4.3. 安装程序置备的基础架构 | Red Hat Product Documentation

4.3.1. 准备在 AWS 上安装集群

您可以通过完成以下步骤准备在 AWS 上安装 OpenShift Container Platform 集群：

为集群验证互联网连接。
配置 AWS 帐户.
下载安装程序。
注意
如果您要在断开连接的环境中安装，您可以从镜像内容中提取安装程序。如需更多信息，请参阅为断开连接的安装镜像镜像。
安装 OpenShift CLI (oc)。
注意
如果要在断开连接的环境中安装，请将 oc 安装到镜像主机上。
生成 SSH 密钥对。您可以在部署后使用此密钥对在 OpenShift Container Platform 集群的节点上进行身份验证。
如果环境中无法访问云身份和访问管理(IAM) API，或者不想将管理员级别的凭证 secret 存储在 kube-system 命名空间中，请参阅为 AWS 手动创建长期凭证，或将 AWS 集群配置为使用 Amazon Web Services Security Token Service (AWS STS)的短期凭证。

4.3.1.1. OpenShift Container Platform 互联网访问

在 OpenShift Container Platform 4.16 中，您需要访问互联网来获得用来安装集群的镜像。

您必须具有以下互联网访问权限：

访问 OpenShift Cluster Manager 以下载安装程序并执行订阅管理。如果集群可以访问互联网，并且没有禁用 Telemetry，该服务会自动授权您的集群。
访问 Quay.io，以获取安装集群所需的软件包。
获取执行集群更新所需的软件包。

4.3.1.2. 获取安装程序

在安装 OpenShift Container Platform 之前，将安装文件下载到镜像主机上。

先决条件

您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。

流程

访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使用您的凭证登录。如果没有，请创建一个帐户。
选择您的基础架构供应商。
进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要存储安装配置文件的目录中。
重要
安装程序会在用来安装集群的计算机上创建几个文件。在完成集群安装后，您必须保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。
重要
删除安装程序创建的文件不会删除您的集群，即使集群在安装过程中失败也是如此。要删除集群，请为特定云供应商完成 OpenShift Container Platform 卸载流程。
提取安装程序。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
$ tar -xvf openshift-install-linux.tar.gz
```
从 Red Hat OpenShift Cluster Manager 下载安装 pull secret。此 pull secret 允许您与所含授权机构提供的服务进行身份验证，这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。

4.3.1.3. 安装 OpenShift CLI

您可以安装 OpenShift CLI(oc)来使用命令行界面与 OpenShift Container Platform 进行交互。您可以在 Linux、Windows 或 macOS 上安装 oc。

重要

如果安装了旧版本的 oc，则可能无法使用 OpenShift Container Platform 4.16 中的所有命令。下载并安装新版本的 oc。如果要在断开连接的环境中更新集群，请安装您要升级到的 oc 版本。

在 Linux 上安装 OpenShift CLI

您可以按照以下流程在 Linux 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从 产品变体 下拉列表中选择架构。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.16 Linux Client 条目旁的 Download Now 来保存文件。
解包存档：
```
$ tar xvf <file>
```
将 oc 二进制文件放到 PATH 中的目录中。
要查看您的 PATH，请执行以下命令：
```
$ echo $PATH
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
$ oc <command>
```

在 Windows 上安装 OpenShift CLI

您可以按照以下流程在 Windows 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.16 Windows Client 条目旁的 Download Now 来保存文件。
使用 ZIP 程序解压存档。
将 oc 二进制文件移到 PATH 中的目录中。
要查看您的 PATH，请打开命令提示并执行以下命令：
```
C:\> path
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
C:\> oc <command>
```

在 macOS 上安装 OpenShift CLI

您可以按照以下流程在 macOS 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.16 macOS Client 条目旁的 Download Now 来保存文件。
注意
对于 macOS arm64，请选择 OpenShift v4.16 macOS arm64 Client 条目。
解包和解压存档。
将 oc 二进制文件移到 PATH 的目录中。
要查看您的 PATH，请打开终端并执行以下命令：
```
$ echo $PATH
```

验证

使用 oc 命令验证安装：
```
$ oc <command>
```

4.3.1.4. 为集群节点 SSH 访问生成密钥对

在 OpenShift Container Platform 安装过程中，您可以为安装程序提供 SSH 公钥。密钥通过它们的 Ignition 配置文件传递给 Red Hat Enterprise Linux CoreOS(RHCOS)节点，用于验证对节点的 SSH 访问。密钥添加到每个节点上 core 用户的 ~/.ssh/authorized_keys 列表中，这将启用免密码身份验证。

将密钥传递给节点后，您可以使用密钥对作为用户 核心 通过 SSH 连接到 RHCOS 节点。若要通过 SSH 访问节点，必须由 SSH 为您的本地用户管理私钥身份。

如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。

重要

不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。

注意

您必须使用本地密钥，而不是使用特定平台方法配置的密钥，如 AWS 密钥对。

流程

如果您在本地计算机上没有可用于在集群节点上进行身份验证的现有 SSH 密钥对，请创建一个。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
```
1
指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的公钥位于 ~/.ssh 目录中。
注意
如果您计划在 x86_64、ppc64le 和 s390x 架构上安装使用 RHEL 加密库（这些加密库已提交给 NIST 用于 FIPS 140-2/140-3 验证）的 OpenShift Container Platform 集群，则不要创建使用 ed25519 算法的密钥。相反，创建一个使用 rsa 或 ecdsa 算法的密钥。
查看公共 SSH 密钥：
```
$ cat <path>/<file_name>.pub
```
例如，运行以下命令来查看 ~/.ssh/id_ed25519.pub 公钥：
```
$ cat ~/.ssh/id_ed25519.pub
```
将 SSH 私钥身份添加到本地用户的 SSH 代理（如果尚未添加）。在集群节点上，或者要使用 ./openshift-install gather 命令，需要对该密钥进行 SSH 代理管理，才能在集群节点上进行免密码 SSH 身份验证。
注意
在某些发行版中，自动管理默认 SSH 私钥身份，如 ~/.ssh/id_rsa 和 ~/.ssh/id_dsa。
1. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动：
```
$ eval "$(ssh-agent -s)"
```
  输出示例
```
Agent pid 31874
```
  注意
  如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必须是 RSA 或 ECDSA。
将 SSH 私钥添加到 ssh-agent ：
```
$ ssh-add <path>/<file_name> 1
```
1
指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub
输出示例
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```

后续步骤

安装 OpenShift Container Platform 时，为安装程序提供 SSH 公钥。

4.3.1.5. OpenShift Container Platform 的 Telemetry 访问

在 OpenShift Container Platform 4.16 中，默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，而且集群会注册到 OpenShift Cluster Manager。

确认 OpenShift Cluster Manager 清单正确后，可以由 Telemetry 自动维护，也可以使用 OpenShift Cluster Manager 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

有关 Telemetry 服务的更多信息，请参阅关于远程健康监控

4.3.2. 在 AWS 上安装集群

在 OpenShift Container Platform 版本 4.16 中，您可以使用默认配置选项在 Amazon Web Services (AWS) 上安装集群。

4.3.2.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。

4.3.2.2. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
在指定目录时：
- 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
- 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
在提示符处提供值：
1. 可选：选择用于访问集群机器的 SSH 密钥。
  注意
  对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
2. 选择 aws 作为目标平台。
3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  注意
  AWS 访问密钥 ID 和 secret 访问密钥存储在安装主机上当前用户主目录中的 ~/.aws/credentials 中。如果文件中不存在导出的配置集凭证，安装程序会提示您输入凭证。您向安装程序提供的所有凭证都存储在文件中。
4. 选择要将集群部署到的 AWS 区域。
5. 选择您为集群配置的 Route 53 服务的基域。
6. 为集群输入描述性名称。
7. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

其他资源

如需有关 AWS 配置集和凭证配置的更多信息，请参阅 AWS 文档中的配置和凭证文件设置。

4.3.2.3. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.2.4. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.2.5. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.3. 使用自定义在 AWS 上安装集群

在 OpenShift Container Platform 版本 4.16 中，您可以在安装程序在 Amazon Web Services(AWS)中置备的基础架构上安装自定义集群。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

注意

OpenShift Container Platform 安装配置的作用范围被特意设计为较小。它旨在简化操作并确保成功。在安装完成后，您可以进行更多的 OpenShift Container Platform 配置任务。

4.3.3.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。

4.3.3.2. 获取 AWS Marketplace 镜像

如果要使用 AWS Marketplace 镜像部署 OpenShift Container Platform 集群，您必须首先通过 AWS 订阅。订阅提供的提供的 AMI ID 可让您使用安装程序用来部署计算节点的 AMI ID。

先决条件

有 AWS 账户购买的产品。此帐户不必与用于安装集群的帐户相同。

流程

从 AWS Marketplace 完成 OpenShift Container Platform 订阅。
记录特定 AWS 区域的 AMI ID。作为安装过程的一部分，您必须在部署集群前使用这个值更新 install-config.yaml 文件。
使用 AWS Marketplace 计算节点的 install-config.yaml 文件示例
```
apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'
```
1
来自 AWS Marketplace 订阅的 AMI ID。
2
您的 AMI ID 与特定的 AWS 区域相关联。在创建安装配置文件时，请确保选择配置订阅时指定的相同 AWS 区域。

4.3.3.3. 创建安装配置文件

您可以自定义在 Amazon Web Services (AWS) 上安装的 OpenShift Container Platform 集群。

先决条件

您有 OpenShift Container Platform 安装程序和集群的 pull secret。对于受限网络安装，这些文件位于您的镜像主机上。
您有创建镜像 registry 期间生成的 imageContentSources 值。
您已获取了镜像 registry 的证书内容。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 AWS 作为目标平台。
  3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  4. 选择要将集群部署到的 AWS 区域。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
    注意
    如果要安装三节点集群，请确保将 compute.replicas 参数设置为 0。这样可确保集群的 control plane 可以调度。如需更多信息，请参阅"在 AWS 上安装三节点集群"。
编辑 install-config.yaml 文件，以提供在受限网络中安装所需的额外信息。
1. 更新 pullSecret 值，使其包含 registry 的身份验证信息：
```
pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'
```
  对于 <mirror_host_name>，请指定 您在镜像 registry 证书中指定的 registry 域名 ；对于 <credentials>， 请指定您的镜像 registry 的 base64 编码用户名和密码。
2. 添加 additionalTrustBundle 参数和值。
```
additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----
```
  该值必须是您用于镜像 registry 的证书文件内容。证书文件可以是现有的可信证书颁发机构，也可以是您为镜像 registry 生成的自签名证书。
3. 在以下位置定义 VPC 安装集群的子网：
```
subnets:
- subnet-1
- subnet-2
- subnet-3
```
4. 添加镜像内容资源，类似于以下 YAML 摘录：
```
imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.redhat.io/ocp/release
```
  对于这些值，请使用您在创建镜像 registry 时记录的 imageContentSources。
5. 可选：将发布策略设置为 Internal：
```
publish: Internal
```
  通过设置这个选项，您可以创建一个内部 Ingress Controller 和一个私有负载均衡器。
对您需要的 install-config.yaml 文件进行任何其他修改。
有关参数的更多信息，请参阅"安装配置参数"。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

其他资源

AWS 的安装配置参数

4.3.3.3.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.1. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.3.3.2. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.18. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.3.3.3. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.19. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.3.3.4. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 22
additionalTrustBundle: | 23
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 24
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

1 12 14: 必需。安装程序会提示您输入这个值。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
17: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
18: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
19: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
20: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
21: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
22: 对于 <local_registry>，请指定 registry 域名，以及您的镜像 registry 用来提供内容的可选端口。例如 registry.example.com 或 registry.example.com:5000。对于 <credentials>，请为您的镜像 registry 指定 base64 编码的用户名和密码。
23: 提供用于镜像 registry 的证书文件内容。
24: 提供命令输出中的 imageContentSources 部分来 镜像存储库。

4.3.3.3.5. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.3.4. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.3.4.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.3.4.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.3.4.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.20. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.21. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.3.4.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.3.4.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.3.4.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.3.4.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.3.5. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.3.6. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.3.7. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.3.8. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.4. 使用自定义网络在 AWS 上安装集群

在 OpenShift Container Platform 版本 4.16 中，您可以使用自定义网络配置选项在 Amazon Web Services (AWS)上安装集群。通过自定义网络配置，您的集群可以与环境中现有的 IP 地址分配共存，并与现有的 MTU 和 VXLAN 配置集成。

大部分网络配置参数必须在安装过程中设置，只有 kubeProxy 配置参数可以在运行的集群中修改。

4.3.4.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。

4.3.4.2. 网络配置阶段

OpenShift Container Platform 安装前有两个阶段，您可以在其中自定义网络配置。

第 1 阶段

在创建清单文件前，您可以自定义 install-config.yaml 文件中的以下与网络相关的字段：

networking.networkType
networking.clusterNetwork
networking.serviceNetwork
networking.machineNetwork
如需更多信息，请参阅"安装配置参数"。
注意
将 networking.machineNetwork 设置为与首选子网所在的无类别域间路由 (CIDR) 匹配。
重要
CIDR 范围 172.17.0.0/16 由 libVirt 保留。对于集群中的网络，您无法使用与 172.17.0.0/16 CIDR 范围重叠的任何其他 CIDR 范围。

第 2 阶段

运行 openshift-install create 清单创建 清单文件后，您可以只使用您要修改的字段定义自定义 Cluster Network Operator 清单。您可以使用清单指定高级网络配置。

在阶段 2 中，您无法覆盖 install-config.yaml 文件中在第 1 阶段指定的值。但是，您可以在第 2 阶段自定义网络插件。

4.3.4.3. 创建安装配置文件

您可以自定义在 Amazon Web Services (AWS) 上安装的 OpenShift Container Platform 集群。

先决条件

您有 OpenShift Container Platform 安装程序和集群的 pull secret。对于受限网络安装，这些文件位于您的镜像主机上。
您有创建镜像 registry 期间生成的 imageContentSources 值。
您已获取了镜像 registry 的证书内容。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 AWS 作为目标平台。
  3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  4. 选择要将集群部署到的 AWS 区域。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
编辑 install-config.yaml 文件，以提供在受限网络中安装所需的额外信息。
1. 更新 pullSecret 值，使其包含 registry 的身份验证信息：
```
pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'
```
  对于 <mirror_host_name>，请指定 您在镜像 registry 证书中指定的 registry 域名 ；对于 <credentials>， 请指定您的镜像 registry 的 base64 编码用户名和密码。
2. 添加 additionalTrustBundle 参数和值。
```
additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----
```
  该值必须是您用于镜像 registry 的证书文件内容。证书文件可以是现有的可信证书颁发机构，也可以是您为镜像 registry 生成的自签名证书。
3. 在以下位置定义 VPC 安装集群的子网：
```
subnets:
- subnet-1
- subnet-2
- subnet-3
```
4. 添加镜像内容资源，类似于以下 YAML 摘录：
```
imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.redhat.io/ocp/release
```
  对于这些值，请使用您在创建镜像 registry 时记录的 imageContentSources。
5. 可选：将发布策略设置为 Internal：
```
publish: Internal
```
  通过设置这个选项，您可以创建一个内部 Ingress Controller 和一个私有负载均衡器。
对您需要的 install-config.yaml 文件进行任何其他修改。
有关参数的更多信息，请参阅"安装配置参数"。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

其他资源

AWS 的安装配置参数

4.3.4.3.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.2. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.4.3.2. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.22. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.4.3.3. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.23. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.4.3.4. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking: 13
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 14
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 15
    propagateUserTags: true 16
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 17
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 18
    serviceEndpoints: 19
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 20
fips: false 21
sshKey: ssh-ed25519 AAAA... 22
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 23
additionalTrustBundle: | 24
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 25
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

1 12 15: 必需。安装程序会提示您输入这个值。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 13 16: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
14: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
17: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
18: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
19: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
20: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
21: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
22: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
23: 对于 <local_registry>，请指定 registry 域名，以及您的镜像 registry 用来提供内容的可选端口。例如 registry.example.com 或 registry.example.com:5000。对于 <credentials>，请为您的镜像 registry 指定 base64 编码的用户名和密码。
24: 提供用于镜像 registry 的证书文件内容。
25: 提供命令输出中的 imageContentSources 部分来 镜像存储库。

4.3.4.3.5. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.4.4. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.4.4.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.4.4.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.4.4.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.24. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.25. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.4.4.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.4.4.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.4.4.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.4.4.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.4.5. Cluster Network Operator 配置

集群网络的配置作为 Cluster Network Operator(CNO)配置的一部分指定，并存储在名为 cluster 的自定义资源(CR)对象中。CR 指定 operator.openshift.io API 组中的 Network API 的字段。

CNO 配置在集群安装过程中从 Network.config.openshift.io API 组中的 Network API 继承以下字段：

clusterNetwork: 从中分配 Pod IP 地址的 IP 地址池。
serviceNetwork: 服务的 IP 地址池.
defaultNetwork.type: 集群网络插件。OVNKubernetes 是安装期间唯一支持的插件。

您可以通过在名为 cluster 的 CNO 对象中设置 defaultNetwork 对象的字段来为集群指定集群网络插件配置。

4.3.4.5.1. Cluster Network Operator 配置对象

下表中描述了 Cluster Network Operator(CNO)的字段：

表 4.3. Cluster Network Operator 配置对象
字段	类型	描述
`metadata.name`	`字符串`	CNO 对象的名称。这个名称始终是 `集群`。
`spec.clusterNetwork`	`array`	用于指定从哪些 IP 地址块分配 Pod IP 地址以及集群中每个节点的子网前缀长度的列表。例如： spec: clusterNetwork: - cidr: 10.128.0.0/19 hostPrefix: 23 - cidr: 10.128.32.0/19 hostPrefix: 23
`spec.serviceNetwork`	`array`	服务的 IP 地址块。OpenShift SDN 和 OVN-Kubernetes 网络插件只支持服务网络的一个 IP 地址块。例如： spec: serviceNetwork: - 172.30.0.0/14 您只能在创建清单前在 `install-config.yaml` 文件中自定义此字段。该值在清单文件中是只读的。
`spec.defaultNetwork`	`object`	为集群网络配置网络插件。
`spec.kubeProxyConfig`	`object`	此对象的字段指定 kube-proxy 配置。如果使用 OVN-Kubernetes 集群网络供应商，则 kube-proxy 配置不会起作用。

defaultNetwork 对象配置

下表列出了 defaultNetwork 对象的值：

表 4.4. defaultNetwork 对象
字段	类型	描述
`type`	`字符串`	`OVNKubernetes`。Red Hat OpenShift Networking 网络插件在安装过程中被选择。此值在集群安装后无法更改。注意 OpenShift Container Platform 默认使用 OVN-Kubernetes 网络插件。OpenShift SDN 不再作为新集群的安装选择提供。
`ovnKubernetesConfig`	`object`	此对象仅对 OVN-Kubernetes 网络插件有效。

配置 OVN-Kubernetes 网络插件

下表描述了 OVN-Kubernetes 网络插件的配置字段：

表 4.5. ovnKubernetesConfig object
字段	类型	描述
`mtu`	`integer`	Geneve（通用网络虚拟化封装）覆盖网络的最大传输单元(MTU)。这根据主网络接口的 MTU 自动探测。您通常不需要覆盖检测到的 MTU。如果自动探测的值不是您期望的值，请确认节点上主网络接口上的 MTU 是否正确。您不能使用这个选项更改节点上主网络接口的 MTU 值。如果集群中不同节点需要不同的 MTU 值，则必须将此值设置为 `比` 集群中的最低 MTU 值小 100。例如，如果集群中的某些节点的 MTU 为 `9001`，而某些节点的 MTU 为 `1500`，则必须将此值设置为 `1400`。
`genevePort`	`integer`	用于所有 Geneve 数据包的端口。默认值为 `6081`。此值在集群安装后无法更改。
`ipsecConfig`	`object`	指定用于自定义 IPsec 配置的配置对象。
`ipv4`	`object`	为 IPv4 设置指定配置对象。
`ipv6`	`object`	为 IPv6 设置指定配置对象。
`policyAuditConfig`	`object`	指定用于自定义网络策略审计日志的配置对象。如果未设置，则使用默认的审计日志设置。
`gatewayConfig`	`object`	可选：指定一个配置对象来自定义如何将出口流量发送到节点网关。注意在迁移出口流量时，工作负载和服务流量会受到一定影响，直到 Cluster Network Operator (CNO) 成功推出更改。

表 4.6. ovnKubernetesConfig.ipv4 object
字段	类型	描述
`internalTransitSwitchSubnet`	字符串	如果您的现有网络基础架构与 `100.88.0.0/16` IPv4 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。启用东西流量的分布式传输交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。必须足够大，以适应集群中的每个节点一个 IP 地址。默认值为 `100.88.0.0/16`。
`internalJoinSubnet`	字符串	如果您的现有网络基础架构与 `100.64.0.0/16` IPv4 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。您必须确保 IP 地址范围没有与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可添加到集群的最大节点数。例如，如果 `clusterNetwork.cidr` 值为 `10.128.0.0/14`，并且 `clusterNetwork.hostPrefix` 值为 `/23`，则最大节点数量为 `2^(23-14)=512`。默认值为 `100.64.0.0/16`。

表 4.7. ovnKubernetesConfig.ipv6 object
字段	类型	描述
`internalTransitSwitchSubnet`	字符串	如果您的现有网络基础架构与 `fd97::/64` IPv6 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。启用东西流量的分布式传输交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。必须足够大，以适应集群中的每个节点一个 IP 地址。默认值为 `fd97::/64`。
`internalJoinSubnet`	字符串	如果您的现有网络基础架构与 `fd98::/64` IPv6 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。您必须确保 IP 地址范围没有与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可添加到集群的最大节点数。默认值为 `fd98::/64`。

表 4.8. policyAuditConfig object
字段	类型	描述
`rateLimit`	整数	每个节点每秒生成一次的消息数量上限。默认值为每秒 `20` 条消息。
`maxFileSize`	整数	审计日志的最大大小，以字节为单位。默认值为 `50000000` 或 50 MB。
`maxLogFiles`	整数	保留的日志文件的最大数量。
`目的地`	字符串	以下附加审计日志目标之一： `libc` 主机上的 journald 进程的 libc `syslog（）` 函数。 `UDP:<host>:<port>` 一个 syslog 服务器。将 `<host>:<port> 替换为 syslog 服务器的主机` 和端口。 `Unix:<file>` 由 `<file>` 指定的 Unix 域套接字文件。 `null` 不要将审计日志发送到任何其他目标。
`syslogFacility`	字符串	syslog 工具，如 as `kern`，如 RFC5424 定义。默认值为 `local0。`

表 4.9. gatewayConfig object
字段	类型	描述
`routingViaHost`	`布尔值`	将此字段设置为 `true`，将来自 pod 的出口流量发送到主机网络堆栈。对于依赖于在内核路由表中手动配置路由的高级别安装和应用程序，您可能需要将出口流量路由到主机网络堆栈。默认情况下，出口流量在 OVN 中进行处理以退出集群，不受内核路由表中的特殊路由的影响。默认值为 `false`。此字段与 Open vSwitch 硬件卸载功能有交互。如果将此字段设置为 `true`，则不会获得卸载的性能优势，因为主机网络堆栈会处理出口流量。
`ipForwarding`	`object`	您可以使用 `Network` 资源中的 `ipForwarding` 规格来控制 OVN-Kubernetes 管理接口上所有流量的 IP 转发。指定 `Restricted` 只允许 Kubernetes 相关流量的 IP 转发。指定 `Global` 以允许转发所有 IP 流量。对于新安装，默认值为 `Restricted`。对于到 OpenShift Container Platform 4.14 或更高版本的更新，默认值为 `Global`。
`ipv4`	`object`	可选：指定一个对象来为主机配置内部 OVN-Kubernetes 伪装地址，以服务 IPv4 地址的流量。
`ipv6`	`object`	可选：指定一个对象来为主机配置内部 OVN-Kubernetes 伪装地址，以服务 IPv6 地址的流量。

