7.7. 创建安装配置文件

您可以自定义 OpenShift Container Platform 集群。

先决条件

您有 OpenShift Container Platform 安装程序和集群的 pull secret。对于受限网络安装，这些文件位于您的镜像主机上。
您有创建镜像 registry 期间生成的 imageContentSources 值。
您已获取了镜像 registry 的证书内容。
您已检索了 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像，并将其上传到可访问的位置。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
  $ ./openshift-install create install-config --dir <installation_directory>
  1
  Copy to Clipboard Toggle word wrap
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
    注意
    始终删除 ~/.powervs 目录，以避免重复使用过时的配置。运行以下命令:
    
    $ rm -rf ~/.powervs
    
    Copy to Clipboard Toggle word wrap
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 powervs 作为目标平台。
  3. 选择要将集群部署到的区域。
  4. 选择要将集群部署到的区域。
  5. 选择集群要部署到的基域。基域与您为集群创建的公共 DNS 区对应。
  6. 为集群输入描述性名称。
编辑 install-config.yaml 文件，以提供在受限网络中安装所需的额外信息。
1. 更新 pullSecret 值，使其包含 registry 的身份验证信息：
  pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'
  Copy to Clipboard Toggle word wrap
  对于 <mirror_host_name>，请指定 您在镜像 registry 证书中指定的 registry 域名 ；对于 <credentials>， 请指定您的镜像 registry 的 base64 编码用户名和密码。
2. 添加 additionalTrustBundle 参数和值。
  additionalTrustBundle: | -----BEGIN CERTIFICATE----- ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ -----END CERTIFICATE-----
  Copy to Clipboard Toggle word wrap
  该值必须是您用于镜像 registry 的证书文件内容。证书文件可以是现有的可信证书颁发机构，也可以是您为镜像 registry 生成的自签名证书。
3. 定义 VPC 的网络和子网，以便在父 platform.powervs 字段下安装集群：
  vpcName: <existing_vpc> vpcSubnets: <vpcSubnet>
  Copy to Clipboard Toggle word wrap
  对于 platform.powervs.vpcName，请指定现有 IBM Cloud® 的名称。对于 platform.powervs.vpcSubnets，请指定现有子网。
4. 添加镜像内容资源，类似于以下 YAML 摘录：
  imageContentSources: - mirrors: - <mirror_host_name>:5000/<repo_name>/release source: quay.io/openshift-release-dev/ocp-release - mirrors: - <mirror_host_name>:5000/<repo_name>/release source: registry.redhat.io/ocp/release
  Copy to Clipboard Toggle word wrap
  对于这些值，请使用您在创建镜像 registry 时记录的 imageContentSources。
5. 可选：将发布策略设置为 Internal：
  publish: Internal
  Copy to Clipboard Toggle word wrap
  通过设置这个选项，您可以创建一个内部 Ingress Controller 和一个私有负载均衡器。
对您需要的 install-config.yaml 文件进行任何其他修改。您可以在 安装配置参数部分找到有关可用参数 的更多信息。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

7.7.1. 集群安装的最低资源要求
复制链接

每台集群机器都必须满足以下最低要求：

Expand

表 7.1. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	2	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	2	16 GB	100 GB	300
Compute	RHCOS	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能敏感，建议使用更快的存储，特别是 control plane 节点上的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

7.7.2. IBM Power Virtual Server 的自定义 install-config.yaml 文件示例
复制链接

您可以自定义 install-config.yaml 文件，以指定有关 OpenShift Container Platform 集群平台的更多详情，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 
controlPlane:  
  hyperthreading: Enabled 
  name: master
  platform:
  replicas: 3
compute:  
- hyperthreading: Enabled 
  name: worker
  platform:
    ibmcloud: {}
  replicas: 3
metadata:
  name: example-restricted-cluster-name 
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14 
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16 
  networkType: OVNKubernetes 
  serviceNetwork:
  - 192.168.0.0/24
platform:
  powervs:
    userid: ibm-user-id
    powervsResourceGroup: "ibmcloud-resource-group" 
    region: "powervs-region"
    vpcRegion: "vpc-region"
    vpcName: name-of-existing-vpc 
    vpcSubnets: 
       - name-of-existing-vpc-subnet
    zone: "powervs-zone"
    serviceInstanceID: "service-instance-id"
publish: Internal
credentialsMode: Manual
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 
sshKey: ssh-ed25519 AAAA... 
additionalTrustBundle: | 
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

apiVersion: v1
baseDomain: example.com


controlPlane:


  hyperthreading: Enabled


  name: master
  platform:
  replicas: 3
compute:


