클러스터 업데이트

OpenShift Container Platform 4.17

OpenShift Container Platform 클러스터 업데이트

Red Hat OpenShift Documentation Team

초록

이 문서는 OpenShift Container Platform 클러스터 업데이트 또는 업그레이드에 대한 정보를 제공합니다. 클러스터 업데이트는 클러스터를 오프라인으로 전환할 필요없이 간단한 프로세스로 실행할 수 있습니다.

1장. OpenShift 업데이트 이해

1.1. OpenShift 업데이트 소개

OpenShift Container Platform 4에서는 웹 콘솔 또는 OpenShift CLI(oc)를 사용하여 단일 작업으로 OpenShift Container Platform 클러스터를 업데이트할 수 있습니다. 플랫폼 관리자는 웹 콘솔에서 관리 → 클러스터 설정으로 이동하거나 oc adm upgrade 명령의 출력을 확인하여 새 업데이트 옵션을 볼 수 있습니다.

Red Hat은 공식 레지스트리의 OpenShift Container Platform 릴리스 이미지를 기반으로 하는 업데이트 가능성 그래프를 제공하는 OSUS(OpenShift Update Service)를 호스팅합니다. 그래프에는 모든 공용 OCP 릴리스에 대한 업데이트 정보가 포함되어 있습니다. OpenShift Container Platform 클러스터는 기본적으로 OSUS에 연결하도록 구성되며 OSUS는 알려진 업데이트 대상에 대한 정보를 사용하여 클러스터에 응답합니다.

클러스터 관리자 또는 자동 업데이트 컨트롤러가 새 버전으로 CVO(Cluster Version Operator)의 CR(사용자 정의 리소스)을 편집할 때 업데이트가 시작됩니다. 새로 지정된 버전으로 클러스터를 조정하기 위해 CVO는 이미지 레지스트리에서 대상 릴리스 이미지를 검색하고 변경 사항을 클러스터에 적용하기 시작합니다.

참고

OLM(Operator Lifecycle Manager)을 통해 이전에 설치한 Operator는 업데이트에 대해 다른 프로세스를 따릅니다. 자세한 내용은 설치된 Operator 업데이트를 참조하십시오.

대상 릴리스 이미지에는 특정 OCP 버전을 구성하는 모든 클러스터 구성 요소에 대한 매니페스트 파일이 포함되어 있습니다. 클러스터를 새 버전으로 업데이트할 때 CVO는 Runlevels라는 별도의 단계에 매니페스트를 적용합니다. 대부분은 아니지만 일부 매니페스트는 클러스터 Operator 중 하나를 지원합니다. CVO는 클러스터 Operator에 매니페스트를 적용하므로 Operator에서 업데이트 작업을 수행하여 새 지정된 버전으로 조정할 수 있습니다.

CVO는 적용되는 각 리소스의 상태 및 모든 클러스터 Operator가 보고한 상태를 모니터링합니다. CVO는 활성 Runlevel의 모든 매니페스트 및 클러스터 Operator가 안정적인 상태에 도달하는 경우에만 업데이트를 진행합니다. CVO는 이 프로세스를 통해 전체 컨트롤 플레인을 업데이트한 후 MCO(Machine Config Operator)는 클러스터의 모든 노드의 운영 체제 및 구성을 업데이트합니다.

1.1.1. 업데이트 가용성에 대한 일반적인 질문

OpenShift Container Platform 클러스터에서 업데이트를 사용할 수 있는 경우 및 경우에 영향을 미치는 몇 가지 요소가 있습니다. 다음 목록은 업데이트 가용성에 대한 일반적인 질문을 제공합니다.

각 업데이트 채널의 차이점은 무엇입니까?

처음에 새 릴리스가 candidate 채널에 추가됩니다.
최종 테스트를 완료한 후 candidate 채널의 릴리스가 fast 채널로 승격되고 에라타가 게시되고 릴리스가 완전히 지원됩니다.
지연 후 fast 채널의 릴리스는 결국 stable 채널로 승격됩니다. 이 지연은 fast 채널과 stable 채널의 유일한 차이점입니다.
참고
최신 z-stream 릴리스의 경우 이 지연은 일반적으로 1주 또는 2주가 될 수 있습니다. 그러나 최신 마이너 버전에 대한 초기 업데이트 지연은 일반적으로 45-90일로 더 오래 걸릴 수 있습니다.
stable 채널로 승격된 릴리스는 동시에 eus 채널로 확장됩니다. eus 채널의 주요 목적은 컨트롤 플레인만 업데이트를 수행하는 클러스터의 편의를 제공하는 것입니다.

stable 채널의 릴리스가 fast 채널의 릴리스보다 안전하거나 더 지원됩니까?

fast 채널의 릴리스에 대해 회귀 문제가 확인되면 stable 채널의 릴리스에 대해 해당 회귀가 식별된 경우와 동일한 범위로 확인되고 관리됩니다.
fast 및 stable 채널에서 릴리스의 유일한 차이점은 릴리스가 잠시 동안 fast 채널에 있는 후에만 stable 채널에 표시되므로 새로운 업데이트 위험을 더 많이 사용할 수 있다는 것입니다.
fast 채널에서 사용 가능한 릴리스는 이 지연 후 stable 채널에서 항상 사용할 수 있습니다.

업데이트에 알려진 문제가 있는 경우 어떻게 됩니까?

Red Hat은 여러 소스의 데이터를 지속적으로 평가하여 한 버전에서 다른 버전으로의 업데이트에 선언된 문제가 있는지 확인합니다. 확인된 문제는 일반적으로 버전의 릴리스 노트에 설명되어 있습니다. 업데이트 경로에 알려진 문제가 있더라도 업데이트를 수행하는 경우에도 고객은 계속 지원됩니다.
Red Hat은 사용자가 특정 버전으로의 업데이트를 차단하지 않습니다. Red Hat은 특정 클러스터에 적용되거나 적용되지 않을 수 있는 조건부 업데이트 위험을 선언할 수 있습니다.
- 선언된 위험은 클러스터 관리자에게 지원되는 업데이트에 대한 자세한 컨텍스트를 제공합니다. 클러스터 관리자는 특정 대상 버전으로의 위험 및 업데이트를 계속 허용할 수 있습니다.

특정 릴리스에 대한 업데이트가 더 이상 권장되지 않는 경우 어떻게 해야 합니까?

문제 해결으로 인해 Red Hat이 지원되는 릴리스에서 업데이트 권장 사항을 제거하는 경우 회귀 문제를 수정하는 향후 버전에 후속 업데이트 권장 사항이 제공됩니다. 결함이 수정, 테스트 및 선택한 채널로 승격되는 동안 지연이 발생할 수 있습니다.

다음 z-stream 릴리스를 빠르고 안정적인 채널에서 사용할 수 있는 기간은 얼마나 됩니까?

특정 주기는 여러 요인에 따라 다를 수 있지만 최신 마이너 버전의 새로운 z-stream 릴리스는 일반적으로 매주 사용할 수 있습니다. 시간이 지남에 따라 더 안정적인 이전 마이너 버전은 새로운 z-stream 릴리스를 사용할 수 있도록 하는 데 시간이 오래 걸릴 수 있습니다.
중요
이는 z-stream 릴리스에 대한 이전 데이터를 기반으로 하는 추정치일 뿐입니다. Red Hat은 필요에 따라 릴리스 빈도를 변경할 수 있는 권한을 갖습니다. 모든 문제는 이 릴리스 주기에서 불규칙성 및 지연을 유발할 수 있습니다.
z-stream 릴리스가 게시되면 해당 마이너 버전의 fast 채널에도 표시됩니다. 지연 후 z-stream 릴리스는 해당 마이너 버전의 stable 채널에 표시될 수 있습니다.

추가 리소스

업데이트 채널 및 릴리스 이해

1.1.2. OpenShift 업데이트 서비스 정보

OSUS(OpenShift Update Service)는 RHCOS(Red Hat Enterprise Linux CoreOS)를 포함하여 OpenShift Container Platform에 대한 업데이트 권장 사항을 제공합니다. 구성 요소 Operator의 정점과 이를 연결하는 에지를 포함하는 그래프 또는 다이어그램을 제공합니다. 그래프의 에지에는 안전하게 업데이트할 수 있는 버전이 표시됩니다. 정점은 관리형 클러스터 구성 요소의 상태를 지정하는 업데이트 페이로드입니다.

클러스터의 CVO (Cluster Version Operator)는 OpenShift Update Service를 확인하여 현재 구성 요소 버전 및 그래프의 정보를 기반으로 유효한 업데이트 및 업데이트 경로를 확인합니다. 업데이트를 요청하면 CVO는 해당 릴리스 이미지를 사용하여 클러스터를 업데이트합니다. 릴리스 아티팩트는 Quay에서 컨테이너 이미지로 호스팅됩니다.

OpenShift Update Service가 호환 가능한 업데이트만 제공할 수 있도록 자동화를 지원하는 버전 확인 파이프 라인이 제공됩니다. 각 릴리스 아티팩트는 지원되는 클라우드 플랫폼 및 시스템 아키텍처 및 기타 구성 요소 패키지와의 호환성 여부를 확인합니다. 파이프 라인에서 적용 가능한 버전이 있음을 확인한 후 OpenShift Update Service는 해당 버전 업데이트를 사용할 수 있음을 알려줍니다.

중요

OpenShift Update Service는 현재 클러스터에 권장되는 모든 업데이트를 표시합니다. OpenShift Update Service에서 업데이트 경로를 권장하지 않는 경우, 비호환성 또는 가용성과 같은 업데이트 경로와 관련된 알려진 문제로 인해 발생할 수 있습니다.

연속 업데이트 모드에서는 두 개의 컨트롤러가 실행됩니다. 하나의 컨트롤러는 페이로드 매니페스트를 지속적으로 업데이트하여 매니페스트를 클러스터에 적용한 다음 Operator의 제어된 롤아웃 상태를 출력하여 사용 가능한지, 업그레이드했는지 또는 실패했는지의 여부를 나타냅니다. 두 번째 컨트롤러는 OpenShift Update Service를 폴링하여 업데이트를 사용할 수 있는지 확인합니다.

중요

최신 버전으로만 업데이트할 수 있습니다. 클러스터를 이전 버전으로 되돌리거나 롤백을 수행하는 것은 지원되지 않습니다. 업데이트에 실패하면 Red Hat 지원에 문의하십시오.

업데이트 프로세스 중에 MCO(Machine Config Operator)는 새 설정을 클러스터 머신에 적용합니다. MCO는 머신 구성 풀의 maxUnavailable 필드에 지정된 노드 수를 제한하고 사용할 수 없음을 표시합니다. 기본적으로 이 값은 1로 설정됩니다. MCO는 topology.kubernetes.io/zone 레이블을 기반으로 영역별로 영향을 받는 노드를 업데이트합니다. 영역에 둘 이상의 노드가 있으면 가장 오래된 노드가 먼저 업데이트됩니다. 베어 메탈 배포에서와 같이 영역을 사용하지 않는 노드의 경우 노드가 수명에 따라 업데이트되며 가장 오래된 노드가 먼저 업데이트됩니다. MCO는 머신 구성 풀의 maxUnavailable 필드에 지정된 노드 수를 한 번에 업데이트합니다. MCO는 새 설정을 적용하여 컴퓨터를 다시 시작합니다.

주의

maxUnavailable 의 기본 설정은 OpenShift Container Platform의 모든 머신 구성 풀에 대해 1 입니다. 이 값을 변경하지 않고 한 번에 하나의 컨트롤 플레인 노드를 업데이트하는 것이 좋습니다. 컨트롤 플레인 풀의 경우 이 값을 3 으로 변경하지 마십시오.

RHEL (Red Hat Enterprise Linux) 머신을 작업자로 사용하는 경우 먼저 시스템에서 OpenShift API를 업데이트해야하기 때문에 MCO는 이 머신에서 kubelet을 업데이트하지 않습니다.

새 버전의 사양이 이전 kubelet에 적용되므로 RHEL 머신을 Ready 상태로 되돌릴 수 없습니다. 컴퓨터를 사용할 수 있을 때까지 업데이트를 완료할 수 없습니다. 그러나 사용 불가능한 최대 노드 수를 설정하면 사용할 수 없는 머신의 수가 이 값을 초과하지 않는 경우에도 정상적인 클러스터 작업을 계속할 수 있습니다.

OpenShift Update Service는 Operator 및 하나 이상의 애플리케이션 인스턴스로 구성됩니다.

1.1.3. 클러스터 Operator 상태 유형 이해

클러스터 Operator 상태에는 Operator의 상태를 나타내는 상태 유형이 포함됩니다. 다음 정의는 몇 가지 일반적인 ClusterOperator 상태 유형의 목록을 다룹니다. 추가 조건 유형이 있고 Operator별 언어를 사용하는 Operator가 생략되었습니다.

CVO(Cluster Version Operator)는 클러스터 관리자가 OpenShift Container Platform 클러스터의 상태를 더 잘 이해할 수 있도록 클러스터 Operator에서 상태 조건을 수집합니다.

available: 사용 가능한 조건 유형은 Operator가 작동하고 클러스터에서 사용 가능함을 나타냅니다. 상태가 False 이면 피연산자의 적어도 한 부분이 작동하지 않으며 관리자가 개입해야 합니다.
진행 중: 상태 유형 Progressing 은 Operator가 적극적으로 새 코드를 롤아웃하고, 구성 변경 사항을 전파하거나, 그렇지 않으면 하나의 steady 상태에서 다른 상태로 이동 중임을 나타냅니다.
Operator는 이전 알려진 상태를 조정할 때 상태 유형 Progressing 을 True 로 보고하지 않습니다. 관찰된 클러스터 상태가 변경되고 Operator가 반응하고 있는 경우 상태가 True 로 다시 보고됩니다. 이는 하나의 연속 상태에서 다른 상태로 이동하기 때문입니다.
degraded: 조건 유형 Degraded 는 Operator에 일정 기간 동안 필요한 상태와 일치하지 않는 현재 상태가 있음을 나타냅니다. 기간의 기간은 구성 요소에 따라 다를 수 있지만 성능이 저하된 상태는 Operator의 상태에 대한 지속적인 관찰을 나타냅니다. 결과적으로 Operator는 Degraded 상태에서 변동하지 않습니다.
한 상태에서 다른 상태로의 전환이 Degraded 를 보고하기에 충분한 기간 동안 지속되지 않는 경우 다른 조건 유형이 있을 수 있습니다. Operator는 일반 업데이트 중에 Degraded 를 보고하지 않습니다. Operator는 최종 관리자 개입이 필요한 영구 인프라 장애에 대한 응답으로 Degraded 를 보고할 수 있습니다.
참고
이 조건 유형은 조사 및 수정이 필요할 수 있다는 표시일 뿐입니다. Operator를 사용할 수 있는 경우 Degraded 상태로 인해 사용자 워크로드 실패 또는 애플리케이션 다운 타임이 발생하지 않습니다.
Upgradeable: Upgradeable 조건 유형은 Operator가 현재 클러스터 상태에 따라 안전하게 업데이트되는지 여부를 나타냅니다. message 필드에는 관리자가 클러스터를 성공적으로 업데이트하려면 어떻게 해야 하는지에 대한 사람이 읽을 수 있는 설명이 포함되어 있습니다. CVO는 이 조건이 True,알 수 없거나 누락된 경우 업데이트를 허용합니다.
Upgradeable 상태가 False 인 경우 마이너 업데이트만 영향을 받으며 CVO는 강제 적용되지 않는 한 클러스터가 영향을 받는 업데이트를 수행하지 못하도록 합니다.

1.1.4. 클러스터 버전 조건 유형 이해

CVO(Cluster Version Operator)는 클러스터 Operator 및 기타 구성 요소를 모니터링하고 클러스터 버전과 해당 Operator의 상태를 수집합니다. 이 상태에는 OpenShift Container Platform 클러스터의 상태 및 현재 상태를 알려주는 조건 유형이 포함됩니다.

Available,Progressing, Upgradeable 외에도 클러스터 버전 및 Operator에 영향을 미치는 조건 유형이 있습니다.

실패: 클러스터 버전 조건 Failing 은 클러스터가 원하는 상태에 도달할 수 없으며 비정상이며 관리자가 개입해야 함을 나타냅니다.
잘못된: 클러스터 버전 조건 유형이 유효하지 않음은 클러스터 버전에 서버가 작업을 수행하지 못하도록 하는 오류가 있음을 나타냅니다. CVO는 이 조건이 설정된 경우에만 현재 상태를 조정합니다.
RetrievedUpdates: 클러스터 버전 조건 유형 RetrievedUpdates 는 업스트림 업데이트 서버에서 사용 가능한 업데이트가 검색되었는지 여부를 나타냅니다. 검색 전에 조건을 알 수 없음, 업데이트를 최근에 실패했거나 검색할 수 없는 경우 False 또는 availableUpdates 필드가 recent 및 accurate인 경우 True 입니다.
ReleaseAccepted: True 상태의 클러스터 버전 조건 유형 ReleaseAccepted 는 요청된 릴리스 페이로드가 이미지 확인 및 사전 조건 확인 중에 실패 없이 성공적으로 로드되었음을 나타냅니다.
ImplicitlyEnabledCapabilities: True 상태의 클러스터 버전 조건 유형 ImplicitlyEnabledCapabilities 는 사용자가 spec.capabilities 를 통해 현재 요청하지 않는 활성화 기능이 있음을 나타냅니다. 관련 리소스가 이전에 CVO에서 관리된 경우 CVO는 기능 비활성화를 지원하지 않습니다.

1.1.5. 일반 용어

컨트롤 플레인: 컨트롤 플레인 시스템으로 구성된 컨트롤 플레인은 OpenShift Container Platform 클러스터를 관리합니다. 컨트롤 플레인 머신에서는 작업자 머신이라고도 하는 컴퓨팅 머신의 워크로드를 관리합니다.
Cluster Version Operator: CVO( Cluster Version Operator )는 클러스터의 업데이트 프로세스를 시작합니다. 현재 클러스터 버전을 기반으로 OSUS를 확인하고 사용 가능한 업데이트 경로가 포함된 그래프를 검색합니다.
Machine Config Operator: MCO( Machine Config Operator )는 운영 체제 및 머신 구성을 관리하는 클러스터 수준 Operator입니다. 플랫폼 관리자는 MCO를 통해 작업자 노드에서 systemd, CRI-O 및 Kubelet, 커널, NetworkManager 및 기타 시스템 기능을 구성하고 업데이트할 수 있습니다.
OpenShift 업데이트 서비스: OSUS( OpenShift Update Service )는 RHCOS(Red Hat Enterprise Linux CoreOS)를 포함하여 OpenShift Container Platform에 대한 무선 업데이트를 제공합니다. 구성 요소 Operator의 정점과 이를 연결하는 에지를 포함하는 그래프 또는 다이어그램을 제공합니다.
채널: 채널은 OpenShift Container Platform의 마이너 버전에 연결된 업데이트 전략을 선언합니다. OSUS는 이 구성된 전략을 사용하여 해당 전략과 일치하는 에지를 업데이트할 것을 권장합니다.
권장 업데이트 엣지: 권장 업데이트 에지 는 OpenShift Container Platform 릴리스 간에 권장되는 업데이트입니다. 지정된 업데이트가 권장되는지 여부는 클러스터의 구성된 채널, 현재 버전, 알려진 버그 및 기타 정보에 따라 달라질 수 있습니다. OSUS는 모든 클러스터에서 실행되는 CVO에 권장 에지를 전달합니다.

추가 리소스

1.1.6. 추가 리소스

클러스터 업데이트 작동 방식.

1.2. 클러스터 업데이트 작동 방식

다음 섹션에서는 OCP(OpenShift Container Platform) 업데이트 프로세스의 각 주요 측면을 자세히 설명합니다. 업데이트가 작동하는 방법에 대한 일반적인 개요는 OpenShift 업데이트 소개를 참조하십시오.

1.2.1. Cluster Version Operator

CVO(Cluster Version Operator)는 OpenShift Container Platform 업데이트 프로세스를 오케스트레이션하고 용이하게 하는 주요 구성 요소입니다. 설치 및 표준 클러스터 작업 중에 CVO는 관리 클러스터 Operator의 매니페스트를 클러스터 내부 리소스와 지속적으로 비교하고 불일치를 조정하여 이러한 리소스의 실제 상태가 원하는 상태와 일치하는지 확인합니다.

1.2.1.1. ClusterVersion 오브젝트

CVO(Cluster Version Operator)에서 모니터링하는 리소스 중 하나는 ClusterVersion 리소스입니다.

관리자 및 OpenShift 구성 요소는 ClusterVersion 오브젝트를 통해 CVO와 통신하거나 상호 작용할 수 있습니다. 원하는 CVO 상태는 ClusterVersion 오브젝트를 통해 선언되며 현재 CVO 상태는 오브젝트 상태에 반영됩니다.

참고

ClusterVersion 오브젝트를 직접 수정하지 마십시오. 대신 oc CLI 또는 웹 콘솔과 같은 인터페이스를 사용하여 업데이트 대상을 선언합니다.

CVO는 ClusterVersion 리소스의 spec 속성에 선언된 대상 상태로 클러스터를 지속적으로 조정합니다. 원하는 릴리스가 실제 릴리스와 다른 경우 조정이 클러스터를 업데이트합니다.

가용성 데이터 업데이트

ClusterVersion 리소스에는 클러스터에서 사용할 수 있는 업데이트에 대한 정보도 포함되어 있습니다. 여기에는 클러스터에 적용되는 알려진 위험으로 인해 사용할 수 있지만 권장되지 않는 업데이트가 포함됩니다. 이러한 업데이트를 조건부 업데이트라고 합니다. CVO가 ClusterVersion 리소스의 사용 가능한 업데이트에 대한 이 정보를 유지 관리하는 방법에 대한 자세한 내용은 "업데이트 가용성 평가" 섹션을 참조하십시오.

다음 명령을 사용하여 사용 가능한 모든 업데이트를 검사할 수 있습니다.

$ oc adm upgrade --include-not-recommended

참고

additional --include-not-recommended 매개변수에는 클러스터에 적용되는 알려진 문제에서 사용할 수 있는 업데이트가 포함되어 있습니다.

출력 예

Cluster version is 4.13.40

Upstream is unset, so the cluster will use an appropriate default.
Channel: stable-4.14 (available channels: candidate-4.13, candidate-4.14, eus-4.14, fast-4.13, fast-4.14, stable-4.13, stable-4.14)

Recommended updates:

  VERSION     IMAGE
  4.14.27     quay.io/openshift-release-dev/ocp-release@sha256:4d30b359aa6600a89ed49ce6a9a5fdab54092bcb821a25480fdfbc47e66af9ec
  4.14.26     quay.io/openshift-release-dev/ocp-release@sha256:4fe7d4ccf4d967a309f83118f1a380a656a733d7fcee1dbaf4d51752a6372890
  4.14.25     quay.io/openshift-release-dev/ocp-release@sha256:a0ef946ef8ae75aef726af1d9bbaad278559ad8cab2c1ed1088928a0087990b6
  4.14.24     quay.io/openshift-release-dev/ocp-release@sha256:0a34eac4b834e67f1bca94493c237e307be2c0eae7b8956d4d8ef1c0c462c7b0
  4.14.23     quay.io/openshift-release-dev/ocp-release@sha256:f8465817382128ec7c0bc676174bad0fb43204c353e49c146ddd83a5b3d58d92
  4.13.42     quay.io/openshift-release-dev/ocp-release@sha256:dcf5c3ad7384f8bee3c275da8f886b0bc9aea7611d166d695d0cf0fff40a0b55
  4.13.41     quay.io/openshift-release-dev/ocp-release@sha256:dbb8aa0cf53dc5ac663514e259ad2768d8c82fd1fe7181a4cfb484e3ffdbd3ba

Updates with known issues:

  Version: 4.14.22
  Image: quay.io/openshift-release-dev/ocp-release@sha256:7093fa606debe63820671cc92a1384e14d0b70058d4b4719d666571e1fc62190
  Reason: MultipleReasons
  Message: Exposure to AzureRegistryImageMigrationUserProvisioned is unknown due to an evaluation failure: client-side throttling: only 18.061µs has elapsed since the last match call completed for this cluster condition backend; this cached cluster condition request has been queued for later execution
  In Azure clusters with the user-provisioned registry storage, the in-cluster image registry component may struggle to complete the cluster update. https://issues.redhat.com/browse/IR-468

  Incoming HTTP requests to services exposed by Routes may fail while routers reload their configuration, especially when made with Apache HTTPClient versions before 5.0. The problem is more likely to occur in clusters with higher number of Routes and corresponding endpoints. https://issues.redhat.com/browse/NE-1689

  Version: 4.14.21
  Image: quay.io/openshift-release-dev/ocp-release@sha256:6e3fba19a1453e61f8846c6b0ad3abf41436a3550092cbfd364ad4ce194582b7
  Reason: MultipleReasons
  Message: Exposure to AzureRegistryImageMigrationUserProvisioned is unknown due to an evaluation failure: client-side throttling: only 33.991µs has elapsed since the last match call completed for this cluster condition backend; this cached cluster condition request has been queued for later execution
  In Azure clusters with the user-provisioned registry storage, the in-cluster image registry component may struggle to complete the cluster update. https://issues.redhat.com/browse/IR-468

  Incoming HTTP requests to services exposed by Routes may fail while routers reload their configuration, especially when made with Apache HTTPClient versions before 5.0. The problem is more likely to occur in clusters with higher number of Routes and corresponding endpoints. https://issues.redhat.com/browse/NE-1689

oc adm upgrade 명령은 ClusterVersion 리소스에 사용 가능한 업데이트에 대한 정보를 쿼리하고 사용자가 읽을 수 있는 형식으로 제공합니다.

CVO에서 생성한 기본 가용성 데이터를 직접 검사하는 한 가지 방법은 다음 명령을 사용하여 ClusterVersion 리소스를 쿼리하는 것입니다.

$ oc get clusterversion version -o json | jq '.status.availableUpdates'

출력 예

[
  {
    "channels": [
      "candidate-4.11",
      "candidate-4.12",
      "fast-4.11",
      "fast-4.12"
    ],
    "image": "quay.io/openshift-release-dev/ocp-release@sha256:400267c7f4e61c6bfa0a59571467e8bd85c9188e442cbd820cc8263809be3775",
    "url": "https://access.redhat.com/errata/RHBA-2023:3213",
    "version": "4.11.41"
  },
  ...
]

유사한 명령을 사용하여 조건부 업데이트를 확인할 수 있습니다.

$ oc get clusterversion version -o json | jq '.status.conditionalUpdates'

출력 예

[
  {
    "conditions": [
      {
        "lastTransitionTime": "2023-05-30T16:28:59Z",
        "message": "The 4.11.36 release only resolves an installation issue https://issues.redhat.com//browse/OCPBUGS-11663 , which does not affect already running clusters. 4.11.36 does not include fixes delivered in recent 4.11.z releases and therefore upgrading from these versions would cause fixed bugs to reappear. Red Hat does not recommend upgrading clusters to 4.11.36 version for this reason. https://access.redhat.com/solutions/7007136",
        "reason": "PatchesOlderRelease",
        "status": "False",
        "type": "Recommended"
      }
    ],
    "release": {
      "channels": [...],
      "image": "quay.io/openshift-release-dev/ocp-release@sha256:8c04176b771a62abd801fcda3e952633566c8b5ff177b93592e8e8d2d1f8471d",
      "url": "https://access.redhat.com/errata/RHBA-2023:1733",
      "version": "4.11.36"
    },
    "risks": [...]
  },
  ...
]

1.2.1.2. 업데이트 가용성 평가

CVO(Cluster Version Operator)는 업데이트 가능성에 대한 최신 데이터에 대해 OSUS(OpenShift Update Service)를 주기적으로 쿼리합니다. 이 데이터는 클러스터의 서브스크립션 채널을 기반으로 합니다. 그런 다음 CVO는 업데이트 권장 사항에 대한 정보를 ClusterVersion 리소스의 availableUpdates 또는 conditionalUpdates 필드에 저장합니다.

CVO는 조건부 업데이트에서 업데이트 위험을 주기적으로 확인합니다. 이러한 위험은 OSUS에서 제공하는 데이터를 통해 전달되며, 여기에는 해당 버전으로 업데이트된 클러스터에 영향을 미칠 수 있는 알려진 문제에 대한 각 버전에 대한 정보가 포함되어 있습니다. 대부분의 위험은 특정 클라우드 플랫폼에 배포된 특정 크기 또는 클러스터가 있는 클러스터와 같이 특정 특성이 있는 클러스터로 제한됩니다.

