용할 플러그인의 이미지 세트 구성 파일을 생성합니다. 나중에 이 구성 파일을 편집하여 플러그인이 미러링하는 릴리스 이미지를 변경할 수 있습니다.
    3. 대상 릴리스 이미지를 미러 레지스트리 또는 이동식 미디어에 직접 미러링한 다음 미러 레지스트리에 미러링합니다.
    4. oc-mirror 플러그인에서 생성한 리소스를 사용하도록 클러스터를 구성합니다.
    5. 필요에 따라 이러한 단계를 반복하여 미러 레지스트리를 업데이트합니다.

  4. oc adm release mirror 명령을 사용하는 경우 :

    1. 사용자 환경과 미러링하려는 릴리스 이미지에 해당하는 환경 변수를 설정합니다.
    2. 대상 릴리스 이미지를 미러 레지스트리 또는 이동식 미디어에 직접 미러링한 다음 미러 레지스트리에 미러링합니다.
    3. 필요에 따라 이러한 단계를 반복하여 미러 레지스트리를 업데이트합니다.

oc adm release mirror 명령 사용과 비교하여 oc-mirror 플러그인은 다음과 같은 이점이 있습니다.

  • 컨테이너 이미지 이외의 콘텐츠를 미러링할 수 있습니다.
  • 이미지를 처음 미러링하면 레지스트리의 이미지를 더 쉽게 업데이트할 수 있습니다.
  • oc-mirror 플러그인은 Quay의 릴리스 페이로드를 미러링하고 연결이 끊긴 환경에서 실행되는 OpenShift 업데이트 서비스에 대한 최신 그래프 데이터 이미지도 빌드하는 자동화된 방법을 제공합니다.

3.6.2.1. oc-mirror 플러그인을 사용하여 리소스 미러링

oc-mirror OpenShift CLI(oc) 플러그인을 사용하여 완전히 또는 부분적으로 연결이 끊긴 환경의 미러 레지스트리에 이미지를 미러링할 수 있습니다. 인터넷에 연결된 시스템에서 oc-mirror를 실행하여 공식 Red Hat 레지스트리에서 필요한 이미지를 다운로드해야 합니다.

자세한 내용은 oc-mirror 플러그인을 사용하여 연결이 끊긴 설치의 이미지 미러링 을 참조하십시오.

3.6.2.2. oc adm release mirror 명령을 사용하여 이미지 미러링

oc adm release mirror 명령을 사용하여 이미지를 미러 레지스트리에 미러링할 수 있습니다.

3.6.2.2.1. 사전 요구 사항

  • Red Hat Quay와 같이 OpenShift Container Platform 클러스터를 호스팅할 위치에 Docker v2-2 를 지원하는 컨테이너 이미지 레지스트리가 있어야 합니다.

    참고

    Red Hat Quay를 사용하는 경우 oc-mirror 플러그인에서 버전 3.6 이상을 사용해야 합니다. Red Hat Quay에 대한 인타이틀먼트가 있는 경우 개념 증명 목적으로 또는 Quay Operator를 사용하여 Red Hat Quay 배포에 대한 설명서를 참조하십시오. 레지스트리를 선택 및 설치하는 데 추가 지원이 필요한 경우 영업 담당자 또는 Red Hat 지원팀에 문의하십시오.

    컨테이너 이미지 레지스트리에 대한 기존 솔루션이 없는 경우 Red Hat OpenShift의 미러 레지스트리가 OpenShift Container Platform 서브스크립션에 포함되어 있습니다. Red Hat OpenShift의 미러 레지스트리 는 연결이 끊긴 설치 및 업데이트에서 OpenShift Container Platform 컨테이너 이미지를 미러링하는 데 사용할 수 있는 소규모 컨테이너 레지스트리입니다.

3.6.2.2.2. 미러 호스트 준비

미러 단계를 수행하기 전에 호스트는 콘텐츠를 검색하고 원격 위치로 푸시할 준비가 되어 있어야 합니다.

3.6.2.2.2.1. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.15의 모든 명령을 완료하는 데 해당 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다. 연결이 끊긴 환경에서 클러스터를 업데이트하는 경우 업데이트할 oc 버전을 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 제품 변형 드롭다운 목록에서 아키텍처를 선택합니다.
  3. 버전 드롭다운 목록에서 적절한 버전을 선택합니다.
  4. OpenShift v4.15 Linux Clients 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  5. 아카이브의 압축을 풉니다. 

    $ tar xvf <file>

  6. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

검증

  • OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

    $ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 목록에서 적절한 버전을 선택합니다.
  3. OpenShift v4.15 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

검증

  • OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

    C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 목록에서 적절한 버전을 선택합니다.

  3. OpenShift v4.15 macOS Clients 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

    참고

    macOS arm64의 경우 OpenShift v4.15 macOS arm64 Client 항목을 선택합니다.

  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

검증

  • oc 명령을 사용하여 설치를 확인합니다. 

    $ oc <command>

추가 리소스

3.6.2.2.2.2. 이미지를 미러링할 수 있는 인증 정보 설정

Red Hat에서 미러로 이미지를 미러링할 수 있는 컨테이너 이미지 레지스트리 인증 정보 파일을 생성합니다.

주의

클러스터를 설치할 때 이 이미지 레지스트리 인증 정보 파일을 풀 시크릿(pull secret)으로 사용하지 마십시오. 클러스터를 설치할 때 이 파일을 지정하면 클러스터의 모든 시스템에 미러 레지스트리에 대한 쓰기 권한이 부여됩니다.

주의

이 프로세스에서는 미러 레지스트리의 컨테이너 이미지 레지스트리에 대한 쓰기 권한이 있어야 하며 인증 정보를 레지스트리 풀 시크릿에 추가해야 합니다.

사전 요구 사항

  • 연결이 끊긴 환경에서 사용할 미러 레지스트리를 구성했습니다.
  • 미러 레지스트리에서 이미지를 미러링할 이미지 저장소 위치를 확인했습니다.
  • 이미지를 해당 이미지 저장소에 업로드할 수 있는 미러 레지스트리 계정을 제공하고 있습니다.

프로세스

설치 호스트에서 다음 단계를 수행합니다.

  1. Red Hat OpenShift Cluster Manager에서 registry.redhat.io 풀 시크릿을 다운로드합니다.

  2. 풀 시크릿을 JSON 형식으로 복사합니다. 

    $ cat ./pull-secret | jq . > <path>/<pull_secret_file_in_json> 1
    1
    풀 시크릿을 저장할 폴더의 경로와 생성한 JSON 파일의 이름을 지정합니다.

    파일의 내용은 다음 예와 유사합니다. 

    {
  "auths": {
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}

  3. 선택 사항: oc-mirror 플러그인을 사용하는 경우 파일을 ~/.docker/config.json 또는 $XDG_RUNTIME_DIR/containers/auth.json 으로 저장합니다.

    1. .docker 또는 $XDG_RUNTIME_DIR/containers 디렉터리가 없는 경우 다음 명령을 입력하여 만듭니다. 

      $ mkdir -p <directory_name>

      여기서 <directory_name >은 ~/.docker 또는 $XDG_RUNTIME_DIR/containers 입니다.

    2. 다음 명령을 입력하여 풀 시크릿을 적절한 디렉터리에 복사합니다. 

      $ cp <path>/<pull_secret_file_in_json> <directory_name>/<auth_file>

      여기서 < directory_name >은 ~/.docker 또는 $XDG_RUNTIME_DIR/containers 이며 < auth_file >은 config.json 또는 auth.json 입니다.

  4. 미러 레지스트리에 대한 base64로 인코딩된 사용자 이름 및 암호 또는 토큰을 생성합니다. 

    $ echo -n '<user_name>:<password>' | base64 -w0 1
BGVtbYk3ZHAtqXs=
    1
    <user_name><password>의 경우 레지스트리에 설정한 사용자 이름 및 암호를 지정합니다.

  5. JSON 파일을 편집하고 레지스트리를 설명하는 섹션을 추가합니다. 

      "auths": {
    "<mirror_registry>": { 1
      "auth": "<credentials>", 2
      "email": "you@example.com"
    }
  },
    1
    <mirror_registry>의 경우 미러 레지스트리가 콘텐츠를 제공하는데 사용하는 레지스트리 도메인 이름 및 포트 (선택 사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:8443
    2
    <credentials>의 경우 미러 레지스트리에 대해 base64로 인코딩된 사용자 이름 및 암호를 지정합니다.

    파일은 다음 예제와 유사합니다. 

    {
  "auths": {
    "registry.example.com": {
      "auth": "BGVtbYk3ZHAtqXs=",
      "email": "you@example.com"
    },
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}
3.6.2.2.3. 미러 레지스트리에 이미지 미러링
중요

OpenShift Update Service 애플리케이션의 과도한 메모리 사용을 방지하려면 다음 절차에 설명된 대로 릴리스 이미지를 별도의 저장소에 미러링해야 합니다.

사전 요구 사항

  • 연결이 끊긴 환경에서 사용할 미러 레지스트리를 구성하고 구성한 인증서 및 인증 정보에 액세스할 수 있습니다.
  • Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 다운로드하여 미러 저장소에 대한 인증을 포함하도록 수정했습니다.
  • 자체 서명된 인증서를 사용하는 경우 인증서에 주체 대체 이름을 지정했습니다.

프로세스

  1. Red Hat OpenShift Container Platform Update Graph 시각화 프로그램 및 업데이트 플래너 를 사용하여 한 버전에서 다른 버전으로 업데이트를 계획합니다. OpenShift Update Graph는 채널 그래프와 현재 클러스터 버전과 의도한 클러스터 버전 간에 업데이트 경로가 있는지 확인하는 방법을 제공합니다.

