10.3. PolicyGenTemplate 리소스 및 TALM을 사용하여 연결이 끊긴 환경에서 관리되는 클러스터 업데이트


Topology Aware Lifecycle Manager(TALM)를 사용하여ZTP(ZTP) 및 Topology Aware Lifecycle Manager(TALM)를 사용하여 배포한 관리 클러스터의 소프트웨어 라이프사이클을 관리할 수 있습니다. TALM(Red Hat Advanced Cluster Management) PolicyGenTemplate 정책을 사용하여 대상 클러스터에 적용된 변경 사항을 관리하고 제어합니다.

중요

PolicyGenTemplate CR을 사용하여 관리 클러스터에 대한 정책을 관리하고 배포하면 향후 OpenShift Container Platform 릴리스에서 더 이상 사용되지 않습니다. RHACM(Advanced Cluster Management) 및 PolicyGenerator CR을 사용하여 동일하고 개선된 기능을 사용할 수 있습니다.

PolicyGenerator 리소스에 대한 자세한 내용은 RHACM 정책 생성기 설명서를 참조하십시오.

10.3.1. 연결이 끊긴 환경 설정

TALM은 플랫폼과 Operator 업데이트를 모두 수행할 수 있습니다.

TALM을 사용하여 연결이 끊긴 클러스터를 업데이트하기 전에 미러 레지스트리에서 업데이트하려는 플랫폼 이미지와 Operator 이미지를 모두 미러링해야 합니다. 이미지를 미러링하려면 다음 단계를 완료합니다.

  • 플랫폼 업데이트의 경우 다음 단계를 수행해야 합니다.

    1. 원하는 OpenShift Container Platform 이미지 저장소를 미러링합니다. 추가 리소스에 연결된 "OpenShift Container Platform 이미지 저장소 미러링" 절차에 따라 원하는 플랫폼 이미지가 미러링되었는지 확인합니다. imageContentSources 섹션의 내용을 imageContentSources.yaml 파일에 저장합니다.

      출력 예

      imageContentSources:
       - mirrors:
         - mirror-ocp-registry.ibmcloud.io.cpak:5000/openshift-release-dev/openshift4
         source: quay.io/openshift-release-dev/ocp-release
       - mirrors:
         - mirror-ocp-registry.ibmcloud.io.cpak:5000/openshift-release-dev/openshift4
         source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

    2. 미러링된 플랫폼 이미지의 이미지 서명을 저장합니다. 플랫폼 업데이트를 위해 PolicyGenTemplate CR에 이미지 서명을 추가해야 합니다. 이미지 서명을 가져오려면 다음 단계를 수행합니다.

      1. 다음 명령을 실행하여 원하는 OpenShift Container Platform 태그를 지정합니다.

        $ OCP_RELEASE_NUMBER=<release_version>
      2. 다음 명령을 실행하여 클러스터의 아키텍처를 지정합니다.

        $ ARCHITECTURE=<cluster_architecture> 1
        1
        x86_64,aarch64,s390x 또는 ppc64le 과 같은 클러스터의 아키텍처를 지정합니다.
      3. 다음 명령을 실행하여 Quay에서 릴리스 이미지 다이제스트를 가져옵니다.

        $ DIGEST="$(oc adm release info quay.io/openshift-release-dev/ocp-release:${OCP_RELEASE_NUMBER}-${ARCHITECTURE} | sed -n 's/Pull From: .*@//p')"
      4. 다음 명령을 실행하여 다이제스트 알고리즘을 설정합니다.

        $ DIGEST_ALGO="${DIGEST%%:*}"
      5. 다음 명령을 실행하여 다이제스트 서명을 설정합니다.

        $ DIGEST_ENCODED="${DIGEST#*:}"
      6. 다음 명령을 실행하여 mirror.openshift.com 웹 사이트에서 이미지 서명을 가져옵니다.

        $ SIGNATURE_BASE64=$(curl -s "https://mirror.openshift.com/pub/openshift-v4/signatures/openshift/release/${DIGEST_ALGO}=${DIGEST_ENCODED}/signature-1" | base64 -w0 && echo)
      7. 다음 명령을 실행하여 checksum-<OCP_RELEASE_NUMBER>.yaml 파일에 이미지 서명을 저장합니다.

        $ cat >checksum-${OCP_RELEASE_NUMBER}.yaml <<EOF
        ${DIGEST_ALGO}-${DIGEST_ENCODED}: ${SIGNATURE_BASE64}
        EOF
    3. 업데이트 그래프를 준비합니다. 업데이트 그래프를 준비할 수 있는 두 가지 옵션이 있습니다.

      1. OpenShift 업데이트 서비스를 사용합니다.

        hub 클러스터에 그래프를 설정하는 방법에 대한 자세한 내용은 OpenShift Update Service용 Operator 배포그래프 데이터 init 컨테이너 빌드를 참조하십시오.

      2. 업스트림 그래프의 로컬 사본을 만듭니다. 관리 클러스터에 액세스할 수 있는 연결이 끊긴 환경의 http 또는 https 서버에서 업데이트 그래프를 호스팅합니다. 업데이트 그래프를 다운로드하려면 다음 명령을 사용하십시오.

        $ curl -s https://api.openshift.com/api/upgrades_info/v1/graph?channel=stable-4.17 -o ~/upgrade-graph_stable-4.17
  • Operator를 업데이트하려면 다음 작업을 수행해야 합니다.

    • Operator 카탈로그를 미러링합니다. "연결이 끊긴 클러스터에 사용하기 위해 Operator 카탈로그 미러링" 섹션의 절차에 따라 원하는 Operator 이미지가 미러링되었는지 확인합니다.

10.3.2. PolicyGenTemplate CR을 사용하여 플랫폼 업데이트 수행

TALM으로 플랫폼 업데이트를 수행할 수 있습니다.