CVO는 각 조건부 업데이트의 조건부 위험 정보에 대해 클러스터 특성을 지속적으로 평가합니다. CVO가 클러스터가 기준과 일치하도록 발견하면 CVO는 이 정보를 ClusterVersion 리소스의 conditionalUpdates 필드에 저장합니다. CVO가 클러스터가 업데이트 위험과 일치하지 않거나 업데이트와 관련된 위험이 없는 경우 ClusterVersion 리소스의 availableUpdates 필드에 대상 버전을 저장합니다.

사용자 인터페이스(웹 콘솔 또는 OpenShift CLI(oc))는 이 정보를 관리자에게 제목으로 지정합니다. 업데이트 경로와 관련된 알려진 각 문제에는 위험 관련 추가 리소스에 대한 링크가 포함되어 관리자가 업데이트에 대해 정보에 입각한 결정을 내릴 수 있습니다.

추가 리소스

권장 사항 제거 및 상태 업데이트 업데이트

1.2.2. 이미지 릴리스

릴리스 이미지는 특정 OCP(OpenShift Container Platform) 버전에 대한 제공 메커니즘입니다. 릴리스 메타데이터, 릴리스 버전과 일치하는 CVO(Cluster Version Operator) 바이너리, 개별 OpenShift 클러스터 Operator를 배포하는 데 필요한 모든 매니페스트 및 이 OpenShift 버전을 구성하는 모든 컨테이너 이미지에 대한 SHA 다이제스트 버전 참조 목록이 포함되어 있습니다.

다음 명령을 실행하여 특정 릴리스 이미지의 콘텐츠를 검사할 수 있습니다.

$ oc adm release extract <release image>

출력 예

$ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.12.6-x86_64
Extracted release payload from digest sha256:800d1e39d145664975a3bb7cbc6e674fbf78e3c45b5dde9ff2c5a11a8690c87b created at 2023-03-01T12:46:29Z

$ ls
0000_03_authorization-openshift_01_rolebindingrestriction.crd.yaml
0000_03_config-operator_01_proxy.crd.yaml
0000_03_marketplace-operator_01_operatorhub.crd.yaml
0000_03_marketplace-operator_02_operatorhub.cr.yaml
0000_03_quota-openshift_01_clusterresourcequota.crd.yaml 1
...
0000_90_service-ca-operator_02_prometheusrolebinding.yaml 2
0000_90_service-ca-operator_03_servicemonitor.yaml
0000_99_machine-api-operator_00_tombstones.yaml
image-references 3
release-metadata

1: ClusterResourceQuota CRD의 매니페스트를 Runlevel 03에 적용
2: Runlevel 90에 적용할 service-ca-operator 의 PrometheusRoleBinding 리소스에 대한 매니페스트
3: 필요한 모든 이미지에 대한 SHA 다이제스트 버전 참조 목록

1.2.3. 프로세스 워크플로 업데이트

다음 단계는 OCP(OpenShift Container Platform) 업데이트 프로세스의 자세한 워크플로를 나타냅니다.

대상 버전은 웹 콘솔 또는 CLI를 통해 관리할 수 있는 ClusterVersion 리소스의 spec.desiredUpdate.version 필드에 저장됩니다.
CVO(Cluster Version Operator)는 ClusterVersion 리소스의 desiredUpdate 가 현재 클러스터 버전과 다른 것을 감지합니다. OpenShift Update Service의 그래프 데이터를 사용하여 CVO는 원하는 클러스터 버전을 릴리스 이미지의 가져오기 사양으로 확인합니다.
CVO는 릴리스 이미지의 무결성 및 진위 여부를 검증합니다. Red Hat은 이미지 SHA 다이제스트를 고유하고 변경할 수 없는 릴리스 이미지 식별자로 사용하여 사전 정의된 위치에서 게시된 릴리스 이미지에 대해 암호화 방식으로 서명합니다. CVO는 기본 제공 공개 키 목록을 사용하여 선택한 릴리스 이미지와 일치하는 문의 존재 및 서명을 검증합니다.
CVO는 openshift-cluster-version 네임스페이스에 version-$version-$hash 라는 작업을 생성합니다. 이 작업은 릴리스 이미지를 실행하는 컨테이너를 사용하므로 클러스터는 컨테이너 런타임을 통해 이미지를 다운로드합니다. 그런 다음 이 작업은 릴리스 이미지의 매니페스트 및 메타데이터를 CVO에 액세스할 수 있는 공유 볼륨으로 추출합니다.
CVO는 추출된 매니페스트 및 메타데이터의 유효성을 검사합니다.
CVO는 일부 사전 조건을 검사하여 클러스터에서 문제가 있는 상태가 탐지되지 않도록 합니다. 특정 조건은 업데이트가 진행되지 않도록 할 수 있습니다. 이러한 조건은 CVO 자체에 의해 결정되거나, Operator가 업데이트에 문제가 있다고 간주하는 클러스터에 대한 몇 가지 세부 정보를 감지하는 개별 클러스터 Operator에 의해 보고됩니다.
CVO는 허용되는 릴리스를 status.desired 에 기록하고 새 업데이트에 대한 status.history 항목을 생성합니다.
CVO는 릴리스 이미지에서 매니페스트를 조정하기 시작합니다. 클러스터 Operator는 Runlevels라는 별도의 단계에서 업데이트되며 CVO는 다음 단계로 진행하기 전에 Runlevel 완료 업데이트의 모든 Operator를 확인합니다.
CVO 자체에 대한 매니페스트는 프로세스 초기에 적용됩니다. CVO 배포가 적용되면 현재 CVO Pod가 중지되고 새 버전을 사용하는 CVO Pod가 시작됩니다. 새 CVO는 나머지 매니페스트를 조정합니다.
업데이트는 전체 컨트롤 플레인이 새 버전으로 업데이트될 때까지 진행됩니다. 개별 클러스터 Operator는 클러스터 도메인에서 업데이트 작업을 수행할 수 있으며 이렇게 하는 동안 Progressing=True 조건을 통해 상태를 보고합니다.
MCO(Machine Config Operator) 매니페스트는 프로세스 종료에 적용됩니다. 그런 다음 업데이트된 MCO는 모든 노드의 시스템 구성 및 운영 체제를 업데이트하기 시작합니다. 워크로드를 다시 수락하기 전에 각 노드를 드레이닝, 업데이트 및 재부팅할 수 있습니다.

일반적으로 모든 노드가 업데이트되기 전에 클러스터는 컨트롤 플레인 업데이트가 완료된 후 업데이트된 것으로 보고합니다. 업데이트 후 CVO는 릴리스 이미지에서 전달된 상태와 일치하도록 모든 클러스터 리소스를 유지 관리합니다.

1.2.4. 업데이트 중에 매니페스트가 적용되는 방법 이해

릴리스 이미지에 제공된 일부 매니페스트는 둘 사이의 종속 항목으로 인해 특정 순서로 적용해야 합니다. 예를 들어 일치하는 사용자 지정 리소스보다 먼저 CustomResourceDefinition 리소스를 생성해야 합니다. 또한 클러스터 중단을 최소화하기 위해 개별 클러스터 Operator를 업데이트해야 하는 논리적 순서가 있습니다. CVO(Cluster Version Operator)는 Runlevels라는 개념을 통해 이 논리 순서를 구현합니다.

이러한 종속 항목은 릴리스 이미지에 있는 매니페스트의 파일 이름으로 인코딩됩니다.

0000_<runlevel>_<component>_<manifest-name>.yaml

예를 들면 다음과 같습니다.

0000_03_config-operator_01_proxy.crd.yaml

CVO는 내부적으로 매니페스트에 대한 종속성 그래프를 빌드하며 CVO는 다음 규칙을 따릅니다.

업데이트 중에 더 낮은 Runlevel의 매니페스트가 더 높은 Runlevel의 매니페스트보다 먼저 적용됩니다.
하나의 Runlevel 내에서 다른 구성 요소에 대한 매니페스트를 병렬로 적용할 수 있습니다.
하나의 Runlevel 내에서 단일 구성 요소에 대한 매니페스트가 사전순으로 적용됩니다.

CVO는 생성된 종속성 그래프 다음에 매니페스트를 적용합니다.

참고

일부 리소스 유형의 경우 CVO는 매니페스트가 적용된 후 리소스를 모니터링하고 리소스가 stable 상태에 도달한 후에만 성공적으로 업데이트되도록 간주합니다. 이 상태를 달성하는 데는 약간의 시간이 걸릴 수 있습니다. 이는 ClusterOperator 리소스에 특히 해당되며 CVO는 클러스터 Operator가 자체적으로 업데이트되고 ClusterOperator 상태를 업데이트할 때까지 대기합니다.

CVO는 Runlevel의 모든 클러스터 Operator가 다음 Runlevel으로 진행하기 전에 다음 조건을 충족할 때까지 기다립니다.

클러스터 Operator에는 Available=True 조건이 있습니다.
클러스터 Operator에는 Degraded=False 조건이 있습니다.

클러스터 Operator는 ClusterOperator 리소스에서 원하는 버전을 달성했다고 선언합니다.

일부 작업은 완료하는 데 상당한 시간이 걸릴 수 있습니다. CVO는 후속 Runlevels가 안전하게 진행할 수 있도록 작업이 완료될 때까지 기다립니다. 처음에는 새 릴리스의 매니페스트를 조정하는 데 총 60~120분이 걸릴 것으로 예상됩니다. 업데이트 기간에 영향을 미치는 요인에 대한 자세한 내용은 OpenShift Container Platform 업데이트 기간 이해 를 참조하십시오.

Runlevels 순서 및 각 수준 내의 구성 요소의 매니페스트를 표시하는 다이어그램

이전 예제 다이어그램에서 CVO는 Runlevel 20에서 모든 작업이 완료될 때까지 대기 중입니다. CVO는 Runlevel의 Operator에 모든 매니페스트를 적용했지만 kube-apiserver-operator ClusterOperator 는 새 버전이 배포된 후 일부 작업을 수행합니다. kube-apiserver-operator ClusterOperator 는 Progressing=True 조건을 통해 이 진행 상황을 선언하고 새 버전을 status.versions 에서 reconciled로 선언하지 않습니다. CVO는 ClusterOperator가 허용 가능한 상태를 보고할 때까지 기다린 다음 Runlevel 25에서 매니페스트를 조정하기 시작합니다.

추가 리소스

OpenShift Container Platform 업데이트 기간 이해

1.2.5. Machine Config Operator가 노드를 업데이트하는 방법 이해

MCO(Machine Config Operator)는 각 컨트롤 플레인 노드 및 컴퓨팅 노드에 새 머신 구성을 적용합니다. 머신 구성 업데이트 중에 컨트롤 플레인 노드와 컴퓨팅 노드는 머신 풀이 병렬로 업데이트되는 자체 머신 구성 풀로 구성됩니다. 기본 값이 1 인 .spec.maxUnavailable 매개변수는 머신 구성 풀의 노드 수를 동시에 수행할 수 있는 업데이트 프로세스를 결정합니다.

주의

머신 구성 업데이트 프로세스가 시작되면 MCO는 풀에서 현재 사용할 수 없는 노드의 양을 확인합니다. .spec.maxUnavailable 의 값보다 적은 노드가 있는 경우 MCO는 풀에서 사용 가능한 노드에서 다음 작업 시퀀스를 시작합니다.

노드를 차단하고 드레이닝
참고
노드가 차단되면 워크로드를 예약할 수 없습니다.
노드의 시스템 구성 및 운영 체제(OS) 업데이트
노드 재부팅
노드 차단 해제

이 프로세스를 수행하는 노드는 차단 해제되고 워크로드를 다시 예약할 수 없을 때까지 사용할 수 없습니다. MCO는 사용할 수 없는 노드 수가 .spec.maxUnavailable 과 동일할 때까지 노드 업데이트를 시작합니다.

노드가 업데이트를 완료하고 사용 가능하게 되면 머신 구성 풀에서 사용할 수 없는 노드 수가 다시 한 번 .spec.maxUnavailable 보다 적습니다. 업데이트해야 하는 노드가 남아 있는 경우 MCO는 .spec.maxUnavailable 제한에 다시 도달할 때까지 노드에서 업데이트 프로세스를 시작합니다. 이 프로세스는 각 컨트롤 플레인 노드와 컴퓨팅 노드가 업데이트될 때까지 반복됩니다.

다음 예제 워크플로우에서는 5개의 노드가 있는 머신 구성 풀에서 이 프로세스가 발생하는 방법을 설명합니다. 여기서 .spec.maxUnavailable 은 3이고 모든 노드를 처음 사용할 수 있습니다.

MCO는 1, 2, 3 노드를 차단하고 드레이닝하기 시작합니다.
노드 2 드레이닝, 재부팅 및 다시 사용할 수 있게 됩니다. MCO는 노드 4를 차단하고 드레이닝을 시작합니다.
노드 1이 드레이닝, 재부팅 및 다시 사용할 수 있게 됩니다. MCO 노드 5를 차단하고 드레이닝을 시작합니다.
노드 3은 드레이닝을 완료, 재부팅, 다시 사용할 수 있게 됩니다.
노드 5 드레이닝, 재부팅 및 다시 사용할 수 있게 됩니다.
노드 4 드레이닝, 재부팅 및 다시 사용할 수 있게 됩니다.

각 노드의 업데이트 프로세스는 다른 노드와 독립적이므로 위 예제의 일부 노드는 MCO에 의해 차단된 순서대로 업데이트를 완료합니다.

다음 명령을 실행하여 머신 구성 업데이트의 상태를 확인할 수 있습니다.

$ oc get mcp

출력 예

NAME         CONFIG                                                 UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master       rendered-master-acd1358917e9f98cbdb599aea622d78b       True      False      False      3              3                   3                     0                      22h
worker       rendered-worker-1d871ac76e1951d32b2fe92369879826       False     True       False      2              1                   1                     0                      22h

추가 리소스

머신 구성 개요

1.3. 업데이트 채널 및 릴리스 이해

업데이트 채널은 사용자가 클러스터를 업데이트하려는 OpenShift Container Platform 마이너 버전을 선언하는 메커니즘입니다. 또한 사용자는 빠른,안정적인 후보, 후보 및 eus 채널 옵션을 통해 자신의 업데이트의 타이밍 및 수준을 선택할 수 있습니다. Cluster Version Operator는 다른 조건부 정보와 함께 채널 선언을 기반으로 업데이트 그래프를 사용하여 클러스터에 사용 가능한 권장 조건 및 조건부 업데이트 목록을 제공합니다.

업데이트 채널은 OpenShift Container Platform의 마이너 버전에 해당합니다. 채널의 버전 번호는 클러스터의 현재 마이너 버전보다 높은 경우에도 클러스터가 결국 업데이트될 대상 마이너 버전을 나타냅니다.

예를 들어 OpenShift Container Platform 4.10 업데이트 채널에서는 다음과 같은 권장 사항을 제공합니다.

4.10 내의 업데이트
4.9 업데이트
4.9에서 4.10으로 업데이트되어 모든 4.9 클러스터가 최소 z-stream 버전 요구 사항을 즉시 충족하지 않더라도 4.10으로 업데이트할 수 있습니다.
EUS-4.10 만 해당: 4.8 내의 업데이트입니다.
EUS-4.10 만: 4.8에서 4.9에서 4.10으로 업데이트되어 모든 4.8 클러스터를 4.10으로 업데이트할 수 있습니다.

4.10 업데이트 채널은 4.11 이상 릴리스에 대한 업데이트를 권장하지 않습니다. 이 전략을 사용하면 관리자가 OpenShift Container Platform의 다음 마이너 버전으로 업데이트할 것을 명시적으로 결정해야 합니다.

업데이트 채널은 릴리스 선택만 제어하며 설치하는 클러스터 버전에는 영향을 미치지 않습니다. 특정 버전의 OpenShift Container Platform의 openshift-install 바이너리 파일은 항상 해당 버전을 설치합니다.

OpenShift Container Platform 4.17은 다음과 같은 업데이트 채널을 제공합니다.

stable-4.17
EUS-4.y (EUS 버전에만 제공되며 EUS 버전 간의 업데이트를 용이하게 함)
fast-4.17
candidate-4.17

Cluster Version Operator가 업데이트 권장 서비스에서 사용 가능한 업데이트를 가져오지 않도록 하려면 OpenShift CLI에서 oc adm upgrade channel 명령을 사용하여 빈 채널을 구성할 수 있습니다. 예를 들어 클러스터에 네트워크 액세스가 제한되어 있고 로컬에 연결할 수 있는 업데이트 권장 서비스가 없는 경우 이 구성이 유용할 수 있습니다.

주의

Red Hat은 OpenShift Update Service에서 제안한 버전으로만 업데이트할 것을 권장합니다. 마이너 버전 업데이트의 경우 버전이 연속이어야 합니다. Red Hat은 일치하지 않는 버전에 대한 업데이트를 테스트하지 않으며 이전 버전과의 호환성을 보장할 수 없습니다.

1.3.1. 채널 업데이트

1.3.1.1. fast-4.17 채널

Red Hat이 정식 출시 버전 (GA) 릴리스로 선언하면 fast-4.17 채널이 새로운 버전의 OpenShift Container Platform 4.17으로 업데이트됩니다. 따라서 이러한 릴리스는 완전히 지원되며 프로덕션 환경에서 사용하기 위해 사용됩니다.

1.3.1.2. stable-4.17 채널

에라타가 출시되면 곧 fast-4.17 채널에 표시되지만 릴리스는 지연 후 stable-4.17 채널에 추가됩니다. 이러한 지연 동안 데이터는 여러 소스에서 수집되고 제품 회귀의 표시를 위해 분석됩니다. 상당한 수의 데이터 포인트가 수집되면 이러한 릴리스가 stable 채널에 추가됩니다.

참고

상당한 수의 데이터 포인트를 얻는 데 필요한 시간은 여러 요인에 따라 달라지므로 빠른 채널과 안정적인 채널 간의 지연 기간에는 SLO(Service LeveL Objective)가 제공되지 않습니다. 자세한 내용은 "클러스터에 맞는 올바른 채널 관리"를 참조하십시오.

새로 설치된 클러스터는 기본적으로 안정적인 채널을 사용합니다.

1.3.1.3. EUS-4.y 채널

stable 채널 외에도 OpenShift Container Platform의 모든 짝수 마이너 버전은 EUS ( Extended Update Support )를 제공합니다. stable 채널로 승격된 릴리스도 EUS 채널로 동시에 승격됩니다. EUS 채널의 주요 목적은 컨트롤 플레인만 업데이트를 수행하는 클러스터의 편의를 제공하는 것입니다.

참고

표준 및 EUS 이외의 구독자는 디버깅 및 빌드 드라이버와 같은 중요한 목적을 지원하기 위해 모든 EUS 리포지토리와 필요한 RPM(rhel-*-eus-rpms)에 액세스할 수 있습니다.

1.3.1.4. candidate-4.17 채널

candidate-4.17 채널에서는 빌드되는 즉시 지원되지 않는 초기 릴리스에 액세스할 수 있습니다. 후보 채널에만 있는 릴리스에는 GA 전에 최종 GA 릴리스 또는 기능의 전체 기능 세트가 포함되어 있지 않을 수 있습니다. 또한 이러한 릴리스는 전체 Red Hat Quality Assurance의 대상이 아니며 이후 GA 릴리스에 대한 업데이트 경로를 제공하지 않을 수 있습니다. 이러한 주의 사항을 고려하여 후보 채널은 클러스터를 제거하고 다시 생성하는 테스트 목적으로만 적합합니다.

1.3.1.5. 채널에서 권장 사항 업데이트

OpenShift Container Platform은 설치된 OpenShift Container Platform 버전과 다음 릴리스를 시작하기 위해 채널 내에서 취할 경로를 알고 있는 업데이트 권장 서비스를 유지 관리합니다. 업데이트 경로는 현재 선택한 채널 및 해당 승격 특성과 관련된 버전으로 제한됩니다.

채널에서 다음 릴리스를 확인할 수 있습니다.

4.17.0
4.17.1
4.17.3
4.17.4

이 서비스는 테스트되었으며 알려진 심각한 회귀 문제가 없는 업데이트만 권장합니다. 예를 들어 클러스터가 4.17.1에 있고 OpenShift Container Platform에서 4.17.4를 권장하는 경우 4.17.1에서 4.17.4로 업데이트하는 것이 좋습니다.

중요

연속적인 패치 번호에 의존하지 않도록하십시오. 이 예에서 4.17.2는 채널에서 사용할 수 없으며 사용할 수 없으므로 4.17.2에 대한 업데이트는 권장되거나 지원되지 않습니다.

1.3.1.6. 권장 사항 및 조건부 업데이트 업데이트

Red Hat은 새로 릴리스된 버전 및 업데이트 경로를 지원 채널에 추가하기 전후에 모니터링합니다.

Red Hat이 지원되는 릴리스에서 업데이트 권장 사항을 제거하는 경우 회귀 문제를 수정하는 향후 버전에 대체 업데이트 권장 사항이 제공됩니다. 그러나 결함이 수정, 테스트 및 선택한 채널로 승격되는 동안 지연이 발생할 수 있습니다.

OpenShift Container Platform 4.10부터 업데이트 위험이 확인되면 관련 업데이트에 대한 조건부 업데이트 위험으로 선언됩니다. 알려진 각 위험은 모든 클러스터에 적용되거나 특정 조건과 일치하는 클러스터에만 적용될 수 있습니다. 일부 예로는 Platform을 None으로 설정하거나 CNI 공급자가 OpenShiftSDN 으로 설정되는 경우가 있습니다. CVO(Cluster Version Operator)는 현재 클러스터 상태에 대한 알려진 위험을 지속적으로 평가합니다. 위험이 일치하지 않으면 업데이트가 권장됩니다. 위험이 일치하는 경우 해당 업데이트 경로에 알려진 문제가 있는 업데이트로 레이블이 지정되고 알려진 문제에 대한 참조 링크가 제공됩니다. 참조 링크를 사용하면 클러스터 관리자가 위험을 수락하고 클러스터를 계속 업데이트할지 여부를 결정하는 데 도움이 됩니다.

Red Hat이 조건부 업데이트 위험을 선언하도록 선택하면 모든 관련 채널에서 동시에 해당 조치를 취할 수 있습니다. 조건부 업데이트 위험 선언은 업데이트가 지원되는 채널로 승격되기 전이나 후에 발생할 수 있습니다.

1.3.1.7. 클러스터에 적합한 채널 선택

적절한 채널을 선택하려면 두 가지 결정이 필요합니다.

먼저 클러스터 업데이트에 필요한 마이너 버전을 선택합니다. 현재 버전과 일치하는 채널을 선택하면 z-stream 업데이트만 적용되고 기능 업데이트가 제공되지 않습니다. 현재 버전보다 큰 버전이 있는 사용 가능한 채널을 선택하면 하나 이상의 업데이트 후 클러스터가 해당 버전으로 업데이트됩니다. 클러스터는 현재 버전, 다음 버전 또는 다음 EUS 버전과 일치하는 채널만 제공됩니다.

참고

많은 마이너 버전 간의 업데이트 계획에 관련된 복잡성으로 인해 단일 컨트롤 플레인 이후 업데이트 계획에 도움이 되는 채널은 제공되지 않습니다.

두 번째, 원하는 롤아웃 전략을 선택해야 합니다. Red Hat이 fast 채널에서 선택하여 GA 릴리스를 선언하는 즉시 업데이트하거나 Red Hat이 stable 채널로 릴리스를 승격할 때까지 기다려야 할 수 있습니다. fast-4.17 및 stable-4.17 에서 제공되는 업데이트 권장 사항은 모두 완전히 지원되며 지속적인 데이터 분석의 이점을 제공합니다. stable 채널로 릴리스를 승격하기 전에 승격 지연은 두 채널 간의 유일한 차이점을 나타냅니다. 최신 z-stream 업데이트는 일반적으로 1주 또는 2주 이내에 stable 채널로 승격되지만, 최신 마이너에 대한 업데이트를 처음 출시할 때의 지연은 일반적으로 45-90일입니다. stable 채널로의 승격 대기가 일정 계획에 영향을 줄 수 있으므로 원하는 채널을 선택할 때 승격 지연을 고려하십시오.

또한 조직이 클러스터를 영구적으로 또는 일시적으로 다음을 포함하여 빠른 채널로 이동할 수 있는 몇 가지 요인이 있습니다.

지연 없이 환경에 영향을 미치는 것으로 알려진 특정 수정 사항을 적용하십시오.
지연 없이 CVE 수정 적용 CVE 수정으로 인해 회귀 문제가 발생할 수 있으므로 승격 지연은 CVE 수정을 통해 z-streams에 계속 적용됩니다.
내부 테스트 프로세스. 자격을 갖춘 데 몇 주가 걸리면 Red Hat의 프로모션 프로세스와 동시에 기다리는 것이 가장 좋습니다. 또한 Red Hat에 제공된 Telemetry 신호가 롤아웃에 영향을 미치므로 귀하와 관련된 문제를 보다 신속하게 수정할 수 있습니다.

1.3.1.8. 네트워크가 제한된 환경의 클러스터

OpenShift Container Platform 클러스터의 컨테이너 이미지를 직접 관리하는 경우 제품 릴리스와 관련된 Red Hat 에라타를 참조하고 업데이트에 영향을 미치는 의견을 기록해야 합니다. 업데이트 중에 사용자 인터페이스에서 이러한 버전 간 전환에 대해 경고할 수 있으므로 해당 경고를 무시하기 전에 적절한 버전을 선택해야 합니다.

1.3.1.9. 채널 간 전환

채널은 웹 콘솔에서 전환하거나 adm upgrade channel 명령을 통해 전환할 수 있습니다.

$ oc adm upgrade channel <channel>

현재 릴리스를 포함하지 않는 채널로 전환하면 웹 콘솔에 경고가 표시됩니다. 웹 콘솔은 현재 릴리스가 없는 채널에서 업데이트를 권장하지 않습니다. 하지만 언제든지 원래 채널로 돌아갈 수 있습니다.

채널을 변경하면 클러스터의 지원 가능성에 영향을 미칠 수 있습니다. 다음과 같은 조건이 적용될 수 있습니다.

stable-4.17 채널에서 fast-4.17 채널로 변경해도 클러스터는 계속 지원됩니다.
언제든지 candidate-4.17 채널로 전환할 수 있지만 이 채널의 일부 릴리스는 지원되지 않을 수 있습니다.
현재 릴리스가 정식 사용 버전 릴리스인 경우 candidate-4.17 채널에서 fast-4.17 채널로 전환할 수 있습니다.
fast-4.17 채널에서 stable-4.17 채널로 전환할 수 있습니다. 현재 릴리스가 최근에 승격된 경우 릴리스가 stable-4.17 로 승격되기까지 최대 하루가 지연될 수 있습니다.

추가 리소스

조건부 업그레이드 경로를 따라 업데이트
클러스터에 적합한 채널 선택

1.4. OpenShift Container Platform 업데이트 기간 이해

OpenShift Container Platform 업데이트 기간은 배포 토폴로지에 따라 다릅니다. 이 페이지에서는 업데이트 기간에 영향을 미치는 요인을 이해하고 환경에서 클러스터 업데이트가 걸리는 시간을 추정할 수 있습니다.

1.4.1. 업데이트 기간에 영향을 미치는 요소

다음 요인은 클러스터 업데이트 기간에 영향을 줄 수 있습니다.

MCO(Machine Config Operator)의 새 머신 구성으로 컴퓨팅 노드를 재부팅
- 머신 구성 풀에서 MaxUnavailable 의 값
  주의
  maxUnavailable 의 기본 설정은 OpenShift Container Platform의 모든 머신 구성 풀에 대해 1 입니다. 이 값을 변경하지 않고 한 번에 하나의 컨트롤 플레인 노드를 업데이트하는 것이 좋습니다. 컨트롤 플레인 풀의 경우 이 값을 3 으로 변경하지 마십시오.
- PDB(Pod 중단 예산)에서 설정된 최소 복제본 수 또는 백분율
클러스터의 노드 수
클러스터 노드의 상태

1.4.2. 클러스터 업데이트 단계

OpenShift Container Platform에서 클러스터 업데이트는 다음 두 단계로 수행됩니다.

CVO(Cluster Version Operator) 대상 업데이트 페이로드 배포
MCO(Machine Config Operator) 노드 업데이트

1.4.2.1. Cluster Version Operator 대상 업데이트 페이로드 배포

CVO(Cluster Version Operator)는 대상 업데이트 릴리스 이미지를 검색하고 클러스터에 적용합니다. Pod로 실행되는 모든 구성 요소는 이 단계에서 업데이트되는 반면 호스트 구성 요소는 MCO(Machine Config Operator)에 의해 업데이트됩니다. 이 프로세스는 60~120분 정도 걸릴 수 있습니다.

참고

업데이트의 CVO 단계는 노드를 재시작하지 않습니다.

1.4.2.2. Machine Config Operator 노드 업데이트

MCO(Machine Config Operator)는 각 컨트롤 플레인 및 컴퓨팅 노드에 새 머신 구성을 적용합니다. 이 프로세스 중에 MCO는 클러스터의 각 노드에서 다음 순차적 작업을 수행합니다.