  2. 필요한 환경 변수를 설정합니다.

    1. 릴리스 버전을 내보냅니다. 

      $ export OCP_RELEASE=<release_version>

      <release_version>에 대해 업데이트할 OpenShift Container Platform 버전에 해당하는 태그를 지정합니다 (예: 4.5.4 ).

    2. 로컬 레지스트리 이름 및 호스트 포트를 내보냅니다. 

      $ LOCAL_REGISTRY='<local_registry_host_name>:<local_registry_host_port>'

      <local_registry_host_name>의 경우 미러 저장소의 레지스트리 도메인 이름을 지정하고 <local_registry_host_port>의 경우 콘텐츠를 제공하는데 사용되는 포트를 지정합니다.

    3. 로컬 저장소 이름을 내보냅니다. 

      $ LOCAL_REPOSITORY='<local_repository_name>'

      <local_repository_name>의 경우 레지스트리에 작성할 저장소 이름 (예: ocp4/openshift4)을 지정합니다.

    4. OpenShift Update Service를 사용하는 경우 릴리스 이미지를 포함하도록 추가 로컬 리포지토리 이름을 내보냅니다. 

      $ LOCAL_RELEASE_IMAGES_REPOSITORY='<local_release_images_repository_name>'

      <local_release_images_repository_name>의 경우 레지스트리에 작성할 저장소 이름 (예: ocp4/openshift4-release-images)을 지정합니다.

    5. 미러링할 저장소 이름을 내보냅니다. 

      $ PRODUCT_REPO='openshift-release-dev'

      프로덕션 환경의 릴리스의 경우 openshift-release-dev를 지정해야 합니다.

    6. 레지스트리 풀 시크릿의 경로를 내보냅니다. 

      $ LOCAL_SECRET_JSON='<path_to_pull_secret>'

      생성한 미러 레지스트리에 대한 풀 시크릿의 절대 경로 및 파일 이름을 <path_to_pull_secret>에 지정합니다.

      참고

      클러스터에서 ImageContentSourcePolicy 오브젝트를 사용하여 저장소 미러링을 구성하는 경우 미러링된 레지스트리에 대한 글로벌 풀 시크릿만 사용할 수 있습니다. 프로젝트에 풀 시크릿을 추가할 수 없습니다.

    7. 릴리스 미러를 내보냅니다. 

      $ RELEASE_NAME="ocp-release"

      프로덕션 환경의 릴리스의 경우 ocp-release를 지정해야 합니다.

    8. 클러스터의 아키텍처 유형을 내보냅니다. 

      $ ARCHITECTURE=<cluster_architecture> 1
      1
      x86_64,aarch64,s390x 또는 ppc64le 과 같은 클러스터의 아키텍처를 지정합니다.

    9. 미러링된 이미지를 호스트할 디렉터리의 경로를 내보냅니다. 

      $ REMOVABLE_MEDIA_PATH=<path> 1
      1
      초기 슬래시 (/) 문자를 포함하여 전체 경로를 지정합니다.

  3. 미러링할 이미지 및 설정 매니페스트를 확인합니다. 

    $ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} --dry-run

  4. 미러 레지스트리에 버전 이미지를 미러링합니다.

    • 미러 호스트가 인터넷에 액세스할 수 없는 경우 다음 작업을 수행합니다.

      1. 이동식 미디어를 인터넷에 연결된 시스템에 연결합니다.

      2. 이미지 및 설정 매니페스트를 이동식 미디어의 디렉토리에 미러링합니다. 

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE}
        참고

        이 명령은 미러링된 릴리스 이미지 서명 구성 맵을 생성하고 이동식 미디어에 저장합니다.

      3. 미디어를 연결이 끊긴 환경으로 가져와서 이미지를 로컬 컨테이너 레지스트리에 업로드합니다. 

        $ oc image mirror  -a ${LOCAL_SECRET_JSON} --from-dir=${REMOVABLE_MEDIA_PATH}/mirror "file://openshift/release:${OCP_RELEASE}*" ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} 1
        1
        REMOVABLE_MEDIA_PATH의 경우 이미지를 미러링 할 때 지정한 것과 동일한 경로를 사용해야 합니다.
      4. oc CLI(명령줄 인터페이스)를 사용하여 업데이트 중인 클러스터에 로그인합니다.

      5. 미러링된 릴리스 이미지 서명 config map을 연결된 클러스터에 적용합니다. 

        $ oc apply -f ${REMOVABLE_MEDIA_PATH}/mirror/config/<image_signature_file> 1
        1
        < image_signature_file >의 경우 파일의 경로와 이름을 지정합니다(예: signature-sha256-81154f5c03294534.yaml ).

      6. OpenShift Update Service를 사용하는 경우 릴리스 이미지를 별도의 저장소에 미러링합니다. 

        $ oc image mirror -a ${LOCAL_SECRET_JSON} ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} ${LOCAL_REGISTRY}/${LOCAL_RELEASE_IMAGES_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}

    • 로컬 컨테이너 레지스트리와 클러스터가 미러 호스트에 연결된 경우 다음 작업을 수행합니다.

      1. 릴리스 이미지를 로컬 레지스트리로 직접 푸시하고 다음 명령을 사용하여 구성 맵을 클러스터에 적용합니다. 

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON} --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \
  --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} --apply-release-image-signature
        참고

        --apply-release-image-signature 옵션이 포함된 경우 이미지 서명 확인을 위해 config map을 작성하지 않습니다.

      2. OpenShift Update Service를 사용하는 경우 릴리스 이미지를 별도의 저장소에 미러링합니다. 

        $ oc image mirror -a ${LOCAL_SECRET_JSON} ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} ${LOCAL_REGISTRY}/${LOCAL_RELEASE_IMAGES_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}

3.6.3. OpenShift Update Service를 사용하여 연결이 끊긴 환경에서 클러스터 업데이트

연결된 클러스터와 유사한 업데이트 환경을 얻으려면 다음 절차를 사용하여 연결이 끊긴 환경에서 OSUS(OpenShift Update Service)를 설치하고 구성할 수 있습니다.

다음 단계에서는 OSUS를 사용하여 연결이 끊긴 환경에서 클러스터를 업데이트하는 방법에 대한 고급 워크플로를 간략하게 설명합니다.

  1. 보안 레지스트리에 대한 액세스를 구성합니다.
  2. 미러 레지스트리에 액세스하려면 글로벌 클러스터 풀 시크릿을 업데이트합니다.
  3. OSUS Operator를 설치합니다.
  4. OpenShift 업데이트 서비스에 대한 그래프 데이터 컨테이너 이미지를 생성합니다.
  5. OSUS 애플리케이션을 설치하고 사용자 환경에서 OpenShift Update Service를 사용하도록 클러스터를 구성합니다.
  6. 연결된 클러스터와 마찬가지로 문서에서 지원되는 업데이트 절차를 수행합니다.

3.6.3.1. 연결이 끊긴 환경에서 OpenShift Update Service 사용

OSUS(OpenShift Update Service)는 OpenShift Container Platform 클러스터에 대한 업데이트 권장 사항을 제공합니다. Red Hat은 OpenShift Update Service를 공개적으로 호스팅하며 연결된 환경의 클러스터는 공용 API를 통해 서비스에 연결하여 업데이트 권장 사항을 검색할 수 있습니다.

그러나 연결이 끊긴 환경의 클러스터는 이러한 공용 API에 액세스하여 업데이트 정보를 검색할 수 없습니다. 연결이 끊긴 환경에서 유사한 업데이트 환경을 보유하려면 연결이 끊긴 환경에서 사용할 수 있도록 OpenShift 업데이트 서비스를 설치하고 구성할 수 있습니다.

단일 OSUS 인스턴스는 수천 개의 클러스터에 권장 사항을 제공할 수 있습니다. OSUS는 복제본 값을 변경하여 더 많은 클러스터를 수용하도록 수평으로 확장할 수 있습니다. 따라서 대부분의 연결이 끊긴 사용 사례의 경우 하나의 OSUS 인스턴스만으로도 충분합니다. 예를 들어, Red Hat은 연결된 클러스터의 전체 플릿에 대해 하나의 OSUS 인스턴스를 호스팅합니다.

다른 환경에서 업데이트 권장 사항을 별도로 유지하려면 각 환경에 대해 하나의 OSUS 인스턴스를 실행할 수 있습니다. 예를 들어 별도의 테스트 및 스테이징 환경이 있는 경우 스테이지 환경의 클러스터가 테스트 환경에서 테스트 환경에서 테스트되지 않은 경우 버전 A에 대한 업데이트 권장 사항을 수신하지 않도록 할 수 있습니다.

다음 섹션에서는 OSUS 인스턴스를 설치하고 클러스터에 업데이트 권장 사항을 제공하도록 구성하는 방법을 설명합니다.

추가 리소스

3.6.3.2. 사전 요구 사항

  • oc 명령 줄 인터페이스 (CLI) 툴이 설치되어 있어야합니다.
  • OpenShift Container Platform 이미지 미러링 에 설명된 대로 업데이트의 컨테이너 이미지를 사용하여 환경에 컨테이너 이미지 레지스트리를 프로비저닝해야 합니다.

3.6.3.3. OpenShift Update Service의 보안 레지스트리에 대한 액세스 구성

릴리스 이미지가 사용자 정의 인증 기관에서 HTTPS X.509 인증서를 서명한 레지스트리에 포함된 경우 업데이트 서비스에 대한 다음 변경과 함께 이미지 레지스트리 액세스를 위한 추가 신뢰 저장소 구성 단계를 완료합니다.

OpenShift Update Service Operator는 레지스트리 CA 인증서에 구성 맵 키 이름 updateservice-registry가 필요합니다.

