홈
제품
OpenShift Container Platform
4.19
호스팅된 컨트롤 플레인
6.4. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면 배포

6.4. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면 배포

연결이 끊긴 환경에서 호스팅된 제어 평면을 배포하는 방식은 독립형 OpenShift Container Platform과 다르게 작동합니다.

호스팅된 제어 평면에는 두 가지 서로 다른 환경이 포함됩니다.

제어 평면: 관리 클러스터에 위치하며, 호스팅된 제어 평면 포드는 제어 평면 운영자에 의해 실행되고 관리됩니다.
데이터 플레인: 호스팅 클러스터의 작업자에 위치하며, 작업 부하와 몇 가지 다른 포드가 실행되고 호스팅 클러스터 구성 운영자가 관리합니다.

데이터 플레인의 ImageContentSourcePolicy (ICSP) 사용자 정의 리소스는 호스팅된 클러스터 매니페스트의 ImageContentSources API를 통해 관리됩니다.

제어 평면의 경우 ICSP 객체는 관리 클러스터에서 관리됩니다. 이러한 객체는 HyperShift Operator에 의해 구문 분석되고 Control Plane Operator와 레지스트리 재정의 항목으로 공유됩니다. 이러한 항목은 호스팅된 제어 평면 네임스페이스의 사용 가능한 배포 중 하나에 인수로 삽입됩니다.

호스팅된 제어 평면에서 연결이 끊긴 레지스트리를 사용하려면 먼저 관리 클러스터에서 적절한 ICSP를 만들어야 합니다. 그런 다음, 데이터 플레인에서 연결이 끊긴 워크로드를 배포하려면 호스팅된 클러스터 매니페스트의 ImageContentSources 필드에 원하는 항목을 추가해야 합니다.

6.4.1. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면을 배포하기 위한 전제 조건
링크 복사

미러 레지스트리. 자세한 내용은 "Red Hat OpenShift용 미러 레지스트리를 사용하여 미러 레지스트리 만들기"를 참조하세요.
연결이 끊어진 설치에 대한 미러 이미지입니다. 자세한 내용은 "oc-mirror 플러그인을 사용하여 연결이 끊긴 설치에 대한 이미지 미러링"을 참조하세요.

6.4.2. 관리 클러스터에 자격 증명 및 레지스트리 인증 기관 추가
링크 복사

관리 클러스터에서 미러 레지스트리 이미지를 가져오려면 먼저 미러 레지스트리의 자격 증명과 인증 기관을 관리 클러스터에 추가해야 합니다. 다음 절차를 따르세요.

프로세스

다음 명령을 실행하여 미러 레지스트리의 인증서로 ConfigMap을 만듭니다.

oc apply -f registry-config.yaml

$ oc apply -f registry-config.yaml

Copy to Clipboard

Toggle word wrap

registry-config.yaml 파일 예시

apiVersion: v1
kind: ConfigMap
metadata:
  name: registry-config
  namespace: openshift-config
data:
  <mirror_registry>: |
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----

apiVersion: v1
kind: ConfigMap
metadata:
  name: registry-config
  namespace: openshift-config
data:
  <mirror_registry>: |
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

image.config.openshift.io 클러스터 전체 개체에 패치를 적용하여 다음 항목을 포함합니다.
```
spec:
  additionalTrustedCA:
    - name: registry-config
```
```
spec:
  additionalTrustedCA:
    - name: registry-config
```
Copy to Clipboard Toggle word wrap
미러 레지스트리의 자격 증명을 추가하려면 관리 클러스터 풀 시크릿을 업데이트합니다.
1. 다음 명령을 실행하여 JSON 형식으로 클러스터에서 풀 시크릿을 가져옵니다.
  $ oc get secret/pull-secret -n openshift-config -o json \ | jq -r '.data.".dockerconfigjson"' \ | base64 -d > authfile
  Copy to Clipboard Toggle word wrap
2. 인증 기관의 자격 증명이 있는 섹션을 포함하도록 가져온 비밀 JSON 파일을 편집합니다.
  "auths": { "<mirror_registry>": {
  1
  "auth": "<credentials>",
  2
  "email": "you@example.com" } },
  Copy to Clipboard Toggle word wrap
  1
  미러 레지스트리의 이름을 제공하세요.
  2
  미러 레지스트리에 대한 자격 증명을 제공하여 이미지를 가져올 수 있도록 합니다.
3. 다음 명령을 실행하여 클러스터의 풀 시크릿을 업데이트합니다.
  $ oc set data secret/pull-secret -n openshift-config \ --from-file=.dockerconfigjson=authfile
  Copy to Clipboard Toggle word wrap