모든 노드를 차단 및 드레이닝
운영 체제 업데이트 (OS)
노드 재부팅
모든 노드 차단 해제 및 노드에서 워크로드 예약

참고

노드가 차단되면 워크로드를 예약할 수 없습니다.

이 프로세스를 완료하는 시간은 노드 및 인프라 구성을 포함한 여러 요인에 따라 달라집니다. 이 프로세스를 노드당 완료하는 데 5분 이상 걸릴 수 있습니다.

MCO 외에도 다음 매개변수의 영향을 고려해야 합니다.

컨트롤 플레인 워크로드는 정상적인 업데이트 및 빠른 드레이닝을 위해 조정되기 때문에 컨트롤 플레인 노드 업데이트 기간은 예측 가능하고 컴퓨팅 노드보다 짧은 경우가 많습니다.
MCP(Machine Config Pool)에서 maxUnavailable 필드를 1 이상으로 설정하여 병렬로 컴퓨팅 노드를 업데이트할 수 있습니다. MCO는 maxUnavailable 에 지정된 노드 수를 제한하고 업데이트할 수 없음을 표시합니다.
MCP에서 maxUnavailable 을 늘리면 풀이 더 빨리 업데이트하는 데 도움이 될 수 있습니다. 그러나 maxUnavailable 을 너무 많이 설정하고 여러 노드가 동시에 차단되고 여러 노드가 동시에 차단되는 경우 복제본을 실행하는 데 예약 가능한 노드를 찾을 수 없기 때문에 Pod 중단 예산 (PDB) 보호 워크로드가 드레이닝되지 않을 수 있습니다. MCP에 대해 maxUnavailable 을 늘리면 PDB 보호 워크로드가 드레인할 수 있는 충분한 스케줄링 가능한 노드가 있는지 확인합니다.

업데이트를 시작하기 전에 모든 노드를 사용할 수 있는지 확인해야 합니다. 노드를 사용할 수 없는 경우 maxUnavailable 및 Pod 중단 예산에 영향을 미치므로 사용할 수 없는 노드는 업데이트 기간에 큰 영향을 미칠 수 있습니다.

터미널에서 노드 상태를 확인하려면 다음 명령을 실행합니다.

$ oc get node

출력 예

NAME                                        STATUS                      ROLES   AGE     VERSION
ip-10-0-137-31.us-east-2.compute.internal   Ready,SchedulingDisabled    worker  12d     v1.23.5+3afdacb
ip-10-0-151-208.us-east-2.compute.internal  Ready                       master  12d     v1.23.5+3afdacb
ip-10-0-176-138.us-east-2.compute.internal  Ready                       master  12d     v1.23.5+3afdacb
ip-10-0-183-194.us-east-2.compute.internal  Ready                       worker  12d     v1.23.5+3afdacb
ip-10-0-204-102.us-east-2.compute.internal  Ready                       master  12d     v1.23.5+3afdacb
ip-10-0-207-224.us-east-2.compute.internal  Ready                       worker  12d     v1.23.5+3afdacb

노드 상태가 NotReady 또는 SchedulingDisabled 인 경우 노드를 사용할 수 없으며 업데이트 기간에 영향을 미칩니다.

컴퓨팅 → 노드를 확장하여 웹 콘솔의 관리자 화면에서 노드 상태를 확인할 수 있습니다.

추가 리소스

1.4.2.3. 클러스터 Operator 업데이트 기간의 예

OCP 업데이트 중에 클러스터 Operator가 자체 업데이트되는 기간을 표시하는 다이어그램

이전 다이어그램에서는 클러스터 Operator가 새 버전으로 업데이트하는 데 사용할 수 있는 시간의 예를 보여줍니다. 이 예제에서는 정상 컴퓨팅 MachineConfigPool 이 있고 4.13에서 4.14로 업데이트하는 데 오래 걸리는 워크로드가 없는 3-노드 AWS OVN 클러스터를 기반으로 합니다.

참고

클러스터 및 Operator의 특정 업데이트 기간은 대상 버전, 노드 양, 노드에 예약된 워크로드 유형과 같은 여러 클러스터 특성에 따라 달라질 수 있습니다.
Cluster Version Operator와 같은 일부 Operator는 짧은 시간 내에 자체적으로 업데이트합니다. 이러한 Operator는 다이어그램에서 생략되었거나 "Other Operators in parallel"이라는 광범위한 Operator 그룹에 포함되어 있습니다.

각 클러스터 Operator에는 자체 업데이트하는 데 걸리는 시간에 영향을 미치는 특성이 있습니다. 예를 들어 kube-apiserver 가 정상 종료 지원을 제공하므로 이 예제의 Kube API Server Operator는 업데이트하는 데 11분 이상 걸렸습니다. 즉 기존의 in-flight 요청이 정상적으로 완료될 수 있습니다. 이로 인해 kube-apiserver 가 더 오래 종료될 수 있습니다. 이 Operator의 경우 업데이트 속도가 향상되어 업데이트 중에 클러스터 기능 중단을 방지하고 제한하는 데 도움이 됩니다.

Operator의 업데이트 기간에 영향을 미치는 또 다른 특성은 Operator가 DaemonSets를 사용하는지 여부입니다. 네트워크 및 DNS Operator는 전체 클러스터 DaemonSet을 사용하므로 버전 변경 사항을 롤아웃하는 데 시간이 걸릴 수 있으며 이러한 Operator가 자체 업데이트하는 데 시간이 더 오래 걸릴 수 있는 몇 가지 이유 중 하나입니다.

일부 Operator의 업데이트 기간은 클러스터 자체의 특성에 따라 크게 달라집니다. 예를 들어 Machine Config Operator 업데이트는 클러스터의 각 노드에 머신 구성 변경 사항을 적용합니다. 많은 노드가 있는 클러스터에는 노드가 적은 클러스터에 비해 Machine Config Operator의 업데이트 기간이 길어집니다.

참고

각 클러스터 Operator에는 업데이트할 수 있는 단계가 할당됩니다. 동일한 단계 내의 Operator는 동시에 업데이트할 수 있으며 지정된 단계의 Operator는 이전 단계가 모두 완료될 때까지 업데이트를 시작할 수 없습니다. 자세한 내용은 "추가 리소스" 섹션의 "업데이트 중에 매니페스트를 적용하는 방법 이해"를 참조하십시오.

추가 리소스

OpenShift 업데이트 소개
업데이트 중에 매니페스트가 적용되는 방법 이해

1.4.3. 클러스터 업데이트 시간 추정

유사한 클러스터의 이전 업데이트 기간은 향후 클러스터 업데이트에 가장 적합한 추정치를 제공합니다. 그러나 기록 데이터를 사용할 수 없는 경우 다음 규칙을 사용하여 클러스터 업데이트 시간을 추정할 수 있습니다.

Cluster update time = CVO target update payload deployment time + (# node update iterations x MCO node update time)

노드 업데이트 반복은 병렬로 업데이트되는 하나 이상의 노드로 구성됩니다. 컨트롤 플레인 노드는 항상 컴퓨팅 노드와 병렬로 업데이트됩니다. 또한 maxUnavailable 값에 따라 하나 이상의 컴퓨팅 노드를 병렬로 업데이트할 수 있습니다.

주의

예를 들어 업데이트 시간을 추정하려면 컨트롤 플레인 노드와 컴퓨팅 노드 6개가 있는 OpenShift Container Platform 클러스터를 고려하고 각 호스트를 재부팅하는 데 약 5분이 걸립니다.

참고

특정 노드를 재부팅하는 데 걸리는 시간은 크게 다릅니다. 클라우드 인스턴스에서 재부팅에 약 1~2분이 걸릴 수 있지만 물리적 베어 메탈 호스트에서 재부팅 시간이 15분 이상 걸릴 수 있습니다.

scenario-1

컨트롤 플레인 및 컴퓨팅 노드 MCP(Machine Config Pool) 모두에 maxUnavailable 을 1 로 설정하면 각 반복에서 6개의 컴퓨팅 노드가 각각 하나씩 업데이트됩니다.

Cluster update time = 60 + (6 x 5) = 90 minutes

scenario-2

컴퓨팅 노드 MCP에 maxUnavailable 을 2 로 설정하면 각 반복에서 두 개의 컴퓨팅 노드가 병렬로 업데이트됩니다. 따라서 모든 노드를 업데이트하려면 총 세 번의 반복이 필요합니다.

Cluster update time = 60 + (3 x 5) = 75 minutes

중요

maxUnavailable 의 기본 설정은 OpenShift Container Platform의 모든 MCP에 대해 1 입니다. 컨트롤 플레인 MCP에서 maxUnavailable 을 변경하지 않는 것이 좋습니다.

1.4.4. RHEL(Red Hat Enterprise Linux) 컴퓨팅 노드

RHEL(Red Hat Enterprise Linux) 컴퓨팅 노드에는 노드 바이너리 구성 요소를 업데이트하기 위해 openshift-ansible 을 추가로 사용해야 합니다. RHEL 컴퓨팅 노드를 업데이트하는 데 걸리는 실제 시간은 RHCOS(Red Hat Enterprise Linux CoreOS) 컴퓨팅 노드와 크게 달라서는 안 됩니다.

추가 리소스

RHEL 컴퓨팅 머신 업데이트

1.4.5. 추가 리소스

2장. 클러스터 업데이트 준비

2.1. OpenShift Container Platform 4.17으로 업데이트 준비

클러스터 관리자가 업데이트를 성공적으로 초기화하기 위해 수행해야 하는 관리 작업과 성공적인 업데이트를 보장하기 위한 선택적 지침에 대해 자세히 알아보십시오.

2.1.1. Kubernetes API 제거

OpenShift Container Platform 4.17에는 Kubernetes API 제거가 없습니다.

2.1.2. 조건부 업데이트의 위험 평가

조건부 업데이트는 클러스터에 적용되는 알려진 위험으로 인해 사용할 수 있지만 권장되지 않는 업데이트 대상입니다. CVO(Cluster Version Operator)는 업데이트 권장 사항에 대한 최신 데이터에 대해 OSUS(OpenShift Update Service)를 주기적으로 쿼리하고 일부 잠재적인 업데이트 대상에는 관련 위험이 있을 수 있습니다.

CVO는 조건부 위험을 평가하고 위험이 클러스터에 적용되지 않으면 대상 버전을 클러스터에 권장되는 업데이트 경로로 사용할 수 있습니다. 위험이 적용 가능한 것으로 확인되거나 어떤 이유로 CVO가 위험을 평가할 수 없는 경우 업데이트 대상을 조건부 업데이트로 클러스터에 사용할 수 있습니다.

대상 버전으로 업데이트하려는 동안 조건부 업데이트가 발생하면 클러스터를 해당 버전으로 업데이트할 위험을 평가해야 합니다. 일반적으로 해당 대상 버전으로 업데이트할 특정 필요가 없는 경우 Red Hat에서 권장 업데이트 경로를 기다리는 것이 좋습니다.

그러나 중요한 CVE를 수정해야 하는 경우와 같이 해당 버전으로 업데이트해야 하는 강력한 이유가 있는 경우 CVE를 수정할 때 클러스터에 문제가 발생할 위험이 발생할 수 있습니다. 다음 작업을 완료하여 업데이트 위험에 대한 Red Hat 평가에 동의했는지 여부를 확인할 수 있습니다.

프로덕션 환경에서 업데이트를 쉽게 완료할 수 있도록 비프로덕션 환경에서 광범위한 테스트를 완료합니다.
조건부 업데이트 설명에 제공된 링크를 따르고 버그를 조사하고 클러스터에 문제가 발생할 가능성이 있는지 확인합니다. 위험을 이해하는 데 도움이 필요하면 Red Hat 지원에 문의하십시오.

추가 리소스

업데이트 가용성 평가

2.1.3. 클러스터 업데이트 전 etcd 백업

etcd 백업은 클러스터의 상태와 모든 리소스 오브젝트를 기록합니다. 백업을 사용하여 현재 기능 상태의 클러스터를 복구할 수 없는 재해 시나리오에서 클러스터 상태를 복원할 수 있습니다.

업데이트 컨텍스트에서 업데이트로 인해 이전 클러스터 버전으로 되돌리지 않고 수정할 수 없는 치명적인 조건이 포함된 경우 클러스터의 etcd 복원을 시도할 수 있습니다. etcd 복원은 파괴적이고 실행 중인 클러스터로 불안정할 수 있으며 이를 마지막 수단으로만 사용합니다.

주의

결과적으로 etcd 복원은 롤백 솔루션으로 사용되지 않습니다. 클러스터를 이전 버전으로 롤백하는 것은 지원되지 않습니다. 업데이트가 완료되지 않으면 Red Hat 지원에 문의하십시오.

etcd 복원의 실행 가능성에 영향을 미치는 몇 가지 요소가 있습니다. 자세한 내용은 " etcd 데이터 백업" 및 "이전 클러스터 상태로 복구"를 참조하십시오.

추가 리소스

2.1.4. 클러스터 업데이트 모범 사례

OpenShift Container Platform은 업데이트 중에 워크로드 중단을 최소화하는 강력한 업데이트 환경을 제공합니다. 업데이트 요청 시 클러스터가 업그레이드 가능 상태가 되지 않으면 업데이트가 시작되지 않습니다.

이 설계에서는 업데이트를 시작하기 전에 몇 가지 주요 조건을 적용하지만 클러스터 업데이트가 성공할 가능성을 높이기 위해 수행할 수 있는 여러 작업이 있습니다.

2.1.4.1. OpenShift Update Service에서 권장 버전 선택

OSUS(OpenShift Update Service)는 클러스터의 구독 채널과 같은 클러스터 특성을 기반으로 업데이트 권장 사항을 제공합니다. Cluster Version Operator는 이러한 권장 사항을 권장 또는 조건부 업데이트로 저장합니다. OSUS에서 권장하지 않는 버전을 업데이트할 수는 있지만 권장 업데이트 경로에 따라 사용자가 알려진 문제가 발생하거나 의도하지 않은 결과가 발생하지 않도록 보호합니다.

성공적인 업데이트를 위해 OSUS에서 권장하는 업데이트 대상만 선택합니다.

2.1.4.2. 클러스터의 모든 심각한 경고 해결

중요한 경고는 항상 가능한 한 빨리 처리해야 하지만 클러스터 업데이트를 시작하기 전에 이러한 경고를 해결하고 문제를 해결하는 것이 특히 중요합니다. 업데이트를 시작하기 전에 중요한 경고를 해결하지 못하면 클러스터에 문제가 발생할 수 있습니다.

웹 콘솔의 관리자 화면에서 모니터링 → 경고로 이동하여 중요한 경고를 찾습니다.

2.1.4.3. 클러스터가 Upgradable 상태인지 확인합니다.

하나 이상의 Operator에서 업그레이드 가능 조건을 1시간 이상 True 로 보고하지 않으면 클러스터에서 ClusterNotUpgradeable 경고 경고가 트리거됩니다. 대부분의 경우 이 경고는 패치 업데이트를 차단하지 않지만 이 경고를 해결하고 모든 Operator에서 Upgradeable 을 True 로 보고할 때까지 마이너 버전 업데이트를 수행할 수 없습니다.

Upgradeable 조건에 대한 자세한 내용은 추가 리소스 섹션의 "클러스터 Operator 상태 유형 이해"를 참조하십시오.

2.1.4.3.1. SDN 지원 제거

OpenShift SDN 네트워크 플러그인은 4.15 및 4.16 버전에서 더 이상 사용되지 않습니다. 이번 릴리스에서는 SDN 네트워크 플러그인이 더 이상 지원되지 않으며 해당 콘텐츠가 문서에서 제거되었습니다.

OpenShift Container Platform 클러스터가 여전히 OpenShift SDN CNI를 사용하는 경우 OpenShift SDN 네트워크 플러그인에서 마이그레이션 을 참조하십시오.

중요

OpenShift SDN 네트워크 플러그인을 사용하는 경우 OpenShift Container Platform 4.17로 클러스터를 업데이트할 수 없습니다. OpenShift Container Platform 4.17으로 업그레이드하기 전에 OVN-Kubernetes 플러그인으로 마이그레이션해야 합니다.

2.1.4.4. 충분한 예비 노드를 사용할 수 있는지 확인

특히 클러스터 업데이트를 시작할 때 예비 노드 용량이 거의 없는 클러스터를 실행하지 않아야 합니다. 실행 중이 아니며 사용 불가능한 노드는 클러스터 워크로드에 대한 중단을 최소화하여 클러스터 업데이트를 수행할 수 있는 기능을 제한할 수 있습니다.

클러스터의 maxUnavailable 사양의 구성된 값에 따라 사용 가능한 노드가 있는 경우 클러스터에서 머신 구성 변경 사항을 노드에 적용하지 못할 수 있습니다. 또한 컴퓨팅 노드에 여유 용량이 충분하지 않으면 첫 번째 노드가 오프라인 상태로 전환되는 동안 워크로드를 일시적으로 다른 노드로 전환하지 못할 수 있습니다.

노드 업데이트 가능성을 늘리려면 각 작업자 풀에 사용 가능한 노드와 컴퓨팅 노드에 충분한 예비 용량이 있는지 확인합니다.

주의

2.1.4.5. 클러스터의 PodDisruptionBudget이 올바르게 구성되었는지 확인합니다.

PodDisruptionBudget 오브젝트를 사용하여 언제든지 사용할 수 있어야 하는 최소 Pod 복제본 수 또는 백분율을 정의할 수 있습니다. 이 구성은 클러스터 업데이트와 같은 유지 관리 작업 중에 워크로드가 중단되지 않도록 보호합니다.

그러나 클러스터 업데이트 중에 노드가 드레이닝 및 업데이트되지 않도록 지정된 토폴로지에 대해 PodDisruptionBudget 을 구성할 수 있습니다.

클러스터 업데이트를 계획할 때 다음 요인에 대해 PodDisruptionBudget 오브젝트의 구성을 확인합니다.

고가용성 워크로드의 경우 PodDisruptionBudget 에서 금지하지 않고 일시적으로 오프라인으로 전환할 수 있는 복제본이 있는지 확인합니다.
고가용성이 아닌 워크로드의 경우 PodDisruptionBudget 에 의해 보호되지 않았는지 확인하거나 정기적인 재시작 또는 보장된 최종 종료와 같이 이러한 워크로드를 드레이닝하기 위한 몇 가지 대체 메커니즘이 있는지 확인하십시오.

추가 리소스

클러스터 Operator 상태 유형 이해

2.2. 수동으로 유지 관리되는 인증 정보로 클러스터 업데이트 준비

CCO(Cloud Credential Operator) 수동으로 유지 관리되는 인증 정보가 있는 클러스터의 Upgradable 상태는 기본적으로 False 입니다.

마이너 릴리스(예: 4.12에서 4.13로)의 경우 이 상태는 업데이트된 권한을 처리하고 CloudCredential 리소스에 주석을 달아 권한이 다음 버전에 필요한 대로 업데이트됨을 나타낼 때까지 업데이트되지 않습니다. 이 주석은 Upgradable 상태를 True로 변경합니다.
예를 들어 4.13.0에서 4.13.1까지 z-stream 릴리스의 경우 권한이 추가되거나 변경되지 않으므로 업데이트가 차단되지 않습니다.

수동으로 유지 관리되는 인증 정보를 사용하여 클러스터를 업데이트하기 전에 업데이트 중인 OpenShift Container Platform 버전의 릴리스 이미지에 새 인증 정보 또는 변경된 인증 정보를 수용해야 합니다.

2.2.1. 수동으로 유지 관리되는 인증 정보를 사용하여 클러스터의 요구 사항 업데이트

CCO(Cloud Credential Operator)를 사용하여 수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업데이트하기 전에 새 릴리스의 클라우드 공급자 리소스를 업데이트해야 합니다.

CCO 유틸리티(ccoctl)를 사용하여 클러스터의 클라우드 인증 정보 관리를 구성한 경우 ccoctl 유틸리티를 사용하여 리소스를 업데이트합니다. ccoctl 유틸리티 없이 수동 모드를 사용하도록 구성된 클러스터에는 리소스에 대한 수동 업데이트가 필요합니다.

클라우드 공급자 리소스를 업데이트한 후 클러스터의 upgradeable-to 주석을 업데이트하여 업데이트할 준비가 되었음을 표시해야 합니다.

참고

클라우드 공급자 리소스를 업데이트하는 프로세스와 upgradeable-to 주석은 명령줄 툴을 사용하여 완료할 수 있습니다.

2.2.1.1. 클라우드 인증 정보 구성 옵션 및 플랫폼 유형별 업데이트 요구 사항

일부 플랫폼은 하나의 모드에서 CCO 사용을 지원합니다. 해당 플랫폼에 설치된 클러스터의 경우 플랫폼 유형에 따라 인증 정보 업데이트 요구 사항이 결정됩니다.

여러 모드에서 CCO 사용을 지원하는 플랫폼의 경우 클러스터가 사용하도록 구성된 모드를 결정하고 해당 구성에 필요한 작업을 수행해야 합니다.

그림 2.1. 플랫폼 유형별 인증 정보 업데이트 요구 사항

구성된 CCO 인증 정보 모드에 따라 클러스터에 대한 가능한 업데이트 경로를 표시하는 의사 결정 트리입니다.

Red Hat OpenStack Platform (RHOSP) 및 VMware vSphere

이러한 플랫폼은 수동 모드에서 CCO 사용을 지원하지 않습니다. 이러한 플랫폼의 클러스터는 클라우드 공급자 리소스의 변경 사항을 자동으로 처리하고 upgradeable-to 주석을 업데이트할 필요가 없습니다.

이러한 플랫폼의 클러스터 관리자는 업데이트 프로세스의 수동으로 유지 관리되는 인증 정보 섹션을 건너뛰어야 합니다.

IBM Cloud 및 Nutanix

이러한 플랫폼에 설치된 클러스터는 ccoctl 유틸리티를 사용하여 구성됩니다.

이러한 플랫폼의 클러스터 관리자는 다음 작업을 수행해야 합니다.

새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
새 릴리스에 대해 ccoctl 유틸리티를 구성하고 이를 사용하여 클라우드 공급자 리소스를 업데이트합니다.
클러스터를 upgradeable-to 주석으로 업데이트할 준비가 되었음을 나타냅니다.

Microsoft Azure Stack Hub

이러한 클러스터는 장기 인증 정보와 함께 수동 모드를 사용하며 ccoctl 유틸리티를 사용하지 않습니다.

이러한 플랫폼의 클러스터 관리자는 다음 작업을 수행해야 합니다.

새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
새 릴리스의 클라우드 공급자 리소스를 수동으로 업데이트합니다.
클러스터를 upgradeable-to 주석으로 업데이트할 준비가 되었음을 나타냅니다.

AWS(Amazon Web Services), 글로벌 Microsoft Azure 및 GCP(Google Cloud Platform)

이러한 플랫폼에 설치된 클러스터는 여러 CCO 모드를 지원합니다.

필요한 업데이트 프로세스는 클러스터가 사용하도록 구성된 모드에 따라 다릅니다. CCO가 클러스터에서 사용하도록 구성된 모드가 확실하지 않은 경우 웹 콘솔 또는 CLI를 사용하여 이 정보를 확인할 수 있습니다.

추가 리소스

웹 콘솔을 사용하여 Cloud Credential Operator 모드 확인
CLI를 사용하여 Cloud Credential Operator 모드 확인
인증 정보 요청 리소스 추출 및 준비
Cloud Credential Operator 정보

2.2.1.2. 웹 콘솔을 사용하여 Cloud Credential Operator 모드 확인

웹 콘솔을 사용하여 CCO(Cloud Credential Operator)가 사용하도록 구성된 모드를 확인할 수 있습니다.

참고

AWS(Amazon Web Services), 글로벌 Microsoft Azure 및 GCP(Google Cloud Platform) 클러스터만 여러 CCO 모드를 지원합니다.

사전 요구 사항

클러스터 관리자 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.

프로세스

cluster-admin 역할의 사용자로 OpenShift Container Platform 웹 콘솔에 로그인합니다.
관리 → 클러스터 설정으로 이동합니다.
클러스터 설정 페이지에서 구성 탭을 선택합니다.
구성 리소스에서 클라우드 인을 선택합니다.
클라우드 인증 세부 정보 페이지에서 YAML 탭을 선택합니다.
YAML 블록에서 spec.credentialsMode의 값을 확인합니다. 다음 값이 모든 플랫폼에서 지원되지는 않지만 모두 지원되는 것은 아닙니다.
- '': CCO가 기본 모드에서 작동합니다. 이 구성에서 CCO는 설치 중에 제공된 인증 정보에 따라 Mint 또는 passthrough 모드에서 작동합니다.
- Mint: CCO가 Mint 모드에서 작동합니다.
- passthrough: CCO가 passthrough 모드에서 작동합니다.
- Manual: CCO가 수동 모드에서 작동합니다.
중요
'', Mint 또는 Manual 의 spec.credentialsMode 가 있는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터의 특정 구성을 확인하려면 추가 조사를 수행해야 합니다.
AWS 및 GCP 클러스터는 루트 시크릿이 삭제된 상태에서 Mint 모드 사용을 지원합니다. 클러스터가 mint 모드를 사용하도록 특별히 구성되었거나 기본적으로 mint 모드를 사용하는 경우 업데이트하기 전에 루트 시크릿이 클러스터에 있는지 확인해야 합니다.
수동 모드를 사용하는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터는 AWS STS, GCP Workload Identity 또는 Microsoft Entra Workload ID를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 구성할 수 있습니다. 클러스터 Authentication 오브젝트를 검사하여 클러스터에서 이 전략을 사용하는지 확인할 수 있습니다.

AWS 또는 GCP 클러스터만 Mint 모드를 사용하는: 클러스터가 루트 시크릿없이 작동하는지 확인하려면 워크로드 → 시크릿으로 이동하여 클라우드 공급자의 루트 시크릿을 찾습니다.

참고

프로젝트 드롭다운이 모든 프로젝트로 설정되어 있는지 확인합니다.

플랫폼	시크릿 이름
AWS	`aws-creds`
GCP	`gcp-credentials`

이러한 값 중 하나가 표시되면 클러스터에서 root 시크릿이 있는 mint 또는 passthrough 모드를 사용하는 것입니다.
이러한 값이 표시되지 않으면 클러스터는 루트 시크릿이 제거된 Mint 모드에서 CCO를 사용하는 것입니다.

수동 모드를 사용하는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터: 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 클러스터가 구성되었는지 확인하려면 클러스터 인증 오브젝트 YAML 값을 확인해야 합니다.
1. 관리 → 클러스터 설정으로 이동합니다.
2. 클러스터 설정 페이지에서 구성 탭을 선택합니다.
3. 구성 리소스에서 인증을 선택합니다.
4. 인증 세부 정보 페이지에서 YAML 탭을 선택합니다.
5. YAML 블록에서 .spec.serviceAccountIssuer 매개변수 값을 확인합니다.
  - 클라우드 공급자와 연결된 URL이 포함된 값은 CCO가 구성 요소에 대한 단기 인증 정보가 있는 수동 모드를 사용하고 있음을 나타냅니다. 이러한 클러스터는 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하는 데 ccoctl 유틸리티를 사용하여 구성됩니다.
  - 빈 값('')은 클러스터가 수동 모드에서 CCO를 사용하고 있지만 ccoctl 유틸리티를 사용하여 구성되지 않았음을 나타냅니다.

다음 단계

mint 또는 passthrough 모드에서 작동하는 CCO가 있고 루트 시크릿이 있는 클러스터를 업데이트하는 경우 클라우드 공급자 리소스를 업데이트할 필요가 없으며 업데이트 프로세스의 다음 부분으로 계속 수행할 수 있습니다.
클러스터에서 루트 시크릿이 제거된 mint 모드에서 CCO를 사용하는 경우 업데이트 프로세스의 다음 부분을 계속하기 전에 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 다시 실행해야 합니다.
CCO 유틸리티(ccoctl)를 사용하여 클러스터를 구성한 경우 다음 작업을 수행해야 합니다.
1. 새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
2. 새 릴리스에 대해 ccoctl 유틸리티를 구성하고 이를 사용하여 클라우드 공급자 리소스를 업데이트합니다.
3. upgradeable-to 주석을 업데이트하여 클러스터를 업데이트할 준비가 되었음을 나타냅니다.
클러스터에서 수동 모드에서 CCO를 사용하지만 ccoctl 유틸리티를 사용하여 구성되지 않은 경우 다음 작업을 수행해야 합니다.
1. 새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
2. 새 릴리스의 클라우드 공급자 리소스를 수동으로 업데이트합니다.
3. upgradeable-to 주석을 업데이트하여 클러스터를 업데이트할 준비가 되었음을 나타냅니다.

