Red Hat Summit6.7. 권장되는 클러스터 설치 매니페스트
ZTP 파이프라인은 클러스터 설치 중에 다음과 같은 사용자 정의 리소스(CR)를 적용합니다. 이러한 구성 CR은 클러스터가 vDU 애플리케이션을 실행하는 데 필요한 기능 및 성능 요구 사항을 충족하는지 확인합니다.
클러스터 배포에 GitOps ZTP 플러그인과 SiteConfig CR을 사용하는 경우 기본적으로 다음 MachineConfig CR이 포함됩니다.
SiteConfig extraManifests 필터를 사용하여 기본적으로 포함되는 CR을 변경합니다. 자세한 내용은 SiteConfig CR을 사용한 고급 관리 클러스터 구성 을 참조하십시오.
6.7.1. 워크로드 분할
DU 워크로드를 실행하는 단일 노드 OpenShift 클러스터에는 워크로드 분할이 필요합니다. 이렇게 하면 플랫폼 서비스를 실행할 수 있는 코어가 제한되고 애플리케이션 페이로드의 CPU 코어를 최대화할 수 있습니다.
워크로드 파티셔닝은 클러스터 설치 중에만 활성화할 수 있습니다. 설치 후에는 워크로드 분할을 비활성화할 수 없습니다. 하지만 PerformanceProfile CR을 통해 격리된 세트와 예약된 세트에 할당된 CPU 세트를 변경할 수 있습니다. CPU 설정을 변경하면 노드가 재부팅됩니다.
워크로드 분할을 활성화하기 위해 cpuPartitioningMode를 사용하도록 전환할 때 클러스터를 프로비저닝하는 데 사용하는 /extra-manifest 폴더에서 워크로드 분할 MachineConfig CR을 제거합니다.
작업 분할을 위한 권장 SiteConfig CR 구성
- 1
- 클러스터의 모든 노드에 대한 작업 분할을 구성하려면
cpuPartitioningMode필드를AllNodes로 설정합니다.
검증
애플리케이션과 클러스터 시스템 CPU 고정이 올바른지 확인하세요. 다음 명령을 실행하세요.
관리 클러스터에 대한 원격 쉘 프롬프트를 엽니다.
oc debug node/example-sno-1
$ oc debug node/example-sno-1Copy to Clipboard Copied! Toggle word wrap Toggle overflow OpenShift 인프라 애플리케이션 CPU 고정이 올바른지 확인하세요.
pgrep ovn | while read i; do taskset -cp $i; done
sh-4.4# pgrep ovn | while read i; do taskset -cp $i; doneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 시스템 애플리케이션 CPU 고정이 올바른지 확인하세요.
pgrep systemd | while read i; do taskset -cp $i; done
sh-4.4# pgrep systemd | while read i; do taskset -cp $i; doneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
pid 1's current affinity list: 0-1,52-53 pid 938's current affinity list: 0-1,52-53 pid 962's current affinity list: 0-1,52-53 pid 1197's current affinity list: 0-1,52-53
pid 1's current affinity list: 0-1,52-53 pid 938's current affinity list: 0-1,52-53 pid 962's current affinity list: 0-1,52-53 pid 1197's current affinity list: 0-1,52-53Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.7.2. 플랫폼 관리 공간 감소
플랫폼의 전반적인 관리 공간을 줄이려면 Kubernetes 관련 마운트 지점을 모두 호스트 운영 체제와 별도의 새 네임스페이스에 배치하는 MachineConfig 사용자 정의 리소스(CR)가 필요합니다. 다음의 base64로 인코딩된 MachineConfig CR 예제는 이 구성을 보여줍니다.
권장되는 컨테이너 마운트 네임스페이스 구성( 01-container-mount-ns-and-kubelet-conf-master.yaml )
6.7.3. SCTP
SCTP(Stream Control Transmission Protocol)는 RAN 애플리케이션에서 사용되는 핵심 프로토콜입니다. 이 MachineConfig 개체는 노드에 SCTP 커널 모듈을 추가하여 이 프로토콜을 활성화합니다.
권장되는 제어 평면 노드 SCTP 구성( 03-sctp-machine-config-master.yaml )
권장되는 작업자 노드 SCTP 구성( 03-sctp-machine-config-worker.yaml )
6.7.4. rcu_normal 설정
다음 MachineConfig CR은 시스템 시작이 완료된 후 rcu_normal을 1로 설정하도록 시스템을 구성합니다. 이렇게 하면 vDU 애플리케이션의 커널 대기 시간이 향상됩니다.