업데이트 서비스에 대한 이미지 레지스트리 CA 구성 맵의 예

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-registry-ca
data:
  updateservice-registry: | 1
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----
  registry-with-port.example.com..5000: | 2
    -----BEGIN CERTIFICATE-----
    ...
    -----END CERTIFICATE-----

1
OpenShift Update Service Operator에는 레지스트리 CA 인증서에 구성 맵 키 이름 updateservice-registry 가 필요합니다.
2
레지스트리에 registry-with-port.example.com:5000 같은 포트가 있는 경우 :..로 교체되어야 합니다.

3.6.3.4. 글로벌 클러스터 풀 시크릿 업데이트

현재 풀 시크릿을 교체하거나 새 풀 시크릿을 추가하여 클러스터의 글로벌 풀 시크릿을 업데이트할 수 있습니다.

이 절차는 사용자가 설치 중 사용된 레지스트리보다 이미지를 저장하기 위해 별도의 레지스트리를 사용하는 경우 필요합니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. 선택 사항: 기존 풀 시크릿에 새 풀 시크릿을 추가하려면 다음 단계를 완료합니다.

    1. 다음 명령을 입력하여 풀 시크릿을 다운로드합니다. 

      $ oc get secret/pull-secret -n openshift-config --template='{{index .data ".dockerconfigjson" | base64decode}}' ><pull_secret_location> 1
      1
      풀 시크릿 파일에 경로를 제공합니다.

    2. 다음 명령을 입력하여 새 풀 시크릿을 추가합니다. 

      $ oc registry login --registry="<registry>" \ 1
--auth-basic="<username>:<password>" \ 2
--to=<pull_secret_location> 3
      1
      새 레지스트리를 제공합니다. 동일한 레지스트리에 여러 리포지토리를 포함할 수 있습니다 (예: --registry="<registry/my-namespace/my-repository&gt;).
      2
      새 레지스트리의 인증 정보를 제공합니다.
      3
      풀 시크릿 파일에 경로를 제공합니다.

      또는 가져오기 시크릿 파일에 대한 수동 업데이트를 수행할 수 있습니다.

  2. 다음 명령을 입력하여 클러스터의 글로벌 풀 시크릿을 업데이트합니다. 

    $ oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=<pull_secret_location> 1
    1
    새 풀 시크릿 파일의 경로를 제공합니다.

    이 업데이트는 모든 노드로 롤아웃되며 클러스터 크기에 따라 작업에 약간의 시간이 걸릴 수 있습니다.

    참고

    OpenShift Container Platform 4.7.4부터 글로벌 풀 시크릿을 변경해도 더 이상 노드 드레이닝 또는 재부팅이 트리거되지 않습니다.

3.6.3.5. OpenShift Update Service Operator 설치

OpenShift Update Service를 설치하려면 먼저 OpenShift Container Platform 웹 콘솔 또는 CLI를 사용하여 OpenShift Update Service Operator를 설치해야 합니다.

참고

연결이 끊긴 클러스터(연결이 끊긴 클러스터)에 설치된 클러스터의 경우 Operator Lifecycle Manager는 기본적으로 원격 레지스트리에서 호스팅되는 Red Hat 제공 OperatorHub 소스에 액세스할 수 없습니다. 이러한 원격 소스에는 완전한 인터넷 연결이 필요하기 때문입니다. 자세한 내용은 제한된 네트워크에서 Operator Lifecycle Manager 사용을 참조하십시오.

3.6.3.5.1. 웹 콘솔을 사용하여 OpenShift Update Service Operator 설치

웹 콘솔을 사용하여 OpenShift Update Service Operator를 설치할 수 있습니다.

프로세스

  1. 웹 콘솔에서 Operator OperatorHub를 클릭합니다.

    참고

    Update Service키워드로 필터링…​ 필드에 입력하여 Operator를 더 빠르게 찾습니다.

  2. 사용 가능한 Operator 목록에서 OpenShift Update Service를 선택한 다음 설치를 클릭합니다.

    1. 업데이트 채널을 선택합니다.
    2. 버전을 선택합니다.
    3. 설치 모드에서 클러스터의 특정 네임스페이스를 선택합니다.
    4. 설치된 네임스페이스의 네임스페이스를 선택하거나 권장 네임스페이스 openshift-update-service를 수락합니다.

    5. 업데이트 승인 전략을 선택합니다.

      • 자동 전략을 사용하면 Operator 새 버전이 준비될 때 OLM(Operator Lifecycle Manager)이 자동으로 Operator를 업데이트할 수 있습니다.
      • 수동 전략을 사용하려면 클러스터 관리자가 Operator 업데이트를 승인해야 합니다.
    6. 설치를 클릭합니다.
  3. Operator 설치된 Operator 로 이동하여 OpenShift Update Service Operator가 설치되었는지 확인합니다.
  4. OpenShift Update Service 가 올바른 네임스페이스에 성공 상태로 나열되어 있는지 확인합니다.
3.6.3.5.2. CLI를 사용하여 OpenShift Update Service Operator 설치

OpenShift CLI(oc)를 사용하여 OpenShift Update Service Operator를 설치할 수 있습니다.

프로세스

  1. OpenShift OpenShift Update Service Operator의 네임스페이스를 생성합니다.

    1. OpenShift Update Service Operator에 대해 Namespace 오브젝트 YAML 파일 (예: update-service-namespace.yaml)을 만듭니다. 

      apiVersion: v1
kind: Namespace
metadata:
  name: openshift-update-service
  annotations:
    openshift.io/node-selector: ""
  labels:
    openshift.io/cluster-monitoring: "true" 1
      1
      이 네임스페이스에서 Operator가 권장하는 클러스터 모니터링을 사용하도록 하려면 openshift.io/cluster-monitoring 레이블을 설정합니다.

    2. 네임스페이스를 생성합니다. 

      $ oc create -f <filename>.yaml

      예를 들면 다음과 같습니다. 

      $ oc create -f update-service-namespace.yaml

  2. 다음 오브젝트를 생성하여 OpenShift Update Service Operator를 설치합니다.

    1. OperatorGroup 오브젝트 YAML 파일을 만듭니다 (예: update-service-operator-group.yaml). 

      apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: update-service-operator-group
  namespace: openshift-update-service
spec:
  targetNamespaces:
  - openshift-update-service

    2. OperatorGroup 오브젝트를 생성합니다. 

      $ oc -n openshift-update-service create -f <filename>.yaml

      예를 들면 다음과 같습니다. 

      $ oc -n openshift-update-service create -f update-service-operator-group.yaml

    3. Subscription 오브젝트 YAML 파일(예: update-service-subscription.yaml)을 생성합니다.

      서브스크립션의 예

      apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: update-service-subscription
  namespace: openshift-update-service
spec:
  channel: v1
  installPlanApproval: "Automatic"
  source: "redhat-operators" 1
  sourceNamespace: "openshift-marketplace"
  name: "cincinnati-operator"

      1
      Operator를 제공하는 카탈로그 소스의 이름을 지정합니다. 사용자 정의 OLM(Operator Lifecycle Manager)을 사용하지 않는 클러스터의 경우 redhat-operators를 지정합니다. OpenShift Container Platform 클러스터가 연결이 끊긴 환경에 설치된 경우 OLM(Operator Lifecycle Manager)을 구성할 때 생성된 CatalogSource 오브젝트의 이름을 지정합니다.

    4. Subscription 오브젝트를 생성합니다. 

      $ oc create -f <filename>.yaml

      예를 들면 다음과 같습니다. 

      $ oc -n openshift-update-service create -f update-service-subscription.yaml

      OpenShift Update Service Operator는 openshift-update-service 네임스페이스에 설치되고 openshift-update-service 네임스페이스를 대상으로 합니다.

  3. Operator 설치를 확인합니다. 

    $ oc -n openshift-update-service get clusterserviceversions

    출력 예

    NAME                             DISPLAY                    VERSION   REPLACES   PHASE
update-service-operator.v4.6.0   OpenShift Update Service   4.6.0                Succeeded
...

    OpenShift Update Service Operator가 나열된 경우 설치에 성공한 것입니다. 버전 번호가 표시된 것과 다를 수 있습니다.

추가 리소스

3.6.3.6. OpenShift Update Service 그래프 데이터 컨테이너 이미지 생성

OpenShift Update Service에는 그래프 데이터 컨테이너 이미지가 필요합니다. 여기서 OpenShift Update Service는 채널 멤버십 및 차단된 업데이트 에지에 대한 정보를 검색합니다. 일반적으로 그래프 데이터는 업데이트 그래프 데이터 리포지토리에서 직접 가져옵니다. 인터넷 연결이 불가능한 환경에서 init 컨테이너에서 이 정보를 로드하는 것도 OpenShift 업데이트 서비스에서 그래프 데이터를 사용할 수 있도록 하는 또 다른 방법입니다. init 컨테이너의 역할은 그래프 데이터의 로컬 사본을 제공하는 것이며 pod 초기화 중에 init 컨테이너가 서비스에서 액세스할 수 있는 볼륨에 데이터를 복사하는 것입니다.

참고

oc-mirror OpenShift CLI(oc) 플러그인은 릴리스 이미지 미러링 외에도 이 그래프 데이터 컨테이너 이미지를 생성합니다. oc-mirror 플러그인을 사용하여 릴리스 이미지를 미러링한 경우 이 절차를 건너뛸 수 있습니다.

프로세스

  1. 다음을 포함하는 Dockerfile(예: ./Dockerfile )을 생성합니다. 