추가 리소스

인증 정보 요청 리소스 추출 및 준비

2.2.1.3. CLI를 사용하여 Cloud Credential Operator 모드 확인

CLI를 사용하여 CCO(Cloud Credential Operator)가 사용하도록 구성된 모드를 확인할 수 있습니다.

참고

AWS(Amazon Web Services), 글로벌 Microsoft Azure 및 GCP(Google Cloud Platform) 클러스터만 여러 CCO 모드를 지원합니다.

사전 요구 사항

클러스터 관리자 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.
OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

cluster-admin 역할의 사용자로 클러스터에서 oc 에 로그인합니다.
CCO가 사용하도록 구성된 모드를 결정하려면 다음 명령을 입력합니다.
```
$ oc get cloudcredentials cluster \
  -o=jsonpath={.spec.credentialsMode}
```
다음 출력 값을 사용할 수 있지만 모든 플랫폼에서 모두 지원되는 것은 아닙니다.
- '': CCO가 기본 모드에서 작동합니다. 이 구성에서 CCO는 설치 중에 제공된 인증 정보에 따라 Mint 또는 passthrough 모드에서 작동합니다.
- Mint: CCO가 Mint 모드에서 작동합니다.
- passthrough: CCO가 passthrough 모드에서 작동합니다.
- Manual: CCO가 수동 모드에서 작동합니다.
중요
'', Mint 또는 Manual 의 spec.credentialsMode 가 있는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터의 특정 구성을 확인하려면 추가 조사를 수행해야 합니다.
AWS 및 GCP 클러스터는 루트 시크릿이 삭제된 상태에서 Mint 모드 사용을 지원합니다. 클러스터가 mint 모드를 사용하도록 특별히 구성되었거나 기본적으로 mint 모드를 사용하는 경우 업데이트하기 전에 루트 시크릿이 클러스터에 있는지 확인해야 합니다.
수동 모드를 사용하는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터는 AWS STS, GCP Workload Identity 또는 Microsoft Entra Workload ID를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 구성할 수 있습니다. 클러스터 Authentication 오브젝트를 검사하여 클러스터에서 이 전략을 사용하는지 확인할 수 있습니다.
AWS 또는 GCP 클러스터만 Mint 모드를 사용하는: 클러스터가 루트 시크릿없이 작동하는지 확인하려면 다음 명령을 실행합니다.
```
$ oc get secret <secret_name> \
  -n=kube-system
```
여기서 <secret_name>은 AWS의 aws-creds 이거나 GCP의 gcp-credentials 입니다.
루트 시크릿이 있으면 이 명령의 출력에서 보안에 대한 정보를 반환합니다. root 보안이 클러스터에 존재하지 않음을 나타내는 오류가 있습니다.
수동 모드를 사용하는 AWS, GCP 또는 글로벌 Microsoft Azure 클러스터: 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하도록 클러스터가 구성되었는지 확인하려면 다음 명령을 실행합니다.
```
$ oc get authentication cluster \
  -o jsonpath \
  --template='{ .spec.serviceAccountIssuer }'
```
이 명령은 클러스터 Authentication 오브젝트에서 .spec.serviceAccountIssuer 매개변수 값을 표시합니다.
- 클라우드 공급자와 연결된 URL의 출력은 CCO가 구성 요소에 대한 단기 인증 정보가 있는 수동 모드를 사용하고 있음을 나타냅니다. 이러한 클러스터는 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하는 데 ccoctl 유틸리티를 사용하여 구성됩니다.
- 빈 출력은 클러스터가 수동 모드에서 CCO를 사용하고 있지만 ccoctl 유틸리티를 사용하여 구성되지 않았음을 나타냅니다.

다음 단계

mint 또는 passthrough 모드에서 작동하는 CCO가 있고 루트 시크릿이 있는 클러스터를 업데이트하는 경우 클라우드 공급자 리소스를 업데이트할 필요가 없으며 업데이트 프로세스의 다음 부분으로 계속 수행할 수 있습니다.
클러스터에서 루트 시크릿이 제거된 mint 모드에서 CCO를 사용하는 경우 업데이트 프로세스의 다음 부분을 계속하기 전에 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 다시 실행해야 합니다.
CCO 유틸리티(ccoctl)를 사용하여 클러스터를 구성한 경우 다음 작업을 수행해야 합니다.
1. 새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
2. 새 릴리스에 대해 ccoctl 유틸리티를 구성하고 이를 사용하여 클라우드 공급자 리소스를 업데이트합니다.
3. upgradeable-to 주석을 업데이트하여 클러스터를 업데이트할 준비가 되었음을 나타냅니다.
클러스터에서 수동 모드에서 CCO를 사용하지만 ccoctl 유틸리티를 사용하여 구성되지 않은 경우 다음 작업을 수행해야 합니다.
1. 새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비합니다.
2. 새 릴리스의 클라우드 공급자 리소스를 수동으로 업데이트합니다.
3. upgradeable-to 주석을 업데이트하여 클러스터를 업데이트할 준비가 되었음을 나타냅니다.

추가 리소스

인증 정보 요청 리소스 추출 및 준비

2.2.2. 인증 정보 요청 리소스 추출 및 준비

수동 모드에서 CCO(Cloud Credential Operator)를 사용하는 클러스터를 업데이트하기 전에 새 릴리스에 대한 CredentialsRequest CR(사용자 정의 리소스)을 추출하고 준비해야 합니다.

사전 요구 사항

업데이트된 버전과 일치하는 OpenShift CLI (oc)를 설치합니다.
cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.

