13.4. 在受限网络中安装用户置备的裸机集群

13.4.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读有关选择集群安装方法的文档，并为用户准备它。
您在镜像主机上创建 registry，并获取您的 OpenShift Container Platform 版本的 imageContentSources 数据。
重要
由于安装介质位于镜像主机上，因此您可以使用该计算机完成所有安装步骤。
已为集群置备了持久性存储。要部署私有镜像 registry，您的存储必须提供 ReadWriteMany 访问模式。
如果您使用防火墙并计划使用 Telemetry 服务，则将防火墙配置为允许集群需要访问的站点。
注意
如果要配置代理，请务必查看此站点列表。

13.4.2. 关于在受限网络中安装

在 OpenShift Container Platform 4.16 中，可以执行不需要有效的互联网连接来获取软件组件的安装。受限网络安装可以使用安装程序置备的基础架构或用户置备的基础架构完成，具体取决于您要安装集群的云平台。

如果您选择在云平台中执行受限网络安装，您仍需要访问其云 API。有些云功能，比如 Amazon Web Service 的 Route 53 DNS 和 IAM 服务，需要访问互联网。根据您的网络，在裸机硬件、Nutanix 或 VMware vSphere 上安装可能需要较少的互联网访问。

要完成受限网络安装，您必须创建一个 registry，以镜像 OpenShift 镜像 registry 的内容并包含安装介质。您可以在镜像主机上创建此 registry，该主机可同时访问互联网和您的封闭网络，也可以使用满足您的限制条件的其他方法。

重要

由于用户置备安装配置的复杂性，在尝试使用用户置备的基础架构受限网络安装前，请考虑完成标准用户置备的基础架构安装。完成此测试安装后，您可以更轻松地隔离和排除在受限网络中安装过程中可能出现的任何问题。

13.4.2.1. 其他限制

受限网络中的集群有以下额外限制和限制：

ClusterVersion 状态包含一个 Unable to retrieve available updates 错误。
默认情况下，您无法使用 Developer Catalog 的内容，因为您无法访问所需的镜像流标签。

13.4.3. OpenShift Container Platform 互联网访问

在 OpenShift Container Platform 4.16 中，您需要访问互联网来获得用来安装集群的镜像。

您必须具有以下互联网访问权限：

访问 OpenShift Cluster Manager 以下载安装程序并执行订阅管理。如果集群可以访问互联网，并且没有禁用 Telemetry，该服务会自动授权您的集群。
访问 Quay.io，以获取安装集群所需的软件包。
获取执行集群更新所需的软件包。

13.4.4. 具有用户置备基础架构的集群的要求

对于包含用户置备的基础架构的集群，您必须部署所有所需的机器。

本节论述了在用户置备的基础架构上部署 OpenShift Container Platform 的要求。

13.4.4.1. 集群安装所需的机器

最小的 OpenShift Container Platform 集群需要以下主机：

表 13.32. 最低所需的主机
主机	描述
一个临时 bootstrap 机器	集群需要 bootstrap 机器在三台 control plane 机器上部署 OpenShift Container Platform 集群。您可在安装集群后删除 bootstrap 机器。
三台 control plane 机器	control plane 机器运行组成 control plane 的 Kubernetes 和 OpenShift Container Platform 服务。
至少两台计算机器，也称为 worker 机器。	OpenShift Container Platform 用户请求的工作负载在计算机器上运行。

注意

作为例外，您可以在裸机集群中运行零台计算机器，它们仅由三台 control plane 机器组成。这为集群管理员和开发人员提供了更小、效率更高的集群，用于测试、开发和生产。不支持运行一台计算机器。

重要

要保持集群的高可用性，请将独立的物理主机用于这些集群机器。

bootstrap 和 control plane 机器必须使用 Red Hat Enterprise Linux CoreOS(RHCOS)作为操作系统。但是，计算机器可以在 Red Hat Enterprise Linux CoreOS(RHCOS)、Red Hat Enterprise Linux(RHEL) 8.6 和更高的版本。

请注意，RHCOS 基于 Red Hat Enterprise Linux(RHEL) 9.2，并继承其所有硬件认证和要求。查看红帽企业 Linux 技术功能和限制。

13.4.4.2. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 13.33. 最低资源要求
机器	操作系统	CPU ^[1]	RAM	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 CPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = CPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

13.4.4.3. 证书签名请求管理

在使用您置备的基础架构时，集群只能有限地访问自动机器管理，因此您必须提供一种在安装后批准集群证书签名请求 (CSR) 的机制。kube-controller-manager 只能批准 kubelet 客户端 CSR。machine-approver 无法保证使用 kubelet 凭证请求的提供证书的有效性，因为它不能确认是正确的机器发出了该请求。您必须决定并实施一种方法，以验证 kubelet 提供证书请求的有效性并进行批准。

其他资源

有关在裸机环境中部署三节点集群的详情，请参阅配置三节点集群。
有关在安装后批准集群证书签名请求的更多信息，请参阅批准机器的证书签名请求。

13.4.4.4. 用户置备的基础架构对网络的要求

所有 Red Hat Enterprise Linux CoreOS(RHCOS)机器都需要在启动时在 initramfs 中配置联网，以获取它们的 Ignition 配置文件。

在初次启动过程中，机器需要 IP 地址配置，该配置通过 DHCP 服务器或静态设置，提供所需的引导选项。建立网络连接后，机器会从 HTTP 或 HTTPS 服务器下载 Ignition 配置文件。然后，Ignition 配置文件用于设置每台机器的确切状态。Machine Config Operator 在安装后完成对机器的更多更改，如应用新证书或密钥。

建议使用 DHCP 服务器对集群机器进行长期管理。确保 DHCP 服务器已配置为向集群机器提供持久的 IP 地址、DNS 服务器信息和主机名。

注意

如果用户置备的基础架构没有 DHCP 服务，您可以在 RHCOS 安装时向节点提供 IP 网络配置和 DNS 服务器地址。如果要从 ISO 镜像安装，这些参数可作为引导参数传递。如需有关静态 IP 置备和高级网络选项的更多信息，请参阅 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程 部分。

Kubernetes API 服务器必须能够解析集群机器的节点名称。如果 API 服务器和 worker 节点位于不同的区域中，您可以配置默认 DNS 搜索区域，以允许 API 服务器解析节点名称。另一种支持的方法是始终通过节点对象和所有 DNS 请求中的完全限定域名引用主机。

13.4.4.4.1. 通过 DHCP 设置集群节点主机名

在 Red Hat Enterprise Linux CoreOS(RHCOS)机器上，主机名是通过 NetworkManager 设置的。默认情况下，机器通过 DHCP 获取其主机名。如果主机名不是由 DHCP 提供，请通过内核参数或者其它方法进行静态设置，请通过反向 DNS 查找获取。反向 DNS 查找在网络初始化后进行，可能需要一些时间来解决。其他系统服务可以在此之前启动，并将主机名检测为 localhost 或类似的内容。您可以使用 DHCP 为每个集群节点提供主机名来避免这种情况。

另外，通过 DHCP 设置主机名可以绕过实施 DNS split-horizon 的环境中的手动 DNS 记录名称配置错误。

13.4.4.4.2. 网络连接要求

您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的主机名。

本节详细介绍了所需的端口。

表 13.34. 用于全机器到所有机器通信的端口
协议	port	描述
ICMP	N/A	网络可访问性测试
TCP	`1936`	指标
	`9000`-`9999`	主机级别的服务，包括端口 9 `100`-`9101 上的节点导出器`，以及端口 `9099` 上的 Cluster Version Operator。
	`10250`-`10259`	Kubernetes 保留的默认端口
UDP	`4789`	VXLAN
	`6081`	Geneve
	`9000`-`9999`	主机级别的服务，包括端口 `9100`到`9101` 上的节点导出器。
	`500`	IPsec IKE 数据包
	`4500`	IPsec NAT-T 数据包
	`123`	UDP 端口 `123` 上的网络时间协议 (NTP) 如果配置了外部 NTP 时间服务器，需要打开 UDP 端口 `123`。
TCP/UDP	`30000`-`32767`	Kubernetes 节点端口
ESP	N/A	IPsec Encapsulating Security Payload(ESP)

表 13.35. 用于所有机器控制平面通信的端口
协议	port	描述
TCP	`6443`	Kubernetes API

表 13.36. control plane 机器用于 control plane 机器通信的端口
协议	port	描述
TCP	`2379`-`2380`	etcd 服务器和对等端口

用户置备的基础架构的 NTP 配置

OpenShift Container Platform 集群被配置为默认使用公共网络时间协议(NTP)服务器。如果要使用本地企业 NTP 服务器，或者集群部署在断开连接的网络中，您可以将集群配置为使用特定的时间服务器。如需更多信息，请参阅配置 chrony 时间服务 的文档。

如果 DHCP 服务器提供 NTP 服务器信息，Red Hat Enterprise Linux CoreOS(RHCOS)机器上的 chrony 时间服务会读取信息，并可以把时钟与 NTP 服务器同步。

其他资源

配置 chrony 时间服务

13.4.4.5. 用户置备的 DNS 要求

在 OpenShift Container Platform 部署中，以下组件需要 DNS 名称解析：

The Kubernetes API
OpenShift Container Platform 应用程序通配符
bootstrap、control plane 和计算机器

Kubernetes API、bootstrap 机器、control plane 机器和计算机器也需要反向 DNS 解析。

DNS A/AAAA 或 CNAME 记录用于名称解析，PTR 记录用于反向名称解析。反向记录很重要，因为 Red Hat Enterprise Linux CoreOS(RHCOS)使用反向记录为所有节点设置主机名，除非 DHCP 提供主机名。另外，反向记录用于生成 OpenShift Container Platform 需要操作的证书签名请求(CSR)。

注意

建议使用 DHCP 服务器为每个群集节点提供主机名。如需更多信息，请参阅用户置备的基础架构部分的 DHCP 建议。

用户置备的 OpenShift Container Platform 集群需要以下 DNS 记录，这些记录必须在安装前就位。在每个记录中，<cluster_name> 是集群名称，<base_domain> 是您在 install-config.yaml 文件中指定的基域。完整的 DNS 记录采用以下形式： <component>.<cluster_name>.<base_domain>.。

表 13.37. 所需的 DNS 记录
组件	记录	描述
Kubernetes API	`api.<cluster_name>.<base_domain>.`	DNS A/AAAA 或 CNAME 记录，以及用于标识 API 负载均衡器的 DNS PTR 记录。这些记录必须由集群外的客户端和集群中的所有节点解析。
Kubernetes API	`api-int.<cluster_name>.<base_domain>.`	DNS A/AAAA 或 CNAME 记录，以及用于内部标识 API 负载均衡器的 DNS PTR 记录。这些记录必须可以从集群中的所有节点解析。重要 API 服务器必须能够根据 Kubernetes 中记录的主机名解析 worker 节点。如果 API 服务器无法解析节点名称，则代理的 API 调用会失败，且您无法从 pod 检索日志。
Routes	`*.apps.<cluster_name>.<base_domain>.`	通配符 DNS A/AAAA 或 CNAME 记录，指向应用程序入口负载均衡器。应用程序入口负载均衡器以运行 Ingress Controller Pod 的机器为目标。默认情况下，Ingress Controller Pod 在计算机器上运行。这些记录必须由集群外的客户端和集群中的所有节点解析。例如，console `-openshift-console.apps.<cluster_name>.<base_domain>` 用作到 OpenShift Container Platform 控制台的通配符路由。
bootstrap 机器	`bootstrap.<cluster_name>.<base_domain>.`	DNS A/AAAA 或 CNAME 记录，以及用于标识 bootstrap 机器的 DNS PTR 记录。这些记录必须由集群中的节点解析。
control plane 机器	`<control_plane><n>.<cluster_name>.<base_domain>.`	DNS A/AAAA 或 CNAME 记录，以识别 control plane 节点的每台机器。这些记录必须由集群中的节点解析。
计算机器	`<compute><n>.<cluster_name>.<base_domain>.`	DNS A/AAAA 或 CNAME 记录，用于识别 worker 节点的每台机器。这些记录必须由集群中的节点解析。

注意

在 OpenShift Container Platform 4.4 及更新的版本中，您不需要在 DNS 配置中指定 etcd 主机和 SRV 记录。

提示

您可以使用 dig 命令验证名称和反向名称解析。如需了解详细的 验证步骤，请参阅为用户置备的基础架构验证 DNS 解析 一节。

13.4.4.5.1. 用户置备的集群的 DNS 配置示例

本节提供 A 和 PTR 记录配置示例，它们满足了在用户置备的基础架构上部署 OpenShift Container Platform 的 DNS 要求。样本不是为选择一个 DNS 解决方案提供建议。

在这个示例中，集群名称为 ocp4，基域是 example.com。

用户置备的集群的 DNS A 记录配置示例

以下示例是 BIND 区域文件，其中显示了用户置备的集群中名称解析的 A 记录示例。

例 13.7. DNS 区数据库示例

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
	IN	MX 10	smtp.example.com.
;
;
ns1.example.com.		IN	A	192.168.1.5
smtp.example.com.		IN	A	192.168.1.5
;
helper.example.com.		IN	A	192.168.1.5
helper.ocp4.example.com.	IN	A	192.168.1.5
;
api.ocp4.example.com.		IN	A	192.168.1.5 1
api-int.ocp4.example.com.	IN	A	192.168.1.5 2
;
*.apps.ocp4.example.com.	IN	A	192.168.1.5 3
;
bootstrap.ocp4.example.com.	IN	A	192.168.1.96 4
;
control-plane0.ocp4.example.com.	IN	A	192.168.1.97 5
control-plane1.ocp4.example.com.	IN	A	192.168.1.98 6
control-plane2.ocp4.example.com.	IN	A	192.168.1.99 7
;
compute0.ocp4.example.com.	IN	A	192.168.1.11 8
compute1.ocp4.example.com.	IN	A	192.168.1.7 9
;
;EOF

1: 为 Kubernetes API 提供名称解析。记录引用 API 负载均衡器的 IP 地址。
2: 为 Kubernetes API 提供名称解析。记录引用 API 负载均衡器的 IP 地址，用于内部集群通信。
3: 为通配符路由提供名称解析。记录引用应用程序入口负载均衡器的 IP 地址。应用程序入口负载均衡器以运行 Ingress Controller Pod 的机器为目标。默认情况下，Ingress Controller Pod 在计算机器上运行。
注意
在这个示例中，将相同的负载均衡器用于 Kubernetes API 和应用入口流量。在生产环境中，您可以单独部署 API 和应用程序入口负载均衡器，以便可以隔离扩展每个负载均衡器基础架构。
4: 为 bootstrap 机器提供名称解析。
5 6 7: 为 control plane 机器提供名称解析。
8 9: 为计算机器提供名称解析。

用户置备的集群的 DNS PTR 记录配置示例

以下示例 BIND 区域文件显示了用户置备的集群中反向名称解析的 PTR 记录示例。

例 13.8. 反向记录的 DNS 区数据库示例

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
;
5.1.168.192.in-addr.arpa.	IN	PTR	api.ocp4.example.com. 1
5.1.168.192.in-addr.arpa.	IN	PTR	api-int.ocp4.example.com. 2
;
96.1.168.192.in-addr.arpa.	IN	PTR	bootstrap.ocp4.example.com. 3
;
97.1.168.192.in-addr.arpa.	IN	PTR	control-plane0.ocp4.example.com. 4
98.1.168.192.in-addr.arpa.	IN	PTR	control-plane1.ocp4.example.com. 5
99.1.168.192.in-addr.arpa.	IN	PTR	control-plane2.ocp4.example.com. 6
;
11.1.168.192.in-addr.arpa.	IN	PTR	compute0.ocp4.example.com. 7
7.1.168.192.in-addr.arpa.	IN	PTR	compute1.ocp4.example.com. 8
;
;EOF

1: 为 Kubernetes API 提供反向 DNS 解析。PTR 记录引用 API 负载均衡器的记录名称。
2: 为 Kubernetes API 提供反向 DNS 解析。PTR 记录引用 API 负载均衡器的记录名称，用于内部集群通信。
3: 为 bootstrap 机器提供反向 DNS 解析。
4 5 6: 为 control plane 机器提供反向 DNS 解析。
7 8: 为计算机器提供反向 DNS 解析。

注意

OpenShift Container Platform 应用程序通配符不需要 PTR 记录。

其他资源

验证用户置备的基础架构的 DNS 解析

13.4.4.6. 用户置备的基础架构的负载均衡要求

在安装 OpenShift Container Platform 前，您必须置备 API 和应用程序入口负载均衡基础架构。在生产环境中，您可以单独部署 API 和应用程序入口负载均衡器，以便可以隔离扩展每个负载均衡器基础架构。

注意

如果要使用 Red Hat Enterprise Linux (RHEL) 实例部署 API 和应用程序入口负载均衡器，您必须单独购买 RHEL 订阅。

负载平衡基础架构必须满足以下要求：

API 负载均衡器 ：提供一个通用端点，供用户（包括人工和机器）与平台交互和配置。配置以下条件：

仅第 4 层负载均衡.这可被称为 Raw TCP 或 SSL Passthrough 模式。
无状态负载平衡算法。这些选项根据负载均衡器的实施而有所不同。

重要

不要为 API 负载均衡器配置会话持久性。为 Kubernetes API 服务器配置会话持久性可能会导致出现过量 OpenShift Container Platform 集群应用程序流量，以及过量的在集群中运行的 Kubernetes API。

在负载均衡器的前端和后端配置以下端口：

表 13.38. API 负载均衡器
port	后端机器（池成员）	internal	外部	描述
`6443`	Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后，您要从负载均衡器中删除 bootstrap 机器。您必须为 API 服务器健康检查探测配置 `/readyz` 端点。	X	X	Kubernetes API 服务器
`22623`	Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后，您要从负载均衡器中删除 bootstrap 机器。	X		机器配置服务器

注意

负载均衡器必须配置为，从 API 服务器关闭 /readyz 端点到从池中移除 API 服务器实例时最多需要 30 秒。在 /readyz 返回错误或健康后的时间范围内，端点必须被删除或添加。每 5 秒或 10 秒探测一次，有两个成功请求处于健康状态，三个成为不健康的请求是经过良好测试的值。

应用程序入口负载均衡器 ：为应用程序流量从集群外部流提供入口点。OpenShift Container Platform 集群需要正确配置入口路由器。

配置以下条件：

仅第 4 层负载均衡.这可被称为 Raw TCP 或 SSL Passthrough 模式。
建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或基于会话的持久性。