表 4.10. gatewayConfig.ipv4 对象
字段	类型	描述
`internalMasqueradeSubnet`	`字符串`	内部使用的伪装 IPv4 地址，以启用主机服务流量。主机配置了这些 IP 地址和共享网关网桥接口。默认值为 `169.254.169.0/29`。

表 4.11. gatewayConfig.ipv6 对象
字段	类型	描述
`internalMasqueradeSubnet`	`字符串`	内部使用的伪装 IPv6 地址，以启用主机服务流量。主机配置了这些 IP 地址和共享网关网桥接口。默认值为 `fd69::/125`。

表 4.12. ipsecConfig 对象
字段	类型	描述
`模式`	`字符串`	指定 IPsec 实现的行为。必须是以下值之一： `Disabled`: 在集群节点上不启用 IPsec。 `External` ：对于带有外部主机的网络流量，启用 IPsec。 `Full`: IPsec 为带有外部主机的 pod 流量和网络流量启用 IPsec。

启用 IPSec 的 OVN-Kubernetes 配置示例

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
      ipsecConfig:
        mode: Full

重要

使用 OVNKubernetes 可能会导致 IBM Power® 上的堆栈耗尽问题。

kubeProxyConfig 对象配置（仅限 OpenShiftSDN 容器网络接口）

kubeProxyConfig 对象的值在下表中定义：

表 4.13. kubeProxyConfig object
字段	类型	描述
`iptablesSyncPeriod`	`字符串`	`iptables` 规则的刷新周期。默认值为 `30s`。有效的后缀包括 `s`、`m` 和 `h`，具体参见 Go `时间` 包文档。注意由于 OpenShift Container Platform 4.3 及更高版本中引进了性能改进，不再需要调整 `iptablesSyncPeriod` 参数。
`proxyArguments.iptables-min-sync-period`	`array`	刷新 `iptables` 规则前的最短持续时间。此字段确保刷新的频率不会过于频繁。有效的后缀包括 `s`、`m` 和 `h`，具体参见 Go `time` 软件包。默认值为： kubeProxyConfig: proxyArguments: iptables-min-sync-period: - 0s

4.3.4.6. 指定高级网络配置

您可以使用网络插件的高级网络配置将集群集成到现有网络环境中。

您只能在安装集群前指定高级网络配置。

重要

不支持通过修改安装程序创建的 OpenShift Container Platform 清单文件来自定义网络配置。支持应用您创建的清单文件，如以下流程中所示。

先决条件

您已创建 install-config.yaml 文件并完成对其所做的任何修改。

流程

进入包含安装程序的目录并创建清单：
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
<installation_directory> 指定包含集群的 install-config.yaml 文件的目录名称。
在 <installation_directory>/manifests/ 目录中 为高级网络配置创建一个名为 cluster-network-03-config.yml 的 stub 清单文件：
```
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
```

在 cluster-network-03-config.yml 文件中指定集群的高级网络配置，如下例所示：

为 OVN-Kubernetes 网络供应商启用 IPsec

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      ipsecConfig:
        mode: Full

可选：备份 manifests/cluster-network-03-config.yml 文件。在创建 Ignition 配置文件时，安装程序会消耗 manifests/ 目录。

注意

有关在 AWS 中使用网络负载平衡（Network Load Balancer）的更多信息，请参阅使用网络负载平衡器在 AWS 上配置 Ingress 集群流量。

4.3.4.7. 在新 AWS 集群上配置 Ingress Controller 网络负载平衡

您可在新集群中创建一个由 AWS Network Load Balancer（NLB）支持的 Ingress Controller。

先决条件

创建 install-config.yaml 文件并完成对其所做的任何修改。

流程

在新集群中，创建一个由 AWS NLB 支持的 Ingress Controller。

进入包含安装程序的目录并创建清单：
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定含有集群的 install-config.yaml 文件的目录的名称。
在 <installation_directory>/manifests/ 目录中创建一个名为 cluster-ingress-default-ingresscontroller.yaml 的文件：
```
$ touch <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml 1
```
1
对于 <installation_directory>，请指定包含集群的 manifests/ 目录的目录名称。
创建该文件后，几个网络配置文件位于 manifests/ 目录中，如下所示：
```
$ ls <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml
```
输出示例
```
cluster-ingress-default-ingresscontroller.yaml
```

在编辑器中打开 cluster-ingress-default-ingresscontroller.yaml 文件，并输入描述您想要的 Operator 配置的自定义资源（CR）：

apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  creationTimestamp: null
  name: default
  namespace: openshift-ingress-operator
spec:
  endpointPublishingStrategy:
    loadBalancer:
      scope: External
      providerParameters:
        type: AWS
        aws:
          type: NLB
    type: LoadBalancerService

保存 cluster-ingress-default-ingresscontroller.yaml 文件并退出文本编辑器。
可选：备份 manifests/cluster-ingress-default-ingresscontroller.yaml 文件。创建集群时，安装程序会删除 manifests/ 目录。

4.3.4.8. 使用 OVN-Kubernetes 配置混合网络

您可以将集群配置为使用 OVN-Kubernetes 网络插件的混合网络。这允许支持不同节点网络配置的混合集群。

注意

此配置是在同一集群中同时运行 Linux 和 Windows 节点所必需的。

先决条件

您在 install-config.yaml 文件中为 networking.networkType 参数定义了 OVNKubernetes。如需更多信息，请参阅有关在所选云供应商上配置 OpenShift Container Platform 网络自定义的安装文档。

流程

进入包含安装程序的目录并创建清单：
```
$ ./openshift-install create manifests --dir <installation_directory>
```
其中：
<installation_directory>
指定包含集群的 install-config.yaml 文件的目录名称。
在 <installation_directory>/manifests/ 目录中 为高级网络配置创建一个名为 cluster-network-03-config.yml 的 stub 清单文件：
```
$ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
EOF
```
其中：
<installation_directory>
指定包含集群的 manifests/ 目录的目录名称。
在编辑器中打开 cluster-network-03-config.yml 文件，并使用混合网络配置 OVN-Kubernetes，如下例所示：
指定混合网络配置
```
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      hybridOverlayConfig:
        hybridClusterNetwork: 1
        - cidr: 10.132.0.0/14
          hostPrefix: 23
        hybridOverlayVXLANPort: 9898 2
```
1
指定用于额外覆盖网络上节点的 CIDR 配置。hybridClusterNetwork CIDR 无法与 clusterNetwork CIDR 重叠。
2
为额外覆盖网络指定自定义 VXLAN 端口。这是在 vSphere 上安装的集群中运行 Windows 节点所需要的，且不得为任何其他云供应商配置。自定义端口可以是除默认 4789 端口外的任何打开的端口。有关此要求的更多信息，请参阅 Microsoft 文档中的 Pod 到主机间的 pod 连接性。
注意
Windows Server Long-Term Servicing Channel（LTSC）：Windows Server 2019 在带有自定义 hybridOverlayVXLANPort 值的集群中不被支持，因为这个 Windows server 版本不支持选择使用自定义的 VXLAN 端口。

注意

有关在同一集群中使用 Linux 和 Windows 节点的更多信息，请参阅了解 Windows 容器工作负载。

4.3.4.9. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.4.10. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.4.11. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.4.12. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.5. 在受限网络中的 AWS 上安装集群

在 OpenShift Container Platform 版本 4.16 中，您可以通过在现有 Amazon Virtual Private Cloud（VPC）上创建安装发行内容的内部镜像在受限网络中的 Amazon Web Services（AWS）上安装集群。

4.3.5.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读有关选择集群安装方法的文档，并为用户准备它。
您已将断开连接的安装的镜像镜像到 registry，并获取了 OpenShift Container Platform 版本的 imageContentSources 数据。
重要
由于安装介质位于堡垒主机上，因此请使用该计算机完成所有安装步骤。
AWS 中有一个现有的 VPC。当使用安装程序置备的基础架构安装到受限网络时，无法使用安装程序置备的 VPC。您必须使用用户置备的 VPC 来满足以下要求之一：
- 包含镜像 registry
- 具有防火墙规则或对等连接来访问其他位置托管的镜像 registry
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序（Linux、macOS 或 UNIX）安装 AWS CLI。
如果您使用防火墙并计划使用 Telemetry 服务，则将防火墙配置为允许集群需要访问的站点。
注意
如果要配置代理，请务必查看此站点列表。

4.3.5.2. 关于在受限网络中安装

在 OpenShift Container Platform 4.16 中，可以执行不需要有效的互联网连接来获取软件组件的安装。受限网络安装可以使用安装程序置备的基础架构或用户置备的基础架构完成，具体取决于您要安装集群的云平台。

如果您选择在云平台中执行受限网络安装，您仍需要访问其云 API。有些云功能，比如 Amazon Web Service 的 Route 53 DNS 和 IAM 服务，需要访问互联网。根据您的网络，在裸机硬件、Nutanix 或 VMware vSphere 上安装可能需要较少的互联网访问。

要完成受限网络安装，您必须创建一个 registry，以镜像 OpenShift 镜像 registry 的内容并包含安装介质。您可以在镜像主机上创建此 registry，该主机可同时访问互联网和您的封闭网络，也可以使用满足您的限制条件的其他方法。

4.3.5.2.1. 其他限制

受限网络中的集群有以下额外限制和限制：

ClusterVersion 状态包含一个 Unable to retrieve available updates 错误。
默认情况下，您无法使用 Developer Catalog 的内容，因为您无法访问所需的镜像流标签。

4.3.5.3. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.5.3.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

如果您在断开连接的环境中工作，则无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.5.3.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.5.3.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.5.3.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.5.4. 创建安装配置文件

您可以自定义在 Amazon Web Services (AWS) 上安装的 OpenShift Container Platform 集群。

先决条件

您有 OpenShift Container Platform 安装程序和集群的 pull secret。对于受限网络安装，这些文件位于您的镜像主机上。
您有创建镜像 registry 期间生成的 imageContentSources 值。
您已获取了镜像 registry 的证书内容。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 AWS 作为目标平台。
  3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  4. 选择要将集群部署到的 AWS 区域。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
编辑 install-config.yaml 文件，以提供在受限网络中安装所需的额外信息。
1. 更新 pullSecret 值，使其包含 registry 的身份验证信息：
```
pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'
```
  对于 <mirror_host_name>，请指定 您在镜像 registry 证书中指定的 registry 域名 ；对于 <credentials>， 请指定您的镜像 registry 的 base64 编码用户名和密码。
2. 添加 additionalTrustBundle 参数和值。
```
additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----
```
  该值必须是您用于镜像 registry 的证书文件内容。证书文件可以是现有的可信证书颁发机构，也可以是您为镜像 registry 生成的自签名证书。
3. 在以下位置定义 VPC 安装集群的子网：
```
subnets:
- subnet-1
- subnet-2
- subnet-3
```
4. 添加镜像内容资源，类似于以下 YAML 摘录：
```
imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.redhat.io/ocp/release
```
  对于这些值，请使用您在创建镜像 registry 时记录的 imageContentSources。
5. 可选：将发布策略设置为 Internal：
```
publish: Internal
```
  通过设置这个选项，您可以创建一个内部 Ingress Controller 和一个私有负载均衡器。
对您需要的 install-config.yaml 文件进行任何其他修改。
有关参数的更多信息，请参阅"安装配置参数"。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

其他资源

AWS 的安装配置参数

4.3.5.4.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.14. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.5.4.2. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 22
additionalTrustBundle: | 23
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 24
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

1 12 14: 必需。安装程序会提示您输入这个值。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
17: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
18: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
19: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
20: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
21: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
22: 对于 <local_registry>，请指定 registry 域名，以及您的镜像 registry 用来提供内容的可选端口。例如 registry.example.com 或 registry.example.com:5000。对于 <credentials>，请为您的镜像 registry 指定 base64 编码的用户名和密码。
23: 提供用于镜像 registry 的证书文件内容。
24: 提供命令输出中的 imageContentSources 部分来 镜像存储库。

4.3.5.4.3. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.5.5. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.5.5.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.5.5.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.5.5.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.26. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.27. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.5.5.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.5.5.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.5.5.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.5.5.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.5.6. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.5.7. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.5.8. 禁用默认的 OperatorHub 目录源

在 OpenShift Container Platform 安装过程中，默认为 OperatorHub 配置由红帽和社区项目提供的源内容的 operator 目录。在受限网络环境中，必须以集群管理员身份禁用默认目录。

流程

通过在 OperatorHub 对象中添加 disableAllDefaultSources: true 来 禁用默认目录的源：

$ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'

提示

或者，您可以使用 Web 控制台管理目录源。在 Administration Cluster Settings Configuration OperatorHub 页面中，点 Sources 选项卡，您可以在其中创建、更新、删除、禁用和启用单独的源。

4.3.5.9. 后续步骤

验证安装。
自定义集群。
为 Cluster Samples Operator 和 must-gather 工具配置镜像流。
了解如何在受限网络中使用 Operator Lifecycle Manager(OLM )。
如果您用来安装集群的镜像 registry 具有可信任的 CA，请通过配置额外的信任存储将其添加到集群中。
如果需要，您可以选择不使用远程健康报告。

4.3.6. 在 AWS 上将集群安装到现有的 VPC 中

在 OpenShift Container Platform 版本 4.16 中，您可以在 Amazon Web Services（AWS）上将集群安装到现有 Amazon Virtual Private Cloud（VPC）中。安装程序会置备所需基础架构的其余部分，您可以进一步自定义这些基础架构。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

4.3.6.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
如果现有的 VPC 由与集群不同的帐户所有，您可以在帐户间共享 VPC。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，将其配置为允许集群需要访问的站点。

4.3.6.2. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.6.2.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

为集群使用的每个可用区创建一个公共和私有子网。每个可用区不能包含多于一个的公共子网和私有子网。有关此类配置的示例，请参阅 AWS 文档中的具有公共和私有子网(NAT)的 VPC。
记录每个子网 ID。完成安装要求您在 install-config.yaml 文件的 platform 部分输入这些值。请参阅 AWS 文档中的查找子网 ID。
VPC 的 CIDR 块必须包含 Networking.machineCIDR ，它是集群机器的 IP 地址池。子网 CIDR 块必须属于您指定的机器 CIDR。
VPC 必须附加一个公共互联网网关。对于每个可用区：
- 公共子网需要路由到互联网网关。
- 公共子网需要一个具有 EIP 地址的 NAT 网关。
- 专用子网需要路由到公共子网中的 NAT 网关。
VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

如果您在断开连接的环境中工作，则无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.6.2.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.6.2.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.6.2.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.6.2.5. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"将现有 AWS 安全组应用到集群"。

4.3.6.2.6. 在安装到共享 VPC 时修改信任策略

如果使用共享 VPC 安装集群，您可以使用 Passthrough 或 Manual 凭证模式。您必须在拥有 VPC 的帐户的信任策略中添加用于安装集群的 IAM 角色作为主体。

如果使用 Passthrough 模式，请将创建集群的帐户的 Amazon 资源名称 (ARN)（如 arn:aws:iam::123456789012:user/clustercreator）添加到信任策略作为主体。

如果使用 Manual 模式，请将创建集群的帐户的 ARN，以及集群所有者帐户中的 ingress operator 角色的 ARN，如 arn:aws:iam::123456789012:role/<cluster-name>-openshift-ingress-operator-cloud-credentials，添加到信任策略作为主体。

您必须在策略中添加以下操作：

例 4.28. 共享 VPC 安装所需的操作

route53:ChangeResourceRecordSets
route53:ListHostedZones
route53:ListHostedZonesByName
route53:ListResourceRecordSets
route53:ChangeTagsForResource
route53:GetAccountLimit
route53:GetChange
route53:GetHostedZone
route53:ListTagsForResource
route53:UpdateHostedZoneComment
tag:GetResources
tag:UntagResources

4.3.6.3. 创建安装配置文件

您可以自定义在 Amazon Web Services (AWS) 上安装的 OpenShift Container Platform 集群。

先决条件

您有 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 AWS 作为目标平台。
  3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  4. 选择要将集群部署到的 AWS 区域。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
修改 install-config.yaml 文件。您可以在"安装配置参数"部分找到有关可用参数的更多信息。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

其他资源

AWS 的安装配置参数

4.3.6.3.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.15. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.6.3.2. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.29. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.6.3.3. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.30. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.6.3.4. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
pullSecret: '{"auths": ...}' 22

1 12 14 22: 必需。安装程序会提示您输入这个值。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
17: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
18: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
19: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
20: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
21: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。

4.3.6.3.5. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.6.3.6. 将现有 AWS 安全组应用到集群

将现有 AWS 安全组应用到 control plane 和计算机器可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

先决条件

您已在 AWS 中创建安全组。如需更多信息，请参阅使用安全组的 AWS 文档。
安全组必须与您要将集群部署到的现有 VPC 关联。安全组不能与另一个 VPC 关联。
您有一个现有的 install-config.yaml 文件。

流程

在 install-config.yaml 文件中，编辑 compute.platform.aws.additionalSecurityGroupIDs 参数，为您的计算机器指定一个或多个自定义安全组。
编辑 controlPlane.platform.aws.additionalSecurityGroupIDs 参数，为您的 control plane 机器指定一个或多个自定义安全组。
保存文件并在部署集群时引用。

指定自定义安全组的 install-config.yaml 文件示例

# ...
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
  replicas: 3
controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-3
        - sg-4
  replicas: 3
platform:
  aws:
    region: us-east-1
    subnets: 2
      - subnet-1
      - subnet-2
      - subnet-3

1: 在 Amazon EC2 控制台中显示时指定安全组的名称，包括 sg 前缀。
2: 指定集群使用的每个可用区的子网。

4.3.6.4. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.6.4.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.6.4.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.6.4.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.31. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.32. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.6.4.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.6.4.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.6.4.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.6.4.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.6.5. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.6.6. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.6.7. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.6.8. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。
在 AWS 上安装集群后，您可以将 AWS VPC 集群扩展到 AWS Outpost。

4.3.7. 在 AWS 上安装私有集群

在 OpenShift Container Platform 版本 4.16 中，您可以在 Amazon Web Services（AWS）上将私有集群安装到现有的 VPC 中。安装程序会置备所需基础架构的其余部分，您可以进一步自定义这些基础架构。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

4.3.7.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，将其配置为允许集群需要访问的站点。

4.3.7.2. 私有集群

您可以部署不公开外部端点的私有 OpenShift Container Platform 集群。私有集群只能从内部网络访问，且无法在互联网中看到。

默认情况下，OpenShift Container Platform 被置备为使用可公开访问的 DNS 和端点。在部署集群时，私有集群会将 DNS、Ingress Controller 和 API 服务器设置为私有。这意味着集群资源只能从您的内部网络访问，且不能在互联网中看到。

重要

如果集群有任何公共子网，管理员创建的负载均衡器服务可能会公开访问。为确保集群安全性，请验证这些服务是否已明确标注为私有。

要部署私有集群，您必须：

使用满足您的要求的现有网络。集群资源可能会在网络上的其他集群间共享。
从有权访问的机器中部署：
- 您置备的云的 API 服务。
- 您调配的网络上的主机。
- 用于获取安装介质的互联网。

您可以使用符合这些访问要求的机器，并按照您的公司规定进行操作。例如，该机器可以是云网络中的堡垒主机，也可以是可通过 VPN 访问网络的机器。

4.3.7.2.1. AWS 中的私有集群

要在 Amazon Web Services (AWS) 上创建私有集群，您必须提供一个现有的私有 VPC 和子网来托管集群。安装程序还必须能够解析集群所需的 DNS 记录。安装程序将 Ingress Operator 和 API 服务器配置为只可以从私有网络访问。

集群仍然需要访问互联网来访问 AWS API。

安装私有集群时不需要或创建以下项目：

公共子网
支持公共入口的公共负载均衡器
与集群的 baseDomain 匹配的公共 Route 53 区域

安装程序会使用您指定的 baseDomain 来创建专用的 Route 53 区域以及集群所需的记录。集群被配置，以便 Operator 不会为集群创建公共记录，且所有集群机器都放置在您指定的私有子网中。

4.3.7.2.1.1. 限制：

为私有集群添加公共功能的能力有限。

在安装后，您无法在不进行额外操作的情况下公开 Kubernetes API 端点。这些额外的操作包括为使用中的每个可用区在 VPC 中创建公共子网，创建公共负载均衡器，以及配置 control plane 安全组以便 6443 端口（Kubernetes API 端口）可以接受来自于互联网的网络流量。
如果使用公共服务类型负载均衡器，您必须在每个可用区中为公共子网添加 kubernetes.io/cluster/<cluster-infra-id>: shared 标签，以便 AWS 可使用它们来创建公共负载均衡器。

4.3.7.3. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.7.3.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

如果您在断开连接的环境中工作，则无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.7.3.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.7.3.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.7.3.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.7.3.5. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"将现有 AWS 安全组应用到集群"。

4.3.7.4. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您在本地机器上有一个 SSH 公钥来提供给安装程序。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
此配置文件必须命名为 install-config.yaml。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

AWS 的安装配置参数

4.3.7.4.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.16. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.7.4.2. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.33. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.7.4.3. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.34. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.7.4.4. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并进行修改。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
publish: Internal 22
pullSecret: '{"auths": ...}' 23

1 12 14 23: 必需。安装程序会提示您输入这个值。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
17: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
18: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
19: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
20: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
21: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
22: 如何发布集群的面向用户的端点。将 publish 设置为 Internal 以部署一个私有集群，它不能被互联网访问。默认值为 External。

4.3.7.4.5. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.7.4.6. 将现有 AWS 安全组应用到集群

将现有 AWS 安全组应用到 control plane 和计算机器可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

先决条件

您已在 AWS 中创建安全组。如需更多信息，请参阅使用安全组的 AWS 文档。
安全组必须与您要将集群部署到的现有 VPC 关联。安全组不能与另一个 VPC 关联。
您有一个现有的 install-config.yaml 文件。

流程

在 install-config.yaml 文件中，编辑 compute.platform.aws.additionalSecurityGroupIDs 参数，为您的计算机器指定一个或多个自定义安全组。
编辑 controlPlane.platform.aws.additionalSecurityGroupIDs 参数，为您的 control plane 机器指定一个或多个自定义安全组。
保存文件并在部署集群时引用。

指定自定义安全组的 install-config.yaml 文件示例

# ...
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
  replicas: 3
controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-3
        - sg-4
  replicas: 3
platform:
  aws:
    region: us-east-1
    subnets: 2
      - subnet-1
      - subnet-2
      - subnet-3

1: 在 Amazon EC2 控制台中显示时指定安全组的名称，包括 sg 前缀。
2: 指定集群使用的每个可用区的子网。

4.3.7.5. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.7.5.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.7.5.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.7.5.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.35. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.36. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.7.5.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.7.5.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.7.5.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.7.5.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.7.6. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.7.7. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.7.8. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.7.9. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.8. 在 AWS 上将集群安装到一个政府区域