프로세스

다음 명령을 실행하여 적용할 업데이트에 대한 pull 사양을 가져옵니다.
```
$ oc adm upgrade
```
이 명령의 출력에는 다음과 유사한 사용 가능한 업데이트에 대한 가져오기 사양이 포함됩니다.
부분 예제 출력
```
...
Recommended updates:

VERSION IMAGE
4.17.0  quay.io/openshift-release-dev/ocp-release@sha256:6a899c54dda6b844bb12a247e324a0f6cde367e880b73ba110c056df6d018032
...
```
다음 명령을 실행하여 사용할 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다.
```
$ RELEASE_IMAGE=<update_pull_spec>
```
여기서 <update_pull_spec >은 사용하려는 릴리스 이미지의 풀 사양입니다. 예를 들면 다음과 같습니다.
```
quay.io/openshift-release-dev/ocp-release@sha256:6a899c54dda6b844bb12a247e324a0f6cde367e880b73ba110c056df6d018032
```
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스) 목록을 추출합니다.
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --to=<path_to_directory_for_credentials_requests> 2
```
1
--included 매개변수에는 대상 릴리스에 필요한 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
2
CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.
이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.
릴리스 이미지의 각 CredentialsRequest CR에 대해 spec.secretRef.namespace 필드의 텍스트와 일치하는 네임스페이스가 클러스터에 있는지 확인합니다. 이 필드에는 인증 정보 구성을 보유하는 생성된 시크릿이 저장됩니다.
샘플 AWS CredentialsRequest 오브젝트
```
apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: cloud-credential-operator-iam-ro
  namespace: openshift-cloud-credential-operator
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  secretRef:
    name: cloud-credential-operator-iam-ro-creds
    namespace: openshift-cloud-credential-operator 1
```
1
이 필드는 생성된 보안을 유지하기 위해 존재해야 하는 네임스페이스를 나타냅니다.
다른 플랫폼의 CredentialsRequest CR에는 다른 플랫폼별 값이 있는 유사한 형식이 있습니다.
클러스터에 spec.secretRef.namespace 에 지정된 이름의 네임스페이스가 아직 없는 CredentialsRequest CR의 경우 다음 명령을 실행하여 네임스페이스를 생성합니다.
```
$ oc create namespace <component_namespace>
```

다음 단계

클러스터의 클라우드 인증 정보 관리가 CCO 유틸리티(ccoctl)를 사용하여 구성된 경우 클러스터 업데이트에 대해 ccoctl 유틸리티를 구성하고 이를 사용하여 클라우드 공급자 리소스를 업데이트합니다.
ccoctl 유틸리티를 사용하여 클러스터가 구성되지 않은 경우 클라우드 공급자 리소스를 수동으로 업데이트합니다.

추가 리소스

클러스터 업데이트에 대한 Cloud Credential Operator 유틸리티 구성
클라우드 공급자 리소스 수동 업데이트

2.2.3. 클러스터 업데이트에 대한 Cloud Credential Operator 유틸리티 구성

수동 모드에서 CCO(Cloud Credential Operator)를 사용하여 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하는 클러스터를 업그레이드하려면 CCO 유틸리티(ccoctl) 바이너리를 추출하고 준비합니다.

참고

ccoctl 유틸리티는 Linux 환경에서 실행해야 하는 Linux 바이너리입니다.

사전 요구 사항

클러스터 관리자 액세스 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.
OpenShift CLI(oc)가 설치되어 있습니다.

클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하기 위해 ccoctl 유틸리티를 사용하여 클러스터가 구성되었습니다.
OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스)을 추출하여 spec.secretRef.namespace 필드의 텍스트와 일치하는 네임스페이스가 클러스터에 있는지 확인했습니다.

프로세스

다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지의 변수를 설정합니다.
```
$ RELEASE_IMAGE=$(oc get clusterversion -o jsonpath={..desired.image})
```
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CCO 컨테이너 이미지를 가져옵니다.
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
참고
$RELEASE_IMAGE 의 아키텍처가 ccoctl 툴을 사용할 환경의 아키텍처와 일치하는지 확인합니다.
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지 내에서 ccoctl 바이너리를 추출합니다.
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
& lt;rhel_version > 의 경우 호스트가 사용하는 RHEL(Red Hat Enterprise Linux) 버전에 해당하는 값을 지정합니다. 값을 지정하지 않으면 기본적으로 ccoctl.rhel8 이 사용됩니다. 다음 값이 유효합니다.
rhel8: RHEL 8을 사용하는 호스트에 대해 이 값을 지정합니다.
rhel9: RHEL 9를 사용하는 호스트에 대해 이 값을 지정합니다.
다음 명령을 실행하여 ccoctl 을 실행할 수 있도록 권한을 변경합니다.
```
$ chmod 775 ccoctl.<rhel_version>
```

검증

ccoctl 을 사용할 준비가 되었는지 확인하려면 도움말 파일을 표시합니다. 명령을 실행할 때 상대 파일 이름을 사용합니다. 예를 들면 다음과 같습니다.

$ ./ccoctl.rhel9

출력 예

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for {ibm-cloud-title}
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

2.2.4. Cloud Credential Operator 유틸리티를 사용하여 클라우드 공급자 리소스 업데이트

CCO 유틸리티(ccoctl)를 사용하여 구성된 OpenShift Container Platform 클러스터를 업그레이드하는 프로세스는 설치 중에 클라우드 공급자 리소스를 생성하는 것과 유사합니다.

참고

AWS 클러스터에서 일부 ccoctl 명령은 AWS API를 호출하여 AWS 리소스를 생성하거나 수정합니다. --dry-run 플래그를 사용하여 API 호출을 방지할 수 있습니다. 이 플래그를 사용하면 로컬 파일 시스템에 JSON 파일이 생성됩니다. JSON 파일을 검토 및 수정한 다음 --cli-input-json 매개변수를 사용하여 AWS CLI 툴로 적용할 수 있습니다.

사전 요구 사항

OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스)을 추출하여 spec.secretRef.namespace 필드의 텍스트와 일치하는 네임스페이스가 클러스터에 있는지 확인했습니다.
릴리스 이미지에서 ccoctl 바이너리를 추출하고 구성했습니다.

프로세스

ccoctl 툴을 사용하여 클라우드 공급자에 대해 명령을 실행하여 모든 CredentialsRequest 오브젝트를 처리합니다. 다음 명령은 CredentialsRequest 오브젝트를 처리합니다.
예 2.1. AWS(Amazon Web Services)
```
$ ccoctl aws create-all \1
  --name=<name> \2
  --region=<aws_region> \3
  --credentials-requests-dir=<path_to_credentials_requests_directory> \4
  --output-dir=<path_to_ccoctl_output_dir> \5
  --create-private-s3-bucket 6
```
1
AWS 리소스를 개별적으로 생성하려면 "사용자 지정" 컨텐츠로 "AWS에 클러스터 설치" 절차의 "AWS 리소스 생성" 절차를 사용하십시오. 이 옵션은 AWS 리소스를 수정하기 전에 ccoctl 툴에서 생성하는 JSON 파일을 검토해야 하거나 ccoctl 툴에서 AWS 리소스 를 생성하는 데 사용하는 프로세스가 조직의 요구 사항을 자동으로 충족하지 않는 경우 유용할 수 있습니다.
2
추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름을 지정합니다.
3
클라우드 리소스가 생성될 AWS 리전을 지정합니다.
4
구성 요소 CredentialsRequest 오브젝트에 대한 파일이 포함된 디렉터리를 지정합니다.
5
선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
6
선택사항: 기본적으로 ccoctl 유틸리티는 공개 S3 버킷에 OIDC(OpenID Connect) 구성 파일을 저장하고 공개 OIDC 엔드포인트로 S3 URL을 사용합니다. OIDC 구성을 공용 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 개인 S3 버킷에 저장하려면 --create-private-s3-bucket 매개변수를 사용합니다.
예 2.2. GCP(Google Cloud Platform)
```
$ ccoctl gcp create-all \
  --name=<name> \1
  --region=<gcp_region> \2
  --project=<gcp_project_id> \3
  --credentials-requests-dir=<path_to_credentials_requests_directory> \4
  --output-dir=<path_to_ccoctl_output_dir> 5
```
1
추적에 사용되는 모든 생성된 GCP 리소스의 사용자 정의 이름을 지정합니다.
2
클라우드 리소스가 생성될 GCP 리전을 지정합니다.
3
클라우드 리소스가 생성될 GCP 프로젝트 ID를 지정합니다.
4
GCP 서비스 계정을 생성하려면 CredentialsRequest 매니페스트 파일이 포함된 디렉터리를 지정합니다.
5
선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
예 2.3. IBM Cloud
```
$ ccoctl ibmcloud create-service-id \
  --credentials-requests-dir=<path_to_credential_requests_directory> \1
  --name=<cluster_name> \2
  --output-dir=<installation_directory> \3
  --resource-group-name=<resource_group_name> 4
```
1
구성 요소 CredentialsRequest 오브젝트에 대한 파일이 포함된 디렉터리를 지정합니다.
2
OpenShift Container Platform 클러스터의 이름을 지정합니다.
3
선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
4
선택 사항: 액세스 정책의 범위를 지정하는 데 사용되는 리소스 그룹의 이름을 지정합니다.
예 2.4. Microsoft Azure
```
$ ccoctl azure create-managed-identities \
  --name <azure_infra_name> \1
  --output-dir ./output_dir \
  --region <azure_region> \2
  --subscription-id <azure_subscription_id> \3
  --credentials-requests-dir <path_to_directory_for_credentials_requests> \
  --issuer-url "${OIDC_ISSUER_URL}" \4
  --dnszone-resource-group-name <azure_dns_zone_resourcegroup_name> \5
  --installation-resource-group-name "${AZURE_INSTALL_RG}" 6
```
1
name 매개변수의 값은 Azure 리소스 그룹을 생성하는 데 사용됩니다. 새 Azure 리소스 그룹을 생성하는 대신 기존 Azure 리소스 그룹을 사용하려면 기존 그룹 이름을 값으로 사용하여 --oidc-resource-group-name 인수를 지정합니다.
2
기존 클러스터의 리전을 지정합니다.
3
기존 클러스터의 서브스크립션 ID를 지정합니다.
4
기존 클러스터의 OIDC 발행자 URL을 지정합니다. 다음 명령을 실행하여 이 값을 가져올 수 있습니다.
$ oc get authentication cluster \ -o jsonpath \ --template='{ .spec.serviceAccountIssuer }'
5
DNS 영역을 포함하는 리소스 그룹의 이름을 지정합니다.
6
Azure 리소스 그룹 이름을 지정합니다. 다음 명령을 실행하여 이 값을 가져올 수 있습니다.
$ oc get infrastructure cluster \ -o jsonpath \ --template '{ .status.platformStatus.azure.resourceGroupName }'
예 2.5. Nutanix
```
$ ccoctl nutanix create-shared-secrets \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \1
  --output-dir=<ccoctl_output_dir> \2
  --credentials-source-filepath=<path_to_credentials_file> 3
```
1
구성 요소 CredentialsRequests 오브젝트의 파일이 포함된 디렉터리의 경로를 지정합니다.
2
선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
3
선택 사항: 인증 정보 데이터 YAML 파일이 포함된 디렉터리를 지정합니다. 기본적으로 ccoctl 은 이 파일이 < home_directory>/.nutanix/credentials 에 있을 것으로 예상합니다.
각 CredentialsRequest 오브젝트에 대해 ccoctl 은 OpenShift Container Platform 릴리스 이미지에서 각 CredentialsRequest 오브젝트에 정의된 대로 필요한 공급자 리소스 및 권한 정책을 생성합니다.

다음 명령을 실행하여 클러스터에 보안을 적용합니다.

$ ls <path_to_ccoctl_output_dir>/manifests/*-credentials.yaml | xargs -I{} oc apply -f {}

검증

클라우드 공급자를 쿼리하여 필요한 공급자 리소스 및 권한 정책이 생성되었는지 확인할 수 있습니다. 자세한 내용은 역할 또는 서비스 계정 나열에 대한 클라우드 공급자 설명서를 참조하십시오.

다음 단계

upgradeable-to 주석을 업데이트하여 클러스터를 업그레이드할 준비가 되었음을 나타냅니다.

추가 리소스

클러스터를 업그레이드할 준비가 되었음을 나타냅니다.

2.2.5. 클라우드 공급자 리소스 수동 업데이트

수동으로 유지 관리되는 인증 정보를 사용하여 클러스터를 업그레이드하기 전에 업그레이드하려는 릴리스 이미지의 새 인증 정보에 대한 시크릿을 생성해야 합니다. 기존 인증 정보에 필요한 권한을 검토하고 해당 구성 요소의 새 릴리스에 새 권한 요구 사항을 충족해야 합니다.

사전 요구 사항

OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스)을 추출하여 spec.secretRef.namespace 필드의 텍스트와 일치하는 네임스페이스가 클러스터에 있는지 확인했습니다.

프로세스

새 릴리스 이미지가 추가하는 CredentialsRequest 사용자 정의 리소스에 대한 시크릿을 사용하여 YAML 파일을 생성합니다. 시크릿은 각 CredentialsRequest 오브젝트의 spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다.

예 2.6. AWS YAML 파일 샘플

보안이 포함된 샘플 AWS CredentialsRequest 오브젝트

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

샘플 AWS Secret 오브젝트

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

예 2.7. Azure YAML 파일 샘플

참고

글로벌 Azure 및 Azure Stack Hub는 동일한 CredentialsRequest 오브젝트 및 시크릿 형식을 사용합니다.

보안이 포함된 샘플 Azure CredentialsRequest 오브젝트

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Azure Secret 오브젝트 샘플

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

예 2.8. GCP YAML 파일 샘플

보안이 포함된 샘플 GCP CredentialsRequest 오브젝트

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: GCPProviderSpec
      predefinedRoles:
      - roles/iam.securityReviewer
      - roles/iam.roleViewer
      skipServiceCheck: true
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

샘플 GCP Secret 오브젝트

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  service_account.json: <base64_encoded_gcp_service_account_file>

시크릿에 저장된 기존 인증 정보에 대한 CredentialsRequest 사용자 정의 리소스에 변경된 권한 요구 사항이 있는 경우 필요에 따라 권한을 업데이트합니다.

다음 단계

upgradeable-to 주석을 업데이트하여 클러스터를 업그레이드할 준비가 되었음을 나타냅니다.

추가 리소스

2.2.6. 클러스터를 업그레이드할 준비가 되었음을 나타냅니다.

CCO(Cloud Credential Operator) 수동으로 유지 관리되는 인증 정보가 있는 클러스터의 Upgradable 상태는 기본적으로 False 입니다.

사전 요구 사항

업그레이드할 릴리스 이미지의 경우 새 인증 정보를 수동으로 처리하거나 Cloud Credential Operator 유틸리티(ccoctl)를 사용하여 처리했습니다.
OpenShift CLI(oc)가 설치되어 있습니다.

프로세스

cluster-admin 역할의 사용자로 클러스터에서 oc 에 로그인합니다.
CloudCredential 리소스를 편집하여 다음 명령을 실행하여 metadata 필드 내에 upgradeable-to 주석을 추가합니다.
```
$ oc edit cloudcredential cluster
```
추가할 텍스트
```
...
  metadata:
    annotations:
      cloudcredential.openshift.io/upgradeable-to: <version_number>
...
```
여기서 <version_number>는 x.y.z 형식으로 업그레이드할 버전입니다. 예를 들어 OpenShift Container Platform 4.12.2에는 4.12.2를 사용합니다.
주석을 추가한 후 업그레이드 가능 상태가 변경되는 데 몇 분이 소요될 수 있습니다.

검증

웹 콘솔의 관리자 화면에서 관리자 → 클러스터 설정으로 이동합니다.
CCO 상태 세부 정보를 보려면 Cluster Operators 목록에서 cloud-credential을 클릭합니다.
- Conditions 섹션의 Upgradeable 상태가 False인 경우 upgradeable-to 주석에 오타 오류가 없는지 확인합니다.
Conditions 섹션의 Upgradeable 상태가 True 인 경우 OpenShift Container Platform 업그레이드를 시작합니다.

2.3. KMM(커널 모듈 관리) 모듈에 대한 preflight 검증

적용된 KMM 모듈을 사용하여 클러스터에서 업그레이드를 수행하기 전에 KMM을 사용하여 설치된 커널 모듈이 클러스터 업그레이드 및 커널 업그레이드 후 노드에 설치할 수 있는지 확인해야 합니다. preflight는 클러스터에 로드된 모든 Module을 병렬로 검증하려고 합니다. preflight는 다른 Module의 검증을 시작하기 전에 하나의 Module의 유효성 검사가 완료될 때까지 기다리지 않습니다.

2.3.1. 검증 시작

preflight 검증은 클러스터에 PreflightValidationOCP 리소스를 생성하여 트리거됩니다. 이 사양에는 두 개의 필드가 있습니다.

releaseImage: 클러스터가 업그레이드된 OpenShift Container Platform 버전의 릴리스 이미지 이름을 제공하는 필수 필드입니다.
pushBuiltImage: true 인 경우 Build 및 Sign 검증 중에 생성된 이미지가 해당 리포지토리로 푸시됩니다. 이 필드는 기본적으로 false입니다.

2.3.2. 검증 라이프사이클

preflight 검증은 클러스터에 로드된 모든 모듈을 검증하려고 합니다. preflight는 검증에 성공한 후 모듈 리소스에서 검증을 중지합니다. 모듈 검증에 실패하면 모듈 정의를 변경할 수 있으며, Preflight는 다음 루프에서 모듈을 다시 검증하려고 합니다.

추가 커널에 대해 Preflight 검증을 실행하려면 해당 커널에 대한 다른 PreflightValidationOCP 리소스를 생성해야 합니다. 모든 모듈을 검증한 후에는 PreflightValidationOCP 리소스를 삭제하는 것이 좋습니다.

2.3.3. 검증 상태

PreflightValidationOCP 리소스는 클러스터에 있는 각 모듈의 상태 및 진행 상황을 .status.modules 목록에서 시도하거나 검증하려고 했습니다. 해당 목록의 요소에는 다음 필드가 포함됩니다.

lastTransitionTime

모듈 리소스 상태가 한 상태에서 다른 상태로 전환된 마지막 시간입니다. 기본 상태가 변경된 경우여야 합니다. 이를 알 수 없는 경우 API 필드가 변경된 시간을 사용합니다.

name

모듈 리소스의 이름입니다.

네임스페이스

모듈 리소스의 네임스페이스입니다.

statusReason

상태에 대한 구두 설명입니다.

verificationStage

실행되는 검증 단계를 설명합니다.

이미지: 이미지 존재 확인
Build: Build Process verification
서명: 프로세스 확인 서명

verificationStatus

모듈 확인의 상태:

True: 확인
false: 확인 실패
error: 확인 프로세스 중 오류
알 수 없음: 검증이 시작되지 않았습니다.

2.3.4. 모듈당 preflight 검증 단계

preflight는 클러스터에 있는 모든 KMM 모듈에 대해 다음 검증을 실행합니다.

이미지 검증 단계
빌드 검증 단계
검증 단계 서명

2.3.4.1. 이미지 검증 단계

이미지 검증은 실행할 사전 실행 검증의 첫 번째 단계입니다. 이미지 검증에 성공하면 해당 특정 모듈에서 다른 검증이 실행되지 않습니다.

이미지 검증은 다음 두 단계로 구성됩니다.

이미지 존재 및 접근성. 코드는 모듈에서 업그레이드된 커널에 대해 정의된 이미지에 액세스하여 매니페스트를 가져옵니다.
향후 modprobe 실행을 위해 Module 에 정의된 커널 모듈이 올바른 경로에 있는지 확인합니다. 이 검증에 성공하면 커널 모듈이 올바른 Linux 헤더로 컴파일되었음을 의미합니다. 올바른 경로는 < dirname>/lib/modules/<upgraded_kernel>/ 입니다.

2.3.4.2. 빌드 검증 단계

빌드 유효성 검사는 이미지 유효성 검사가 실패하고 업그레이드된 커널과 관련된 Module에 build 섹션이 있는 경우에만 실행됩니다. 빌드 검증은 빌드 작업을 실행하고 성공적으로 완료되었는지 확인합니다.

참고

다음과 같이 depmod 를 실행할 때 커널 버전을 지정해야 합니다.

$ RUN depmod -b /opt ${KERNEL_VERSION}

Push builtImage 플래그가 PreflightValidationOCP CR(사용자 정의 리소스)에 정의된 경우 결과 이미지를 해당 리포지토리로 내보내려고 합니다. 결과 이미지 이름은 Module CR의 containerImage 필드 정의에서 가져옵니다.

참고

업그레이드된 커널에 대해 sign 섹션이 정의된 경우 결과 이미지는 Module CR의 containerImage 필드가 아니라 결과 이미지가 Sign flow의 제품이어야 하므로 임시 이미지 이름이 됩니다.

2.3.4.3. 검증 단계 서명

서명 검증은 이미지 검증에 실패한 경우에만 실행됩니다. 업그레이드 커널과 관련된 모듈 리소스에 기호 섹션이 있으며 업그레이드된 커널과 관련된 모듈에 빌드 섹션이 있는 경우 빌드 유효성 검사가 성공적으로 완료됩니다. 유효성 검사 시도에서 서명 작업을 실행하고 성공적으로 완료되었는지 확인합니다.

PreflightValidationOCP CR에 Push builtImage 플래그가 정의된 경우 서명 검증도 결과 이미지를 레지스트리로 푸시하려고 합니다. 결과 이미지는 항상 모듈의 ContainerImage 필드에 정의된 이미지입니다. 입력 이미지는 Build 단계의 출력이거나 UnsignedImage 필드에 정의된 이미지입니다.

참고

build 섹션이 있는 경우 sign 섹션 입력 이미지는 build 섹션의 출력 이미지입니다. 따라서 sign 섹션에 입력 이미지를 사용할 수 있으려면 PreflightValidationOCP CR에 Push builtImage 플래그를 정의해야 합니다.

2.3.5. PreflightValidationOCP 리소스의 예

이 섹션에서는 YAML 형식으로 PreflightValidationOCP 리소스의 예를 보여줍니다.

이 예제에서는 다음 릴리스 이미지가 가리키는 OpenShift Container Platform 릴리스 4.11.18에 포함된 향후 커널 버전에 대해 현재 존재하는 모든 모듈을 확인합니다.

quay.io/openshift-release-dev/ocp-release@sha256:22e149142517dfccb47be828f012659b1ccf71d26620e6f62468c264a7ce7863

.spec.push builtImage 가 true 로 설정되므로 KMM은 빌드/로그인의 결과 이미지를 정의된 리포지토리로 내보냅니다.

apiVersion: kmm.sigs.x-k8s.io/v1beta2
kind: PreflightValidationOCP
metadata:
  name: preflight
spec:
  releaseImage: quay.io/openshift-release-dev/ocp-release@sha256:22e149142517dfccb47be828f012659b1ccf71d26620e6f62468c264a7ce7863
  pushBuiltImage: true

3장. 클러스터 업데이트 수행

3.1. CLI를 사용하여 클러스터 업데이트

OpenShift CLI(oc)를 사용하여 OpenShift Container Platform 클러스터에서 마이너 버전 및 패치 업데이트를 수행할 수 있습니다.

3.1.1. 사전 요구 사항

admin 권한이 있는 사용자로 클러스터에 액세스합니다. RBAC를 사용하여 권한 정의 및 적용을 참조하십시오.
업데이트가 실패할 경우 etcd 백업이 있어야 하며 클러스터를 이전 상태로 복원해야 합니다.
Pod 실패로 인해 영구 볼륨을 복원해야 하는 경우 최신 CSI(Container Storage Interface) 볼륨 스냅샷 이 있어야 합니다.
RHEL7 작업자는 RHEL8 또는 RHCOS 작업자로 교체됩니다. Red Hat은 RHEL 작업자의 RHEL7에서 RHEL8 업데이트를 지원하지 않습니다. 해당 호스트는 완전히 새로운 운영 체제 설치로 교체되어야 합니다.
OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하고 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 설치된 Operator 업데이트를 참조하십시오.
모든 MCP(Machine config pool)가 실행 중이고 일시 중지되지 않는지 확인합니다. 업데이트 프로세스 중에 일시 중지된 MCP와 연결된 노드를 건너뜁니다. 카나리아 롤아웃 업데이트 전략을 수행하는 경우 MCP를 일시 중지할 수 있습니다.
클러스터에서 수동으로 유지 관리되는 인증 정보를 사용하는 경우 새 릴리스의 클라우드 공급자 리소스를 업데이트합니다. 클러스터의 요구 사항인지 확인하는 방법을 포함하여 자세한 내용은 수동으로 유지 관리되는 인증 정보를 사용하여 클러스터 업데이트 준비를 참조하십시오.
클러스터가 다음 마이너 버전으로 업데이트할 수 있도록 모든 Upgradeable=False 조건을 처리해야 합니다. 업데이트할 수 없는 클러스터 Operator 가 하나 이상 있는 경우 클러스터 설정 페이지 상단에 경고가 표시됩니다. 현재 사용 중인 마이너 릴리스에 대해 사용 가능한 다음 패치 업데이트로 업데이트할 수 있습니다.
Operator를 실행하거나 Pod 중단 예산으로 애플리케이션을 구성한 경우 업데이트 프로세스 중에 중단이 발생할 수 있습니다. PodDisruptionBudget 에서 minAvailable 이 1로 설정된 경우 제거 프로세스를 차단할 수 있는 보류 중인 머신 구성을 적용하기 위해 노드가 드레인됩니다. 여러 노드가 재부팅되면 모든 Pod가 하나의 노드에서만 실행될 수 있으며 PodDisruptionBudget 필드에는 노드가 드레이닝되지 않을 수 있습니다.

중요

업데이트가 완료되지 않으면 CVO(Cluster Version Operator)에서 업데이트를 조정하는 동안 차단 구성 요소의 상태를 보고합니다. 클러스터를 이전 버전으로 롤백하는 것은 지원되지 않습니다. 업데이트가 완료되지 않으면 Red Hat 지원에 문의하십시오.
unsupportedConfigOverrides 섹션을 사용하여 Operator 설정을 수정하는 것은 지원되지 않으며 클러스터 업데이트를 차단할 수 있습니다. 클러스터를 업데이트하려면 이 설정을 제거해야 합니다.

추가 리소스

관리되지 않는 Operator에 대한 지원 정책

3.1.2. MachineHealthCheck 리소스 일시 중지

업데이트 프로세스 중에 클러스터의 노드를 일시적으로 사용할 수 없게 될 수 있습니다. 작업자 노드의 경우 시스템 상태 점검에서 이러한 노드를 비정상으로 식별하고 재부팅할 수 있습니다. 이러한 노드를 재부팅하지 않으려면 클러스터를 업데이트하기 전에 모든 MachineHealthCheck 리소스를 일시 중지합니다.

사전 요구 사항

OpenShift CLI(oc)를 설치합니다.

프로세스

일시 중지하려는 사용 가능한 MachineHealthCheck 리소스를 모두 나열하려면 다음 명령을 실행합니다.
```
$ oc get machinehealthcheck -n openshift-machine-api
```

머신 상태 점검을 일시 중지하려면 cluster.x-k8s.io/paused="" 주석을 MachineHealthCheck 리소스에 추가합니다. 다음 명령을 실행합니다.

$ oc -n openshift-machine-api annotate mhc <mhc-name> cluster.x-k8s.io/paused=""

주석이 지정된 MachineHealthCheck 리소스는 다음 YAML 파일과 유사합니다.

apiVersion: machine.openshift.io/v1beta1
kind: MachineHealthCheck
metadata:
  name: example
  namespace: openshift-machine-api
  annotations:
    cluster.x-k8s.io/paused: ""
spec:
  selector:
    matchLabels:
      role: worker
  unhealthyConditions:
  - type:    "Ready"
    status:  "Unknown"
    timeout: "300s"
  - type:    "Ready"
    status:  "False"
    timeout: "300s"
  maxUnhealthy: "40%"
status:
  currentHealthy: 5
  expectedMachines: 5

중요

클러스터를 업데이트한 후 머신 상태 점검을 다시 시작합니다. 검사를 다시 시작하려면 다음 명령을 실행하여 MachineHealthCheck 리소스에서 일시 중지 주석을 제거합니다.

$ oc -n openshift-machine-api annotate mhc <mhc-name> cluster.x-k8s.io/paused-

3.1.3. 단일 노드 OpenShift Container Platform 업데이트 정보

콘솔 또는 CLI를 사용하여 단일 노드 OpenShift Container Platform 클러스터를 업데이트하거나 업그레이드할 수 있습니다.

그러나 다음과 같은 제한 사항에 유의하십시오.

상태 점검을 수행할 다른 노드가 없기 때문에 MachineHealthCheck 리소스를 일시 중지하기 위한 사전 요구 사항은 필요하지 않습니다.
etcd 백업을 사용하여 단일 노드 OpenShift Container Platform 클러스터 복원은 공식적으로 지원되지 않습니다. 그러나 업데이트가 실패하는 경우 etcd 백업을 수행하는 것이 좋습니다. 컨트롤 플레인이 정상이면 백업을 사용하여 클러스터를 이전 상태로 복원할 수 있습니다.
단일 노드 OpenShift Container Platform 클러스터를 업데이트하려면 다운타임이 필요하며 자동 재부팅을 포함할 수 있습니다. 다운타임의 양은 다음 시나리오에 설명된 대로 업데이트 페이로드에 따라 다릅니다.
- 업데이트 페이로드에 재부팅이 필요한 운영 체제 업데이트가 포함된 경우 다운타임이 중요하며 클러스터 관리 및 사용자 워크로드에 영향을 미칩니다.
- 재부팅할 필요가 없는 머신 구성 변경 사항이 업데이트되면 다운타임이 줄어들고 클러스터 관리 및 사용자 워크로드에 미치는 영향이 줄어듭니다. 이 경우 워크로드를 다시 예약할 다른 노드가 없기 때문에 단일 노드 OpenShift Container Platform으로 노드 드레이닝 단계를 건너뜁니다.
- 업데이트 페이로드에 운영 체제 업데이트 또는 머신 구성이 변경되지 않으면 짧은 API 중단이 발생하고 신속하게 해결됩니다.

중요

업데이트된 패키지의 버그와 같은 조건이 있으므로 재부팅 후 단일 노드가 재시작되지 않을 수 있습니다. 이 경우 업데이트가 자동으로 롤백되지 않습니다.

추가 리소스

재부팅해야 하는 머신 구성 변경에 대한 자세한 내용은 Machine Config Operator 정보에서 참조하십시오.

3.1.4. CLI를 사용하여 클러스터 업데이트

OpenShift CLI(oc)를 사용하여 클러스터 업데이트를 검토하고 요청할 수 있습니다.

사용 가능한 OpenShift Container Platform 권고 및 업데이트는 고객 포털의 에라타 섹션을 참조하십시오.

전제 조건

업데이트된 버전과 일치하는 OpenShift CLI (oc)를 설치합니다.
cluster-admin 권한이 있는 사용자로 클러스터에 로그인합니다.
모든 MachineHealthCheck 리소스를 일시 중지합니다.

프로세스

사용 가능한 업데이트를 확인하고 적용하려는 업데이트의 버전 번호를 기록해 둡니다.

$ oc adm upgrade

출력 예

Cluster version is 4.13.10
Upstream is unset, so the cluster will use an appropriate default.
Channel: stable-4.13 (available channels: candidate-4.13, candidate-4.14, fast-4.13, stable-4.13)
Recommended updates:
  VERSION     IMAGE
  4.13.14     quay.io/openshift-release-dev/ocp-release@sha256:406fcc160c097f61080412afcfa7fd65284ac8741ac7ad5b480e304aba73674b
  4.13.13     quay.io/openshift-release-dev/ocp-release@sha256:d62495768e335c79a215ba56771ff5ae97e3cbb2bf49ed8fb3f6cefabcdc0f17
  4.13.12     quay.io/openshift-release-dev/ocp-release@sha256:73946971c03b43a0dc6f7b0946b26a177c2f3c9d37105441315b4e3359373a55
  4.13.11     quay.io/openshift-release-dev/ocp-release@sha256:e1c2377fdae1d063aaddc753b99acf25972b6997ab9a0b7e80cfef627b9ef3dd

참고

권장 업데이트가 없는 경우 알려진 문제가 있는 업데이트를 계속 사용할 수 있습니다. 자세한 내용은 조건부 업데이트 경로를 따라업데이트를 참조하십시오.
컨트롤 플레인만 업데이트하는 방법에 대한 자세한 내용 및 자세한 내용은 추가 리소스 섹션에 나열된 컨트롤 플레인만 업데이트 준비 페이지를 참조하십시오.

조직 요구 사항에 따라 적절한 업데이트 채널을 설정합니다. 예를 들어 채널을 stable-4.13 또는 fast-4.13 으로 설정할 수 있습니다. 채널에 대한 자세한 내용은 추가 리소스 섹션에 나열된 업데이트 채널 및 릴리스 이해 를 참조하십시오.
```
$ oc adm upgrade channel <channel>
```
예를 들어 채널을 stable-4.17 로 설정하려면 다음을 수행합니다.
```
$ oc adm upgrade channel stable-4.17
```
중요
프로덕션 클러스터의 경우 stable-*, eus-* 또는 fast-* 채널에 가입해야 합니다.
참고
다음 마이너 버전으로 이동할 준비가 되면 해당 마이너 버전에 해당하는 채널을 선택합니다. 업데이트 채널이 더 빨리 선언될수록 클러스터가 대상 버전으로의 경로를 업데이트하는 것이 좋습니다. 클러스터는 사용 가능한 모든 업데이트를 평가하고 선택할 수 있는 최상의 업데이트 권장 사항을 제공하는 데 시간이 걸릴 수 있습니다. 업데이트 권장 사항은 당시 사용할 수 있는 업데이트 옵션을 기반으로 하므로 시간이 지남에 따라 변경될 수 있습니다.
대상 마이너 버전에 대한 업데이트 경로가 표시되지 않는 경우 경로에서 다음 마이너 버전을 사용할 수 있을 때까지 현재 버전의 최신 패치 릴리스로 클러스터를 계속 업데이트합니다.
업데이트를 적용합니다.
- 최신 버전으로 업데이트하려면 다음을 수행합니다.
```
$ oc adm upgrade --to-latest=true 1
```
- 특정 버전으로 업데이트하려면 다음을 수행합니다.
```
$ oc adm upgrade --to=<version> 1
```
  1 1
  <version >은 oc adm upgrade 명령의 출력에서 얻은 업데이트 버전입니다.
  중요
  oc adm upgrade --help 를 사용하는 경우 --force 에 대한 나열된 옵션이 있습니다. --force 옵션을 사용하면 릴리스 확인 및 사전 조건 검사를 포함하여 클러스터 측 가드를 우회하므로 이는 바람직 하지 않습니다. --force 를 사용하면 성공적인 업데이트가 보장되지 않습니다. 가드를 우회하면 클러스터가 위험하게 됩니다.
클러스터 버전 Operator의 상태를 확인합니다.
```
$ oc adm upgrade
```

업데이트가 완료되면 클러스터 버전이 새 버전으로 업데이트되었는지 확인합니다.

$ oc adm upgrade

출력 예

Cluster version is <version>

Upstream is unset, so the cluster will use an appropriate default.
Channel: stable-<version> (available channels: candidate-<version>, eus-<version>, fast-<version>, stable-<version>)

No updates available. You may force an update to a specific release image, but doing so might not be supported and might result in downtime or data loss.

클러스터를 버전 X.y에서 X.(y+1)로 업데이트하는 경우 새 기능을 사용하는 워크로드를 배포하기 전에 노드가 업데이트되었는지 확인하는 것이 좋습니다.

$ oc get nodes

출력 예

