지원콘솔개발자평가판 시작연락처

3.3. 명령줄을 사용하여 OpenShift 샌드박스 컨테이너 배포

CLI(명령줄 인터페이스)를 사용하여 다음 작업을 수행하여 AWS에 OpenShift 샌드박스 컨테이너를 배포할 수 있습니다.

  1. OpenShift 샌드박스 컨테이너 Operator를 설치합니다.
  2. 선택 사항: 각 작업자 노드에서 실행되는 가상 머신 수를 변경합니다.
  3. 포트 15150 및 9000을 활성화하여 피어 Pod와의 내부 통신을 허용합니다.
  4. 피어 Pod 시크릿을 생성합니다.
  5. 피어 Pod 구성 맵을 생성합니다.
  6. KataConfig 사용자 지정 리소스를 생성합니다.
  7. OpenShift 샌드박스 컨테이너 워크로드 오브젝트를 구성합니다.

3.3.1. OpenShift 샌드박스 컨테이너 Operator 설치

CLI를 사용하여 OpenShift 샌드박스 컨테이너 Operator를 설치할 수 있습니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. osc-namespace.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: v1
kind: Namespace
metadata:
  name: openshift-sandboxed-containers-operator

  2. 다음 명령을 실행하여 네임스페이스를 생성합니다. 

    $ oc apply -f osc-namespace.yaml

  3. osc-operatorgroup.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: sandboxed-containers-operator-group
  namespace: openshift-sandboxed-containers-operator
spec:
  targetNamespaces:
  - openshift-sandboxed-containers-operator

  4. 다음 명령을 실행하여 operator 그룹을 생성합니다. 

    $ oc apply -f osc-operatorgroup.yaml

  5. osc-subscription.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: sandboxed-containers-operator
  namespace: openshift-sandboxed-containers-operator
spec:
  channel: stable
  installPlanApproval: Automatic
  name: sandboxed-containers-operator
  source: redhat-operators
  sourceNamespace: openshift-marketplace
  startingCSV: sandboxed-containers-operator.v1.8.0

  6. 다음 명령을 실행하여 서브스크립션을 생성합니다. 

    $ oc apply -f osc-subscription.yaml

  7. 다음 명령을 실행하여 Operator가 올바르게 설치되었는지 확인합니다. 

    $ oc get csv -n openshift-sandboxed-containers-operator

    이 명령을 완료하는 데 몇 분이 걸릴 수 있습니다.

  8. 다음 명령을 실행하여 프로세스를 확인합니다. 

    $ watch oc get csv -n openshift-sandboxed-containers-operator

    출력 예

    NAME                             DISPLAY                                  VERSION             REPLACES                   PHASE
openshift-sandboxed-containers   openshift-sandboxed-containers-operator  1.8.0    1.7.0        Succeeded

추가 리소스

3.3.2. 노드당 피어 Pod VM 수 수정

peerpodConfig CR(사용자 정의 리소스)을 편집하여 노드당 피어 Pod 가상 머신(VM) 제한을 변경할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 현재 제한을 확인합니다. 

    $ oc get peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
-o jsonpath='{.spec.limit}{"\n"}'

  2. 다음 명령을 실행하여 peerpodConfig CR의 limit 속성을 수정합니다. 

    $ oc patch peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
--type merge --patch '{"spec":{"limit":"<value>"}}' 1
    1
    <value>를 정의할 제한으로 바꿉니다.

3.3.3. AWS의 포트 활성화

AWS에서 실행되는 피어 Pod와의 내부 통신을 허용하려면 포트 15150 및 9000을 활성화해야 합니다.

사전 요구 사항

  • OpenShift 샌드박스 컨테이너 Operator가 설치되어 있습니다.
  • AWS 명령줄 툴을 설치했습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. OpenShift Container Platform 클러스터에 로그인하고 인스턴스 ID를 검색합니다. 

    $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' \
  -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

  2. AWS 리전을 검색합니다. 

    $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}')

  3. 보안 그룹 ID를 검색하여 배열에 저장합니다. 

    $ AWS_SG_IDS=($(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} \
  --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' \
  --output text --region $AWS_REGION))

  4. 각 보안 그룹 ID에 대해 피어 pod shim에 kata-agent 통신에 액세스하고 피어 Pod 터널을 설정하도록 권한을 부여합니다. 

