2.7. 在 IBM Z 和 IBM LinuxONE 的 LPAR 上安装集群

2.7.1. 先决条件

您已完成了准备使用用户置备的基础架构在 IBM Z 上安装集群的任务。
您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读有关选择集群安装方法的文档，并为用户准备它。
在开始安装过程前，您必须清理安装目录。这样可确保在安装过程中创建和更新所需的安装文件。
已为集群置备了使用 OpenShift Data Foundation 的持久性存储或其他支持的存储协议。要部署私有镜像 registry，您必须使用 ReadWriteMany 访问设置持久性存储。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。

注意

如果要配置代理，请务必查看此站点列表。

2.7.2. 准备用户置备的基础架构

在用户置备的基础架构上安装 OpenShift Container Platform 之前，您必须准备底层基础架构。

本节详细介绍了设置集群基础架构以准备 OpenShift Container Platform 安装所需的高级别步骤。这包括为集群节点配置 IP 网络和网络连接，为 Ignition 文件准备 Web 服务器，通过防火墙启用所需的端口，以及设置所需的 DNS 和负载均衡基础架构。

准备后，集群基础架构必须满足 带有用户置备的基础架构部分的集群要求。

先决条件

您已参阅 OpenShift Container Platform 4.x Tested Integrations 页面。
您已查看了 具有用户置备基础架构的集群要求部分中详述的基础架构 要求。

流程

设置静态 IP 地址。
设置 HTTP 或 HTTPS 服务器，为集群节点提供 Ignition 文件。
确保您的网络基础架构提供集群组件之间所需的网络连接。有关 要求的详情，请参阅用户置备的基础架构 的网络要求部分。
将防火墙配置为启用 OpenShift Container Platform 集群组件进行通信所需的端口。如需有关所需端口的详细信息，请参阅用户置备的基础架构 部分的网络要求。
重要
默认情况下，OpenShift Container Platform 集群可以访问端口 1936，因为每个 control plane 节点都需要访问此端口。
避免使用 Ingress 负载均衡器公开此端口，因为这样做可能会导致公开敏感信息，如统计信息和指标（与 Ingress Controller 相关的统计信息和指标）。
为集群设置所需的 DNS 基础架构。
1. 为 Kubernetes API、应用程序通配符、bootstrap 机器、control plane 机器和计算机器配置 DNS 名称解析。
2. 为 Kubernetes API、bootstrap 机器、control plane 机器和计算机器配置反向 DNS 解析。
  如需有关 OpenShift Container Platform DNS 要求的更多信息，请参阅用户置备 DNS 要求部分。
验证您的 DNS 配置。
1. 从安装节点，针对 Kubernetes API 的记录名称、通配符路由和集群节点运行 DNS 查找。验证响应中的 IP 地址是否与正确的组件对应。
2. 从安装节点，针对负载均衡器和集群节点的 IP 地址运行反向 DNS 查找。验证响应中的记录名称是否与正确的组件对应。
  有关详细的 DNS 验证步骤，请参阅用户置备的基础架构 验证 DNS 解析部分。
置备所需的 API 和应用程序入口负载平衡基础架构。有关 要求的更多信息，请参阅用户置备的基础架构的负载平衡 要求部分。

注意

某些负载平衡解决方案要求在初始化负载平衡之前，对群集节点进行 DNS 名称解析。

2.7.3. 手动创建安装配置文件

安装集群要求您手动创建安装配置文件。

先决条件

您在本地机器上有一个 SSH 公钥来提供给安装程序。该密钥将用于在集群节点上进行 SSH 身份验证，以进行调试和灾难恢复。
已获取 OpenShift Container Platform 安装程序和集群的 pull secret。

流程

创建一个安装目录来存储所需的安装资产：
```
$ mkdir <installation_directory>
```
重要
您必须创建一个目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
自定义提供的 install-config.yaml 文件模板示例，并将其保存在 <installation_directory> 中。
注意
此配置文件必须命名为 install-config.yaml。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程的下一步中使用。现在必须备份它。

其他资源

IBM Z® 的安装配置参数

2.7.3.1. IBM Z 的 install-config.yaml 文件示例

您可以自定义 install-config.yaml 文件，以指定有关 OpenShift Container Platform 集群平台的更多详情，或修改所需参数的值。

apiVersion: v1
baseDomain: example.com 1
compute: 2
- hyperthreading: Enabled 3
  name: worker
  replicas: 0 4
  architecture: s390x
controlPlane: 5
  hyperthreading: Enabled 6
  name: master
  replicas: 3 7
  architecture: s390x
metadata:
  name: test 8
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14 9
    hostPrefix: 23 10
  networkType: OVNKubernetes 11
  serviceNetwork: 12
  - 172.30.0.0/16
platform:
  none: {} 13
fips: false 14
pullSecret: '{"auths": ...}' 15
sshKey: 'ssh-ed25519 AAAA...' 16