在 OpenShift Container Platform 版本 4.16 中，您可以在 Amazon Web Services（AWS）上将集群安装到一个政府区域。要配置区域，在安装集群前修改 install-config.yaml 文件中的参数。

4.3.8.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，将其配置为允许集群需要访问的站点。

4.3.8.2. AWS 政府区域

OpenShift Container Platform 支持将集群部署到 AWS GovCloud(US) 区域。

支持以下 AWS GovCloud 分区：

us-gov-east-1
us-gov-west-1

4.3.8.3. 安装要求

在安装集群前，您必须：

提供托管集群的现有的私有 AWS VPC 和子网。
AWS GovCloud 的 Route 53 不支持公共区。因此，当您部署到 AWS 政府区域时，集群必须是私有的。
手动创建安装配置文件 (install-config.yaml)。

4.3.8.4. 私有集群

您可以部署不公开外部端点的私有 OpenShift Container Platform 集群。私有集群只能从内部网络访问，且无法在互联网中看到。

注意

AWS GovCloud 区域的 Route 53 不支持公共区。因此，如果集群部署到 AWS GovCloud 区域，则集群必须是私有的。

默认情况下，OpenShift Container Platform 被置备为使用可公开访问的 DNS 和端点。在部署集群时，私有集群会将 DNS、Ingress Controller 和 API 服务器设置为私有。这意味着集群资源只能从您的内部网络访问，且不能在互联网中看到。

重要

如果集群有任何公共子网，管理员创建的负载均衡器服务可能会公开访问。为确保集群安全性，请验证这些服务是否已明确标注为私有。

要部署私有集群，您必须：

使用满足您的要求的现有网络。集群资源可能会在网络上的其他集群间共享。
从有权访问的机器中部署：
- 您置备的云的 API 服务。
- 您调配的网络上的主机。
- 用于获取安装介质的互联网。

您可以使用符合这些访问要求的机器，并按照您的公司规定进行操作。例如，该机器可以是云网络中的堡垒主机，也可以是可通过 VPN 访问网络的机器。

4.3.8.4.1. AWS 中的私有集群

要在 Amazon Web Services (AWS) 上创建私有集群，您必须提供一个现有的私有 VPC 和子网来托管集群。安装程序还必须能够解析集群所需的 DNS 记录。安装程序将 Ingress Operator 和 API 服务器配置为只可以从私有网络访问。

集群仍然需要访问互联网来访问 AWS API。

安装私有集群时不需要或创建以下项目：

公共子网
支持公共入口的公共负载均衡器
与集群的 baseDomain 匹配的公共 Route 53 区域

安装程序会使用您指定的 baseDomain 来创建专用的 Route 53 区域以及集群所需的记录。集群被配置，以便 Operator 不会为集群创建公共记录，且所有集群机器都放置在您指定的私有子网中。

4.3.8.4.1.1. 限制：

为私有集群添加公共功能的能力有限。

在安装后，您无法在不进行额外操作的情况下公开 Kubernetes API 端点。这些额外的操作包括为使用中的每个可用区在 VPC 中创建公共子网，创建公共负载均衡器，以及配置 control plane 安全组以便 6443 端口（Kubernetes API 端口）可以接受来自于互联网的网络流量。
如果使用公共服务类型负载均衡器，您必须在每个可用区中为公共子网添加 kubernetes.io/cluster/<cluster-infra-id>: shared 标签，以便 AWS 可使用它们来创建公共负载均衡器。

4.3.8.5. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.8.5.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

如果您在断开连接的环境中工作，则无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.8.5.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.8.5.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.8.5.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.8.5.5. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"将现有 AWS 安全组应用到集群"。

4.3.8.6. 获取 AWS Marketplace 镜像

如果要使用 AWS Marketplace 镜像部署 OpenShift Container Platform 集群，您必须首先通过 AWS 订阅。订阅提供的提供的 AMI ID 可让您使用安装程序用来部署计算节点的 AMI ID。

先决条件

有 AWS 账户购买的产品。此帐户不必与用于安装集群的帐户相同。

流程

从 AWS Marketplace 完成 OpenShift Container Platform 订阅。
记录特定 AWS 区域的 AMI ID。作为安装过程的一部分，您必须在部署集群前使用这个值更新 install-config.yaml 文件。
使用 AWS Marketplace 计算节点的 install-config.yaml 文件示例
```
apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'
```
1
来自 AWS Marketplace 订阅的 AMI ID。
2
您的 AMI ID 与特定的 AWS 区域相关联。在创建安装配置文件时，请确保选择配置订阅时指定的相同 AWS 区域。

4.3.8.7. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您在本地机器上有一个 SSH 公钥来提供给安装程序。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
此配置文件必须命名为 install-config.yaml。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

AWS 的安装配置参数

4.3.8.7.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.17. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.8.7.2. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.37. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.8.7.3. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.38. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.8.7.4. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。使用它作为资源，在您手动创建的安装配置文件中输入参数值。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-gov-west-1a
      - us-gov-west-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-gov-west-1c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-gov-west-1 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
publish: Internal 22
pullSecret: '{"auths": ...}' 23

1 12 14 23: 必需。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
17: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
18: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
19: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
20: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
21: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
22: 如何发布集群的面向用户的端点。将 publish 设置为 Internal 以部署一个私有集群，它不能被互联网访问。默认值为 External。

4.3.8.7.5. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.8.7.6. 将现有 AWS 安全组应用到集群

将现有 AWS 安全组应用到 control plane 和计算机器可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

先决条件

您已在 AWS 中创建安全组。如需更多信息，请参阅使用安全组的 AWS 文档。
安全组必须与您要将集群部署到的现有 VPC 关联。安全组不能与另一个 VPC 关联。
您有一个现有的 install-config.yaml 文件。

流程

在 install-config.yaml 文件中，编辑 compute.platform.aws.additionalSecurityGroupIDs 参数，为您的计算机器指定一个或多个自定义安全组。
编辑 controlPlane.platform.aws.additionalSecurityGroupIDs 参数，为您的 control plane 机器指定一个或多个自定义安全组。
保存文件并在部署集群时引用。

指定自定义安全组的 install-config.yaml 文件示例

# ...
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
  replicas: 3
controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-3
        - sg-4
  replicas: 3
platform:
  aws:
    region: us-east-1
    subnets: 2
      - subnet-1
      - subnet-2
      - subnet-3

1: 在 Amazon EC2 控制台中显示时指定安全组的名称，包括 sg 前缀。
2: 指定集群使用的每个可用区的子网。

4.3.8.8. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照 Incorporat ing the Cloud Credential Operator 实用程序清单中的步骤操作。

4.3.8.8.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.8.8.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.8.8.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.39. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.40. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.8.8.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.8.8.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.8.8.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.8.8.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.8.9. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.8.10. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.8.11. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.8.12. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.9. 在 AWS 上将集群安装到 Secret 或 Top Secret 区域

在 OpenShift Container Platform 版本 4.16 中，您可以在 Amazon Web Services (AWS) 上将集群安装到以下 secret 区域：

Secret Commercial Cloud Services (SC2S)
商业云服务 (C2S)

要在任一区域中配置集群，请在安装集群前更改 install config.yaml 文件中的参数。

警告

在 OpenShift Container Platform 4.16 中，安装程序使用 Cluster API 而不是 Terraform 在 AWS 上安装时置备集群基础架构。在 OpenShift Container Platform 4.16 发布时，使用 Cluster API 在 AWS 中将集群安装到 secret 或 top-secret 区域还没有被测试。在测试了安装到 secret 区域后，本文档会做相应的更新。

Network Load Balancers 对 secret 或 top secret 区域中的安全组的支持存在一个已知的问题，这会导致在这些区域中安装失败。如需更多信息，请参阅 OCPBUGS-33311。

4.3.9.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，将其配置为允许集群需要访问的站点。

4.3.9.2. AWS secret 区域

支持以下 AWS secret 分区：

us-isob-east-1 (SC2S)
us-iso-east-1 (C2S)

注意

AWS SC2S 和 C2S 区域的最大支持 MTU 与 AWS 商业区域不同。有关在安装过程中配置 MTU 的更多信息，请参阅使用网络自定义在 AWS 中安装集群中的 Cluster Network Operator 配置对象部分。

4.3.9.3. 安装要求

红帽不会为 AWS Secret 和 Top Secret 区域发布 Red Hat Enterprise Linux CoreOS (RHCOS) Amzaon Machine Image。

在安装集群前，您必须：

上传自定义 RHCOS AMI。
手动创建安装配置文件 (install-config.yaml)。
在安装配置文件中指定 AWS 区域和附带的自定义 AMI。

您不能使用 OpenShift Container Platform 安装程序创建安装配置文件。安装程序不会列出没有原生支持 RHCOS AMI 的 AWS 区域。

重要

您还必须在 install-config.yaml 文件的 additionalTrustBundle 字段中定义自定义 CA 证书，因为 AWS API 需要自定义 CA 信任捆绑包。要允许安装程序访问 AWS API，还必须在运行安装程序的机器上定义 CA 证书。您必须将 CA 捆绑包添加到机器上的信任存储中，使用 AWS_CA_BUNDLE 环境变量，或者在 AWS 配置文件的 ca_bundle 字段中定义 CA 捆绑包。

4.3.9.4. 私有集群

您可以部署不公开外部端点的私有 OpenShift Container Platform 集群。私有集群只能从内部网络访问，且无法在互联网中看到。

注意

AWS 顶级 Secret 区域的 Route 53 不支持公共区。因此，如果集群部署到 AWS 顶级 Secret 区域，则集群必须是私有的。

默认情况下，OpenShift Container Platform 被置备为使用可公开访问的 DNS 和端点。在部署集群时，私有集群会将 DNS、Ingress Controller 和 API 服务器设置为私有。这意味着集群资源只能从您的内部网络访问，且不能在互联网中看到。

重要

如果集群有任何公共子网，管理员创建的负载均衡器服务可能会公开访问。为确保集群安全性，请验证这些服务是否已明确标注为私有。

要部署私有集群，您必须：

使用满足您的要求的现有网络。集群资源可能会在网络上的其他集群间共享。
从有权访问的机器中部署：
- 您置备的云的 API 服务。
- 您调配的网络上的主机。
- 用于获取安装介质的互联网。

您可以使用符合这些访问要求的机器，并按照您的公司规定进行操作。例如，该机器可以是云网络中的堡垒主机，也可以是可通过 VPN 访问网络的机器。

4.3.9.4.1. AWS 中的私有集群

要在 Amazon Web Services (AWS) 上创建私有集群，您必须提供一个现有的私有 VPC 和子网来托管集群。安装程序还必须能够解析集群所需的 DNS 记录。安装程序将 Ingress Operator 和 API 服务器配置为只可以从私有网络访问。

集群仍然需要访问互联网来访问 AWS API。

安装私有集群时不需要或创建以下项目：

公共子网
支持公共入口的公共负载均衡器
与集群的 baseDomain 匹配的公共 Route 53 区域

安装程序会使用您指定的 baseDomain 来创建专用的 Route 53 区域以及集群所需的记录。集群被配置，以便 Operator 不会为集群创建公共记录，且所有集群机器都放置在您指定的私有子网中。

4.3.9.4.1.1. 限制：

为私有集群添加公共功能的能力有限。

在安装后，您无法在不进行额外操作的情况下公开 Kubernetes API 端点。这些额外的操作包括为使用中的每个可用区在 VPC 中创建公共子网，创建公共负载均衡器，以及配置 control plane 安全组以便 6443 端口（Kubernetes API 端口）可以接受来自于互联网的网络流量。
如果使用公共服务类型负载均衡器，您必须在每个可用区中为公共子网添加 kubernetes.io/cluster/<cluster-infra-id>: shared 标签，以便 AWS 可使用它们来创建公共负载均衡器。

4.3.9.5. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.9.5.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

SC2S 或 C2S 区域中的一个集群无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

SC2S

elasticloadbalancing.<aws_region>.sc2s.sgov.gov
ec2.<aws_region>.sc2s.sgov.gov
s3.<aws_region>.sc2s.sgov.gov

C2S

elasticloadbalancing.<aws_region>.c2s.ic.gov
ec2.<aws_region>.c2s.ic.gov
s3.<aws_region>.c2s.ic.gov

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

SC2S

elasticloadbalancing.<aws_region>.sc2s.sgov.gov
ec2.<aws_region>.sc2s.sgov.gov
s3.<aws_region>.sc2s.sgov.gov

C2S

elasticloadbalancing.<aws_region>.c2s.ic.gov
ec2.<aws_region>.c2s.ic.gov
s3.<aws_region>.c2s.ic.gov

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.9.5.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.9.5.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.9.5.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.9.5.5. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"将现有 AWS 安全组应用到集群"。

4.3.9.6. 在 AWS 中上传自定义 RHCOS AMI

如果要部署到自定义 Amazon Web Services（AWS）区域，您必须上传属于该区域的自定义 Red Hat Enterprise Linux CoreOS（RHCOS）Amazon Machine Image（AMI）。

先决条件

已配置了一个 AWS 帐户。
已使用所需的 IAM 服务角色创建 Amazon S3 存储桶。
将 RHCOS VMDK 文件上传到 Amazon S3。RHCOS VMDK 文件必须是小于或等于您要安装的 OpenShift Container Platform 版本的最高版本。
您下载了 AWS CLI 并安装到您的计算机上。请参阅使用捆绑安装程序安装 AWS CLI。

流程

将 AWS 配置集导出为环境变量：
```
$ export AWS_PROFILE=<aws_profile> 1
```
将与自定义 AMI 关联的区域导出为环境变量：
```
$ export AWS_DEFAULT_REGION=<aws_region> 1
```
将上传至 Amazon S3 的 RHCOS 版本导出为环境变量：
```
$ export RHCOS_VERSION=<version> 1
```
1 1 1
RHCOS VMDK 版本，如 4.16.0。
将 Amazon S3 存储桶名称导出为环境变量：
```
$ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>
```

创建 containers.json 文件并定义 RHCOS VMDK 文件：

$ cat <<EOF > containers.json
{
   "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
   "Format": "vmdk",
   "UserBucket": {
      "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
      "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
   }
}
EOF

将 RHCOS 磁盘导入为 Amazon EBS 快照：
```
$ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
     --description "<description>" \ 1
     --disk-container "file://<file_path>/containers.json" 2
```
1
导入 RHCOS 磁盘的描述，如 rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64。
2
描述 RHCOS 磁盘的 JSON 文件的文件路径。JSON 文件应包含您的 Amazon S3 存储桶名称和密钥。

检查镜像导入的状态：

$ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

输出示例

{
    "ImportSnapshotTasks": [
        {
            "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
            "ImportTaskId": "import-snap-fh6i8uil",
            "SnapshotTaskDetail": {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "DiskImageSize": 819056640.0,
                "Format": "VMDK",
                "SnapshotId": "snap-06331325870076318",
                "Status": "completed",
                "UserBucket": {
                    "S3Bucket": "external-images",
                    "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                }
            }
        }
    ]
}

复制 SnapshotId 以注册镜像。

从 RHCOS 快照创建自定义 RHCOS AMI:

$ aws ec2 register-image \
   --region ${AWS_DEFAULT_REGION} \
   --architecture x86_64 \ 1
   --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
   --ena-support \
   --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
   --virtualization-type hvm \
   --root-device-name '/dev/xvda' \
   --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4

1: RHCOS VMDK 架构类型，如 x86_64, aarch64, s390x, 或 ppc64le。
2: 来自导入快照的 Description。
3: RHCOS AMI 的名称。
4: 导入的快照中的 SnapshotID。

如需了解更多有关这些 API 的信息，请参阅 AWS 文档导入快照和创建由 EBS 支持的 AMI。

4.3.9.7. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您上传了一个自定义 RHCOS AMI。
您的本地机器上有一个 SSH 公钥供安装程序使用。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
此配置文件必须命名为 install-config.yaml。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

AWS 的安装配置参数

4.3.9.7.1. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.41. 基于 64 位 x86 架构的机器类型用于 secret 区域

c4.*
c5.*
i3.*
m4.*
m5.*
r4.*
r5.*
t3.*

4.3.9.7.2. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。使用它作为资源，在您手动创建的安装配置文件中输入参数值。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-iso-east-1a
      - us-iso-east-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-iso-east-1a
      - us-iso-east-1b
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-iso-east-1 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 17 18
    serviceEndpoints: 19
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 20
fips: false 21
sshKey: ssh-ed25519 AAAA... 22
publish: Internal 23
pullSecret: '{"auths": ...}' 24
additionalTrustBundle: | 25
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----

1 12 14 17 24: 必需。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
18: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
19: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
20: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
21: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
22: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
23: 如何发布集群的面向用户的端点。将 publish 设置为 Internal 以部署一个私有集群，它不能被互联网访问。默认值为 External。
25: 自定义 CA 证书。当部署到 SC2S 或 C2S 区域时这是必需的，因为 AWS API 需要自定义 CA 信任捆绑包。

4.3.9.7.3. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.9.7.4. 将现有 AWS 安全组应用到集群

将现有 AWS 安全组应用到 control plane 和计算机器可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

先决条件

您已在 AWS 中创建安全组。如需更多信息，请参阅使用安全组的 AWS 文档。
安全组必须与您要将集群部署到的现有 VPC 关联。安全组不能与另一个 VPC 关联。
您有一个现有的 install-config.yaml 文件。

流程

在 install-config.yaml 文件中，编辑 compute.platform.aws.additionalSecurityGroupIDs 参数，为您的计算机器指定一个或多个自定义安全组。
编辑 controlPlane.platform.aws.additionalSecurityGroupIDs 参数，为您的 control plane 机器指定一个或多个自定义安全组。
保存文件并在部署集群时引用。

指定自定义安全组的 install-config.yaml 文件示例

# ...
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
  replicas: 3
controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-3
        - sg-4
  replicas: 3
platform:
  aws:
    region: us-east-1
    subnets: 2
      - subnet-1
      - subnet-2
      - subnet-3

1: 在 Amazon EC2 控制台中显示时指定安全组的名称，包括 sg 前缀。
2: 指定集群使用的每个可用区的子网。

4.3.9.8. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.9.8.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.9.8.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.9.8.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.42. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.43. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.9.8.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.9.8.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.9.8.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.9.8.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.9.9. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.9.10. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.9.11. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

访问Web控制台

4.3.9.12. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.10. 在 AWS China 上安装集群

在 OpenShift Container Platform 版本 4.16 中，您可以将集群安装到以下 Amazon Web Services (AWS) 中国区域：

cn-north-1 (Beijing)
cn-northwest-1 (Ningxia)

4.3.10.1. 先决条件

您有一个 Internet Content Provider (ICP) 许可证。
您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
如果使用防火墙，将其配置为允许集群需要访问的站点。

重要

如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。

4.3.10.2. 安装要求

红帽没有发布 AWS China 区域的 Red Hat Enterprise Linux CoreOS (RHCOS) Amzaon 机器镜像。

在安装集群前，您必须：

上传自定义 RHCOS AMI。
手动创建安装配置文件 (install-config.yaml)。
在安装配置文件中指定 AWS 区域和附带的自定义 AMI。

您不能使用 OpenShift Container Platform 安装程序创建安装配置文件。安装程序不会列出没有原生支持 RHCOS AMI 的 AWS 区域。

4.3.10.3. 私有集群

您可以部署不公开外部端点的私有 OpenShift Container Platform 集群。私有集群只能从内部网络访问，且无法在互联网中看到。

默认情况下，OpenShift Container Platform 被置备为使用可公开访问的 DNS 和端点。在部署集群时，私有集群会将 DNS、Ingress Controller 和 API 服务器设置为私有。这意味着集群资源只能从您的内部网络访问，且不能在互联网中看到。

重要

如果集群有任何公共子网，管理员创建的负载均衡器服务可能会公开访问。为确保集群安全性，请验证这些服务是否已明确标注为私有。

要部署私有集群，您必须：

使用满足您的要求的现有网络。集群资源可能会在网络上的其他集群间共享。
从有权访问的机器中部署：
- 您置备的云的 API 服务。
- 您调配的网络上的主机。
- 用于获取安装介质的互联网。

您可以使用符合这些访问要求的机器，并按照您的公司规定进行操作。例如，此计算机可以是云网络上的堡垒主机。

注意

AWS China 不支持 VPC 和您的网络之间的 VPN 连接。有关 Beijing 和 Ningxia 地区的 Amazon VPC 服务的更多信息，请参阅 AWS China 的 Amazon Virtual Private Cloud 文档。

4.3.10.3.1. AWS 中的私有集群

要在 Amazon Web Services (AWS) 上创建私有集群，您必须提供一个现有的私有 VPC 和子网来托管集群。安装程序还必须能够解析集群所需的 DNS 记录。安装程序将 Ingress Operator 和 API 服务器配置为只可以从私有网络访问。

集群仍然需要访问互联网来访问 AWS API。

安装私有集群时不需要或创建以下项目：

公共子网
支持公共入口的公共负载均衡器
与集群的 baseDomain 匹配的公共 Route 53 区域

安装程序会使用您指定的 baseDomain 来创建专用的 Route 53 区域以及集群所需的记录。集群被配置，以便 Operator 不会为集群创建公共记录，且所有集群机器都放置在您指定的私有子网中。

4.3.10.3.1.1. 限制：

为私有集群添加公共功能的能力有限。

在安装后，您无法在不进行额外操作的情况下公开 Kubernetes API 端点。这些额外的操作包括为使用中的每个可用区在 VPC 中创建公共子网，创建公共负载均衡器，以及配置 control plane 安全组以便 6443 端口（Kubernetes API 端口）可以接受来自于互联网的网络流量。
如果使用公共服务类型负载均衡器，您必须在每个可用区中为公共子网添加 kubernetes.io/cluster/<cluster-infra-id>: shared 标签，以便 AWS 可使用它们来创建公共负载均衡器。

4.3.10.4. 关于使用自定义 VPC

在 OpenShift Container Platform 4.16 中，您可以在 Amazon Web Services (AWS)的现有 Amazon Virtual Private Cloud (VPC)中将集群部署到现有子网中。通过将 OpenShift Container Platform 部署到现有的 AWS VPC 中，您可能会避开新帐户中的限制，或者更容易地利用公司所设置的操作限制。如果您无法获得您自己创建 VPC 所需的基础架构创建权限，请使用这个安装选项。

因为安装程序无法了解您现有子网中还有哪些其他组件，所以无法选择子网 CIDR 。您必须为安装集群的子网配置网络。

4.3.10.4.1. 使用 VPC 的要求

安装程序不再创建以下组件：

互联网网关
NAT 网关
子网
路由表
VPCs
VPC DHCP 选项
VPC 端点

注意

安装程序要求您使用由云提供的 DNS 服务器。不支持使用自定义 DNS 服务器，并导致安装失败。

如果使用自定义 VPC，您必须为安装程序和集群正确配置它及其子网。如需有关 AWS VPC 控制台向导配置以及创建和管理 AWS VPC 的更多信息，请参阅 Amazon Web Services 文档中的创建 VPC。