提示

如果应用程序入口负载均衡器可以看到客户端的真实 IP 地址，启用基于 IP 的会话持久性可以提高使用端到端 TLS 加密的应用程序的性能。

在负载均衡器的前端和后端配置以下端口：

表 13.39. 应用程序入口负载均衡器
port	后端机器（池成员）	internal	外部	描述
`443`	默认情况下，运行 Ingress Controller Pod、计算或 worker 的机器。	X	X	HTTPS 流量
`80`	默认情况下，运行 Ingress Controller Pod、计算或 worker 的机器。	X	X	HTTP 流量

注意

如果要部署一个带有零计算节点的三节点集群，Ingress Controller Pod 在 control plane 节点上运行。在三节点集群部署中，您必须配置应用程序入口负载均衡器，将 HTTP 和 HTTPS 流量路由到 control plane 节点。

13.4.4.6.1. 用户置备的集群的负载均衡器配置示例

本节提供了一个满足用户置备集群的负载均衡要求的 API 和应用程序入口负载均衡器配置示例。示例是 HAProxy 负载均衡器的 /etc/haproxy/haproxy.cfg 配置。这个示例不是为选择一个负载平衡解决方案提供建议。

在这个示例中，将相同的负载均衡器用于 Kubernetes API 和应用入口流量。在生产环境中，您可以单独部署 API 和应用程序入口负载均衡器，以便可以隔离扩展每个负载均衡器基础架构。

注意

如果您使用 HAProxy 作为负载均衡器，并且 SELinux 设置为 enforcing，您必须通过运行 setsebool -P haproxy_connect_any=1 来确保 HAProxy 服务可以绑定到配置的 TCP 端口。

例 13.9. API 和应用程序入口负载均衡器配置示例

global
  log         127.0.0.1 local2
  pidfile     /var/run/haproxy.pid
  maxconn     4000
  daemon
defaults
  mode                    http
  log                     global
  option                  dontlognull
  option http-server-close
  option                  redispatch
  retries                 3
  timeout http-request    10s
  timeout queue           1m
  timeout connect         10s
  timeout client          1m
  timeout server          1m
  timeout http-keep-alive 10s
  timeout check           10s
  maxconn                 3000
listen api-server-6443 1
  bind *:6443
  mode tcp
  option  httpchk GET /readyz HTTP/1.0
  option  log-health-checks
  balance roundrobin
  server bootstrap bootstrap.ocp4.example.com:6443 verify none check check-ssl inter 10s fall 2 rise 3 backup 2
  server master0 master0.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master1 master1.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master2 master2.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
listen machine-config-server-22623 3
  bind *:22623
  mode tcp
  server bootstrap bootstrap.ocp4.example.com:22623 check inter 1s backup 4
  server master0 master0.ocp4.example.com:22623 check inter 1s
  server master1 master1.ocp4.example.com:22623 check inter 1s
  server master2 master2.ocp4.example.com:22623 check inter 1s
listen ingress-router-443 5
  bind *:443
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:443 check inter 1s
  server compute1 compute1.ocp4.example.com:443 check inter 1s
listen ingress-router-80 6
  bind *:80
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:80 check inter 1s
  server compute1 compute1.ocp4.example.com:80 check inter 1s

1: 端口 6443 处理 Kubernetes API 流量并指向 control plane 机器。
2 4: bootstrap 条目必须在 OpenShift Container Platform 集群安装前就位，且必须在 bootstrap 过程完成后删除它们。
3: 端口 22623 处理机器配置服务器流量并指向 control plane 机器。
5: 端口 443 处理 HTTPS 流量，并指向运行 Ingress Controller pod 的机器。默认情况下，Ingress Controller Pod 在计算机器上运行。
6: 端口 80 处理 HTTP 流量，并指向运行 Ingress Controller pod 的机器。默认情况下，Ingress Controller Pod 在计算机器上运行。
注意
如果要部署一个带有零计算节点的三节点集群，Ingress Controller Pod 在 control plane 节点上运行。在三节点集群部署中，您必须配置应用程序入口负载均衡器，将 HTTP 和 HTTPS 流量路由到 control plane 节点。

提示

如果您使用 HAProxy 作为负载均衡器，您可以通过在 HAProxy 节点上运行 netstat -nltupe 来检查 haproxy 进程是否在侦听端口 6443、22623、443 和 80。

13.4.4.7. 可选：创建包含一个自定义 `br-ex` 网桥的清单对象

除了使用 configure-ovs.sh shell 脚本在裸机平台上设置自定义 br-ex 网桥，一个替代的选择是创建一个包括自定义 br-ex 网桥网络配置的 MachineConfig 对象。

重要

创建包含一个自定义 br-ex 网桥的 MachineConfig 对象只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

请考虑以下用例：创建包含自定义 br-ex 网桥的清单对象：

您需要对网桥进行安装后更改，如更改 Open vSwitch (OVS) 或 OVN-Kubernetes br-ex 网桥网络。configure-ovs.sh shell 脚本不支持对网桥进行安装后更改。
您希望将网桥部署到与主机或服务器 IP 地址上可用的接口不同的接口上。
您希望通过 configure-ovs.sh shell 脚本对网桥进行高级配置。对这些配置使用脚本可能会导致网桥无法连接多个网络接口，并无法正确处理接口之间的数据转发。

注意

如果您需要一个只带有单一网络接口控制器 (NIC) 和默认网络设置的环境，请使用 configure-ovs.sh shell 脚本。

在安装 Red Hat Enterprise Linux CoreOS (RHCOS) 并重启系统后，Machine Config Operator 会将 Ignition 配置文件注入集群中的每个节点，以便每个节点收到 br-ex 网桥网络配置。为防止配置冲突，configure-ovs.sh shell 脚本会收到一个不要配置 br-ex 网桥的信号。

先决条件

可选：已安装 nmstate API，以便您可以验证 NMState 配置。

流程

为您的自定义 br-ex 网桥网络创建一个使用 base64 信息的 NMState 配置文件：

自定义 br-ex 网桥网络的 NMState 配置示例

interfaces:
- name: enp2s0 1
  type: ethernet 2
  state: up 3
  ipv4:
    enabled: false 4
  ipv6:
    enabled: false
- name: br-ex
  type: ovs-bridge
  state: up
  ipv4:
    enabled: false
    dhcp: false
  ipv6:
    enabled: false
    dhcp: false
  bridge:
    port:
    - name: enp2s0 5
    - name: br-ex
- name: br-ex
  type: ovs-interface
  state: up
  copy-mac-from: enp2s0
  ipv4:
    enabled: true
    dhcp: true
  ipv6:
    enabled: false
    dhcp: false
# ...

1: 接口的名称。
2: 以太网的类型。
3: 创建后接口的请求状态。
4: 在这个示例中禁用 IPv4 和 IPv6。
5: 网桥附加到的节点 NIC。

使用 cat 命令对 NMState 配置的内容进行 base64 编码：
```
$ cat <nmstate_configuration>.yaml | base64 1
```
1
将 <nmstate_configuration> 替换为 NMState 资源 YAML 文件的名称。
创建 MachineConfig 清单文件，并定义一个自定义 br-ex 网桥网络配置，如下例所示：
```
apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker 1
  name: 10-br-ex-worker 2
spec:
  config:
    ignition:
      version: 3.2.0
    storage:
      files:
      - contents:
          source: data:text/plain;charset=utf-8;base64,<base64_encoded_nmstate_configuration> 3
        mode: 0644
        overwrite: true
        path: /etc/nmstate/openshift/cluster.yml
# ...
```
1
对于集群中的每个节点，指定节点的主机名路径以及机器类型的 base-64 编码 Ignition 配置文件数据。如果您在要应用到集群中的所有节点的 /etc/nmstate/openshift/cluster.yml 配置文件中指定了单个全局配置，则不需要为每个节点指定主机名路径。worker 角色是集群中节点的默认角色。当为每个节点，或 MachineConfig 清单文件中的所有节点指定主机名路径时，.yaml 扩展无法正常工作。
2
策略的名称。
3
将编码的 base64 信息写入指定路径。

13.4.4.8. 可选：将每个机器集扩展到计算节点

要将自定义 br-ex 网桥配置应用到 OpenShift Container Platform 集群中的所有计算节点，您必须编辑 MachineConfig 自定义资源 (CR) 并修改其角色。另外，您必须创建一个 BareMetalHost CR，用于定义裸机机器的信息，如主机名、凭证等。

配置这些资源后，您必须扩展机器集，以便机器集可以将资源配置应用到每个计算节点并重新引导节点。

先决条件

您创建了包含自定义 br-ex 网桥配置的 MachineConfig 清单对象。

流程

输入以下命令编辑 MachineConfig CR：

$ oc edit mc <machineconfig_custom_resource_name>

将每个计算节点配置添加到 CR，以便 CR 可以管理集群中每个定义的计算节点的角色。
创建名为 extraworker-secret 的 Secret 对象，该对象具有最小的静态 IP 配置。
输入以下命令将 extraworker-secret secret 应用到集群中的每个节点。此步骤提供每个计算节点对 Ignition 配置文件的访问权限。
```
$ oc apply -f ./extraworker-secret.yaml
```
创建 BareMetalHost 资源并在 preprovisioningNetworkDataName 参数中指定网络 secret：
带有附加网络 secret 的 BareMetalHost 资源示例
```
apiVersion: metal3.io/v1alpha1
kind: BareMetalHost
spec:
# ...
  preprovisioningNetworkDataName: ostest-extraworker-0-network-config-secret
# ...
```
要管理集群的 openshift-machine-api 命名空间中的 BareMetalHost 对象，请输入以下命令来更改命名空间：
```
$ oc project openshift-machine-api
```
获取机器集：
```
$ oc get machinesets
```
输入以下命令扩展每个机器集。您必须为每个机器集运行这个命令。
```
$ oc scale machineset <machineset_name> --replicas=<n> 1
```
1
其中 <machineset_name> 是机器集的名称，<n> 是计算节点的数量。

13.4.5. 准备用户置备的基础架构

在用户置备的基础架构上安装 OpenShift Container Platform 之前，您必须准备底层基础架构。

本节详细介绍了设置集群基础架构以准备 OpenShift Container Platform 安装所需的高级别步骤。这包括为您的集群节点配置 IP 网络和网络连接，通过防火墙启用所需的端口，以及设置所需的 DNS 和负载均衡基础架构。

准备后，集群基础架构必须满足 带有用户置备的基础架构部分的集群要求。

先决条件

您已参阅 OpenShift Container Platform 4.x Tested Integrations 页面。
您已查看了 具有用户置备基础架构的集群要求部分中详述的基础架构 要求。

流程

如果您使用 DHCP 向集群节点提供 IP 网络配置，请配置 DHCP 服务。
1. 将节点的持久 IP 地址添加到您的 DHCP 服务器配置。在您的配置中，将相关网络接口的 MAC 地址与每个节点的预期 IP 地址匹配。
2. 当您使用 DHCP 为集群机器配置 IP 寻址时，机器还通过 DHCP 获取 DNS 服务器信息。定义集群节点通过 DHCP 服务器配置使用的持久性 DNS 服务器地址。
  注意
  如果没有使用 DHCP 服务，则必须在 RHCOS 安装时为节点提供 IP 网络配置和 DNS 服务器地址。如果要从 ISO 镜像安装，这些参数可作为引导参数传递。如需有关静态 IP 置备和高级网络选项的更多信息，请参阅 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程 部分。
3. 在 DHCP 服务器配置中定义集群节点的主机名。有关 主机名注意事项的详情，请参阅通过 DHCP 设置集群节点 主机名部分。
  注意
  如果没有使用 DHCP 服务，集群节点可以通过反向 DNS 查找来获取其主机名。
确保您的网络基础架构提供集群组件之间所需的网络连接。有关 要求的详情，请参阅用户置备的基础架构 的网络要求部分。
将防火墙配置为启用 OpenShift Container Platform 集群组件进行通信所需的端口。如需有关所需端口的详细信息，请参阅用户置备的基础架构 部分的网络要求。
重要
默认情况下，OpenShift Container Platform 集群可以访问端口 1936，因为每个 control plane 节点都需要访问此端口。
避免使用 Ingress 负载均衡器公开此端口，因为这样做可能会导致公开敏感信息，如统计信息和指标（与 Ingress Controller 相关的统计信息和指标）。
为集群设置所需的 DNS 基础架构。
1. 为 Kubernetes API、应用程序通配符、bootstrap 机器、control plane 机器和计算机器配置 DNS 名称解析。
2. 为 Kubernetes API、bootstrap 机器、control plane 机器和计算机器配置反向 DNS 解析。
  如需有关 OpenShift Container Platform DNS 要求的更多信息，请参阅用户置备 DNS 要求部分。
验证您的 DNS 配置。
1. 从安装节点，针对 Kubernetes API 的记录名称、通配符路由和集群节点运行 DNS 查找。验证响应中的 IP 地址是否与正确的组件对应。
2. 从安装节点，针对负载均衡器和集群节点的 IP 地址运行反向 DNS 查找。验证响应中的记录名称是否与正确的组件对应。
  有关详细的 DNS 验证步骤，请参阅用户置备的基础架构 验证 DNS 解析部分。
置备所需的 API 和应用程序入口负载平衡基础架构。有关 要求的更多信息，请参阅用户置备的基础架构的负载平衡 要求部分。

注意

某些负载平衡解决方案要求在初始化负载平衡之前，对群集节点进行 DNS 名称解析。

其他资源

13.4.6. 验证用户置备的基础架构的 DNS 解析

您可以在在用户置备的基础架构上安装 OpenShift Container Platform 前验证 DNS 配置。

重要

本节中详述的验证步骤必须在安装集群前成功。

先决条件

已为您的用户置备的基础架构配置了所需的 DNS 记录。

流程

从安装节点，针对 Kubernetes API 的记录名称、通配符路由和集群节点运行 DNS 查找。验证响应中包含的 IP 地址是否与正确的组件对应。
1. 对 Kubernetes API 记录名称执行查询。检查结果是否指向 API 负载均衡器的 IP 地址：
```
$ dig +noall +answer @<nameserver_ip> api.<cluster_name>.<base_domain> 1
```
  1
  将 <nameserver_ip> 替换为 nameserver 的 IP 地址，<cluster_name> 替换为您的集群名称，<base_domain> 替换为您的基本域名。
  输出示例
```
api.ocp4.example.com.		604800	IN	A	192.168.1.5
```
2. 对 Kubernetes 内部 API 记录名称执行查询。检查结果是否指向 API 负载均衡器的 IP 地址：
```
$ dig +noall +answer @<nameserver_ip> api-int.<cluster_name>.<base_domain>
```
  输出示例
```
api-int.ocp4.example.com.		604800	IN	A	192.168.1.5
```
3. 测试 *.apps.<cluster_name>.<base_domain> DNS 通配符查找示例。所有应用程序通配符查询都必须解析为应用程序入口负载均衡器的 IP 地址：
```
$ dig +noall +answer @<nameserver_ip> random.apps.<cluster_name>.<base_domain>
```
  输出示例
```
random.apps.ocp4.example.com.		604800	IN	A	192.168.1.5
```
  注意
  在示例中，将相同的负载均衡器用于 Kubernetes API 和应用程序入口流量。在生产环境中，您可以单独部署 API 和应用程序入口负载均衡器，以便可以隔离扩展每个负载均衡器基础架构。
  您可以使用另一个通配符值替换 random。例如，您可以查询到 OpenShift Container Platform 控制台的路由：
```
$ dig +noall +answer @<nameserver_ip> console-openshift-console.apps.<cluster_name>.<base_domain>
```
  输出示例
```
console-openshift-console.apps.ocp4.example.com. 604800 IN	A 192.168.1.5
```
4. 针对 bootstrap DNS 记录名称运行查询。检查结果是否指向 bootstrap 节点的 IP 地址：
```
$ dig +noall +answer @<nameserver_ip> bootstrap.<cluster_name>.<base_domain>
```
  输出示例
```
bootstrap.ocp4.example.com.		604800	IN	A	192.168.1.96
```
5. 使用此方法对 control plane 和计算节点的 DNS 记录名称执行查找。检查结果是否与每个节点的 IP 地址对应。
从安装节点，针对负载均衡器和集群节点的 IP 地址运行反向 DNS 查找。验证响应中包含的记录名称是否与正确的组件对应。
1. 对 API 负载均衡器的 IP 地址执行反向查找。检查响应是否包含 Kubernetes API 和 Kubernetes 内部 API 的记录名称：
```
$ dig +noall +answer @<nameserver_ip> -x 192.168.1.5
```
  输出示例
```
5.1.168.192.in-addr.arpa. 604800	IN	PTR	api-int.ocp4.example.com. 1
5.1.168.192.in-addr.arpa. 604800	IN	PTR	api.ocp4.example.com. 2
```
  1
  为 Kubernetes 内部 API 提供记录名称。
  2
  为 Kubernetes API 提供记录名称。
  注意
  OpenShift Container Platform 应用程序通配符不需要 PTR 记录。针对应用程序入口负载均衡器的 IP 地址解析反向 DNS 解析不需要验证步骤。
2. 对 bootstrap 节点的 IP 地址执行反向查找。检查结果是否指向 bootstrap 节点的 DNS 记录名称：
```
$ dig +noall +answer @<nameserver_ip> -x 192.168.1.96
```
  输出示例
```
96.1.168.192.in-addr.arpa. 604800	IN	PTR	bootstrap.ocp4.example.com.
```
3. 使用此方法对 control plane 和计算节点的 IP 地址执行反向查找。检查结果是否与每个节点的 DNS 记录名称对应。

其他资源

13.4.7. 为集群节点 SSH 访问生成密钥对

在 OpenShift Container Platform 安装过程中，您可以为安装程序提供 SSH 公钥。密钥通过它们的 Ignition 配置文件传递给 Red Hat Enterprise Linux CoreOS(RHCOS)节点，用于验证对节点的 SSH 访问。密钥添加到每个节点上 core 用户的 ~/.ssh/authorized_keys 列表中，这将启用免密码身份验证。

将密钥传递给节点后，您可以使用密钥对作为用户 核心 通过 SSH 连接到 RHCOS 节点。若要通过 SSH 访问节点，必须由 SSH 为您的本地用户管理私钥身份。