    FROM registry.access.redhat.com/ubi9/ubi:latest

RUN curl -L -o cincinnati-graph-data.tar.gz https://api.openshift.com/api/upgrades_info/graph-data

RUN mkdir -p /var/lib/cincinnati-graph-data && tar xvzf cincinnati-graph-data.tar.gz -C /var/lib/cincinnati-graph-data/ --no-overwrite-dir --no-same-owner

CMD ["/bin/bash", "-c" ,"exec cp -rp /var/lib/cincinnati-graph-data/* /var/lib/cincinnati/graph-data"]

  2. 위 단계에서 생성된 Docker 파일을 사용하여 그래프 데이터 컨테이너 이미지(예: registry.example.com/openshift/graph-data:latest )를 빌드합니다. 

    $ podman build -f ./Dockerfile -t registry.example.com/openshift/graph-data:latest

  3. 이전 단계에서 생성한 그래프 데이터 컨테이너 이미지를 OpenShift Update Service에 액세스할 수 있는 리포지토리(예: registry.example.com/openshift/graph-data:latest )로 푸시합니다. 

    $ podman push registry.example.com/openshift/graph-data:latest
    참고

    그래프 데이터 이미지를 연결이 끊긴 환경의 레지스트리로 내보내려면 이전 단계에서 생성한 그래프 데이터 컨테이너 이미지를 OpenShift Update Service에서 액세스할 수 있는 리포지토리에 복사합니다. 사용 가능한 옵션에 대해 oc image mirror --help 를 실행합니다.

3.6.3.7. OpenShift Update Service 애플리케이션 생성

OpenShift Container Platform 웹 콘솔 또는 CLI를 사용하여 OpenShift Update Service 애플리케이션을 생성할 수 있습니다.

3.6.3.7.1. 웹 콘솔을 사용하여 OpenShift Update Service 애플리케이션 생성

OpenShift Container Platform 웹 콘솔을 사용하여 OpenShift Update Service Operator를 사용하여 OpenShift Update Service 애플리케이션을 생성할 수 있습니다.

사전 요구 사항

  • OpenShift Update Service Operator가 설치되었습니다.
  • OpenShift Update Service 그래프 데이터 컨테이너 이미지가 생성되어 OpenShift Update Service에서 액세스할 수 있는 리포지토리로 푸시되었습니다.
  • 현재 릴리스 및 업데이트 대상 릴리스는 연결이 끊긴 환경의 레지스트리에 미러링되었습니다.

프로세스

  1. 웹 콘솔에서 Operator Installed Operator를 클릭합니다.
  2. 설치된 Operator 목록에서 OpenShift Update Service를 선택합니다.
  3. Update Service 탭을 클릭합니다.
  4. Create UpdateService를 클릭합니다.
  5. Name 필드에 이름을 입력합니다. (예: service)
  6. 그래프 데이터 이미지 필드에 "OpenShift Update Service 그래프 데이터 컨테이너 이미지 생성"에서 생성된 그래프 데이터 컨테이너 이미지에 로컬 pullspec을 입력합니다(예: registry.example.com/openshift/graph-data:latest ).
  7. 릴리스 필드에 "OpenShift Container Platform 이미지 리포지토리 미러링"의 릴리스 이미지를 포함하도록 생성된 레지스트리 및 리포지토리를 입력합니다(예: registry.example.com/ocp4/openshift4-release-images ).
  8. Replicas 필드에 2를 입력합니다.
  9. Create를 클릭하여 OpenShift Update Service 애플리케이션을 생성합니다.

  10. OpenShift Update Service 애플리케이션 확인

    • Update Service 탭의 UpdateServices 목록에서 방금 만든 업데이트 서비스 애플리케이션을 클릭합니다.
    • Resources 탭을 클릭합니다.
    • 각 애플리케이션 리소스의 상태가 Created인지 확인합니다.
3.6.3.7.2. CLI를 사용하여 OpenShift Update Service 애플리케이션 생성

OpenShift CLI(oc)를 사용하여 OpenShift Update Service 애플리케이션을 생성할 수 있습니다.

사전 요구 사항

  • OpenShift Update Service Operator가 설치되었습니다.
  • OpenShift Update Service 그래프 데이터 컨테이너 이미지가 생성되어 OpenShift Update Service에서 액세스할 수 있는 리포지토리로 푸시되었습니다.
  • 현재 릴리스 및 업데이트 대상 릴리스는 연결이 끊긴 환경의 레지스트리에 미러링되었습니다.

프로세스

  1. OpenShift Update Service 대상 네임스페이스를 구성합니다(예: openshift-update-service ). 

    $ NAMESPACE=openshift-update-service

    네임스페이스는 Operator 그룹의 targetNamespaces 값과 일치해야 합니다.

  2. OpenShift Update Service 애플리케이션의 이름을 구성합니다(예: service ). 

    $ NAME=service

  3. "OpenShift Container Platform 이미지 리포지토리 미러링"에 구성된 릴리스 이미지의 레지스트리 및 리포지토리를 구성합니다(예: registry.example.com/ocp4/openshift4-release-images ). 

    $ RELEASE_IMAGES=registry.example.com/ocp4/openshift4-release-images

  4. 그래프 데이터 이미지의 로컬 pullspec을 "OpenShift Update Service 그래프 데이터 컨테이너 이미지 생성"에서 생성된 그래프 데이터 컨테이너 이미지로 설정합니다(예: registry.example.com/openshift/graph-data:latest ). 

    $ GRAPH_DATA_IMAGE=registry.example.com/openshift/graph-data:latest

  5. OpenShift Update Service 애플리케이션 오브젝트를 생성합니다. 

    $ oc -n "${NAMESPACE}" create -f - <<EOF
apiVersion: updateservice.operator.openshift.io/v1
kind: UpdateService
metadata:
  name: ${NAME}
spec:
  replicas: 2
  releases: ${RELEASE_IMAGES}
  graphDataImage: ${GRAPH_DATA_IMAGE}
EOF

  6. OpenShift Update Service 애플리케이션 확인

    1. 다음 명령을 사용하여 정책 엔진 경로를 가져옵니다. 

      $ while sleep 1; do POLICY_ENGINE_GRAPH_URI="$(oc -n "${NAMESPACE}" get -o jsonpath='{.status.policyEngineURI}/api/upgrades_info/v1/graph{"\n"}' updateservice "${NAME}")"; SCHEME="${POLICY_ENGINE_GRAPH_URI%%:*}"; if test "${SCHEME}" = http -o "${SCHEME}" = https; then break; fi; done

      명령이 성공할 때까지 폴링해야 할 수도 있습니다.

    2. 정책 엔진에서 그래프를 검색합니다. channel에 유효한 버전을 지정해야 합니다. 예를 들어 OpenShift Container Platform 4.15에서 실행되는 경우 stable-4.15 를 사용합니다. 

      $ while sleep 10; do HTTP_CODE="$(curl --header Accept:application/json --output /dev/stderr --write-out "%{http_code}" "${POLICY_ENGINE_GRAPH_URI}?channel=stable-4.6")"; if test "${HTTP_CODE}" -eq 200; then break; fi; echo "${HTTP_CODE}"; done

      이 경우 그래프 요청이 성공할 때까지 폴링되지만 미러링된 릴리스 이미지에 따라 결과 그래프가 비어 있을 수 있습니다.

참고

정책 엔진 경로 이름은 RFC-1123을 기반으로 63자 이하여야 합니다. host must conform to DNS 1123 naming convention and must be no more than 63 characters로 인해 CreateRouteFailed 이유와 함께 ReconcileCompleted 상태가 false인 경우 더 짧은 이름으로 업데이트 서비스를 생성하십시오.

3.6.3.8. Cluster Version Operator (CVO) 구성

OpenShift Update Service Operator가 설치되고 OpenShift Update Service 애플리케이션이 생성되면 CVO(Cluster Version Operator)를 업데이트하여 환경에 설치된 OpenShift Update Service에서 그래프 데이터를 가져올 수 있습니다.

사전 요구 사항

  • OpenShift Update Service Operator가 설치되었습니다.
  • OpenShift Update Service 그래프 데이터 컨테이너 이미지가 생성되어 OpenShift Update Service에서 액세스할 수 있는 리포지토리로 푸시되었습니다.
  • 현재 릴리스 및 업데이트 대상 릴리스는 연결이 끊긴 환경의 레지스트리에 미러링되었습니다.
  • OpenShift Update Service 애플리케이션이 생성되었습니다.

프로세스

  1. OpenShift Update Service 대상 네임스페이스를 설정합니다(예: openshift-update-service ). 

    $ NAMESPACE=openshift-update-service

  2. OpenShift Update Service 애플리케이션의 이름을 설정합니다(예: service ). 

    $ NAME=service

  3. 정책 엔진 경로를 가져옵니다. 

    $ POLICY_ENGINE_GRAPH_URI="$(oc -n "${NAMESPACE}" get -o jsonpath='{.status.policyEngineURI}/api/upgrades_info/v1/graph{"\n"}' updateservice "${NAME}")"

  4. 풀 그래프 데이터의 패치를 설정합니다. 

    $ PATCH="{\"spec\":{\"upstream\":\"${POLICY_ENGINE_GRAPH_URI}\"}}"

  5. CVO를 패치하여 사용자 환경에서 OpenShift Update Service를 사용합니다. 

    $ oc patch clusterversion version -p $PATCH --type merge
참고

3.6.3.9. 다음 단계

클러스터를 업데이트하기 전에 다음 조건이 충족되었는지 확인합니다.

  • CVO(Cluster Version Operator)는 설치된 OpenShift Update Service 애플리케이션을 사용하도록 구성되어 있습니다.

  • 새 릴리스의 릴리스 이미지 서명 구성 맵이 클러스터에 적용됩니다.