사전 요구 사항

  • TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
  • GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
  • GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
  • 원하는 이미지 저장소를 미러링합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • hub 클러스터에 RHACM 정책을 생성합니다.

프로세스

  1. 플랫폼 업데이트에 대한 PolicyGenTemplate CR을 생성합니다.

    1. 다음 PolicyGenTemplate CR을 du-upgrade.yaml 파일에 저장합니다.

      플랫폼 업데이트를 위한 PolicyGenTemplate

      apiVersion: ran.openshift.io/v1
      kind: PolicyGenTemplate
      metadata:
        name: "du-upgrade"
        namespace: "ztp-group-du-sno"
      spec:
        bindingRules:
          group-du-sno: ""
        mcp: "master"
        remediationAction: inform
        sourceFiles:
          - fileName: ImageSignature.yaml 1
            policyName: "platform-upgrade-prep"
            binaryData:
              ${DIGEST_ALGO}-${DIGEST_ENCODED}: ${SIGNATURE_BASE64} 2
          - fileName: DisconnectedICSP.yaml
            policyName: "platform-upgrade-prep"
            metadata:
              name: disconnected-internal-icsp-for-ocp
            spec:
              repositoryDigestMirrors: 3
                - mirrors:
                  - quay-intern.example.com/ocp4/openshift-release-dev
                  source: quay.io/openshift-release-dev/ocp-release
                - mirrors:
                  - quay-intern.example.com/ocp4/openshift-release-dev
                  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
          - fileName: ClusterVersion.yaml 4
            policyName: "platform-upgrade"
            metadata:
              name: version
            spec:
              channel: "stable-4.17"
              upstream: http://upgrade.example.com/images/upgrade-graph_stable-4.17
              desiredUpdate:
                version: 4.17.4
            status:
              history:
                - version: 4.17.4
                  state: "Completed"

      1
      ConfigMap CR에는 업데이트할 원하는 릴리스 이미지의 서명이 포함되어 있습니다.
      2
      원하는 OpenShift Container Platform 릴리스의 이미지 서명을 표시합니다. "환경 설정" 섹션의 절차에 따라 저장한 checksum-${OCP_RELEASE_NUMBER}.yaml 파일에서 서명을 가져옵니다.
      3
      원하는 OpenShift Container Platform 이미지가 포함된 미러 저장소를 표시합니다. "환경 설정" 섹션의 절차를 따를 때 저장한 imageContentSources.yaml 파일에서 미러를 가져옵니다.
      4
      업데이트를 트리거할 ClusterVersion CR을 표시합니다. 채널,업스트림desiredVersion 필드는 모두 이미지 사전 캐싱에 필요합니다.

      PolicyGenTemplate CR은 다음 두 가지 정책을 생성합니다.

      • du-upgrade-platform-prep 정책은 플랫폼 업데이트에 대한 준비 작업을 수행합니다. 원하는 릴리스 이미지 서명에 대한 ConfigMap CR을 생성하고 미러링된 릴리스 이미지 저장소의 이미지 콘텐츠 소스를 생성하고, 원하는 업데이트 채널 및 연결이 끊긴 환경에서 관리 클러스터에서 연결할 수 있는 업데이트 그래프로 클러스터 버전을 업데이트합니다.
      • du-upgrade-platform-upgrade 정책은 플랫폼 업그레이드를 수행하는 데 사용됩니다.
    2. PolicyGenTemplate CR의 GitOps ZTP Git 리포지토리에 있는 kustomization.yaml 파일에 du-upgrade.yaml 파일 내용을 추가하고 Git 리포지토리로 변경 사항을 내보냅니다.

      rgocd는 Git 리포지토리에서 변경 사항을 가져와서 hub 클러스터에 정책을 생성합니다.

    3. 다음 명령을 실행하여 생성된 정책을 확인합니다.

      $ oc get policies -A | grep platform-upgrade
  2. spec.enable 필드가 false 로 설정된 상태에서 플랫폼 업데이트에 대한 ClusterGroupUpdate CR을 생성합니다.

    1. du-upgrade-platform-upgrade - prep 및 du-upgrade-platform-upgrade 정책 및 대상 클러스터를 다음 예와 같이 cgu-platform-upgrade.yml 파일에 사용하여 플랫폼 업데이트 ClusterGroupUpdate CR의 콘텐츠를 저장합니다.

      apiVersion: ran.openshift.io/v1alpha1
      kind: ClusterGroupUpgrade
      metadata:
        name: cgu-platform-upgrade
        namespace: default
      spec:
        managedPolicies:
        - du-upgrade-platform-upgrade-prep
        - du-upgrade-platform-upgrade
        preCaching: false
        clusters:
        - spoke1
        remediationStrategy:
          maxConcurrency: 1
        enable: false
    2. 다음 명령을 실행하여 Hub 클러스터에 ClusterGroupUpdate CR을 적용합니다.

      $ oc apply -f cgu-platform-upgrade.yml
  3. 선택 사항: 플랫폼 업데이트의 이미지를 사전 캐시합니다.

    1. 다음 명령을 실행하여 ClusterGroupUpdate CR에서 사전 캐싱을 활성화합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-platform-upgrade \
      --patch '{"spec":{"preCaching": true}}' --type=merge
    2. 업데이트 프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. hub 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.

      $ oc get cgu cgu-platform-upgrade -o jsonpath='{.status.precaching.status}'
  4. 플랫폼 업데이트를 시작합니다.

    1. 다음 명령을 실행하여 cgu-platform-upgrade 정책을 활성화하고 사전 캐싱을 비활성화합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-platform-upgrade \
      --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
    2. 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.

      $ oc get policies --all-namespaces

10.3.3. PolicyGenTemplate CR을 사용하여 Operator 업데이트 수행

TALM을 사용하여 Operator 업데이트를 수행할 수 있습니다.