如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。

重要

不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。

注意

您必须使用本地密钥，而不是使用特定平台方法配置的密钥，如 AWS 密钥对。

流程

如果您在本地计算机上没有可用于在集群节点上进行身份验证的现有 SSH 密钥对，请创建一个。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
```
1
指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的公钥位于 ~/.ssh 目录中。
注意
如果您计划在 x86_64、ppc64le 和 s390x 架构上安装使用 RHEL 加密库（这些加密库已提交给 NIST 用于 FIPS 140-2/140-3 验证）的 OpenShift Container Platform 集群，则不要创建使用 ed25519 算法的密钥。相反，创建一个使用 rsa 或 ecdsa 算法的密钥。
查看公共 SSH 密钥：
```
$ cat <path>/<file_name>.pub
```
例如，运行以下命令来查看 ~/.ssh/id_ed25519.pub 公钥：
```
$ cat ~/.ssh/id_ed25519.pub
```
将 SSH 私钥身份添加到本地用户的 SSH 代理（如果尚未添加）。在集群节点上，或者要使用 ./openshift-install gather 命令，需要对该密钥进行 SSH 代理管理，才能在集群节点上进行免密码 SSH 身份验证。
注意
在某些发行版中，自动管理默认 SSH 私钥身份，如 ~/.ssh/id_rsa 和 ~/.ssh/id_dsa。
1. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动：
```
$ eval "$(ssh-agent -s)"
```
  输出示例
```
Agent pid 31874
```
  注意
  如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必须是 RSA 或 ECDSA。
将 SSH 私钥添加到 ssh-agent ：
```
$ ssh-add <path>/<file_name> 1
```
1
指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub
输出示例
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```

后续步骤

安装 OpenShift Container Platform 时，为安装程序提供 SSH 公钥。如果在您置备的基础架构上安装集群，则必须为安装程序提供密钥。

其他资源

验证节点健康状况

13.4.8. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您在本地机器上有一个 SSH 公钥来提供给安装程序。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。
获取命令输出中的 imageContentSources 部分来 镜像存储库。
获取您的镜像 registry 的证书内容。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
您必须将此配置文件命名为 install-config.yaml。
- 除非使用 RHCOS 默认信任的 registry，如 docker.io，否则必须在 additionalTrustBundle 部分中提供镜像存储库的证书内容。在大多数情况下，您必须为您的镜像提供证书。
- 您必须包含命令输出 中的 imageContentSources 部分才能 镜像存储库。
重要
- 在镜像过程完成后，ImageContentSourcePolicy 文件作为 oc mirror 的输出生成。
- oc mirror 命令会生成 ImageContentSourcePolicy 文件，其中包含定义 ImageContentSourcePolicy 所需的 YAML。复制此文件中的文本并将其粘贴到 install-config.yaml 文件中。
- 您必须运行 'oc mirror' 命令两次。第一次运行 oc mirror 命令时，您将获得完整的 ImageContentSourcePolicy 文件。第二次运行 oc mirror 命令时，您只获得第一次运行和第二次运行之间的差别。由于此行为，您必须始终保留这些文件的备份，以防需要将这些文件合并到一个完整的 ImageContentSourcePolicy 文件中。备份这两个输出文件可确保您有完整的 ImageContentSourcePolicy 文件。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

裸机的安装配置参数

13.4.8.1. 裸机 install-config.yaml 文件示例

您可以自定义 install-config.yaml 文件，以指定有关 OpenShift Container Platform 集群平台的更多详情，或修改所需参数的值。

apiVersion: v1
baseDomain: example.com 1
compute: 2
- hyperthreading: Enabled 3
  name: worker
  replicas: 0 4
controlPlane: 5
  hyperthreading: Enabled 6
  name: master
  replicas: 3 7
metadata:
  name: test 8
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14 9
    hostPrefix: 23 10
  networkType: OVNKubernetes 11
  serviceNetwork: 12
  - 172.30.0.0/16
platform:
  none: {} 13
fips: false 14
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 15
sshKey: 'ssh-ed25519 AAAA...' 16
additionalTrustBundle: | 17
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----
imageContentSources: 18
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

1

集群的基域。所有 DNS 记录都必须是这个基域的子域，并包含集群名称。

2 5

controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。

3 6

指定要启用或禁用并发多线程(SMT)还是超线程。默认情况下，启用 SMT 可提高机器中内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果禁用 SMT，则必须在所有集群机器中禁用它；这包括 control plane 和计算机器。

注意

默认启用并发多线程(SMT)。如果您的 BIOS 设置中没有启用 SMT，超线程 参数无效。

重要

如果您禁用 超线程，无论是在 BIOS 中，还是在 install-config.yaml 文件中，请确保您的容量规划考虑机器性能显著降低的情况。

4

在用户置备的基础架构上安装 OpenShift Container Platform 时，必须将这个值设置为 0。在安装程序置备的安装中，参数控制集群为您创建和管理的计算机器数量。在用户置备的安装中，您必须在完成集群安装前手动部署计算机器。

注意

如果要安装一个三节点集群，在安装 Red Hat Enterprise Linux CoreOS(RHCOS)机器时不要部署任何计算机器。

7

您添加到集群的 control plane 机器数量。由于集群使用这些值作为集群中的 etcd 端点数量，所以该值必须与您部署的 control plane 机器数量匹配。

8

您在 DNS 记录中指定的集群名称。

9

从中分配 Pod IP 地址的 IP 地址块。此块不得与现有物理网络重叠。这些 IP 地址用于 pod 网络。如果需要从外部网络访问 pod，您必须配置负载均衡器和路由器来管理流量。

注意

类 E CIDR 范围被保留以供以后使用。要使用 Class E CIDR 范围，您必须确保您的网络环境接受 Class E CIDR 范围内的 IP 地址。

10

分配给每个节点的子网前缀长度。例如，如果 hostPrefix 设为 23，则每个节点从 given cidr 中分配 a /23 子网，这样就能有 510（2^(32 - 23)- 2）个 pod IP 地址。如果需要从外部网络访问节点，请配置负载均衡器和路由器来管理流量。

11

要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。

12

用于服务 IP 地址的 IP 地址池。您只能输入一个 IP 地址池。此块不得与现有物理网络重叠。如果您需要从外部网络访问服务，请配置负载均衡器和路由器来管理流量。

13

您必须将平台设置为 none。您无法为您的平台提供额外的平台配置变量。

重要

使用平台类型 none 安装的集群无法使用一些功能，如使用 Machine API 管理计算机器。即使附加到集群的计算机器安装在通常支持该功能的平台上，也会应用这个限制。在安装后无法更改此参数。

14

是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。

重要

要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。

当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。

15

对于 <local_registry>，请指定 registry 域名，以及您的镜像 registry 用来提供内容的可选端口。例如： registry.example.com 或 registry.example.com:5000。对于 <credentials>，请为您的镜像 registry 指定 base64 编码的用户名和密码。

16

Red Hat Enterprise Linux CoreOS(RHCOS)中 core 用户的 SSH 公钥。

注意

对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。

17

提供用于镜像 registry 的证书文件内容。

18

根据您用来镜像存储库的命令输出提供 imageContentSources 部分。

重要

使用 oc adm release mirror 命令时，请使用 imageContentSources 部分中的输出。
使用 oc mirror 命令时，请使用运行该命令结果的 ImageContentSourcePolicy 文件的 repositoryDigestMirrors 部分。
ImageContentSourcePolicy 已被弃用。如需更多信息，请参阅配置镜像 registry 存储库镜像。

其他资源

如需有关 API 和应用程序入口负载均衡要求的更多信息，请参阅用户置备的基础架构的负载平衡要求。

13.4.8.2. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

注意

对于裸机安装，如果您没有从 install-config.yaml 文件中的 networking.machineNetwork[].cidr 字段指定的范围分配节点 IP 地址，您必须将其包括在 proxy.noProxy 字段中。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

13.4.8.3. 配置三节点集群

另外，您可以在只由三台 control plane 机器组成的裸机集群中部署零台计算机器。这为集群管理员和开发人员提供了更小、效率更高的集群，用于测试、开发和生产。

在三节点 OpenShift Container Platform 环境中，三台 control plane 机器可以调度，这意味着应用程序工作负载被调度到它们上运行。

先决条件

您有一个现有的 install-config.yaml 文件。

流程

确保 install-config.yaml 文件中的计算副本数量设置为 0，如以下 计算 小节所示：
```
compute:
- name: worker
  platform: {}
  replicas: 0
```
注意
在用户置备的基础架构上安装 OpenShift Container Platform 时，无论您要部署的计算机器数量有多少，您必须将计算机器的 replicas 参数值设置为 0。在安装程序置备的安装中，参数控制集群为您创建和管理的计算机器数量。这不适用于手动部署计算机器的用户置备安装。

对于三节点集群安装，请按照以下步骤执行：

如果要部署一个带有零计算节点的三节点集群，Ingress Controller Pod 在 control plane 节点上运行。在三节点集群部署中，您必须配置应用程序入口负载均衡器，将 HTTP 和 HTTPS 流量路由到 control plane 节点。如需更多信息，请参阅用户置备的基础架构的负载平衡要求 部分。
在以下步骤中创建 Kubernetes 清单文件时，请确保 <installation_directory>/manifests/cluster-scheduler-02-config.yml 文件中的 mastersSchedulable 参数被设置为 true。这可让应用程序工作负载在 control plane 节点上运行。
在创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器时，不要部署任何计算节点。

13.4.9. 创建 Kubernetes 清单和 Ignition 配置文件

由于您必须修改一些集群定义文件并手动启动集群机器，因此您必须生成 Kubernetes 清单和 Ignition 配置文件来配置机器。

安装配置文件转换为 Kubernetes 清单。清单嵌套到 Ignition 配置文件中，稍后用于配置集群机器。

重要

OpenShift Container Platform 安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

先决条件

已获得 OpenShift Container Platform 安装程序。对于受限网络安装，这些文件位于您的镜像主机上。
已创建 install-config.yaml 安装配置文件。

流程

进入包含 OpenShift Container Platform 安装程序的目录，并为集群生成 Kubernetes 清单：
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定包含您创建的 install-config.yaml 文件的安装目录。
警告
如果您要安装一个三节点集群，请跳过以下步骤，以便可以调度 control plane 节点。
重要
当您将 control plane 节点从默认的不可调度配置为可以调度时，需要额外的订阅。这是因为 control plane 节点变为计算节点。
检查 <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 清单文件中的 mastersSchedulable 参数是否已设置为 false。此设置可防止在 control plane 机器上调度 pod：
1. 打开 <installation_directory>/manifests/cluster-scheduler-02-config.yml 文件。
2. 找到 mastersSchedulable 参数，并确保它被设置为 false。
3. 保存并退出文件。
要创建 Ignition 配置文件，请从包含安装程序的目录运行以下命令：
```
$ ./openshift-install create ignition-configs --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定相同的安装目录。
为安装目录中的 bootstrap、control plane 和计算节点创建 Ignition 配置文件。kubeadmin-password 和 kubeconfig 文件在 ./<installation_directory>/auth 目录中创建：
```
.
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign
```

其他资源

如需有关恢复 kubelet 证书的更多信息，请参阅恢复已过期的 control plane 证书。

13.4.10. 配置 chrony 时间服务

您必须通过修改 chrony .conf 文件的内容来设置 chrony 时间服务(chronyd)使用的时间服务器和相关设置，并将这些内容作为机器配置传递给节点。

流程

创建一个 Butane 配置，包括 chrony.conf 文件的内容。例如，要在 worker 节点上配置 chrony，请创建一个 99-worker-chrony.bu 文件。
注意
如需有关 Butane 的信息，请参阅"使用 Butane 创建机器配置"。
```
variant: openshift
version: 4.16.0
metadata:
  name: 99-worker-chrony 1
  labels:
    machineconfiguration.openshift.io/role: worker 2
storage:
  files:
  - path: /etc/chrony.conf
    mode: 0644 3
    overwrite: true
    contents:
      inline: |
        pool 0.rhel.pool.ntp.org iburst 4
        driftfile /var/lib/chrony/drift
        makestep 1.0 3
        rtcsync
        logdir /var/log/chrony
```
1 2
在 control plane 节点上，在这两个位置中将 master 替换为 worker。
3
为机器配置文件的 mode 字段指定数值模式。在创建文件并应用更改后，模式 将转换为十进制值。您可以使用 oc get mc <mc-name> -o yaml 命令来检查 YAML 文件。
4
指定任何有效的、可访问的时间源，如 DHCP 服务器提供的源。
使用 Butane 生成 MachineConfig 对象文件 99-worker-chrony.yaml，其中包含要交付至节点的配置：
```
$ butane 99-worker-chrony.bu -o 99-worker-chrony.yaml
```
使用以下两种方式之一应用配置：
- 如果集群还没有运行，在生成清单文件后，将 MachineConfig 对象文件添加到 <installation_directory>/openshift 目录中，然后继续创建集群。
- 如果集群已在运行，请应用该文件：
```
$ oc apply -f ./99-worker-chrony.yaml
```

13.4.11. 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程

要在您置备的裸机基础架构上安装 OpenShift Container Platform，您必须在机器上安装 Red Hat Enterprise Linux CoreOS(RHCOS)。安装 RHCOS 时，您必须为您要安装的机器类型提供 OpenShift Container Platform 安装程序生成的 Ignition 配置文件。如果您配置了适当的网络、DNS 和负载均衡基础架构，OpenShift Container Platform bootstrap 过程会在 RHCOS 机器重启后自动启动。

要在机器上安装 RHCOS，请按照以下步骤使用 ISO 镜像或网络 PXE 引导。

注意

本安装文档中包括的计算节点部署步骤特定于 RHCOS。如果您选择部署基于 RHEL 的计算节点，您需要负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。仅支持 RHEL 8 计算机器。

您可以使用以下方法在 ISO 和 PXE 安装过程中配置 RHCOS：

内核参数：您可以使用内核参数来提供特定于安装的信息。例如，您可以指定上传到 HTTP 服务器的 RHCOS 安装文件的位置以及您要安装的节点类型的 Ignition 配置文件的位置。对于 PXE 安装，您可以使用 APPEND 参数将参数传递给 live 安装程序的内核。对于 ISO 安装，您可以中断实时安装引导过程来添加内核参数。在这两个安装情形中，您可以使用特殊的 coreos.inst.* 参数来指示实时安装程序，以及标准安装引导参数来打开或关闭标准内核服务。
Ignition 配置：OpenShift Container Platform Ignition 配置文件(*.ign)特定于您要安装的节点类型。您可以在 RHCOS 安装过程中传递 bootstrap、control plane 或计算节点 Ignition 配置文件的位置，以便在首次启动时生效。特殊情况下，您可以创建单独的、有限的 Ignition 配置以传递给 live 系统。该 Ignition 配置可以执行特定的任务，如在安装完成后向置备系统报告成功。此特殊的 Ignition 配置由 coreos-installer 使用，以便在首次引导安装的系统时应用。不要直接为实时 ISO 提供标准 control plane 和计算节点 Ignition 配置。
coreos-installer ：您可以将 live ISO 安装程序引导到 shell 提示符，这可让您在第一次引导前以多种方式准备持久性系统。特别是，您可以运行 coreos-installer 命令来识别要包含的各种工件、使用磁盘分区和设置网络。在某些情况下，您可以配置 live 系统上的功能并将其复制到安装的系统中。

使用 ISO 安装还是 PXE 安装取决于您的情况。PXE 安装需要可用的 DHCP 服务并进行更多准备，但可以使安装过程更加自动化。ISO 安装是一个更手动的过程，如果您设置的机器数超过几台，则可能不方便。

注意

从 OpenShift Container Platform 4.6 开始，RHCOS ISO 和其他安装工件支持在带有 4K 扇区的磁盘上安装。

13.4.11.1. 使用 ISO 镜像安装 RHCOS

您可以使用 ISO 镜像在机器上安装 RHCOS。

先决条件

已为集群创建 Ignition 配置文件。
您已配置了适当的网络、DNS 和负载平衡基础架构。
您有一个可以从计算机以及您创建的机器访问的 HTTP 服务器。
您已参阅 Advanced RHCOS 安装配置 部分来了解配置功能的不同方法，如网络和磁盘分区。

流程

获取每个 Ignition 配置文件的 SHA512 摘要。例如，您可以在运行 Linux 的系统上使用以下内容来获取 bootstrap.ign Ignition 配置文件的 SHA512 摘要：
```
$ sha512sum <installation_directory>/bootstrap.ign
```
后续步骤中会向 coreos-installer 提供摘要，以验证集群节点上 Ignition 配置文件的真实性。
将安装程序创建的 bootstrap、control plane 和计算节点 Ignition 配置文件上传到 HTTP 服务器。注意这些文件的 URL。
重要
您可以在 Ignition 配置中添加或更改配置设置，然后将其保存到 HTTP 服务器。如果您计划在安装完成后在集群中添加更多计算机器，请不要删除这些文件。

从安装主机上，验证 Ignition 配置文件是否在 URL 上可用。以下示例获取 bootstrap 节点的 Ignition 配置文件：

$ curl -k http://<HTTP_server>/bootstrap.ign 1

输出示例

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0{"ignition":{"version":"3.2.0"},"passwd":{"users":[{"name":"core","sshAuthorizedKeys":["ssh-rsa...