NAME                           STATUS   ROLES    AGE   VERSION
ip-10-0-168-251.ec2.internal   Ready    master   82m   v1.30.3
ip-10-0-170-223.ec2.internal   Ready    master   82m   v1.30.3
ip-10-0-179-95.ec2.internal    Ready    worker   70m   v1.30.3
ip-10-0-182-134.ec2.internal   Ready    worker   70m   v1.30.3
ip-10-0-211-16.ec2.internal    Ready    master   82m   v1.30.3
ip-10-0-250-100.ec2.internal   Ready    worker   69m   v1.30.3

3.1.5. oc adm upgrade status를 사용하여 클러스터 업데이트 상태 수집 (기술 프리뷰)

클러스터를 업데이트할 때 업데이트 진행 방식을 이해하는 것이 유용합니다. oc adm upgrade 명령은 업데이트 상태에 대한 제한된 정보를 반환하는 반면 이 릴리스에서는 oc adm upgrade status 명령이 기술 프리뷰 기능으로 도입되었습니다. 이 명령은 oc adm upgrade 명령에서 상태 정보를 분리하고 컨트롤 플레인 및 작업자 노드 업데이트 상태를 포함하여 클러스터 업데이트에 대한 특정 정보를 제공합니다.

oc adm upgrade status 명령은 읽기 전용이며 클러스터의 상태를 변경하지 않습니다.

중요

oc adm upgrade status 명령은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

oc adm upgrade status 명령은 버전 4.12에서 지원되는 최신 릴리스까지 클러스터에 사용할 수 있습니다.

중요

클러스터가 기술 프리뷰 지원 클러스터일 필요는 없지만 OC_ENABLE_CMD_UPGRADE_STATUS 기술 프리뷰 환경 변수를 활성화해야 합니다. 그렇지 않으면 OpenShift CLI(oc)가 명령을 인식하지 못하고 기능을 사용할 수 없습니다.

프로세스

다음 명령을 실행하여 OC_ENABLE_CMD_UPGRADE_STATUS 환경 변수를 true 로 설정합니다.
```
$ export OC_ENABLE_CMD_UPGRADE_STATUS=true
```

oc adm upgrade status 명령을 실행합니다.

$ oc adm upgrade status

예 3.1. 성공적으로 진행 중인 업데이트 출력 예

= Control Plane =
Assessment:      Progressing
Target Version:  4.14.1 (from 4.14.0)
Completion:      97%
Duration:        54m
Operator Status: 32 Healthy, 1 Unavailable

Control Plane Nodes
NAME                                        ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-53-40.us-east-2.compute.internal    Progressing   Draining   4.14.0    +10m
ip-10-0-30-217.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?
ip-10-0-92-180.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?

= Worker Upgrade =

= Worker Pool =
Worker Pool:     worker
Assessment:      Progressing
Completion:      0%
Worker Status:   3 Total, 2 Available, 1 Progressing, 3 Outdated, 1 Draining, 0 Excluded, 0 Degraded

Worker Pool Nodes
NAME                                        ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-4-159.us-east-2.compute.internal    Progressing   Draining   4.14.0    +10m
ip-10-0-20-162.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?
ip-10-0-99-40.us-east-2.compute.internal    Outdated      Pending    4.14.0    ?

= Worker Pool =
Worker Pool:     infra
Assessment:      Progressing
Completion:      0%
Worker Status:   1 Total, 0 Available, 1 Progressing, 1 Outdated, 1 Draining, 0 Excluded, 0 Degraded

Worker Pool Node
NAME                                             ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-4-159-infra.us-east-2.compute.internal   Progressing   Draining   4.14.0    +10m

= Update Health =
SINCE   LEVEL   IMPACT   MESSAGE
14m4s   Info    None     Update is proceeding well

이 정보를 사용하면 업데이트를 진행하는 방법에 대한 정보에 입각한 결정을 내릴 수 있습니다.

추가 리소스

컨트롤 플레인만 업데이트 수행
조건부 업데이트 경로를 따라 업데이트
업데이트 채널 및 릴리스 이해

3.1.6. 조건부 업데이트 경로를 따라 업데이트

웹 콘솔 또는 OpenShift CLI(oc)를 사용하여 권장 조건부 업데이트 경로를 따라 업데이트할 수 있습니다. 클러스터에 조건부 업데이트가 권장되지 않는 경우 OpenShift CLI (oc) 4.10 이상을 사용하여 조건부 업데이트 경로를 따라 업데이트할 수 있습니다.

프로세스

위험이 적용될 수 있으므로 권장되지 않는 경우 업데이트 설명을 보려면 다음 명령을 실행합니다.
```
$ oc adm upgrade --include-not-recommended
```
클러스터 관리자가 알려진 위험을 평가하고 현재 클러스터에 대해 허용 가능한 것으로 결정하는 경우 관리자는 안전 가드를 포기하고 다음 명령을 실행하여 업데이트를 진행할 수 있습니다.
```
$ oc adm upgrade --allow-not-recommended --to <version> <.>
```
<.> <version>은 이전 명령의 출력에서 얻은 업데이트 버전입니다. 이는 지원되지만 알려진 문제 또는 위험도 있습니다.

추가 리소스

업데이트 채널 및 릴리스 이해

3.1.7. CLI를 사용하여 업데이트 서버 변경

업데이트 서버 변경은 선택 사항입니다. 로컬에 설치되어 구성된 OSUS(OpenShift Update Service)가 있는 경우 업데이트 중에 로컬 서버를 사용하도록 서버의 URL을 upstream으로 설정해야 합니다. upstream의 기본값은 https://api.openshift.com/api/upgrades_info/v1/graph입니다.

프로세스

클러스터 버전에서 upstream 매개변수 값을 변경합니다.
```
$ oc patch clusterversion/version --patch '{"spec":{"upstream":"<update-server-url>"}}' --type=merge
```
<update-server-url> 변수는 업데이트 서버의 URL을 지정합니다.
출력 예
```
clusterversion.config.openshift.io/version patched
```

3.2. 웹 콘솔을 사용하여 클러스터 업데이트

웹 콘솔을 사용하여 OpenShift Container Platform 클러스터에서 마이너 버전 및 패치 업데이트를 수행할 수 있습니다.

참고

웹 콘솔 또는 oc adm upgrade channel <channel> 을 사용하여 업데이트 채널을 변경합니다. 4.17 채널을 변경한 후 CLI를 사용하여 클러스터 업데이트 단계를 실행할 수 있습니다.

3.2.1. OpenShift Container Platform 클러스터를 업데이트하기 전에

업데이트하기 전에 다음을 고려하십시오.

최근에 etcd를 백업했습니다.
PodDisruptionBudget 에서 minAvailable 이 1 로 설정되면 제거 프로세스를 차단할 수 있는 보류 중인 머신 구성을 적용하기 위해 노드가 드레인됩니다. 여러 노드가 재부팅되면 모든 Pod가 하나의 노드에서만 실행될 수 있으며 PodDisruptionBudget 필드에는 노드가 드레이닝되지 않을 수 있습니다.
클러스터가 수동으로 유지 관리되는 인증 정보를 사용하는 경우 새 릴리스의 클라우드 공급자 리소스를 업데이트해야 할 수 있습니다.
관리자 승인 요청을 검토하고 권장 작업을 수행하고 준비가 되면 승인을 제공해야 합니다.
업데이트하는 데 걸리는 시간을 수용하도록 작업자 또는 사용자 지정 풀 노드를 업데이트하여 부분 업데이트를 수행할 수 있습니다. 각 풀의 진행률 표시줄을 일시 중지하고 다시 시작할 수 있습니다.

중요

업데이트가 완료되지 않으면 CVO(Cluster Version Operator)에서 업데이트를 조정하는 동안 차단 구성 요소의 상태를 보고합니다. 클러스터를 이전 버전으로 롤백하는 것은 지원되지 않습니다. 업데이트가 완료되지 않으면 Red Hat 지원에 문의하십시오.
unsupportedConfigOverrides 섹션을 사용하여 Operator 설정을 수정하는 것은 지원되지 않으며 클러스터 업데이트를 차단할 수 있습니다. 클러스터를 업데이트하려면 이 설정을 제거해야 합니다.

3.2.2. 웹 콘솔을 사용하여 업데이트 서버 변경

업데이트 서버 변경은 선택 사항입니다. 로컬에 설치되어 구성된 OSUS(OpenShift Update Service)가 있는 경우 업데이트 중에 로컬 서버를 사용하도록 서버의 URL을 upstream으로 설정해야 합니다.

사전 요구 사항

cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.

프로세스

관리 → 클러스터 설정으로 이동하여 버전을 클릭합니다.
YAML 탭을 클릭한 다음 업스트림 매개변수 값을 편집합니다.
출력 예
```
  ...
  spec:
    clusterID: db93436d-7b05-42cc-b856-43e11ad2d31a
    upstream: '<update-server-url>' 1
  ...
```
1
<update-server-url> 변수는 업데이트 서버의 URL을 지정합니다.
기본 upstream은 https://api.openshift.com/api/upgrades_info/v1/graph입니다.
저장을 클릭합니다.

추가 리소스

업데이트 채널 및 릴리스 이해

3.2.3. 웹 콘솔을 사용하여 MachineHealthCheck 리소스 일시 중지

사전 요구 사항

cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.

프로세스

OpenShift Container Platform 웹 콘솔에 로그인합니다.
Compute → MachineHealthChecks 로 이동합니다.
머신 상태 점검을 일시 중지하려면 cluster.x-k8s.io/paused="" 주석을 각 MachineHealthCheck 리소스에 추가합니다. 예를 들어 machine-api-termination-handler 리소스에 주석을 추가하려면 다음 단계를 완료합니다.
1. machine-api-termination-handler 옆에 있는 옵션 메뉴 를 클릭하고 주석 편집을 클릭합니다.
2. 주석 편집 대화 상자에서 추가 를 클릭합니다.
3. 키 및 값 필드에 cluster.x-k8s.io/paused 및 "" 값을 각각 추가하고 저장을 클릭합니다.

3.2.4. 웹 콘솔을 사용하여 클러스터 업데이트

사용 가능한 업데이트가 있으면 웹 콘솔에서 클러스터를 업데이트할 수 있습니다.

사용 가능한 OpenShift Container Platform 권고 및 업데이트는 고객 포털의 에라타 섹션을 참조하십시오.

사전 요구 사항

cluster-admin 권한이 있는 사용자로 웹 콘솔에 액세스합니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
모든 MachineHealthCheck 리소스를 일시 중지합니다.
OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하는 방법과 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 "추가 리소스" 섹션에서 "설치된 Operator 업그레이드"를 참조하십시오.
MCP(Machine config pool)가 실행 중이고 일시 중지되지 않습니다. 업데이트 프로세스 중에 일시 중지된 MCP와 연결된 노드를 건너뜁니다. 카나리아 롤아웃 업데이트 전략을 수행하는 경우 MCP를 일시 중지할 수 있습니다.
RHEL7 작업자는 RHEL8 또는 RHCOS 작업자로 교체됩니다. Red Hat은 RHEL 작업자의 RHEL7에서 RHEL8 업데이트를 지원하지 않습니다. 해당 호스트는 완전히 새로운 운영 체제 설치로 교체되어야 합니다.

프로세스

웹 콘솔에서 Administration → Cluster Settings을 클릭하고 Details 탭의 내용을 확인합니다.
프로덕션 클러스터의 경우 stable-4.17 과 같이 업데이트할 버전에 대해 Channel 이 올바른 채널로 설정되어 있는지 확인합니다.
중요
프로덕션 클러스터의 경우 stable-*, eus-* 또는 fast-* 채널에 가입해야 합니다.
참고
다음 마이너 버전으로 이동할 준비가 되면 해당 마이너 버전에 해당하는 채널을 선택합니다. 업데이트 채널이 더 빨리 선언될수록 클러스터가 대상 버전으로의 경로를 업데이트하는 것이 좋습니다. 클러스터는 사용 가능한 모든 업데이트를 평가하고 선택할 수 있는 최상의 업데이트 권장 사항을 제공하는 데 시간이 걸릴 수 있습니다. 업데이트 권장 사항은 당시 사용할 수 있는 업데이트 옵션을 기반으로 하므로 시간이 지남에 따라 변경될 수 있습니다.
대상 마이너 버전에 대한 업데이트 경로가 표시되지 않는 경우 경로에서 다음 마이너 버전을 사용할 수 있을 때까지 현재 버전의 최신 패치 릴리스로 클러스터를 계속 업데이트합니다.
- Update status 가 Updates available 이 아닌 경우 클러스터를 업데이트할 수 없습니다.
- Select channel은 클러스터가 실행 중이거나 업데이트 중인 클러스터 버전을 나타냅니다.
업데이트할 버전을 선택하고 저장을 클릭합니다.
입력 채널 Update Status가 Update to <product-version> in progress로 변경되고 Operator 및 노드의 진행률을 확인하여 클러스터 업데이트의 진행 상황을 검토할 수 있습니다.
참고
예를 들어 버전 4.10에서 4.11로 클러스터를 업데이트하는 경우 새 기능을 사용하는 워크로드를 배포하기 전에 노드가 업데이트되었는지 확인합니다. 아직 업데이트되지 않은 작업자 노드가 있는 풀은 클러스터 설정 페이지에 표시됩니다.
업데이트가 완료되고 Cluster Version Operator가 사용 가능한 업데이트를 새로 고침한 후 현재 채널에서 사용 가능한 추가 업데이트가 있는지 확인합니다.
- 업데이트가 있는 경우 더 이상 업데이트할 수 없을 때까지 현재 채널에서 업데이트를 계속 수행합니다.
- 사용 가능한 업데이트가 없는 경우 채널을 다음 마이너 버전의 stable-*, eus-* 또는 fast-* 채널로 변경하고 해당 채널에서 원하는 버전으로 업데이트합니다.
필요한 버전에 도달할 때까지 여러 중간 업데이트를 수행해야 할 수도 있습니다.

추가 리소스

설치된 Operator 업데이트

3.2.5. 웹 콘솔에서 조건부 업데이트 보기

조건부 업데이트를 통해 특정 업데이트와 관련된 위험을 확인하고 평가할 수 있습니다.

사전 요구 사항

cluster-admin 권한이 있는 클러스터에 액세스할 수 있습니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
모든 MachineHealthCheck 리소스를 일시 중지합니다.
OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하는 방법과 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 "추가 리소스" 섹션에서 "설치된 Operator 업그레이드"를 참조하십시오.
MCP(Machine config pool)가 실행 중이고 일시 중지되지 않습니다. 업데이트 프로세스 중에 일시 중지된 MCP와 연결된 노드를 건너뜁니다. 카나리아 롤아웃, EUS 업데이트 또는 컨트롤 플레인 업데이트와 같은 고급 업데이트 전략을 수행하는 경우 MCP를 일시 중지할 수 있습니다.

프로세스

웹 콘솔에서 관리 → 클러스터 설정 페이지를 클릭하고 세부 정보 탭의 내용을 검토합니다.
업데이트 클러스터 모달의 새 버전 선택 드롭다운에서 알려진 문제 기능이 있는 버전 포함 기능을 활성화하여 드롭다운 목록을 조건부 업데이트로 채울 수 있습니다.
참고
알려진 문제가 있는 버전을 선택하면 해당 버전과 관련된 잠재적인 위험이 더 많은 정보가 제공됩니다.
업데이트할 잠재적인 위험을 자세히 설명하는 알림을 검토하십시오.

추가 리소스

설치된 Operator 업데이트
권장 사항 및 조건부 업데이트 업데이트

3.2.6. 카나리아 롤아웃 업데이트 수행

일부 특정 사용 사례에서는 클러스터의 나머지 부분과 동시에 특정 노드를 업데이트하지 않도록 보다 제어된 업데이트 프로세스를 원할 수 있습니다. 이러한 사용 사례에는 다음이 포함되지만 이에 국한되지는 않습니다.

업데이트 중에 사용할 수 없는 미션크리티컬 애플리케이션이 있습니다. 업데이트 후 노드의 애플리케이션을 소규모로 천천히 테스트할 수 있습니다.
유지 보수 기간이 짧아서 모든 노드를 업데이트할 수 없거나 유지 보수 기간이 여러 개일 수 있습니다.

롤링 업데이트 프로세스는 일반적인 업데이트 워크플로우가 아닙니다. 대규모 클러스터를 사용하면 여러 명령을 실행해야 하는 시간이 많이 소요될 수 있습니다. 이러한 복잡성으로 인해 전체 클러스터에 영향을 줄 수 있는 오류가 발생할 수 있습니다. 롤링 업데이트를 사용할지 여부를 신중하게 고려하고 시작하기 전에 프로세스 구현을 신중하게 계획하는 것이 좋습니다.

이 주제에서 설명하는 롤링 업데이트 프로세스에는 다음이 포함됩니다.

하나 이상의 사용자 지정 MCP(Machine config pool) 생성.
해당 노드를 사용자 지정 MCP로 이동하기 위해 즉시 업데이트하지 않으려는 각 노드에 레이블을 지정.
해당 노드에 대한 업데이트를 방지하는 사용자 지정 MCP를 일시 중지.
클러스터 업데이트 수행.
해당 노드에서 업데이트를 트리거하는 하나의 사용자 지정 MCP를 일시 중지 해제.
해당 노드에서 애플리케이션을 테스트하여 새로 업데이트된 해당 노드에서 애플리케이션이 예상대로 작동하는지 확인.
선택적으로 나머지 노드에서 사용자 지정 레이블을 소규모 배치로 제거하고 해당 노드에서 애플리케이션을 테스트.

참고

MCP 일시 중지는 신중하게 고려하고 짧은 기간 동안만 수행해야 합니다.

카나리아 롤아웃 업데이트 프로세스를 사용하려면 카나리아 롤아웃 업데이트 수행을 참조하십시오.

3.2.7. 단일 노드 OpenShift Container Platform 업데이트 정보

콘솔 또는 CLI를 사용하여 단일 노드 OpenShift Container Platform 클러스터를 업데이트하거나 업그레이드할 수 있습니다.

그러나 다음과 같은 제한 사항에 유의하십시오.

상태 점검을 수행할 다른 노드가 없기 때문에 MachineHealthCheck 리소스를 일시 중지하기 위한 사전 요구 사항은 필요하지 않습니다.
etcd 백업을 사용하여 단일 노드 OpenShift Container Platform 클러스터 복원은 공식적으로 지원되지 않습니다. 그러나 업데이트가 실패하는 경우 etcd 백업을 수행하는 것이 좋습니다. 컨트롤 플레인이 정상이면 백업을 사용하여 클러스터를 이전 상태로 복원할 수 있습니다.
단일 노드 OpenShift Container Platform 클러스터를 업데이트하려면 다운타임이 필요하며 자동 재부팅을 포함할 수 있습니다. 다운타임의 양은 다음 시나리오에 설명된 대로 업데이트 페이로드에 따라 다릅니다.
- 업데이트 페이로드에 재부팅이 필요한 운영 체제 업데이트가 포함된 경우 다운타임이 중요하며 클러스터 관리 및 사용자 워크로드에 영향을 미칩니다.
- 재부팅할 필요가 없는 머신 구성 변경 사항이 업데이트되면 다운타임이 줄어들고 클러스터 관리 및 사용자 워크로드에 미치는 영향이 줄어듭니다. 이 경우 워크로드를 다시 예약할 다른 노드가 없기 때문에 단일 노드 OpenShift Container Platform으로 노드 드레이닝 단계를 건너뜁니다.
- 업데이트 페이로드에 운영 체제 업데이트 또는 머신 구성이 변경되지 않으면 짧은 API 중단이 발생하고 신속하게 해결됩니다.

중요

추가 리소스

Machine Config Operator 정보

3.3. 컨트롤 플레인만 업데이트 수행

기본 Kubernetes 설계로 인해 마이너 버전 간의 모든 OpenShift Container Platform 업데이트를 직렬화해야 합니다. OpenShift Container Platform <4.y>에서 <4.y+1>로 업데이트한 다음 <4.y+2>로 업데이트해야 합니다. OpenShift Container Platform <4.y>에서 <4.y+2>로 직접 업데이트할 수 없습니다. 그러나 번호가 매겨진 두 개의 마이너 버전 간에 업데이트하려는 관리자는 컨트롤 플레인 호스트가 아닌 호스트를 한 번만 재부팅할 수 있습니다.

중요

이 업데이트는 이전에 EUS-to-EUS 업데이트로 알려졌으며 이제 컨트롤 플레인 전용 업데이트라고 합니다. 이러한 업데이트는 OpenShift Container Platform의 짝수의 마이너 버전에서 만 사용할 수 있습니다.

컨트롤 플레인만 업데이트할 때 고려해야 할 몇 가지 경고 사항이 있습니다.

컨트롤 플레인 업데이트는 관련된 모든 버전 간의 업데이트가 stable 채널에서 제공되는 경우에만 제공됩니다.
홀수의 마이너 버전으로 업데이트하거나 업데이트한 후 다음 짝수 버전으로 업데이트한 후 문제가 발생하면 이러한 문제를 해결하려면 비컨트롤 플레인 호스트가 계속 진행하기 전에 홀수된 버전에 대한 업데이트를 완료해야 할 수 있습니다.
유지 관리에 걸리는 시간을 수용하도록 작업자 또는 사용자 지정 풀 노드를 업데이트하여 부분 업데이트를 수행할 수 있습니다.
머신 구성 풀이 일시 중지되지 않고 업데이트가 완료될 때까지 OpenShift Container Platform의 <4.y+1> 및 <4.y+2>의 일부 기능 및 버그 수정을 사용할 수 없습니다.
모든 클러스터는 풀이 일시 중지되지 않은 기존 업데이트에 EUS 채널을 사용하여 업데이트할 수 있지만, 컨트롤 플레인이 아닌 MachineConfigPools 오브젝트가 있는 클러스터만 컨트롤 플레인이 일시 중지된 업데이트만 수행할 수 있습니다.

3.3.1. 컨트롤 플레인만 업데이트 수행

다음 절차에서는 모든마스터 머신 구성 풀을 일시 중지하고 OpenShift Container Platform <4.y>에서 <4.y+1>에서 <4.y+2>로 업데이트를 수행한 다음 머신 구성 풀을 일시 중지 해제합니다. 이 절차를 수행하면 총 업데이트 기간과 작업자 노드가 재시작되는 횟수가 줄어듭니다.

사전 요구 사항

OpenShift Container Platform <4.y+1> 및 <4.y+2>의 릴리스 노트를 검토하십시오.
계층화된 제품 및 OLM(Operator Lifecycle Manager) Operator의 릴리스 노트 및 제품 라이프 사이클을 검토하십시오. 일부 제품 및 OLM Operator는 컨트롤 플레인만 업데이트되기 전이나 중에 업데이트가 필요할 수 있습니다.
OpenShift Container Platform <4.y+1>에서 <4.y+2>로 업데이트하기 전에 필요한 더 이상 사용되지 않는 API 제거와 같은 버전별 사전 요구 사항에 익숙해야 합니다.
클러스터에서 in-tree vSphere 볼륨을 사용하는 경우 vSphere를 7.0u3L+ 또는 8.0u2+ 버전으로 업데이트합니다.
중요
OpenShift Container Platform 업데이트를 시작하기 전에 vSphere를 7.0u3L+ 또는 8.0u2+로 업데이트하지 않으면 업데이트 후 클러스터에서 알려진 문제가 발생할 수 있습니다. 자세한 내용은 OpenShift 4.12에서 4.13 또는 4.13에서 4.14 vSphere CSI Storage 마이그레이션에 대한 알려진 문제를 참조하십시오.

3.3.1.1. 컨트롤 플레인은 웹 콘솔을 사용하는 경우에만 업데이트

사전 요구 사항

머신 구성 풀이 일시 중지되지 않았는지 확인합니다.
admin 권한이 있는 사용자로 웹 콘솔에 액세스합니다.

프로세스

웹 콘솔의 관리자 화면을 사용하여 OLM(Operator Lifecycle Manager) Operator를 원하는 업데이트된 버전과 호환되는 버전으로 업데이트합니다. "설치된 Operator 업그레이드"에서 이 작업을 수행하는 방법에 대한 자세한 내용은 "추가 리소스"를 참조하십시오.
모든 머신 구성 풀에 Up to date 상태가 표시되고 머신 구성 풀에 UPDATING 상태가 표시되지 않는지 확인합니다.
모든 머신 구성 풀의 상태를 보려면 Compute → MachineConfigPools 를 클릭하고 Update status 열의 내용을 검토합니다.
참고
머신 구성 풀에 Updating 상태가 있는 경우 이 상태가 Up to date 로 변경될 때까지 기다립니다. 이 프로세스에는 몇 분이 걸릴 수 있습니다.
채널을 eus-<4.y+2>로 설정합니다.
채널을 설정하려면 관리 → 클러스터 설정 → 채널을 클릭합니다. 현재 하이퍼링크된 채널을 클릭하여 채널을 편집할 수 있습니다.
마스터 풀을 제외한 모든 작업자 머신 풀을 일시 중지합니다. 컴퓨팅 페이지의 MachineConfigPools 탭에서 이 작업을 수행할 수 있습니다. 일시 중지하려는 머신 구성 풀 옆에 있는 수직을 선택하고 업데이트 일시 중지를 클릭합니다.
버전 <4.y+1>로 업데이트하고 저장 단계로 완료합니다. "웹 콘솔을 사용하여 클러스터 업그레이드"에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 "추가 리소스"를 참조하십시오.
클러스터의 마지막 완료된 버전을 확인하여 <4.y+1> 업데이트가 완료되었는지 확인합니다. 세부 정보 탭의 클러스터 설정 페이지에서 이 정보를 확인할 수 있습니다.
필요한 경우 웹 콘솔의 관리자 화면을 사용하여 OLM Operator를 업데이트합니다. 이러한 작업을 수행하는 방법에 대한 자세한 내용은 "설치된 Operator 업그레이드"를 참조하십시오. "추가 리소스"를 참조하십시오.
버전 <4.y+2>로 업데이트하고 저장 단계로 완료합니다. "웹 콘솔을 사용하여 클러스터 업그레이드"에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 "추가 리소스"를 참조하십시오.
클러스터의 마지막 완료된 버전을 확인하여 <4.y+2> 업데이트가 완료되었는지 확인합니다. 세부 정보 탭의 클러스터 설정 페이지에서 이 정보를 확인할 수 있습니다.
이전에 일시 중지된 모든 머신 구성 풀을 일시 중지 해제합니다. 컴퓨팅 페이지의 MachineConfigPools 탭에서 이 작업을 수행할 수 있습니다. 일시 중지 해제하려는 머신 구성 풀 옆에 있는 수직을 선택하고 업데이트 일시 중지 해제를 클릭합니다.
중요
풀이 일시 중지되면 클러스터는 향후 마이너 버전으로 업그레이드할 수 없으며 일부 유지 관리 작업이 금지됩니다. 이로 인해 클러스터가 향후 저하될 위험이 있습니다.
이전에 일시 중지된 풀이 업데이트되고 클러스터가 <4.y+2> 버전으로 업데이트를 완료했는지 확인합니다.
Update status 의 Up to date 값이 있는지 확인하여 Compute 페이지 아래의 MachineConfigPools 탭에서 풀이 업데이트되었는지 확인할 수 있습니다.
중요
RHEL(Red Hat Enterprise Linux) 컴퓨팅 머신이 포함된 클러스터를 업데이트하면 업데이트 프로세스 중에 해당 머신을 일시적으로 사용할 수 없게 됩니다. 클러스터가 NotReady 상태가 되면 각 RHEL 시스템에 대해 업그레이드 플레이 북을 실행하여 업데이트를 완료해야 합니다. 자세한 내용은 추가 리소스 섹션의 "RHEL 컴퓨팅 시스템을 포함하는 클러스터 업그레이드"를 참조하십시오.
클러스터의 마지막 완료 버전을 확인하여 클러스터가 업데이트를 완료했는지 확인할 수 있습니다. 세부 정보 탭의 클러스터 설정 페이지에서 이 정보를 확인할 수 있습니다.

추가 리소스

설치된 Operator 업데이트
웹 콘솔을 사용하여 클러스터 업데이트
RHEL 컴퓨팅 시스템을 포함하는 클러스터 업데이트

3.3.1.2. 컨트롤 플레인은 CLI를 사용하여 업데이트

사전 요구 사항

머신 구성 풀이 일시 중지되지 않았는지 확인합니다.
각 업데이트 전에 OpenShift CLI(oc)를 대상 버전으로 업데이트합니다.

중요

이 사전 요구 사항을 건너뛰는 것이 좋습니다. OpenShift CLI(oc)가 업데이트 전에 대상 버전으로 업데이트되지 않으면 예기치 않은 문제가 발생할 수 있습니다.

프로세스

웹 콘솔의 관리자 화면을 사용하여 OLM(Operator Lifecycle Manager) Operator를 원하는 업데이트된 버전과 호환되는 버전으로 업데이트합니다. "설치된 Operator 업그레이드"에서 이 작업을 수행하는 방법에 대한 자세한 내용은 "추가 리소스"를 참조하십시오.

모든 머신 구성 풀에 UPDATED 상태가 표시되고 머신 구성 풀에 UPDATING 상태가 표시되지 않는지 확인합니다. 모든 머신 구성 풀의 상태를 보려면 다음 명령을 실행합니다.

$ oc get mcp

출력 예

NAME     CONFIG                                         	UPDATED   UPDATING
master   rendered-master-ecbb9582781c1091e1c9f19d50cf836c       True  	  False
worker   rendered-worker-00a3f0c68ae94e747193156b491553d5       True  	  False

현재 버전은 <4.y>이며 업데이트하려는 버전은 <4.y+2>입니다. 다음 명령을 실행하여 eus-<4.y+2 > 채널로 변경합니다.
```
$ oc adm upgrade channel eus-<4.y+2>
```
참고
eus-<4.y+2 >가 사용 가능한 채널 중 하나가 아님을 나타내는 오류 메시지가 표시되면 Red Hat이 여전히 EUS 버전 업데이트를 롤아웃하고 있음을 나타냅니다. 이 롤아웃 프로세스는 일반적으로 GA 날짜에 45-90일이 걸립니다.
다음 명령을 실행하여 마스터 풀을 제외한 모든 작업자 머신 풀을 일시 중지합니다.
```
$ oc patch mcp/worker --type merge --patch '{"spec":{"paused":true}}'
```
참고
마스터 풀을 일시 중지할 수 없습니다.
다음 명령을 실행하여 최신 버전으로 업데이트합니다.
```
$ oc adm upgrade --to-latest
```
출력 예
```
Updating to latest version <4.y+1.z>
```
클러스터 버전을 검토하여 다음 명령을 실행하여 업데이트가 완료되었는지 확인합니다.
```
$ oc adm upgrade
```
출력 예
```
Cluster version is <4.y+1.z>
...
```
다음 명령을 실행하여 버전 <4.y+2>로 업데이트합니다.
```
$ oc adm upgrade --to-latest
```
클러스터 버전을 검색하여 다음 명령을 실행하여 <4.y+2> 업데이트가 완료되었는지 확인합니다.
```
$ oc adm upgrade
```
출력 예
```
Cluster version is <4.y+2.z>
...
```
작업자 노드를 <4.y+2>로 업데이트하려면 다음 명령을 실행하여 이전에 일시 중지된 모든 머신 구성 풀을 일시 중지 해제합니다.
```
$ oc patch mcp/worker --type merge --patch '{"spec":{"paused":false}}'
```
중요
풀이 일시 중지되지 않는 경우 클러스터는 향후 마이너 버전으로 업데이트할 수 없으며 일부 유지 관리 작업이 금지됩니다. 이로 인해 클러스터가 향후 저하될 위험이 있습니다.
다음 명령을 실행하여 이전에 일시 중지된 풀이 업데이트되고 버전 <4.y+2>에 대한 업데이트가 완료되었는지 확인합니다.
```
$ oc get mcp
```
중요
RHEL(Red Hat Enterprise Linux) 컴퓨팅 머신이 포함된 클러스터를 업데이트하면 업데이트 프로세스 중에 해당 머신을 일시적으로 사용할 수 없게 됩니다. 클러스터가 NotReady 상태가 되면 각 RHEL 시스템에 대해 업그레이드 플레이 북을 실행하여 업데이트를 완료해야 합니다. 자세한 내용은 추가 리소스 섹션의 "RHEL 컴퓨팅 시스템을 포함하는 클러스터 업그레이드"를 참조하십시오.
출력 예
```
NAME 	   CONFIG                                            UPDATED     UPDATING
master   rendered-master-52da4d2760807cb2b96a3402179a9a4c    True  	 False
worker   rendered-worker-4756f60eccae96fb9dcb4c392c69d497    True 	 False
```

추가 리소스

설치된 Operator 업데이트
RHEL 컴퓨팅 시스템을 포함하는 클러스터 업데이트

3.3.1.3. Control Plane은 Operator Lifecycle Manager를 통해 설치된 계층화된 제품 및 Operator에만 업데이트

웹 콘솔 및 CLI에 언급된 컨트롤 플레인 업데이트 단계 외에도 다음과 같은 클러스터에 대한 컨트롤 플레인 업데이트를 수행할 때 고려해야 할 추가 단계가 있습니다.

계층화된 제품
OLM(Operator Lifecycle Manager)을 통해 설치된 Operator

계층화된 제품이란 무엇입니까?

계층화된 제품은 함께 사용하기 위한 여러 기본 제품으로 구성된 제품을 나타내며 개별 서브스크립션으로 분리할 수 없습니다. 계층화된 OpenShift Container Platform 제품의 예는 OpenShift에서 계층화된 오퍼링을 참조하십시오.

컨트롤 플레인을 수행하는 경우 계층화된 제품 클러스터 및 OLM을 통해 설치된 Operator의 클러스터만 업데이트하므로 다음을 완료해야 합니다.

OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하는 방법과 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 "추가 리소스" 섹션에서 "설치된 Operator 업그레이드"를 참조하십시오.
현재 버전과 의도된 Operator 버전 간의 클러스터 버전 호환성을 확인합니다. Red Hat OpenShift Container Platform Operator 업데이트 정보 검사기를 사용하여 OLM Operator 가 호환되는 버전을 확인할 수 있습니다.

예를 들어, 'OpenShift Data Foundation'의 경우 컨트롤 플레인만 <4.y>에서 <4.y+2>로 업데이트하는 단계는 다음과 같습니다. CLI 또는 웹 콘솔을 통해 수행할 수 있습니다. 원하는 인터페이스를 통해 클러스터를 업데이트하는 방법에 대한 자세한 내용은 Control Plane only update using the web console and "Control Plane only update using the CLI" in "추가 리소스"를 참조하십시오.

워크플로우 예

작업자 머신 풀을 일시 중지합니다.
OpenShift <4.y> → OpenShift <4.y+1>를 업데이트합니다.
ODF <4.y> → ODF <4.y+1>를 업데이트합니다.
OpenShift <4.y+1> → OpenShift <4.y+2>를 업데이트합니다.
ODF <4.y+2>로 업데이트합니다.
작업자 머신 풀 일시 중지를 해제합니다.

참고

ODF <4.y+2>로의 업데이트는 작업자 머신 풀이 일시 중지 해제되기 전이나 후에 발생할 수 있습니다.

추가 리소스

설치된 Operator 업데이트
웹 콘솔을 사용하여 컨트롤 플레인만 업데이트 수행
CLI를 사용하여 컨트롤 플레인만 업데이트 수행

3.4. 카나리아 롤아웃 업데이트 수행

카나리아 업데이트는 작업자 노드 업데이트가 모든 작업자 노드를 동시에 업데이트하지 않고 순차적 단계로 수행되는 업데이트 전략입니다. 이 전략은 다음 시나리오에서 유용할 수 있습니다.

업데이트 프로세스로 인해 애플리케이션이 실패하더라도 전체 업데이트 중에 미션 크리티컬 애플리케이션을 계속 사용할 수 있도록 작업자 노드 업데이트 롤아웃을 보다 제어해야 합니다.
작업자 노드의 작은 하위 집합을 업데이트하고 일정 기간 동안 클러스터 및 워크로드 상태를 평가한 다음 나머지 노드를 업데이트하려고 합니다.
호스트 재부팅이 필요한 작업자 노드 업데이트에 맞게 한 번에 전체 클러스터를 업데이트할 수 없는 경우 정의된 더 작은 유지 관리 창으로 전환해야 합니다.

이러한 시나리오에서는 클러스터를 업데이트할 때 특정 작업자 노드가 업데이트되지 않도록 여러 MCP(사용자 정의 머신 구성 풀)를 생성할 수 있습니다. 나머지 클러스터가 업데이트되면 적절한 시간에 배치로 해당 작업자 노드를 업데이트할 수 있습니다.

3.4.1. Canary 업데이트 전략의 예

다음 예에서는 초과 용량이 10%인 클러스터가 있고 4시간을 초과해서는 안 되는 유지 관리 기간이 있으며 작업자 노드를 드레이닝하고 재부팅하는 데 8분 이상 걸리는 카나리아 업데이트 전략을 설명합니다.

참고

이전 값은 예제일 뿐입니다. 노드를 드레이닝하는 데 걸리는 시간은 워크로드와 같은 요인에 따라 다를 수 있습니다.

사용자 정의 머신 구성 풀 정의

작업자 노드 업데이트를 별도의 단계로 구성하기 위해 다음 MCP를 정의하여 시작할 수 있습니다.

workerpool-canary 10 nodes
30개의 노드가 있는 workerpool-A
30개의 노드가 있는 workerpool-B
30개의 노드가 있는 workerpool-C

카나리아 작업자 풀 업데이트

첫 번째 유지 관리 기간 동안 workerpool-A,workerpool-B, workerpool-C 에 대한 MCP를 일시 중지한 다음 클러스터 업데이트를 시작합니다. 이렇게 하면 OpenShift Container Platform에서 실행되는 구성 요소와 일시 중지되지 않은 workerpool-canary MCP의 일부인 10개의 노드가 업데이트되었습니다. 나머지 3개의 MCP는 일시 중지되었으므로 업데이트되지 않습니다.

나머지 작업자 풀 업데이트를 진행할지 여부 확인

어떤 이유로 workerpool-canary 업데이트의 클러스터 또는 워크로드 상태가 부정적인 영향을 미치는 경우 문제를 진단하고 해결할 때까지 해당 풀의 모든 노드를 차단하고 드레이닝하고 드레이닝합니다. 모든 것이 예상대로 작동하면 일시 중지를 해제하기 전에 클러스터 및 워크로드 상태를 평가하여 각 추가 유지 관리 기간 동안 연속으로 workerpool-A,workerpool-B 및 workerpool-C 를 업데이트합니다.

사용자 지정 MCP를 사용하여 작업자 노드 업데이트를 관리하면 유연성을 제공하지만 여러 명령을 실행해야 하는 시간이 많이 걸리는 프로세스일 수 있습니다. 이러한 복잡성으로 인해 전체 클러스터에 영향을 줄 수 있는 오류가 발생할 수 있습니다. 시작하기 전에 조직의 요구 사항을 신중하게 고려하고 프로세스 구현을 신중하게 계획하는 것이 좋습니다.

중요

머신 구성 풀을 일시 중지하면 Machine Config Operator가 연결된 노드에 구성 변경 사항을 적용할 수 없습니다. MCP를 일시 중지하면 kube-apiserver-to-kubelet-signer CA 인증서의 자동 CA 교체를 포함하여 자동으로 순환된 인증서가 연결된 노드로 푸시되지 않습니다.

kube-apiserver-to-kubelet-signer CA 인증서가 만료되고 MCO가 인증서를 자동으로 갱신하려고 하면 MCO는 새로 교체된 인증서를 해당 노드로 푸시할 수 없습니다. 이로 인해 oc debug, oc logs,oc exec, oc attach 를 비롯한 여러 oc 명령에 오류가 발생합니다. 인증서가 순환될 때 MCP가 일시 중지되면 OpenShift Container Platform 웹 콘솔의 경고 UI에 경고가 표시됩니다.

MCP 일시 중지는 kube-apiserver-to-kubelet-signer CA 인증서 만료에 대해 신중하게 고려하여 단기간 동안만 수행해야 합니다.

참고

MCP를 다른 OpenShift Container Platform 버전으로 업데이트하지 않는 것이 좋습니다. 예를 들어 한 MCP를 4.y.10에서 4.y.11로 다른 MCP를 4.y.12로 업데이트하지 마십시오. 이 시나리오는 테스트되지 않아 정의되지 않은 클러스터 상태가 될 수 있습니다.

3.4.2. 카나리아 롤아웃 업데이트 프로세스 및 MCP 정보

OpenShift Container Platform에서 노드는 개별적으로 간주되지 않습니다. 대신 MCP(Machine config pool)로 그룹화됩니다. 기본적으로 OpenShift Container Platform 클러스터의 노드는 두 개의 MCP로 그룹화됩니다. 하나는 컨트롤 플레인 노드용이고 하나는 작업자 노드용입니다. OpenShift Container Platform 업데이트는 모든 MCP에 동시에 영향을 미칩니다.

