10.3. PolicyGenTemplate 리소스 및 TALM을 사용하여 연결이 끊긴 환경에서 관리되는 클러스터 업데이트
Topology Aware Lifecycle Manager(TALM)를 사용하여ZTP(ZTP) 및 Topology Aware Lifecycle Manager(TALM)를 사용하여 배포한 관리 클러스터의 소프트웨어 라이프사이클을 관리할 수 있습니다. TALM(Red Hat Advanced Cluster Management) PolicyGenTemplate 정책을 사용하여 대상 클러스터에 적용된 변경 사항을 관리하고 제어합니다.
PolicyGenTemplate
CR을 사용하여 관리 클러스터에 대한 정책을 관리하고 배포하면 향후 OpenShift Container Platform 릴리스에서 더 이상 사용되지 않습니다. RHACM(Advanced Cluster Management) 및 PolicyGenerator
CR을 사용하여 동일하고 개선된 기능을 사용할 수 있습니다.
PolicyGenerator
리소스에 대한 자세한 내용은 RHACM 정책 생성기 설명서를 참조하십시오.
추가 리소스
10.3.1. 연결이 끊긴 환경 설정
TALM은 플랫폼과 Operator 업데이트를 모두 수행할 수 있습니다.
TALM을 사용하여 연결이 끊긴 클러스터를 업데이트하기 전에 미러 레지스트리에서 업데이트하려는 플랫폼 이미지와 Operator 이미지를 모두 미러링해야 합니다. 이미지를 미러링하려면 다음 단계를 완료합니다.
플랫폼 업데이트의 경우 다음 단계를 수행해야 합니다.
원하는 OpenShift Container Platform 이미지 저장소를 미러링합니다. 추가 리소스에 연결된 "OpenShift Container Platform 이미지 저장소 미러링" 절차에 따라 원하는 플랫폼 이미지가 미러링되었는지 확인합니다.
imageContentSources
섹션의 내용을imageContentSources.yaml
파일에 저장합니다.출력 예
imageContentSources: - mirrors: - mirror-ocp-registry.ibmcloud.io.cpak:5000/openshift-release-dev/openshift4 source: quay.io/openshift-release-dev/ocp-release - mirrors: - mirror-ocp-registry.ibmcloud.io.cpak:5000/openshift-release-dev/openshift4 source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
미러링된 플랫폼 이미지의 이미지 서명을 저장합니다. 플랫폼 업데이트를 위해
PolicyGenTemplate
CR에 이미지 서명을 추가해야 합니다. 이미지 서명을 가져오려면 다음 단계를 수행합니다.다음 명령을 실행하여 원하는 OpenShift Container Platform 태그를 지정합니다.
$ OCP_RELEASE_NUMBER=<release_version>
다음 명령을 실행하여 클러스터의 아키텍처를 지정합니다.
$ ARCHITECTURE=<cluster_architecture> 1
- 1
x86_64
,aarch64
,s390x
또는ppc64le
과 같은 클러스터의 아키텍처를 지정합니다.
다음 명령을 실행하여 Quay에서 릴리스 이미지 다이제스트를 가져옵니다.
$ DIGEST="$(oc adm release info quay.io/openshift-release-dev/ocp-release:${OCP_RELEASE_NUMBER}-${ARCHITECTURE} | sed -n 's/Pull From: .*@//p')"
다음 명령을 실행하여 다이제스트 알고리즘을 설정합니다.
$ DIGEST_ALGO="${DIGEST%%:*}"
다음 명령을 실행하여 다이제스트 서명을 설정합니다.
$ DIGEST_ENCODED="${DIGEST#*:}"
다음 명령을 실행하여 mirror.openshift.com 웹 사이트에서 이미지 서명을 가져옵니다.
$ SIGNATURE_BASE64=$(curl -s "https://mirror.openshift.com/pub/openshift-v4/signatures/openshift/release/${DIGEST_ALGO}=${DIGEST_ENCODED}/signature-1" | base64 -w0 && echo)
다음 명령을 실행하여
checksum-<OCP_RELEASE_NUMBER>.yaml
파일에 이미지 서명을 저장합니다.$ cat >checksum-${OCP_RELEASE_NUMBER}.yaml <<EOF ${DIGEST_ALGO}-${DIGEST_ENCODED}: ${SIGNATURE_BASE64} EOF
업데이트 그래프를 준비합니다. 업데이트 그래프를 준비할 수 있는 두 가지 옵션이 있습니다.
OpenShift 업데이트 서비스를 사용합니다.
hub 클러스터에 그래프를 설정하는 방법에 대한 자세한 내용은 OpenShift Update Service용 Operator 배포 및 그래프 데이터 init 컨테이너 빌드를 참조하십시오.
업스트림 그래프의 로컬 사본을 만듭니다. 관리 클러스터에 액세스할 수 있는 연결이 끊긴 환경의
http
또는https
서버에서 업데이트 그래프를 호스팅합니다. 업데이트 그래프를 다운로드하려면 다음 명령을 사용하십시오.$ curl -s https://api.openshift.com/api/upgrades_info/v1/graph?channel=stable-4.17 -o ~/upgrade-graph_stable-4.17
Operator를 업데이트하려면 다음 작업을 수행해야 합니다.