1: 集群的基域。所有 DNS 记录都必须是这个基域的子域，并包含集群名称。
2 5: controlPlane 部分是一个单个映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分 的第一行则不以连字符开头。仅使用一个 control plane 池。
3 6: 指定要启用或禁用并发多线程(SMT)还是超线程。默认情况下，启用 SMT 可提高机器中内核的性能。您可以通过将参数值设置为 Disabled 来禁用它。如果禁用 SMT，则必须在所有集群机器中禁用它；这包括 control plane 和计算机器。
注意
默认启用并发多线程(SMT)。如果 OpenShift Container Platform 节点上没有 SMT，超线程 参数无效。
重要
如果您禁用 超线程，无论是在 OpenShift Container Platform 节点上，还是在 install-config.yaml 文件中，请确保您的容量规划考虑机器性能显著降低的情况。
4: 在用户置备的基础架构上安装 OpenShift Container Platform 时，必须将这个值设置为 0。在安装程序置备的安装中，参数控制集群为您创建和管理的计算机器数量。在用户置备的安装中，您必须在完成集群安装前手动部署计算机器。
注意
如果要安装一个三节点集群，在安装 Red Hat Enterprise Linux CoreOS(RHCOS)机器时不要部署任何计算机器。
7: 您添加到集群的 control plane 机器数量。由于集群使用这些值作为集群中的 etcd 端点数量，所以该值必须与您部署的 control plane 机器数量匹配。
8: 您在 DNS 记录中指定的集群名称。
9: 从中分配 Pod IP 地址的 IP 地址块。此块不得与现有物理网络重叠。这些 IP 地址用于 pod 网络。如果需要从外部网络访问 pod，您必须配置负载均衡器和路由器来管理流量。
注意
类 E CIDR 范围被保留以供以后使用。要使用 Class E CIDR 范围，您必须确保您的网络环境接受 Class E CIDR 范围内的 IP 地址。
10: 分配给每个节点的子网前缀长度。例如，如果 hostPrefix 设为 23，则每个节点从 given cidr 中分配 a /23 子网，这样就能有 510（2^(32 - 23)- 2）个 pod IP 地址。如果需要从外部网络访问节点，请配置负载均衡器和路由器来管理流量。
11: 要安装的集群网络插件。默认值 OVNKubernetes 是唯一支持的值。
12: 用于服务 IP 地址的 IP 地址池。您只能输入一个 IP 地址池。此块不得与现有物理网络重叠。如果您需要从外部网络访问服务，请配置负载均衡器和路由器来管理流量。
13: 您必须将平台设置为 none。您无法为 IBM Z® 基础架构提供额外的平台配置变量。
重要
使用平台类型 none 安装的集群无法使用一些功能，如使用 Machine API 管理计算机器。即使附加到集群的计算机器安装在通常支持该功能的平台上，也会应用这个限制。在安装后无法更改此参数。
14: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
重要
要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS)时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
15: Red Hat OpenShift Cluster Manager 的 pull secret。此 pull secret 允许您与所含授权机构提供的服务进行身份验证，这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。
16: Red Hat Enterprise Linux CoreOS(RHCOS)中 core 用户的 SSH 公钥。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。

2.7.3.2. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

2.7.3.3. 配置三节点集群

另外，您可以在由三台 control plane 机器组成的最少三个节点集群中部署零台计算机器。这为集群管理员和开发人员提供了更小、效率更高的集群，用于测试、开发和生产。

在三节点 OpenShift Container Platform 环境中，三台 control plane 机器可以调度，这意味着应用程序工作负载被调度到它们上运行。

先决条件

您有一个现有的 install-config.yaml 文件。

流程

确保 install-config.yaml 文件中的计算副本数量设置为 0，如以下 计算 小节所示：
```
compute:
- name: worker
  platform: {}
  replicas: 0
```
注意
在用户置备的基础架构上安装 OpenShift Container Platform 时，无论您要部署的计算机器数量有多少，您必须将计算机器的 replicas 参数值设置为 0。在安装程序置备的安装中，参数控制集群为您创建和管理的计算机器数量。这不适用于手动部署计算机器的用户置备安装。
注意
control plane 节点的首选资源是 6 个 vCPU 和 21 GB。对于三个 control plane 节点，这是相当于至少五节点集群的内存 + vCPU。您应该为三个节点提供支持，每个节点安装在一个 120 GB 的磁盘上，并且启用了三个 SMT2 的 IFL。测试最小的设置是每个 control plane 节点在 120 GB 磁盘上的三个 vCPU 和 10 GB。