    참고

    CVO(Cluster Version Operator)는 릴리스 이미지 서명을 사용하여 릴리스 이미지 서명이 예상되는 결과와 일치하는지 확인하여 릴리스 이미지가 수정되지 않았는지 확인합니다.

  • 현재 릴리스 및 업데이트 대상 릴리스 이미지가 연결이 끊긴 환경의 레지스트리에 미러링됩니다.
  • 최근 그래프 데이터 컨테이너 이미지가 레지스트리에 미러링되었습니다.

  • 최신 버전의 OpenShift Update Service Operator가 설치되어 있습니다.

    참고

    OpenShift Update Service Operator를 최근에 설치하거나 업데이트하지 않은 경우 더 최신 버전이 있을 수 있습니다. 연결이 끊긴 환경에서 OLM 카탈로그를 업데이트하는 방법에 대한 자세한 내용은 제한된 네트워크에서 Operator Lifecycle Manager 사용을 참조하십시오.

설치된 OpenShift Update Service 및 로컬 미러 레지스트리를 사용하도록 클러스터를 구성한 후 다음 업데이트 방법을 사용할 수 있습니다.

3.6.4. OpenShift Update Service 없이 연결이 끊긴 환경에서 클러스터 업데이트

다음 절차를 사용하여 OpenShift Update Service에 액세스하지 않고 연결이 끊긴 환경에서 클러스터를 업데이트합니다.

3.6.4.1. 사전 요구 사항

  • oc 명령 줄 인터페이스 (CLI) 툴이 설치되어 있어야합니다.
  • OpenShift Container Platform 이미지 미러링에 설명된 대로 업데이트의 컨테이너 이미지로 로컬 컨테이너 이미지 레지스트리를 프로비저닝해야 합니다.
  • admin 권한이 있는 사용자로 클러스터에 액세스할 수 있어야 합니다. RBAC를 사용하여 권한 정의 및 적용을 참조하십시오.
  • 업데이트가 실패하는 경우 etcd 백업이 있어야 하며 클러스터를 이전 상태로 복원해야 합니다.
  • OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하고 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 설치된 Operator 업데이트를 참조하십시오.
  • 모든 MCP(Machine config pool)가 실행 중이고 일시 중지되지 않았는지 확인해야 합니다. 업데이트 프로세스 중에 일시 중지된 MCP와 연결된 노드를 건너뜁니다. 카나리아 롤아웃 업데이트 전략을 수행하는 경우 MCP를 일시 중지할 수 있습니다.
  • 클러스터에서 수동으로 유지 관리되는 인증 정보를 사용하는 경우 새 릴리스의 클라우드 공급자 리소스를 업데이트합니다. 클러스터의 요구 사항인지 확인하는 방법을 포함하여 자세한 내용은 수동으로 유지 관리되는 인증 정보를 사용하여 클러스터 업데이트 준비를 참조하십시오.
  • Operator를 실행하거나 Pod 중단 예산으로 애플리케이션을 구성한 경우 업데이트 프로세스 중에 중단이 발생할 수 있습니다. PodDisruptionBudget 에서 minAvailable 이 1로 설정된 경우 제거 프로세스를 차단할 수 있는 보류 중인 머신 구성을 적용하기 위해 노드가 드레인됩니다. 여러 노드가 재부팅되면 모든 Pod가 하나의 노드에서만 실행될 수 있으며 PodDisruptionBudget 필드에는 노드가 드레이닝되지 않을 수 있습니다.
참고

Operator를 실행하거나 Pod 중단 예산으로 애플리케이션을 구성한 경우 업데이트 프로세스 중에 중단이 발생할 수 있습니다. PodDisruptionBudget 에서 minAvailable 이 1로 설정된 경우 제거 프로세스를 차단할 수 있는 보류 중인 머신 구성을 적용하기 위해 노드가 드레인됩니다. 여러 노드가 재부팅되면 모든 Pod가 하나의 노드에서만 실행될 수 있으며 PodDisruptionBudget 필드에는 노드가 드레이닝되지 않을 수 있습니다.

3.6.4.2. MachineHealthCheck 리소스 일시 중지

업데이트 프로세스 중에 클러스터의 노드를 일시적으로 사용할 수 없게 될 수 있습니다. 작업자 노드의 경우 시스템 상태 점검에서 이러한 노드를 비정상으로 식별하고 재부팅할 수 있습니다. 이러한 노드를 재부팅하지 않으려면 클러스터를 업데이트하기 전에 모든 MachineHealthCheck 리소스를 일시 중지합니다.

사전 요구 사항

  • OpenShift CLI(oc)를 설치합니다.

프로세스

  1. 일시 중지하려는 사용 가능한 MachineHealthCheck 리소스를 모두 나열하려면 다음 명령을 실행합니다. 

    $ oc get machinehealthcheck -n openshift-machine-api

  2. 머신 상태 점검을 일시 중지하려면 cluster.x-k8s.io/paused="" 주석을 MachineHealthCheck 리소스에 추가합니다. 다음 명령을 실행합니다. 

    $ oc -n openshift-machine-api annotate mhc <mhc-name> cluster.x-k8s.io/paused=""

    주석이 지정된 MachineHealthCheck 리소스는 다음 YAML 파일과 유사합니다. 

    apiVersion: machine.openshift.io/v1beta1
kind: MachineHealthCheck
metadata:
  name: example
  namespace: openshift-machine-api
  annotations:
    cluster.x-k8s.io/paused: ""
spec:
  selector:
    matchLabels:
      role: worker
  unhealthyConditions:
  - type:    "Ready"
    status:  "Unknown"
    timeout: "300s"
  - type:    "Ready"
    status:  "False"
    timeout: "300s"
  maxUnhealthy: "40%"
status:
  currentHealthy: 5
  expectedMachines: 5
    중요

    클러스터를 업데이트한 후 머신 상태 점검을 다시 시작합니다. 검사를 다시 시작하려면 다음 명령을 실행하여 MachineHealthCheck 리소스에서 일시 중지 주석을 제거합니다. 

    $ oc -n openshift-machine-api annotate mhc <mhc-name> cluster.x-k8s.io/paused-

3.6.4.3. 릴리스 이미지 다이제스트 검색

oc adm upgrade 명령을 --to-image 옵션과 함께 사용하여 연결이 끊긴 환경에서 클러스터를 업데이트하려면 대상 릴리스 이미지에 해당하는 sha256 다이제스트를 참조해야 합니다.

프로세스

  1. 인터넷에 연결된 장치에서 다음 명령을 실행합니다. 

    $ oc adm release info -o 'jsonpath={.digest}{"\n"}' quay.io/openshift-release-dev/ocp-release:${OCP_RELEASE_VERSION}-${ARCHITECTURE}

    {OCP_RELEASE_VERSION} 의 경우 4.10.16 과 같이 업데이트할 OpenShift Container Platform 버전을 지정합니다.

    {ARCHITECTURE} 의 경우 x86_64,aarch64,s390x 또는 ppc64le 과 같은 클러스터 아키텍처를 지정합니다.

    출력 예

    sha256:a8bfba3b6dddd1a2fbbead7dac65fe4fb8335089e4e7cae327f3bad334add31d

  2. 클러스터를 업데이트할 때 사용할 sha256 다이제스트를 복사합니다.

3.6.4.4. 연결이 끊긴 클러스터 업데이트

연결이 끊긴 클러스터를 다운로드한 릴리스 이미지를 OpenShift Container Platform 버전으로 업데이트합니다.

참고

로컬 OpenShift Update Service가 있는 경우 이 절차 대신 연결된 웹 콘솔 또는 CLI 지침을 사용하여 업데이트할 수 있습니다.

사전 요구 사항

  • 새 릴리스의 이미지를 레지스트리에 미러링하고 있습니다.

  • 새 릴리스의 릴리스 이미지 서명 ConfigMap을 클러스터에 적용하고 있습니다.

    참고

    릴리스 이미지 서명 구성 맵을 사용하면 CVO(Cluster Version Operator)에서 실제 이미지 서명이 예상 서명과 일치하는지 확인하여 릴리스 이미지의 무결성을 보장할 수 있습니다.

  • 대상 릴리스 이미지에 대한 sha256 다이제스트를 가져옵니다.
  • OpenShift CLI(oc)를 설치합니다.
  • 모든 MachineHealthCheck 리소스를 일시 중지했습니다.

프로세스

  • 클러스터를 업데이트합니다. 

    $ oc adm upgrade --allow-explicit-upgrade --to-image <defined_registry>/<defined_repository>@<digest>

    다음과 같습니다.

    <defined_registry>
    이미지를 미러링한 미러 레지스트리의 이름을 지정합니다.
    <defined_repository>
    미러 레지스트리에서 사용할 이미지 저장소의 이름을 지정합니다.
    <digest>
    대상 릴리스 이미지의 sha256 다이제스트(예: sha256:81154f5c03294534e1eaf0319bef7a601134f891689ccede5d705ef659aa8c92 )를 지정합니다.
    참고
    • 미러 레지스트리 및 저장소 이름을 정의하는 방법은 "OpenShift Container Platform 이미지 미러링"을 참조하십시오.
    • ImageContentSourcePolicy 또는 ImageDigestMirrorSet 을 사용한 경우 정의한 이름 대신 정식 레지스트리 및 리포지토리 이름을 사용할 수 있습니다. 정식 레지스트리 이름은 quay.io 이고 표준 리포지토리 이름은 openshift-release-dev/ocp-release 입니다.
    • ImageContentSourcePolicy 개체가 있는 클러스터에 대한 글로벌 풀 시크릿만 구성할 수 있습니다. 프로젝트에 풀 시크릿을 추가할 수 없습니다.