업데이트 중에 최대 수가 지정된 경우 MCO(Machine Config Operator)는 MCP 내의 모든 노드를 지정된 maxUnavailable 노드 수까지 드레이닝하고 차단합니다. 기본적으로 maxUnavailable 은 1 로 설정됩니다. 노드를 드레이닝하고 차단하면 노드의 모든 Pod 예약이 취소되고 노드가 예약 불가능으로 표시됩니다.

노드를 드레이닝한 후 Machine Config Daemon은 OS(운영 체제) 업데이트를 포함할 수 있는 새 머신 구성을 적용합니다. OS를 업데이트하려면 호스트가 재부팅해야 합니다.

사용자 정의 머신 구성 풀 사용

특정 노드가 업데이트되지 않도록 사용자 지정 MCP를 생성할 수 있습니다. MCO는 일시 중지된 MCP 내에서 노드를 업데이트하지 않으므로 클러스터 업데이트를 시작하기 전에 업데이트하지 않으려는 노드가 포함된 MCP를 일시 중지할 수 있습니다.

하나 이상의 사용자 지정 MCP를 사용하면 작업자 노드를 업데이트하는 시퀀스를 더 많이 제어할 수 있습니다. 예를 들어 첫 번째 MCP에서 노드를 업데이트한 후 애플리케이션 호환성을 확인한 다음 나머지 노드를 새 버전으로 점진적으로 업데이트할 수 있습니다.

주의

참고

컨트롤 플레인의 안정성을 보장하기 위해 컨트롤 플레인 노드에서 사용자 정의 MCP를 생성하는 것은 지원되지 않습니다. MCO(Machine Config Operator)는 컨트롤 플레인 노드에 대해 생성된 사용자 정의 MCP를 무시합니다.

사용자 정의 머신 구성 풀을 사용할 때 고려 사항

워크로드 배포 토폴로지에 따라 생성하는 MCP 수와 각 MCP의 노드 수를 신중하게 고려합니다. 예를 들어 특정 유지 관리 창에 업데이트를 조정해야 하는 경우 지정된 기간 내에 OpenShift Container Platform을 업데이트할 수 있는 노드 수를 알아야 합니다. 이 숫자는 고유한 클러스터 및 워크로드 특성에 따라 달라집니다.

또한 각 MCP 내의 사용자 지정 MCP 수와 노드 양을 결정하기 위해 클러스터에서 사용할 수 있는 추가 용량을 고려해야 합니다. 새로 업데이트된 노드에서 애플리케이션이 예상대로 작동하지 않는 경우 풀의 해당 노드를 차단하고 드레이닝하여 애플리케이션 Pod를 다른 노드로 이동할 수 있습니다. 그러나 나머지 MCP에서 사용 가능한 노드가 애플리케이션에 충분한 QoS(Quality of Service)를 제공할 수 있는지 확인해야 합니다.

참고

이 업데이트 프로세스를 문서화된 모든 OpenShift Container Platform 업데이트 프로세스와 함께 사용할 수 있습니다. 그러나 이 프로세스는 Ansible 플레이북을 사용하여 업데이트되는 RHEL(Red Hat Enterprise Linux) 시스템에서는 작동하지 않습니다.

3.4.3. 카나리아 롤아웃 업데이트 수행 정보

다음 단계에서는 카나리아 롤아웃 업데이트 프로세스의 상위 수준 워크플로를 간략하게 설명합니다.

작업자 풀을 기반으로 사용자 지정 MCP(머신 구성 풀)를 생성합니다.
참고
MCP에서 maxUnavailable 설정을 변경하여 언제든지 업데이트할 수 있는 머신 수를 지정할 수 있습니다. 기본값은 1입니다.
주의
maxUnavailable 의 기본 설정은 OpenShift Container Platform의 모든 머신 구성 풀에 대해 1 입니다. 이 값을 변경하지 않고 한 번에 하나의 컨트롤 플레인 노드를 업데이트하는 것이 좋습니다. 컨트롤 플레인 풀의 경우 이 값을 3 으로 변경하지 마십시오.
사용자 지정 MCP에 노드 선택기를 추가합니다. 나머지 클러스터와 동시에 업데이트하지 않으려는 각 노드에 대해 일치하는 레이블을 노드에 추가합니다. 이 레이블은 노드를 MCP에 연결합니다.
중요
노드에서 기본 작업자 레이블을 제거하지 마십시오. 노드에는 클러스터에서 제대로 작동하려면 역할 레이블이 있어야 합니다.
업데이트 프로세스의 일부로 업데이트하지 않으려는 MCP를 일시 중지합니다.
클러스터 업데이트를 수행합니다. 업데이트 프로세스는 컨트롤 플레인 노드를 포함하여 일시 중지되지 않은 MCP를 업데이트합니다.
업데이트된 노드에서 애플리케이션을 테스트하여 애플리케이션이 예상대로 작동하는지 확인합니다.
나머지 MCP 중 일시 중지를 해제하고 해당 풀의 노드가 업데이트가 완료될 때까지 기다린 후 해당 노드에서 애플리케이션을 테스트합니다. 모든 작업자 노드가 업데이트될 때까지 이 프로세스를 반복합니다.
선택 사항: 업데이트된 노드에서 사용자 지정 레이블을 제거하고 사용자 지정 MCP를 삭제합니다.

3.4.4. 카나리아 롤아웃 업데이트를 수행할 머신 구성 풀 생성

카나리아 롤아웃 업데이트를 수행하려면 먼저 하나 이상의 사용자 지정 MCP(Machine config pool)를 생성해야 합니다.

프로세스

다음 명령을 실행하여 클러스터의 작업자 노드를 나열합니다.

$ oc get -l 'node-role.kubernetes.io/master!=' -o 'jsonpath={range .items[*]}{.metadata.name}{"\n"}{end}' nodes

출력 예

ci-ln-pwnll6b-f76d1-s8t9n-worker-a-s75z4
ci-ln-pwnll6b-f76d1-s8t9n-worker-b-dglj2
ci-ln-pwnll6b-f76d1-s8t9n-worker-c-lldbm

지연할 각 노드에 대해 다음 명령을 실행하여 노드에 사용자 정의 라벨을 추가합니다.

$ oc label node <node_name> node-role.kubernetes.io/<custom_label>=

예를 들면 다음과 같습니다.

$ oc label node ci-ln-0qv1yp2-f76d1-kl2tq-worker-a-j2ssz node-role.kubernetes.io/workerpool-canary=

출력 예

node/ci-ln-gtrwm8t-f76d1-spbl7-worker-a-xk76k labeled

새 MCP를 생성합니다.

MCP YAML 파일을 생성합니다.

apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfigPool
metadata:
  name: workerpool-canary 1
spec:
  machineConfigSelector:
    matchExpressions:
      - {
         key: machineconfiguration.openshift.io/role,
         operator: In,
         values: [worker,workerpool-canary] 2
        }
  nodeSelector:
    matchLabels:
      node-role.kubernetes.io/workerpool-canary: "" 3

1: MCP의 이름을 지정합니다.
2: worker 및 사용자 지정 MCP 이름을 지정합니다.
3: 이 풀에서 원하는 노드에 추가한 사용자 지정 라벨을 지정합니다.

다음 명령을 실행하여 MachineConfigPool 오브젝트를 생성합니다.

$ oc create -f <file_name>

출력 예

machineconfigpool.machineconfiguration.openshift.io/workerpool-canary created

다음 명령을 실행하여 클러스터의 MCP 목록과 현재 상태를 확인합니다.

$ oc get machineconfigpool

출력 예

NAME              CONFIG                                                        UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master            rendered-master-b0bb90c4921860f2a5d8a2f8137c1867              True      False      False      3              3                   3                     0                      97m
workerpool-canary rendered-workerpool-canary-87ba3dec1ad78cb6aecebf7fbb476a36   True      False      False      1              1                   1                     0                      2m42s
worker            rendered-worker-87ba3dec1ad78cb6aecebf7fbb476a36              True      False      False      2              2                   2                     0                      97m

새 머신 구성 풀 workerpool-canary가 생성되고 사용자 정의 레이블을 추가한 노드 수가 머신 수에 표시됩니다. 작업자 MCP 머신 수는 동일한 수만큼 줄어듭니다. 시스템 수를 업데이트하는 데 몇 분이 걸릴 수 있습니다. 이 예에서는 하나의 노드가 worker MCP에서 workerpool-canary MCP로 이동되었습니다.

3.4.5. 작업자 풀 카나리아에 대한 머신 구성 상속 관리

기존 MCP에 할당된 MachineConfig 를 상속하도록 MCP(Machine config pool) canary를 구성할 수 있습니다. 이 구성은 MCP 카나리아를 사용하여 기존 MCP의 노드를 하나씩 업데이트할 때 유용합니다.

사전 요구 사항

MCP를 하나 이상 생성했습니다.

프로세스

다음 두 단계에 설명된 대로 보조 MCP를 생성합니다.

다음 구성 파일을 machineConfigPool.yaml 로 저장합니다.

Example machineConfigPool YAML

apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfigPool
metadata:
  name: worker-perf
spec:
  machineConfigSelector:
    matchExpressions:
      - {
         key: machineconfiguration.openshift.io/role,
         operator: In,
         values: [worker,worker-perf]
        }
  nodeSelector:
    matchLabels:
      node-role.kubernetes.io/worker-perf: ""
# ...

다음 명령을 실행하여 새 머신 구성 풀을 생성합니다.

$ oc create -f machineConfigPool.yaml

출력 예

machineconfigpool.machineconfiguration.openshift.io/worker-perf created

보조 MCP에 일부 머신을 추가합니다. 다음 예제에서는 작업자 노드 worker-a,worker-b, worker-c 를 MCP worker-perf 로 레이블을 지정합니다.

$ oc label node worker-a node-role.kubernetes.io/worker-perf=''

$ oc label node worker-b node-role.kubernetes.io/worker-perf=''

$ oc label node worker-c node-role.kubernetes.io/worker-perf=''

다음 두 단계에 설명된 대로 MCP worker-perf 의 새 MachineConfig 를 생성합니다.

다음 MachineConfig 예제를 new-machineconfig.yaml 이라는 파일로 저장합니다.

MachineConfig YAML의 예

apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker-perf
  name: 06-kdump-enable-worker-perf
spec:
  config:
    ignition:
      version: 3.2.0
    systemd:
      units:
      - enabled: true
        name: kdump.service
  kernelArguments:
    - crashkernel=512M
# ...

다음 명령을 실행하여 MachineConfig 를 적용합니다.
```
$ oc create -f new-machineconfig.yaml
```

새 카나리아 MCP를 생성하고 이전 단계에서 생성한 MCP에서 머신을 추가합니다. 다음 예제에서는 worker-perf-canary 라는 MCP를 생성하고 미리 생성한 worker-perf MCP에서 머신을 추가합니다.
1. 다음 명령을 실행하여 카나리아 작업자 노드 worker-a 에 레이블을 지정합니다.
```
$ oc label node worker-a node-role.kubernetes.io/worker-perf-canary=''
```
2. 다음 명령을 실행하여 카나리아 작업자 노드 worker-a 를 원래 MCP에서 제거합니다.
```
$ oc label node worker-a node-role.kubernetes.io/worker-perf-
```
3. 다음 파일을 machineConfigPool-Canary.yaml 로 저장합니다.
  Example machineConfigPool-Canary.yaml file
```
apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfigPool
metadata:
  name: worker-perf-canary
spec:
  machineConfigSelector:
    matchExpressions:
      - {
         key: machineconfiguration.openshift.io/role,
         operator: In,
         values: [worker,worker-perf,worker-perf-canary] 1
        }
  nodeSelector:
    matchLabels:
      node-role.kubernetes.io/worker-perf-canary: ""
```
  1
  선택적 값입니다. 이 예제에는 worker-perf-canary 가 추가 값으로 포함됩니다. 이 방법으로 값을 사용하여 추가 MachineConfig 의 멤버를 구성할 수 있습니다.
4. 다음 명령을 실행하여 새 worker-perf-canary 를 생성합니다.
```
$ oc create -f machineConfigPool-Canary.yaml
```
  출력 예
```
machineconfigpool.machineconfiguration.openshift.io/worker-perf-canary created
```

MachineConfig 가 worker-perf-canary 에 상속되었는지 확인합니다.

다음 명령을 실행하여 MCP의 성능이 저하되지 않았는지 확인합니다.

$ oc get mcp

출력 예

NAME                  CONFIG                                                          UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master                rendered-master-2bf1379b39e22bae858ea1a3ff54b2ac                True      False      False      3              3                   3                     0                      5d16h
worker                rendered-worker-b9576d51e030413cfab12eb5b9841f34                True      False      False      0              0                   0                     0                      5d16h
worker-perf          rendered-worker-perf-b98a1f62485fa702c4329d17d9364f6a          True      False      False      2              2                   2                     0                      56m
worker-perf-canary   rendered-worker-perf-canary-b98a1f62485fa702c4329d17d9364f6a   True      False      False      1              1                   1                     0                      44m

시스템이 worker-perf에서 worker- perf -canary 로 상속되었는지 확인합니다.

$ oc get nodes

출력 예

NAME       STATUS   ROLES                        AGE     VERSION
...
worker-a   Ready    worker,worker-perf-canary   5d15h   v1.27.13+e709aa5
worker-b   Ready    worker,worker-perf          5d15h   v1.27.13+e709aa5
worker-c   Ready    worker,worker-perf          5d15h   v1.27.13+e709aa5

다음 명령을 실행하여 worker-a 에서 kdump 서비스가 활성화되어 있는지 확인합니다.

$ systemctl status kdump.service

출력 예

NAME       STATUS   ROLES                        AGE     VERSION
...
kdump.service - Crash recovery kernel arming
     Loaded: loaded (/usr/lib/systemd/system/kdump.service; enabled; preset: disabled)
     Active: active (exited) since Tue 2024-09-03 12:44:43 UTC; 10s ago
    Process: 4151139 ExecStart=/usr/bin/kdumpctl start (code=exited, status=0/SUCCESS)
   Main PID: 4151139 (code=exited, status=0/SUCCESS)

다음 명령을 실행하여 MCP가 crashkernel 을 업데이트했는지 확인합니다.
```
$ cat /proc/cmdline
```
출력에는 업데이트된 crashekernel 값이 포함되어야 합니다. 예를 들면 다음과 같습니다.
출력 예
```
crashkernel=512M
```

선택 사항: 업그레이드에 만족하는 경우 worker-a 를 worker-perf 로 반환할 수 있습니다.
1. 다음 명령을 실행하여 worker-a 를 worker-perf 로 반환합니다.
```
$ oc label node worker-a node-role.kubernetes.io/worker-perf=''
```
2. 다음 명령을 실행하여 카나리아 MCP에서 worker-a 를 제거합니다.
```
$ oc label node worker-a node-role.kubernetes.io/worker-perf-canary-
```

3.4.6. 머신 구성 풀 일시 중지

MCP(사용자 정의 머신 구성 풀)를 생성한 후 해당 MCP를 일시 중지합니다. MCP를 일시 중지하면 MCO(Machine Config Operator)가 해당 MCP와 연결된 노드를 업데이트할 수 없습니다.

프로세스

다음 명령을 실행하여 일시 중지하려는 MCP를 패치합니다.

$ oc patch mcp/<mcp_name> --patch '{"spec":{"paused":true}}' --type=merge

예를 들면 다음과 같습니다.

$  oc patch mcp/workerpool-canary --patch '{"spec":{"paused":true}}' --type=merge

출력 예

machineconfigpool.machineconfiguration.openshift.io/workerpool-canary patched

3.4.7. 클러스터 업데이트 수행

MCP(머신 구성 풀)가 준비 상태가 되면 클러스터 업데이트를 수행할 수 있습니다. 클러스터에 적합한 다음 업데이트 방법 중 하나를 참조하십시오.

웹 콘솔을 사용하여 클러스터 업데이트
CLI를 사용하여 클러스터 업데이트

클러스터 업데이트가 완료되면 MCP의 일시 중지를 한 번에 하나씩 해제할 수 있습니다.

3.4.8. 머신 구성 풀 일시 중지 해제

OpenShift Container Platform 업데이트가 완료되면 MCP(사용자 정의 머신 구성 풀)를 한 번에 하나씩 일시 중지 해제합니다. MCP의 일시 중지를 해제하면 MCO(Machine Config Operator)가 해당 MCP와 연결된 노드를 업데이트할 수 있습니다.

프로세스

일시 중지 해제할 MCP를 패치합니다.

$ oc patch mcp/<mcp_name> --patch '{"spec":{"paused":false}}' --type=merge

예를 들면 다음과 같습니다.

$  oc patch mcp/workerpool-canary --patch '{"spec":{"paused":false}}' --type=merge

출력 예

machineconfigpool.machineconfiguration.openshift.io/workerpool-canary patched

선택 사항: 다음 옵션 중 하나를 사용하여 업데이트 진행 상황을 확인합니다.
1. 관리 → 클러스터 설정을 클릭하여 웹 콘솔에서 진행 상황을 확인합니다.
2. 다음 명령을 실행하여 진행 상황을 확인합니다.
```
$ oc get machineconfigpools
```
업데이트된 노드에서 애플리케이션을 테스트하여 애플리케이션이 예상대로 작동하는지 확인합니다.
일시 중지된 다른 MCP에 대해 한 번에 하나씩 이 프로세스를 반복합니다.

참고

업데이트된 노드에서 작동하지 않는 애플리케이션 등의 오류가 발생하는 경우 풀의 노드를 차단하고 드레이닝하여 애플리케이션 pod를 다른 노드로 이동하여 애플리케이션의 서비스 품질을 유지 관리할 수 있습니다. 첫 번째 MCP는 초과 용량보다 크지 않아야 합니다.

3.4.9. 노드를 원래 머신 구성 풀로 이동

MCP(사용자 정의 머신 구성 풀)의 노드에서 애플리케이션을 업데이트하고 확인한 후 노드에 추가한 사용자 지정 레이블을 제거하여 노드를 원래 MCP로 다시 이동합니다.

중요

노드에는 클러스터에서 제대로 작동하는 역할이 있어야 합니다.

프로세스

사용자 지정 MCP의 각 노드에 대해 다음 명령을 실행하여 노드에서 사용자 지정 레이블을 제거합니다.
```
$ oc label node <node_name> node-role.kubernetes.io/<custom_label>-
```
예를 들면 다음과 같습니다.
```
$ oc label node ci-ln-0qv1yp2-f76d1-kl2tq-worker-a-j2ssz node-role.kubernetes.io/workerpool-canary-
```
출력 예
```
node/ci-ln-0qv1yp2-f76d1-kl2tq-worker-a-j2ssz labeled
```
Machine Config Operator는 노드를 원래 MCP로 다시 이동하고 노드를 MCP 구성으로 조정합니다.

노드가 사용자 지정 MCP에서 제거되었는지 확인하려면 다음 명령을 실행하여 클러스터의 MCP 목록과 현재 상태를 확인합니다.

$ oc get mcp

출력 예

NAME                CONFIG                                                   UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
master              rendered-master-1203f157d053fd987c7cbd91e3fbc0ed         True      False      False      3              3                   3                     0                      61m
workerpool-canary   rendered-mcp-noupdate-5ad4791166c468f3a35cd16e734c9028   True      False      False      0              0                   0                     0                      21m
worker              rendered-worker-5ad4791166c468f3a35cd16e734c9028         True      False      False      3              3                   3                     0                      61m

노드가 사용자 지정 MCP에서 제거되고 원래 MCP로 다시 이동하면 시스템 수를 업데이트하는 데 몇 분이 걸릴 수 있습니다. 이 예에서는 하나의 노드가 제거된 workerpool-canary MCP에서 worker MCP로 이동되었습니다.

선택 사항: 다음 명령을 실행하여 사용자 지정 MCP를 삭제합니다.
```
$ oc delete mcp <mcp_name>
```

3.5. RHEL 컴퓨팅 시스템을 포함하는 클러스터 업데이트

OpenShift Container Platform 클러스터에서 마이너 버전 및 패치 업데이트를 수행할 수 있습니다. 클러스터에 RHEL(Red Hat Enterprise Linux) 시스템이 포함된 경우 추가 단계를 수행하여 해당 머신을 업데이트해야 합니다.

중요

OpenShift Container Platform 클러스터에서 RHEL 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

3.5.1. 사전 요구 사항

admin 권한이 있는 사용자로 클러스터에 액세스합니다. RBAC를 사용하여 권한 정의 및 적용을 참조하십시오.
업데이트가 실패할 경우 etcd 백업이 있어야 하며 클러스터를 이전 상태로 복원해야 합니다.
RHEL7 작업자는 RHEL8 또는 RHCOS 작업자로 교체됩니다. Red Hat은 RHEL 작업자의 RHEL7에서 RHEL8 업데이트를 지원하지 않습니다. 해당 호스트는 완전히 새로운 운영 체제 설치로 교체되어야 합니다.
클러스터에서 수동으로 유지 관리되는 인증 정보를 사용하는 경우 새 릴리스의 클라우드 공급자 리소스를 업데이트합니다. 클러스터의 요구 사항인지 확인하는 방법을 포함하여 자세한 내용은 수동으로 유지 관리되는 인증 정보를 사용하여 클러스터 업데이트 준비를 참조하십시오.
Operator를 실행하거나 Pod 중단 예산으로 애플리케이션을 구성한 경우 업데이트 프로세스 중에 중단이 발생할 수 있습니다. PodDisruptionBudget 에서 minAvailable 이 1로 설정된 경우 제거 프로세스를 차단할 수 있는 보류 중인 머신 구성을 적용하기 위해 노드가 드레인됩니다. 여러 노드가 재부팅되면 모든 Pod가 하나의 노드에서만 실행될 수 있으며 PodDisruptionBudget 필드에는 노드가 드레이닝되지 않을 수 있습니다.

추가 리소스

관리되지 않는 Operator에 대한 지원 정책

3.5.2. 웹 콘솔을 사용하여 클러스터 업데이트

사용 가능한 업데이트가 있으면 웹 콘솔에서 클러스터를 업데이트할 수 있습니다.

사용 가능한 OpenShift Container Platform 권고 및 업데이트는 고객 포털의 에라타 섹션을 참조하십시오.

사전 요구 사항

cluster-admin 권한이 있는 사용자로 웹 콘솔에 액세스합니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
모든 MachineHealthCheck 리소스를 일시 중지합니다.
OLM(Operator Lifecycle Manager)을 통해 이전에 설치된 모든 Operator를 대상 릴리스와 호환되는 버전으로 업데이트했습니다. Operator를 업데이트하면 클러스터 업데이트 중에 기본 OperatorHub 카탈로그가 현재 마이너 버전에서 다음 버전으로 전환될 때 유효한 업데이트 경로가 있습니다. 호환성을 확인하는 방법과 필요한 경우 설치된 Operator를 업데이트하는 방법에 대한 자세한 내용은 "추가 리소스" 섹션에서 "설치된 Operator 업그레이드"를 참조하십시오.
MCP(Machine config pool)가 실행 중이고 일시 중지되지 않습니다. 업데이트 프로세스 중에 일시 중지된 MCP와 연결된 노드를 건너뜁니다. 카나리아 롤아웃 업데이트 전략을 수행하는 경우 MCP를 일시 중지할 수 있습니다.
RHEL7 작업자는 RHEL8 또는 RHCOS 작업자로 교체됩니다. Red Hat은 RHEL 작업자의 RHEL7에서 RHEL8 업데이트를 지원하지 않습니다. 해당 호스트는 완전히 새로운 운영 체제 설치로 교체되어야 합니다.

프로세스

웹 콘솔에서 Administration → Cluster Settings을 클릭하고 Details 탭의 내용을 확인합니다.
프로덕션 클러스터의 경우 stable-4.17 과 같이 업데이트할 버전에 대해 Channel 이 올바른 채널로 설정되어 있는지 확인합니다.
중요
프로덕션 클러스터의 경우 stable-*, eus-* 또는 fast-* 채널에 가입해야 합니다.
참고
다음 마이너 버전으로 이동할 준비가 되면 해당 마이너 버전에 해당하는 채널을 선택합니다. 업데이트 채널이 더 빨리 선언될수록 클러스터가 대상 버전으로의 경로를 업데이트하는 것이 좋습니다. 클러스터는 사용 가능한 모든 업데이트를 평가하고 선택할 수 있는 최상의 업데이트 권장 사항을 제공하는 데 시간이 걸릴 수 있습니다. 업데이트 권장 사항은 당시 사용할 수 있는 업데이트 옵션을 기반으로 하므로 시간이 지남에 따라 변경될 수 있습니다.
대상 마이너 버전에 대한 업데이트 경로가 표시되지 않는 경우 경로에서 다음 마이너 버전을 사용할 수 있을 때까지 현재 버전의 최신 패치 릴리스로 클러스터를 계속 업데이트합니다.
- Update status 가 Updates available 이 아닌 경우 클러스터를 업데이트할 수 없습니다.
- Select channel은 클러스터가 실행 중이거나 업데이트 중인 클러스터 버전을 나타냅니다.
업데이트할 버전을 선택하고 저장을 클릭합니다.
입력 채널 Update Status가 Update to <product-version> in progress로 변경되고 Operator 및 노드의 진행률을 확인하여 클러스터 업데이트의 진행 상황을 검토할 수 있습니다.
참고
예를 들어 버전 4.10에서 4.11로 클러스터를 업데이트하는 경우 새 기능을 사용하는 워크로드를 배포하기 전에 노드가 업데이트되었는지 확인합니다. 아직 업데이트되지 않은 작업자 노드가 있는 풀은 클러스터 설정 페이지에 표시됩니다.
업데이트가 완료되고 Cluster Version Operator가 사용 가능한 업데이트를 새로 고침한 후 현재 채널에서 사용 가능한 추가 업데이트가 있는지 확인합니다.
- 업데이트가 있는 경우 더 이상 업데이트할 수 없을 때까지 현재 채널에서 업데이트를 계속 수행합니다.
- 사용 가능한 업데이트가 없는 경우 채널을 다음 마이너 버전의 stable-*, eus-* 또는 fast-* 채널로 변경하고 해당 채널에서 원하는 버전으로 업데이트합니다.
필요한 버전에 도달할 때까지 여러 중간 업데이트를 수행해야 할 수도 있습니다.
중요
RHEL (Red Hat Enterprise Linux) 작업자 시스템이 포함된 클러스터를 업데이트하면 업데이트 프로세스 중에 해당 작업자를 일시적으로 사용할 수 없게 됩니다. 클러스터가 NotReady 상태가 되면 각 RHEL 머신에 대해 업데이트 플레이북을 실행하여 업데이트를 완료해야 합니다.

추가 리소스

설치된 Operator 업데이트

3.5.3. 선택 사항: RHEL 시스템에서 Ansible 작업을 실행하기 위한 후크 추가

OpenShift Container Platform을 업데이트할 때 후크를 사용하여 RHEL 컴퓨팅 시스템에서 Ansible 작업을 실행할 수 있습니다.

3.5.3.1. 업데이트를 위한 Ansible 후크 정보

OpenShift Container Platform을 업데이트할 때 후크를 사용하여 특정 작업 중에 RHEL (Red Hat Enterprise Linux) 노드에서 사용자 정의 작업을 실행할 수 있습니다. 후크를 사용하면 특정 업데이트 작업 전후에 실행할 작업을 정의하는 파일을 지정할 수 있습니다. OpenShift Container Platform 클러스터에서 RHEL 컴퓨팅 노드를 업데이트할 때 후크를 사용하여 사용자 정의 인프라의 유효성을 검사하거나 변경할 수 있습니다.

후크가 실패하면 작업도 실패하므로 후크를 여러 번 실행하고 동일한 결과를 얻도록 설계해야합니다.

후크에는 다음과 같은 제한이 있습니다.-후크에는 정의되거나 버전이 지정된 인터페이스가 없습니다. 후크는 내부 openshift-ansible 변수를 사용할 수 있지만 이러한 변수는 향후 OpenShift Container Platform 릴리스에서 수정되거나 제거될 수 있습니다. -후크에는 오류 처리 기능이 없으므로 후크에 오류가 발생하면 업데이트 프로세스가 중단됩니다. 오류가 발생하면 문제를 해결한 다음 업데이트를 다시 시작해야 합니다.

3.5.3.2. 후크를 사용하도록 Ansible 인벤토리 파일 설정

all : vars 섹션 아래의 hosts 인벤토리 파일에서 작업자 시스템이라고도 하는 RHEL (Red Hat Enterprise Linux) 컴퓨팅 시스템을 업데이트할 때 사용할 후크를 정의합니다.

전제 조건

RHEL 컴퓨팅 시스템 클러스터를 추가하는 데 사용되는 컴퓨터에 액세스할 수 있어여 합니다. RHEL 시스템을 정의하는 hosts Ansible 인벤토리 파일에 액세스할 수 있어야 합니다.

프로세스

후크를 설계한 후 Ansible 작업을 정의하는 YAML 파일을 만듭니다. 이 파일은 다음 예와 같이 Playbook이 아닌 일련의 작업으로 구성되어 있어야 합니다.

---
# Trivial example forcing an operator to acknowledge the start of an upgrade
# file=/home/user/openshift-ansible/hooks/pre_compute.yml

- name: note the start of a compute machine update
  debug:
      msg: "Compute machine upgrade of {{ inventory_hostname }} is about to start"

- name: require the user agree to start an upgrade
  pause:
      prompt: "Press Enter to start the compute machine update"

hosts Ansible 인벤토리 파일을 수정하여 후크 파일을 지정합니다. 후크 파일은 다음과 같이 [all : vars] 섹션에서 매개 변수 값으로 지정됩니다.
인벤토리 파일에서 후크 정의의 예
```
[all:vars]
openshift_node_pre_upgrade_hook=/home/user/openshift-ansible/hooks/pre_node.yml
openshift_node_post_upgrade_hook=/home/user/openshift-ansible/hooks/post_node.yml
```
후크 경로의 모호성을 피하려면 정의에서 상대 경로 대신 절대 경로를 사용합니다.

3.5.3.3. RHEL 컴퓨팅 시스템에서 사용 가능한 후크

OpenShift Container Platform 클러스터에서 RHEL (Red Hat Enterprise Linux) 컴퓨팅 시스템을 업데이트 할 때 다음 후크를 사용할 수 있습니다.

후크 이름	설명
`openshift_node_pre_cordon_hook`	각 노드가 차단 (cordon)되기 이전에 실행됩니다. 이 후크는 각 노드에 대해 연속적으로 실행됩니다. 작업이 다른 호스트에서 실행되어야하는 경우 해당 작업은 `delegate_to` 또는 `local_action`을 사용해야 합니다.
`openshift_node_pre_upgrade_hook`	각 노드가 차단(cordon)된 후 업데이트되기 전에 실행됩니다. 이 후크는 각 노드에 대해 연속적으로 실행됩니다. 작업이 다른 호스트에서 실행되어야하는 경우 해당 작업은 `delegate_to` 또는 `local_action`을 사용해야 합니다.
`openshift_node_pre_uncordon_hook`	각 노드가 업데이트 된 후 차단 해제(uncordon)되기 전에 실행됩니다. 이 후크는 각 노드에 대해 연속적으로 실행됩니다. 작업이 다른 호스트에서 실행되어야하는 경우, 해당 작업은 `delegate_to` 또는 `local_action`을 사용해야 합니다.
`openshift_node_post_upgrade_hook`	각 노드가 차단 해제 (uncordon) 후에 실행됩니다. 이는 마지막 노드 업데이트 작업입니다. 이 후크는 각 노드에 대해 연속적으로 실행됩니다. 작업이 다른 호스트에서 실행되어야하는 경우 해당 작업은 `delegate_to` 또는 `local_action`을 사용해야 합니다.

3.5.4. 클러스터에서 RHEL 컴퓨팅 시스템 업데이트

클러스터를 업데이트한 후 클러스터의 RHEL (Red Hat Enterprise Linux) 컴퓨팅 시스템을 업데이트해야합니다.

중요

RHEL (Red Hat Enterprise Linux) 버전 8.6 이상은 RHEL 컴퓨팅 머신에서 지원됩니다.

RHEL을 운영 체제로 사용하는 경우 컴퓨팅 머신을 다른 OpenShift Container Platform 마이너 버전으로 업데이트할 수도 있습니다. 마이너 버전 업데이트를 수행할 때 RHEL에서 RPM 패키지를 제외할 필요가 없습니다.

중요

RHEL 7 컴퓨팅 머신을 RHEL 8로 업데이트할 수 없습니다. 새 RHEL 8 호스트를 배포해야 하며 이전 RHEL 7 호스트를 제거해야 합니다.

사전 요구 사항

클러스터가 업데이트되었습니다.
중요
RHEL 시스템에 업데이트 프로세스를 완료하기 위해 클러스터에서 생성한 자산이 필요하므로 RHEL 작업자 시스템을 업데이트하기 전에 클러스터를 업데이트해야 합니다.
RHEL 컴퓨팅 머신을 클러스터에 추가하는 데 사용한 로컬 시스템에 액세스할 수 있습니다. RHEL 시스템 및 upgrade Playbook을 정의하는 hosts Ansible 인벤토리 파일에 액세스할 수 있어야 합니다.
마이너 버전을 업데이트하기 위해 RPM 리포지토리는 클러스터에서 실행 중인 동일한 버전의 OpenShift Container Platform을 사용하고 있습니다.

프로세스

호스트에서 firewalld를 중지하고 비활성화합니다.
```
# systemctl disable --now firewalld.service
```
참고
기본적으로 "최소" 설치 옵션이 있는 기본 OS RHEL에서는 firewalld 서비스를 활성화합니다. 호스트에서 firewalld 서비스를 활성화하면 작업자의 OpenShift Container Platform 로그에 액세스할 수 없습니다. 작업자의 OpenShift Container Platform 로그에 계속 액세스하려면 나중에 firewalld를 활성화하지 마십시오.
OpenShift Container Platform 4.17에 필요한 리포지토리를 활성화합니다.
1. Ansible Playbook을 실행하는 컴퓨터에서 필요한 리포지토리를 업데이트합니다.
```
# subscription-manager repos --disable=rhocp-4.16-for-rhel-8-x86_64-rpms \
                             --enable=rhocp-4.17-for-rhel-8-x86_64-rpms
```
  중요
  OpenShift Container Platform 4.11부터 Ansible 플레이북은 RHEL 8에만 제공됩니다. RHEL 7 시스템이 OpenShift Container Platform 4.10 Ansible 플레이북의 호스트로 사용된 경우 Ansible 호스트를 RHEL 8로 업데이트하거나 RHEL 8 시스템에서 새 Ansible 호스트를 생성하고 이전 Ansible 호스트의 인벤토리를 통해 복사해야 합니다.
2. Ansible 플레이북을 실행하는 시스템에서 Ansible 패키지를 업데이트합니다.
```
# yum swap ansible ansible-core
```
3. Ansible Playbook을 실행하는 시스템에서 openshift-ansible을 포함하여 필요한 패키지를 업데이트합니다.
```
# yum update openshift-ansible openshift-clients
```
4. 각 RHEL 컴퓨팅 노드에 필요한 리포지토리를 업데이트합니다.
```
# subscription-manager repos --disable=rhocp-4.16-for-rhel-8-x86_64-rpms \
                             --enable=rhocp-4.17-for-rhel-8-x86_64-rpms
```
RHEL 작업자 시스템을 업데이트합니다.
1. 다음 예와 같이 /<path>/inventory/hosts 에서 Ansible 인벤토리 파일을 검토하고 RHEL 8 시스템이 [workers] 섹션에 나열되도록 콘텐츠를 업데이트합니다.
```
[all:vars]
ansible_user=root
#ansible_become=True