6.4.3. AgentServiceConfig 리소스의 레지스트리 인증 기관을 미러 레지스트리로 업데이트합니다.
링크 복사

이미지에 미러 레지스트리를 사용하는 경우 에이전트는 레지스트리의 인증서를 신뢰하여 이미지를 안전하게 가져와야 합니다. ConfigMap을 생성하여 AgentServiceConfig 사용자 지정 리소스에 미러 레지스트리의 인증 기관을 추가할 수 있습니다.

사전 요구 사항

Kubernetes Operator를 사용하려면 멀티클러스터 엔진을 설치해야 합니다.

프로세스

멀티클러스터 엔진 Operator를 설치한 동일한 네임스페이스에서 미러 레지스트리 세부정보로 ConfigMap 리소스를 만듭니다. 이 ConfigMap 리소스는 호스팅된 클러스터 작업자에게 미러 레지스트리에서 이미지를 검색하는 기능을 부여합니다.

예제 ConfigMap 파일

apiVersion: v1
kind: ConfigMap
metadata:
  name: mirror-config
  namespace: multicluster-engine
  labels:
    app: assisted-service
data:
  ca-bundle.crt: |
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----
  registries.conf: |

    [[registry]]
      location = "registry.stage.redhat.io"
      insecure = false
      blocked = false
      mirror-by-digest-only = true
      prefix = ""

      [[registry.mirror]]
        location = "<mirror_registry>"
        insecure = false

    [[registry]]
      location = "registry.redhat.io/multicluster-engine"
      insecure = false
      blocked = false
      mirror-by-digest-only = true
      prefix = ""

      [[registry.mirror]]
        location = "<mirror_registry>/multicluster-engine" 
        insecure = false

apiVersion: v1
kind: ConfigMap
metadata:
  name: mirror-config
  namespace: multicluster-engine
  labels:
    app: assisted-service
data:
  ca-bundle.crt: |
    -----BEGIN CERTIFICATE-----
    -----END CERTIFICATE-----
  registries.conf: |

    [[registry]]
      location = "registry.stage.redhat.io"
      insecure = false
      blocked = false
      mirror-by-digest-only = true
      prefix = ""

      [[registry.mirror]]
        location = "<mirror_registry>"
        insecure = false

    [[registry]]
      location = "registry.redhat.io/multicluster-engine"
      insecure = false
      blocked = false
      mirror-by-digest-only = true
      prefix = ""

      [[registry.mirror]]
        location = "<mirror_registry>/multicluster-engine"


        insecure = false

Copy to Clipboard

Toggle word wrap

1: 여기서: <mirror_registry> 는 미러 레지스트리의 이름입니다.

AgentServiceConfig 리소스에 패치를 적용하여 생성한 ConfigMap 리소스를 포함합니다. AgentServiceConfig 리소스가 없으면 다음 콘텐츠를 내장하여 AgentServiceConfig 리소스를 만듭니다.
```
spec:
  mirrorRegistryRef:
    name: mirror-config
```
```
spec:
  mirrorRegistryRef:
    name: mirror-config
```
Copy to Clipboard Toggle word wrap

6.4.4. 호스팅된 클러스터에 레지스트리 인증 기관 추가
링크 복사

연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면을 배포하는 경우 additional-trust-bundle 및 image-content-sources 리소스를 포함합니다. 이러한 리소스를 사용하면 호스팅된 클러스터가 인증 기관을 데이터 플레인 작업자에 주입하여 레지스트리에서 이미지를 가져올 수 있습니다.

image-content-sources 정보로 icsp.yaml 파일을 만듭니다.

oc-mirror를 사용하여 이미지를 미러링한 후 생성되는 ImageContentSourcePolicy YAML 파일에서 이미지-콘텐츠-소스 정보를 사용할 수 있습니다.