- hyperthreading: Enabled


  name: worker
  platform:
    ibmcloud: {}
  replicas: 3
metadata:
  name: example-restricted-cluster-name


networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14


    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16


  networkType: OVNKubernetes


  serviceNetwork:
  - 192.168.0.0/24
platform:
  powervs:
    userid: ibm-user-id
    powervsResourceGroup: "ibmcloud-resource-group"


    region: "powervs-region"
    vpcRegion: "vpc-region"
    vpcName: name-of-existing-vpc


    vpcSubnets:


       - name-of-existing-vpc-subnet
    zone: "powervs-zone"
    serviceInstanceID: "service-instance-id"
publish: Internal
credentialsMode: Manual
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}'


sshKey: ssh-ed25519 AAAA...


additionalTrustBundle: |


    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources:


- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

Copy to Clipboard

Toggle word wrap

1 8: 必需。
2 5: 如果没有提供这些参数和值，安装程序会提供默认值。
3 6: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
4 7: 启用或禁用并发多线程，也称为 Hyper-Threading。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您禁用并发多线程，请为您的机器使用较大的类型，如 n1-standard-8。
9: 机器 CIDR 必须包含计算机器和 control plane 机器的子网。
10: CIDR 必须包含 platform.ibmcloud.controlPlaneSubnets 和 platform.ibmcloud.computeSubnets 中定义的子网。
11: 要安装的集群网络插件。支持的值有 OVNKubernetes 和 OpenShiftSDN。默认值为 OVNKubernetes。
12: 现有资源组的名称。现有的 VPC 和子网应该位于此资源组中。集群部署到此资源组。
13: 指定现有 VPC 的名称。
14: 指定现有 VPC 子网的名称。子网必须属于您指定的 VPC。为区域中的每个可用区指定一个子网。
15: 对于 <local_registry>，请指定 registry 域名，以及您的镜像 registry 用来提供内容的可选端口。例如： registry.example.com 或 registry.example.com:5000。对于 <credentials>，请为您的镜像 registry 指定 base64 编码的用户名和密码。
16: 您可选择提供用于访问集群中机器的 sshKey 值。
17: 提供用于镜像 registry 的证书文件内容。
18: 提供命令输出中的 imageContentSources 部分来 镜像存储库。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。

7.7.3. 在安装过程中配置集群范围的代理
复制链接

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
  noProxy: example.com 
additionalTrustBundle: | 
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 
```
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
```
1
```
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
```
2
```
  noProxy: example.com 
```
3
```
additionalTrustBundle: | 
```
4
```
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 
```
5
Copy to Clipboard Toggle word wrap
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
$ ./openshift-install wait-for install-complete --log-level debug
Copy to Clipboard Toggle word wrap
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

返回顶部

7.7. 创建安装配置文件

7.7.1. 集群安装的最低资源要求
复制链接

7.7.2. IBM Power Virtual Server 的自定义 install-config.yaml 文件示例
复制链接

7.7.3. 在安装过程中配置集群范围的代理
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.7. 创建安装配置文件

7.7.1. 集群安装的最低资源要求复制链接链接已复制到粘贴板!

7.7.2. IBM Power Virtual Server 的自定义 install-config.yaml 文件示例复制链接链接已复制到粘贴板!

7.7.3. 在安装过程中配置集群范围的代理复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.7.1. 集群安装的最低资源要求
复制链接

7.7.2. IBM Power Virtual Server 的自定义 install-config.yaml 文件示例
复制链接

7.7.3. 在安装过程中配置集群范围的代理
复制链接