    $ for AWS_SG_ID in "${AWS_SG_IDS[@]}"; do \
  aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 15150 --source-group $AWS_SG_ID --region $AWS_REGION \
  aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 9000 --source-group $AWS_SG_ID --region $AWS_REGION \
done

이제 포트가 활성화됩니다.

3.3.4. 피어 Pod 보안 생성

OpenShift 샌드박스 컨테이너에 대한 피어 Pod 시크릿을 생성해야 합니다.

시크릿은 Pod VM(가상 머신) 이미지 및 피어 Pod 인스턴스를 생성하기 위한 인증 정보를 저장합니다.

기본적으로 OpenShift 샌드박스 컨테이너 Operator는 클러스터를 생성하는 데 사용되는 인증 정보를 기반으로 보안을 생성합니다. 그러나 다른 인증 정보를 사용하는 보안을 수동으로 생성할 수 있습니다.

사전 요구 사항

  • AWS 콘솔을 사용하여 다음 값을 생성합니다.

    • AWS_ACCESS_KEY_ID
    • AWS_SECRET_ACCESS_KEY

프로세스

  1. 다음 예에 따라 peer-pods-secret.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: v1
kind: Secret
metadata:
  name: peer-pods-secret
  namespace: openshift-sandboxed-containers-operator
type: Opaque
stringData:
  AWS_ACCESS_KEY_ID: "<aws_access_key>" 1
  AWS_SECRET_ACCESS_KEY: "<aws_secret_access_key>" 2
    1
    AWS_ACCESS_KEY_ID 값을 지정합니다.
    2
    AWS_SECRET_ACCESS_KEY 값을 지정합니다.

  2. 다음 명령을 실행하여 시크릿을 생성합니다. 

    $ oc apply -f peer-pods-secret.yaml

3.3.5. 피어 Pod 구성 맵 생성

OpenShift 샌드박스 컨테이너에 대한 피어 Pod 구성 맵을 생성해야 합니다.

사전 요구 사항

  • 클러스터 인증 정보를 기반으로 기본 AMI ID를 사용하지 않는 경우 AMI(Amazon Machine Image) ID가 있습니다.

프로세스

  1. AWS 인스턴스에서 다음 값을 가져옵니다.

    1. 인스턴스 ID를 검색하고 기록합니다. 

      $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

      이는 secret 오브젝트의 다른 값을 검색하는 데 사용됩니다.

    2. AWS 리전을 검색하고 기록합니다. 

      $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}') && echo "AWS_REGION: \"$AWS_REGION\""

    3. AWS 서브넷 ID를 검색하고 기록합니다. 

      $ AWS_SUBNET_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SubnetId' --region ${AWS_REGION} --output text) && echo "AWS_SUBNET_ID: \"$AWS_SUBNET_ID\""

    4. AWS VPC ID를 검색하고 기록합니다. 

      $ AWS_VPC_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].VpcId' --region ${AWS_REGION} --output text) && echo "AWS_VPC_ID: \"$AWS_VPC_ID\""

    5. AWS 보안 그룹 ID를 검색하고 기록합니다. 

      $ AWS_SG_IDS=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' --region  $AWS_REGION --output json | jq -r '.[][][]' | paste -sd ",") && echo "AWS_SG_IDS: \"$AWS_SG_IDS\""