安装程序无法：

分割网络范围供集群使用。
设置子网的路由表。
设置 VPC 选项，如 DHCP。

您必须在安装集群前完成这些任务。有关在 AWS VPC 中配置网络的更多信息，请参阅 VPC 的 VPC 网络组件和您的 VPC 的路由表。

您的 VPC 必须满足以下特征：

VPC 不能使用 kubernetes.io/cluster/.*: owned, Name, 和 openshift.io/cluster 标签。
安装程序会修改子网以添加 kubernetes.io/cluster/.*: shared 标签，因此您的子网必须至少有一个可用的空闲标签插槽。请参阅 AWS 文档中的标签限制部分，以确认安装程序可以为您指定的每个子网添加标签。您不能使用 Name 标签，因为它与 EC2 Name 字段重叠，且安装失败。
如果要将 OpenShift Container Platform 集群扩展到 AWS Outpost 并具有现有的 Outpost 子网，现有的子网必须使用 kubernetes.io/cluster/unmanaged: true 标签。如果您没有应用此标签，因为 Cloud Controller Manager 在 Outpost 子网中创建服务负载均衡器，安装会失败，这是不受支持的配置。
您需要在您的 VPC 中启用 enableDnsSupport 和 enableDnsHostnames 属性，以便集群可以使用附加到 VPC 中的 Route 53 区来解析集群内部的 DNS 记录。请参阅 AWS 文档中的您的 VPC 中的 DNS 支持部分。
如果要使用您自己的 Route 53 托管私有区，您必须在安装集群前将现有托管区与 VPC 相关联。您可以使用 install-config.yaml 文件中的 platform.aws.hostedZone 和 platform.aws.hostedZoneRole 字段定义托管区。您可以通过与安装集群的帐户共享来使用来自另一个帐户的私有托管区。如果使用另一个帐户的私有托管区，则必须使用 Passthrough 或 Manual 凭证模式。

如果您在断开连接的环境中工作，则无法访问 EC2、ELB 和 S3 端点的公共 IP 地址。根据您要在安装过程中限制互联网流量的级别，有以下配置选项：

选项 1：创建 VPC 端点

创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com.cn
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

通过这个选项，网络流量在 VPC 和所需的 AWS 服务之间保持私有。

选项 2：创建一个没有 VPC 端点的代理

作为安装过程的一部分，您可以配置 HTTP 或 HTTPS 代理。使用此选项时，互联网流量会通过代理访问所需的 AWS 服务。

选项 3：创建带有 VPC 端点的代理

作为安装过程的一部分，您可以使用 VPC 端点配置 HTTP 或 HTTPS 代理。创建 VPC 端点，并将其附加到集群使用的子网。将端点命名为如下：

ec2.<aws_region>.amazonaws.com.cn
elasticloadbalancing.<aws_region>.amazonaws.com
s3.<aws_region>.amazonaws.com

在 install-config.yaml 文件中配置代理时，将这些端点添加到 noProxy 字段。通过这个选项，代理会阻止集群直接访问互联网。但是，您的 VPC 和所需的 AWS 服务之间网络流量保持私有。

所需的 VPC 组件

您必须提供合适的 VPC 和子网，以便与您的机器通信。

组件	AWS 类型	描述
VPC	`AWS::EC2::VPC` `AWS::EC2::VPCEndpoint`	您必须提供一个公共 VPC 供集群使用。VPC 使用引用每个子网的路由表的端点，以改进与托管在 S3 中的 registry 的通信。
公共子网	`AWS::EC2::Subnet` `AWS::EC2::SubnetNetworkAclAssociation`	您的 VPC 必须有 1 到 3 个可用区的公共子网，并将其与适当的入口规则关联。
互联网网关	`AWS::EC2::InternetGateway` `AWS::EC2::VPCGatewayAttachment` `AWS::EC2::RouteTable` `AWS::EC2::Route` `AWS::EC2::SubnetRouteTableAssociation` `AWS::EC2::NatGateway` `AWS::EC2::EIP`	您必须有一个公共互联网网关，以及附加到 VPC 的公共路由。在提供的模板中，每个公共子网都有一个具有 EIP 地址的 NAT 网关。这些 NAT 网关允许集群资源（如专用子网实例）访问互联网，而有些受限网络或代理场景则不需要它们。
网络访问控制	`AWS::EC2::NetworkAcl` `AWS::EC2::NetworkAclEntry`	您必须允许 VPC 访问下列端口：
		端口	原因
		`80`	入站 HTTP 流量
		`443`	入站 HTTPS 流量
		`22`	入站 SSH 流量
		`1024` - `65535`	入站临时流量
		`0` - `65535`	出站临时流量
专用子网	`AWS::EC2::Subnet` `AWS::EC2::RouteTable` `AWS::EC2::SubnetRouteTableAssociation`	您的 VPC 可以具有私有子网。提供的 CloudFormation 模板可为 1 到 3 个可用区创建专用子网。如果您使用专用子网，必须为其提供适当的路由和表。

4.3.10.4.2. VPC 验证

要确保您提供的子网适合您的环境，安装程序会确认以下信息：

您指定的所有子网都存在。
您提供了私有子网。
子网 CIDR 属于您指定的机器 CIDR。
您为每个可用区提供子网。每个可用区不包含多于一个的公共子网和私有子网。如果您使用私有集群，为每个可用区只提供一个私有子网。否则，为每个可用区提供一个公共和私有子网。
您可以为每个私有子网可用区提供一个公共子网。机器不会在没有为其提供私有子网的可用区中置备。

如果您销毁使用现有 VPC 的集群，VPC 不会被删除。从 VPC 中删除 OpenShift Container Platform 集群时，kubernetes.io/cluster/.*: shared 标签会从使用它的子网中删除。

4.3.10.4.3. 权限划分

从 OpenShift Container Platform 4.3 开始，您不需要安装程序置备的基础架构集群部署所需的所有权限。这与您所在机构可能已有的权限划分类似：不同的个人可以在您的云中创建不同的资源。。例如，您可以创建针对于特定应用程序的对象，如实例、存储桶和负载均衡器，但不能创建与网络相关的组件，如 VPC 、子网或入站规则。

您在创建集群时使用的 AWS 凭证不需要 VPC 和 VPC 中的核心网络组件（如子网、路由表、互联网网关、NAT 和 VPN）所需的网络权限。您仍然需要获取集群中的机器需要的应用程序资源的权限，如 ELB 、安全组、S3 存储桶和节点。

4.3.10.4.4. 集群间隔离

如果您将 OpenShift Container Platform 部署到现有网络中，集群服务的隔离将在以下方面减少：

您可以在同一 VPC 中安装多个 OpenShift Container Platform 集群。
整个网络允许 ICMP 入站流量。
整个网络都允许 TCP 22 入站流量 (SSH)。
整个网络都允许 control plane TCP 6443 入站流量 (Kubernetes API)。
整个网络都允许 control plane TCP 22623 入站流量 (MCS) 。

4.3.10.4.5. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"将现有 AWS 安全组应用到集群"。

4.3.10.5. 在 AWS 中上传自定义 RHCOS AMI

如果要部署到自定义 Amazon Web Services（AWS）区域，您必须上传属于该区域的自定义 Red Hat Enterprise Linux CoreOS（RHCOS）Amazon Machine Image（AMI）。

先决条件

已配置了一个 AWS 帐户。
已使用所需的 IAM 服务角色创建 Amazon S3 存储桶。
将 RHCOS VMDK 文件上传到 Amazon S3。RHCOS VMDK 文件必须是小于或等于您要安装的 OpenShift Container Platform 版本的最高版本。
您下载了 AWS CLI 并安装到您的计算机上。请参阅使用捆绑安装程序安装 AWS CLI。

流程

将 AWS 配置集导出为环境变量：
```
$ export AWS_PROFILE=<aws_profile> 1
```
1
包含 AWS 凭证的 AWS 配置集名称，如 beijingadmin。
将与自定义 AMI 关联的区域导出为环境变量：
```
$ export AWS_DEFAULT_REGION=<aws_region> 1
```
1
AWS 区域，如 cn-north-1。
将上传至 Amazon S3 的 RHCOS 版本导出为环境变量：
```
$ export RHCOS_VERSION=<version> 1
```
1
RHCOS VMDK 版本，如 4.16.0。
将 Amazon S3 存储桶名称导出为环境变量：
```
$ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>
```

创建 containers.json 文件并定义 RHCOS VMDK 文件：

$ cat <<EOF > containers.json
{
   "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
   "Format": "vmdk",
   "UserBucket": {
      "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
      "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
   }
}
EOF

将 RHCOS 磁盘导入为 Amazon EBS 快照：
```
$ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
     --description "<description>" \ 1
     --disk-container "file://<file_path>/containers.json" 2
```
1
导入 RHCOS 磁盘的描述，如 rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64。
2
描述 RHCOS 磁盘的 JSON 文件的文件路径。JSON 文件应包含您的 Amazon S3 存储桶名称和密钥。

检查镜像导入的状态：

$ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

输出示例

{
    "ImportSnapshotTasks": [
        {
            "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
            "ImportTaskId": "import-snap-fh6i8uil",
            "SnapshotTaskDetail": {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "DiskImageSize": 819056640.0,
                "Format": "VMDK",
                "SnapshotId": "snap-06331325870076318",
                "Status": "completed",
                "UserBucket": {
                    "S3Bucket": "external-images",
                    "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                }
            }
        }
    ]
}

复制 SnapshotId 以注册镜像。

从 RHCOS 快照创建自定义 RHCOS AMI:

$ aws ec2 register-image \
   --region ${AWS_DEFAULT_REGION} \
   --architecture x86_64 \ 1
   --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
   --ena-support \
   --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
   --virtualization-type hvm \
   --root-device-name '/dev/xvda' \
   --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4

1: RHCOS VMDK 架构类型，如 x86_64, aarch64, s390x, 或 ppc64le。
2: 来自导入快照的 Description。
3: RHCOS AMI 的名称。
4: 导入的快照中的 SnapshotID。

如需了解更多有关这些 API 的信息，请参阅 AWS 文档导入快照和创建由 EBS 支持的 AMI。

4.3.10.6. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您上传了一个自定义 RHCOS AMI。
您的本地机器上有一个 SSH 公钥供安装程序使用。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
此配置文件必须命名为 install-config.yaml。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

AWS 的安装配置参数

4.3.10.6.1. AWS 的自定义 install-config.yaml 文件示例

您可以自定义安装配置文件 (install-config.yaml)，以指定有关 OpenShift Container Platform 集群平台的更多详细信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。使用它作为资源，在您手动创建的安装配置文件中输入参数值。

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - cn-north-1a
      - cn-north-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - cn-north-1a
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: cn-north-1 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 17 18
    serviceEndpoints: 19
      - name: ec2
        url: https://vpce-id.ec2.cn-north-1.vpce.amazonaws.com.cn
    hostedZone: Z3URY6TWQ91KVV 20
fips: false 21
sshKey: ssh-ed25519 AAAA... 22
publish: Internal 23
pullSecret: '{"auths": ...}' 24

1 12 14 17 24: 必需。
2: 可选：添加此参数来强制 Cloud Credential Operator (CCO) 使用指定的模式。默认情况下，CCO 使用 kube-system 命名空间中的 root 凭证来动态尝试决定凭证的功能。有关 CCO 模式的详情，请参阅身份验证和授权指南中的"About the Cloud Credential Operator"部分。
3 8 15: 如果没有提供这些参数和值，安装程序会提供默认值。
4: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
5 9: 是否要启用或禁用并发多线程或 超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果在某些集群机器中禁用并发多线程，则必须在所有集群机器中禁用它。
重要
如果您禁用并发多线程，请确保您的容量规划考虑机器性能显著降低的情况。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
6 10: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
7 11: 是否需要 Amazon EC2 实例元数据服务 v2 (IMDSv2)。为了要求 IMDSv2，请将参数值设置为 Required。要允许使用 IMDSv1 和 IMDSv2，请将参数值设置为 Optional。如果没有指定值，则允许 IMDSv1 和 IMDSv2。
注意
在集群安装过程中设置的 control plane 机器的 IMDS 配置只能使用 AWS CLI 更改。可以使用计算机器集来更改计算机器的 IMDS 配置。
13: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
16: 如果您提供自己的 VPC，为集群使用的每个可用区指定子网。
18: 用于为集群引导机器的 AMI ID。如果设置，AMI 必须属于与集群相同的区域。
19: AWS 服务端点。在安装到未知 AWS 区域时，需要自定义端点。端点 URL 必须使用 https 协议，主机必须信任该证书。
20: 您现有 Route 53 私有托管区的 ID。提供现有的托管区需要您提供自己的 VPC，托管区已在安装集群前与 VPC 关联。如果未定义，安装程序会创建一个新的托管区。
21: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
22: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
23: 如何发布集群的面向用户的端点。将 publish 设置为 Internal 以部署一个私有集群，它不能被互联网访问。默认值为 External。

4.3.10.6.2. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.18. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

4.3.10.6.3. 为 AWS 测试的实例类型

以下 Amazon Web Services(AWS) 实例类型已经过 OpenShift Container Platform 测试。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.44. 基于 64 位 x86 架构的机器类型

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

4.3.10.6.4. 在 64 位 ARM 基础架构上为 AWS 测试过的实例类型

OpenShift Container Platform 中已经测试了以下 Amazon Web Services (AWS) 64 位 ARM 实例类型。

注意

使用 AWS ARM 实例的以下图中包含的机器类型。如果您使用没有在图中列出的实例类型，请确保使用的实例大小与集群安装"最小资源要求"中列出的最少资源要求匹配。

例 4.45. 基于 64 位 ARM 架构的机器类型

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

4.3.10.6.5. 在安装过程中配置集群范围代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。如果您已将 Amazon EC2、Elastic Load Balancing 和 S3 VPC 端点添加到 VPC 中，您必须将这些端点添加到 noProxy 字段。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

4.3.10.6.6. 将现有 AWS 安全组应用到集群

将现有 AWS 安全组应用到 control plane 和计算机器可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

先决条件

您已在 AWS 中创建安全组。如需更多信息，请参阅使用安全组的 AWS 文档。
安全组必须与您要将集群部署到的现有 VPC 关联。安全组不能与另一个 VPC 关联。
您有一个现有的 install-config.yaml 文件。

流程

在 install-config.yaml 文件中，编辑 compute.platform.aws.additionalSecurityGroupIDs 参数，为您的计算机器指定一个或多个自定义安全组。
编辑 controlPlane.platform.aws.additionalSecurityGroupIDs 参数，为您的 control plane 机器指定一个或多个自定义安全组。
保存文件并在部署集群时引用。

指定自定义安全组的 install-config.yaml 文件示例

# ...
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
  replicas: 3
controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-3
        - sg-4
  replicas: 3
platform:
  aws:
    region: us-east-1
    subnets: 2
      - subnet-1
      - subnet-2
      - subnet-3

1: 在 Amazon EC2 控制台中显示时指定安全组的名称，包括 sg 前缀。
2: 指定集群使用的每个可用区的子网。

4.3.10.7. 在 kube-system 项目中存储管理员级别的 secret 的替代方案

默认情况下，管理员 secret 存储在 kube-system 项目中。如果您在 install-config.yaml 文件中将 credentialsMode 参数配置为 Manual，则必须使用以下替代方案之一：

要手动管理长期云凭证，请按照手动创建长期凭证中的步骤操作。
要实现在集群外为各个组件管理的短期凭证，请按照配置 A WS 集群以使用短期凭证中的步骤操作。

4.3.10.7.1. 手动创建长期凭证

在无法访问云身份和访问管理(IAM)API 的环境中，或者管理员更不希望将管理员级别的凭证 secret 存储在集群 kube-system 命名空间中时，可以在安装前将 Cloud Credential Operator(CCO)放入手动模式。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 自定义资源 (CR) 列表：

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 参数仅包含特定集群配置所需的清单。
2: 指定 install-config.yaml 文件的位置。
3: 指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。

此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

在之前生成的 openshift-install 清单目录中为 secret 创建 YAML 文件。secret 必须使用在 spec.secretRef 中为每个 CredentialsRequest 定义的命名空间和 secret 名称存储。

带有 secret 的 CredentialsRequest 对象示例

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Secret 对象示例

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

重要

在升级使用手动维护凭证的集群前，您必须确保 CCO 处于可升级状态。

4.3.10.7.2. 将 AWS 集群配置为使用短期凭证

要安装配置为使用 AWS 安全令牌服务 (STS) 的集群，您必须配置 CCO 实用程序并为集群创建所需的 AWS 资源。

4.3.10.7.2.1. 配置 Cloud Credential Operator 工具

当 Cloud Credential Operator(CCO)以手动模式运行时，要从集群外部创建和管理云凭证，提取并准备 CCO 实用程序(ccoctl)二进制文件。

注意

ccoctl 工具是在 Linux 环境中运行的 Linux 二进制文件。

先决条件

您可以访问具有集群管理员权限的 OpenShift Container Platform 帐户。
已安装 OpenShift CLI(oc)。

您已为 ccoctl 工具创建了用于以下权限的 AWS 帐户：
例 4.46. 所需的 AWS 权限
所需的 iam 权限
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
所需的 s3 权限
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
所需的 cloudfront 权限
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
如果您计划通过公共 CloudFront 发行版 URL 将 OIDC 配置存储在 IAM 身份提供程序访问的私有 S3 存储桶中，则运行 ccoctl 工具的 AWS 帐户需要以下额外权限：
例 4.47. 使用 CloudFront 私有 S3 存储桶的额外权限
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
注意
在使用 ccoctl aws create-all 命令处理凭证请求时，这些额外权限支持使用 --create-private-s3-bucket 选项。

流程

运行以下命令，为 OpenShift Container Platform 发行镜像设置变量：

$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

运行以下命令，从 OpenShift Container Platform 发行镜像获取 CCO 容器镜像：
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注意
确保 $RELEASE_IMAGE 的架构与将使用 ccoctl 工具的环境架构相匹配。
运行以下命令，将 CCO 容器镜像中的 ccoctl 二进制文件提取到 OpenShift Container Platform 发行镜像中：
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
对于 <rhel_version>，请指定与主机使用的 Red Hat Enterprise Linux (RHEL) 版本对应的值。如果没有指定值，则默认使用 ccoctl.rhel8。以下值有效：
rhel8: 为使用 RHEL 8 的主机指定这个值。
rhel9 ：为使用 RHEL 9 的主机指定这个值。
运行以下命令更改权限以使 ccoctl 可执行：
```
$ chmod 775 ccoctl.<rhel_version>
```

验证

要验证 ccoctl 是否准备就绪，可以尝试显示帮助文件。运行命令时使用相对文件名，例如：

$ ./ccoctl.rhel9

输出示例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.3.10.7.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源

创建 AWS 资源时有以下选项：

您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。这是创建资源的最快速方法。请参阅使用单个命令创建 AWS 资源。
如果您需要在修改 AWS 资源前查看 ccoctl 工具创建的 JSON 文件，或者 ccoctl 工具用于创建 AWS 资源的过程无法自动满足组织的要求，您可以单独创建 AWS 资源。请参阅单独创建 AWS 资源。

4.3.10.7.2.2.1. 使用单个命令创建 AWS 资源

如果 ccoctl 工具用于创建 AWS 资源的过程自动满足机构的要求，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。

否则，您可以单独创建 AWS 资源。如需更多信息，请参阅"单独创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

先决条件

您必须：

提取并准备好 ccoctl 二进制文件。

流程

运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
运行以下命令，从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 参数仅包含特定集群配置所需的清单。
2
指定 install-config.yaml 文件的位置。
3
指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
注意
此命令可能需要一些时间才能运行。
运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
指定用于标记创建用于跟踪的任何云资源的名称。
2
指定在其中创建云资源的 AWS 区域。
3
指定包含组件 CredentialsRequest 对象文件的目录。
4
可选：指定您希望 ccoctl 实用程序在其中创建对象的目录。默认情况下，实用程序在运行命令的目录中创建对象。
5
可选：默认情况下，ccoctl 实用程序将 OpenID Connect (OIDC) 配置文件存储在公共 S3 存储桶中，并使用 S3 URL 作为公共 OIDC 端点。要将 OIDC 配置存储在 IAM 身份提供程序通过公共 CloudFront 发行版 URL 访问的专用 S3 存储桶中，请使用 --create-private-s3-bucket 参数。
注意
如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.10.7.2.2.2. 单独创建 AWS 资源

您可以使用 ccoctl 工具单独创建 AWS 资源。这个选项对于在不同用户或部门之间创建这些资源的组织可能很有用。

否则，您可以使用 ccoctl aws create-all 命令自动创建 AWS 资源。如需更多信息，请参阅"使用单个命令创建 AWS 资源"。

注意

默认情况下，ccoctl 在运行命令的目录中创建对象。要在其他目录中创建对象，请使用 --output-dir 标志。此流程使用 <path_to_ccoctl_output_dir> 来引用这个目录。

有些 ccoctl 命令会发出 AWS API 调用来创建或修改 AWS 资源。您可以使用 --dry-run 标志来避免 API 调用。使用此标志可在本地文件系统中创建 JSON 文件。您可以使用 --cli-input-json 参数查看和修改 JSON 文件，然后使用 AWS CLI 工具应用它们。

先决条件

提取并准备 ccoctl 二进制文件。

流程

运行以下命令，生成用于为集群设置 OpenID Connect 供应商的公共和私有 RSA 密钥文件：
```
$ ccoctl aws create-key-pair
```
输出示例
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
其中 serviceaccount-signer.private 和 serviceaccount-signer.public 是生成的密钥文件。
此命令还会在 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key 中创建集群在安装过程中所需的私钥。
运行以下命令，在 AWS 上创建 OpenID Connect 身份提供程序和 S3 存储桶：
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name> 是用于标记为跟踪而创建的云资源的名称。
2
<aws-region> 是将要在其中创建云资源的 AWS 区域。
3
<path_to_ccoctl_output_dir> 是 ccoctl aws create-key-pair 命令生成的公钥文件的路径。
输出示例
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
其中 openid-configuration 是发现文档和 key.json 是一个 JSON Web 密钥集文件。
此命令还会在 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 中创建 YAML 配置文件。此文件为集群生成的服务帐户令牌设置签发者 URL 字段，以便 AWS IAM 身份提供程序信任令牌。
为集群中的每个组件创建 IAM 角色：
1. 运行以下命令，使用安装文件中的发行镜像设置 $RELEASE_IMAGE 变量：
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象列表：
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 参数仅包含特定集群配置所需的清单。
  2
  指定 install-config.yaml 文件的位置。
  3
  指定要存储 CredentialsRequest 对象的目录的路径。如果指定的目录不存在，这个命令会创建它。
3. 运行以下命令，使用 ccoctl 工具处理所有 CredentialsRequest 对象：
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  注意
  对于使用其他 IAM API 端点的 AWS 环境（如 GovCloud），还必须使用 --region 参数指定您的区域。
  如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能，则必须包含 --enable-tech-preview 参数。
  对于每个 CredentialsRequest 对象，ccoctl 创建一个带有信任策略的 IAM 角色，该角色与指定的 OIDC 身份提供程序相关联，以及来自 OpenShift Container Platform 发行镜像的每个 CredentialsRequest 对象中定义的权限策略。

验证

要验证 OpenShift Container Platform secret 是否已创建，列出 <path_to_ccoctl_output_dir>/manifests 目录中的文件：

$ ls <path_to_ccoctl_output_dir>/manifests

输出示例

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

您可以通过查询 AWS 来验证是否已创建 IAM 角色。如需更多信息，请参阅有关列出 IAM 角色的 AWS 文档。

4.3.10.7.2.3. 整合 Cloud Credential Operator 实用程序清单

要为单个组件在集群外实现短期安全凭证，您必须将创建 Cloud Credential Operator 实用程序 (ccoctl) 的清单文件移到安装程序的正确目录中。

先决条件

您已使用托管集群的云平台配置了帐户。
您已配置了 Cloud Credential Operator 实用程序 (ccoctl)。
已使用 ccoctl 工具创建了集群所需的云供应商资源。