노드가 시작을 완료한 후 rcu_expedited를 비활성화하기 위한 권장 구성( 08-set-rcu-normal-master.yaml )
6.7.5. kdump를 이용한 자동 커널 크래시 덤프
kdump는 커널이 충돌할 때 커널 충돌 덤프를 생성하는 Linux 커널 기능입니다. kdump는 다음 MachineConfig CR을 통해 활성화됩니다.
권장되는 제어 평면 노드 kdump 구성( 06-kdump-master.yaml )
권장되는 kdump 작업자 노드 구성( 06-kdump-worker.yaml )
6.7.6. CRI-O 캐시 자동 삭제 비활성화
제어되지 않는 호스트 종료 또는 클러스터 재부팅 후, CRI-O는 자동으로 전체 CRI-O 캐시를 삭제하므로 노드가 재부팅될 때 레지스트리에서 모든 이미지를 가져옵니다. 이로 인해 복구 시간이 너무 느리거나 복구에 실패할 수 있습니다. GitOps ZTP를 사용하여 설치한 단일 노드 OpenShift 클러스터에서 이런 일이 발생하지 않도록 하려면 클러스터 설치 중에 CRI-O 캐시 삭제 기능을 비활성화하세요.
제어 평면 노드에서 CRI-O 캐시 삭제를 비활성화하기 위한 권장 MachineConfig CR( 99-crio-disable-wipe-master.yaml )
작업자 노드에서 CRI-O 캐시 삭제를 비활성화하기 위한 권장 MachineConfig CR( 99-crio-disable-wipe-worker.yaml )
6.7.7. crun을 기본 컨테이너 런타임으로 구성
다음 ContainerRuntimeConfig 사용자 정의 리소스(CR)는 crun을 제어 평면 및 작업자 노드에 대한 기본 OCI 컨테이너 런타임으로 구성합니다. Crun 컨테이너 런타임은 빠르고 가벼우며 메모리 사용량이 적습니다.
최적의 성능을 위해 단일 노드 OpenShift, 3-노드 OpenShift 및 표준 클러스터에서 컨트롤 플레인 및 작업자 노드에 대해 crun을 활성화합니다. CR을 적용할 때 클러스터 재부팅을 방지하려면 변경 사항을 GitOps ZTP 추가 Day 0 설치 시 매니페스트로 적용하세요.
제어 평면 노드에 권장되는 ContainerRuntimeConfig CR( enable-crun-master.yaml )
워커 노드에 권장되는 ContainerRuntimeConfig CR( enable-crun-worker.yaml )
6.7.8. TPM 및 PCR 보호를 통한 디스크 암호화 활성화
SiteConfig 사용자 지정 리소스(CR)의 diskEncryption 필드를 사용하여 TPM(신뢰할 수 있는 플랫폼 모듈) 및 PCR(플랫폼 구성 레지스터) 보호로 디스크 암호화를 구성할 수 있습니다.
SiteConfig CR을 구성하면 클러스터 설치 시 디스크 암호화가 가능합니다.
사전 요구 사항
-
OpenShift CLI(
oc)가 설치되어 있습니다. -
cluster-admin권한이 있는 사용자로 로그인했습니다. - " TPM 및 PCR 보호로 디스크 암호화 정보" 섹션을 읽습니다.
프로세스
SiteConfigCR에서spec.clusters.diskEncryption필드를 구성합니다.PCR 보호로 디스크 암호화를 활성화하기 위한 권장되는 site
ConfigCR 구성Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
다음 명령을 실행하여 TPM 및 PCR 보호로 디스크 암호화가 활성화되어 있는지 확인합니다.
clevis luks list -d <disk_path>
$ clevis luks list -d <disk_path>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- &
lt;disk_path>를 디스크 경로로 바꿉니다. 예를 들면/dev/sdc입니다.
출력 예
1: tpm2 '{"hash":"sha256","key":"ecc","pcr_bank":"sha256","pcr_ids":"1,7"}'1: tpm2 '{"hash":"sha256","key":"ecc","pcr_bank":"sha256","pcr_ids":"1,7"}'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}