在命令中将 bootstrap.ign 替换为 master.ign 或 worker.ign，以验证 control plane 和计算节点的 Ignition 配置文件是否可用。

虽然可以从 RHCOS 镜像镜像页面获取您选择的操作系统实例安装方法所需的 RHCOS 镜像，但推荐的方法是从 openshift-install 命令的输出获取 RHCOS 镜像的正确版本：
```
$ openshift-install coreos print-stream-json | grep '\.iso[^.]'
```
输出示例
```
"location": "<url>/art/storage/releases/rhcos-4.16-aarch64/<release>/aarch64/rhcos-<release>-live.aarch64.iso",
"location": "<url>/art/storage/releases/rhcos-4.16-ppc64le/<release>/ppc64le/rhcos-<release>-live.ppc64le.iso",
"location": "<url>/art/storage/releases/rhcos-4.16-s390x/<release>/s390x/rhcos-<release>-live.s390x.iso",
"location": "<url>/art/storage/releases/rhcos-4.16/<release>/x86_64/rhcos-<release>-live.x86_64.iso",
```
重要
RHCOS 镜像可能不会随着 OpenShift Container Platform 的每个发行版本而改变。您必须下载最高版本的镜像，其版本号应小于或等于您安装的 OpenShift Container Platform 版本。如果可用，请使用与 OpenShift Container Platform 版本匹配的镜像版本。这个过程只使用 ISO 镜像。此安装类型不支持 RHCOS qcow2 镜像。
ISO 文件名类似以下示例：
rhcos-<version>-live.<architecture>.iso
使用 ISO 启动 RHCOS 安装。使用以下安装选项之一：
- 将 ISO 映像刻录到磁盘并直接启动。
- 使用 light-out 管理(LOM)接口使用 ISO 重定向。
在不指定任何选项或中断实时引导序列的情况下引导 RHCOS ISO 镜像。等待安装程序在 RHCOS live 环境中引导进入 shell 提示符。
注意
可以中断 RHCOS 安装引导过程来添加内核参数。但是，在这个 ISO 过程中，您应该使用以下步骤中所述的 coreos-installer 命令，而不是添加内核参数。
运行 coreos-installer 命令并指定满足您的安装要求的选项。您至少必须指定指向节点类型的 Ignition 配置文件的 URL，以及您要安装到的设备：
```
$ sudo coreos-installer install --ignition-url=http://<HTTP_server>/<node_type>.ign <device> --ignition-hash=sha512-<digest> 12
```
1 1
您必须使用 sudo 运行 coreos-installer 命令，因为 core 用户没有执行安装所需的 root 权限。
2
当 Ignition 配置文件通过 HTTP URL 获取时，需要 --ignition-hash 选项来验证集群节点上 Ignition 配置文件的真实性。<digest> 是上一步中获取的 Ignition 配置文件 SHA512 摘要。
注意
如果要通过使用 TLS 的 HTTPS 服务器提供 Ignition 配置文件，您可以在运行 coreos-installer 前将内部证书颁发机构(CA)添加到系统信任存储中。
以下示例将引导节点安装初始化到 /dev/sda 设备。bootstrap 节点的 Ignition 配置文件从 IP 地址 192.168.1.2 的 HTTP Web 服务器获取：
```
$ sudo coreos-installer install --ignition-url=http://192.168.1.2:80/installation_directory/bootstrap.ign /dev/sda --ignition-hash=sha512-a5a2d43879223273c9b60af66b44202a1d1248fc01cf156c46d4a79f552b6bad47bc8cc78ddf0116e80c59d2ea9e32ba53bc807afbca581aa059311def2c3e3b
```
在机器的控制台上监控 RHCOS 安装的进度。
重要
在开始安装 OpenShift Container Platform 之前，确保每个节点中安装成功。观察安装过程可以帮助确定可能会出现 RHCOS 安装问题的原因。
安装 RHCOS 后，您必须重启系统。系统重启过程中，它会应用您指定的 Ignition 配置文件。

检查控制台输出，以验证 Ignition 是否运行。

示例命令

Ignition: ran on 2022/03/14 14:48:33 UTC (this boot)
Ignition: user-provided config was applied

继续为集群创建其他机器。
重要
此时您必须创建 bootstrap 和 control plane 机器。如果 control plane 机器不可调度，请在安装 OpenShift Container Platform 前至少创建两台计算机器。
如果存在所需的网络、DNS 和负载均衡器基础架构，OpenShift Container Platform bootstrap 过程会在 RHCOS 节点重启后自动启动。
注意
RHCOS 节点不包含 core 用户的默认密码。您可以使用可访问 SSH 私钥的用户的身份运行 ssh core@<node>.<cluster_name>.<base_domain > 来访问节点，该私钥与您在 install_config.yaml 文件中指定的公钥配对。运行 RHCOS 的 OpenShift Container Platform 4 集群节点不可变，它依赖于 Operator 来应用集群更改。不建议使用 SSH 访问集群节点。但是，当调查安装问题时，如果 OpenShift Container Platform API 不可用，或者 kubelet 在目标节点上无法正常工作，则调试或灾难恢复可能需要 SSH 访问。

13.4.11.2. 使用 PXE 或 iPXE 启动安装 RHCOS

您可以使用 PXE 或 iPXE 启动在机器上安装 RHCOS。

先决条件

已为集群创建 Ignition 配置文件。
您已配置了适当的网络、DNS 和负载平衡基础架构。
您已配置了合适的 PXE 或 iPXE 基础架构。
您有一个可以从计算机以及您创建的机器访问的 HTTP 服务器。
您已参阅 Advanced RHCOS 安装配置 部分来了解配置功能的不同方法，如网络和磁盘分区。

流程

将安装程序创建的 bootstrap、control plane 和计算节点 Ignition 配置文件上传到 HTTP 服务器。注意这些文件的 URL。
重要
您可以在 Ignition 配置中添加或更改配置设置，然后将其保存到 HTTP 服务器。如果您计划在安装完成后在集群中添加更多计算机器，请不要删除这些文件。

从安装主机上，验证 Ignition 配置文件是否在 URL 上可用。以下示例获取 bootstrap 节点的 Ignition 配置文件：

$ curl -k http://<HTTP_server>/bootstrap.ign 1

输出示例

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0{"ignition":{"version":"3.2.0"},"passwd":{"users":[{"name":"core","sshAuthorizedKeys":["ssh-rsa...

在命令中将 bootstrap.ign 替换为 master.ign 或 worker.ign，以验证 control plane 和计算节点的 Ignition 配置文件是否可用。

虽然可以从 RHCOS image mirror 页面获取您选择的操作系统实例所需的 RHCOS kernel、initramfs 和 rootfs 文件，但推荐的方法是从 openshift-install 命令的输出中获取 RHCOS 文件的正确版本：

$ openshift-install coreos print-stream-json | grep -Eo '"https.*(kernel-|initramfs.|rootfs.)\w+(\.img)?"'

输出示例

"<url>/art/storage/releases/rhcos-4.16-aarch64/<release>/aarch64/rhcos-<release>-live-kernel-aarch64"
"<url>/art/storage/releases/rhcos-4.16-aarch64/<release>/aarch64/rhcos-<release>-live-initramfs.aarch64.img"
"<url>/art/storage/releases/rhcos-4.16-aarch64/<release>/aarch64/rhcos-<release>-live-rootfs.aarch64.img"
"<url>/art/storage/releases/rhcos-4.16-ppc64le/49.84.202110081256-0/ppc64le/rhcos-<release>-live-kernel-ppc64le"
"<url>/art/storage/releases/rhcos-4.16-ppc64le/<release>/ppc64le/rhcos-<release>-live-initramfs.ppc64le.img"
"<url>/art/storage/releases/rhcos-4.16-ppc64le/<release>/ppc64le/rhcos-<release>-live-rootfs.ppc64le.img"
"<url>/art/storage/releases/rhcos-4.16-s390x/<release>/s390x/rhcos-<release>-live-kernel-s390x"
"<url>/art/storage/releases/rhcos-4.16-s390x/<release>/s390x/rhcos-<release>-live-initramfs.s390x.img"
"<url>/art/storage/releases/rhcos-4.16-s390x/<release>/s390x/rhcos-<release>-live-rootfs.s390x.img"
"<url>/art/storage/releases/rhcos-4.16/<release>/x86_64/rhcos-<release>-live-kernel-x86_64"
"<url>/art/storage/releases/rhcos-4.16/<release>/x86_64/rhcos-<release>-live-initramfs.x86_64.img"
"<url>/art/storage/releases/rhcos-4.16/<release>/x86_64/rhcos-<release>-live-rootfs.x86_64.img"

重要

RHCOS 工件可能不会随着 OpenShift Container Platform 的每个发行版本而改变。您必须下载最高版本的镜像，其版本号应小于或等于您安装的 OpenShift Container Platform 版本。这个过程只使用下面描述的适当 kernel、initram fs 和 rootfs 工件。此安装类型不支持 RHCOS QCOW2 镜像。

文件名包含 OpenShift Container Platform 版本号。它们类似以下示例：

kernel:rhcos-<version>-live-kernel-<architecture>
initramfs: rhcos-<version>-live-initramfs.<architecture>.img
rootfs: rhcos-<version>-live-rootfs.<architecture>.img

将 rootfs、kernel 和 initramfs 文件上传到 HTTP 服务器。
重要
如果您计划在安装完成后在集群中添加更多计算机器，请不要删除这些文件。
配置网络引导基础架构，以便在安装 RHCOS 后机器从本地磁盘启动。
为 RHCOS 镜像配置 PXE 或 iPXE 安装并开始安装。
为环境修改以下示例菜单条目之一，并验证能否正确访问镜像和 Ignition 文件：
- 对于 PXE(x86_64)：
```
DEFAULT pxeboot
TIMEOUT 20
PROMPT 0
LABEL pxeboot
    KERNEL http://<HTTP_server>/rhcos-<version>-live-kernel-<architecture> 1
    APPEND initrd=http://<HTTP_server>/rhcos-<version>-live-initramfs.<architecture>.img coreos.live.rootfs_url=http://<HTTP_server>/rhcos-<version>-live-rootfs.<architecture>.img coreos.inst.install_dev=/dev/sda coreos.inst.ignition_url=http://<HTTP_server>/bootstrap.ign 2 3
```
  1 1
  指定上传到 HTTP 服务器的 live kernel 文件位置。URL 必须是 HTTP、TFTP 或 FTP；不支持 HTTPS 和 NFS。
  2
  如果您使用多个 NIC，请在 ip 选项中指定一个接口。例如，要在名为 eno1 的 NIC 上使用 DHCP，请设置 ip=eno1:dhcp。
  3
  指定上传到 HTTP 服务器的 RHCOS 文件的位置。initrd 参数值是 initramfs 文件的位置，coreos.live.rootfs_url 参数值是 rootfs 文件的位置，coreos.inst.ignition_url 参数值则是 bootstrap Ignition 配置文件的位置。您还可以在 APPEND 行中添加更多内核参数来配置联网或其他引导选项。
  注意
  此配置不会在图形控制台的机器上启用串行控制台访问。要配置不同的控制台，请在 APPEND 行中添加一个或多个 console= 参数。例如，添加 console=tty0 console=ttyS0 以将第一个 PC 串口设置为主控制台，并将图形控制台设置为二级控制台。如需更多信息，请参阅如何在 Red Hat Enterprise Linux 中设置串行终端和/或控制台？和"启用 PXE 和 ISO 安装的串行控制台"部分。
- 对于 iPXE (x86_64 + aarch64 )：
```
kernel http://<HTTP_server>/rhcos-<version>-live-kernel-<architecture> initrd=main coreos.live.rootfs_url=http://<HTTP_server>/rhcos-<version>-live-rootfs.<architecture>.img coreos.inst.install_dev=/dev/sda coreos.inst.ignition_url=http://<HTTP_server>/bootstrap.ign 1 2
initrd --name main http://<HTTP_server>/rhcos-<version>-live-initramfs.<architecture>.img 3
boot
```
  1
  指定上传到 HTTP 服务器的 RHCOS 文件的位置。kernel 参数值是 kernel 文件的位置，init rd=main 参数用于在 UEFI 系统中引导，coreos.live.rootfs_url 参数值是 rootfs 文件的位置，coreos.inst.ignition_url 参数值则是 bootstrap Ignition 配置文件的位置。
  2
  如果您使用多个 NIC，请在 ip 选项中指定一个接口。例如，要在名为 eno1 的 NIC 上使用 DHCP，请设置 ip=eno1:dhcp。
  3
  指定上传到 HTTP 服务器的 initramfs 文件的位置。
  注意
  此配置不会在图形控制台的机器上启用串行控制台访问。要配置不同的控制台，请在 内核参数 中添加一个或多个 console= 参数。例如，添加 console=tty0 console=ttyS0 以将第一个 PC 串口设置为主控制台，并将图形控制台设置为二级控制台。如需更多信息，请参阅如何在 Red Hat Enterprise Linux 中设置串行终端和/或控制台？和"启用 PXE 和 ISO 安装的串行控制台"部分。
  注意
  要在 aarch64 架构中网络引导 CoreOS 内核，您需要使用启用了 IMAGE_GZIP 选项的 iPXE 构建版本。请参阅 iPXE 中的IMAGE_GZIP 选项。
- 对于 aarch64 中的 PXE（使用 UEFI 和 Grub 作为第二阶段）：
```
menuentry 'Install CoreOS' {
    linux rhcos-<version>-live-kernel-<architecture>  coreos.live.rootfs_url=http://<HTTP_server>/rhcos-<version>-live-rootfs.<architecture>.img coreos.inst.install_dev=/dev/sda coreos.inst.ignition_url=http://<HTTP_server>/bootstrap.ign 1 2
    initrd rhcos-<version>-live-initramfs.<architecture>.img 3
}
```
  1
  指定上传到 HTTP/TFTP 服务器的 RHCOS 文件的位置。kernel 参数值是 TFTP 服务器中的 kernel 文件的位置。coreos.live.rootfs_url 参数值是 rootfs 文件的位置，coreos.inst.ignition_url 参数值是 HTTP 服务器上的 bootstrap Ignition 配置文件的位置。
  2
  如果您使用多个 NIC，请在 ip 选项中指定一个接口。例如，要在名为 eno1 的 NIC 上使用 DHCP，请设置 ip=eno1:dhcp。
  3
  指定上传到 TFTP 服务器的 initramfs 文件的位置。
在机器的控制台上监控 RHCOS 安装的进度。
重要
在开始安装 OpenShift Container Platform 之前，确保每个节点中安装成功。观察安装过程可以帮助确定可能会出现 RHCOS 安装问题的原因。
安装 RHCOS 后，系统会重启。在重启过程中，系统会应用您指定的 Ignition 配置文件。

检查控制台输出，以验证 Ignition 是否运行。

示例命令

Ignition: ran on 2022/03/14 14:48:33 UTC (this boot)
Ignition: user-provided config was applied

继续为集群创建机器。
重要
此时您必须创建 bootstrap 和 control plane 机器。如果 control plane 机器不可调度，请在安装集群前至少创建两台计算机器。
如果存在所需的网络、DNS 和负载均衡器基础架构，OpenShift Container Platform bootstrap 过程会在 RHCOS 节点重启后自动启动。
注意
RHCOS 节点不包含 core 用户的默认密码。您可以使用可访问 SSH 私钥的用户的身份运行 ssh core@<node>.<cluster_name>.<base_domain > 来访问节点，该私钥与您在 install_config.yaml 文件中指定的公钥配对。运行 RHCOS 的 OpenShift Container Platform 4 集群节点不可变，它依赖于 Operator 来应用集群更改。不建议使用 SSH 访问集群节点。但是，当调查安装问题时，如果 OpenShift Container Platform API 不可用，或者 kubelet 在目标节点上无法正常工作，则调试或灾难恢复可能需要 SSH 访问。

13.4.11.3. 高级 RHCOS 安装配置

为 OpenShift Container Platform 手动置备 Red Hat Enterprise Linux CoreOS(RHCOS)节点的一个关键优点是能够进行通过默认的 OpenShift Container Platform 安装方法无法进行的配置。本节介绍了您可以使用的一些技术进行配置，其中包括：

将内核参数传递给实时安装程序
从 live 系统手动运行 coreos-installer
自定义实时 ISO 或 PXE 引导镜像

本节详述了与 Red Hat Enterprise Linux CoreOS(RHCOS)手动安装的高级配置相关的内容，如磁盘分区、网络以及使用 Ignition 配置的不同方式相关。

13.4.11.3.1. 使用高级网络选项进行 PXE 和 ISO 安装

OpenShift Container Platform 节点的网络默认使用 DHCP 来收集所有必要的配置设置。要设置静态 IP 地址或配置特殊设置，如绑定，您可以执行以下操作之一：

引导 live 安装程序时传递特殊内核参数。
使用机器配置将网络文件复制到安装的系统中。
从 live 安装程序 shell 提示符配置网络，然后将这些设置复制到安装的系统上，以便在安装的系统第一次引导时生效。

要配置 PXE 或 iPXE 安装，请使用以下选项之一：

请参阅"高级 RHCOS 安装参考"表。
使用机器配置将网络文件复制到安装的系统中。

要配置 ISO 安装，请使用以下步骤：

流程

引导 ISO 安装程序.
在 live 系统 shell 提示符下，使用可用的 RHEL 工具（如 nmcli 或 nmtui ）为 live 系统配置网络。
运行 coreos-installer 命令以安装系统，添加 --copy-network 选项来复制网络配置。例如：
```
$ sudo coreos-installer install --copy-network \
     --ignition-url=http://host/worker.ign /dev/disk/by-id/scsi-<serial_number>
```
重要
copy-network 选项仅复制在 /etc/NetworkManager/system-connections 下找到的网络配置。特别是，它不会复制系统主机名。
重启安装的系统。

其他资源

有关 nmcli 和 nmtui 工具的更多信息，请参阅 RHEL 8 文档中的 Getting started with nmcli and Getting started with nmtui。

13.4.11.3.2. 磁盘分区

磁盘分区是在 Red Hat Enterprise Linux CoreOS(RHCOS)安装过程中在 OpenShift Container Platform 集群节点上创建的。特定架构的每个 RHCOS 节点使用相同的分区布局，除非覆盖默认的分区配置。在 RHCOS 安装过程中，根文件系统的大小会增加，以使用目标设备中剩余的可用空间。

重要

在节点上使用自定义分区方案可能会导致 OpenShift Container Platform 在某些节点分区上监控或警报。如果要覆盖默认分区，请参阅了解 OpenShift 文件系统监控（驱除条件）以了解有关 OpenShift Container Platform 如何监控主机文件系统的更多信息。

OpenShift Container Platform 监控以下两个文件系统标识符：

nodefs，这是包含 /var/lib/kubelet 的文件系统
imagefs，这是包含 /var/lib/containers 的文件系统

对于默认分区方案，nodefs 和 imagefs 监控相同的根文件系统 /。

要在 OpenShift Container Platform 集群节点上安装 RHCOS 时覆盖默认分区，您必须创建单独的分区。您可能想要为容器和容器镜像添加单独的存储分区。例如，通过在独立分区中挂载 /var/lib/containers，kubelet 会单独监控 /var/lib/containers 作为 imagefs 目录，以及 root 文件系统作为 nodefs 目录。

重要

如果您已将磁盘大小调整为托管更大的文件系统，请考虑创建单独的 /var/lib/containers 分区。考虑重新定义具有 xfs 格式的磁盘大小，以减少大量分配组导致的 CPU 时间问题。