流程

如果您没有将 install-config.yaml 配置文件中的 credentialsMode 参数设置为 Manual，请修改值，如下所示：
配置文件片段示例
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
如果您之前还没有创建安装清单文件，请运行以下命令：
```
$ openshift-install create manifests --dir <installation_directory>
```
其中 <installation_directory> 是安装程序在其中创建文件的目录。
运行以下命令，将 ccoctl 工具生成的清单复制到安装程序创建的 manifests 目录中：
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
将包含私钥的 tls 目录复制到安装目录中：
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

4.3.10.8. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.10.9. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.10.10. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多详情，请参阅访问 Web 控制台。

4.3.10.11. 后续步骤

验证安装.
自定义集群。
如果需要，您可以选择不使用远程健康报告。
如果需要，您可以删除云供应商凭证。

4.3.11. 在 AWS Local Zones 上使用计算节点安装集群

您可以通过在 install-config.yaml 文件的边缘计算池中设置区域名称，或使用 Local Zone 子网在现有 Amazon Virtual Private Cloud (VPC)上安装集群，在 Amazon Web Services (AWS) Local Zones 上快速安装 OpenShift Container Platform 集群。

AWS Local Zones (AWS Local Zones) 是一个基础架构，它放置了接近满足的云资源的区域。如需更多信息，请参阅 AWS 区域文档。

4.3.11.1. 基础架构先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
熟悉选择集群安装方法并为用户准备它。
已将 AWS 帐户配置为托管集群。
警告
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序（Linux、macOS 或 UNIX）安装 AWS CLI。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。
您记下了区域和支持的 AWS 区域位置，在其中创建网络资源。
您可以参阅 AWS 文档中的 AWS Local Zones 功能。
您已将支持 AWS Local Zones 的网络资源添加到 Identity and Access Management (IAM) 用户或角色的权限。以下示例启用了一个 zone group，它为创建支持 AWS Local Zones 的网络资源提供用户或团队访问权限。
附加到 IAM 用户或角色的 ec2:ModifyAvailabilityZoneGroup 权限的额外 IAM 策略示例。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:ModifyAvailabilityZoneGroup"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

4.3.11.2. 关于 AWS 本地区域和边缘计算池

阅读以下部分以了解 AWS Local Zones 环境中的基础架构行为和集群限制。

4.3.11.2.1. AWS 本地区中的集群限制

当您试图在 Amazon Web Services (AWS) Local Zone 中使用默认安装配置部署集群时，有一些限制。

重要

以下列表在预先配置的 AWS 区域中部署集群时的详情限制：

区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元 (MTU) 为 1300。这会导致集群范围的网络 MTU 根据与部署一起使用的网络插件而改变。
不支持 Network Load Balancer (NLB)、Classic Load Balancer 和网络地址转换(NAT)网关等网络资源。
对于 AWS 上的 OpenShift Container Platform 集群，AWS Elastic Block Storage (EBS) gp3 类型卷是节点卷和存储类的默认设置。这个卷类型在区域位置没有全局可用。默认情况下，在区中运行的节点使用 gp2 EBS 卷进行部署。在区节点上创建工作负载时，必须设置 gp2-csi StorageClass 参数。

如果您希望安装程序为 OpenShift Container Platform 集群自动创建 Local Zone 子网，则使用此方法会有针对特定配置的限制。

重要

当您将安装程序设置为自动为 OpenShift Container Platform 集群创建子网时，会有以下配置限制：

当安装程序在 AWS Local Zones 中创建专用子网时，安装程序会将每个子网与其父区的路由表相关联。此操作通过 AWS 区域中的 NAT 网关的方式确保每个专用子网都可以将出口流量路由到互联网。
如果集群安装过程中不存在 parent-zone 路由表，安装程序会将任何专用子网与 Amazon Virtual Private Cloud (VPC)中的第一个可用私有路由表相关联。此方法仅对 OpenShift Container Platform 集群中的 AWS Local Zones 子网有效。

4.3.11.2.2. 关于边缘计算池

边缘计算节点是在 AWS Local Zones 位置中运行的污点计算节点。

在部署使用 Local Zones 的集群时，请考虑以下点：

本地区域中的 Amazon EC2 实例比可用区中的 Amazon EC2 实例的成本更高。
在 AWS Local Zones 和最终用户中运行的应用程序间延迟较低。例如，在 Local Zones 和 Availability Zones 混合了入口流量时，一些工作负载会有一个延迟影响。

重要

通常，本地区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元 (MTU) 为 1300。对于开销，集群网络 MTU 必须总是小于 EC2 MTU。具体开销由网络插件决定。例如： OVN-Kubernetes 的开销为 100 字节。

网络插件可以提供额外的功能，如 IPsec，它们也会影响 MTU 大小。

如需更多信息，请参阅 AWS 文档中的 Local Zones 如何工作。

OpenShift Container Platform 4.12 引入了一个新的计算池 edge，用于在远程区中使用。边缘计算池配置在 AWS Local Zones 位置之间很常见。由于 Local Zones 资源上的 EC2 和 EBS 等资源的类型和大小限制，默认的实例类型可能与传统的计算池不同。

Local Zones 位置的默认 Elastic Block Store (EBS) 是 gp2，它与非边缘计算池不同。根据区域上的实例产品，边缘计算池中每个本地区域使用的实例类型可能与其他计算池不同。

边缘计算池创建新的标签，供开发人员用来将应用程序部署到 AWS Local Zones 节点上。新标签包括：

node-role.kubernetes.io/edge=''
machine.openshift.io/zone-type=local-zone
machine.openshift.io/zone-group=$ZONE_GROUP_NAME

默认情况下，边缘计算池的机器集定义 NoSchedule 污点，以防止其他工作负载分散到 Local Zones 实例。只有用户在 pod 规格中定义容限时，用户才能运行用户工作负载。

其他资源

4.3.11.3. 安装先决条件

在 AWS Local Zones 环境中安装集群前，您必须配置基础架构，以便它可以使用 Local Zone 功能。

4.3.11.3.1. 选择 AWS 本地区域

如果您计划在 AWS Local Zones 中创建子网，则必须单独选择每个 zone group。

先决条件

已安装 AWS CLI。
您已决定要部署 OpenShift Container Platform 集群的 AWS 区域。
您已将 permissive IAM 策略附加到选择 zone 组的用户或组帐户。

流程

运行以下命令，列出 AWS 区域中可用的区域：
在 AWS 区域中列出可用 AWS 区域的命令示例
```
$ aws --region "<value_of_AWS_Region>" ec2 describe-availability-zones \
    --query 'AvailabilityZones[].[{ZoneName: ZoneName, GroupName: GroupName, Status: OptInStatus}]' \
    --filters Name=zone-type,Values=local-zone \
    --all-availability-zones
```
根据 AWS 区域，可用区列表可能比较长。该命令返回以下字段：
ZoneName
本地区域的名称。
GroupName
组成区域的组。要选择 Region，保存名称。
Status
Local Zones 组的状态。如果状态是 not-opted-in，则需要选择 GroupName，如下一步所述。
运行以下命令，选择 AWS 帐户上的 zone 组：
```
$ aws ec2 modify-availability-zone-group \
    --group-name "<value_of_GroupName>" \1
    --opt-in-status opted-in
```
1
将 <value_of_GroupName> 替换为您要创建子网的 Local Zones 的组名称。例如，指定 us-east-1-nyc-1 以使用区域 us-east-1-nyc-1a (US East New York)。

4.3.11.3.2. 获取 AWS Marketplace 镜像

如果要使用 AWS Marketplace 镜像部署 OpenShift Container Platform 集群，您必须首先通过 AWS 订阅。订阅提供的提供的 AMI ID 可让您使用安装程序用来部署计算节点的 AMI ID。

先决条件

有 AWS 账户购买的产品。此帐户不必与用于安装集群的帐户相同。

流程

从 AWS Marketplace 完成 OpenShift Container Platform 订阅。
记录特定 AWS 区域的 AMI ID。作为安装过程的一部分，您必须在部署集群前使用这个值更新 install-config.yaml 文件。
使用 AWS Marketplace 计算节点的 install-config.yaml 文件示例
```
apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'
```
1
来自 AWS Marketplace 订阅的 AMI ID。
2
您的 AMI ID 与特定的 AWS 区域相关联。在创建安装配置文件时，请确保选择配置订阅时指定的相同 AWS 区域。

4.3.11.4. 准备安装

在将节点扩展到 Local Zones 之前，您必须为集群安装环境准备某些资源。

4.3.11.4.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.19. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

4.3.11.4.2. 为 AWS 测试的实例类型

以下 Amazon Web Services (AWS) 实例类型已使用 OpenShift Container Platform 测试，以用于 AWS Local Zones。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.48. 基于 AWS 本地区的 64 位 x86 架构的机器类型

c5.*
c5d.*
m6i.*
m5.*
r5.*
t3.*

其他资源

请参阅 AWS 文档中的 AWS Local Zones 功能。

4.3.11.4.3. 创建安装配置文件

生成并自定义安装程序部署集群所需的安装配置文件。

先决条件

已获取 OpenShift Container Platform 安装程序用于用户置备的基础架构和集群的 pull secret。
使用红帽发布的附带 Red Hat Enterprise Linux CoreOS (RHCOS) AMI 检查您是否将集群部署到 AWS 区域。如果要部署到需要自定义 AMI 的 AWS 区域，如 AWS GovCloud 区域，您必须手动创建 install-config.yaml 文件。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  重要
  指定一个空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 aws 作为目标平台。
  3. 如果计算机上没有保存 AWS 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 secret 访问密钥。
    注意
    AWS 访问密钥 ID 和 secret 访问密钥存储在安装主机上当前用户主目录中的 ~/.aws/credentials 中。如果文件中不存在导出的配置集凭证，安装程序会提示您输入凭证。您向安装程序提供的所有凭证都存储在文件中。
  4. 选择要将集群部署到的 AWS Region。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
  7. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret。
可选：备份 install-config.yaml 文件。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

4.3.11.4.4. 使用边缘计算池安装配置文件示例

以下示例显示了包含边缘机器池配置的 install-config.yaml 文件。

使用自定义实例类型使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      type: r5.2xlarge
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

实例类型因位置而异。要验证集群运行的本地区中的可用性，请参阅 AWS 文档。

使用带有自定义 Amazon Elastic Block Store (EBS) 类型的边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
      - us-west-2-phx-2a
      rootVolume:
        type: gp3
        size: 120
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

Elastic Block Storage (EBS) 类型因位置而异。检查 AWS 文档，以验证集群运行的本地区域中的可用性。

使用自定义安全组使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

1: 指定安全组的名称，因为它在 Amazon EC2 控制台中显示。确保包含 sg 前缀。

4.3.11.4.5. 自定义集群网络 MTU

在 AWS 上部署集群前，您可以自定义集群网络的集群网络最大传输单元 (MTU) 来满足基础架构的需求。

默认情况下，当使用支持的 Local Zones 功能安装集群时，集群网络的 MTU 值会自动调整为网络插件接受的最低值。

重要

为 Local Zones 基础架构中运行的 EC2 实例设置不受支持的 MTU 值可能会导致 OpenShift Container Platform 集群出现问题。

如果 Local Zone 在 Local Zone 和 AWS 区域中的 EC2 实例之间支持更高的 MTU 值，您可以手动配置较高的值来提高集群网络的网络性能。

您可以通过在 install-config.yaml 配置文件中指定 networking.clusterNetworkMTU 参数来自定义集群的 MTU。

重要

Local Zones 中的所有子网都必须支持更高的 MTU 值，以便该区中的每个节点都可以成功与 AWS 区域中的服务通信并部署您的工作负载。

覆盖默认 MTU 值的示例

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: edge-zone
networking:
  clusterNetworkMTU: 8901
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

其他资源

有关最大支持的最大传输单元(MTU)值的更多信息，请参阅 AWS 文档中的 Local Zones 支持的 AWS 资源。

4.3.11.5. AWS 本地区域的集群安装选项

选择以下安装选项之一，使用 Local Zones 中定义的边缘计算节点在 AWS 上安装 OpenShift Container Platform 集群：

完全自动化选项：安装集群将计算节点快速扩展到边缘计算池，其中安装程序会自动为 OpenShift Container Platform 集群创建基础架构资源。
现有 VPC 选项：在 AWS 上安装集群到现有的 VPC 中，您可以为 install-config.yaml 文件提供 Local Zones 子网。

后续步骤

选择以下选项之一在 AWS Local Zones 环境中安装 OpenShift Container Platform 集群：

4.3.11.6. 在 AWS 本地区中快速安装集群

对于 OpenShift Container Platform 4.16，您可以在 Amazon Web Services (AWS) 上快速安装集群，以将计算节点扩展到 Local Zones 位置。通过使用此安装路由，安装程序会为您在配置文件中定义的每个区自动创建网络资源和区域子网。要自定义安装，您必须在部署集群前修改 install-config.yaml 文件中的参数。

4.3.11.6.1. 修改安装配置文件以使用 AWS 本地区域

修改 install-config.yaml 文件，使其包含 AWS Local Zones。

先决条件

您已配置了 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
熟悉在指定安装程序为 OpenShift Container Platform 集群自动创建子网时应用的配置限制。
您可以选择每个区的 Local Zones 组。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在边缘计算池的 platform.aws.zones 属性中指定 Local Zones 名称来修改 install-config.yaml 文件。

# ...
platform:
  aws:
    region: <region_name> 1
compute:
- name: edge
  platform:
    aws:
      zones: 2
      - <local_zone_name>
#...

1: AWS 区域名称。
2: 您使用的 Local Zones 名称列表必须存在于 platform.aws.region 字段中指定的同一 AWS 区域。

在 us-west-2 AWS 区域上安装集群的配置示例，将边缘节点扩展到 Los Angeles 和 Las Vegas 位置中的 Local Zones

apiVersion: v1
baseDomain: example.com
metadata:
  name: cluster-name
platform:
  aws:
    region: us-west-2
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
      - us-west-2-las-1a
pullSecret: '{"auths": ...}'
sshKey: 'ssh-ed25519 AAAA...'
#...

部署集群。

其他资源

后续步骤

部署集群

4.3.11.7. 在带有 Local Zone 子网的现有 VPC 上安装集群

您可以在 Amazon Web Services (AWS) 上将集群安装到现有的 Amazon Virtual Private Cloud (VPC) 中。安装程序会置备所需基础架构的其余部分，您可以进一步自定义这些基础架构。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

在 AWS 上安装集群到现有的 VPC 中，需要使用 AWS Local Zones 将计算节点扩展到 Cloud Infrastructure 的边缘。

Local Zone 子网将常规计算节点扩展到边缘网络。每个边缘计算节点都运行用户工作负载。创建 Amazon Web Service (AWS) Local Zone 环境并部署了集群后，您可以使用边缘计算节点在 Local Zone 子网中创建用户工作负载。

注意

如果要创建专用子网，您必须修改提供的 CloudFormation 模板或创建自己的模板。

您可以使用提供的 CloudFormation 模板来创建网络资源。另外，您可以修改模板来自定义模板，或使用其包含的信息根据公司的策略创建 AWS 资源。

重要

执行安装程序置备的基础架构安装的步骤仅作为示例。在现有 VPC 上安装集群需要了解云供应商和 OpenShift Container Platform 安装过程。您可以使用 CloudFormation 模板来帮助您完成这些步骤，或者帮助您建模您自己的集群安装。您可以决定使用其他方法生成这些资源，而不使用 CloudFormation 模板来创建资源。

4.3.11.7.1. 在 AWS 中创建 VPC

您可以在 OpenShift Container Platform 集群的 Amazon Web Services (AWS) 中创建一个 Virtual Private Cloud (VPC) 和子网，以将计算节点扩展到边缘位置。您可以进一步自定义 VPC 以满足您的要求，包括 VPN 和路由表。您还可以添加新的 Local Zones 子网，不包含在初始部署中。

您可以使用提供的 CloudFormation 模板和自定义参数文件创建代表 VPC 的 AWS 资源堆栈。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
您可以选择 AWS 帐户上的 AWS 区域区域。