사전 요구 사항

  • TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
  • GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
  • GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
  • 번들 이미지에서 참조하는 원하는 인덱스 이미지, 번들 이미지 및 모든 Operator 이미지를 미러링합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • hub 클러스터에 RHACM 정책을 생성합니다.

프로세스

  1. Operator 업데이트의 PolicyGenTemplate CR을 업데이트합니다.

    1. du-upgrade.yaml 파일의 다음과 같은 추가 콘텐츠를 사용하여 du-upgrade PolicyGenTemplate CR을 업데이트합니다.

      apiVersion: ran.openshift.io/v1
      kind: PolicyGenTemplate
      metadata:
        name: "du-upgrade"
        namespace: "ztp-group-du-sno"
      spec:
        bindingRules:
          group-du-sno: ""
        mcp: "master"
        remediationAction: inform
        sourceFiles:
          - fileName: DefaultCatsrc.yaml
            remediationAction: inform
            policyName: "operator-catsrc-policy"
            metadata:
              name: redhat-operators-disconnected
            spec:
              displayName: Red Hat Operators Catalog
              image: registry.example.com:5000/olm/redhat-operators-disconnected:v4.17 1
              updateStrategy: 2
                registryPoll:
                  interval: 1h
            status:
              connectionState:
                  lastObservedState: READY 3
      1
      인덱스 이미지 URL에는 원하는 Operator 이미지가 포함되어 있습니다. 인덱스 이미지가 항상 동일한 이미지 이름 및 태그로 푸시되는 경우 이 변경이 필요하지 않습니다.
      2
      OLM(Operator Lifecycle Manager)에서 registryPoll.interval 필드를 사용하여 새 Operator 버전의 인덱스 이미지를 폴링하는 빈도를 설정합니다. 이 변경 사항은 y-stream 및 z-stream Operator 업데이트를 위해 새 인덱스 이미지 태그가 항상 푸시되는 경우 필요하지 않습니다. registryPoll.interval 필드는 업데이트를 신속하게 처리하기 위해 더 짧은 간격으로 설정할 수 있지만 더 짧은 간격은 계산 부하를 늘리십시오. 이 동작을 대응하려면 업데이트가 완료되면 registryPoll.interval 을 기본값으로 복원할 수 있습니다.
      3
      카탈로그 연결의 마지막으로 관찰된 상태입니다. READY 값을 사용하면 CatalogSource 정책이 준비되어 인덱스 Pod를 가져와 실행 중임을 나타냅니다. 이렇게 하면 TALM이 최신 정책 준수 상태를 기반으로 Operator를 업그레이드합니다.
    2. 이번 업데이트에서는 원하는 Operator 이미지가 포함된 새 인덱스 이미지로 redhat-operators-disconnected 카탈로그 소스를 업데이트하기 위해 하나의 정책인 du-upgrade-operator-catsrc-policy 를 생성합니다.

      참고

      Operator에 이미지 사전 캐싱을 사용하고 redhat-operators-disconnected 이외의 다른 카탈로그 소스의 Operator가 있는 경우 다음 작업을 수행해야 합니다.

      • 다른 카탈로그 소스에 대해 새 인덱스 이미지 또는 레지스트리 폴링 간격 업데이트를 사용하여 별도의 카탈로그 소스 정책을 준비합니다.
      • 다른 카탈로그 소스의 Operator에 대해 별도의 서브스크립션 정책을 준비합니다.

      예를 들어 원하는 SRIOV-FEC Operator는 certified-operators 카탈로그 소스에서 사용할 수 있습니다. 카탈로그 소스 및 Operator 서브스크립션을 업데이트하려면 다음 내용을 추가하여 du-upgrade-fec-catsrc-policydu-upgrade-subscriptions-fec-policy: 두 가지 정책을 생성합니다.

      apiVersion: ran.openshift.io/v1
      kind: PolicyGenTemplate
      metadata:
        name: "du-upgrade"
        namespace: "ztp-group-du-sno"
      spec:
        bindingRules:
          group-du-sno: ""
        mcp: "master"
        remediationAction: inform
        sourceFiles:
            # ...
          - fileName: DefaultCatsrc.yaml
            remediationAction: inform
            policyName: "fec-catsrc-policy"
            metadata:
              name: certified-operators
            spec:
              displayName: Intel SRIOV-FEC Operator
              image: registry.example.com:5000/olm/far-edge-sriov-fec:v4.10
              updateStrategy:
                registryPoll:
                  interval: 10m
          - fileName: AcceleratorsSubscription.yaml
            policyName: "subscriptions-fec-policy"
            spec:
              channel: "stable"
              source: certified-operators
    3. Common PolicyGenTemplate CR이 있는 경우 지정된 서브스크립션 채널을 제거합니다. GitOps ZTP 이미지의 기본 서브스크립션 채널은 업데이트에 사용됩니다.

      참고

      GitOps ZTP 4.17을 통해 적용되는 Operator의 기본 채널은 performance-addon-operator 를 제외하고 안정적입니다. OpenShift Container Platform 4.11부터 performance-addon-operator 기능이 node-tuning-operator 로 이동되었습니다. 4.10 릴리스의 경우 PAO의 기본 채널은 v4.10 입니다. 공통 PolicyGenTemplate CR에서 기본 채널을 지정할 수도 있습니다.

    4. PolicyGenTemplate CR 업데이트를 GitOps ZTP Git 리포지토리로 내보냅니다.

      rgocd는 Git 리포지토리에서 변경 사항을 가져와서 hub 클러스터에 정책을 생성합니다.

    5. 다음 명령을 실행하여 생성된 정책을 확인합니다.

      $ oc get policies -A | grep -E "catsrc-policy|subscription"
  2. Operator 업데이트를 시작하기 전에 필요한 카탈로그 소스 업데이트를 적용합니다.