13.4.11.3.2.1. 创建独立 `/var` 分区

通常，您应该使用在 RHCOS 安装过程中创建的默认磁盘分区。然而，在有些情况下您可能需要为预期增长的目录创建独立分区。

OpenShift Container Platform 支持添加单个分区将存储附加到 /var 目录或 /var 的子目录中。例如：

/var/lib/containers ：保存随着系统中添加更多镜像和容器而增长的容器相关内容。
/var/lib/etcd ：保存您可能希望独立保留的数据，比如 etcd 存储的性能优化。
/var ：保存您可能希望独立保留的数据，以满足审计等目的。
重要
对于大于 100GB 的磁盘大小，特别是磁盘大小大于 1TB，请创建一个独立的 /var 分区。

通过单独存储 /var 目录的内容，可以更轻松地根据需要为区域扩展存储，并在以后重新安装 OpenShift Container Platform，并保持该数据的完整性。使用这个方法，您不必再次拉取所有容器，在更新系统时也不必复制大量日志文件。

将独立分区用于 /var 目录或 /var 的子目录也会防止分区目录中的数据增加填充根文件系统。

以下流程通过添加机器配置清单来设置独立的 /var 分区，该清单会在安装准备阶段封装到节点类型的 Ignition 配置文件中。

流程

在安装主机上，切换到包含 OpenShift Container Platform 安装程序的目录，并为集群生成 Kubernetes 清单：
```
$ openshift-install create manifests --dir <installation_directory>
```
创建用于配置额外分区的 Butane 配置。例如，将文件命名为 $HOME/clusterconfig/98-var-partition.bu，将磁盘设备名称改为 worker 系统上存储设备的名称，并根据情况设置存储大小。这个示例将 /var 目录放在一个单独的分区中：
```
variant: openshift
version: 4.16.0
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker
  name: 98-var-partition
storage:
  disks:
  - device: /dev/disk/by-id/<device_name> 1
    partitions:
    - label: var
      start_mib: <partition_start_offset> 2
      size_mib: <partition_size> 3
      number: 5
  filesystems:
    - device: /dev/disk/by-partlabel/var
      path: /var
      format: xfs
      mount_options: [defaults, prjquota] 4
      with_mount_unit: true
```
1
要分区的磁盘的存储设备名称。
2
当在引导磁盘中添加数据分区时，推荐最少使用偏移值 25000 兆字节。root 文件系统会自动调整大小以填充所有可用空间（最多到指定的偏移值）。如果没有指定偏移值，或者指定的值小于推荐的最小值，则生成的 root 文件系统会太小，而在以后进行的 RHCOS 重新安装可能会覆盖数据分区的开始部分。
3
以兆字节为单位的数据分区大小。
4
对于用于容器存储的文件系统，必须启用 prjquota 挂载选项。
注意
在创建单独的 /var 分区时，如果不同的实例类型没有相同的设备名称，则无法将不同的实例类型用于计算节点。
从 Butane 配置创建一个清单，并将它保存到 clusterconfig/openshift 目录中。例如，运行以下命令：
```
$ butane $HOME/clusterconfig/98-var-partition.bu -o $HOME/clusterconfig/openshift/98-var-partition.yaml
```
创建 Ignition 配置文件：
```
$ openshift-install create ignition-configs --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定相同的安装目录。
为安装目录中的 bootstrap、control plane 和计算节点创建 Ignition 配置文件：
```
.
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign
```
<installation_directory>/manifest 和 <installation_directory>/openshift 目录中的文件被嵌套到 Ignition 配置文件中，包括包含 98-var-partition 自定义 MachineConfig 对象的文件。

后续步骤

您可以通过在 RHCOS 安装过程中引用 Ignition 配置文件来应用自定义磁盘分区。

13.4.11.3.2.2. 保留现有分区

对于 ISO 安装，您可以在 coreos-installer 命令中添加可让安装程序维护一个或多个现有分区的选项。对于 PXE 安装，您可以在 APPEND 参数中添加 coreos.inst.* 选项来保留分区。

保存的分区可能是来自现有 OpenShift Container Platform 系统的数据分区。您可以通过分区标签或编号识别您要保留的磁盘分区。

注意

如果您保存了现有分区，且这些分区没有为 RHCOS 留下足够空间，则安装将失败，而不影响保存的分区。

在 ISO 安装过程中保留现有分区

这个示例保留分区标签以 数据开头的任何分区(data *)：

# coreos-installer install --ignition-url http://10.0.2.2:8080/user.ign \
        --save-partlabel 'data*' /dev/disk/by-id/scsi-<serial_number>

以下示例演示了在运行 coreos-installer 时要保留磁盘上的第 6 个分区：

# coreos-installer install --ignition-url http://10.0.2.2:8080/user.ign \
        --save-partindex 6 /dev/disk/by-id/scsi-<serial_number>

这个示例保留分区 5 及更高分区：

# coreos-installer install --ignition-url http://10.0.2.2:8080/user.ign
        --save-partindex 5- /dev/disk/by-id/scsi-<serial_number>

在前面已保存分区的示例中，coreos-installer 会立即重新创建分区。

在 PXE 安装过程中保留现有分区

这个 APPEND 选项保留分区标签以 'data'('data*')开头的任何分区：

coreos.inst.save_partlabel=data*

这个 APPEND 选项保留分区 5 及更高分区：

coreos.inst.save_partindex=5-

这个 APPEND 选项保留分区 6:

coreos.inst.save_partindex=6

13.4.11.3.3. 识别 Ignition 配置

在进行 RHCOS 手动安装时，您可以提供两种 Ignition 配置类型，它们有不同的原因：

永久安装 Ignition 配置 ：每个手动 RHCOS 安装都需要传递 openshift-installer 生成的 Ignition 配置文件之一，如 bootstrap.ign、master.ign 和 worker.ign，才能进行安装。
重要
不建议直接修改这些 Ignition 配置文件。您可以更新嵌套到 Ignition 配置文件中的清单文件，如上一节示例中所述。
对于 PXE 安装，您可以使用 coreos.inst.ignition_url= 选项在 APPEND 行上传递 Ignition 配置。对于 ISO 安装，在 ISO 引导至 shell 提示符后，您可以使用带有 --ignition-url= 选项的 coreos-installer 命令行。在这两种情况下，只支持 HTTP 和 HTTPS 协议。
实时安装 Ignition 配置 ：可使用 coreos-installer customize 子命令及其各种选项来创建此类型。使用此方法，Ignition 配置会传递到 live 安装介质，在引导时立即运行，并在 RHCOS 系统安装到磁盘之前或之后执行设置任务。这个方法只用于必须执行一次且之后不能再次应用的任务，比如不能使用机器配置进行的高级分区。
对于 PXE 或 ISO 引导，您可以创建 Ignition 配置，APP END ignition.config.url= 选项来标识 Ignition 配置的位置。您还需要附加 ignition.firstboot ignition.platform.id=metal 或 ignition.config.url 选项。

13.4.11.3.4. 默认控制台配置

从 OpenShift Container Platform 4.16 引导镜像安装的 Red Hat Enterprise Linux CoreOS (RHCOS) 节点使用默认控制台，旨在识别大多数虚拟化和裸机设置。不同的云和虚拟化平台可能会根据所选的架构使用不同的默认设置。裸机安装使用内核默认设置，这通常意味着图形控制台是主控制台，并且禁用串行控制台。

默认控制台可能与特定的硬件配置不匹配，或者您可能具有需要调整默认控制台的特定需求。例如：

您希望访问控制台上的紧急 shell 进行调试。
您的云平台没有提供到图形控制台的互动访问，但提供了一个串行控制台。
您需要启用多个控制台。

控制台配置继承自引导镜像。这意味着现有集群中的新节点不受默认控制台的影响。

您可以使用以下方法为裸机安装配置控制台：

在命令行中手动使用 coreos-installer。
使用带有 --dest-console 选项的 coreos-installer iso customize 或 coreos-installer pxe customize 子命令，以创建可自动执行进程的自定义镜像。

注意

对于高级自定义，请使用 coreos-installer iso 或 coreos-installer pxe 子命令而不是内核参数来执行控制台配置。

13.4.11.3.5. 为 PXE 和 ISO 安装启用串行控制台

默认情况下，Red Hat Enterprise Linux CoreOS (RHCOS) 串行控制台被禁用，所有输出都会写入图形控制台。您可以为 ISO 安装启用串行控制台并重新配置引导装载程序，以便输出同时发送到串行控制台和图形控制台。

流程

引导 ISO 安装程序.
运行 coreos-installer 命令来安装系统，添加 --console 选项一次来指定图形控制台，然后第二次指定串行控制台：
```
$ coreos-installer install \
  --console=tty0 \1
  --console=ttyS0,<options> \2
  --ignition-url=http://host/worker.ign /dev/disk/by-id/scsi-<serial_number>
```
1
所需的二级控制台。在这种情况下，是图形控制台。省略这个选项将禁用图形控制台。
2
所需的主控制台。在这种情况下，是串行控制台。options 字段定义 baud 速率和其他设置。此字段的一个常见值为 11520n8。如果没有提供选项，则使用默认内核值 9600n8。有关这个选项格式的更多信息，请参阅 Linux 内核串口控制台文档。
重启安装的系统。
注意
可以使用 coreos-installer install --append-karg 选项来获取类似的结果，并使用 console= 指定控制台。但是，这只会为内核设置控制台，而不为引导装载程序设置控制台。

要配置 PXE 安装，请确保省略 coreos.inst.install_dev 内核命令行选项，并使用 shell 提示符使用上述 ISO 安装过程手动运行 coreos-installer。

13.4.11.3.6. 自定义 live RHCOS ISO 或 PXE 安装

您可以通过将 Ignition 配置文件直接注入镜像中来使用 live ISO 镜像或 PXE 环境来安装 RHCOS。这会创建一个自定义镜像，供您用来置备系统。

对于 ISO 镜像，此操作的机制是 coreos-installer iso custom 子命令，它使用您的配置修改 .iso 文件。同样，PXE 环境的机制是 coreos-installer pxe customize 子命令，它会创建一个包含自定义的新 initramfs 文件。

custom 子命令是一个通用工具，也可以嵌入其他类型的自定义。以下任务是一些更常见的自定义示例：

当公司安全策略需要使用时，注入自定义的 CA 证书。
在不需要内核参数的情况下配置网络设置。
嵌入任意预安装和安装后脚本或二进制文件。

13.4.11.3.7. 自定义 live RHCOS ISO 镜像

您可以使用 coreos-installer iso custom 子命令直接自定义 live RHCOS ISO 镜像。当您引导 ISO 镜像时，会自动应用自定义。

您可以使用此功能配置 ISO 镜像来自动安装 RHCOS。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面和 Ignition 配置文件检索 RHCOS ISO 镜像，然后运行以下命令来直接将 Ignition 配置注入 ISO 镜像：
```
$ coreos-installer iso customize rhcos-<version>-live.x86_64.iso \
    --dest-ignition bootstrap.ign \ 1
    --dest-device /dev/disk/by-id/scsi-<serial_number> 2
```
1
从 openshift-installer 安装程序生成的 Ignition 配置文件。
2
当您指定这个选项时，ISO 镜像会自动运行安装。否则，镜像为安装配置，但不会自动安装，除非您指定了 coreos.inst.install_dev 内核参数。
可选：要删除 ISO 镜像自定义并将镜像返回到其 pristine 状态，请运行：
```
$ coreos-installer iso reset rhcos-<version>-live.x86_64.iso
```
现在，您可以重新自定义 live ISO 镜像，或者在其 pristine 状态中使用它。

应用您的自定义会影响每个后续 RHCOS 引导。

13.4.11.3.7.1. 修改实时安装 ISO 镜像以启用串行控制台

在使用 OpenShift Container Platform 4.12 及更高版本安装的集群中，串行控制台默认被禁用，所有输出都会写入图形控制台。您可以按照以下流程启用串行控制台。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS image mirror 页中获取 RHCOS ISO 镜像，并运行以下命令来自定义 ISO 镜像，使串行控制台能够接收输出：
```
$ coreos-installer iso customize rhcos-<version>-live.x86_64.iso \
  --dest-ignition <path> \1
  --dest-console tty0 \2
  --dest-console ttyS0,<options> \3
  --dest-device /dev/disk/by-id/scsi-<serial_number> 4
```
1
要安装 Ignition 配置的位置。
2
所需的二级控制台。在这种情况下，是图形控制台。省略这个选项将禁用图形控制台。
3
所需的主控制台。在这种情况下，是串行控制台。options 字段定义 baud 速率和其他设置。此字段的一个常见值为 115200n8。如果没有提供选项，则使用默认内核值 9600n8。有关这个选项格式的更多信息，请参阅 Linux 内核串口控制台文档。
4
要安装到的指定磁盘。如果省略这个选项，ISO 镜像会自动运行安装程序，除非还指定了 coreos.inst.install_dev 内核参数。
注意
--dest-console 选项会影响安装的系统，而不是实时 ISO 系统。要修改 live ISO 系统的控制台，请使用 --live-karg-append 选项并使用 console= 指定控制台。
自定义会被应用，并影响每个后续 ISO 镜像引导。
可选：要删除 ISO 镜像自定义并将镜像返回到其原始状态，请运行以下命令：
```
$ coreos-installer iso reset rhcos-<version>-live.x86_64.iso
```
现在，您可以重新自定义 live ISO 镜像，或者在其原始状态中使用它。

13.4.11.3.7.2. 修改实时安装 ISO 镜像以使用自定义证书颁发机构

您可以使用 custom 子命令的 --ignition-ca 标志向 Ignition 提供证书颁发机构(CA)证书。您可以在安装过程中使用 CA 证书，并在置备安装的系统时使用 CA 证书。

注意

自定义 CA 证书会影响 Ignition 获取远程资源的方式，但它们不会影响安装到系统中的证书。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面检索 RHCOS ISO 镜像，并运行以下命令来自定义 ISO 镜像以用于自定义 CA：
```
$ coreos-installer iso customize rhcos-<version>-live.x86_64.iso --ignition-ca cert.pem
```

重要

coreos.inst.ignition_url 内核参数无法使用 --ignition-ca 标志。您必须使用 --dest-ignition 标志为每个集群创建自定义镜像。

应用自定义 CA 证书会影响每个后续 RHCOS 引导。

13.4.11.3.7.3. 使用自定义网络设置修改实时安装 ISO 镜像

您可以将 NetworkManager 密钥文件嵌入到 live ISO 镜像中，并使用 customize 子命令的 --network-keyfile 标志将其传递给安装的系统。

警告

在创建连接配置文件时，您必须在连接配置文件的文件名中使用 .nmconnection 文件名扩展名。如果不使用 .nmconnection 文件名扩展，集群会将连接配置集应用到 live 环境，但它不会在集群首次启动节点时应用配置，从而导致无法正常工作的设置。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。

为绑定接口创建连接配置集。例如，在本地目录中创建 bond0.nmconnection 文件，其内容如下：

[connection]
id=bond0
type=bond
interface-name=bond0
multi-connect=1

[bond]
miimon=100
mode=active-backup

[ipv4]
method=auto

[ipv6]
method=auto

为二级接口创建连接配置集，以添加到绑定中。例如，在本地目录中创建 bond0-proxy-em1.nmconnection 文件，其内容如下：
```
[connection]
id=em1
type=ethernet
interface-name=em1
master=bond0
multi-connect=1
slave-type=bond
```
为二级接口创建连接配置集，以添加到绑定中。例如，在本地目录中创建 bond0-proxy-em2.nmconnection 文件，其内容如下：
```
[connection]
id=em2
type=ethernet
interface-name=em2
master=bond0
multi-connect=1
slave-type=bond
```

从 RHCOS 镜像镜像页面检索 RHCOS ISO 镜像，并运行以下命令来使用您配置网络自定义 ISO 镜像：

$ coreos-installer iso customize rhcos-<version>-live.x86_64.iso \
    --network-keyfile bond0.nmconnection \
    --network-keyfile bond0-proxy-em1.nmconnection \
    --network-keyfile bond0-proxy-em2.nmconnection

网络设置应用于实时系统，并传输到目标系统。

13.4.11.3.7.4. 为 iSCSI 引导设备自定义实时安装 ISO 镜像

您可以设置 iSCSI 目标和 initiator 值，以便使用自定义的 live RHCOS 镜像版本自动挂载、引导和配置。

先决条件

您有一个 iSCSI 目标，您要在其中安装 RHCOS。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面检索 RHCOS ISO 镜像，并运行以下命令使用以下信息自定义 ISO 镜像：
```
$ coreos-installer iso customize \
    --pre-install mount-iscsi.sh \ 1
    --post-install unmount-iscsi.sh \ 2
    --dest-device /dev/disk/by-path/<IP_address>:<port>-iscsi-<target_iqn>-lun-<lun> \ 3
    --dest-ignition config.ign \ 4
    --dest-karg-append rd.iscsi.initiator=<initiator_iqn> \ 5
    --dest-karg-append netroot=<target_iqn> \ 6
    -o custom.iso rhcos-<version>-live.x86_64.iso
```
1
安装之前运行的脚本。它应包含用于挂载 iSCSI 目标以及启用多路径的任何命令的 iscsiadm 命令。
2
安装后运行的脚本。它应包含命令 iscsiadm --mode node --logout=all。
3
目标系统的位置。您必须提供目标门户的 IP 地址、关联的端口号、目标 iSCSI 节点采用 IQN 格式，以及 iSCSI 逻辑单元号(LUN)。
4
目标系统的 Ignition 配置。
5
iSCSI 启动器或客户端，以 IQN 格式的名称。启动器构成连接到 iSCSI 目标的一个会话。
6
iSCSI 目标或服务器的名称（IQN 格式）。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。

13.4.11.3.7.5. 使用 iBFT 为 iSCSI 引导设备自定义实时安装 ISO 镜像

您可以设置 iSCSI 目标和 initiator 值，以便使用自定义的 live RHCOS 镜像版本自动挂载、引导和配置。

先决条件

您有一个 iSCSI 目标，您要在其中安装 RHCOS。
可选：有多路径 iSCSI 目标。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面检索 RHCOS ISO 镜像，并运行以下命令使用以下信息自定义 ISO 镜像：
```
$ coreos-installer iso customize \
    --pre-install mount-iscsi.sh \ 1
    --post-install unmount-iscsi.sh \ 2
    --dest-device /dev/mapper/mpatha \ 3
    --dest-ignition config.ign \ 4