流程

创建一个 JSON 文件，其包含 CloudFormation 模板需要的参数值：
```
[
  {
    "ParameterKey": "VpcCidr", 1
    "ParameterValue": "10.0.0.0/16" 2
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 3
    "ParameterValue": "3" 4
  },
  {
    "ParameterKey": "SubnetBits", 5
    "ParameterValue": "12" 6
  }
]
```
1
VPC 的 CIDR 块。
2
以 x.x.x.x/16-24 格式指定 CIDR 块。
3
在其中部署 VPC 的可用区的数量。
4
指定一个 1 到 3 之间的整数。
5
各个可用区中每个子网的大小。
6
指定 5 到 13 之间的整数，其中 5 为 /27，13 为 /19。
进入名为 "CloudFormation template for the VPC" 的文档部分，然后从提供的模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令，启动 CloudFormation 模板以创建代表 VPC 的 AWS 资源堆栈：
重要
您必须在一行内输入命令。
```
$ aws cloudformation create-stack --stack-name <name> \1
     --template-body file://<template>.yaml \2
     --parameters file://<parameters>.json  3
```
1
<name> 是 CloudFormation 堆栈的名称，如 cluster-VPC。如果您删除集群，则需要此堆栈的名称。
2
<template> 是您保存的 CloudFormation 模板 YAML 文件的相对路径和名称。
3
<parameters> 是相对路径和 CloudFormation 参数 JSON 文件的名称。
输出示例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f
```

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。您必须为创建集群运行的其他 CloudFormation 模板提供这些参数值。

`VpcId`	您的 VPC ID。
`PublicSubnetIds`	新公共子网的 ID。
`PrivateSubnetIds`	新专用子网的 ID。
`PublicRouteTableId`	新公共路由表 ID 的 ID。

4.3.11.7.2. VPC 的 CloudFormation 模板

您可以使用以下 CloudFormation 模板来部署 OpenShift Container Platform 集群所需的 VPC。

例 4.49. VPC 的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Condition: DoAz3
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable
  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT
  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2
  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3
  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]
  PublicRouteTableId:
    Description: Public Route table ID
    Value: !Ref PublicRouteTable
  PrivateRouteTableIds:
    Description: Private Route table IDs
    Value:
      !Join [
        ",",
        [
          !Join ["=", [
            !Select [0, "Fn::GetAZs": !Ref "AWS::Region"],
            !Ref PrivateRouteTable
          ]],
          !If [DoAz2,
               !Join ["=", [!Select [1, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable2]],
               !Ref "AWS::NoValue"
          ],
          !If [DoAz3,
               !Join ["=", [!Select [2, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable3]],
               !Ref "AWS::NoValue"
          ]
        ]
      ]

4.3.11.7.3. 在本地区中创建子网

在 OpenShift Container Platform 集群中为边缘计算节点配置机器集前，您必须在 Local Zones 中创建子网。对您要将计算节点部署到的每个 Local Zone 完成以下步骤。

您可以使用提供的 CloudFormation 模板并创建 CloudFormation 堆栈。然后，您可以使用此堆栈自定义置备子网。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和区域添加到本地 AWS 配置集中。
您可以选择 Local Zones 组。

流程

进入名为"CloudFormation template for the VPC 子网"的文档部分，并从模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令来部署 CloudFormation 模板，它会创建一个代表 VPC 的 AWS 资源堆栈：
```
$ aws cloudformation create-stack --stack-name <stack_name> \1
  --region ${CLUSTER_REGION} \
  --template-body file://<template>.yaml \2
  --parameters \
    ParameterKey=VpcId,ParameterValue="${VPC_ID}" \3
    ParameterKey=ClusterName,ParameterValue="${CLUSTER_NAME}" \4
    ParameterKey=ZoneName,ParameterValue="${ZONE_NAME}" \5
    ParameterKey=PublicRouteTableId,ParameterValue="${ROUTE_TABLE_PUB}" \6
    ParameterKey=PublicSubnetCidr,ParameterValue="${SUBNET_CIDR_PUB}" \7
    ParameterKey=PrivateRouteTableId,ParameterValue="${ROUTE_TABLE_PVT}" \8
    ParameterKey=PrivateSubnetCidr,ParameterValue="${SUBNET_CIDR_PVT}" 9
```
1
<stack_name> 是 CloudFormation 堆栈的名称，如 cluster-wl-<local_zone_shortname>。如果您删除集群，则需要此堆栈的名称。
2
<template> 是相对路径，以及保存的 CloudFormation 模板 YAML 文件的名称。
3
${VPC_ID} 是 VPC ID，它是 VPC 模板输出中的 VpcID 值。
4
${ZONE_NAME} 是创建子网的 Local Zones 名称的值。
5
${CLUSTER_NAME} 是 ClusterName 的值，用作新 AWS 资源名称的前缀。
6
${SUBNET_CIDR_PUB} 是一个有效的 CIDR 块，用于创建公共子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。
7
${ROUTE_TABLE_PVT} 是从 VPC 的 CloudFormation 堆栈的输出中提取的 PrivateRouteTableId。
8
${SUBNET_CIDR_PVT} 是一个有效的 CIDR 块，用于创建专用子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。

输出示例

arn:aws:cloudformation:us-east-1:123456789012:stack/<stack_name>/dbedae40-820e-11eb-2fd3-12a48460849f

验证

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <stack_name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。确保将这些参数值提供给您为集群创建的其他 CloudFormation 模板。

`PublicSubnetId`	由 CloudFormation 堆栈创建的公共子网的 ID。
`PrivateSubnetId`	由 CloudFormation 堆栈创建的专用子网的 ID。

4.3.11.7.4. VPC 子网的 CloudFormation 模板

您可以使用以下 CloudFormation 模板，在 Local Zones 基础架构的区域中部署私有和公共子网。

例 4.50. VPC 子网的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice Subnets (Public and Private)

Parameters:
  VpcId:
    Description: VPC ID that comprises all the target subnets.
    Type: String
    AllowedPattern: ^(?:(?:vpc)(?:-[a-zA-Z0-9]+)?\b|(?:[0-9]{1,3}\.){3}[0-9]{1,3})$
    ConstraintDescription: VPC ID must be with valid name, starting with vpc-.*.
  ClusterName:
    Description: Cluster name or prefix name to prepend the Name tag for each subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ClusterName parameter must be specified.
  ZoneName:
    Description: Zone Name to create the subnets, such as us-west-2-lax-1a.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ZoneName parameter must be specified.
  PublicRouteTableId:
    Description: Public Route Table ID to associate the public subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PublicRouteTableId parameter must be specified.
  PublicSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for public subnet.
    Type: String
  PrivateRouteTableId:
    Description: Private Route Table ID to associate the private subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PrivateRouteTableId parameter must be specified.
  PrivateSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for private subnet.
    Type: String


Resources:
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PublicSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "public", !Ref ZoneName]]

  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTableId

  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PrivateSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "private", !Ref ZoneName]]

  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTableId

Outputs:
  PublicSubnetId:
    Description: Subnet ID of the public subnets.
    Value:
      !Join ["", [!Ref PublicSubnet]]

  PrivateSubnetId:
    Description: Subnet ID of the private subnets.
    Value:
      !Join ["", [!Ref PrivateSubnet]]

其他资源

您可以通过导航 AWS CloudFormation 控制台来查看您创建的 CloudFormation 堆栈的详情。

4.3.11.7.5. 修改安装配置文件以使用 AWS 本地区域子网

修改 install-config.yaml 文件，使其包含 Local Zones 子网。

先决条件

您使用"在 Local Zones 中创建子网"流程创建子网。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在 platform.aws.subnets 参数中指定 Local Zones 子网来修改 install-config.yaml 配置文件。

带有本地区域子网的安装配置文件示例

# ...
platform:
  aws:
    region: us-west-2
    subnets: 1
    - publicSubnetId-1
    - publicSubnetId-2
    - publicSubnetId-3
    - privateSubnetId-1
    - privateSubnetId-2
    - privateSubnetId-3
    - publicSubnetId-LocalZone-1
# ...

1: 区域中创建的子网 ID 列表：可用性和本地区域。

其他资源

有关查看您创建的 CloudFormation 堆栈的更多信息，请参阅 AWS CloudFormation 控制台。
如需有关 AWS 配置集和凭证配置的更多信息，请参阅 AWS 文档中的配置和凭证文件设置。

后续步骤

部署集群

4.3.11.8. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"边缘计算池和 AWS 本地区域"。

4.3.11.9. 可选：将公共 IP 地址分配给边缘计算节点

如果您的工作负载需要在 Local Zones 基础架构上公共子网中部署边缘计算节点，您可以在安装集群时配置机器集清单。

AWS Local Zones 基础架构访问指定区中的网络流量，因此应用程序可在提供更接近该区的最终用户时利用较低延迟。

在私有子网中部署计算节点的默认设置可能无法满足您的需求，因此当您想要将更多自定义应用到基础架构时，请考虑在公共子网中创建边缘计算节点。

重要

默认情况下，OpenShift Container Platform 在私有子网中部署计算节点。为获得最佳性能，请考虑将计算节点放在附加了其公共 IP 地址的子网中。

您必须创建额外的安全组，但请确保仅在需要时通过互联网打开组规则。

流程

进入包含安装程序的目录并生成清单文件。确保安装清单在 openshift 和 manifests 目录级别创建。
```
$ ./openshift-install create manifests --dir <installation_directory>
```

编辑安装程序为 Local Zones 生成的机器集清单，以便清单部署在公共子网中。为 spec.template.spec.providerSpec.value.publicIP 参数指定 true。

在 Local Zones 中快速安装集群的机器集清单配置示例

spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true
          subnet:
            filters:
              - name: tag:Name
                values:
                  - ${INFRA_ID}-public-${ZONE_NAME}

在具有 Local Zones 子网的现有 VPC 上安装集群的机器集清单配置示例

apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  name: <infrastructure_id>-edge-<zone>
  namespace: openshift-machine-api
spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true

4.3.11.10. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.11.11. 验证部署集群的状态

验证 OpenShift Container Platform 是否已在 AWS Local Zones 上部署。

4.3.11.11.1. 使用 CLI 登录到集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.11.11.2. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

访问Web控制台

4.3.11.11.3. 验证使用边缘计算池创建的节点

安装使用 AWS Local Zones 基础架构的集群后，检查安装过程中由机器集清单创建的机器状态。

要检查从添加到 install-config.yaml 文件中的子网中创建的机器集，请运行以下命令：

$ oc get machineset -n openshift-machine-api

输出示例

NAME                                  DESIRED   CURRENT   READY   AVAILABLE   AGE
cluster-7xw5g-edge-us-east-1-nyc-1a   1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1a       1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1b       1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1c       1         1         1       1           3h4m

要检查从机器集创建的机器，请运行以下命令：

$ oc get machines -n openshift-machine-api

输出示例

NAME                                        PHASE     TYPE          REGION      ZONE               AGE
cluster-7xw5g-edge-us-east-1-nyc-1a-wbclh   Running   c5d.2xlarge   us-east-1   us-east-1-nyc-1a   3h
cluster-7xw5g-master-0                      Running   m6i.xlarge    us-east-1   us-east-1a         3h4m
cluster-7xw5g-master-1                      Running   m6i.xlarge    us-east-1   us-east-1b         3h4m
cluster-7xw5g-master-2                      Running   m6i.xlarge    us-east-1   us-east-1c         3h4m
cluster-7xw5g-worker-us-east-1a-rtp45       Running   m6i.xlarge    us-east-1   us-east-1a         3h
cluster-7xw5g-worker-us-east-1b-glm7c       Running   m6i.xlarge    us-east-1   us-east-1b         3h
cluster-7xw5g-worker-us-east-1c-qfvz4       Running   m6i.xlarge    us-east-1   us-east-1c         3h

要检查具有边缘角色的节点，请运行以下命令：

$ oc get nodes -l node-role.kubernetes.io/edge

输出示例

NAME                           STATUS   ROLES         AGE    VERSION
ip-10-0-207-188.ec2.internal   Ready    edge,worker   172m   v1.25.2+d2e245f

后续步骤

验证安装.
如果需要，您可以选择不使用远程健康。

4.3.12. 在 AWS Wavelength Zones 上使用计算节点安装集群

您可以通过在 install-config.yaml 文件的边缘计算池中设置区域名称，或者在带有 Wavelength Zone 子网的现有 Amazon Virtual Private Cloud (VPC)上安装集群，在 Amazon Web Services (AWS)上快速安装 OpenShift Container Platform 集群。

AWS Wavelength Zones 是 AWS 为移动边缘计算(MEC)应用程序配置的基础架构。

Wavelength 区域在通信服务提供商(CSP)的 5G 网络中嵌入 AWS 计算和存储服务。通过将应用服务器放在 Wavelength Zone 中，您的 5G 设备的应用程序流量可以保留在 5G 网络中。设备的应用程序流量直接到达目标服务器，使延迟成为非问题。

其他资源

请参阅 AWS 文档中的 Wavelength Zones。

4.3.12.1. 基础架构先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
熟悉选择集群安装方法并为用户准备它。
已将 AWS 帐户配置为托管集群。
警告
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序（Linux、macOS 或 UNIX）安装 AWS CLI。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。
您记下了区域和支持的 AWS Wavelength Zone 位置，在其中创建网络资源。
请参阅 AWS 文档中的 AWS Wavelength 功能。
您可以在 AWS 文档中阅读 Wavelength 区域的配额和注意事项。

您已将创建支持 AWS Wavelength Zones 的网络资源添加到 Identity and Access Management (IAM) 用户或角色的权限。例如：

附加 ec2:ModifyAvailabilityZoneGroup,ec2:CreateCarrierGateway, ec2:DeleteCarrierGateway 权限的额外 IAM 策略示例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteCarrierGateway",
        "ec2:CreateCarrierGateway"
      ],
      "Resource": "*"
    },
    {
      "Action": [
        "ec2:ModifyAvailabilityZoneGroup"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

4.3.12.2. 关于 AWS Wavelength Zones 和 edge 计算池

阅读以下部分以了解 AWS Wavelength 区域环境中的基础架构行为和集群限制。

4.3.12.2.1. AWS Wavelength 区域中的集群限制

当您试图在 Amazon Web Services (AWS) Wavelength Zone 中使用默认安装配置部署集群时，有一些限制。

重要

以下列表在预先配置的 AWS 区域中部署集群时的详情限制：

区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元 (MTU) 为 1300。这会导致集群范围的网络 MTU 根据与部署一起使用的网络插件而改变。
不支持 Network Load Balancer (NLB)、Classic Load Balancer 和网络地址转换(NAT)网关等网络资源。
对于 AWS 上的 OpenShift Container Platform 集群，AWS Elastic Block Storage (EBS) gp3 类型卷是节点卷和存储类的默认设置。这个卷类型在区域位置没有全局可用。默认情况下，在区中运行的节点使用 gp2 EBS 卷进行部署。在区节点上创建工作负载时，必须设置 gp2-csi StorageClass 参数。

如果您希望安装程序为 OpenShift Container Platform 集群自动创建 Wavelength Zone 子网，则使用此方法应用特定的配置限制。以下详细介绍了其中的一些限制。对于其他限制，请确保阅读红帽在"Infrastructure prerequisites"部分中提供的 Wavelength Zones 的"Quotas and considerations"文档。

重要

当您将安装程序设置为自动为 OpenShift Container Platform 集群创建子网时，会有以下配置限制：

当安装程序在 AWS Wavelength 区域中创建专用子网时，安装程序会将每个子网与其父区的路由表相关联。此操作通过 AWS 区域中的 NAT 网关的方式确保每个专用子网都可以将出口流量路由到互联网。
如果集群安装过程中不存在 parent-zone 路由表，安装程序会将任何专用子网与 Amazon Virtual Private Cloud (VPC)中的第一个可用私有路由表相关联。这个方法只适用于 OpenShift Container Platform 集群中的 AWS Wavelength Zones 子网。

4.3.12.2.2. 关于边缘计算池

边缘计算节点是在 AWS Wavelength 区域位置中运行的污点计算节点。

在部署使用 Wavelength 区域的集群时，请考虑以下点：

Wavelength 区域中的 Amazon EC2 实例比可用区中的 Amazon EC2 实例的成本更高。
在 AWS Wavelength 区域和最终用户中运行的应用程序间延迟较低。例如，当一些工作负载在 Wavelength 区域和可用区之间混合了入口流量，则对一些工作负载会有一个延迟影响。

重要

通常，Wavelength 区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元(MTU)为 1300。对于开销，集群网络 MTU 必须总是小于 EC2 MTU。具体开销由网络插件决定。例如： OVN-Kubernetes 的开销为 100 字节。

网络插件可以提供额外的功能，如 IPsec，它们也会影响 MTU 大小。

如需更多信息，请参阅 AWS 文档中的 AWS Wavelength 如何工作。

OpenShift Container Platform 4.12 引入了一个新的计算池 edge，用于在远程区中使用。边缘计算池配置在 AWS Wavelength 区域位置之间很常见。由于 Wavelength Zones 资源上的 EC2 和 EBS 等资源的类型和大小限制，默认的实例类型可能与传统的计算池不同。

Wavelength Zones 位置的默认 Elastic Block Store (EBS) 是 gp2，它与非边缘计算池不同。根据区域上的实例产品，边缘计算池中每个 Wavelength 区域使用的实例类型可能与其他计算池不同。

边缘计算池创建新的标签，供开发人员用来将应用程序部署到 AWS Wavelength 区域节点上。新标签包括：

node-role.kubernetes.io/edge=''
machine.openshift.io/zone-type=wavelength-zone
machine.openshift.io/zone-group=$ZONE_GROUP_NAME

默认情况下，边缘计算池的机器集定义 NoSchedule 污点，以防止其他工作负载分散到 Wavelength Zones 实例。只有用户在 pod 规格中定义容限时，用户才能运行用户工作负载。

其他资源

4.3.12.3. 安装先决条件

在 AWS Wavelength Zones 环境中安装集群前，您必须配置基础架构，以便它可以使用 Wavelength Zone 功能。

4.3.12.3.1. 选择 AWS Wavelength 区域

如果您计划在 AWS Wavelength 区域中创建子网，则必须单独选择每个 zone group。

先决条件

已安装 AWS CLI。
您已决定要部署 OpenShift Container Platform 集群的 AWS 区域。
您已将 permissive IAM 策略附加到选择 zone 组的用户或组帐户。

流程

运行以下命令，列出 AWS 区域中可用的区域：
在 AWS 区域中列出可用 AWS Wavelength 区域的命令示例
```
$ aws --region "<value_of_AWS_Region>" ec2 describe-availability-zones \
    --query 'AvailabilityZones[].[{ZoneName: ZoneName, GroupName: GroupName, Status: OptInStatus}]' \
    --filters Name=zone-type,Values=wavelength-zone \
    --all-availability-zones
```
根据 AWS 区域，可用区列表可能比较长。该命令返回以下字段：
ZoneName
Wavelength 区域的名称。
GroupName
组成区域的组。要选择 Region，保存名称。
Status
Wavelength Zones 组的状态。如果状态是 not-opted-in，则需要选择 GroupName，如下一步所述。
运行以下命令，选择 AWS 帐户上的 zone 组：
```
$ aws ec2 modify-availability-zone-group \
    --group-name "<value_of_GroupName>" \1
    --opt-in-status opted-in
```
1
将 <value_of_GroupName> 替换为您要创建子网的 Wavelength 区域组的名称。对于 Wavelength 区域的示例，指定 us-east-1-wl1 使用区域 us-east-1-wl1-nyc-wlz-1 (US East New York)。

4.3.12.3.2. 获取 AWS Marketplace 镜像

如果要使用 AWS Marketplace 镜像部署 OpenShift Container Platform 集群，您必须首先通过 AWS 订阅。订阅提供的提供的 AMI ID 可让您使用安装程序用来部署计算节点的 AMI ID。

先决条件

有 AWS 账户购买的产品。此帐户不必与用于安装集群的帐户相同。

流程

从 AWS Marketplace 完成 OpenShift Container Platform 订阅。
记录特定 AWS 区域的 AMI ID。作为安装过程的一部分，您必须在部署集群前使用这个值更新 install-config.yaml 文件。
使用 AWS Marketplace 计算节点的 install-config.yaml 文件示例
```
apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'
```
1
来自 AWS Marketplace 订阅的 AMI ID。
2
您的 AMI ID 与特定的 AWS 区域相关联。在创建安装配置文件时，请确保选择配置订阅时指定的相同 AWS 区域。

4.3.12.4. 准备安装

在将节点扩展到 Wavelength 区域前，您必须为集群安装环境准备某些资源。

4.3.12.4.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.20. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

4.3.12.4.2. 为 AWS 测试的实例类型

以下 Amazon Web Services (AWS) 实例类型已与 OpenShift Container Platform 测试，用于 AWS Wavelength Zones。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.51. 基于 AWS Wavelength 区域的 64 位 x86 架构的机器类型

r5.*
t3.*

其他资源

请参阅 AWS 文档中的 AWS Wavelength 功能。

4.3.12.4.3. 创建安装配置文件

生成并自定义安装程序部署集群所需的安装配置文件。

先决条件

已获取 OpenShift Container Platform 安装程序和集群的 pull secret。
使用红帽发布的附带 Red Hat Enterprise Linux CoreOS (RHCOS) AMI 检查您是否将集群部署到 AWS 区域。如果要部署到需要自定义 AMI 的 AWS 区域，如 AWS GovCloud 区域，您必须手动创建 install-config.yaml 文件。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  重要
  指定一个空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 aws 作为目标平台。
  3. 如果计算机上没有保存 AWS 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 secret 访问密钥。
    注意
    AWS 访问密钥 ID 和 secret 访问密钥存储在安装主机上当前用户主目录中的 ~/.aws/credentials 中。如果文件中不存在导出的配置集凭证，安装程序会提示您输入凭证。您向安装程序提供的所有凭证都存储在文件中。
  4. 选择要将集群部署到的 AWS Region。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
  7. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret。
可选：备份 install-config.yaml 文件。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

4.3.12.4.4. 使用边缘计算池安装配置文件示例

以下示例显示了包含边缘机器池配置的 install-config.yaml 文件。

使用自定义实例类型使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      type: r5.2xlarge
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

实例类型因位置而异。要验证集群运行的 Wavelength 区域中的可用性，请参阅 AWS 文档。

使用自定义安全组使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

1: 指定安全组的名称，因为它在 Amazon EC2 控制台中显示。确保包含 sg 前缀。

4.3.12.5. AWS Wavelength Zones 环境的集群安装选项

选择以下安装选项之一，在 AWS 上安装带有在 Wavelength Zones 中定义的边缘计算节点的 OpenShift Container Platform 集群：

完全自动化选项：安装集群将计算节点快速扩展到边缘计算池，其中安装程序会自动为 OpenShift Container Platform 集群创建基础架构资源。
现有 VPC 选项：在 AWS 上安装集群到现有的 VPC 中，您可以为 install-config.yaml 文件提供 Wavelength Zones 子网。

后续步骤

选择以下选项之一在 AWS Wavelength Zones 环境中安装 OpenShift Container Platform 集群：

4.3.12.6. 在 AWS Wavelength 区中快速安装集群

对于 OpenShift Container Platform 4.16，您可以在 Amazon Web Services (AWS) 上快速安装集群，以将计算节点扩展到 Wavelength 区域位置。通过使用此安装路由，安装程序会为您在配置文件中定义的每个区自动创建网络资源和 Wavelength 区域子网。要自定义安装，您必须在部署集群前修改 install-config.yaml 文件中的参数。

4.3.12.6.1. 修改安装配置文件以使用 AWS Wavelength 区域

修改 install-config.yaml 文件，使其包含 AWS Wavelength 区域。

先决条件

您已配置了 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
熟悉在指定安装程序为 OpenShift Container Platform 集群自动创建子网时应用的配置限制。
您选择每个区的 Wavelength Zones 组。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在边缘计算池的 platform.aws.zones 属性中指定 Wavelength Zones 名称来修改 install-config.yaml 文件。

# ...
platform:
  aws:
    region: <region_name> 1
compute:
- name: edge
  platform:
    aws:
      zones: 2
      - <wavelength_zone_name>
#...

1: AWS 区域名称。
2: 您使用的 Wavelength 区域名称列表必须存在于 platform.aws.region 字段中指定的同一 AWS 区域。

在 us-west-2 AWS 区域上安装集群的配置示例，将边缘节点扩展到 Los Angeles 和 Las Vegas 位置中的 Wavelength Zones

apiVersion: v1
baseDomain: example.com
metadata:
  name: cluster-name
platform:
  aws:
    region: us-west-2
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-wl1-lax-wlz-1
      - us-west-2-wl1-las-wlz-1
pullSecret: '{"auths": ...}'
sshKey: 'ssh-ed25519 AAAA...'
#...

部署集群。

其他资源

后续步骤

部署集群

4.3.12.7. 在具有 Wavelength Zone 子网的现有 VPC 上安装集群

您可以在 Amazon Web Services (AWS) 上将集群安装到现有的 Amazon Virtual Private Cloud (VPC) 中。安装程序会置备所需基础架构的其余部分，您可以进一步自定义这些基础架构。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

在 AWS 上安装集群到现有的 VPC 中，需要使用 AWS Wavelength 区域将计算节点扩展到 Cloud Infrastructure 的边缘。

您可以使用提供的 CloudFormation 模板来创建网络资源。另外，您可以修改模板来自定义模板，或使用其包含的信息根据公司的策略创建 AWS 资源。

重要

执行安装程序置备的基础架构安装的步骤仅作为示例。在现有 VPC 上安装集群需要了解云供应商和 OpenShift Container Platform 安装过程。您可以使用 CloudFormation 模板来帮助您完成这些步骤，或者帮助您建模您自己的集群安装。您可以决定使用其他方法生成这些资源，而不使用 CloudFormation 模板来创建资源。

4.3.12.7.1. 在 AWS 中创建 VPC

您可以在 OpenShift Container Platform 集群的 Amazon Web Services (AWS) 中为所有 Wavelength 区域位置创建一个 Virtual Private Cloud (VPC) 和子网，以将计算节点扩展到边缘位置。您可以进一步自定义 VPC 以满足您的要求，包括 VPN 和路由表。您还可以添加新的 Wavelength 区域子网，不包含在初始部署中。

您可以使用提供的 CloudFormation 模板和自定义参数文件创建代表 VPC 的 AWS 资源堆栈。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
您可以选择 AWS 帐户上的 AWS Wavelength 区域。

流程

创建一个 JSON 文件，其包含 CloudFormation 模板需要的参数值：
```
[
  {
    "ParameterKey": "VpcCidr", 1
    "ParameterValue": "10.0.0.0/16" 2
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 3
    "ParameterValue": "3" 4
  },
  {
    "ParameterKey": "SubnetBits", 5
    "ParameterValue": "12" 6
  }
]
```
1
VPC 的 CIDR 块。
2
以 x.x.x.x/16-24 格式指定 CIDR 块。
3
在其中部署 VPC 的可用区的数量。
4
指定一个 1 到 3 之间的整数。
5
各个可用区中每个子网的大小。
6
指定 5 到 13 之间的整数，其中 5 为 /27，13 为 /19。
进入名为 "CloudFormation template for the VPC" 的文档部分，然后从提供的模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令，启动 CloudFormation 模板以创建代表 VPC 的 AWS 资源堆栈：
重要
您必须在一行内输入命令。
```
$ aws cloudformation create-stack --stack-name <name> \1
     --template-body file://<template>.yaml \2
     --parameters file://<parameters>.json  3
```
1
<name> 是 CloudFormation 堆栈的名称，如 cluster-VPC。如果您删除集群，则需要此堆栈的名称。
2
<template> 是您保存的 CloudFormation 模板 YAML 文件的相对路径和名称。
3
<parameters> 是相对路径和 CloudFormation 参数 JSON 文件的名称。
输出示例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f
```

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。您必须为创建集群运行的其他 CloudFormation 模板提供这些参数值。

`VpcId`	您的 VPC ID。
`PublicSubnetIds`	新公共子网的 ID。
`PrivateSubnetIds`	新专用子网的 ID。
`PublicRouteTableId`	新公共路由表 ID 的 ID。

4.3.12.7.2. VPC 的 CloudFormation 模板

您可以使用以下 CloudFormation 模板来部署 OpenShift Container Platform 集群所需的 VPC。

例 4.52. VPC 的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Condition: DoAz3
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable
  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT
  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2
  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3
  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]
  PublicRouteTableId:
    Description: Public Route table ID
    Value: !Ref PublicRouteTable
  PrivateRouteTableIds:
    Description: Private Route table IDs
    Value:
      !Join [
        ",",
        [
          !Join ["=", [
            !Select [0, "Fn::GetAZs": !Ref "AWS::Region"],
            !Ref PrivateRouteTable
          ]],
          !If [DoAz2,
               !Join ["=", [!Select [1, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable2]],
               !Ref "AWS::NoValue"
          ],
          !If [DoAz3,
               !Join ["=", [!Select [2, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable3]],
               !Ref "AWS::NoValue"
          ]
        ]
      ]

4.3.12.7.3. 创建 VPC 载体网关

要在 Wavelength 区域上运行的 OpenShift Container Platform 集群中使用公共子网，您必须创建载体网关，并将载体网关关联到 VPC。子网可用于部署负载均衡器或边缘计算节点。

要在 OpenShift Container Platform 集群的 Wavelength 区域位置创建边缘节点或面向互联网的负载均衡器，您必须创建以下所需的网络组件：

与现有 VPC 关联的载体网关。
列出路由条目的载波路由表。
与载体路由表关联的子网。

对于仅包含 Wavelength 区中的子网的 VPC 存在载体网关。

以下列表解释了 AWS Wavelength 区域位置上下文中的载体网关的功能：

提供 Wavelength Zone 和 carrier 网络之间的连接，其中包括来自载体网络的任何可用设备。
执行网络地址转换(NAT)功能，如将作为网络边框组的公共 IP 地址（从 Wavelength 区域转换为载体 IP 地址）的 IP 地址转换。这些转换功能适用于入站和出站流量。
授权来自位于特定位置的载体网络的入站流量。
授权到载波网络和互联网的出站流量。

注意

互联网没有入站连接配置，通过载体网关到 Wavelength 区域。

您可以使用提供的 CloudFormation 模板来创建以下 AWS 资源堆栈：

一个载体网关，与模板中的 VPC ID 关联。
一个用于 Wavelength Zone 的公共路由表，名为 <ClusterName>-public-carrier。
以载体网关为目标的新路由表中的默认 IPv4 路由条目。
AWS Simple Storage Service (S3) 的 VPC 网关端点。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和区域添加到本地 AWS 配置集中。