  2. 다음 예에 따라 peer-pods-cm.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: v1
kind: ConfigMap
metadata:
  name: peer-pods-cm
  namespace: openshift-sandboxed-containers-operator
data:
  CLOUD_PROVIDER: "aws"
  VXLAN_PORT: "9000"
  PODVM_INSTANCE_TYPE: "t3.medium" 1
  PODVM_INSTANCE_TYPES: "t2.small,t2.medium,t3.large" 2
  PROXY_TIMEOUT: "5m"
  PODVM_AMI_ID: "<podvm_ami_id>" 3
  AWS_REGION: "<aws_region>" 4
  AWS_SUBNET_ID: "<aws_subnet_id>" 5
  AWS_VPC_ID: "<aws_vpc_id>" 6
  AWS_SG_IDS: "<aws_sg_ids>" 7
  DISABLECVM: "true"
    1
    유형이 워크로드에 정의되지 않은 경우 사용되는 기본 인스턴스 유형을 정의합니다.
    2
    Pod를 생성할 때 지정할 수 있는 모든 인스턴스 유형을 나열합니다. 이를 통해 더 적은 메모리와 더 적은 CPU 또는 대규모 워크로드에 대해 더 큰 인스턴스 유형이 필요한 워크로드에 대해 더 작은 인스턴스 유형을 정의할 수 있습니다.
    3
    선택 사항: 기본적으로 클러스터 인증 정보를 기반으로 AMI ID를 사용하여 KataConfig CR을 실행할 때 이 값이 채워집니다. 고유한 AMI를 생성하는 경우 올바른 AMI ID를 지정합니다.
    4
    검색한 AWS_REGION 값을 지정합니다.
    5
    검색한 AWS_SUBNET_ID 값을 지정합니다.
    6
    검색한 AWS_VPC_ID 값을 지정합니다.
    7
    검색한 AWS_SG_IDS 값을 지정합니다.

  3. 다음 명령을 실행하여 구성 맵을 생성합니다. 

    $ oc apply -f peer-pods-cm.yaml

3.3.6. KataConfig 사용자 지정 리소스 생성

KataConfig CR(사용자 정의 리소스)을 생성하여 작업자 노드에 kata-remote 를 런타임 클래스로 설치해야 합니다.

KataConfig CR을 생성하면 OpenShift 샌드박스 컨테이너 Operator가 다음을 수행합니다.

  • 기본 구성을 사용하여 kata-remote 라는 RuntimeClass CR을 생성합니다. 이를 통해 사용자는 RuntimeClassName 필드에서 CR을 참조하여 kata-remote 를 런타임으로 사용하도록 워크로드를 구성할 수 있습니다. 이 CR은 런타임의 리소스 오버헤드도 지정합니다.

OpenShift 샌드박스 컨테이너는 kata-remote 를 기본 런타임이 아닌 클러스터의 선택적 런타임으로 설치합니다.

중요

KataConfig CR을 생성하면 작업자 노드가 자동으로 재부팅됩니다. 재부팅에는 10분에서 60분 이상 걸릴 수 있습니다. 재부팅 시간을 방해하는 요소는 다음과 같습니다.

  • 더 많은 작업자 노드가 있는 대규모 OpenShift Container Platform 배포
  • BIOS 및 Cryostat 유틸리티 활성화.
  • SSD가 아닌 하드 디스크 드라이브에 배포합니다.
  • 가상 노드가 아닌 베어 메탈과 같은 물리적 노드에 배포됩니다.
  • 느린 CPU 및 네트워크입니다.

사전 요구 사항

  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

프로세스

  1. 다음 예에 따라 example-kataconfig.yaml 매니페스트 파일을 생성합니다. 

    apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: example-kataconfig
spec:
  enablePeerPods: true
  logLevel: info
#  kataConfigPoolSelector:
#    matchLabels:
#      <label_key>: '<label_value>' 1
    1
    선택 사항: 노드 레이블을 적용하여 특정 노드에 kata-remote 를 설치한 경우 키와 값(예: osc: 'true' )을 지정합니다.

  2. 다음 명령을 실행하여 KataConfig CR을 생성합니다. 

    $ oc apply -f example-kataconfig.yaml

    새로운 KataConfig CR이 생성되고 작업자 노드에 kata-remote 가 런타임 클래스로 설치됩니다.

    설치를 확인하기 전에 kata-remote 설치가 완료되고 작업자 노드가 재부팅될 때까지 기다립니다.

  3. 다음 명령을 실행하여 설치 진행 상황을 모니터링합니다. 

    $ watch "oc describe kataconfig | sed -n /^Status:/,/^Events/p"

    kataNodes 아래의 모든 작업자의 상태가 설치되고 이유를 지정하지 않고 InProgress 조건이 False 이면 클러스터에 kata-remote 가 설치됩니다.

  4. 다음 명령을 실행하여 데몬 세트를 확인합니다. 

    $ oc get -n openshift-sandboxed-containers-operator ds/peerpodconfig-ctrl-caa-daemon

  5. 다음 명령을 실행하여 런타임 클래스를 확인합니다. 