    --dest-karg-append rd.iscsi.firmware=1 \ 5
    --dest-karg-append rd.multipath=default \ 6
    -o custom.iso rhcos-<version>-live.x86_64.iso
```
1
安装之前运行的脚本。它应包含用于挂载 iSCSI 目标以及启用多路径的任何命令的 iscsiadm 命令。
2
安装后运行的脚本。它应包含命令 iscsiadm --mode node --logout=all。
3
设备的路径。如果连接了多个多路径设备，或者需要明确指定，您使用多路径（/dev/mapper/mpatha），您可以使用 /dev/disk/by-path 中可用的 World Wide Name (WWN) 符号链接。
4
目标系统的 Ignition 配置。
5
iSCSI 参数从 BIOS 固件读取。
6
可选：如果您要启用多路径，请包含此参数。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。

13.4.11.3.8. 自定义 live RHCOS PXE 环境

您可以使用 coreos-installer pxe customize 子命令直接自定义 live RHCOS PXE 环境。当您引导 PXE 环境时，会自动应用自定义。

您可以使用此功能配置 PXE 环境来自动安装 RHCOS。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面和 Ignition 配置文件获取 RHCOS kernel, initramfs 和 rootfs 文件，然后运行以下命令创建一个包含 Ignition 配置中的自定义的新 initramfs 文件：
```
$ coreos-installer pxe customize rhcos-<version>-live-initramfs.x86_64.img \
    --dest-ignition bootstrap.ign \ 1
    --dest-device /dev/disk/by-id/scsi-<serial_number> \ 2
    -o rhcos-<version>-custom-initramfs.x86_64.img 3
```
1
从 openshift-installer 生成的 Ignition 配置文件。
2
当您指定这个选项时，PXE 环境会自动运行安装。否则，为安装配置了镜像，除非指定了 coreos.inst.install_dev 内核参数，否则不会自动这样做。
3
在 PXE 配置中使用自定义 initramfs 文件。添加 ignition.firstboot 和 ignition.platform.id=metal 内核参数（如果它们尚不存在）。

应用您的自定义会影响每个后续 RHCOS 引导。

13.4.11.3.8.1. 修改实时安装 PXE 环境以启用串行控制台。

在使用 OpenShift Container Platform 4.12 及更高版本安装的集群中，串行控制台默认被禁用，所有输出都会写入图形控制台。您可以按照以下流程启用串行控制台。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS image mirror 页面获取 kernel, initramfs 和 rootfs 文件，然后运行以下命令来创建新的自定义 initramfs 文件，以便串行控制台接收输出：
```
$ coreos-installer pxe customize rhcos-<version>-live-initramfs.x86_64.img \
  --dest-ignition <path> \1
  --dest-console tty0 \2
  --dest-console ttyS0,<options> \3
  --dest-device /dev/disk/by-id/scsi-<serial_number> \4
  -o rhcos-<version>-custom-initramfs.x86_64.img 5
```
1
要安装 Ignition 配置的位置。
2
所需的二级控制台。在这种情况下，是图形控制台。省略这个选项将禁用图形控制台。
3
所需的主控制台。在这种情况下，是串行控制台。options 字段定义 baud 速率和其他设置。此字段的一个常见值为 115200n8。如果没有提供选项，则使用默认内核值 9600n8。有关这个选项格式的更多信息，请参阅 Linux 内核串口控制台文档。
4
要安装到的指定磁盘。如果省略这个选项，PXE 环境会自动运行安装程序，除非还指定了 coreos.inst.install_dev 内核参数。
5
在 PXE 配置中使用自定义 initramfs 文件。添加 ignition.firstboot 和 ignition.platform.id=metal 内核参数（如果它们尚不存在）。
自定义会被应用，并影响 PXE 环境的每个后续引导。

13.4.11.3.8.2. 修改实时安装 PXE 环境以使用自定义证书颁发机构

您可以使用 custom 子命令的 --ignition-ca 标志向 Ignition 提供证书颁发机构(CA)证书。您可以在安装过程中使用 CA 证书，并在置备安装的系统时使用 CA 证书。

注意

自定义 CA 证书会影响 Ignition 获取远程资源的方式，但它们不会影响安装到系统中的证书。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS 镜像镜像页面获取 RHCOS kernel、initramfs 和 rootfs 文件，并运行以下命令来创建一个新的自定义 initramfs 文件以用于自定义 CA：
```
$ coreos-installer pxe customize rhcos-<version>-live-initramfs.x86_64.img \
    --ignition-ca cert.pem \
    -o rhcos-<version>-custom-initramfs.x86_64.img
```
在 PXE 配置中使用自定义 initramfs 文件。添加 ignition.firstboot 和 ignition.platform.id=metal 内核参数（如果它们尚不存在）。

重要

coreos.inst.ignition_url 内核参数无法使用 --ignition-ca 标志。您必须使用 --dest-ignition 标志为每个集群创建自定义镜像。

应用自定义 CA 证书会影响每个后续 RHCOS 引导。

13.4.11.3.8.3. 使用自定义网络设置修改实时安装 PXE 环境

您可以将 NetworkManager 密钥文件嵌入到 live PXE 环境中，并使用 customize 子命令的 --network-keyfile 标志将其传递给安装的系统。

警告

在创建连接配置文件时，您必须在连接配置文件的文件名中使用 .nmconnection 文件名扩展名。如果不使用 .nmconnection 文件名扩展，集群会将连接配置集应用到 live 环境，但它不会在集群首次启动节点时应用配置，从而导致无法正常工作的设置。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。

为绑定接口创建连接配置集。例如，在本地目录中创建 bond0.nmconnection 文件，其内容如下：

[connection]
id=bond0
type=bond
interface-name=bond0
multi-connect=1

[bond]
miimon=100
mode=active-backup

[ipv4]
method=auto

[ipv6]
method=auto

为二级接口创建连接配置集，以添加到绑定中。例如，在本地目录中创建 bond0-proxy-em1.nmconnection 文件，其内容如下：
```
[connection]
id=em1
type=ethernet
interface-name=em1
master=bond0
multi-connect=1
slave-type=bond
```
为二级接口创建连接配置集，以添加到绑定中。例如，在本地目录中创建 bond0-proxy-em2.nmconnection 文件，其内容如下：
```
[connection]
id=em2
type=ethernet
interface-name=em2
master=bond0
multi-connect=1
slave-type=bond
```

从 RHCOS 镜像镜像页面获取 RHCOS kernel、initramfs 和 rootfs 文件，并运行以下命令来创建一个新的自定义 initramfs 文件，它包括您的配置网络：

$ coreos-installer pxe customize rhcos-<version>-live-initramfs.x86_64.img \
    --network-keyfile bond0.nmconnection \
    --network-keyfile bond0-proxy-em1.nmconnection \
    --network-keyfile bond0-proxy-em2.nmconnection \
    -o rhcos-<version>-custom-initramfs.x86_64.img

在 PXE 配置中使用自定义 initramfs 文件。添加 ignition.firstboot 和 ignition.platform.id=metal 内核参数（如果它们尚不存在）。
网络设置应用于实时系统，并传输到目标系统。

13.4.11.3.8.4. 为 iSCSI 引导设备自定义实时安装 PXE 环境

您可以设置 iSCSI 目标和 initiator 值，以便使用自定义的 live RHCOS 镜像版本自动挂载、引导和配置。

先决条件

您有一个 iSCSI 目标，您要在其中安装 RHCOS。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS image mirror 页获取 RHCOS kernel、initramfs 和 rootfs 文件，并运行以下命令来使用以下信息创建新的自定义 initramfs 文件：
```
$ coreos-installer pxe customize \
    --pre-install mount-iscsi.sh \ 1
    --post-install unmount-iscsi.sh \ 2
    --dest-device /dev/disk/by-path/<IP_address>:<port>-iscsi-<target_iqn>-lun-<lun> \ 3
    --dest-ignition config.ign \ 4
    --dest-karg-append rd.iscsi.initiator=<initiator_iqn> \ 5
    --dest-karg-append netroot=<target_iqn> \ 6
    -o custom.img rhcos-<version>-live-initramfs.x86_64.img
```
1
安装之前运行的脚本。它应包含用于挂载 iSCSI 目标以及启用多路径的任何命令的 iscsiadm 命令。
2
安装后运行的脚本。它应包含命令 iscsiadm --mode node --logout=all。
3
目标系统的位置。您必须提供目标门户的 IP 地址、关联的端口号、目标 iSCSI 节点采用 IQN 格式，以及 iSCSI 逻辑单元号(LUN)。
4
目标系统的 Ignition 配置。
5
iSCSI 启动器或客户端，以 IQN 格式的名称。启动器构成连接到 iSCSI 目标的一个会话。
6
iSCSI 目标或服务器的名称（IQN 格式）。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。

13.4.11.3.8.5. 使用 iBFT 为 iSCSI 引导设备自定义实时安装 PXE 环境

您可以设置 iSCSI 目标和 initiator 值，以便使用自定义的 live RHCOS 镜像版本自动挂载、引导和配置。

先决条件

您有一个 iSCSI 目标，您要在其中安装 RHCOS。
可选：有多路径 iSCSI 目标。

流程

从 coreos-installer 镜像镜像页面下载 coreos-installer 二进制文件。
从 RHCOS image mirror 页获取 RHCOS kernel、initramfs 和 rootfs 文件，并运行以下命令来使用以下信息创建新的自定义 initramfs 文件：
```
$ coreos-installer pxe customize \
    --pre-install mount-iscsi.sh \ 1
    --post-install unmount-iscsi.sh \ 2
    --dest-device /dev/mapper/mpatha \ 3
    --dest-ignition config.ign \ 4
    --dest-karg-append rd.iscsi.firmware=1 \ 5
    --dest-karg-append rd.multipath=default \ 6
    -o custom.img rhcos-<version>-live-initramfs.x86_64.img
```
1
安装之前运行的脚本。它应包含用于挂载 iSCSI 目标的 iscsiadm 命令。
2
安装后运行的脚本。它应包含命令 iscsiadm --mode node --logout=all。
3
设备的路径。如果连接了多个多路径设备，或者需要明确指定，您使用多路径（/dev/mapper/mpatha），您可以使用 /dev/disk/by-path 中可用的 World Wide Name (WWN) 符号链接。
4
目标系统的 Ignition 配置。
5
iSCSI 参数从 BIOS 固件读取。
6
可选：如果您要启用多路径，请包含此参数。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。

13.4.11.3.9. 高级 RHCOS 安装参考

本节演示了网络配置和其他高级选项，允许您修改 Red Hat Enterprise Linux CoreOS(RHCOS)手动安装过程。下表描述了您可以用于 RHCOS live 安装程序和 coreos-installer 命令的内核参数和命令行选项。

13.4.11.3.9.1. ISO 安装的网络和绑定选项

如果从 ISO 镜像安装 RHCOS，您可以在引导镜像时手动添加内核参数，以便为节点配置网络。如果没有指定网络参数，当 RHCOS 检测到需要网络来获取 Ignition 配置文件时，在 initramfs 中激活 DHCP。

重要

在手动添加网络参数时，还必须添加 rd.neednet=1 内核参数，以便在 initramfs 中启动网络。

以下信息提供了在 RHCOS 节点上为 ISO 安装配置网络和绑定的示例。示例描述了如何使用 ip=、name server = 和 bond= 内核参数。

注意

添加内核参数时顺序非常重要： ip=、name server=，然后 bond=。

网络选项在系统引导过程中传递给 dracut 工具。有关 dracut 支持的网络选项的更多信息，请参阅 dracut.cmdline 手册页。

以下示例是 ISO 安装的网络选项。

配置 DHCP 或静态 IP 地址

要配置 IP 地址，可使用 DHCP(ip=dhcp)或设置单独的静态 IP 地址(ip=<host_ip>)。如果设置静态 IP，则必须在每个节点上识别 DNS 服务器 IP 地址（名称服务器=<dns_ip>）。以下示例集：

节点的 IP 地址为 10.10.10.2
网关地址为 10.10.10.254
子网掩码为 255.255.255.0
到 core0.example.com 的主机名
DNS 服务器地址为 4.4.4.41
自动配置值为 none。当以静态方式配置 IP 网络时，不需要自动配置。

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
nameserver=4.4.4.41

注意

当您使用 DHCP 为 RHCOS 机器配置 IP 寻址时，机器还通过 DHCP 获取 DNS 服务器信息。对于基于 DHCP 的部署，您可以通过 DHCP 服务器配置定义 RHCOS 节点使用的 DNS 服务器地址。

配置没有静态主机名的 IP 地址

您可以在不分配静态主机名的情况下配置 IP 地址。如果用户没有设置静态主机名，则会提取并通过反向 DNS 查找自动设置。要在没有静态主机名的情况下配置 IP 地址，请参考以下示例：

节点的 IP 地址为 10.10.10.2
网关地址为 10.10.10.254
子网掩码为 255.255.255.0
DNS 服务器地址为 4.4.4.41
自动配置值为 none。当以静态方式配置 IP 网络时，不需要自动配置。

ip=10.10.10.2::10.10.10.254:255.255.255.0::enp1s0:none
nameserver=4.4.4.41

指定多个网络接口

您可以通过设置多个 ip= 条目来指定多个网络接口。

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
ip=10.10.10.3::10.10.10.254:255.255.255.0:core0.example.com:enp2s0:none

配置默认网关和路由

可选：您可以通过设置 a rd.route= 值来配置到额外网络的路由。

注意

当您配置一个或多个网络时，需要一个默认网关。如果额外网络网关与主要网络网关不同，则默认网关必须是主要网络网关。

运行以下命令来配置默认网关：
```
ip=::10.10.10.254::::
```
输入以下命令为额外网络配置路由：
```
rd.route=20.20.20.0/24:20.20.20.254:enp2s0
```

在单个接口中禁用 DHCP

您可以在单一接口中禁用 DHCP，例如当有两个或者多个网络接口时，且只有一个接口被使用。在示例中，enp1s0 接口具有一个静态网络配置，而 enp2s0 禁用了 DHCP，不使用它：

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
ip=::::core0.example.com:enp2s0:none

合并 DHCP 和静态 IP 配置

您可以将系统上的 DHCP 和静态 IP 配置与多个网络接口合并，例如：

ip=enp1s0:dhcp
ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp2s0:none

在独立接口上配置 VLAN

可选：您可以使用 vlan= 参数在单个接口上配置 VLAN。

要在网络接口中配置 VLAN 并使用静态 IP 地址，请运行以下命令：

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp2s0.100:none
vlan=enp2s0.100:enp2s0

要在网络接口中配置 VLAN 并使用 DHCP，请运行以下命令：
```
ip=enp2s0.100:dhcp
vlan=enp2s0.100:enp2s0
```

提供多个 DNS 服务器

您可以通过为每个服务器添加一个 nameserver= 条目来提供多个 DNS 服务器，例如

nameserver=1.1.1.1
nameserver=8.8.8.8

将多个网络接口绑定到一个接口

可选：您可以使用 bond= 选项将多个网络接口绑定到一个接口。请参见以下示例：

配置绑定接口的语法为： bond=<name>[:<network_interfaces>][:options]
<name> 是绑定设备名称 (bond0)、<network_interfaces> 代表以逗号分隔的物理（以太网）接口列表(em1,em2)，options 是用逗号分开的绑定选项列表。输入 modinfo bonding 查看可用选项。
当使用 bond= 创建绑定接口时，您必须指定如何分配 IP 地址以及绑定接口的其他信息。
- 要将绑定接口配置为使用 DHCP，请将绑定的 IP 地址设置为 dhcp。例如：
```
bond=bond0:em1,em2:mode=active-backup
ip=bond0:dhcp
```
- 要将绑定接口配置为使用静态 IP 地址，请输入您需要的特定 IP 地址和相关信息。例如：
```
bond=bond0:em1,em2:mode=active-backup
ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:bond0:none
```

将多个 SR-IOV 网络接口绑定到双端口 NIC 接口

重要

支持与为 SR-IOV 设备启用 NIC 分区关联的第 1 天操作只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议（SLA）支持，且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息，请参阅技术预览功能支持范围。

可选：您可以使用 bond= 选项将多个 SR-IOV 网络接口绑定到双端口 NIC 接口。

在每个节点上，您必须执行以下任务：

按照管理 SR-IOV 设备中的指导创建 SR-IOV 虚拟功能(VF)。按照"将 SR-IOV 网络设备附加到虚拟机"部分中的步骤操作。
创建绑定，将所需的 VF 附加到绑定，并根据配置网络绑定的指导设置绑定链接状态。按照任何描述的步骤创建绑定。

以下示例演示了您必须使用的语法：

配置绑定接口的语法为：bond=<name>[:<network_interfaces>][:options]
<name> 是绑定设备名称 (bond0)、<network_interfaces> 由内核中已知的名称来代表虚拟功能(VF)，并显示在 ip link 命令的输出中 (eno1f0,eno2f0)，options 是以逗号分隔的绑定选项列表。输入 modinfo bonding 查看可用选项。
当使用 bond= 创建绑定接口时，您必须指定如何分配 IP 地址以及绑定接口的其他信息。
- 要将绑定接口配置为使用 DHCP，请将绑定的 IP 地址设置为 dhcp。例如：
```
bond=bond0:eno1f0,eno2f0:mode=active-backup
ip=bond0:dhcp
```
- 要将绑定接口配置为使用静态 IP 地址，请输入您需要的特定 IP 地址和相关信息。例如：
```
bond=bond0:eno1f0,eno2f0:mode=active-backup
ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:bond0:none
```

使用网络团队

可选：您可以使用 team= 参数来将网络团队用作绑定的替代选择：

配置组接口的语法为： team=name[:network_interfaces]
name 是组设备名称(team0)，network_interfaces 代表以逗号分隔的物理（以太网）接口（em1、em2）列表。

注意

当 RHCOS 切换到即将推出的 RHEL 版本时，团队(team)功能被计划弃用。如需更多信息，请参阅红帽知识库文章。

使用以下示例配置网络团队：

team=team0:em1,em2
ip=team0:dhcp

13.4.11.3.9.2. ISO 和 PXE 安装的 `coreos-installer` 选项

从 ISO 镜像引导 RHCOS live 环境后，您可以通过 在命令提示符下运行 coreos-installer install <options> <device > 来安装 RHCOS。

下表显示了您可以传递给 coreos-installer 命令的子命令、选项和参数。

表 13.40. coreos-installer 子命令、命令行选项和参数
coreos-installer install 子命令