    1. 카탈로그 소스 정책 및 대상 관리 클러스터를 cgu- operator-upgrade-prep 파일에 사용하여 operator-upgrade-prep라는 ClusterGroupUpgrade CR의 콘텐츠를 저장합니다.

      apiVersion: ran.openshift.io/v1alpha1
      kind: ClusterGroupUpgrade
      metadata:
        name: cgu-operator-upgrade-prep
        namespace: default
      spec:
        clusters:
        - spoke1
        enable: true
        managedPolicies:
        - du-upgrade-operator-catsrc-policy
        remediationStrategy:
          maxConcurrency: 1
    2. 다음 명령을 실행하여 허브 클러스터에 정책을 적용합니다.

      $ oc apply -f cgu-operator-upgrade-prep.yml
    3. 업데이트 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.

      $ oc get policies -A | grep -E "catsrc-policy"
  3. spec.enable 필드를 false 로 설정하여 Operator 업데이트에 대한 ClusterGroupUpgrade CR을 생성합니다.

    1. 다음 예와 같이 Operator 업데이트 ClusterGroupUpgrade CR의 콘텐츠를 du-upgrade-operator-catsrc-policy 정책 및 공통 PolicyGenTemplate 에서 생성한 서브스크립션 정책과 대상 클러스터에서 cgu-operator-upgrade.yml 파일에 저장합니다.

      apiVersion: ran.openshift.io/v1alpha1
      kind: ClusterGroupUpgrade
      metadata:
        name: cgu-operator-upgrade
        namespace: default
      spec:
        managedPolicies:
        - du-upgrade-operator-catsrc-policy 1
        - common-subscriptions-policy 2
        preCaching: false
        clusters:
        - spoke1
        remediationStrategy:
          maxConcurrency: 1
        enable: false
      1
      이 정책은 카탈로그 소스에서 Operator 이미지를 검색하려면 이미지 사전 캐싱 기능에 필요합니다.
      2
      정책에는 Operator 서브스크립션이 포함되어 있습니다. 참조 PolicyGenTemplates 의 구조와 내용을 따르는 경우 모든 Operator 서브스크립션이 common-subscriptions-policy 정책으로 그룹화됩니다.
      참고

      하나의 ClusterGroupUpgrade CR은 ClusterGroupUpgrade CR에 포함된 하나의 카탈로그 소스에서 서브스크립션 정책에 정의된 Operator의 이미지만 사전 캐시할 수 있습니다. SRIOV-FEC Operator의 예와 같이 원하는 Operator가 다양한 카탈로그 소스의 경우 SRIOV-FEC Operator 이미지에 대한 du-upgrade-fec-catsrc-policydu-upgrade-subscriptions-fec-policy 정책을 사용하여 다른 ClusterGroupUpgrade CR을 생성해야 합니다.

    2. 다음 명령을 실행하여 hub 클러스터에 ClusterGroupUpgrade CR을 적용합니다.

      $ oc apply -f cgu-operator-upgrade.yml
  4. 선택 사항: Operator 업데이트의 이미지를 사전 캐시합니다.

    1. 이미지 사전 캐싱을 시작하기 전에 다음 명령을 실행하여 서브스크립션 정책이 이 시점에서 NonCompliant 인지 확인합니다.

      $ oc get policy common-subscriptions-policy -n <policy_namespace>

      출력 예

      NAME                          REMEDIATION ACTION   COMPLIANCE STATE     AGE
      common-subscriptions-policy   inform               NonCompliant         27d

    2. 다음 명령을 실행하여 ClusterGroupUpgrade CR에서 pre-caching을 활성화합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-operator-upgrade \
      --patch '{"spec":{"preCaching": true}}' --type=merge
    3. 프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. 관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.

      $ oc get cgu cgu-operator-upgrade -o jsonpath='{.status.precaching.status}'
    4. 다음 명령을 실행하여 업데이트를 시작하기 전에 사전 캐싱이 완료되었는지 확인합니다.

      $ oc get cgu -n default cgu-operator-upgrade -ojsonpath='{.status.conditions}' | jq

      출력 예

      [
          {
            "lastTransitionTime": "2022-03-08T20:49:08.000Z",
            "message": "The ClusterGroupUpgrade CR is not enabled",
            "reason": "UpgradeNotStarted",
            "status": "False",
            "type": "Ready"
          },
          {
            "lastTransitionTime": "2022-03-08T20:55:30.000Z",
            "message": "Precaching is completed",
            "reason": "PrecachingCompleted",
            "status": "True",
            "type": "PrecachingDone"
          }
      ]

  5. Operator 업데이트를 시작합니다.

    1. cgu-operator-upgrade ClusterGroupUpgrade CR을 활성화하고 다음 명령을 실행하여 Operator 업데이트를 시작하도록 사전 캐싱을 비활성화합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-operator-upgrade \
      --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
    2. 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.

      $ oc get policies --all-namespaces

추가 리소스

10.3.4. PolicyGenTemplate CR을 사용하여 누락된 Operator 업데이트 문제 해결

일부 시나리오에서는 TALM( Topology Aware Lifecycle Manager)에서 최신 정책 준수 상태로 인해 Operator 업데이트가 누락될 수 있습니다.

카탈로그 소스 업데이트 후 OLM(Operator Lifecycle Manager)에서 서브스크립션 상태를 업데이트하는 데 시간이 걸립니다. TALM에서 수정이 필요한지 여부를 결정하는 동안 서브스크립션 정책의 상태가 계속 준수로 표시될 수 있습니다. 결과적으로 서브스크립션 정책에 지정된 Operator가 업그레이드되지 않습니다.

이 시나리오를 방지하려면 PolicyGenTemplate 에 다른 카탈로그 소스 구성을 추가하고 업데이트가 필요한 Operator의 서브스크립션에 이 구성을 지정합니다.

