3장. OpenShift 업데이트 서비스 설치 및 구성
인터넷에 액세스할 수 있는 클러스터의 경우 Red Hat은 공개 API 뒤에서 호스팅된 서비스로 실행되는 OpenShift Container Platform 업데이트 서비스를 통해 업데이트를 제공합니다. 그러나 제한된 네트워크의 클러스터는 업데이트된 정보를 얻기 위해 공용 API에 액세스할 수 없습니다.
제한된 네트워크에서 유사한 업데이트 환경을 제공하기 위해 연결이 끊긴 환경에서 사용할 수 있도록 OpenShift 업데이트 서비스를 로컬로 설치 및 구성할 수 있습니다.
다음 섹션에서는 연결이 끊긴 클러스터 및 기본 운영 체제에 대해 무선 업데이트를 제공하는 방법을 설명합니다.
3.1. 사전 요구 사항
- Operator 설치에 대한 자세한 내용은 네임스페이스에 Operator 설치를 참조하십시오.
3.1.1. OpenShift 업데이트 서비스의 보안 레지스트리에 대한 액세스 구성
릴리스 이미지가 보안 레지스트리에 포함된 경우 업데이트 서비스에 대한 다음 변경과 함께 이미지 레지스트리 액세스를 위한 추가 신뢰 저장소 구성 단계를 완료합니다.
OpenShift Update Service Operator는 레지스트리 CA 인증서에 구성 맵 키 이름 updateservice-registry가 필요합니다.
업데이트 서비스에 대한 이미지 레지스트리 CA 구성 맵의 예
apiVersion: v1 kind: ConfigMap metadata: name: my-registry-ca data: updateservice-registry: | 1 -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- registry-with-port.example.com..5000: | 2 -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
3.1.2. 글로벌 클러스터 풀 시크릿 업데이트
현재 풀 시크릿을 교체하거나 새 풀 시크릿을 추가하여 클러스터의 글로벌 풀 시크릿을 업데이트할 수 있습니다.
사용자가 설치 중에 사용한 레지스트리보다 이미지를 저장하기 위해 별도의 레지스트리를 사용하는 경우 절차가 필요합니다.
클러스터 리소스는 새로운 풀 시크릿에 맞게 조정되어야 하므로 일시적으로 클러스터 사용을 제한할 수 있습니다.
글로벌 풀 시크릿을 업데이트하면 MCO (Machine Config Operator)가 변경 사항을 동기화하는 동안 노드가 재부팅됩니다.
사전 요구 사항
-
cluster-admin역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
프로세스
선택 사항: 기존 풀 시크릿에 새 풀 시크릿을 추가하려면 다음 단계를 완료합니다.
다음 명령을 입력하여 풀 시크릿을 다운로드합니다.
$ oc get secret/pull-secret -n openshift-config --template='{{index .data ".dockerconfigjson" | base64decode}}' ><pull_secret_location> 1- 1
- 풀 시크릿 파일에 경로를 제공합니다.
다음 명령을 입력하여 새 풀 시크릿을 추가합니다.
$ oc registry login --registry="<registry>" \ 1 --auth-basic="<username>:<password>" \ 2 --to=<pull_secret_location> 3
또는 가져오기 시크릿 파일에 대한 수동 업데이트를 수행할 수 있습니다.
다음 명령을 입력하여 클러스터의 글로벌 풀 시크릿을 업데이트합니다.
$ oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=<pull_secret_location> 1- 1
- 새 풀 시크릿 파일의 경로를 제공합니다.
이 업데이트는 모든 노드로 롤아웃되며 클러스터 크기에 따라 작업에 약간의 시간이 걸릴 수 있습니다. 이 기간 동안 노드가 드레인(drain)되어 나머지 노드에서 Pod는 다시 예약됩니다.