*子命令*	描述
`$ coreos-installer install <options> <device>`	在 ISO 镜像中嵌入 Ignition 配置。
coreos-installer install 子命令选项
选项	描述
`-u`, `--image-url <url>`	手动指定镜像 URL。
`-f`,`--image-file <path>`	手动指定本地镜像文件。用于调试。
`-i,` `--ignition-file <path>`	从文件中嵌入 Ignition 配置。
`-i`,`--ignition-url <URL>`	从 URL 嵌入 Ignition 配置。
`--ignition-hash <digest>`	Ignition 配置 `的 type-value` 的摘要值。
`-p`, `--platform <name>`	覆盖已安装系统的 Ignition 平台 ID。
`--console <spec>`	为安装的系统设置内核和引导装载程序控制台。有关 `<spec>` 格式的更多信息，请参阅 Linux 内核串口控制台文档。
`--append-karg <arg>…`	将默认内核参数附加到安装的系统中。
`--delete-karg <arg>…`	从安装的系统中删除默认内核参数。
`-n`, `--copy-network`	从安装环境中复制网络配置。重要 `copy-network` 选项仅复制在 `/etc/NetworkManager/system-connections` 下找到的网络配置。特别是，它不会复制系统主机名。
`--network-dir <path>`	用于 `-n`。默认为 `/etc/NetworkManager/system-connections/`。
`--save-partlabel <lx>..`	使用这个标签 glob 保存分区。
`--save-partindex <id>…`	使用这个数值或范围保存分区。
`--insecure`	跳过 RHCOS 镜像签名验证。
`--insecure-ignition`	允许没有 HTTPS 或 hash 的 Ignition URL。
`--architecture <name>`	目标 CPU 架构.有效值为 `x86_64` 和 `aarch64`。
`--preserve-on-error`	出错时不要清除分区表。
`-h`,`--help`	打印帮助信息.
coreos-installer install 子命令参数
参数	描述
`<device>`	目标设备.
coreos-installer ISO 子命令
*子命令*	描述
`$ coreos-installer iso customize <options> <ISO_image>`	自定义 RHCOS live ISO 镜像。
`coreos-installer iso reset <options> <ISO_image>`	将 RHCOS live ISO 镜像恢复到默认设置。
`coreos-installer iso ignition remove <options> <ISO_image>`	从 ISO 镜像中删除嵌入的 Ignition 配置。
coreos-installer ISO customize 子命令选项
选项	描述
`--dest-ignition <path>`	将指定的 Ignition 配置文件合并到目标系统的新配置片段中。
`--dest-console <spec>`	为目标系统指定内核和引导装载程序控制台。
`--dest-device <path>`	安装并覆盖指定的目标设备。
`--dest-karg-append <arg>`	为每个目标系统引导添加一个内核参数。
`--dest-karg-delete <arg>`	从目标系统的每个引导中删除内核参数。
`--network-keyfile <path>`	使用指定的 NetworkManager 密钥文件进行实时和目标系统配置网络。
`--ignition-ca <path>`	指定要被 Ignition 信任的额外 TLS 证书颁发机构。
`--pre-install <path>`	在安装之前运行指定的脚本。
`--post-install <path>`	安装后运行指定的脚本。
`--installer-config <path>`	应用指定的安装程序配置文件。
`--live-ignition <path>`	将指定的 Ignition 配置文件合并到实时环境的新配置片段中。
`--live-karg-append <arg>`	为每个实时环境引导添加一个内核参数。
`--live-karg-delete <arg>`	从实时环境每次引导时删除内核参数。
`--live-karg-replace <k=o=n>`	在每次启动 live 环境时替换内核参数，格式为 `key=old=new`。
`-f`,`--force`	覆盖现有的 Ignition 配置。
`-o`,`--output <path>`	将 ISO 写入到新的输出文件。
`-h`,`--help`	打印帮助信息.
coreos-installer PXE 子命令
*子命令*	描述
请注意，并非所有子命令都接受所有这些选项。
`coreos-installer pxe customize <options> <path>`	自定义 RHCOS live PXE 引导配置。
`coreos-installer pxe ignition wrap <options>`	在镜像中嵌套 Ignition 配置。
`coreos-installer pxe ignition unwrap <options> <image_name>`	在镜像中显示嵌套的 Ignition 配置。
coreos-installer PXE customize 子命令选项
选项	描述
请注意，并非所有子命令都接受所有这些选项。
`--dest-ignition <path>`	将指定的 Ignition 配置文件合并到目标系统的新配置片段中。
`--dest-console <spec>`	为目标系统指定内核和引导装载程序控制台。
`--dest-device <path>`	安装并覆盖指定的目标设备。
`--network-keyfile <path>`	使用指定的 NetworkManager 密钥文件进行实时和目标系统配置网络。
`--ignition-ca <path>`	指定要被 Ignition 信任的额外 TLS 证书颁发机构。
`--pre-install <path>`	在安装之前运行指定的脚本。
`post-install <path>`	安装后运行指定的脚本。
`--installer-config <path>`	应用指定的安装程序配置文件。
`--live-ignition <path>`	将指定的 Ignition 配置文件合并到实时环境的新配置片段中。
`-o,` `--output <path>`	将 initramfs 写入一个新输出文件。注意 PXE 环境需要这个选项。
`-h`,`--help`	打印帮助信息.

13.4.11.3.9.3. `coreos.inst` 引导选项用于 ISO 或 PXE 安装

您可以通过将 coreos.inst boot 参数传递给 RHCOS live 安装程序，在引导时自动调用 coreos-installer 选项。这些是在标准引导参数之外提供的。

对于 ISO 安装，可以通过在启动加载器菜单中中断自动引导来添加 coreos.inst 选项。您可以在突出显示 RHEL CoreOS(Live) 菜单选项时按 TAB 来中断自动引导。
对于 PXE 或 iPXE 安装，在引导 RHCOS live 安装程序前，coreos.inst 选项必须添加到 APPEND 行。

下表显示了用于 ISO 和 PXE 安装的 RHCOS live 安装程序 coreos.inst 引导选项。

表 13.41. coreos.inst 引导选项
参数	描述
`coreos.inst.install_dev`	必需。要安装到的系统中的块设备。建议您使用完整路径，如 `/dev/sda`，但 `允许使用`。
`coreos.inst.ignition_url`	可选：嵌入到安装的系统中的 Ignition 配置的 URL。如果没有指定 URL，则不会嵌入 Ignition 配置。仅支持 HTTP 和 HTTPS 协议。
`coreos.inst.save_partlabel`	可选：在安装过程中要保留的分区分离标签。允许使用 glob 风格的通配符。指定分区不需要存在。
`coreos.inst.save_partindex`	可选：在安装过程中压缩要保留的分区索引。允许 `m-n` 范围，`m` 或 `n` 可以被省略。指定分区不需要存在。
`coreos.inst.insecure`	可选：将 `coreos.inst.image_url` 指定的 OS 镜像提交取消签名。
`coreos.inst.image_url`	可选：下载并安装指定的 RHCOS 镜像。这个参数不应该在生产环境中使用，而是只用于调试目的。虽然此参数可用于安装与 live 介质不匹配的 RHCOS 版本，但建议您使用与您要安装版本匹配的介质。如果您使用 `coreos.inst.image_url`，还必须使用 `coreos.inst.insecure`。这是因为，裸机介质没有为 OpenShift Container Platform 进行 GPG 签名。仅支持 HTTP 和 HTTPS 协议。
`coreos.inst.skip_reboot`	可选：安装后系统不会重启。安装完成后，您将收到提示，提示您检查在安装过程中发生的情况。这个参数不应该在生产环境中使用，而是只用于调试目的。
`coreos.inst.platform_id`	可选：安装 RHCOS 镜像的平台的 Ignition 平台 ID。默认为 `metal`。这个选项决定是否从云供应商（如 VMware）请求 Ignition 配置。例如： `coreos.inst.platform_id=vmware`。
`ignition.config.url`	可选：用于实时引导的 Ignition 配置的 URL。例如，这可用于自定义调用 `coreos-installer` 的方式，或者用于在安装前或安装后运行代码。这与 `coreos.inst.ignition_url` （这是已安装系统的 Ignition 配置）不同。

13.4.11.4. 在 RHCOS 上启用带有内核参数的多路径

RHCOS 支持主磁盘上的多路径，支持更强大的硬件故障弹性，以获得更高的主机可用性。

您可以在安装时为 OpenShift Container Platform 4.8 或更高版本置备的节点启用多路径。虽然安装后支持可以通过机器配置激活多路径来实现，但建议在安装过程中启用多路径。

在任何 I/O 到未优化路径会导致 I/O 系统错误的设置中，您必须在安装时启用多路径。

重要

在 IBM Z® 和 IBM® LinuxONE 中，您只能在在安装过程中为它配置集群时启用多路径。如需更多信息，请参阅在 IBM Z® 和 IBM® LinuxONE 上安装使用 z/VM 的集群"安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程"。

以下流程在安装时启用多路径，并在 coreos-installer install 命令中附加内核参数，以便安装的系统本身将使用从第一次引导开始的多路径。

注意

OpenShift Container Platform 不支持在从 4.6 或更早版本升级的节点上启用多路径作为 2 天的活动。

流程

要启用多路径并启动 multipathd 守护进程，请在安装主机上运行以下命令：
```
$ mpathconf --enable && systemctl start multipathd.service
```
- 可选：如果引导 PXE 或 ISO，则可以通过从内核命令行添加 rd.multipath=default 来启用多路径。
通过调用 coreos-installer 程序附加内核参数：
- 如果只有一个多路径设备连接到计算机，则应在路径 /dev/mapper/mpatha 上可用。例如：
```
$ coreos-installer install /dev/mapper/mpatha \ 1
--append-karg rd.multipath=default \
--append-karg root=/dev/disk/by-label/dm-mpath-root \
--append-karg rw
```
  1
  表示单一多路径设备的路径。
- 如果有多个多路径设备连接到计算机，或者更为明确，而不是使用 /dev/mapper/mpatha，则建议使用 /dev/disk/by-id 中可用的 World Wide Name(WWN)符号链接。例如：
```
$ coreos-installer install /dev/disk/by-id/wwn-<wwn_ID> \ 1
--append-karg rd.multipath=default \
--append-karg root=/dev/disk/by-label/dm-mpath-root \
--append-karg rw
```
  1
  表示目标多路径设备的 WWN ID。例如： 0xx194e957fcedb4841。
  当使用特殊 coreos.inst.* 参数指示 live 安装程序时，这个符号链接也可以用作 coreos.inst.install_dev 内核参数。如需更多信息，请参阅"安装 RHCOS 和启动 OpenShift Container Platform bootstrap 过程"。

前往其中一个 worker 节点并列出内核命令行参数（主机上的 /proc/cmdline 中），以检查内核参数是否正常工作：

$ oc debug node/ip-10-0-141-105.ec2.internal

输出示例

Starting pod/ip-10-0-141-105ec2internal-debug ...
To use host binaries, run `chroot /host`

sh-4.2# cat /host/proc/cmdline
...
rd.multipath=default root=/dev/disk/by-label/dm-mpath-root
...

sh-4.2# exit

您应看到添加的内核参数。

13.4.11.5. 在 iSCSI 引导设备中手动安装 RHCOS

您可以在 iSCSI 目标上手动安装 RHCOS。

先决条件

您在 RHCOS live 环境中。
您有一个要在其上安装 RHCOS 的 iSCSI 目标。

流程

运行以下命令，从 live 环境中挂载 iSCSI 目标：

$ iscsiadm \
    --mode discovery \
    --type sendtargets
    --portal <IP_address> \ 1
    --login

1: 目标门户的 IP 地址。

运行以下命令并使用必要的内核参数将 RHCOS 安装到 iSCSI 目标上，例如：
```
$ coreos-installer install \
    /dev/disk/by-path/ip-<IP_address>:<port>-iscsi-<target_iqn>-lun-<lun> \ 1
    --append-karg rd.iscsi.initiator=<initiator_iqn> \ 2
    --append.karg netroot=<target_iqn> \ 3
    --console ttyS0,115200n8
    --ignition-file <path_to_file>
```
1
您要安装到的位置。您必须提供目标门户的 IP 地址、关联的端口号、目标 iSCSI 节点采用 IQN 格式，以及 iSCSI 逻辑单元号(LUN)。
2
iSCSI 启动器或客户端，以 IQN 格式的名称。启动器构成连接到 iSCSI 目标的一个会话。
3
iSCSI 目标或服务器的名称（IQN 格式）。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。
使用以下命令卸载 iSCSI 磁盘：
```
$ iscsiadm --mode node --logoutall=all
```

此过程也可以使用 coreos-installer iso customize 或 coreos-installer pxe customize 子命令来执行。

13.4.11.6. 使用 iBFT 在 iSCSI 引导设备中安装 RHCOS

在一个完全无盘机器上，也可以通过 iBFT. iSCSI 多路径传递 iSCSI 目标和启动器值。

先决条件

您在 RHCOS live 环境中。
您有一个 iSCSI 目标，您要在其中安装 RHCOS。
可选：有多路径 iSCSI 目标。

流程

运行以下命令，从 live 环境中挂载 iSCSI 目标：

$ iscsiadm \
    --mode discovery \
    --type sendtargets
    --portal <IP_address> \ 1
    --login

1: 目标门户的 IP 地址。

可选：使用以下命令启用多路径并启动守护进程：
```
$ mpathconf --enable && systemctl start multipathd.service
```
运行以下命令并使用必要的内核参数将 RHCOS 安装到 iSCSI 目标上，例如：
```
$ coreos-installer install \
    /dev/mapper/mpatha \ 1
    --append-karg rd.iscsi.firmware=1 \ 2
    --append-karg rd.multipath=default \ 3
    --console ttyS0 \
    --ignition-file <path_to_file>
```
1
单一多路径设备的路径。如果连接了多个多路径设备，或者需要明确指定，您可以使用 /dev/disk/by-path 中可用的 World Wide Name (WWN) 符号链接。
2
iSCSI 参数从 BIOS 固件读取。
3
可选：如果您要启用多路径，请包含此参数。
有关 dracut 支持的 iSCSI 选项的更多信息，请参阅 dracut.cmdline 手册页。
卸载 iSCSI 磁盘：
```
$ iscsiadm --mode node --logout=all
```

此过程也可以使用 coreos-installer iso customize 或 coreos-installer pxe customize 子命令来执行。

13.4.12. 等待 bootstrap 过程完成

OpenShift Container Platform bootstrap 过程在集群节点首次引导到安装到磁盘的持久 RHCOS 环境后开始。通过 Ignition 配置文件提供的配置信息用于初始化 bootstrap 过程并在机器上安装 OpenShift Container Platform。您必须等待 bootstrap 过程完成。

先决条件

已为集群创建 Ignition 配置文件。
您已配置了适当的网络、DNS 和负载平衡基础架构。
已获得安装程序，并为集群生成 Ignition 配置文件。
已在集群机器上安装 RHCOS，并提供 OpenShift Container Platform 安装程序生成的 Ignition 配置文件。

流程

监控 bootstrap 过程：

$ ./openshift-install --dir <installation_directory> wait-for bootstrap-complete \ 1
    --log-level=info 2

1: 对于 <installation_directory>，请指定安装文件保存到的目录的路径。
2: 要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。

输出示例

INFO Waiting up to 30m0s for the Kubernetes API at https://api.test.example.com:6443...
INFO API v1.29.4 up
INFO Waiting up to 30m0s for bootstrapping to complete...
INFO It is now safe to remove the bootstrap resources

当 Kubernetes API 服务器提示已在 control plane 机器上引导它时，该命令会成功。

bootstrap 过程完成后，从负载均衡器中删除 bootstrap 机器。
重要
此时您必须从负载均衡器中删除 bootstrap 机器。您还可以删除或重新格式化 bootstrap 机器本身。

其他资源

如需有关监控安装日志的更多信息，请参阅监控安装进度，并在出现安装问题时检索诊断数据。

13.4.13. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

13.4.14. 批准机器的证书签名请求

当您将机器添加到集群时，会为您添加的每台机器生成两个待处理证书签名请求(CSR)。您必须确认这些 CSR 已获得批准，或根据需要自行批准。必须首先批准客户端请求，然后批准服务器请求。

先决条件

您已将机器添加到集群中。

流程

确认集群可以识别这些机器：
```
$ oc get nodes
```
输出示例
```
NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  63m  v1.29.4
master-1  Ready     master  63m  v1.29.4
master-2  Ready     master  64m  v1.29.4
```
输出中列出了您创建的所有机器。
注意
在有些 CSR 被批准前，前面的输出可能不包括计算节点（也称为 worker 节点）。

检查待处理的 CSR，并确保添加到集群中的每台机器都有 Pending 或 Approved 状态的客户端请求：

$ oc get csr

输出示例

NAME        AGE     REQUESTOR                                                                   CONDITION
csr-8b2br   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
csr-8vnps   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
...

在本例中，两台机器加入集群。您可能会在列表中看到更多已批准的 CSR。

如果 CSR 没有获得批准，在您添加的机器的所有待处理 CSR 都处于 Pending 状态 后，请批准集群机器的 CSR：
注意
由于 CSR 会自动轮转，因此请在将机器添加到集群后一小时内批准您的 CSR。如果没有在一小时内批准它们，证书将会轮转，每个节点会存在多个证书。您必须批准所有这些证书。批准客户端 CSR 后，Kubelet 为服务证书创建一个二级 CSR，这需要手动批准。然后，如果 Kubelet 请求具有相同参数的新证书，则后续提供证书续订请求由 machine-approver 自动批准。
注意
对于在未启用机器 API 的平台上运行的集群，如裸机和其他用户置备的基础架构，您必须实施一种方法来自动批准 kubelet 提供证书请求(CSR)。如果没有批准请求，则 oc exec、ocrsh 和 oc logs 命令将无法成功，因为 API 服务器连接到 kubelet 时需要服务证书。与 Kubelet 端点联系的任何操作都需要此证书批准。该方法必须监视新的 CSR，确认 CSR 由 system: node 或 system:admin 组中的 node-bootstrapper 服务帐户提交，并确认节点的身份。
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
```
  注意
  在有些 CSR 被批准前，一些 Operator 可能无法使用。