프로세스

  1. PolicyGenTemplate 리소스에 카탈로그 소스 구성을 추가합니다.

    - fileName: DefaultCatsrc.yaml
          remediationAction: inform
          policyName: "operator-catsrc-policy"
          metadata:
            name: redhat-operators-disconnected
          spec:
            displayName: Red Hat Operators Catalog
            image: registry.example.com:5000/olm/redhat-operators-disconnected:v{product-version}
            updateStrategy:
              registryPoll:
                interval: 1h
          status:
            connectionState:
                lastObservedState: READY
    - fileName: DefaultCatsrc.yaml
          remediationAction: inform
          policyName: "operator-catsrc-policy"
          metadata:
            name: redhat-operators-disconnected-v2 1
          spec:
            displayName: Red Hat Operators Catalog v2 2
            image: registry.example.com:5000/olm/redhat-operators-disconnected:<version> 3
            updateStrategy:
              registryPoll:
                interval: 1h
          status:
            connectionState:
                lastObservedState: READY
    1
    새 구성의 이름을 업데이트합니다.
    2
    새 구성의 표시 이름을 업데이트합니다.
    3
    인덱스 이미지 URL을 업데이트합니다. 이 fileName.spec.image 필드는 DefaultCatsrc.yaml 파일의 구성을 재정의합니다.
  2. 업데이트가 필요한 Operator의 새 구성을 가리키도록 Subscription 리소스를 업데이트합니다.

    apiVersion: operators.coreos.com/v1alpha1
    kind: Subscription
    metadata:
      name: operator-subscription
      namespace: operator-namspace
    # ...
    spec:
      source: redhat-operators-disconnected-v2 1
    # ...
    1
    PolicyGenTemplate 리소스에 정의된 추가 카탈로그 소스 구성의 이름을 입력합니다.

10.3.5. 플랫폼 및 Operator 업데이트를 함께 수행

플랫폼 및 Operator 업데이트를 동시에 수행할 수 있습니다.

사전 요구 사항

  • TALM(토폴로지 Aware Lifecycle Manager)을 설치합니다.
  • GitOps Zero Touch Provisioning (ZTP)을 최신 버전으로 업데이트합니다.
  • GitOps ZTP를 사용하여 하나 이상의 관리 클러스터를 프로비저닝합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.
  • hub 클러스터에 RHACM 정책을 생성합니다.

프로세스

  1. "플랫폼 업데이트 수행" 및 "Operator 업데이트 수행" 섹션에 설명된 단계에 따라 업데이트에 대한 PolicyGenTemplate CR을 생성합니다.
  2. 플랫폼 및 Operator 업데이트에 대한 prep 작업을 적용합니다.

    1. 플랫폼 업데이트 준비 작업, 카탈로그 소스 업데이트 및 대상 클러스터에 대한 정책을 사용하여 ClusterGroupUpgrade CR의 콘텐츠를 cgu-platform-operator-upgrade-prep.yml 파일에 저장합니다. 예를 들면 다음과 같습니다.

      apiVersion: ran.openshift.io/v1alpha1
      kind: ClusterGroupUpgrade
      metadata:
        name: cgu-platform-operator-upgrade-prep
        namespace: default
      spec:
        managedPolicies:
        - du-upgrade-platform-upgrade-prep
        - du-upgrade-operator-catsrc-policy
        clusterSelector:
        - group-du-sno
        remediationStrategy:
          maxConcurrency: 10
        enable: true
    2. 다음 명령을 실행하여 cgu-platform-operator-upgrade-prep.yml 파일을 hub 클러스터에 적용합니다.

      $ oc apply -f cgu-platform-operator-upgrade-prep.yml
    3. 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.

      $ oc get policies --all-namespaces
  3. 플랫폼에 대한 ClusterGroupUpdate CR을 생성하고 spec.enable 필드를 false 로 설정하여 Operator를 업데이트합니다.

    1. 다음 예와 같이 플랫폼 및 Operator의 콘텐츠를 정책 및 대상 클러스터를 사용하여 cgu-platform-operator-upgrade.yml 파일에 저장합니다.

      apiVersion: ran.openshift.io/v1alpha1
      kind: ClusterGroupUpgrade
      metadata:
        name: cgu-du-upgrade
        namespace: default
      spec:
        managedPolicies:
        - du-upgrade-platform-upgrade 1
        - du-upgrade-operator-catsrc-policy 2
        - common-subscriptions-policy 3
        preCaching: true
        clusterSelector:
        - group-du-sno
        remediationStrategy:
          maxConcurrency: 1
        enable: false
      1
      이는 플랫폼 업데이트 정책입니다.
      2
      이는 Operator를 업데이트할 카탈로그 소스 정보가 포함된 정책입니다. 관리 클러스터로 다운로드할 Operator 이미지를 결정하는 데 사전 캐싱 기능이 필요합니다.
      3
      Operator를 업데이트하는 정책입니다.
    2. 다음 명령을 실행하여 cgu-platform-operator-upgrade.yml 파일을 hub 클러스터에 적용합니다.

      $ oc apply -f cgu-platform-operator-upgrade.yml
  4. 선택 사항: 플랫폼 및 Operator 업데이트의 이미지를 사전 캐시합니다.

    1. 다음 명령을 실행하여 ClusterGroupUpgrade CR에서 pre-caching을 활성화합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-du-upgrade \
      --patch '{"spec":{"preCaching": true}}' --type=merge
    2. 업데이트 프로세스를 모니터링하고 사전 캐싱이 완료될 때까지 기다립니다. 관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 상태를 확인합니다.

      $ oc get jobs,pods -n openshift-talm-pre-cache
    3. 다음 명령을 실행하여 업데이트를 시작하기 전에 사전 캐싱이 완료되었는지 확인합니다.