    $ oc get runtimeclass

    출력 예

    NAME             HANDLER          AGE
kata             kata             152m
kata-remote      kata-remote      152m

Pod VM 이미지 확인

클러스터에 kata-remote 가 설치되면 OpenShift 샌드박스 컨테이너 Operator에서 피어 Pod를 생성하는 데 사용되는 Pod VM 이미지를 생성합니다. 이 프로세스는 클라우드 인스턴스에서 이미지가 생성되므로 시간이 오래 걸릴 수 있습니다. 클라우드 공급자에 대해 생성한 구성 맵을 확인하여 Pod VM 이미지가 성공적으로 생성되었는지 확인할 수 있습니다.

프로세스

  1. 피어 Pod에 대해 생성한 구성 맵을 가져옵니다. 

    $ oc get configmap peer-pods-cm -n openshift-sandboxed-containers-operator -o yaml

  2. YAML 파일의 상태 스탠자를 확인합니다.

    PODVM_AMI_ID 매개변수가 채워지면 Pod VM 이미지가 성공적으로 생성됩니다.

문제 해결

  1. 다음 명령을 실행하여 이벤트 로그를 검색합니다. 

    $ oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

  2. 다음 명령을 실행하여 작업 로그를 검색합니다. 

    $ oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

문제를 해결할 수 없는 경우 Red Hat 지원 케이스를 제출하고 두 로그의 출력을 첨부합니다.

3.3.7. 워크로드 오브젝트 구성

kata-remote 를 다음 pod 템플릿 오브젝트의 런타임 클래스로 설정하여 OpenShift 샌드박스 컨테이너 워크로드 오브젝트를 구성해야 합니다.

  • Pod 오브젝트
  • ReplicaSet 오브젝트
  • ReplicationController 오브젝트
  • StatefulSet 오브젝트
  • Deployment 오브젝트
  • DeploymentConfig 오브젝트
중요

Operator 네임스페이스에 워크로드를 배포하지 마십시오. 이러한 리소스에 대한 전용 네임스페이스를 생성합니다.

YAML 파일에 주석을 추가하여 구성 맵에 정의한 기본 인스턴스 유형을 사용하여 워크로드를 배포해야 하는지 여부를 정의할 수 있습니다.

인스턴스 유형을 수동으로 정의하지 않으려면 사용 가능한 메모리에 따라 자동 인스턴스 유형을 사용하도록 주석을 추가할 수 있습니다.

사전 요구 사항

  • KataConfig CR(사용자 정의 리소스)을 생성했습니다.

프로세스

  1. 다음 예와 같이 spec.runtimeClassName: kata-remote 를 각 pod 템플릿 워크로드 오브젝트의 매니페스트에 추가합니다. 

    apiVersion: v1
kind: <object>
# ...
spec:
  runtimeClassName: kata-remote
# ...

  2. pod-templated 오브젝트에 주석을 추가하여 수동으로 정의된 인스턴스 유형 또는 자동 인스턴스 유형을 사용합니다.

    • 수동으로 정의한 인스턴스 유형을 사용하려면 다음 주석을 추가합니다. 

      apiVersion: v1
kind: <object>
metadata:
  annotations:
    io.katacontainers.config.hypervisor.machine_type: "t3.medium" 1
# ...
      1
      구성 맵에서 정의한 인스턴스 유형을 지정합니다.

    • 자동 인스턴스 유형을 사용하려면 다음 주석을 추가합니다. 

      apiVersion: v1
kind: <Pod>
metadata:
  annotations:
    io.katacontainers.config.hypervisor.default_vcpus: <vcpus>
    io.katacontainers.config.hypervisor.default_memory: <memory>
# ...

      워크로드에서 사용할 수 있는 메모리 양을 정의합니다. 워크로드는 사용 가능한 메모리 양에 따라 자동 인스턴스 유형에서 실행됩니다.

  3. 다음 명령을 실행하여 워크로드 오브젝트에 변경 사항을 적용합니다. 

    $ oc apply -f <object.yaml>

    OpenShift Container Platform은 워크로드 오브젝트를 생성하고 스케줄링을 시작합니다.

검증

  • pod-templated 오브젝트의 spec.runtimeClassName 필드를 검사합니다. 값이 kata-remote 이면 피어 Pod를 사용하여 OpenShift 샌드박스 컨테이너에서 워크로드가 실행됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.