- Operator 카탈로그를 미러링합니다. "연결이 끊긴 클러스터에 사용하기 위해 Operator 카탈로그 미러링" 섹션의 절차에 따라 원하는 Operator 이미지가 미러링되었는지 확인합니다.
10.3.2. PolicyGenTemplate CR을 사용하여 플랫폼 업데이트 수행
TALM으로 플랫폼 업데이트를 수행할 수 있습니다.
사전 요구 사항
- TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
- GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
- GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
- 원하는 이미지 저장소를 미러링합니다.
-
cluster-admin
권한이 있는 사용자로 로그인합니다. - hub 클러스터에 RHACM 정책을 생성합니다.
프로세스
플랫폼 업데이트에 대한
PolicyGenTemplate
CR을 생성합니다.다음
PolicyGenTemplate
CR을du-upgrade.yaml
파일에 저장합니다.플랫폼 업데이트를 위한
PolicyGenTemplate
예apiVersion: ran.openshift.io/v1 kind: PolicyGenTemplate metadata: name: "du-upgrade" namespace: "ztp-group-du-sno" spec: bindingRules: group-du-sno: "" mcp: "master" remediationAction: inform sourceFiles: - fileName: ImageSignature.yaml 1 policyName: "platform-upgrade-prep" binaryData: ${DIGEST_ALGO}-${DIGEST_ENCODED}: ${SIGNATURE_BASE64} 2 - fileName: DisconnectedICSP.yaml policyName: "platform-upgrade-prep" metadata: name: disconnected-internal-icsp-for-ocp spec: repositoryDigestMirrors: 3 - mirrors: - quay-intern.example.com/ocp4/openshift-release-dev source: quay.io/openshift-release-dev/ocp-release - mirrors: - quay-intern.example.com/ocp4/openshift-release-dev source: quay.io/openshift-release-dev/ocp-v4.0-art-dev - fileName: ClusterVersion.yaml 4 policyName: "platform-upgrade" metadata: name: version spec: channel: "stable-4.17" upstream: http://upgrade.example.com/images/upgrade-graph_stable-4.17 desiredUpdate: version: 4.17.4 status: history: - version: 4.17.4 state: "Completed"
- 1
ConfigMap
CR에는 업데이트할 원하는 릴리스 이미지의 서명이 포함되어 있습니다.- 2
- 원하는 OpenShift Container Platform 릴리스의 이미지 서명을 표시합니다. "환경 설정" 섹션의 절차에 따라 저장한
checksum-${OCP_RELEASE_NUMBER}.yaml
파일에서 서명을 가져옵니다. - 3
- 원하는 OpenShift Container Platform 이미지가 포함된 미러 저장소를 표시합니다. "환경 설정" 섹션의 절차를 따를 때 저장한
imageContentSources.yaml
파일에서 미러를 가져옵니다. - 4
- 업데이트를 트리거할
ClusterVersion
CR을 표시합니다.채널
,업스트림
및desiredVersion
필드는 모두 이미지 사전 캐싱에 필요합니다.
PolicyGenTemplate
CR은 다음 두 가지 정책을 생성합니다.-
du-upgrade-platform-prep
정책은 플랫폼 업데이트에 대한 준비 작업을 수행합니다. 원하는 릴리스 이미지 서명에 대한ConfigMap
CR을 생성하고 미러링된 릴리스 이미지 저장소의 이미지 콘텐츠 소스를 생성하고, 원하는 업데이트 채널 및 연결이 끊긴 환경에서 관리 클러스터에서 연결할 수 있는 업데이트 그래프로 클러스터 버전을 업데이트합니다. -
du-upgrade-platform-upgrade
정책은 플랫폼 업그레이드를 수행하는 데 사용됩니다.
PolicyGenTemplate
CR의 GitOps ZTP Git 리포지토리에 있는kustomization.yaml
파일에du-upgrade.yaml
파일 내용을 추가하고 Git 리포지토리로 변경 사항을 내보냅니다.rgocd는 Git 리포지토리에서 변경 사항을 가져와서 hub 클러스터에 정책을 생성합니다.
다음 명령을 실행하여 생성된 정책을 확인합니다.
$ oc get policies -A | grep platform-upgrade
spec.enable
필드가false
로 설정된 상태에서 플랫폼 업데이트에 대한ClusterGroupUpdate
CR을 생성합니다.du-upgrade-platform-upgrade
-prep 및 du-upgrade-platform-upgrade
정책 및 대상 클러스터를 다음 예와 같이cgu-platform-upgrade.yml
파일에 사용하여 플랫폼 업데이트ClusterGroupUpdate
CR의 콘텐츠를 저장합니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu-platform-upgrade namespace: default spec: managedPolicies: - du-upgrade-platform-upgrade-prep - du-upgrade-platform-upgrade preCaching: false clusters: - spoke1 remediationStrategy: maxConcurrency: 1 enable: false
다음 명령을 실행하여 Hub 클러스터에
ClusterGroupUpdate
CR을 적용합니다.$ oc apply -f cgu-platform-upgrade.yml
선택 사항: 플랫폼 업데이트의 이미지를 사전 캐시합니다.