openshift_kubeconfig_path="~/.kube/config"

[workers]
mycluster-rhel8-0.example.com
mycluster-rhel8-1.example.com
mycluster-rhel8-2.example.com
mycluster-rhel8-3.example.com
```
2. openshift-ansible 디렉토리로 변경합니다.
```
$ cd /usr/share/ansible/openshift-ansible
```
3. upgrade Playbook을 실행합니다.
```
$ ansible-playbook -i /<path>/inventory/hosts playbooks/upgrade.yml 1
```
  1
  <path>에 대해 생성한 Ansible 인벤토리 파일의 경로를 지정합니다.
  참고
  upgrade 플레이북은 OpenShift Container Platform 패키지만 업데이트합니다. 운영 체제 패키지를 업데이트하지 않습니다.

모든 작업자를 업데이트한 후 모든 클러스터 노드가 새 버전으로 업데이트되었는지 확인합니다.

# oc get node

출력 예

NAME                        STATUS                        ROLES    AGE    VERSION
mycluster-control-plane-0   Ready                         master   145m   v1.30.3
mycluster-control-plane-1   Ready                         master   145m   v1.30.3
mycluster-control-plane-2   Ready                         master   145m   v1.30.3
mycluster-rhel8-0           Ready                         worker   98m    v1.30.3
mycluster-rhel8-1           Ready                         worker   98m    v1.30.3
mycluster-rhel8-2           Ready                         worker   98m    v1.30.3
mycluster-rhel8-3           Ready                         worker   98m    v1.30.3

선택 사항: upgrade 플레이북에서 업데이트하지 않은 운영 체제 패키지를 업데이트합니다. 4.17에 없는 패키지를 업데이트하려면 다음 명령을 사용합니다.
```
# yum update
```
참고
4.17을 설치할 때 사용한 것과 동일한 RPM 리포지토리를 사용하는 경우 RPM 패키지를 제외할 필요가 없습니다.

3.6. 연결이 끊긴 환경에서 클러스터 업데이트

환경을 준비하기 위해 추가 단계를 수행하여 인터넷에 액세스하지 않고 환경에서 클러스터를 업데이트할 수 있습니다.

연결이 끊긴 환경에서 클러스터를 업데이트하는 방법에 대한 자세한 내용은 연결이 끊긴 환경의 클러스터 업데이트 정보를 참조하십시오.

3.7. vSphere에서 실행 중인 노드에서 하드웨어 업데이트

vSphere에서 실행 중인 노드가 OpenShift Container Platform에서 지원하는 하드웨어 버전에서 실행되고 있는지 확인해야 합니다. 현재 클러스터의 vSphere 가상 머신에서 하드웨어 버전 15 이상이 지원됩니다.

가상 하드웨어를 즉시 업데이트하거나 vCenter에 업데이트를 예약할 수 있습니다.

중요

OpenShift Container Platform 버전 4.17에는 VMware 가상 하드웨어 버전 15 이상이 필요합니다.
OpenShift 4.12를 OpenShift 4.13으로 업그레이드하기 전에 vSphere를 v7.0.2 이상으로 업데이트해야 합니다. 그렇지 않으면 OpenShift 4.12 클러스터는 업그레이드할 수 없습니다.

3.7.1. vSphere에서 가상 하드웨어 업데이트

VMware vSphere에서 VM(가상 머신)의 하드웨어를 업데이트하려면 가상 머신을 별도로 업데이트하여 클러스터의 다운타임 위험을 줄입니다.

중요

OpenShift Container Platform 4.13부터 VMware 가상 하드웨어 버전 13은 더 이상 지원되지 않습니다. 지원 기능을 사용하려면 VMware 버전 15 이상으로 업데이트해야 합니다.

3.7.1.1. vSphere에서 컨트롤 플레인 노드의 가상 하드웨어 업데이트

다운타임 위험을 줄이려면 컨트롤 플레인 노드를 직렬로 업데이트하는 것이 좋습니다. 이렇게 하면 Kubernetes API를 계속 사용할 수 있으며 etcd는 쿼럼을 유지합니다.

사전 요구 사항

OpenShift Container Platform 클러스터를 호스팅하는 vCenter 인스턴스에서 필요한 권한을 실행할 수 있는 클러스터 관리자 권한이 있습니다.
vSphere ESXi 호스트는 7.0U2 이상 버전입니다.

프로세스

클러스터의 컨트롤 플레인 노드를 나열합니다.

$ oc get nodes -l node-role.kubernetes.io/master

출력 예

NAME                    STATUS   ROLES    AGE   VERSION
control-plane-node-0    Ready    master   75m   v1.30.3
control-plane-node-1    Ready    master   75m   v1.30.3
control-plane-node-2    Ready    master   75m   v1.30.3

컨트롤 플레인 노드의 이름을 확인합니다.

컨트롤 플레인 노드를 예약할 수 없음으로 표시합니다.
```
$ oc adm cordon <control_plane_node>
```
컨트롤 플레인 노드와 연결된 VM(가상 머신)을 종료합니다. VM을 마우스 오른쪽 버튼으로 클릭하고 Power → Shut Down Guest OS를 선택하여 vSphere 클라이언트에서 이 작업을 수행합니다. 안전하게 종료되지 않을 수 있으므로 Power Off (전원 끄기)를 사용하여 VM을 종료하지 마십시오.
vSphere 클라이언트에서 VM을 업데이트합니다. 자세한 내용은 VMware 문서에서 가상 머신의 호환성 업그레이드 를 참조하십시오.
컨트롤 플레인 노드와 연결된 VM의 전원을 켭니다. VM을 마우스 오른쪽 버튼으로 클릭하고 Power On을 선택하여 vSphere 클라이언트에서 이 작업을 수행합니다.

노드가 Ready로 보고될 때까지 기다립니다.

$ oc wait --for=condition=Ready node/<control_plane_node>

컨트롤 플레인 노드를 다시 예약 가능으로 표시합니다.
```
$ oc adm uncordon <control_plane_node>
```
클러스터의 각 컨트롤 플레인 노드에 대해 이 절차를 반복합니다.

3.7.1.2. vSphere에서 컴퓨팅 노드의 가상 하드웨어 업데이트

다운타임 위험을 줄이려면 컴퓨팅 노드를 직렬로 업데이트하는 것이 좋습니다.

참고

NotReady 상태에 여러 노드가 있는 경우 워크로드가 병렬로 여러 컴퓨팅 노드를 업데이트할 수 있습니다. 관리자가 필요한 컴퓨팅 노드를 사용할 수 있는지 확인해야 합니다.

사전 요구 사항

OpenShift Container Platform 클러스터를 호스팅하는 vCenter 인스턴스에서 필요한 권한을 실행할 수 있는 클러스터 관리자 권한이 있습니다.
vSphere ESXi 호스트는 7.0U2 이상 버전입니다.

프로세스

클러스터의 컴퓨팅 노드를 나열합니다.

$ oc get nodes -l node-role.kubernetes.io/worker

출력 예

NAME              STATUS   ROLES    AGE   VERSION
compute-node-0    Ready    worker   30m   v1.30.3
compute-node-1    Ready    worker   30m   v1.30.3
compute-node-2    Ready    worker   30m   v1.30.3

컴퓨팅 노드의 이름을 확인합니다.

컴퓨팅 노드를 예약 불가로 표시합니다.
```
$ oc adm cordon <compute_node>
```
컴퓨팅 노드에서 pod를 비웁니다. 이 작업을 수행하는 방법에는 여러 가지가 있습니다. 예를 들어 노드의 모든 Pod 또는 선택한 Pod를 비울 수 있습니다.
```
$ oc adm drain <compute_node> [--pod-selector=<pod_selector>]
```
노드에서 pod를 비우기 위한 다른 옵션은 "노드에서 pod를 비우는 방법 이해" 섹션을 참조하십시오.
컴퓨팅 노드와 연결된 VM(가상 머신)을 종료합니다. VM을 마우스 오른쪽 버튼으로 클릭하고 Power → Shut Down Guest OS를 선택하여 vSphere 클라이언트에서 이 작업을 수행합니다. 안전하게 종료되지 않을 수 있으므로 Power Off (전원 끄기)를 사용하여 VM을 종료하지 마십시오.
vSphere 클라이언트에서 VM을 업데이트합니다. 자세한 내용은 VMware 문서에서 가상 머신의 호환성 업그레이드 를 참조하십시오.
컴퓨팅 노드와 연결된 VM의 전원을 켭니다. VM을 마우스 오른쪽 버튼으로 클릭하고 Power On을 선택하여 vSphere 클라이언트에서 이 작업을 수행합니다.
노드가 Ready로 보고될 때까지 기다립니다.
```
$ oc wait --for=condition=Ready node/<compute_node>
```
컴퓨팅 노드를 다시 예약 가능으로 표시합니다.
```
$ oc adm uncordon <compute_node>
```
클러스터의 각 컴퓨팅 노드에 대해 이 절차를 반복합니다.

3.7.1.3. vSphere에서 템플릿의 가상 하드웨어 업데이트

사전 요구 사항

OpenShift Container Platform 클러스터를 호스팅하는 vCenter 인스턴스에서 필요한 권한을 실행할 수 있는 클러스터 관리자 권한이 있습니다.
vSphere ESXi 호스트는 7.0U2 이상 버전입니다.

프로세스

RHCOS 템플릿이 vSphere 템플릿으로 구성된 경우 다음 단계 전에 VMware 문서에서 템플릿을 가상 머신으로 변환합니다.
참고
템플릿에서 변환되면 가상 머신의 전원을 켜지 마십시오.
VMware vSphere 클라이언트에서 VM(가상 머신)을 업데이트합니다. 가상 머신 수동(VMware vSphere 문서)의 호환성 업그레이드에 설명된 단계를 완료합니다.
VM을 마우스 오른쪽 버튼으로 클릭한 다음 템플릿 → 템플릿으로 변환을 선택하여 vSphere 클라이언트의 VM을 템플릿으로 변환합니다.
중요
VM을 템플릿으로 변환하는 단계는 향후 vSphere 설명서 버전에서 변경될 수 있습니다.

추가 리소스

노드에서 Pod를 비우는 방법 이해

3.7.2. vSphere에서 가상 하드웨어 업데이트 예약

가상 시스템의 전원을 켜거나 재부팅할 때 가상 하드웨어 업데이트를 수행할 수 있습니다. VMware 설명서의 가상 머신에 대한 호환성 업그레이드 예약에 따라 vCenter에서만 가상 하드웨어 업데이트를 예약할 수 있습니다.

OpenShift Container Platform 업데이트를 수행하기 전에 업데이트를 예약할 때 OpenShift Container Platform 업데이트 과정에서 노드가 재부팅될 때 가상 하드웨어 업데이트가 수행됩니다.

3.8. 다중 아키텍처 컴퓨팅 시스템을 사용하여 클러스터로 마이그레이션

다중 아키텍처, 매니페스트 목록 페이로드로 업데이트하여 단일 아키텍처 컴퓨팅 머신이 있는 클러스터로 현재 클러스터를 마이그레이션할 수 있습니다. 이를 통해 혼합 아키텍처 컴퓨팅 노드를 클러스터에 추가할 수 있습니다.

다중 아키텍처 컴퓨팅 머신 구성에 대한 자세한 내용은 "OpenShift Container Platform 클러스터에서 다중 아키텍처 컴퓨팅 머신 구성"을 참조하십시오.

단일 아키텍처 클러스터를 다중 아키텍처 컴퓨팅 머신이 있는 클러스터로 마이그레이션하기 전에 Multiarch Tuning Operator를 설치하고 ClusterPodPlacementConfig 사용자 정의 리소스를 배포하는 것이 좋습니다. 자세한 내용은 Multiarch Tuning Operator를 사용하여 다중 아키텍처 클러스터에서 워크로드 관리를 참조하십시오.

중요

다중 아키텍처 페이로드에서 단일 아키텍처 페이로드로의 마이그레이션은 지원되지 않습니다. 다중 아키텍처 페이로드를 사용하여 클러스터가 전환되면 더 이상 단일 아키텍처 업데이트 페이로드를 허용할 수 없습니다.

3.8.1. CLI를 사용하여 다중 아키텍처 컴퓨팅 머신이 있는 클러스터로 마이그레이션

사전 요구 사항

cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
OpenShift Container Platform 버전은 4.13.0 이상의 최신 버전입니다.
클러스터 버전을 업데이트하는 방법에 대한 자세한 내용은 웹 콘솔을 사용하여 클러스터 업데이트 또는 CLI를 사용하여 클러스터 업데이트를 참조하십시오.
현재 클러스터의 버전과 일치하는 OpenShift CLI(oc)를 설치했습니다.
oc 클라이언트가 최소 정점 4.13.0으로 업데이트되었습니다.
OpenShift Container Platform 클러스터는 AWS, Azure, GCP, 베어 메탈 또는 IBM P/Z 플랫폼에 설치됩니다.
클러스터 설치에 지원되는 플랫폼을 선택하는 방법에 대한 자세한 내용은 클러스터 설치 유형 선택을 참조하십시오.

프로세스

다음 명령을 실행하여 CVO(Cluster Version Operator)에서 RetrievedUpdates 조건이 True 인지 확인합니다.
```
$ oc get clusterversion/version -o=jsonpath="{.status.conditions[?(.type=='RetrievedUpdates')].status}"
```
RetrievedUpates 조건이 False 인 경우 다음 명령을 사용하여 실패에 대한 추가 정보를 찾을 수 있습니다.
```
$ oc adm upgrade
```
클러스터 버전 조건 유형에 대한 자세한 내용은 클러스터 버전 조건 유형 이해 를 참조하십시오.
RetrievedUpdates 조건이 False 인 경우 다음 명령을 사용하여 채널을 stable-<4.y > 또는 fast-<4.y >로 변경합니다.
```
$ oc adm upgrade channel <channel>
```
채널을 설정한 후 RetrievedUpdates 가 True 인지 확인합니다.
채널에 대한 자세한 내용은 업데이트 채널 및 릴리스 이해 를 참조하십시오.
다음 명령을 사용하여 다중 아키텍처 페이로드로 마이그레이션합니다.
```
$ oc adm upgrade --to-multi-arch
```

검증

다음 명령을 실행하여 마이그레이션을 모니터링할 수 있습니다.
```
$ oc adm upgrade
```
출력 예
```
working towards ${VERSION}: 106 of 841 done (12% complete), waiting on machine-config
```
중요
클러스터가 새 상태가 되면 시스템 시작이 실패할 수 있습니다. 머신을 시작하지 못하는 경우 이를 확인하고 복구하려면 머신 상태 점검을 배포하는 것이 좋습니다. 머신 상태 점검 및 배포 방법에 대한 자세한 내용은 머신 상태 점검 정보를 참조하십시오.
1. 선택 사항: 업데이트 상태에 대한 자세한 정보를 검색하려면 다음 명령을 실행하여 마이그레이션을 모니터링합니다.
```
$ oc adm upgrade status
```
  oc adm upgrade status 명령을 사용하는 방법에 대한 자세한 내용은 oc adm upgrade status (기술 프리뷰)를 사용하여 클러스터 업데이트 상태 수집을 참조하십시오.

클러스터에 다른 아키텍처가 있는 컴퓨팅 머신 세트를 추가하려면 마이그레이션이 완료되어야 하며 모든 클러스터 Operator가 안정적이어야 합니다.

추가 리소스

3.9. bootupd를 사용하여 RHCOS 노드에서 부트 로더 업데이트

bootupd 를 사용하여 RHCOS 노드에서 부트 로더를 업데이트하려면 RHCOS 머신에서 bootupctl update 명령을 수동으로 실행하거나 systemd 장치를 사용하여 머신 구성을 제공해야 합니다.

grubby 또는 기타 부트 로더 툴과 달리 bootupd 는 커널 인수 전달과 같은 커널 공간 구성을 관리하지 않습니다. 커널 인수를 구성하려면 노드에 커널 인수 추가를 참조하십시오.

참고

bootupd 를 사용하여 부트 로더를 업데이트하여 BootHole 취약점으로부터 보호할 수 있습니다.

3.9.1. 수동으로 부트 로더 업데이트

bootupctl 명령줄 툴을 사용하여 시스템 상태를 수동으로 검사하고 부트 로더를 업데이트할 수 있습니다.

시스템 상태를 검사합니다.

# bootupctl status

x86_64출력 예

Component EFI
  Installed: grub2-efi-x64-1:2.04-31.el8_4.1.x86_64,shim-x64-15-8.el8_1.x86_64
  Update: At latest version

aarch64의 출력 예

Component EFI
  Installed: grub2-efi-aa64-1:2.02-99.el8_4.1.aarch64,shim-aa64-15.4-2.el8_1.aarch64
  Update: At latest version

초기 버전 4.4 이상에 OpenShift Container Platform 클러스터는 명시적 채택 단계가 필요합니다.
시스템 상태가 Adoptable인 경우 채택을 수행합니다.
```
# bootupctl adopt-and-update
```
출력 예
```
Updated: grub2-efi-x64-1:2.04-31.el8_4.1.x86_64,shim-x64-15-8.el8_1.x86_64
```
업데이트를 사용할 수 있는 경우 다음 재부팅에 변경 사항이 적용되도록 업데이트를 적용합니다.
```
# bootupctl update
```
출력 예
```
Updated: grub2-efi-x64-1:2.04-31.el8_4.1.x86_64,shim-x64-15-8.el8_1.x86_64
```

3.9.2. 머신 구성을 통해 부트로더 자동 업데이트

bootupd 를 사용하여 부트 로더를 자동으로 업데이트하는 또 다른 방법은 모든 부팅에 필요에 따라 부트 로더를 업데이트하는 systemd 서비스 장치를 생성하는 것입니다. 이 장치는 부팅 프로세스 중에 bootupctl update 명령을 실행하고 머신 구성을 통해 노드에 설치됩니다.

참고

업데이트 작업이 예기치 않은 중단으로 인해 부팅 불가능한 노드가 발생할 수 있으므로 이 구성은 기본적으로 활성화되어 있지 않습니다. 이 구성을 활성화하면 부트 로더 업데이트가 진행되는 동안 부팅 프로세스 중에 노드가 중단되지 않도록 합니다. 부트 로더 업데이트 작업은 일반적으로 빠르게 완료되므로 위험이 낮습니다.

bootupctl-update.service systemd 장치의 내용을 포함하여 Butane 구성 파일 99-worker-bootupctl-update.bu 를 생성합니다.

참고

Butane에 대한 자세한 내용은 “Butane 을 사용하여 머신 구성 생성”을 참조하십시오.

출력 예

variant: openshift
version: 4.17.0
metadata:
  name: 99-worker-chrony 1
  labels:
    machineconfiguration.openshift.io/role: worker 2
systemd:
  units:
  - name: bootupctl-update.service
    enabled: true
    contents: |
      [Unit]
      Description=Bootupd automatic update

      [Service]
      ExecStart=/usr/bin/bootupctl update
      RemainAfterExit=yes

      [Install]
      WantedBy=multi-user.target

1 2: 컨트롤 플레인 노드에서 두 위치에 있는 master를 worker로 대체합니다.

Butane을 사용하여 노드에 전달할 구성이 포함된 MachineConfig 파일 99-worker-bootupctl-update.yaml 을 생성합니다.
```
$ butane 99-worker-bootupctl-update.bu -o 99-worker-bootupctl-update.yaml
```
다음 두 가지 방법 중 하나로 설정을 적용하십시오.
- 클러스터가 아직 실행되지 않은 경우 매니페스트 파일을 생성한 후 <installation_directory>/openshift 디렉터리에 MachineConfig 개체 파일을 추가한 다음 클러스터를 계속 작성합니다.
- 클러스터가 이미 실행중인 경우 다음과 같은 파일을 적용합니다.
```
$ oc apply -f ./99-worker-bootupctl-update.yaml
```

4장. 클러스터 업데이트 문제 해결

4.1. 클러스터 업데이트에 대한 데이터 수집

업데이트 문제에 대한 Red Hat 지원에 문의할 때는 지원 팀이 실패한 클러스터 업데이트 문제를 해결하는 데 사용할 데이터를 제공하는 것이 중요합니다.

4.1.1. 지원 케이스에 대한 로그 데이터 수집

로그 데이터를 포함하여 클러스터에서 데이터를 수집하려면 oc adm must-gather 명령을 사용합니다. 클러스터에 대한 데이터 수집을 참조하십시오.

4.1.2. oc adm upgrade status를 사용하여 클러스터 업데이트 상태 수집 (기술 프리뷰)

oc adm upgrade status 명령은 읽기 전용이며 클러스터의 상태를 변경하지 않습니다.

중요

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

oc adm upgrade status 명령은 버전 4.12에서 지원되는 최신 릴리스까지 클러스터에 사용할 수 있습니다.

중요

절차

다음 명령을 실행하여 OC_ENABLE_CMD_UPGRADE_STATUS 환경 변수를 true 로 설정합니다.
```
$ export OC_ENABLE_CMD_UPGRADE_STATUS=true
```

oc adm upgrade status 명령을 실행합니다.

$ oc adm upgrade status

예 4.1. 성공적으로 진행 중인 업데이트 출력 예

= Control Plane =
Assessment:      Progressing
Target Version:  4.14.1 (from 4.14.0)
Completion:      97%
Duration:        54m
Operator Status: 32 Healthy, 1 Unavailable

Control Plane Nodes
NAME                                        ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-53-40.us-east-2.compute.internal    Progressing   Draining   4.14.0    +10m
ip-10-0-30-217.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?
ip-10-0-92-180.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?

= Worker Upgrade =

= Worker Pool =
Worker Pool:     worker
Assessment:      Progressing
Completion:      0%
Worker Status:   3 Total, 2 Available, 1 Progressing, 3 Outdated, 1 Draining, 0 Excluded, 0 Degraded

Worker Pool Nodes
NAME                                        ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-4-159.us-east-2.compute.internal    Progressing   Draining   4.14.0    +10m
ip-10-0-20-162.us-east-2.compute.internal   Outdated      Pending    4.14.0    ?
ip-10-0-99-40.us-east-2.compute.internal    Outdated      Pending    4.14.0    ?

= Worker Pool =
Worker Pool:     infra
Assessment:      Progressing
Completion:      0%
Worker Status:   1 Total, 0 Available, 1 Progressing, 1 Outdated, 1 Draining, 0 Excluded, 0 Degraded

Worker Pool Node
NAME                                             ASSESSMENT    PHASE      VERSION   EST    MESSAGE
ip-10-0-4-159-infra.us-east-2.compute.internal   Progressing   Draining   4.14.0    +10m

= Update Health =
SINCE   LEVEL   IMPACT   MESSAGE
14m4s   Info    None     Update is proceeding well

이 정보를 사용하면 업데이트를 진행하는 방법에 대한 정보에 입각한 결정을 내릴 수 있습니다.

4.1.3. ClusterVersion 내역 수집

CVO(Cluster Version Operator)는 ClusterVersion 기록이라는 클러스터에 대한 업데이트를 기록합니다. 이 항목은 잠재적인 트리거와 클러스터 동작의 변경 간의 상관관계를 나타낼 수 있지만 상관 관계가 인과되는 것은 아닙니다.

참고

초기, 마이너 및 z-stream 버전 업데이트는 ClusterVersion 기록에 의해 저장됩니다. 그러나 ClusterVersion 기록에는 크기 제한이 있습니다. 제한에 도달하면 이전 마이너 버전에서 가장 오래된 z-stream 업데이트가 제한을 수용하도록 정리됩니다.

OpenShift Container Platform 웹 콘솔을 사용하거나 OpenShift CLI(oc)를 사용하여 ClusterVersion 기록을 볼 수 있습니다.

4.1.3.1. OpenShift Container Platform 웹 콘솔에서 ClusterVersion 내역 수집

OpenShift Container Platform 웹 콘솔에서 ClusterVersion 기록을 볼 수 있습니다.

사전 요구 사항

cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.

절차

웹 콘솔에서 Administration → Cluster Settings을 클릭하고 Details 탭의 내용을 확인합니다.

4.1.3.2. OpenShift CLI(`oc`)를 사용하여 ClusterVersion 기록 수집

OpenShift CLI(oc)를 사용하여 ClusterVersion 기록을 볼 수 있습니다.

사전 요구 사항

cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
OpenShift CLI(oc)가 설치되어 있습니다.

절차

다음 명령을 입력하여 클러스터 업데이트 기록을 확인합니다.

$ oc describe clusterversions/version

출력 예

  Desired:
    Channels:
      candidate-4.13
      candidate-4.14
      fast-4.13
      fast-4.14
      stable-4.13
    Image:    quay.io/openshift-release-dev/ocp-release@sha256:a148b19231e4634196717c3597001b7d0af91bf3a887c03c444f59d9582864f4
    URL:      https://access.redhat.com/errata/RHSA-2023:6130
    Version:  4.13.19
  History:
    Completion Time:    2023-11-07T20:26:04Z
    Image:              quay.io/openshift-release-dev/ocp-release@sha256:a148b19231e4634196717c3597001b7d0af91bf3a887c03c444f59d9582864f4
    Started Time:       2023-11-07T19:11:36Z
    State:              Completed
    Verified:           true
    Version:            4.13.19
    Completion Time:    2023-10-04T18:53:29Z
    Image:              quay.io/openshift-release-dev/ocp-release@sha256:eac141144d2ecd6cf27d24efe9209358ba516da22becc5f0abc199d25a9cfcec
    Started Time:       2023-10-04T17:26:31Z
    State:              Completed
    Verified:           true
    Version:            4.13.13
    Completion Time:    2023-09-26T14:21:43Z
    Image:              quay.io/openshift-release-dev/ocp-release@sha256:371328736411972e9640a9b24a07be0af16880863e1c1ab8b013f9984b4ef727
    Started Time:       2023-09-26T14:02:33Z
    State:              Completed
    Verified:           false
    Version:            4.13.12
  Observed Generation:  4
  Version Hash:         CMLl3sLq-EA=
Events:                 <none>

추가 리소스

클러스터에 대한 데이터 수집

Legal Notice

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.