추가 리소스

3.6.4.5. 이미지 레지스트리 저장소 미러링 이해

컨테이너 레지스트리 저장소 미러링을 설정하면 다음 작업을 수행할 수 있습니다.

  • 소스 이미지 레지스트리의 저장소에서 이미지를 가져오기 위해 요청을 리디렉션하고 미러링된 이미지 레지스트리의 저장소에서 이를 해석하도록 OpenShift Container Platform 클러스터를 설정합니다.
  • 하나의 미러가 다운된 경우 다른 미러를 사용할 수 있도록 각 대상 저장소에 대해 여러 미러링된 저장소를 확인합니다.

OpenShift Container Platform의 저장소 미러링에는 다음 속성이 포함되어 있습니다.

  • 이미지 풀은 레지스트리 다운타임에 탄력적으로 대처할 수 있습니다.
  • 연결이 끊긴 환경의 클러스터는 중요한 위치(예: quay.io)에서 이미지를 가져오고 회사 방화벽 뒤의 레지스트리에서 요청된 이미지를 제공하도록 할 수 있습니다.
  • 이미지 가져오기 요청이 있으면 특정한 레지스트리 순서로 가져오기를 시도하며 일반적으로 영구 레지스트리는 마지막으로 시도합니다.
  • 입력한 미러링 정보는 OpenShift Container Platform 클러스터의 모든 노드에서 /etc/containers/registries.conf 파일에 추가됩니다.
  • 노드가 소스 저장소에서 이미지를 요청하면 요청된 컨텐츠를 찾을 때 까지 미러링된 각 저장소를 차례로 시도합니다. 모든 미러가 실패하면 클러스터는 소스 저장소를 시도합니다. 성공하면 이미지를 노드로 가져올 수 있습니다.

저장소 미러링은 다음과 같은 방법으로 설정할 수 있습니다.

  • OpenShift Container Platform 설치 시

    OpenShift Container Platform에 필요한 컨테이너 이미지를 가져온 다음 해당 이미지를 회사 방화벽 뒤에 배치하면 연결이 끊긴 환경에 있는 데이터 센터에 OpenShift Container Platform을 설치할 수 있습니다.

  • OpenShift Container Platform 설치 후

    OpenShift Container Platform 설치 중에 미러링을 구성하지 않은 경우 다음 CR(사용자 정의 리소스) 오브젝트를 사용하여 설치 후 설치할 수 있습니다.

    • ImageDigestMirrorSet (IDMS). 이 오브젝트를 사용하면 다이제스트 사양을 사용하여 미러링된 레지스트리에서 이미지를 가져올 수 있습니다. IDMS CR을 사용하면 이미지 가져오기에 실패하는 경우 소스 레지스트리에서 지속적인 시도를 허용하거나 중지하는 fall back 정책을 설정할 수 있습니다.
    • ImageTagMirrorSet (ITMS). 이 오브젝트를 사용하면 이미지 태그를 사용하여 미러링된 레지스트리에서 이미지를 가져올 수 있습니다. ITMS CR을 사용하면 이미지 가져오기에 실패하는 경우 소스 레지스트리에서 지속적으로 시도하려는 시도를 허용하거나 중지하는 fall back 정책을 설정할 수 있습니다.
    • ICSP( ImageContentSourcePolicy ). 이 오브젝트를 사용하면 다이제스트 사양을 사용하여 미러링된 레지스트리에서 이미지를 가져올 수 있습니다. 미러가 작동하지 않는 경우 ICSP CR은 항상 소스 레지스트리로 대체됩니다.
    중요

    ICSP( ImageContentSourcePolicy ) 오브젝트를 사용하여 저장소 미러링을 구성하는 것은 더 이상 사용되지 않는 기능입니다. 더 이상 사용되지 않는 기능은 여전히 OpenShift Container Platform에 포함되어 있으며 계속 지원됩니다. 그러나 이 기능은 향후 릴리스에서 제거될 예정이므로 새로운 배포에는 사용하지 않는 것이 좋습니다. ImageContentSourcePolicy 개체를 생성하는 데 사용한 기존 YAML 파일이 있는 경우 oc adm migrate icsp 명령을 사용하여 해당 파일을 ImageDigestMirrorSet YAML 파일로 변환할 수 있습니다. 자세한 내용은 다음 섹션의 "이미지 레지스트리 저장소 미러링에 대한 ImageContentSourcePolicy (ICSP) 파일 변환"을 참조하십시오.

이러한 사용자 정의 리소스 오브젝트 각각 다음 정보를 식별합니다.

  • 미러링하려는 컨테이너 이미지 저장소의 소스
  • 소스 저장소에서 요청된 컨텐츠를 제공하는 각 미러 저장소에 대한 개별 항목

새 클러스터의 경우 IDMS, ITMS 및 ICSP CRs 오브젝트를 원하는 대로 사용할 수 있습니다. 그러나 IDMS 및 ITMS를 사용하는 것이 좋습니다.

클러스터를 업그레이드한 경우 기존 ICSP 오브젝트가 안정적으로 유지되며 IDMS 및 ICSP 오브젝트가 모두 지원됩니다. ICSP 오브젝트를 사용하는 워크로드는 예상대로 계속 작동합니다. 그러나 IDMS CR에 도입된 대체 정책을 활용하려면 다음 이미지 레지스트리 저장소 미러링 섹션에 대해 ICSP(Conversioning ImageContentSourcePolicy) 파일에 표시된 대로 oc adm migrate icsp 명령을 사용하여 현재 워크로드를 IDMS 오브젝트로 마이그레이션할 수 있습니다. IDMS 오브젝트로 마이그레이션하려면 클러스터를 재부팅할 필요가 없습니다.

참고

클러스터에서 ImageDigestMirrorSet,ImageTagMirrorSet 또는 ImageContentSourcePolicy 개체를 사용하여 저장소 미러링을 구성하는 경우 미러링된 레지스트리에 대해 글로벌 풀 시크릿만 사용할 수 있습니다. 프로젝트에 풀 시크릿을 추가할 수 없습니다.

3.6.4.5.1. 이미지 레지스트리 저장소 미러링 설정

설치 후 미러 구성 CR(사용자 정의 리소스)을 생성하여 소스 이미지 레지스트리에서 미러링된 이미지 레지스트리로 이미지 가져오기 요청을 리디렉션할 수 있습니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. 미러링된 저장소를 설정합니다.

    • Red Hat Quay Repository Mirroring에 설명된대로 Red Hat Quay를 사용하여 미러링된 저장소를 설정합니다. Red Hat Quay를 사용하면 한 저장소에서 다른 저장소로 이미지를 복사하고 시간이 지남에 따라 해당 저장소를 반복해서 자동으로 동기화할 수 있습니다.

    • skopeo 와 같은 툴을 사용하여 소스 저장소에서 미러링된 저장소로 이미지를 수동으로 복사합니다.

      예를 들어, Red Hat Enterprise Linux(RHEL) 7 또는 RHEL 8 시스템에 skopeo RPM 패키지를 설치한 후 다음 예와 같이 skopeo 명령을 사용합니다. 

      $ skopeo copy \
docker://registry.access.redhat.com/ubi9/ubi-minimal:latest@sha256:5cf... \
docker://example.io/example/ubi-minimal

      이 예제에는 example.io 라는 컨테이너 이미지 레지스트리가 있으며, registry.access.redhat.com 에서 ubi9/ubi-minimal 이미지를 복사할 example 이라는 이미지 저장소가 있습니다. 미러링된 레지스트리를 생성한 후 OpenShift Container Platform 클러스터를 구성하여 소스 저장소의 요청을 미러링된 저장소로 리디렉션할 수 있습니다.

  2. OpenShift Container Platform 클러스터에 로그인합니다.

  3. 다음 예제 중 하나를 사용하여 설치 후 미러 구성 CR을 생성합니다.

    • 필요에 따라 ImageDigestMirrorSet 또는 ImageTagMirrorSet CR을 생성하여 소스 및 미러를 자체 레지스트리 및 저장소 쌍과 이미지로 교체합니다. 