다음 명령을 실행하여
ClusterGroupUpdate
CR에서 사전 캐싱을 활성화합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-platform-upgrade \ --patch '{"spec":{"preCaching": true}}' --type=merge
업데이트 프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. hub 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.
$ oc get cgu cgu-platform-upgrade -o jsonpath='{.status.precaching.status}'
플랫폼 업데이트를 시작합니다.
다음 명령을 실행하여
cgu-platform-upgrade
정책을 활성화하고 사전 캐싱을 비활성화합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-platform-upgrade \ --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.
$ oc get policies --all-namespaces
추가 리소스
10.3.3. PolicyGenTemplate CR을 사용하여 Operator 업데이트 수행
TALM을 사용하여 Operator 업데이트를 수행할 수 있습니다.
사전 요구 사항
- TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
- GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
- GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
- 번들 이미지에서 참조하는 원하는 인덱스 이미지, 번들 이미지 및 모든 Operator 이미지를 미러링합니다.
-
cluster-admin
권한이 있는 사용자로 로그인합니다. - hub 클러스터에 RHACM 정책을 생성합니다.
프로세스
Operator 업데이트의
PolicyGenTemplate
CR을 업데이트합니다.du-upgrade
.yamlPolicyGenTemplate
CR을 업데이트합니다.apiVersion: ran.openshift.io/v1 kind: PolicyGenTemplate metadata: name: "du-upgrade" namespace: "ztp-group-du-sno" spec: bindingRules: group-du-sno: "" mcp: "master" remediationAction: inform sourceFiles: - fileName: DefaultCatsrc.yaml remediationAction: inform policyName: "operator-catsrc-policy" metadata: name: redhat-operators-disconnected spec: displayName: Red Hat Operators Catalog image: registry.example.com:5000/olm/redhat-operators-disconnected:v4.17 1 updateStrategy: 2 registryPoll: interval: 1h status: connectionState: lastObservedState: READY 3
- 1
- 인덱스 이미지 URL에는 원하는 Operator 이미지가 포함되어 있습니다. 인덱스 이미지가 항상 동일한 이미지 이름 및 태그로 푸시되는 경우 이 변경이 필요하지 않습니다.
- 2
- OLM(Operator Lifecycle Manager)에서
registryPoll.interval
필드를 사용하여 새 Operator 버전의 인덱스 이미지를 폴링하는 빈도를 설정합니다. 이 변경 사항은 y-stream 및 z-stream Operator 업데이트를 위해 새 인덱스 이미지 태그가 항상 푸시되는 경우 필요하지 않습니다.registryPoll.interval
필드는 업데이트를 신속하게 처리하기 위해 더 짧은 간격으로 설정할 수 있지만 더 짧은 간격은 계산 부하를 늘리십시오. 이 동작을 대응하려면 업데이트가 완료되면registryPoll.interval
을 기본값으로 복원할 수 있습니다. - 3
- 카탈로그 연결의 마지막으로 관찰된 상태입니다.
READY
값을 사용하면CatalogSource
정책이 준비되어 인덱스 Pod를 가져와 실행 중임을 나타냅니다. 이렇게 하면 TALM이 최신 정책 준수 상태를 기반으로 Operator를 업그레이드합니다.
이번 업데이트에서는 원하는 Operator 이미지가 포함된 새 인덱스 이미지로
redhat-operators-disconnected
카탈로그 소스를 업데이트하기 위해 하나의 정책인du-upgrade-operator-catsrc-policy
를 생성합니다.참고Operator에 이미지 사전 캐싱을 사용하고
redhat-operators-disconnected
이외의 다른 카탈로그 소스의 Operator가 있는 경우 다음 작업을 수행해야 합니다.- 다른 카탈로그 소스에 대해 새 인덱스 이미지 또는 레지스트리 폴링 간격 업데이트를 사용하여 별도의 카탈로그 소스 정책을 준비합니다.
- 다른 카탈로그 소스의 Operator에 대해 별도의 서브스크립션 정책을 준비합니다.