      $ oc get cgu cgu-du-upgrade -ojsonpath='{.status.conditions}'
  5. 플랫폼 및 Operator 업데이트를 시작합니다.

    1. 다음 명령을 실행하여 cgu-du-upgrade ClusterGroupUpgrade CR을 활성화하여 플랫폼 및 Operator 업데이트를 시작합니다.

      $ oc --namespace=default patch clustergroupupgrade.ran.openshift.io/cgu-du-upgrade \
      --patch '{"spec":{"enable":true, "preCaching": false}}' --type=merge
    2. 프로세스를 모니터링합니다. 완료되면 다음 명령을 실행하여 정책을 준수하는지 확인합니다.

      $ oc get policies --all-namespaces
      참고

      플랫폼 및 Operator 업데이트의 CR은 설정을 spec.enable: true 로 구성하여 처음부터 생성할 수 있습니다. 이 경우 업데이트는 사전 캐싱이 완료된 직후 시작되어 CR을 수동으로 활성화할 필요가 없습니다.

      사전 캐싱과 업데이트 모두 정책, 배치 바인딩, 배치 규칙, 관리 클러스터 작업 및 관리 클러스터 뷰와 같은 추가 리소스를 생성하여 절차를 완료하는 데 도움이 됩니다. afterCompletion.deleteObjects 필드를 true 로 설정하면 업데이트가 완료된 후 이러한 리소스가 모두 삭제됩니다.

10.3.6. PolicyGenTemplate CR을 사용하여 배포된 클러스터에서 Performance Addon Operator 서브스크립션 제거

이전 버전의 OpenShift Container Platform에서 Performance Addon Operator는 애플리케이션에 대한 짧은 대기 시간 성능 튜닝을 제공합니다. OpenShift Container Platform 4.11 이상에서 이러한 기능은 Node Tuning Operator의 일부입니다.

OpenShift Container Platform 4.11 이상을 실행하는 클러스터에 Performance Addon Operator를 설치하지 마십시오. OpenShift Container Platform 4.11 이상으로 업그레이드하면 Node Tuning Operator가 Performance Addon Operator를 자동으로 제거합니다.

참고

Operator를 다시 설치하지 않도록 Performance Addon Operator 서브스크립션을 생성하는 정책을 제거해야 합니다.

참조 DU 프로필에는 PolicyGenTemplate CR common-ranGen.yaml 의 Performance Addon Operator가 포함되어 있습니다. 배포된 관리 클러스터에서 서브스크립션을 제거하려면 common-ranGen.yaml 을 업데이트해야 합니다.

참고

OpenShift Container Platform 4.11 이상에 Performance Addon Operator 4.10.3-5 이상을 설치하는 경우 Performance Addon Operator는 클러스터 버전을 감지하고 Node Tuning Operator 함수를 방해하지 않도록 자동으로 hibernates를 탐지합니다. 그러나 최상의 성능을 보장하기 위해 OpenShift Container Platform 4.11 클러스터에서 Performance Addon Operator를 제거하십시오.

사전 요구 사항

  • 사용자 지정 사이트 구성 데이터를 관리하는 Git 리포지토리를 생성합니다. 리포지토리는 hub 클러스터에서 액세스할 수 있어야 하며 ArgoCD의 소스 리포지토리로 정의해야 합니다.
  • OpenShift Container Platform 4.11 이상으로 업데이트합니다.
  • cluster-admin 권한이 있는 사용자로 로그인합니다.

프로세스

  1. common-ranGen.yaml 파일에서 Performance Addon Operator 네임스페이스, Operator group 및 서브스크립션에 대해 complianceTypemustnothave 로 변경합니다.

    - fileName: PaoSubscriptionNS.yaml
      policyName: "subscriptions-policy"
      complianceType: mustnothave
    - fileName: PaoSubscriptionOperGroup.yaml
      policyName: "subscriptions-policy"
      complianceType: mustnothave
    - fileName: PaoSubscription.yaml
      policyName: "subscriptions-policy"
      complianceType: mustnothave
  2. 사용자 정의 사이트 리포지토리와 변경 사항을 병합하고 ArgoCD 애플리케이션이 변경 사항을 허브 클러스터에 동기화할 때까지 기다립니다. common-subscriptions-policy 정책의 상태는 비준 .
  3. 토폴로지 Aware Lifecycle Manager를 사용하여 대상 클러스터에 변경 사항을 적용합니다. 구성 변경 사항 롤아웃에 대한 자세한 내용은 "추가 리소스" 섹션을 참조하십시오.
  4. 프로세스를 모니터링합니다. 대상 클러스터의 common-subscriptions-policy 정책이 Compliant 인 경우 Performance Addon Operator가 클러스터에서 제거되었습니다. 다음 명령을 실행하여 common-subscriptions-policy 의 상태를 가져옵니다.

    $ oc get policy -n ztp-common common-subscriptions-policy
  5. common-ranGen.yaml 파일의 spec.sourceFiles 에서 Performance Addon Operator 네임스페이스, Operator group 및 서브스크립션 CR을 삭제합니다.
  6. 사용자 정의 사이트 리포지토리와 변경 사항을 병합하고 ArgoCD 애플리케이션이 변경 사항을 허브 클러스터에 동기화할 때까지 기다립니다. 정책은 그대로 유지됩니다.

10.3.7. 단일 노드 OpenShift 클러스터에서 TALM을 사용하여 사용자 지정 이미지 미리 캐싱

애플리케이션을 업그레이드하기 전에 단일 노드 OpenShift 클러스터에서 애플리케이션별 워크로드 이미지를 사전 캐시할 수 있습니다.

다음 CR(사용자 정의 리소스)을 사용하여 사전 캐싱 작업에 대한 구성 옵션을 지정할 수 있습니다.