ImageContentSourcePolicy 파일 예시

cat icsp.yaml
- mirrors:
  - <mirror_registry>/openshift/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
- mirrors:
  - <mirror_registry>/openshift/release-images
  source: quay.io/openshift-release-dev/ocp-release

# cat icsp.yaml
- mirrors:
  - <mirror_registry>/openshift/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
- mirrors:
  - <mirror_registry>/openshift/release-images
  source: quay.io/openshift-release-dev/ocp-release

Copy to Clipboard

Toggle word wrap

다음 예와 같이 호스팅된 클러스터를 만들고 추가 신뢰 번들 인증서를 제공하여 인증서로 컴퓨팅 노드를 업데이트합니다.

hcp create cluster agent \
    --name=<hosted_cluster_name> \
    --pull-secret=<path_to_pull_secret> \
    --agent-namespace=<hosted_control_plane_namespace> \
    --base-domain=<basedomain> \
    --api-server-address=api.<hosted_cluster_name>.<basedomain> \
    --etcd-storage-class=<etcd_storage_class> \
    --ssh-key  <path_to_ssh_public_key> \
    --namespace <hosted_cluster_namespace> \
    --control-plane-availability-policy SingleReplica \
    --release-image=quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \
    --additional-trust-bundle <path for cert> \
    --image-content-sources icsp.yaml

$ hcp create cluster agent \
    --name=<hosted_cluster_name> \


    --pull-secret=<path_to_pull_secret> \


    --agent-namespace=<hosted_control_plane_namespace> \


    --base-domain=<basedomain> \


    --api-server-address=api.<hosted_cluster_name>.<basedomain> \
    --etcd-storage-class=<etcd_storage_class> \


    --ssh-key  <path_to_ssh_public_key> \


    --namespace <hosted_cluster_namespace> \


    --control-plane-availability-policy SingleReplica \
    --release-image=quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \


    --additional-trust-bundle <path for cert> \


    --image-content-sources icsp.yaml

Copy to Clipboard

Toggle word wrap

1: <hosted_cluster_name>을 호스팅 클러스터의 이름으로 바꾸세요.
2: 예를 들어 /user/name/pullsecret 과 같이 풀 시크릿 경로를 바꾸세요.
3: <hosted_control_plane_namespace>를 호스트된 컨트롤 플레인 네임스페이스의 이름으로 바꿉니다(예: 클러스터 호스팅 ).
4: 이름을 기본 도메인으로 바꾸세요(예: example.com ).
5: 예를 들어 lvm-storageclass 와 같이 etcd 스토리지 클래스 이름을 바꿉니다.
6: SSH 공개 키의 경로를 바꾸세요. 기본 파일 경로는 ~/.ssh/id_rsa.pub 입니다.
7 8: 사용하려는 지원되는 OpenShift Container Platform 버전(예: 4.19.0-multi ) 으로 바꿉니다.
9: 미러 레지스트리의 인증 기관 경로를 교체합니다.

맨 위로 이동

6.4. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면 배포

6.4.1. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면을 배포하기 위한 전제 조건
링크 복사

6.4.2. 관리 클러스터에 자격 증명 및 레지스트리 인증 기관 추가
링크 복사

6.4.3. AgentServiceConfig 리소스의 레지스트리 인증 기관을 미러 레지스트리로 업데이트합니다.
링크 복사

6.4.4. 호스팅된 클러스터에 레지스트리 인증 기관 추가
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면 배포

6.4.1. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면을 배포하기 위한 전제 조건링크 복사링크가 클립보드에 복사되었습니다!

6.4.2. 관리 클러스터에 자격 증명 및 레지스트리 인증 기관 추가링크 복사링크가 클립보드에 복사되었습니다!

6.4.3. AgentServiceConfig 리소스의 레지스트리 인증 기관을 미러 레지스트리로 업데이트합니다.링크 복사링크가 클립보드에 복사되었습니다!

6.4.4. 호스팅된 클러스터에 레지스트리 인증 기관 추가링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.4.1. 연결이 끊긴 환경에서 IBM Z에 호스팅된 제어 평면을 배포하기 위한 전제 조건
링크 복사

6.4.2. 관리 클러스터에 자격 증명 및 레지스트리 인증 기관 추가
링크 복사

6.4.3. AgentServiceConfig 리소스의 레지스트리 인증 기관을 미러 레지스트리로 업데이트합니다.
링크 복사

6.4.4. 호스팅된 클러스터에 레지스트리 인증 기관 추가
링크 복사