예를 들어 원하는 SRIOV-FEC Operator는
certified-operators
카탈로그 소스에서 사용할 수 있습니다. 카탈로그 소스 및 Operator 서브스크립션을 업데이트하려면 다음 내용을 추가하여du-upgrade-fec-catsrc-policy
및du-upgrade-subscriptions-fec-policy
: 두 가지 정책을 생성합니다.apiVersion: ran.openshift.io/v1 kind: PolicyGenTemplate metadata: name: "du-upgrade" namespace: "ztp-group-du-sno" spec: bindingRules: group-du-sno: "" mcp: "master" remediationAction: inform sourceFiles: # ... - fileName: DefaultCatsrc.yaml remediationAction: inform policyName: "fec-catsrc-policy" metadata: name: certified-operators spec: displayName: Intel SRIOV-FEC Operator image: registry.example.com:5000/olm/far-edge-sriov-fec:v4.10 updateStrategy: registryPoll: interval: 10m - fileName: AcceleratorsSubscription.yaml policyName: "subscriptions-fec-policy" spec: channel: "stable" source: certified-operators
Common
PolicyGenTemplate
CR이 있는 경우 지정된 서브스크립션 채널을 제거합니다. GitOps ZTP 이미지의 기본 서브스크립션 채널은 업데이트에 사용됩니다.참고GitOps ZTP 4.17을 통해 적용되는 Operator의 기본 채널은
performance-addon-operator
를 제외하고안정적입니다
. OpenShift Container Platform 4.11부터performance-addon-operator
기능이node-tuning-operator
로 이동되었습니다. 4.10 릴리스의 경우 PAO의 기본 채널은v4.10
입니다. 공통PolicyGenTemplate
CR에서 기본 채널을 지정할 수도 있습니다.PolicyGenTemplate
CR 업데이트를 GitOps ZTP Git 리포지토리로 내보냅니다.rgocd는 Git 리포지토리에서 변경 사항을 가져와서 hub 클러스터에 정책을 생성합니다.
다음 명령을 실행하여 생성된 정책을 확인합니다.
$ oc get policies -A | grep -E "catsrc-policy|subscription"
Operator 업데이트를 시작하기 전에 필요한 카탈로그 소스 업데이트를 적용합니다.
카탈로그 소스 정책 및 대상 관리 클러스터를
cgu-
operator-upgrade-prep
파일에 사용하여 operator-upgrade-prep라는ClusterGroupUpgrade
CR의 콘텐츠를 저장합니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu-operator-upgrade-prep namespace: default spec: clusters: - spoke1 enable: true managedPolicies: - du-upgrade-operator-catsrc-policy remediationStrategy: maxConcurrency: 1
다음 명령을 실행하여 허브 클러스터에 정책을 적용합니다.
$ oc apply -f cgu-operator-upgrade-prep.yml
업데이트 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.
$ oc get policies -A | grep -E "catsrc-policy"
spec.enable
필드를false
로 설정하여 Operator 업데이트에 대한ClusterGroupUpgrade
CR을 생성합니다.다음 예와 같이 Operator 업데이트
ClusterGroupUpgrade
CR의 콘텐츠를du-upgrade-operator-catsrc-policy
정책 및 공통PolicyGenTemplate
에서 생성한 서브스크립션 정책과 대상 클러스터에서cgu-operator-upgrade.yml
파일에 저장합니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu-operator-upgrade namespace: default spec: managedPolicies: - du-upgrade-operator-catsrc-policy 1 - common-subscriptions-policy 2 preCaching: false clusters: - spoke1 remediationStrategy: maxConcurrency: 1 enable: false
참고하나의
ClusterGroupUpgrade
CR은ClusterGroupUpgrade
CR에 포함된 하나의 카탈로그 소스에서 서브스크립션 정책에 정의된 Operator의 이미지만 사전 캐시할 수 있습니다. SRIOV-FEC Operator의 예와 같이 원하는 Operator가 다양한 카탈로그 소스의 경우 SRIOV-FEC Operator 이미지에 대한du-upgrade-fec-catsrc-policy
및du-upgrade-subscriptions-fec-policy
정책을 사용하여 다른ClusterGroupUpgrade
CR을 생성해야 합니다.다음 명령을 실행하여 hub 클러스터에
ClusterGroupUpgrade
CR을 적용합니다.$ oc apply -f cgu-operator-upgrade.yml
선택 사항: Operator 업데이트의 이미지를 사전 캐시합니다.
이미지 사전 캐싱을 시작하기 전에 다음 명령을 실행하여 서브스크립션 정책이 이 시점에서
NonCompliant
인지 확인합니다.$ oc get policy common-subscriptions-policy -n <policy_namespace>
출력 예
NAME REMEDIATION ACTION COMPLIANCE STATE AGE common-subscriptions-policy inform NonCompliant 27d
다음 명령을 실행하여
ClusterGroupUpgrade
CR에서 pre-caching을 활성화합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-operator-upgrade \ --patch '{"spec":{"preCaching": true}}' --type=merge
프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. 관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.
$ oc get cgu cgu-operator-upgrade -o jsonpath='{.status.precaching.status}'
다음 명령을 실행하여 업데이트를 시작하기 전에 사전 캐싱이 완료되었는지 확인합니다.
$ oc get cgu -n default cgu-operator-upgrade -ojsonpath='{.status.conditions}' | jq
출력 예
[ { "lastTransitionTime": "2022-03-08T20:49:08.000Z", "message": "The ClusterGroupUpgrade CR is not enabled", "reason": "UpgradeNotStarted", "status": "False", "type": "Ready" }, { "lastTransitionTime": "2022-03-08T20:55:30.000Z", "message": "Precaching is completed", "reason": "PrecachingCompleted", "status": "True", "type": "PrecachingDone" } ]
Operator 업데이트를 시작합니다.
cgu-operator-upgrade
ClusterGroupUpgrade
CR을 활성화하고 다음 명령을 실행하여 Operator 업데이트를 시작하도록 사전 캐싱을 비활성화합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-operator-upgrade \ --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.