  • PreCachingConfig CR
  • ClusterGroupUpgrade CR
참고

PreCachingConfig CR의 모든 필드는 선택 사항입니다.

PreCachingConfig CR의 예

apiVersion: ran.openshift.io/v1alpha1
kind: PreCachingConfig
metadata:
  name: exampleconfig
  namespace: exampleconfig-ns
spec:
  overrides: 1
    platformImage: quay.io/openshift-release-dev/ocp-release@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef
    operatorsIndexes:
      - registry.example.com:5000/custom-redhat-operators:1.0.0
    operatorsPackagesAndChannels:
      - local-storage-operator: stable
      - ptp-operator: stable
      - sriov-network-operator: stable
  spaceRequired: 30 Gi 2
  excludePrecachePatterns: 3
    - aws
    - vsphere
  additionalImages: 4
    - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef
    - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef
    - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09

1
기본적으로 TALM은 관리 클러스터 정책에서 platformImage,operatorsIndexesoperatorsPackagesAndChannels 필드를 자동으로 채웁니다. 이러한 필드의 기본 TALM 파생 값을 재정의하는 값을 지정할 수 있습니다.
2
클러스터에서 필요한 최소 디스크 공간을 지정합니다. 지정되지 않은 경우 TALM은 OpenShift Container Platform 이미지의 기본값을 정의합니다. 디스크 공간 필드에는 정수 값과 스토리지 유닛이 포함되어야 합니다. 예: 40GiB,200MB,1TiB.
3
일치하는 이미지 이름에 따라 사전 캐싱에서 제외할 이미지를 지정합니다.
4
사전 캐시할 추가 이미지 목록을 지정합니다.

PreCachingConfig CR 참조가 있는 ClusterGroupUpgrade CR의 예

apiVersion: ran.openshift.io/v1alpha1
kind: ClusterGroupUpgrade
metadata:
  name: cgu
spec:
  preCaching: true 1
  preCachingConfigRef:
    name: exampleconfig 2
    namespace: exampleconfig-ns 3

1
true 로 설정된 preCaching 필드는 사전 캐싱 작업을 활성화합니다.
2
preCachingConfigRef.name 필드는 사용하려는 PreCachingConfig CR을 지정합니다.
3
preCachingConfigRef.namespace 는 사용하려는 PreCachingConfig CR의 네임스페이스를 지정합니다.

10.3.7.1. 사전 캐싱을 위한 사용자 정의 리소스 생성

ClusterGroupUpgrade CR 전에 PreCachingConfig CR을 생성해야 합니다.

  1. 사전 캐시하려는 추가 이미지 목록을 사용하여 PreCachingConfig CR을 생성합니다.

    apiVersion: ran.openshift.io/v1alpha1
    kind: PreCachingConfig
    metadata:
      name: exampleconfig
      namespace: default 1
    spec:
    [...]
      spaceRequired: 30Gi 2
      additionalImages:
        - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef
        - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef
        - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09
    1
    hub 클러스터에서 네임스페이스에 액세스할 수 있어야 합니다.
    2
    사전 캐시된 이미지에 충분한 스토리지 공간이 있는지 확인하기 위해 필요한 최소 디스크 공간 필드를 설정하는 것이 좋습니다.
  2. preCaching 필드를 true 로 설정하여 ClusterGroupUpgrade CR을 생성하고 이전 단계에서 생성한 PreCachingConfig CR을 지정합니다.

    apiVersion: ran.openshift.io/v1alpha1
    kind: ClusterGroupUpgrade
    metadata:
      name: cgu
      namespace: default
    spec:
      clusters:
      - sno1
      - sno2
      preCaching: true
      preCachingConfigRef:
      - name: exampleconfig
        namespace: default
      managedPolicies:
        - du-upgrade-platform-upgrade
        - du-upgrade-operator-catsrc-policy
        - common-subscriptions-policy
      remediationStrategy:
        timeout: 240
    주의

    클러스터에 이미지를 설치한 후에는 변경하거나 삭제할 수 없습니다.

  3. 이미지를 사전 캐싱하려면 다음 명령을 실행하여 ClusterGroupUpgrade CR을 적용합니다.

    $ oc apply -f cgu.yaml

TALM은 ClusterGroupUpgrade CR을 확인합니다.

이 시점에서 TALM 사전 캐싱 워크플로우를 계속 사용할 수 있습니다.

참고

모든 사이트는 동시에 사전 캐시됩니다.

검증

  1. 다음 명령을 실행하여 ClusterUpgradeGroup CR이 적용되는 hub 클러스터에서 사전 캐싱 상태를 확인합니다.

    $ oc get cgu <cgu_name> -n <cgu_namespace> -oyaml

    출력 예

      precaching:
        spec:
          platformImage: quay.io/openshift-release-dev/ocp-release@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef
          operatorsIndexes:
            - registry.example.com:5000/custom-redhat-operators:1.0.0
          operatorsPackagesAndChannels:
            - local-storage-operator: stable
            - ptp-operator: stable
            - sriov-network-operator: stable
          excludePrecachePatterns:
            - aws
            - vsphere
          additionalImages:
            - quay.io/exampleconfig/application1@sha256:3d5800990dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47e2e1ef
            - quay.io/exampleconfig/application2@sha256:3d5800123dee7cd4727d3fe238a97e2d2976d3808fc925ada29c559a47adfaef
            - quay.io/exampleconfig/applicationN@sha256:4fe1334adfafadsf987123adfffdaf1243340adfafdedga0991234afdadfsa09
          spaceRequired: "30"
        status:
          sno1: Starting
          sno2: Starting

    관리 정책이 있는지 확인하여 사전 캐싱 구성의 유효성을 검사합니다. ClusterGroupUpgradePreCachingConfig CR의 유효한 구성으로 인해 다음과 같은 상태가 발생합니다.