      apiVersion: config.openshift.io/v1 1
kind: ImageDigestMirrorSet 2
metadata:
  name: ubi9repo
spec:
  imageDigestMirrors: 3
  - mirrors:
    - example.io/example/ubi-minimal 4
    - example.com/example/ubi-minimal 5
    source: registry.access.redhat.com/ubi9/ubi-minimal 6
    mirrorSourcePolicy: AllowContactingSource 7
  - mirrors:
    - mirror.example.com/redhat
    source: registry.example.com/redhat 8
    mirrorSourcePolicy: AllowContactingSource
  - mirrors:
    - mirror.example.com
    source: registry.example.com 9
    mirrorSourcePolicy: AllowContactingSource
  - mirrors:
    - mirror.example.net/image
    source: registry.example.com/example/myimage 10
    mirrorSourcePolicy: AllowContactingSource
  - mirrors:
    - mirror.example.net
    source: registry.example.com/example 11
    mirrorSourcePolicy: AllowContactingSource
  - mirrors:
    - mirror.example.net/registry-example-com
    source: registry.example.com 12
    mirrorSourcePolicy: AllowContactingSource
      1
      이 CR과 함께 사용할 API를 나타냅니다. config.openshift.io/v1 이어야 합니다.
      2
      풀 유형에 따라 오브젝트의 종류를 나타냅니다.
      • ImageDigestMirrorSet: 다이제스트 참조 이미지를 가져옵니다.
      • ImageTagMirrorSet: 태그 참조 이미지를 가져옵니다.
      3
      이미지 가져오기 방법 유형을 나타냅니다.
      • imageDigestMirrors: ImageDigestMirrorSet CR에 사용합니다.
      • imageTagMirrors: ImageTagMirrorSet CR에 사용합니다.
      4
      미러링된 이미지 레지스트리 및 저장소의 이름을 나타냅니다.
      5
      선택 사항: 각 대상 저장소에 대한 보조 미러 저장소를 나타냅니다. 하나의 미러가 다운되면 대상 저장소에서 다른 미러를 사용할 수 있습니다.
      6
      이미지 가져오기 사양에서 참조하는 레지스트리 및 리포지토리 소스를 나타냅니다.
      7
      선택 사항: 이미지 가져오기에 실패하는 경우 대체 정책을 표시합니다.
      • AllowContactingSource: 소스 저장소에서 이미지를 계속 가져올 수 있습니다. 이는 기본값입니다.
      • NeverContactSource: 소스 저장소에서 이미지를 가져 오는 지속적인 시도를 방지합니다.
      8
      선택 사항: 레지스트리 내부의 네임스페이스를 나타내며, 이를 통해 해당 네임스페이스의 이미지를 사용할 수 있습니다. 레지스트리 도메인을 소스로 사용하는 경우 오브젝트는 레지스트리의 모든 리포지토리에 적용됩니다.
      9
      선택 사항: 레지스트리를 나타내며, 레지스트리의 이미지를 사용할 수 있습니다. 레지스트리 이름을 지정하면 오브젝트가 소스 레지스트리의 모든 리포지토리에 적용됩니다.
      10
      미러 mirror.example.net/image@sha256:..에서 registry.example.com/example/myimage@sha256:…​ 이미지를 가져옵니다.
      11
      미러 mirror.example.net/image@sha256:…​에서 소스 레지스트리 네임스페이스에서 registry.example.com/example/image@sha256:…​ 이미지를 가져옵니다.
      12
      미러 레지스트리 example.net/registry-example-com/myimage@sha256:…​ 에서 registry.example.com/myimage@sha256 이미지를 가져옵니다.

    • ImageContentSourcePolicy 사용자 정의 리소스를 생성하여 소스 및 미러를 고유한 레지스트리 및 저장소 쌍 및 이미지로 교체합니다. 

      apiVersion: operator.openshift.io/v1alpha1
kind: ImageContentSourcePolicy
metadata:
  name: mirror-ocp
spec:
  repositoryDigestMirrors:
  - mirrors:
    - mirror.registry.com:443/ocp/release 1
    source: quay.io/openshift-release-dev/ocp-release 2
  - mirrors:
    - mirror.registry.com:443/ocp/release
    source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
      1
      미러 이미지 레지스트리 및 저장소의 이름을 지정합니다.
      2
      미러링된 콘텐츠가 포함된 온라인 레지스트리 및 저장소를 지정합니다.

  4. 새 오브젝트를 생성합니다. 

    $ oc create -f registryrepomirror.yaml

    오브젝트가 생성되면 MCO(Machine Config Operator)는 ImageTagMirrorSet 오브젝트에 대해서만 노드를 드레이닝합니다. MCO는 ImageDigestMirrorSetImageContentSourcePolicy 개체에 대해 노드를 드레이닝하지 않습니다.

  5. 미러링된 구성 설정이 적용되었는지 확인하려면 노드 중 하나에서 다음을 수행하십시오.

    1. 노드를 나열합니다. 

      $ oc get node

      출력 예

      NAME                           STATUS                     ROLES    AGE  VERSION
ip-10-0-137-44.ec2.internal    Ready                      worker   7m   v1.28.5
ip-10-0-138-148.ec2.internal   Ready                      master   11m  v1.28.5
ip-10-0-139-122.ec2.internal   Ready                      master   11m  v1.28.5
ip-10-0-147-35.ec2.internal    Ready                      worker   7m   v1.28.5
ip-10-0-153-12.ec2.internal    Ready                      worker   7m   v1.28.5
ip-10-0-154-10.ec2.internal    Ready                      master   11m  v1.28.5

    2. 디버깅 프로세스를 시작하고 노드에 액세스합니다. 

      $ oc debug node/ip-10-0-147-35.ec2.internal

      출력 예

      Starting pod/ip-10-0-147-35ec2internal-debug ...
To use host binaries, run `chroot /host`

    3. 루트 디렉토리를 /host 로 변경합니다. 

      sh-4.2# chroot /host

    4. /etc/containers/registries.conf 파일을 체크하여 변경 사항이 적용되었는지 확인합니다. 

      sh-4.2# cat /etc/containers/registries.conf

      다음 출력은 설치 후 미러 구성 CR이 적용된 registries.conf 파일을 나타냅니다. 마지막 두 항목은 각각 digest-onlytag-only 로 표시됩니다.

      출력 예

      unqualified-search-registries = ["registry.access.redhat.com", "docker.io"]
short-name-mode = ""

[[registry]]
  prefix = ""
  location = "registry.access.redhat.com/ubi9/ubi-minimal" 1

  [[registry.mirror]]
    location = "example.io/example/ubi-minimal" 2
    pull-from-mirror = "digest-only" 3

  [[registry.mirror]]
    location = "example.com/example/ubi-minimal"
    pull-from-mirror = "digest-only"

[[registry]]
  prefix = ""
  location = "registry.example.com"

  [[registry.mirror]]
    location = "mirror.example.net/registry-example-com"
    pull-from-mirror = "digest-only"

[[registry]]
  prefix = ""
  location = "registry.example.com/example"

  [[registry.mirror]]
    location = "mirror.example.net"
    pull-from-mirror = "digest-only"

[[registry]]
  prefix = ""
  location = "registry.example.com/example/myimage"

  [[registry.mirror]]
    location = "mirror.example.net/image"
    pull-from-mirror = "digest-only"

[[registry]]
  prefix = ""
  location = "registry.example.com"

  [[registry.mirror]]
    location = "mirror.example.com"
    pull-from-mirror = "digest-only"

[[registry]]
  prefix = ""
  location = "registry.example.com/redhat"

  [[registry.mirror]]
    location = "mirror.example.com/redhat"
    pull-from-mirror = "digest-only"
[[registry]]
  prefix = ""
  location = "registry.access.redhat.com/ubi9/ubi-minimal"
  blocked = true 4

  [[registry.mirror]]
    location = "example.io/example/ubi-minimal-tag"
    pull-from-mirror = "tag-only" 5

      1
      가져오기 사양에 참조되는 리포지토리를 나타냅니다.
      2
      해당 저장소에 대한 미러를 나타냅니다.
      3
      미러에서 이미지 가져오기가 다이제스트 참조 이미지임을 나타냅니다.
      4
      NeverContactSource 매개변수가 이 리포지토리에 설정되어 있음을 나타냅니다.
      5
      미러에서 이미지 가져오기가 태그 참조 이미지임을 나타냅니다.

    5. 소스에서 이미지를 노드로 가져와 미러링에 의해 해결되는지 확인합니다. 

      sh-4.2# podman pull --log-level=debug registry.access.redhat.com/ubi9/ubi-minimal@sha256:5cf...

저장소 미러링 문제 해결

저장소 미러링 절차가 설명대로 작동하지 않는 경우 저장소 미러링 작동 방법에 대한 다음 정보를 사용하여 문제를 해결하십시오.

  • 가져온 이미지는 첫 번째 작동 미러를 사용하여 공급합니다.
  • 주요 레지스트리는 다른 미러가 작동하지 않는 경우에만 사용됩니다.
  • 시스템 컨텍스트에서 Insecure 플래그가 폴백으로 사용됩니다.
  • /etc/containers/registries.conf 파일 형식이 최근에 변경되었습니다. 현재 버전은 TOML 형식의 버전 2입니다.
3.6.4.5.2. 이미지 레지스트리 저장소 미러링을 위한 ICP( ImageContentSourcePolicy) 파일 변환

ICSP( ImageContentSourcePolicy ) 오브젝트를 사용하여 저장소 미러링을 구성하는 것은 더 이상 사용되지 않는 기능입니다. 이 기능은 여전히 OpenShift Container Platform에 포함되어 있으며 계속 지원됩니다. 그러나 이 기능은 향후 릴리스에서 제거될 예정이므로 새로운 배포에는 사용하지 않는 것이 좋습니다.

ICSP 오브젝트는 저장소 미러링을 구성하기 위해 ImageDigestMirrorSetImageTagMirrorSet 개체로 교체됩니다. ImageContentSourcePolicy 개체를 생성하는 데 사용한 기존 YAML 파일이 있는 경우 oc adm migrate icsp 명령을 사용하여 해당 파일을 ImageDigestMirrorSet YAML 파일로 변환할 수 있습니다. 명령은 현재 버전으로 API를 업데이트하고, kind 값을 ImageDigestMirrorSet 로 변경하고, spec.repositoryDigestMirrorsspec.imageDigestMirrors 로 변경합니다. 파일의 나머지 부분은 변경되지 않습니다.

마이그레이션은 registries.conf 파일을 변경하지 않으므로 클러스터를 재부팅할 필요가 없습니다.

ImageDigestMirrorSet 또는 ImageTagMirrorSet 오브젝트에 대한 자세한 내용은 이전 섹션의 "이미지 레지스트리 저장소 미러링 설정"을 참조하십시오.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
  • 클러스터에 ImageContentSourcePolicy 개체가 있는지 확인합니다.

프로세스

  1. 다음 명령을 사용하여 하나 이상의 ImageContentSourcePolicy YAML 파일을 ImageDigestMirrorSet YAML 파일로 변환합니다. 

    $ oc adm migrate icsp <file_name>.yaml <file_name>.yaml <file_name>.yaml --dest-dir <path_to_the_directory>

    다음과 같습니다.