$ oc get policies --all-namespaces
추가 리소스
10.3.4. PolicyGenTemplate CR을 사용하여 누락된 Operator 업데이트 문제 해결
일부 시나리오에서는 TALM( Topology Aware Lifecycle Manager)에서 최신 정책 준수 상태로 인해 Operator 업데이트가 누락될 수 있습니다.
카탈로그 소스 업데이트 후 OLM(Operator Lifecycle Manager)에서 서브스크립션 상태를 업데이트하는 데 시간이 걸립니다. TALM에서 수정이 필요한지 여부를 결정하는 동안 서브스크립션 정책의 상태가 계속 준수로 표시될 수 있습니다. 결과적으로 서브스크립션 정책에 지정된 Operator가 업그레이드되지 않습니다.
이 시나리오를 방지하려면 PolicyGenTemplate
에 다른 카탈로그 소스 구성을 추가하고 업데이트가 필요한 Operator의 서브스크립션에 이 구성을 지정합니다.
프로세스
PolicyGenTemplate
리소스에 카탈로그 소스 구성을 추가합니다.- fileName: DefaultCatsrc.yaml remediationAction: inform policyName: "operator-catsrc-policy" metadata: name: redhat-operators-disconnected spec: displayName: Red Hat Operators Catalog image: registry.example.com:5000/olm/redhat-operators-disconnected:v{product-version} updateStrategy: registryPoll: interval: 1h status: connectionState: lastObservedState: READY - fileName: DefaultCatsrc.yaml remediationAction: inform policyName: "operator-catsrc-policy" metadata: name: redhat-operators-disconnected-v2 1 spec: displayName: Red Hat Operators Catalog v2 2 image: registry.example.com:5000/olm/redhat-operators-disconnected:<version> 3 updateStrategy: registryPoll: interval: 1h status: connectionState: lastObservedState: READY
업데이트가 필요한 Operator의 새 구성을 가리키도록
Subscription
리소스를 업데이트합니다.apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: operator-subscription namespace: operator-namspace # ... spec: source: redhat-operators-disconnected-v2 1 # ...
- 1
PolicyGenTemplate
리소스에 정의된 추가 카탈로그 소스 구성의 이름을 입력합니다.
10.3.5. 플랫폼 및 Operator 업데이트를 함께 수행
플랫폼 및 Operator 업데이트를 동시에 수행할 수 있습니다.
사전 요구 사항
- TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
- GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
- GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
-
cluster-admin
권한이 있는 사용자로 로그인합니다. - hub 클러스터에 RHACM 정책을 생성합니다.
프로세스
-
"플랫폼 업데이트 수행" 및 "Operator 업데이트 수행" 섹션에 설명된 단계에 따라 업데이트에 대한
PolicyGenTemplate
CR을 생성합니다. 플랫폼 및 Operator 업데이트에 대한 prep 작업을 적용합니다.
플랫폼 업데이트 준비 작업, 카탈로그 소스 업데이트 및 대상 클러스터에 대한 정책을 사용하여
ClusterGroupUpgrade
CR의 콘텐츠를cgu-platform-operator-upgrade-prep.yml
파일에 저장합니다. 예를 들면 다음과 같습니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu-platform-operator-upgrade-prep namespace: default spec: managedPolicies: - du-upgrade-platform-upgrade-prep - du-upgrade-operator-catsrc-policy clusterSelector: - group-du-sno remediationStrategy: maxConcurrency: 10 enable: true
다음 명령을 실행하여
cgu-platform-operator-upgrade-prep.yml
파일을 hub 클러스터에 적용합니다.$ oc apply -f cgu-platform-operator-upgrade-prep.yml
프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.
$ oc get policies --all-namespaces
플랫폼에 대한
ClusterGroupUpdate
CR을 생성하고spec.enable
필드를false
로 설정하여 Operator를 업데이트합니다.다음 예와 같이 플랫폼 및 Operator의 콘텐츠를 정책 및 대상 클러스터를 사용하여
cgu-platform-operator-upgrade.yml
파일에 저장합니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu-du-upgrade namespace: default spec: managedPolicies: - du-upgrade-platform-upgrade 1 - du-upgrade-operator-catsrc-policy 2 - common-subscriptions-policy 3 preCaching: true clusterSelector: - group-du-sno remediationStrategy: maxConcurrency: 1 enable: false
다음 명령을 실행하여
cgu-platform-operator-upgrade.yml
파일을 hub 클러스터에 적용합니다.$ oc apply -f cgu-platform-operator-upgrade.yml
선택 사항: 플랫폼 및 Operator 업데이트의 이미지를 사전 캐시합니다.