流程

进入名为"CloudFormation template for the VPC Carrier Gateway"的文档的下一部分，然后复制 VPC Carrier Gateway 模板的 CloudFormation 模板的语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令来部署 CloudFormation 模板，它会创建一个代表 VPC 的 AWS 资源堆栈：
```
$ aws cloudformation create-stack --stack-name <stack_name> \1
  --region ${CLUSTER_REGION} \
  --template-body file://<template>.yaml \2
  --parameters \//
    ParameterKey=VpcId,ParameterValue="${VpcId}" \3
    ParameterKey=ClusterName,ParameterValue="${ClusterName}" 4
```
1
<stack_name> 是 CloudFormation 堆栈的名称，如 clusterName-vpc-carrier-gw。如果您删除集群，则需要此堆栈的名称。
2
<template> 是相对路径，以及保存的 CloudFormation 模板 YAML 文件的名称。
3
<VpcId> 是从名为"Creating a VPC in AWS"部分创建的 CloudFormation 堆栈输出中提取的 VPC ID。
4
<clusterName> 是一个自定义值，前缀为 CloudFormation 堆栈创建的资源的前缀。您可以使用 install-config.yaml 配置文件的 metadata.name 部分中定义的相同名称。
输出示例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/<stack_name>/dbedae40-2fd3-11eb-820e-12a48460849f
```

验证

运行以下命令确认 CloudFormation 模板组件已存在：
```
$ aws cloudformation describe-stacks --stack-name <stack_name>
```
在 StackStatus 显示 CREATE_COMPLETE 后，输出显示以下参数的值：确保为集群运行的其他 CloudFormation 模板提供参数值。

PublicRouteTableId

Carrier 基础架构中路由表 ID。

其他资源

请参阅 AWS 文档中的 Amazon S3。

4.3.12.7.4. VPC Carrier Gateway 的 CloudFormation 模板

您可以使用以下 CloudFormation 模板，在 AWS Wavelength 基础架构上部署 Carrier Gateway。

例 4.53. VPC Carrier Gateway 的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Creating Wavelength Zone Gateway (Carrier Gateway).

Parameters:
  VpcId:
    Description: VPC ID to associate the Carrier Gateway.
    Type: String
    AllowedPattern: ^(?:(?:vpc)(?:-[a-zA-Z0-9]+)?\b|(?:[0-9]{1,3}\.){3}[0-9]{1,3})$
    ConstraintDescription: VPC ID must be with valid name, starting with vpc-.*.
  ClusterName:
    Description: Cluster Name or Prefix name to prepend the tag Name for each subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ClusterName parameter must be specified.

Resources:
  CarrierGateway:
    Type: "AWS::EC2::CarrierGateway"
    Properties:
      VpcId: !Ref VpcId
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "cagw"]]

  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VpcId
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "public-carrier"]]

  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: CarrierGateway
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      CarrierGatewayId: !Ref CarrierGateway

  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VpcId

Outputs:
  PublicRouteTableId:
    Description: Public Route table ID
    Value: !Ref PublicRouteTable

4.3.12.7.5. 在 Wavelength 区域中创建子网

在 OpenShift Container Platform 集群中为边缘计算节点配置机器集前，您必须在 Wavelength Zones 中创建子网。对您要将计算节点部署到的每个 Wavelength 区完成以下步骤。

您可以使用提供的 CloudFormation 模板并创建 CloudFormation 堆栈。然后，您可以使用此堆栈自定义置备子网。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和区域添加到本地 AWS 配置集中。
您可以选择 Wavelength Zones 组。

流程

进入名为"CloudFormation template for the VPC 子网"的文档部分，并从模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令来部署 CloudFormation 模板，它会创建一个代表 VPC 的 AWS 资源堆栈：
```
$ aws cloudformation create-stack --stack-name <stack_name> \ 1
  --region ${CLUSTER_REGION} \
  --template-body file://<template>.yaml \ 2
  --parameters \
    ParameterKey=VpcId,ParameterValue="${VPC_ID}" \ 3
    ParameterKey=ClusterName,ParameterValue="${CLUSTER_NAME}" \ 4
    ParameterKey=ZoneName,ParameterValue="${ZONE_NAME}" \ 5
    ParameterKey=PublicRouteTableId,ParameterValue="${ROUTE_TABLE_PUB}" \ 6
    ParameterKey=PublicSubnetCidr,ParameterValue="${SUBNET_CIDR_PUB}" \ 7
    ParameterKey=PrivateRouteTableId,ParameterValue="${ROUTE_TABLE_PVT}" \ 8
    ParameterKey=PrivateSubnetCidr,ParameterValue="${SUBNET_CIDR_PVT}" 9
```
1
<stack_name> 是 CloudFormation 堆栈的名称，如 cluster-wl-<wavelength_zone_shortname>。如果您删除集群，则需要此堆栈的名称。
2
<template> 是相对路径，以及保存的 CloudFormation 模板 YAML 文件的名称。
3
${VPC_ID} 是 VPC ID，它是 VPC 模板输出中的 VpcID 值。
4
${ZONE_NAME} 是用于创建子网的 Wavelength Zones 名称的值。
5
${CLUSTER_NAME} 是 ClusterName 的值，用作新 AWS 资源名称的前缀。
6
${ROUTE_TABLE_PUB} 是从 VPC 的载体网关 CloudFormation 堆栈的输出中提取的 PublicRouteTableId。
7
${SUBNET_CIDR_PUB} 是一个有效的 CIDR 块，用于创建公共子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。
8
${ROUTE_TABLE_PVT} 是从 VPC 的 CloudFormation 堆栈的输出中提取的 PrivateRouteTableId。
9
${SUBNET_CIDR_PVT} 是一个有效的 CIDR 块，用于创建专用子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。

输出示例

arn:aws:cloudformation:us-east-1:123456789012:stack/<stack_name>/dbedae40-820e-11eb-2fd3-12a48460849f

验证

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <stack_name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。确保将这些参数值提供给您为集群创建的其他 CloudFormation 模板。

`PublicSubnetId`	由 CloudFormation 堆栈创建的公共子网的 ID。
`PrivateSubnetId`	由 CloudFormation 堆栈创建的专用子网的 ID。

4.3.12.7.6. VPC 子网的 CloudFormation 模板

您可以使用以下 CloudFormation 模板，在 Wavelength 区域基础架构上部署私有和公共子网。

例 4.54. VPC 子网的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice Subnets (Public and Private)

Parameters:
  VpcId:
    Description: VPC ID that comprises all the target subnets.
    Type: String
    AllowedPattern: ^(?:(?:vpc)(?:-[a-zA-Z0-9]+)?\b|(?:[0-9]{1,3}\.){3}[0-9]{1,3})$
    ConstraintDescription: VPC ID must be with valid name, starting with vpc-.*.
  ClusterName:
    Description: Cluster name or prefix name to prepend the Name tag for each subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ClusterName parameter must be specified.
  ZoneName:
    Description: Zone Name to create the subnets, such as us-west-2-lax-1a.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ZoneName parameter must be specified.
  PublicRouteTableId:
    Description: Public Route Table ID to associate the public subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PublicRouteTableId parameter must be specified.
  PublicSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for public subnet.
    Type: String
  PrivateRouteTableId:
    Description: Private Route Table ID to associate the private subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PrivateRouteTableId parameter must be specified.
  PrivateSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for private subnet.
    Type: String


Resources:
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PublicSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "public", !Ref ZoneName]]

  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTableId

  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PrivateSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "private", !Ref ZoneName]]

  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTableId

Outputs:
  PublicSubnetId:
    Description: Subnet ID of the public subnets.
    Value:
      !Join ["", [!Ref PublicSubnet]]

  PrivateSubnetId:
    Description: Subnet ID of the private subnets.
    Value:
      !Join ["", [!Ref PrivateSubnet]]

4.3.12.7.7. 修改安装配置文件以使用 AWS Wavelength 区域子网

修改 install-config.yaml 文件，使其包含 Wavelength Zones 子网。

先决条件

您使用"在 Wavelength Zones 中创建子网"流程创建子网。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在 platform.aws.subnets 参数中指定 Wavelength Zones 子网来修改 install-config.yaml 配置文件。

带有 Wavelength 区域子网的安装配置文件示例

# ...
platform:
  aws:
    region: us-west-2
    subnets: 1
    - publicSubnetId-1
    - publicSubnetId-2
    - publicSubnetId-3
    - privateSubnetId-1
    - privateSubnetId-2
    - privateSubnetId-3
    - publicOrPrivateSubnetID-Wavelength-1
# ...

1: 区域中创建的子网 ID 列表： Availability 和 Wavelength 区域。

其他资源

有关查看您创建的 CloudFormation 堆栈的更多信息，请参阅 AWS CloudFormation 控制台。
如需有关 AWS 配置集和凭证配置的更多信息，请参阅 AWS 文档中的配置和凭证文件设置。

后续步骤

部署集群

4.3.12.8. 可选：将公共 IP 地址分配给边缘计算节点

如果您的工作负载需要在 Wavelength 区域基础架构的公共子网中部署边缘计算节点，您可以在安装集群时配置机器集清单。

AWS Wavelength Zones 基础架构访问指定区中的网络流量，因此应用程序可在提供更接近该区的最终用户时利用较低延迟。

在私有子网中部署计算节点的默认设置可能无法满足您的需求，因此当您想要将更多自定义应用到基础架构时，请考虑在公共子网中创建边缘计算节点。

重要

默认情况下，OpenShift Container Platform 在私有子网中部署计算节点。为获得最佳性能，请考虑将计算节点放在附加了其公共 IP 地址的子网中。

您必须创建额外的安全组，但请确保仅在需要时通过互联网打开组规则。

流程

进入包含安装程序的目录并生成清单文件。确保安装清单在 openshift 和 manifests 目录级别创建。
```
$ ./openshift-install create manifests --dir <installation_directory>
```

编辑安装程序为 Wavelength Zones 生成的机器集清单，以便清单部署在公共子网中。为 spec.template.spec.providerSpec.value.publicIP 参数指定 true。

用于快速安装集群的机器集清单配置示例

spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true
          subnet:
            filters:
              - name: tag:Name
                values:
                  - ${INFRA_ID}-public-${ZONE_NAME}

在具有 Wavelength 区域子网的现有 VPC 上安装集群的机器集清单配置示例

apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  name: <infrastructure_id>-edge-<zone>
  namespace: openshift-machine-api
spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true

4.3.12.9. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.3.12.10. 验证部署集群的状态

验证 OpenShift Container Platform 是否在 AWS Wavelength Zones 上成功部署。

4.3.12.10.1. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.3.12.10.2. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

访问Web控制台

4.3.12.10.3. 验证使用边缘计算池创建的节点

安装使用 AWS Wavelength Zones 基础架构的集群后，检查安装过程中由机器集清单创建的机器状态。

要检查从添加到 install-config.yaml 文件中的子网中创建的机器集，请运行以下命令：

$ oc get machineset -n openshift-machine-api

输出示例

NAME                                         DESIRED   CURRENT   READY   AVAILABLE   AGE
cluster-7xw5g-edge-us-east-1-wl1-nyc-wlz-1   1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1a              1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1b              1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1c              1         1         1       1           3h4m

要检查从机器集创建的机器，请运行以下命令：

$ oc get machines -n openshift-machine-api

输出示例

NAME                                        PHASE     TYPE          REGION      ZONE               AGE
cluster-7xw5g-edge-us-east-1-wl1-nyc-wlz-1-wbclh  Running   c5d.2xlarge   us-east-1   us-east-1-wl1-nyc-wlz-1  3h
cluster-7xw5g-master-0                            Running   m6i.xlarge    us-east-1   us-east-1a               3h4m
cluster-7xw5g-master-1                            Running   m6i.xlarge    us-east-1   us-east-1b               3h4m
cluster-7xw5g-master-2                            Running   m6i.xlarge    us-east-1   us-east-1c               3h4m
cluster-7xw5g-worker-us-east-1a-rtp45             Running   m6i.xlarge    us-east-1   us-east-1a               3h
cluster-7xw5g-worker-us-east-1b-glm7c             Running   m6i.xlarge    us-east-1   us-east-1b               3h
cluster-7xw5g-worker-us-east-1c-qfvz4             Running   m6i.xlarge    us-east-1   us-east-1c               3h

要检查具有边缘角色的节点，请运行以下命令：

$ oc get nodes -l node-role.kubernetes.io/edge

输出示例

NAME                           STATUS   ROLES         AGE    VERSION
ip-10-0-207-188.ec2.internal   Ready    edge,worker   172m   v1.25.2+d2e245f

后续步骤

验证安装.
如果需要，您可以选择不使用远程健康。

4.3.13. 将 AWS VPC 集群扩展到 AWS Outpost

在 OpenShift Container Platform 版本 4.14 中，您可以使用 AWS Outposts 中运行的计算节点在 Amazon Web Services (AWS)上安装集群。自 OpenShift Container Platform 版本 4.15 起，不再支持这个安装方法。相反，您可以在 AWS 上将集群安装到现有的 VPC 中，并在 AWS Outposts 上置备计算节点作为安装后配置任务。

在 Amazon Web Services (AWS)上安装集群到现有的 Amazon Virtual Private Cloud (VPC) 后，您可以创建一个在 AWS Outposts 中部署计算机器的计算机器集。AWS Outposts 是一个 AWS 边缘计算服务，允许使用基于云的 AWS 部署的许多功能，并减少内部环境的延迟。如需更多信息，请参阅 AWS Outposts 文档。

4.3.13.1. OpenShift Container Platform 要求和限制的 AWS Outposts

如果配置 OpenShift Container Platform 集群以适应以下要求和限制，您可以管理 AWS Outpost 上的资源，与基于云的 AWS 集群上的资源类似：

要将 AWS 上的 OpenShift Container Platform 集群扩展到 Outpost 中，您必须将集群安装到现有的 Amazon Virtual Private Cloud (VPC) 中。
Outpost 的基础架构与 AWS 区域中的可用区关联，并使用专用子网。部署到 Outpost 中的边缘计算机器必须使用 Outpost 子网以及 Outpost 与之关联的可用区。
当 AWS Kubernetes 云控制器管理器发现 Outpost 子网时，它会尝试在 Outpost 子网中创建服务负载均衡器。AWS Outposts 不支持运行服务负载均衡器。要防止云控制器管理器在 Outpost 子网中创建不支持的服务，您必须在 Outpost 子网配置中包含 kubernetes.io/cluster/unmanaged 标签。这个要求是 OpenShift Container Platform 版本 4.16 的一个临时解决方案。如需更多信息，请参阅 OCPBUGS-30041。
AWS 上的 OpenShift Container Platform 集群包括 gp3-csi 和 gp2-csi 存储类。这些类与 Amazon Elastic Block Store (EBS) gp3 和 gp2 卷对应。OpenShift Container Platform 集群默认使用 gp3-csi 存储类，但 AWS Outposts 不支持 EBS gp3 卷。
此实现使用 node-role.kubernetes.io/outposts 污点，以防止将常规集群工作负载分散到 Outpost 节点。要在 Outpost 中调度用户工作负载，您必须在应用程序的 Deployment 资源中指定对应的容限。为用户工作负载保留 AWS Outpost 基础架构可以避免额外的配置要求，如将默认 CSI 更新至 gp2-csi，使其兼容。
要在 Outpost 中创建卷，CSI 驱动程序需要 Outpost Amazon Resource Name (ARN)。驱动程序使用 CSINode 对象中存储的拓扑密钥来确定 Outpost ARN。为确保驱动程序使用正确的拓扑值，您必须将卷绑定模式设置为 WaitForConsumer，并避免在您创建的任何新存储类上设置允许的拓扑。
当您将 AWS VPC 集群扩展到 Outpost 时，您有两个计算资源。Outpost 具有边缘计算节点，而 VPC 具有基于云的计算节点。基于云的 AWS Elastic Block 卷无法附加到 Outpost 边缘计算节点，而 Outpost 卷无法附加到基于云的计算节点。
因此，您无法使用 CSI 快照将使用持久性存储的应用程序从基于云的计算节点迁移到边缘计算节点，或直接使用原始持久性卷。要为应用程序迁移持久性存储数据，您必须执行手动备份和恢复操作。
AWS Outposts 不支持 AWS Network Load Balancers 或 AWS Classic Load Balancers。您必须使用 AWS Application Load Balancers 在 AWS Outposts 环境中为边缘计算资源启用负载均衡。
要置备 Application Load Balancer，您必须使用 Ingress 资源并安装 AWS Load Balancer Operator。如果您的集群包含共享工作负载的边缘和基于云的计算实例，则需要额外的配置。
如需更多信息，请参阅"在 AWS VPC 集群中使用 AWS Load Balancer Operator 进入 Outpost"。

其他资源

在 AWS VPC 集群中使用 AWS Load Balancer Operator 扩展至 Outpost

4.3.13.2. 获取有关您的环境的信息

要将 AWS VPC 集群扩展到 Outpost，您必须提供有关 OpenShift Container Platform 集群和 Outpost 环境的信息。您可以使用此信息完成网络配置任务，并配置在 Outpost 中创建计算机器的计算机器集。您可以使用命令行工具收集所需的详情。

4.3.13.2.1. 从 OpenShift Container Platform 集群获取信息

您可以使用 OpenShift CLI (oc)从 OpenShift Container Platform 集群获取信息。

提示

您可以使用 export 命令，将部分或所有值存储为环境变量。

先决条件

您已将 OpenShift Container Platform 集群安装到 AWS 上的自定义 VPC 中。
您可以使用具有 cluster-admin 权限的账户访问集群。
已安装 OpenShift CLI(oc)。

流程

运行以下命令，列出集群的基础架构 ID。保留这个值。

$ oc get -o jsonpath='{.status.infrastructureName}{"\n"}' infrastructures.config.openshift.io cluster

运行以下命令，获取安装程序创建的计算机器集的详情：

列出集群中的计算机器集：

$ oc get machinesets.machine.openshift.io -n openshift-machine-api

输出示例

NAME                           DESIRED   CURRENT   READY   AVAILABLE   AGE
<compute_machine_set_name_1>   1         1         1       1           55m
<compute_machine_set_name_2>   1         1         1       1           55m

显示列出的计算机器集的 Amazon Machine Image (AMI) ID。保留这个值。

$ oc get machinesets.machine.openshift.io <compute_machine_set_name_1> \
  -n openshift-machine-api \
  -o jsonpath='{.spec.template.spec.providerSpec.value.ami.id}'

显示 AWS VPC 集群的子网 ID。保留这个值。

$ oc get machinesets.machine.openshift.io <compute_machine_set_name_1> \
  -n openshift-machine-api \
  -o jsonpath='{.spec.template.spec.providerSpec.value.subnet.id}'

4.3.13.2.2. 从 AWS 帐户获取信息

您可以使用 AWS CLI (aws) 从 AWS 帐户获取信息。

提示

您可以使用 export 命令，将部分或所有值存储为环境变量。

先决条件

您有一个带有所需硬件设置的 AWS Outposts 站点。
您的 Outpost 连接到您的 AWS 帐户。
您可以使用 AWS CLI (aws) 作为具有执行所需任务权限的用户访问 AWS 帐户。

流程

运行以下命令，列出连接到 AWS 帐户的 Outposts：
```
$ aws outposts list-outposts
```
保留 aws outposts list-outposts 命令的输出中的以下值：
- Outpost ID。
- Outpost 的 Amazon 资源名称 (ARN)。
- Outpost 可用区。
  注意
  aws outposts list-outposts 命令的输出包括两个与可用区相关的值： AvailabilityZone 和 AvailabilityZoneId。您可以使用 AvailablilityZone 值配置在 Outpost 中创建计算机器的计算机器集。
使用 Outpost ID 的值，运行以下命令来显示 Outpost 中可用的实例类型。保留可用实例类型的值。
```
$ aws outposts get-outpost-instance-types \
  --outpost-id <outpost_id_value>
```
使用 Outpost ARN 的值，运行以下命令来显示 Outpost 的子网 ID。保留这个值。
```
$ aws ec2 describe-subnets \
  --filters Name=outpost-arn,Values=<outpost_arn_value>
```

4.3.13.3. 为您的 Outpost 配置网络

要将 VPC 集群扩展到 Outpost 中，您必须完成以下网络配置任务：

更改集群网络 MTU。
在 Outpost 中创建子网。

4.3.13.3.1. 更改集群网络 MTU 以支持 AWS Outposts

在安装过程中，集群网络的最大传输单元 (MTU) 会根据集群中节点的主网络接口的 MTU 自动检测到。您可能需要减少集群网络的 MTU 值来支持 AWS Outposts 子网。

重要

当 MTU 更新推出时，集群中的迁移具有破坏性且节点可能会临时不可用。

有关迁移过程的详情，包括重要的服务中断注意事项，请参阅此流程的其他资源中的"为集群网络分配 MTU"。

先决条件

已安装 OpenShift CLI(oc)。
您可以使用具有 cluster-admin 权限的账户访问集群。
已为集群识别目标 MTU。OVN-Kubernetes 网络插件的 MTU 必须设置为比集群中的最低硬件 MTU 值小 100。

流程

要获得集群网络的当前 MTU，请输入以下命令：

$ oc describe network.config cluster

输出示例

...
Status:
  Cluster Network:
    Cidr:               10.217.0.0/22
    Host Prefix:        23
  Cluster Network MTU:  1400
  Network Type:         OVNKubernetes
  Service Network:
    10.217.4.0/23
...

要开始 MTU 迁移，请输入以下命令指定迁移配置。Machine Config Operator 在集群中执行节点的滚动重启，以准备 MTU 更改。
```
$ oc patch Network.operator.openshift.io cluster --type=merge --patch \
  '{"spec": { "migration": { "mtu": { "network": { "from": <overlay_from>, "to": <overlay_to> } , "machine": { "to" : <machine_to> } } } } }'
```
其中：
<overlay_from>
指定当前的集群网络 MTU 值。
<overlay_to>
指定集群网络的目标 MTU。这个值相对于 <machine_to> 的值设置。对于 OVN-Kubernetes，这个值必须比 <machine_to> 的值小 100。
<machine_to>
指定底层主机网络上的主网络接口的 MTU。
减少集群 MTU 的示例
```
$ oc patch Network.operator.openshift.io cluster --type=merge --patch \
  '{"spec": { "migration": { "mtu": { "network": { "from": 1400, "to": 1000 } , "machine": { "to" : 1100} } } } }'
```
当 Machine Config Operator 更新每个机器配置池中的机器时，它会逐一重启每个节点。您必须等到所有节点都已更新。输入以下命令检查机器配置池状态：
```
$ oc get machineconfigpools
```
成功更新的节点具有以下状态： UPDATED=true、UPDATING=false、DEGRADED=false。
注意
默认情况下，Machine Config Operator 一次更新每个池中的一个机器，从而导致迁移总时间随着集群大小而增加。
确认主机上新机器配置的状态：
1. 要列出机器配置状态和应用的机器配置名称，请输入以下命令：
```
$ oc describe node | egrep "hostname|machineconfig"
```
  输出示例
```
kubernetes.io/hostname=master-0
machineconfiguration.openshift.io/currentConfig: rendered-master-c53e221d9d24e1c8bb6ee89dd3d8ad7b
machineconfiguration.openshift.io/desiredConfig: rendered-master-c53e221d9d24e1c8bb6ee89dd3d8ad7b
machineconfiguration.openshift.io/reason:
machineconfiguration.openshift.io/state: Done
```
2. 验证以下语句是否正确：
  - machineconfiguration.openshift.io/state 字段的值为 Done。
  - machineconfiguration.openshift.io/currentConfig 字段的值等于 machineconfiguration.openshift.io/desiredConfig 字段的值。
3. 要确认机器配置正确，请输入以下命令：
```
$ oc get machineconfig <config_name> -o yaml | grep ExecStart
```
  这里的 <config_name> 是 machineconfiguration.openshift.io/currentConfig 字段中机器配置的名称。
  机器配置必须包括以下对 systemd 配置的更新：
```
ExecStart=/usr/local/bin/mtu-migration.sh
```

要完成 MTU 迁移，请为 OVN-Kubernetes 网络插件输入以下命令：

$ oc patch Network.operator.openshift.io cluster --type=merge --patch \
  '{"spec": { "migration": null, "defaultNetwork":{ "ovnKubernetesConfig": { "mtu": <mtu> }}}}'

其中：

<mtu>: 指定您使用 <overlay_to> 指定的新集群网络 MTU。

最终调整 MTU 迁移后，每个机器配置池节点都会逐个重启一个。您必须等到所有节点都已更新。输入以下命令检查机器配置池状态：
```
$ oc get machineconfigpools
```
成功更新的节点具有以下状态： UPDATED=true、UPDATING=false、DEGRADED=false。

验证

输入以下命令验证集群中的节点是否使用您指定的 MTU：
```
$ oc describe network.config cluster
```

其他资源

更改集群网络的 MTU

4.3.13.3.2. 为 AWS 边缘计算服务创建子网

在 OpenShift Container Platform 集群中为边缘计算节点配置机器集前，您必须在 AWS Outposts 中创建子网。

您可以使用提供的 CloudFormation 模板并创建 CloudFormation 堆栈。然后，您可以使用此堆栈自定义置备子网。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和区域添加到本地 AWS 配置集中。
您已从 OpenShift Container Platform 集群、Outpost 和 AWS 帐户获取环境所需的信息。

流程

进入名为"CloudFormation template for the VPC 子网"的文档部分，并从模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令来部署 CloudFormation 模板，它会创建一个代表 VPC 的 AWS 资源堆栈：
```
$ aws cloudformation create-stack --stack-name <stack_name> \1
  --region ${CLUSTER_REGION} \
  --template-body file://<template>.yaml \2
  --parameters \
    ParameterKey=VpcId,ParameterValue="${VPC_ID}" \3
    ParameterKey=ClusterName,ParameterValue="${CLUSTER_NAME}" \4
    ParameterKey=ZoneName,ParameterValue="${ZONE_NAME}" \5
    ParameterKey=PublicRouteTableId,ParameterValue="${ROUTE_TABLE_PUB}" \6
    ParameterKey=PublicSubnetCidr,ParameterValue="${SUBNET_CIDR_PUB}" \7
    ParameterKey=PrivateRouteTableId,ParameterValue="${ROUTE_TABLE_PVT}" \8
    ParameterKey=PrivateSubnetCidr,ParameterValue="${SUBNET_CIDR_PVT}" \9
    ParameterKey=PrivateSubnetLabel,ParameterValue="private-outpost" \
    ParameterKey=PublicSubnetLabel,ParameterValue="public-outpost" \
    ParameterKey=OutpostArn,ParameterValue="${OUTPOST_ARN}" 10
```
1
<stack_name> 是 CloudFormation 堆栈的名称，如 cluster-<outpost_name>。
2
<template> 是相对路径，以及保存的 CloudFormation 模板 YAML 文件的名称。
3
${VPC_ID} 是 VPC ID，它是 VPC 模板输出中的 VpcID 值。
4
${CLUSTER_NAME} 是 ClusterName 的值，用作新 AWS 资源名称的前缀。
5
${ZONE_NAME} 是创建子网的 AWS Outposts 名称的值。
6
${ROUTE_TABLE_PUB} 是 ${VPC_ID} 中创建的公共路由表 ID，用于关联 Outposts 上的公共子网。指定用于关联此堆栈创建的 Outpost 子网的公共路由表。
7
${SUBNET_CIDR_PUB} 是一个有效的 CIDR 块，用于创建公共子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。
8
${ROUTE_TABLE_PVT} 是 ${VPC_ID} 中创建的私有路由表 ID，用于关联 Outposts 上的专用子网。指定用于关联此堆栈创建的 Outpost 子网的专用路由表。
9
${SUBNET_CIDR_PVT} 是一个有效的 CIDR 块，用于创建专用子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。
10
${OUTPOST_ARN} 是 Outpost 的 Amazon 资源名称 (ARN)。
输出示例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/<stack_name>/dbedae40-820e-11eb-2fd3-12a48460849f
```