    <file_name>
    소스 ImageContentSourcePolicy YAML의 이름을 지정합니다. 여러 파일 이름을 나열할 수 있습니다.
    --dest-dir
    선택 사항: 출력 ImageDigestMirrorSet YAML의 디렉터리를 지정합니다. 설정되지 않으면 파일이 현재 디렉터리에 기록됩니다.

    예를 들어 다음 명령은 icsp.yamlicsp-2.yaml 파일을 변환하고 새 YAML 파일을 idms-files 디렉터리에 저장합니다. 

    $ oc adm migrate icsp icsp.yaml icsp-2.yaml --dest-dir idms-files

    출력 예

    wrote ImageDigestMirrorSet to idms-files/imagedigestmirrorset_ubi8repo.5911620242173376087.yaml
wrote ImageDigestMirrorSet to idms-files/imagedigestmirrorset_ubi9repo.6456931852378115011.yaml

  2. 다음 명령을 실행하여 CR 오브젝트를 생성합니다. 

    $ oc create -f <path_to_the_directory>/<file-name>.yaml

    다음과 같습니다.

    <path_to_the_directory>
    --dest-dir 플래그를 사용한 경우 디렉터리의 경로를 지정합니다.
    <file_name>
    ImageDigestMirrorSet YAML의 이름을 지정합니다.
  3. IDMS 오브젝트가 롤아웃된 후 ICSP 오브젝트를 제거합니다.

3.6.4.6. 클러스터 노드 재부팅 빈도를 줄이기 위해 미러 이미지 카탈로그의 범위 확장

미러링된 이미지 카탈로그의 범위를 저장소 수준 또는 더 넓은 레지스트리 수준에서 지정할 수 있습니다. 광범위한 ImageContentSourcePolicy 리소스는 리소스 변경에 따라 노드를 재부팅해야 하는 횟수를 줄입니다.

ImageContentSourcePolicy 리소스에서 미러 이미지 카탈로그의 범위를 확장하려면 다음 절차를 수행합니다.

사전 요구 사항

  • OpenShift Container Platform CLI oc를 설치합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • 연결이 끊긴 클러스터에서 사용할 미러링된 이미지 카탈로그를 구성합니다.

프로세스

  1. <local_registry>, <pull_spec>, 및 <pull_secret_file>에 대한 값을 지정하여 다음 명령을 실행합니다. 

    $ oc adm catalog mirror <local_registry>/<pull_spec> <local_registry> -a <pull_secret_file> --icsp-scope=registry

    다음과 같습니다.

    <local_registry>
    연결이 끊긴 클러스터에 대해 구성한 로컬 레지스트리입니다 (예: local.registry:5000).
    <pull_spec>
    연결이 끊긴 레지스트리에 구성된 풀 사양입니다(예: redhat/redhat-operator-index:v4.15).
    <pull_secret_file>
    .json 파일 형식의 registry.redhat.io 풀 시크릿입니다. Red Hat OpenShift Cluster Manager에서 풀 시크릿을 다운로드할 수 있습니다.

    oc adm catalog mirror 명령은 /redhat-operator-index-manifests 디렉터리를 생성하고 imageContentSourcePolicy.yaml,catalogSource.yamlmapping.txt 파일을 생성합니다.

  2. ImageContentSourcePolicy 리소스를 클러스터에 적용합니다. 

    $ oc apply -f imageContentSourcePolicy.yaml

검증

  • oc applyImageContentSourcePolicy에 변경 사항을 성공적으로 적용했는지 확인합니다. 

    $ oc get ImageContentSourcePolicy -o yaml

    출력 예

    apiVersion: v1
items:
- apiVersion: operator.openshift.io/v1alpha1
  kind: ImageContentSourcePolicy
  metadata:
    annotations:
      kubectl.kubernetes.io/last-applied-configuration: |
        {"apiVersion":"operator.openshift.io/v1alpha1","kind":"ImageContentSourcePolicy","metadata":{"annotations":{},"name":"redhat-operator-index"},"spec":{"repositoryDigestMirrors":[{"mirrors":["local.registry:5000"],"source":"registry.redhat.io"}]}}
...

ImageContentSourcePolicy 리소스를 업데이트한 후 OpenShift Container Platform은 새 설정을 각 노드에 배포하고 클러스터는 소스 저장소에 대한 요청에 미러링된 저장소를 사용하기 시작합니다.

3.6.4.7. 추가 리소스

3.6.5. 클러스터에서 OpenShift Update Service 설치 제거

클러스터에서 OSUS(OpenShift Update Service)의 로컬 사본을 제거하려면 먼저 OSUS 애플리케이션을 삭제한 다음 OSUS Operator를 제거해야 합니다.

3.6.5.1. OpenShift Update Service 애플리케이션 삭제

OpenShift Container Platform 웹 콘솔 또는 CLI를 사용하여 OpenShift Update Service 애플리케이션을 삭제할 수 있습니다.

3.6.5.1.1. 웹 콘솔을 사용하여 OpenShift Update Service 애플리케이션 삭제

OpenShift Container Platform 웹 콘솔을 사용하여 OpenShift Update Service Operator로 OpenShift Update Service 애플리케이션을 삭제할 수 있습니다.

사전 요구 사항

  • OpenShift Update Service Operator가 설치되었습니다.

프로세스

  1. 웹 콘솔에서 Operator Installed Operator를 클릭합니다.
  2. 설치된 Operator 목록에서 OpenShift Update Service를 선택합니다.
  3. Update Service 탭을 클릭합니다.
  4. 설치된 OpenShift Update Service 애플리케이션 목록에서 삭제할 애플리케이션을 선택한 다음Delete UpdateService를 클릭합니다.
  5. Delete UpdateService? 확인 프롬프트에서 Delete를 클릭하여 삭제를 확인합니다.
3.6.5.1.2. CLI를 사용하여 OpenShift Update Service 애플리케이션 삭제

OpenShift CLI(oc)를 사용하여 OpenShift Update Service 애플리케이션을 삭제할 수 있습니다.

프로세스

  1. OpenShift Update Service 애플리케이션이 생성된 네임스페이스(예: openshift-update-service)를 사용하여 OpenShift Update Service 애플리케이션 이름을 가져옵니다. 

    $ oc get updateservice -n openshift-update-service

    출력 예

    NAME      AGE
service   6s

  2. 이전 단계의 NAME 값과 OpenShift Update Service 애플리케이션이 생성된 네임스페이스(예: openshift-update-service)를 사용하여 OpenShift Update Service 애플리케이션을 삭제합니다. 

    $ oc delete updateservice service -n openshift-update-service

    출력 예

    updateservice.updateservice.operator.openshift.io "service" deleted

3.6.5.2. OpenShift Update Service Operator 설치 제거

OpenShift Container Platform 웹 콘솔 또는 CLI를 사용하여 OpenShift Update Service Operator를 설치 제거할 수 있습니다.

3.6.5.2.1. 웹 콘솔을 사용하여 OpenShift Update Service Operator 설치 제거

OpenShift Container Platform 웹 콘솔을 사용하여 OpenShift Update Service Operator를 설치 제거할 수 있습니다.

사전 요구 사항

  • 모든 OpenShift Update Service 애플리케이션이 삭제되어 있어야 합니다.

프로세스

  1. 웹 콘솔에서 Operator Installed Operator를 클릭합니다.
  2. 설치된 Operator 목록에서 OpenShift Update Service을 선택하고 Uninstall Operator를 클릭합니다.
  3. Uninstall Operator? 확인 대화 상자에서 Uninstall를 클릭하고 제거를 확인합니다.
3.6.5.2.2. CLI를 사용하여 OpenShift Update Service Operator 설치 제거

OpenShift CLI(oc)를 사용하여 OpenShift Update Service Operator를 제거할 수 있습니다.

사전 요구 사항

  • 모든 OpenShift Update Service 애플리케이션이 삭제되어 있어야 합니다.

프로세스

  1. OpenShift Update Service Operator가 포함된 프로젝트로 변경합니다(예: openshift-update-service ). 

    $ oc project openshift-update-service

    출력 예

    Now using project "openshift-update-service" on server "https://example.com:6443".

  2. OpenShift Update Service Operator Operator 그룹의 이름을 가져옵니다. 

    $ oc get operatorgroup

    출력 예

    NAME                             AGE
openshift-update-service-fprx2   4m41s

  3. operator 그룹을 삭제합니다(예: openshift-update-service-fprx2 ). 

    $ oc delete operatorgroup openshift-update-service-fprx2

    출력 예

    operatorgroup.operators.coreos.com "openshift-update-service-fprx2" deleted

  4. OpenShift Update Service Operator 서브스크립션의 이름을 가져옵니다. 

    $ oc get subscription

    출력 예

    NAME                      PACKAGE                   SOURCE                        CHANNEL
update-service-operator   update-service-operator   updateservice-index-catalog   v1

  5. 이전 단계의 Name 값을 사용하여 currentCSV 필드에서 구독한 OpenShift Update Service Operator의 현재 버전을 확인합니다. 

    $ oc get subscription update-service-operator -o yaml | grep " currentCSV"

    출력 예

      currentCSV: update-service-operator.v0.0.1

  6. 서브스크립션을 삭제합니다(예: update-service-operator). 

    $ oc delete subscription update-service-operator

    출력 예

    subscription.operators.coreos.com "update-service-operator" deleted

  7. 이전 단계의 currentCSV 값을 사용하여 OpenShift Update Service Operator의 CSV를 삭제합니다. 

    $ oc delete clusterserviceversion update-service-operator.v0.0.1

    출력 예

    clusterserviceversion.operators.coreos.com "update-service-operator.v0.0.1" deleted

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.