다음 명령을 실행하여
ClusterGroupUpgrade
CR에서 pre-caching을 활성화합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-du-upgrade \ --patch '{"spec":{"preCaching": true}}' --type=merge
업데이트 프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. 관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.
$ oc get jobs,pods -n openshift-talm-pre-cache
다음 명령을 실행하여 업데이트를 시작하기 전에 사전 캐싱이 완료되었는지 확인합니다.
$ oc get cgu cgu-du-upgrade -ojsonpath='{.status.conditions}'
플랫폼 및 Operator 업데이트를 시작합니다.
다음 명령을 실행하여
cgu-du-upgrade
ClusterGroupUpgrade
CR을 활성화하여 플랫폼 및 Operator 업데이트를 시작합니다.$ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-du-upgrade \ --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.
$ oc get policies --all-namespaces
참고플랫폼 및 Operator 업데이트의 CR은 설정을
spec.enable: true
로 구성하여 처음부터 생성할 수 있습니다. 이 경우 업데이트는 사전 캐싱이 완료된 직후 시작되어 CR을 수동으로 활성화할 필요가 없습니다.사전 캐싱과 업데이트 모두 정책, 배치 바인딩, 배치 규칙, 관리 클러스터 작업 및 관리 클러스터 뷰와 같은 추가 리소스를 생성하여 절차를 완료하는 데 도움이 됩니다.
afterCompletion.deleteObjects
필드를true
로 설정하면 업데이트가 완료된 후 이러한 리소스가 모두 삭제됩니다.
10.3.6. PolicyGenTemplate CR을 사용하여 배포된 클러스터에서 Performance Addon Operator 서브스크립션 제거
이전 버전의 OpenShift Container Platform에서 Performance Addon Operator는 애플리케이션에 대한 짧은 대기 시간 성능 튜닝을 제공합니다. OpenShift Container Platform 4.11 이상에서 이러한 기능은 Node Tuning Operator의 일부입니다.
OpenShift Container Platform 4.11 이상을 실행하는 클러스터에 Performance Addon Operator를 설치하지 마십시오. OpenShift Container Platform 4.11 이상으로 업그레이드하면 Node Tuning Operator가 Performance Addon Operator를 자동으로 제거합니다.
Operator를 다시 설치하지 않도록 Performance Addon Operator 서브스크립션을 생성하는 정책을 제거해야 합니다.
참조 DU 프로필에는 PolicyGenTemplate
CR common-ranGen.yaml
의 Performance Addon Operator가 포함되어 있습니다. 배포된 관리 클러스터에서 서브스크립션을 제거하려면 common-ranGen.yaml
을 업데이트해야 합니다.
OpenShift Container Platform 4.11 이상에 Performance Addon Operator 4.10.3-5 이상을 설치하는 경우 Performance Addon Operator는 클러스터 버전을 감지하고 Node Tuning Operator 함수를 방해하지 않도록 자동으로 hibernates를 탐지합니다. 그러나 최상의 성능을 보장하기 위해 OpenShift Container Platform 4.11 클러스터에서 Performance Addon Operator를 제거하십시오.
사전 요구 사항
- 사용자 지정 사이트 구성 데이터를 관리하는 Git 리포지토리를 생성합니다. 리포지토리는 hub 클러스터에서 액세스할 수 있어야 하며 ArgoCD의 소스 리포지토리로 정의해야 합니다.
- OpenShift Container Platform 4.11 이상으로 업데이트합니다.
-
cluster-admin
권한이 있는 사용자로 로그인합니다.
프로세스
common-ranGen.yaml
파일에서 Performance Addon Operator 네임스페이스, Operator group 및 서브스크립션에 대해complianceType
을mustnothave
로 변경합니다.- fileName: PaoSubscriptionNS.yaml policyName: "subscriptions-policy" complianceType: mustnothave - fileName: PaoSubscriptionOperGroup.yaml policyName: "subscriptions-policy" complianceType: mustnothave - fileName: PaoSubscription.yaml policyName: "subscriptions-policy" complianceType: mustnothave
-
사용자 정의 사이트 리포지토리와 변경 사항을 병합하고 ArgoCD 애플리케이션이 변경 사항을 허브 클러스터에 동기화할 때까지 기다립니다.
common-subscriptions-policy
정책의 상태는 비준수
. - 토폴로지 Aware Lifecycle Manager를 사용하여 대상 클러스터에 변경 사항을 적용합니다. 구성 변경 사항 롤아웃에 대한 자세한 내용은 "추가 리소스" 섹션을 참조하십시오.
프로세스를 모니터링합니다. 대상 클러스터의
common-subscriptions-policy
정책이Compliant
인 경우 Performance Addon Operator가 클러스터에서 제거되었습니다. 다음 명령을 실행하여common-subscriptions-policy
의 상태를 가져옵니다.$ oc get policy -n ztp-common common-subscriptions-policy
-
common-ranGen.yaml
파일의spec.sourceFiles
에서 Performance Addon Operator 네임스페이스, Operator group 및 서브스크립션 CR을 삭제합니다. - 사용자 정의 사이트 리포지토리와 변경 사항을 병합하고 ArgoCD 애플리케이션이 변경 사항을 허브 클러스터에 동기화할 때까지 기다립니다. 정책은 그대로 유지됩니다.