验证

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <stack_name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值：

`PublicSubnetId`	由 CloudFormation 堆栈创建的公共子网的 ID。
`PrivateSubnetId`	由 CloudFormation 堆栈创建的专用子网的 ID。

确保将这些参数值提供给您为集群创建的其他 CloudFormation 模板。

4.3.13.3.3. VPC 子网的 CloudFormation 模板

您可以使用以下 CloudFormation 模板来部署 Outpost 子网。

例 4.55. VPC 子网的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice Subnets (Public and Private)

Parameters:
  VpcId:
    Description: VPC ID that comprises all the target subnets.
    Type: String
    AllowedPattern: ^(?:(?:vpc)(?:-[a-zA-Z0-9]+)?\b|(?:[0-9]{1,3}\.){3}[0-9]{1,3})$
    ConstraintDescription: VPC ID must be with valid name, starting with vpc-.*.
  ClusterName:
    Description: Cluster name or prefix name to prepend the Name tag for each subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ClusterName parameter must be specified.
  ZoneName:
    Description: Zone Name to create the subnets, such as us-west-2-lax-1a.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ZoneName parameter must be specified.
  PublicRouteTableId:
    Description: Public Route Table ID to associate the public subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PublicRouteTableId parameter must be specified.
  PublicSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for public subnet.
    Type: String
  PrivateRouteTableId:
    Description: Private Route Table ID to associate the private subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PrivateRouteTableId parameter must be specified.
  PrivateSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for private subnet.
    Type: String
  PrivateSubnetLabel:
    Default: "private"
    Description: Subnet label to be added when building the subnet name.
    Type: String
  PublicSubnetLabel:
    Default: "public"
    Description: Subnet label to be added when building the subnet name.
    Type: String
  OutpostArn:
    Default: ""
    Description: OutpostArn when creating subnets on AWS Outpost.
    Type: String

Conditions:
  OutpostEnabled: !Not [!Equals [!Ref "OutpostArn", ""]]

Resources:
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PublicSubnetCidr
      AvailabilityZone: !Ref ZoneName
      OutpostArn: !If [ OutpostEnabled, !Ref OutpostArn, !Ref "AWS::NoValue"]
      Tags:
      - Key: Name
        Value: !Join ['-', [ !Ref ClusterName, !Ref PublicSubnetLabel, !Ref ZoneName]]
      - Key: kubernetes.io/cluster/unmanaged 1
        Value: true

  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTableId

  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PrivateSubnetCidr
      AvailabilityZone: !Ref ZoneName
      OutpostArn: !If [ OutpostEnabled, !Ref OutpostArn, !Ref "AWS::NoValue"]
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, !Ref PrivateSubnetLabel, !Ref ZoneName]]
      - Key: kubernetes.io/cluster/unmanaged 2
        Value: true

  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTableId

Outputs:
  PublicSubnetId:
    Description: Subnet ID of the public subnets.
    Value:
      !Join ["", [!Ref PublicSubnet]]

  PrivateSubnetId:
    Description: Subnet ID of the private subnets.
    Value:
      !Join ["", [!Ref PrivateSubnet]]

1: 您必须在 AWS Outposts 的公共子网配置中包含 kubernetes.io/cluster/unmanaged 标签。
2: 您必须在 AWS Outposts 的专用子网配置中包含 kubernetes.io/cluster/unmanaged 标签。

4.3.13.4. 创建在 Outpost 上部署边缘计算机器的计算机器集

要在 AWS Outposts 上创建边缘计算机器，您必须使用兼容配置创建新的计算机器集。

先决条件

您有一个 AWS Outposts 站点。
您已将 OpenShift Container Platform 集群安装到 AWS 上的自定义 VPC 中。
您可以使用具有 cluster-admin 权限的账户访问集群。
已安装 OpenShift CLI(oc)。

流程

运行以下命令列出集群中的计算机器集：

$ oc get machinesets.machine.openshift.io -n openshift-machine-api

输出示例

NAME                            DESIRED   CURRENT   READY   AVAILABLE   AGE
<original_machine_set_name_1>   1         1         1       1           55m
<original_machine_set_name_2>   1         1         1       1           55m

记录现有计算机器集的名称。

使用以下方法之一创建一个包含新计算机器设置自定义资源 (CR) 的 YAML 文件：

运行以下命令，将现有计算机器集配置复制到新文件中：

$ oc get machinesets.machine.openshift.io <original_machine_set_name_1> \
  -n openshift-machine-api -o yaml > <new_machine_set_name_1>.yaml

您可以使用首选文本编辑器编辑此 YAML 文件。

使用您的首选文本编辑器创建名为 <new_machine_set_name_1>.yaml 的空白 YAML 文件，并包含新计算机器集所需的值。

如果您不确定为特定字段设置哪个值，您可以通过运行以下命令来查看现有计算机器集 CR 的值：

$ oc get machinesets.machine.openshift.io <original_machine_set_name_1> \
  -n openshift-machine-api -o yaml

输出示例

apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  labels:
    machine.openshift.io/cluster-api-cluster: <infrastructure_id> 1
  name: <infrastructure_id>-<role>-<availability_zone> 2
  namespace: openshift-machine-api
spec:
  replicas: 1
  selector:
    matchLabels:
      machine.openshift.io/cluster-api-cluster: <infrastructure_id>
      machine.openshift.io/cluster-api-machineset: <infrastructure_id>-<role>-<availability_zone>
  template:
    metadata:
      labels:
        machine.openshift.io/cluster-api-cluster: <infrastructure_id>
        machine.openshift.io/cluster-api-machine-role: <role>
        machine.openshift.io/cluster-api-machine-type: <role>
        machine.openshift.io/cluster-api-machineset: <infrastructure_id>-<role>-<availability_zone>
    spec:
      providerSpec: 3
# ...

1: 集群基础架构 ID。
2: 默认节点标签。对于 AWS Outposts，您可以使用 outposts 角色。
3: 省略的 providerSpec 部分包括必须为 Outpost 配置的值。

通过编辑 <new_machine_set_name_1>.yaml 文件，将新计算机器集配置为在 Outpost 中创建边缘计算机器：

AWS Outposts 的计算机器集示例

apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  labels:
    machine.openshift.io/cluster-api-cluster: <infrastructure_id> 1
  name: <infrastructure_id>-outposts-<availability_zone> 2
  namespace: openshift-machine-api
spec:
  replicas: 1
  selector:
    matchLabels:
      machine.openshift.io/cluster-api-cluster: <infrastructure_id>
      machine.openshift.io/cluster-api-machineset: <infrastructure_id>-outposts-<availability_zone>
  template:
    metadata:
      labels:
        machine.openshift.io/cluster-api-cluster: <infrastructure_id>
        machine.openshift.io/cluster-api-machine-role: outposts
        machine.openshift.io/cluster-api-machine-type: outposts
        machine.openshift.io/cluster-api-machineset: <infrastructure_id>-outposts-<availability_zone>
    spec:
      metadata:
        labels:
          node-role.kubernetes.io/outposts: ""
          location: outposts
      providerSpec:
        value:
          ami:
            id: <ami_id> 3
          apiVersion: machine.openshift.io/v1beta1
          blockDevices:
            - ebs:
                volumeSize: 120
                volumeType: gp2 4
          credentialsSecret:
            name: aws-cloud-credentials
          deviceIndex: 0
          iamInstanceProfile:
            id: <infrastructure_id>-worker-profile
          instanceType: m5.xlarge 5
          kind: AWSMachineProviderConfig
          placement:
            availabilityZone: <availability_zone>
            region: <region> 6
          securityGroups:
            - filters:
              - name: tag:Name
                values:
                  - <infrastructure_id>-worker-sg
          subnet:
            id: <subnet_id> 7
          tags:
            - name: kubernetes.io/cluster/<infrastructure_id>
              value: owned
          userDataSecret:
            name: worker-user-data
      taints: 8
        - key: node-role.kubernetes.io/outposts
          effect: NoSchedule

1: 指定集群基础架构 ID。
2: 指定计算机器设置的名称。名称由集群基础架构 ID、outposts 角色名称和 Outpost 可用区组成。
3: 指定 Amazon Machine Image (AMI) ID。
4: 指定 EBS 卷类型。AWS Outposts 需要 gp2 卷。
5: 指定 AWS 实例类型。您必须使用 Outpost 中配置的实例类型。
6: 指定 Outpost 可用区存在的 AWS 区域。
7: 指定 Outpost 的专用子网。
8: 指定污点，以防止将工作负载调度到具有 node-role.kubernetes.io/outposts 标签的节点上。要在 Outpost 中调度用户工作负载，您必须在应用程序的 Deployment 资源中指定对应的容限。

保存您的更改。
运行以下命令来创建计算机器设置 CR：
```
$ oc create -f <new_machine_set_name_1>.yaml
```

验证

要验证是否已创建计算机器设置，请运行以下命令列出集群中的计算机器集：

$ oc get machinesets.machine.openshift.io -n openshift-machine-api

输出示例

NAME                            DESIRED   CURRENT   READY   AVAILABLE   AGE
<new_machine_set_name_1>        1         1         1       1           4m12s
<original_machine_set_name_1>   1         1         1       1           55m
<original_machine_set_name_2>   1         1         1       1           55m

要列出由新计算机器集管理的机器，请运行以下命令：

$ oc get -n openshift-machine-api machines.machine.openshift.io \
  -l machine.openshift.io/cluster-api-machineset=<new_machine_set_name_1>

输出示例

NAME                             PHASE          TYPE        REGION      ZONE         AGE
<machine_from_new_1>             Provisioned    m5.xlarge   us-east-1   us-east-1a   25s
<machine_from_new_2>             Provisioning   m5.xlarge   us-east-1   us-east-1a   25s

要验证由新计算机器集创建的机器是否具有正确的配置，请运行以下命令检查 CR 中的相关字段是否有新机器：
```
$ oc describe machine <machine_from_new_1> -n openshift-machine-api
```

4.3.13.5. 在 Outpost 中创建用户工作负载

将 AWS VPC 集群中的 OpenShift Container Platform 扩展为 Outpost 后，您可以使用带有标签 node-role.kubernetes.io/outposts 的边缘计算节点在 Outpost 中创建用户工作负载。

先决条件

您已将 AWS VPC 集群扩展到 Outpost。
您可以使用具有 cluster-admin 权限的账户访问集群。
已安装 OpenShift CLI(oc)。
您已创建了部署与 Outpost 环境兼容的边缘计算机器的计算机器集。

流程

为您要部署到边缘子网中边缘计算节点的应用程序配置 Deployment 资源文件。

Deployment 清单示例

kind: Namespace
apiVersion: v1
metadata:
  name: <application_name> 1
---
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: <application_name>
  namespace: <application_namespace> 2
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 10Gi
  storageClassName: gp2-csi 3
  volumeMode: Filesystem
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: <application_name>
  namespace: <application_namespace>
spec:
  selector:
    matchLabels:
      app: <application_name>
  replicas: 1
  template:
    metadata:
      labels:
        app: <application_name>
        location: outposts 4
    spec:
      securityContext:
        seccompProfile:
          type: RuntimeDefault
      nodeSelector: 5
        node-role.kubernetes.io/outpost: ''
      tolerations: 6
      - key: "node-role.kubernetes.io/outposts"
        operator: "Equal"
        value: ""
        effect: "NoSchedule"
      containers:
        - image: openshift/origin-node
          command:
           - "/bin/socat"
          args:
            - TCP4-LISTEN:8080,reuseaddr,fork
            - EXEC:'/bin/bash -c \"printf \\\"HTTP/1.0 200 OK\r\n\r\n\\\"; sed -e \\\"/^\r/q\\\"\"'
          imagePullPolicy: Always
          name: <application_name>
          ports:
            - containerPort: 8080
          volumeMounts:
            - mountPath: "/mnt/storage"
              name: data
      volumes:
      - name: data
        persistentVolumeClaim:
          claimName: <application_name>

1: 为应用程序指定一个名称。
2: 为应用程序指定一个命名空间。应用程序命名空间可以与应用程序名称相同。
3: 指定存储类名称。对于边缘计算配置，必须使用 gp2-csi 存储类。
4: 指定标签来标识 Outpost 中部署的工作负载。
5: 指定以边缘计算节点为目标的节点选择器标签。
6: 指定与边缘计算机器计算机器集中的 key 和 effects 污点匹配的容限。设置 value 和 operator，如下所示。

运行以下命令来创建 Deployment 资源：
```
$ oc create -f <application_deployment>.yaml
```

配置 Service 对象，将 pod 从目标边缘计算节点公开到在边缘网络中运行的服务。

Service 清单示例

apiVersion: v1
kind: Service 1
metadata:
  name:  <application_name>
  namespace: <application_namespace>
spec:
  ports:
    - port: 80
      targetPort: 8080
      protocol: TCP
  type: NodePort
  selector: 2
    app: <application_name>

1: 定义 service 资源。
2: 指定要应用到受管 pod 的标签类型。

运行以下命令来创建 Service CR：

$ oc create -f <application_service>.yaml

4.3.13.6. 在边缘和基于云的 AWS 计算资源上调度工作负载

当您将 AWS VPC 集群扩展到 Outpost 时，Outpost 使用边缘计算节点，并且 VPC 使用基于云的计算节点。以下负载均衡器注意事项适用于扩展到 Outpost 中的 AWS VPC 集群：

Outposts 无法运行 AWS Network Load Balancers 或 AWS Classic Load Balancers，但扩展到 Outpost 的 VPC 集群的 Classic Load Balancer 可以附加到 Outpost 边缘计算节点。如需更多信息，请参阅在 AWS VPC 集群中使用 AWS Classic Load Balancers 扩展到 Outpost。
要在 Outpost 实例上运行负载均衡器，您必须使用 AWS Application Load Balancer。您可以使用 AWS Load Balancer Operator 部署 AWS Load Balancer Controller 的实例。控制器为 Kubernetes Ingress 资源置备 AWS Application Load Balancers。如需更多信息，请参阅在 AWS VPC 集群中使用 AWS Load Balancer Operator 扩展到 Outpost。

4.3.13.6.1. 在 AWS VPC 集群中使用 AWS Classic Load Balancers 扩展至 Outpost

AWS Outposts 基础架构无法运行 AWS Classic Load Balancers，但 AWS VPC 集群中的 Classic Load Balancers 可以在 Outpost 中目标边缘计算节点（如果边缘和基于云的子网位于同一可用区中）。因此，VPC 集群上的 Classic Load Balancers 可能会在其中一个节点类型上调度 pod。

在边缘计算节点和基于云的计算节点上调度工作负载可能会带来延迟。如果要防止 VPC 集群中的 Classic Load Balancer 针对 Outpost 边缘计算节点，您可以将标签应用到基于云的计算节点，并将 Classic Load Balancer 配置为仅在带有应用的标签的节点上调度。

注意

如果您不需要防止 VPC 集群中的 Classic Load Balancer 以 Outpost 边缘计算节点为目标，则不需要完成这些步骤。

先决条件

您已将 AWS VPC 集群扩展到 Outpost。
您可以使用具有 cluster-admin 权限的账户访问集群。
已安装 OpenShift CLI(oc)。
您已在 Outpost 中创建用户工作负载，其容限与边缘计算机器的污点匹配。

流程

可选：运行以下命令来验证边缘计算节点是否具有 location=outposts 标签，并验证输出是否只包含 Outpost 中的边缘计算节点：
```
$ oc get nodes -l location=outposts
```

运行以下命令，使用键值对标记 VPC 集群中的基于云的计算节点：

$ for NODE in $(oc get node -l node-role.kubernetes.io/worker --no-headers | grep -v outposts | awk '{print$1}'); do oc label node $NODE <key_name>=<value>; done

其中 <key_name>=<value> 是您要用来区分基于云的计算节点的标签。

输出示例

node1.example.com labeled
node2.example.com labeled
node3.example.com labeled

可选：运行以下命令来验证基于云的计算节点是否具有指定的标签，并确认输出是否包含 VPC 集群中的所有基于云的计算节点：

$ oc get nodes -l <key_name>=<value>

输出示例

NAME                   STATUS    ROLES     AGE       VERSION
node1.example.com      Ready     worker    7h        v1.29.4
node2.example.com      Ready     worker    7h        v1.29.4
node3.example.com      Ready     worker    7h        v1.29.4

通过在 Service 清单的 annotations 字段中添加基于云的子网信息来配置 Classic Load Balancer 服务：

服务配置示例

apiVersion: v1
kind: Service
metadata:
  labels:
    app: <application_name>
  name: <application_name>
  namespace: <application_namespace>
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-subnets: <aws_subnet> 1
    service.beta.kubernetes.io/aws-load-balancer-target-node-labels: <key_name>=<value> 2
spec:
  ports:
  - name: http
    port: 80
    protocol: TCP
    targetPort: 8080
  selector:
    app: <application_name>
  type: LoadBalancer

1: 指定 AWS VPC 集群的子网 ID。
2: 在节点标签中指定与密钥对匹配的键值对。

运行以下命令来创建 Service CR：
```
$ oc create -f <file_name>.yaml
```

验证

运行以下命令，验证 service 资源的状态，以显示置备的 AWS Load Balancer(ALB)的主机：

$ HOST=$(oc get service <application_name> -n <application_namespace> --template='{{(index .status.loadBalancer.ingress 0).hostname}}')

运行以下命令，验证置备的 Classic Load Balancer 主机的状态：
```
$ curl $HOST
```
在 AWS 控制台中，验证是否只有标记的实例显示为负载均衡器的目标实例。

4.3.13.6.2. 在 AWS VPC 集群中使用 AWS Load Balancer Operator 扩展至 Outpost

您可以配置 AWS Load Balancer Operator，以便在 AWS VPC 集群中置备 AWS Application Load Balancer。AWS Outposts 不支持 AWS Network Load Balancers。因此，AWS Load Balancer Operator 无法在 Outpost 中置备 Network Load Balancers。

您可以在云子网或 Outpost 子网中创建 AWS Application Load Balancer。云中的 Application Load Balancer 可以附加到基于云的计算节点，而 Outpost 中的 Application Load Balancer 可以附加到边缘计算节点。您必须使用 Outpost 子网或 VPC 子网来注解 Ingress 资源，但不能同时注解两者。

先决条件

您已将 AWS VPC 集群扩展到 Outpost。
已安装 OpenShift CLI(oc)。
已安装 AWS Load Balancer Operator 并创建了 AWS Load Balancer Controller。

流程

将 Ingress 资源配置为使用指定的子网：

Ingress 资源配置示例

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: <application_name>
  annotations:
    alb.ingress.kubernetes.io/subnets: <subnet_id> 1
spec:
  ingressClassName: alb
  rules:
    - http:
        paths:
          - path: /
            pathType: Exact
            backend:
              service:
                name: <application_name>
                port:
                  number: 80

1

指定要使用的子网。

要在 Outpost 中使用 Application Load Balancer，请指定 Outpost 子网 ID。
要在云中使用 Application Load Balancer，您必须在不同的可用区中指定至少两个子网。

其他资源

使用 AWS Load Balancer Operator 创建 AWS Load Balancer Controller 实例

4.3.13.7. 其他资源

在 AWS 上将集群安装到现有的 VPC 中