    유효한 CR의 출력 예

    - lastTransitionTime: "2023-01-01T00:00:01Z"
      message: All selected clusters are valid
      reason: ClusterSelectionCompleted
      status: "True"
      type: ClusterSelected
    - lastTransitionTime: "2023-01-01T00:00:02Z"
      message: Completed validation
      reason: ValidationCompleted
      status: "True"
      type: Validated
    - lastTransitionTime: "2023-01-01T00:00:03Z"
      message: Precaching spec is valid and consistent
      reason: PrecacheSpecIsWellFormed
      status: "True"
      type: PrecacheSpecValid
    - lastTransitionTime: "2023-01-01T00:00:04Z"
      message: Precaching in progress for 1 clusters
      reason: InProgress
      status: "False"
      type: PrecachingSucceeded

    잘못된 PreCachingConfig CR의 예

    Type:    "PrecacheSpecValid"
    Status:  False,
    Reason:  "PrecacheSpecIncomplete"
    Message: "Precaching spec is incomplete: failed to get PreCachingConfig resource due to PreCachingConfig.ran.openshift.io "<pre-caching_cr_name>" not found"

  2. 관리 클러스터에서 다음 명령을 실행하여 사전 캐싱 작업을 찾을 수 있습니다.

    $ oc get jobs -n openshift-talo-pre-cache

    진행 중인 사전 캐싱 작업 예

    NAME        COMPLETIONS       DURATION      AGE
    pre-cache   0/1               1s            1s

  3. 다음 명령을 실행하여 사전 캐싱 작업에 대해 생성된 Pod의 상태를 확인할 수 있습니다.

    $ oc describe pod pre-cache -n openshift-talo-pre-cache

    진행 중인 사전 캐싱 작업 예

    Type        Reason              Age    From              Message
    Normal      SuccesfulCreate     19s    job-controller    Created pod: pre-cache-abcd1

  4. 다음 명령을 실행하여 작업 상태에 대한 실시간 업데이트를 가져올 수 있습니다.

    $ oc logs -f pre-cache-abcd1 -n openshift-talo-pre-cache
  5. 사전 캐시 작업이 성공적으로 완료되었는지 확인하려면 다음 명령을 실행합니다.

    $ oc describe pod pre-cache -n openshift-talo-pre-cache

    완료된 사전 캐시 작업의 예

    Type        Reason              Age    From              Message
    Normal      SuccesfulCreate     5m19s  job-controller    Created pod: pre-cache-abcd1
    Normal      Completed           19s    job-controller    Job completed

  6. 단일 노드 OpenShift에서 이미지가 성공적으로 사전 캐시되었는지 확인하려면 다음을 수행하십시오.

    1. 디버그 모드에서 노드로 들어갑니다.

      $ oc debug node/cnfdf00.example.lab
    2. root를 호스트로 변경 :

      $ chroot /host/
    3. 원하는 이미지를 검색합니다.

      $ sudo podman images | grep <operator_name>

10.3.8. GitOps ZTP의 자동 생성 ClusterGroupUpgrade CR 정보

TALM에는 hub 클러스터에서 ManagedCluster CR의 Ready 상태를 모니터링하고 GitOps Zero Touch Provisioning (ZTP)에 대한 ClusterGroupUpgrade CR을 생성하는 ManagedClusterForCGU 라는 컨트롤러가 있습니다.

ztp-done 레이블이 적용되지 않은 Ready 상태의 관리형 클러스터의 경우 ManagedClusterForCGU 컨트롤러는 GitOps ZTP 프로세스 중에 생성되는 관련 RHACM 정책을 사용하여 ztp-install 네임스페이스에 ClusterGroupUpgrade CR을 자동으로 생성합니다. 그런 다음 TALM은 자동 생성된 ClusterGroupUpgrade CR에 나열된 구성 정책 세트를 수정하여 구성 CR을 관리 클러스터로 푸시합니다.

클러스터가 Ready 상태가 되는 시점에 관리 클러스터에 대한 정책이 없는 경우 정책이 생성되지 않은 ClusterGroupUpgrade CR이 생성됩니다. ClusterGroupUpgrade 가 완료되면 관리형 클러스터는 ztp-done 로 레이블이 지정됩니다. 해당 관리 클러스터에 적용하려는 정책이 있는 경우 2일 차 작업으로 ClusterGroupUpgrade 를 수동으로 생성합니다.

GitOps ZTP의 자동 생성 ClusterGroupUpgrade CR의 예

apiVersion: ran.openshift.io/v1alpha1
kind: ClusterGroupUpgrade
metadata:
  generation: 1
  name: spoke1
  namespace: ztp-install
  ownerReferences:
  - apiVersion: cluster.open-cluster-management.io/v1
    blockOwnerDeletion: true
    controller: true
    kind: ManagedCluster
    name: spoke1
    uid: 98fdb9b2-51ee-4ee7-8f57-a84f7f35b9d5
  resourceVersion: "46666836"
  uid: b8be9cd2-764f-4a62-87d6-6b767852c7da
spec:
  actions:
    afterCompletion:
      addClusterLabels:
        ztp-done: "" 1
      deleteClusterLabels:
        ztp-running: ""
      deleteObjects: true
    beforeEnable:
      addClusterLabels:
        ztp-running: "" 2
  clusters:
  - spoke1
  enable: true
  managedPolicies:
  - common-spoke1-config-policy
  - common-spoke1-subscriptions-policy
  - group-spoke1-config-policy
  - spoke1-config-policy
  - group-spoke1-validator-du-policy
  preCaching: false
  remediationStrategy:
    maxConcurrency: 1
    timeout: 240

1
TALM이 클러스터 구성을 완료할 때 관리 클러스터에 적용됩니다.
2
TALM이 구성 정책 배포를 시작할 때 관리 클러스터에 적용됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.