10.3.7. 단일 노드 OpenShift 클러스터에서 TALM을 사용하여 사용자 지정 이미지 미리 캐싱
애플리케이션을 업그레이드하기 전에 단일 노드 OpenShift 클러스터에서 애플리케이션별 워크로드 이미지를 사전 캐시할 수 있습니다.
다음 CR(사용자 정의 리소스)을 사용하여 사전 캐싱 작업에 대한 구성 옵션을 지정할 수 있습니다.
-
PreCachingConfig
CR -
ClusterGroupUpgrade
CR
PreCachingConfig
CR의 모든 필드는 선택 사항입니다.
PreCachingConfig CR의 예
apiVersion: ran.openshift.io/v1alpha1 kind: PreCachingConfig metadata: name: exampleconfig namespace: exampleconfig-ns spec: overrides: 1 platformImage: quay.io/openshift-release-dev/ocp-release@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef operatorsIndexes: - registry.example.com:5000/custom-redhat-operators:1.0.0 operatorsPackagesAndChannels: - local-storage-operator: stable - ptp-operator: stable - sriov-network-operator: stable spaceRequired: 30 Gi 2 excludePrecachePatterns: 3 - aws - vsphere additionalImages: 4 - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09
- 1
- 기본적으로 TALM은 관리 클러스터 정책에서
platformImage
,operatorsIndexes
및operatorsPackagesAndChannels
필드를 자동으로 채웁니다. 이러한 필드의 기본 TALM 파생 값을 재정의하는 값을 지정할 수 있습니다. - 2
- 클러스터에서 필요한 최소 디스크 공간을 지정합니다. 지정되지 않은 경우 TALM은 OpenShift Container Platform 이미지의 기본값을 정의합니다. 디스크 공간 필드에는 정수 값과 스토리지 유닛이 포함되어야 합니다. 예:
40GiB
,200MB
,1TiB
. - 3
- 일치하는 이미지 이름에 따라 사전 캐싱에서 제외할 이미지를 지정합니다.
- 4
- 사전 캐시할 추가 이미지 목록을 지정합니다.
PreCachingConfig CR 참조가 있는 ClusterGroupUpgrade CR의 예
apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu spec: preCaching: true 1 preCachingConfigRef: name: exampleconfig 2 namespace: exampleconfig-ns 3
10.3.7.1. 사전 캐싱을 위한 사용자 정의 리소스 생성
ClusterGroupUpgrade
CR 전에 PreCachingConfig
CR을 생성해야 합니다.
사전 캐시하려는 추가 이미지 목록을 사용하여
PreCachingConfig
CR을 생성합니다.apiVersion: ran.openshift.io/v1alpha1 kind: PreCachingConfig metadata: name: exampleconfig namespace: default 1 spec: [...] spaceRequired: 30Gi 2 additionalImages: - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09
preCaching
필드를true
로 설정하여ClusterGroupUpgrade
CR을 생성하고 이전 단계에서 생성한PreCachingConfig
CR을 지정합니다.apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: name: cgu namespace: default spec: clusters: - sno1 - sno2 preCaching: true preCachingConfigRef: - name: exampleconfig namespace: default managedPolicies: - du-upgrade-platform-upgrade - du-upgrade-operator-catsrc-policy - common-subscriptions-policy remediationStrategy: timeout: 240
주의클러스터에 이미지를 설치한 후에는 변경하거나 삭제할 수 없습니다.
이미지를 사전 캐싱하려면 다음 명령을 실행하여
ClusterGroupUpgrade
CR을 적용합니다.$ oc apply -f cgu.yaml
TALM은 ClusterGroupUpgrade
CR을 확인합니다.
이 시점에서 TALM 사전 캐싱 워크플로우를 계속 사용할 수 있습니다.
모든 사이트는 동시에 사전 캐시됩니다.
검증
다음 명령을 실행하여
ClusterUpgradeGroup
CR이 적용되는 hub 클러스터에서 사전 캐싱 상태를 확인합니다.$ oc get cgu <cgu_name> -n <cgu_namespace> -oyaml
출력 예
precaching: spec: platformImage: quay.io/openshift-release-dev/ocp-release@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef operatorsIndexes: - registry.example.com:5000/custom-redhat-operators:1.0.0 operatorsPackagesAndChannels: - local-storage-operator: stable - ptp-operator: stable - sriov-network-operator: stable excludePrecachePatterns: - aws - vsphere additionalImages: - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09 spaceRequired: "30" status: sno1: Starting sno2: Starting
관리 정책이 있는지 확인하여 사전 캐싱 구성의 유효성을 검사합니다.