现在，您的客户端请求已被批准，您必须查看添加到集群中的每台机器的服务器请求：

$ oc get csr

输出示例

NAME        AGE     REQUESTOR                                                                   CONDITION
csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
...

如果剩余的 CSR 没有被批准，且处于 Pending 状态，请批准集群机器的 CSR：
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
```

批准所有客户端和服务器 CSR 后，机器将 处于 Ready 状态。运行以下命令验证：

$ oc get nodes

输出示例

NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  73m  v1.29.4
master-1  Ready     master  73m  v1.29.4
master-2  Ready     master  74m  v1.29.4
worker-0  Ready     worker  11m  v1.29.4
worker-1  Ready     worker  11m  v1.29.4

注意

批准服务器 CSR 后可能需要几分钟时间让机器过渡到 Ready 状态。

其他信息

如需有关 CSR 的更多信息，请参阅证书签名请求。

13.4.15. 初始 Operator 配置

在 control plane 初始化后，您必须立即配置一些 Operator，以便它们都可用。

先决条件

您的 control plane 已初始化。

流程

观察集群组件上线：

$ watch -n5 oc get clusteroperators

输出示例

NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.16.0    True        False         False      19m
baremetal                                  4.16.0    True        False         False      37m
cloud-credential                           4.16.0    True        False         False      40m
cluster-autoscaler                         4.16.0    True        False         False      37m
config-operator                            4.16.0    True        False         False      38m
console                                    4.16.0    True        False         False      26m
csi-snapshot-controller                    4.16.0    True        False         False      37m
dns                                        4.16.0    True        False         False      37m
etcd                                       4.16.0    True        False         False      36m
image-registry                             4.16.0    True        False         False      31m
ingress                                    4.16.0    True        False         False      30m
insights                                   4.16.0    True        False         False      31m
kube-apiserver                             4.16.0    True        False         False      26m
kube-controller-manager                    4.16.0    True        False         False      36m
kube-scheduler                             4.16.0    True        False         False      36m
kube-storage-version-migrator              4.16.0    True        False         False      37m
machine-api                                4.16.0    True        False         False      29m
machine-approver                           4.16.0    True        False         False      37m
machine-config                             4.16.0    True        False         False      36m
marketplace                                4.16.0    True        False         False      37m
monitoring                                 4.16.0    True        False         False      29m
network                                    4.16.0    True        False         False      38m
node-tuning                                4.16.0    True        False         False      37m
openshift-apiserver                        4.16.0    True        False         False      32m
openshift-controller-manager               4.16.0    True        False         False      30m
openshift-samples                          4.16.0    True        False         False      32m
operator-lifecycle-manager                 4.16.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.16.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.16.0    True        False         False      32m
service-ca                                 4.16.0    True        False         False      38m
storage                                    4.16.0    True        False         False      37m

配置不可用的 Operator。

其他资源

如需了解在 OpenShift Container Platform 安装失败时收集数据的详细信息，请参阅从失败安装收集日志。
如需了解在集群中检查 Operator pod 健康状况的步骤，并收集 Operator 日志以进行诊断，请参阅故障排除 Operator 问题。

13.4.15.1. 禁用默认的 OperatorHub 目录源

在 OpenShift Container Platform 安装过程中，默认为 OperatorHub 配置由红帽和社区项目提供的源内容的 operator 目录。在受限网络环境中，必须以集群管理员身份禁用默认目录。

流程

通过在 OperatorHub 对象中添加 disableAllDefaultSources: true 来 禁用默认目录的源：

$ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'

提示

或者，您可以使用 Web 控制台管理目录源。在 Administration Cluster Settings Configuration OperatorHub 页面中，点 Sources 选项卡，您可以在其中创建、更新、删除、禁用和启用单独的源。

13.4.15.2. 镜像 registry 存储配置

对于不提供默认存储的平台，Image Registry Operator 最初不可用。安装后，您必须将 registry 配置为使用存储，以便 Registry Operator 可用。

显示配置生产集群所需的持久性卷的说明。如果适用，显示有关将空目录配置为存储位置的说明，这仅适用于非生产集群。

提供了在升级过程中使用 Recreate rollout 策略来允许镜像 registry 使用块存储类型的说明。

13.4.15.2.1. 更改镜像 registry 的管理状态

要启动镜像 registry，您必须将 Image Registry Operator 配置的 managementState 从 Removed 改为 Managed。

流程

将 managementState Image Registry Operator 配置从 Removed 改为 Managed。例如：

$ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"managementState":"Managed"}}'

13.4.15.2.2. 为裸机和其他手动安装配置 registry 存储

作为集群管理员，在安装后需要配置 registry 来使用存储。

先决条件

您可以使用具有 cluster-admin 角色的用户访问集群。
您有一个使用手动置备的 Red Hat Enterprise Linux CoreOS(RHCOS)节点（如裸机）的集群。
您已为集群置备持久性存储，如 Red Hat OpenShift Data Foundation。
重要
当您只有一个副本时，OpenShift Container Platform 支持对镜像 registry 存储的 ReadWriteOnce 访问。ReadWriteOnce 访问还要求 registry 使用 Recreate rollout 策略。要部署支持高可用性的镜像 registry，需要两个或多个副本，ReadWriteMany 访问。
必须具有 100Gi 容量。

流程

要将 registry 配置为使用存储，修改 configs.imageregistry/cluster 资源中的 spec.storage.pvc。
注意
使用共享存储时，请查看您的安全设置以防止外部访问。
验证您没有 registry pod:
```
$ oc get pod -n openshift-image-registry -l docker-registry=default
```
输出示例
```
No resources found in openshift-image-registry namespace
```
注意
如果您的输出中有一个 registry pod，则不需要继续这个过程。
检查 registry 配置：
```
$ oc edit configs.imageregistry.operator.openshift.io
```
输出示例
```
storage:
  pvc:
    claim:
```
将 claim 字段留空以允许自动创建 image-registry-storage PVC。

检查 clusteroperator 状态：

$ oc get clusteroperator image-registry

输出示例

NAME             VERSION              AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
image-registry   4.16                 True        False         False      6h50m

确保 registry 设置为 managed，以启用镜像的构建和推送。
- 运行：
```
$ oc edit configs.imageregistry/cluster
```
  然后，更改行
```
managementState: Removed
```
  至
```
managementState: Managed
```

13.4.15.2.3. 在非生产集群中为镜像 registry 配置存储

您必须为 Image Registry Operator 配置存储。对于非生产集群，您可以将镜像 registry 设置为空目录。如果您这样做，重启 registry 时会丢失所有镜像。

流程

将镜像 registry 存储设置为空目录：
```
$ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
```
警告
仅为非生产集群配置这个选项。
如果在 Image Registry Operator 初始化其组件前运行这个命令，oc patch 命令会失败并显示以下错误：
```
Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found
```
等待几分钟，然后再次运行命令。

13.4.15.2.4. 为裸机配置块 registry 存储

要允许镜像 registry 在作为集群管理员升级过程中使用块存储类型，您可以使用 Recreate rollout 策略。

重要

支持块存储卷或块持久性卷，但不建议在生产环境中使用镜像 registry。在块存储上配置 registry 的安装不具有高可用性，因为 registry 无法具有多个副本。

如果您选择将块存储卷与镜像 registry 搭配使用，则必须使用文件系统持久性卷声明(PVC)。

流程

输入以下命令将镜像 registry 存储设置为块存储类型，对 registry 进行补丁，使其使用 Recreate rollout 策略，并只使用一个副本运行：
```
$ oc patch config.imageregistry.operator.openshift.io/cluster --type=merge -p '{"spec":{"rolloutStrategy":"Recreate","replicas":1}}'
```
为块存储设备置备 PV，并为该卷创建 PVC。请求的块卷使用 ReadWriteOnce(RWO)访问模式。
1. 创建包含以下内容的 pvc.yaml 文件以定义 VMware vSphere PersistentVolumeClaim 对象：
```
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: image-registry-storage 1
  namespace: openshift-image-registry 2
spec:
  accessModes:
  - ReadWriteOnce 3
  resources:
    requests:
      storage: 100Gi 4
```
  1
  代表 PersistentVolumeClaim 对象的唯一名称。
  2
  PersistentVolumeClaim 对象的命名空间，即 openshift-image-registry。
  3
  持久性卷声明的访问模式。使用 ReadWriteOnce 时，单个节点可以通过读写权限挂载该卷。
  4
  持久性卷声明的大小。
2. 输入以下命令从文件创建 PersistentVolumeClaim 对象：
```
$ oc create -f pvc.yaml -n openshift-image-registry
```
输入以下命令编辑 registry 配置，使其引用正确的 PVC：
```
$ oc edit config.imageregistry.operator.openshift.io -o yaml
```
输出示例
```
storage:
  pvc:
    claim: 1
```
1
通过创建自定义 PVC，您可以将 claim 字段留空，以便默认自动创建 image-registry-storage PVC。

13.4.16. 在用户置备的基础架构上完成安装

完成 Operator 配置后，可以在您提供的基础架构上完成集群安装。

先决条件

您的 control plane 已初始化。
已完成初始 Operator 配置。

流程

使用以下命令确认所有集群组件都在线：

$ watch -n5 oc get clusteroperators

输出示例

NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.16.0    True        False         False      19m
baremetal                                  4.16.0    True        False         False      37m
cloud-credential                           4.16.0    True        False         False      40m
cluster-autoscaler                         4.16.0    True        False         False      37m
config-operator                            4.16.0    True        False         False      38m
console                                    4.16.0    True        False         False      26m
csi-snapshot-controller                    4.16.0    True        False         False      37m
dns                                        4.16.0    True        False         False      37m
etcd                                       4.16.0    True        False         False      36m
image-registry                             4.16.0    True        False         False      31m
ingress                                    4.16.0    True        False         False      30m
insights                                   4.16.0    True        False         False      31m
kube-apiserver                             4.16.0    True        False         False      26m
kube-controller-manager                    4.16.0    True        False         False      36m
kube-scheduler                             4.16.0    True        False         False      36m
kube-storage-version-migrator              4.16.0    True        False         False      37m
machine-api                                4.16.0    True        False         False      29m
machine-approver                           4.16.0    True        False         False      37m
machine-config                             4.16.0    True        False         False      36m
marketplace                                4.16.0    True        False         False      37m
monitoring                                 4.16.0    True        False         False      29m
network                                    4.16.0    True        False         False      38m
node-tuning                                4.16.0    True        False         False      37m
openshift-apiserver                        4.16.0    True        False         False      32m
openshift-controller-manager               4.16.0    True        False         False      30m
openshift-samples                          4.16.0    True        False         False      32m
operator-lifecycle-manager                 4.16.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.16.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.16.0    True        False         False      32m
service-ca                                 4.16.0    True        False         False      38m
storage                                    4.16.0    True        False         False      37m

另外，当所有集群都可用时，以下命令会通知您。它还检索并显示凭证：

$ ./openshift-install --dir <installation_directory> wait-for install-complete 1

1: 对于 <installation_directory>，请指定安装文件保存到的目录的路径。

输出示例

INFO Waiting up to 30m0s for the cluster to initialize...

Cluster Version Operator 完成从 Kubernetes API 服务器部署 OpenShift Container Platform 集群时，该命令会成功。

重要

安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

确认 Kubernetes API 服务器正在与 pod 通信。

要查看所有 pod 的列表，请使用以下命令：

$ oc get pods --all-namespaces

输出示例

NAMESPACE                         NAME                                            READY   STATUS      RESTARTS   AGE
openshift-apiserver-operator      openshift-apiserver-operator-85cb746d55-zqhs8   1/1     Running     1          9m
openshift-apiserver               apiserver-67b9g                                 1/1     Running     0          3m
openshift-apiserver               apiserver-ljcmx                                 1/1     Running     0          1m
openshift-apiserver               apiserver-z25h4                                 1/1     Running     0          2m
openshift-authentication-operator authentication-operator-69d5d8bf84-vh2n8        1/1     Running     0          5m
...

使用以下命令，查看上一命令的输出中所列 pod 的日志：
```
$ oc logs <pod_name> -n <namespace> 1
```
1
指定 pod 名称和命名空间，如上一命令的输出中所示。
如果 pod 日志显示，Kubernetes API 服务器可以与集群机器通信。

对于使用光纤通道协议(FCP)的安装，还需要额外的步骤才能启用多路径。不要在安装过程中启用多路径。
如需更多信息，请参阅 安装后机器配置任务 文档中的"使用 RHCOS 上使用内核参数启用多路径"。
在 Cluster registration 页面注册您的集群。

13.4.17. OpenShift Container Platform 的 Telemetry 访问

在 OpenShift Container Platform 4.16 中，默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，而且集群会注册到 OpenShift Cluster Manager。

确认 OpenShift Cluster Manager 清单正确后，可以由 Telemetry 自动维护，也可以使用 OpenShift Cluster Manager 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

有关 Telemetry 服务的更多信息，请参阅关于远程健康监控

13.4.18. 后续步骤

验证安装.
自定义集群。
为 Cluster Samples Operator 和 must-gather 工具配置镜像流。
了解如何在受限网络中使用 Operator Lifecycle Manager(OLM )。
如果您用来安装集群的镜像 registry 具有可信任的 CA，请通过配置额外的信任存储将其添加到集群中。
如果需要，您可以选择不使用远程健康报告。
如果需要，请参阅注册断开连接的集群

13.4. 在受限网络中安装用户置备的裸机集群

13.4.1. 先决条件

13.4.2. 关于在受限网络中安装

13.4.2.1. 其他限制

13.4.3. OpenShift Container Platform 互联网访问

13.4.4. 具有用户置备基础架构的集群的要求

13.4.4.1. 集群安装所需的机器

13.4.4.2. 集群安装的最低资源要求

13.4.4.3. 证书签名请求管理

13.4.4.4. 用户置备的基础架构对网络的要求

13.4.4.4.1. 通过 DHCP 设置集群节点主机名

13.4.4.4.2. 网络连接要求

用户置备的基础架构的 NTP 配置

13.4.4.5. 用户置备的 DNS 要求

13.4.4.5.1. 用户置备的集群的 DNS 配置示例

13.4.4.6. 用户置备的基础架构的负载均衡要求

13.4.4.6.1. 用户置备的集群的负载均衡器配置示例

13.4.4.7. 可选：创建包含一个自定义 br-ex 网桥的清单对象

13.4.4.8. 可选：将每个机器集扩展到计算节点

13.4.5. 准备用户置备的基础架构

13.4.6. 验证用户置备的基础架构的 DNS 解析

13.4.7. 为集群节点 SSH 访问生成密钥对

13.4.8. 手动创建安装配置文件

13.4.8.1. 裸机 install-config.yaml 文件示例

13.4.8.2. 在安装过程中配置集群范围的代理

13.4.8.3. 配置三节点集群

13.4.9. 创建 Kubernetes 清单和 Ignition 配置文件

13.4.10. 配置 chrony 时间服务

13.4.11. 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程

13.4.11.1. 使用 ISO 镜像安装 RHCOS

13.4.11.2. 使用 PXE 或 iPXE 启动安装 RHCOS

13.4.11.3. 高级 RHCOS 安装配置

13.4.11.3.1. 使用高级网络选项进行 PXE 和 ISO 安装

13.4.11.3.2. 磁盘分区

13.4.11.3.2.1. 创建独立 /var 分区

13.4.11.3.2.2. 保留现有分区

13.4.11.3.3. 识别 Ignition 配置

13.4.11.3.4. 默认控制台配置

13.4.11.3.5. 为 PXE 和 ISO 安装启用串行控制台

13.4.11.3.6. 自定义 live RHCOS ISO 或 PXE 安装

13.4.11.3.7. 自定义 live RHCOS ISO 镜像

13.4.11.3.7.1. 修改实时安装 ISO 镜像以启用串行控制台

13.4.11.3.7.2. 修改实时安装 ISO 镜像以使用自定义证书颁发机构

13.4.11.3.7.3. 使用自定义网络设置修改实时安装 ISO 镜像

13.4.11.3.7.4. 为 iSCSI 引导设备自定义实时安装 ISO 镜像

13.4.11.3.7.5. 使用 iBFT 为 iSCSI 引导设备自定义实时安装 ISO 镜像

13.4.11.3.8. 自定义 live RHCOS PXE 环境

13.4.11.3.8.1. 修改实时安装 PXE 环境以启用串行控制台。

13.4.11.3.8.2. 修改实时安装 PXE 环境以使用自定义证书颁发机构

13.4.11.3.8.3. 使用自定义网络设置修改实时安装 PXE 环境

13.4.11.3.8.4. 为 iSCSI 引导设备自定义实时安装 PXE 环境

13.4.11.3.8.5. 使用 iBFT 为 iSCSI 引导设备自定义实时安装 PXE 环境

13.4.11.3.9. 高级 RHCOS 安装参考

13.4.11.3.9.1. ISO 安装的网络和绑定选项

13.4.11.3.9.2. ISO 和 PXE 安装的 coreos-installer 选项

13.4.11.3.9.3. coreos.inst 引导选项用于 ISO 或 PXE 安装

13.4.11.4. 在 RHCOS 上启用带有内核参数的多路径

13.4.11.5. 在 iSCSI 引导设备中手动安装 RHCOS

13.4.11.6. 使用 iBFT 在 iSCSI 引导设备中安装 RHCOS

13.4.12. 等待 bootstrap 过程完成

13.4.13. 使用 CLI 登录集群

13.4.14. 批准机器的证书签名请求

13.4.15. 初始 Operator 配置

13.4.15.1. 禁用默认的 OperatorHub 目录源

13.4.15.2. 镜像 registry 存储配置

13.4.15.2.1. 更改镜像 registry 的管理状态

13.4.15.2.2. 为裸机和其他手动安装配置 registry 存储

13.4.15.2.3. 在非生产集群中为镜像 registry 配置存储

13.4.15.2.4. 为裸机配置块 registry 存储

13.4.16. 在用户置备的基础架构上完成安装

13.4.17. OpenShift Container Platform 的 Telemetry 访问

13.4.18. 后续步骤

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links

13.4.4.7. 可选：创建包含一个自定义 `br-ex` 网桥的清单对象

13.4.11.3.2.1. 创建独立 `/var` 分区

13.4.11.3.9.2. ISO 和 PXE 安装的 `coreos-installer` 选项

13.4.11.3.9.3. `coreos.inst` 引导选项用于 ISO 或 PXE 安装