ClusterGroupUpgrade
및PreCachingConfig
CR의 유효한 구성으로 인해 다음과 같은 상태가 발생합니다.유효한 CR의 출력 예
- lastTransitionTime: "2023-01-01T00:00:01Z" message: All selected clusters are valid reason: ClusterSelectionCompleted status: "True" type: ClusterSelected - lastTransitionTime: "2023-01-01T00:00:02Z" message: Completed validation reason: ValidationCompleted status: "True" type: Validated - lastTransitionTime: "2023-01-01T00:00:03Z" message: Precaching spec is valid and consistent reason: PrecacheSpecIsWellFormed status: "True" type: PrecacheSpecValid - lastTransitionTime: "2023-01-01T00:00:04Z" message: Precaching in progress for 1 clusters reason: InProgress status: "False" type: PrecachingSucceeded
잘못된 PreCachingConfig CR의 예
Type: "PrecacheSpecValid" Status: False, Reason: "PrecacheSpecIncomplete" Message: "Precaching spec is incomplete: failed to get PreCachingConfig resource due to PreCachingConfig.ran.openshift.io "<pre-caching_cr_name>" not found"
관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 작업을 찾을 수 있습니다.
$ oc get jobs -n openshift-talo-pre-cache
진행 중인 사전 캐싱 작업 예
NAME COMPLETIONS DURATION AGE pre-cache 0/1 1s 1s
다음 명령을 실행하여 사전 캐싱 작업에 대해 생성된 Pod의 상태를 확인할 수 있습니다.
$ oc describe pod pre-cache -n openshift-talo-pre-cache
진행 중인 사전 캐싱 작업 예
Type Reason Age From Message Normal SuccesfulCreate 19s job-controller Created pod: pre-cache-abcd1
다음 명령을 실행하여 작업 상태에 대한 실시간 업데이트를 가져올 수 있습니다.
$ oc logs -f pre-cache-abcd1 -n openshift-talo-pre-cache
사전 캐시 작업이 성공적으로 완료되었는지 확인하려면 다음 명령을 실행합니다.
$ oc describe pod pre-cache -n openshift-talo-pre-cache
완료된 사전 캐시 작업의 예
Type Reason Age From Message Normal SuccesfulCreate 5m19s job-controller Created pod: pre-cache-abcd1 Normal Completed 19s job-controller Job completed
단일 노드 OpenShift에서 이미지가 성공적으로 사전 캐시되었는지 확인하려면 다음을 수행하십시오.
디버그 모드에서 노드로 들어갑니다.
$ oc debug node/cnfdf00.example.lab
root를
호스트로
변경 :$ chroot /host/
원하는 이미지를 검색합니다.
$ sudo podman images | grep <operator_name>
추가 리소스
10.3.8. GitOps ZTP의 자동 생성 ClusterGroupUpgrade CR 정보
TALM에는 hub 클러스터에서 ManagedCluster
CR의 Ready
상태를 모니터링하고 GitOps Zero Touch Provisioning (ZTP)에 대한 ClusterGroupUpgrade
CR을 생성하는 ManagedClusterForCGU
라는 컨트롤러가 있습니다.
ztp-done
레이블이 적용되지 않은 Ready
상태의 관리형 클러스터의 경우 ManagedClusterForCGU
컨트롤러는 GitOps ZTP 프로세스 중에 생성되는 관련 RHACM 정책을 사용하여 ztp-install
네임스페이스에 ClusterGroupUpgrade
CR을 자동으로 생성합니다. 그런 다음 TALM은 자동 생성된 ClusterGroupUpgrade
CR에 나열된 구성 정책 세트를 수정하여 구성 CR을 관리 클러스터로 푸시합니다.
클러스터가 Ready
상태가 되는 시점에 관리 클러스터에 대한 정책이 없는 경우 정책이 생성되지 않은 ClusterGroupUpgrade
CR이 생성됩니다. ClusterGroupUpgrade
가 완료되면 관리형 클러스터는 ztp-done
로 레이블이 지정됩니다. 해당 관리 클러스터에 적용하려는 정책이 있는 경우 2일 차 작업으로 ClusterGroupUpgrade
를 수동으로 생성합니다.
GitOps ZTP의 자동 생성 ClusterGroupUpgrade
CR의 예
apiVersion: ran.openshift.io/v1alpha1 kind: ClusterGroupUpgrade metadata: generation: 1 name: spoke1 namespace: ztp-install ownerReferences: - apiVersion: cluster.open-cluster-management.io/v1 blockOwnerDeletion: true controller: true kind: ManagedCluster name: spoke1 uid: 98fdb9b2-51ee-4ee7-8f57-a84f7f35b9d5 resourceVersion: "46666836" uid: b8be9cd2-764f-4a62-87d6-6b767852c7da spec: actions: afterCompletion: addClusterLabels: ztp-done: "" 1 deleteClusterLabels: ztp-running: "" deleteObjects: true beforeEnable: addClusterLabels: ztp-running: "" 2 clusters: - spoke1 enable: true managedPolicies: - common-spoke1-config-policy - common-spoke1-subscriptions-policy - group-spoke1-config-policy - spoke1-config-policy - group-spoke1-validator-du-policy preCaching: false remediationStrategy: maxConcurrency: 1 timeout: 240