对于三节点集群安装，请按照以下步骤执行：

如果要部署一个带有零计算节点的三节点集群，Ingress Controller Pod 在 control plane 节点上运行。在三节点集群部署中，您必须配置应用程序入口负载均衡器，将 HTTP 和 HTTPS 流量路由到 control plane 节点。如需更多信息，请参阅用户置备的基础架构的负载平衡要求 部分。
在以下步骤中创建 Kubernetes 清单文件时，请确保 <installation_directory>/manifests/cluster-scheduler-02-config.yml 文件中的 mastersSchedulable 参数被设置为 true。这可让应用程序工作负载在 control plane 节点上运行。
在创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器时，不要部署任何计算节点。

2.7.4. Cluster Network Operator 配置

集群网络的配置作为 Cluster Network Operator(CNO)配置的一部分指定，并存储在名为 cluster 的自定义资源(CR)对象中。CR 指定 operator.openshift.io API 组中的 Network API 的字段。

CNO 配置在集群安装过程中从 Network.config.openshift.io API 组中的 Network API 继承以下字段：

clusterNetwork: 从中分配 Pod IP 地址的 IP 地址池。
serviceNetwork: 服务的 IP 地址池.
defaultNetwork.type: 集群网络插件。OVNKubernetes 是安装期间唯一支持的插件。

您可以通过在名为 cluster 的 CNO 对象中设置 defaultNetwork 对象的字段来为集群指定集群网络插件配置。

2.7.4.1. Cluster Network Operator 配置对象

下表中描述了 Cluster Network Operator(CNO)的字段：

表 2.54. Cluster Network Operator 配置对象
字段	类型	描述
`metadata.name`	`字符串`	CNO 对象的名称。这个名称始终是 `集群`。
`spec.clusterNetwork`	`array`	用于指定从哪些 IP 地址块分配 Pod IP 地址以及集群中每个节点的子网前缀长度的列表。例如： spec: clusterNetwork: - cidr: 10.128.0.0/19 hostPrefix: 23 - cidr: 10.128.32.0/19 hostPrefix: 23
`spec.serviceNetwork`	`array`	服务的 IP 地址块。OVN-Kubernetes 网络插件只支持服务网络的一个 IP 地址块。例如： spec: serviceNetwork: - 172.30.0.0/14 您只能在创建清单前在 `install-config.yaml` 文件中自定义此字段。该值在清单文件中是只读的。
`spec.defaultNetwork`	`object`	为集群网络配置网络插件。
`spec.kubeProxyConfig`	`object`	此对象的字段指定 kube-proxy 配置。如果使用 OVN-Kubernetes 集群网络供应商，则 kube-proxy 配置不会起作用。

重要

对于需要在多个网络间部署对象的集群，请确保为 install-config.yaml 文件中定义的每种网络类型指定与 clusterNetwork.hostPrefix 参数相同的值。为每个 clusterNetwork.hostPrefix 参数设置不同的值可能会影响 OVN-Kubernetes 网络插件，其中插件无法有效地在不同节点间路由对象流量。

defaultNetwork 对象配置

下表列出了 defaultNetwork 对象的值：

表 2.55. defaultNetwork 对象
字段	类型	描述
`type`	`字符串`	`OVNKubernetes`。Red Hat OpenShift Networking 网络插件在安装过程中被选择。此值在集群安装后无法更改。注意 OpenShift Container Platform 默认使用 OVN-Kubernetes 网络插件。OpenShift SDN 不再作为新集群的安装选择提供。
`ovnKubernetesConfig`	`object`	此对象仅对 OVN-Kubernetes 网络插件有效。

配置 OVN-Kubernetes 网络插件

下表描述了 OVN-Kubernetes 网络插件的配置字段：

表 2.56. ovnKubernetesConfig object
字段	类型	描述
`mtu`	`integer`	Geneve（通用网络虚拟化封装）覆盖网络的最大传输单元(MTU)。这根据主网络接口的 MTU 自动探测。您通常不需要覆盖检测到的 MTU。如果自动探测的值不是您期望的值，请确认节点上主网络接口上的 MTU 是否正确。您不能使用这个选项更改节点上主网络接口的 MTU 值。如果集群中不同节点需要不同的 MTU 值，则必须将此值设置为 `比` 集群中的最低 MTU 值小 100。例如，如果集群中的某些节点的 MTU 为 `9001`，而某些节点的 MTU 为 `1500`，则必须将此值设置为 `1400`。
`genevePort`	`integer`	用于所有 Geneve 数据包的端口。默认值为 `6081`。此值在集群安装后无法更改。
`ipsecConfig`	`object`	指定用于自定义 IPsec 配置的配置对象。
`ipv4`	`object`	为 IPv4 设置指定配置对象。
`ipv6`	`object`	为 IPv6 设置指定配置对象。
`policyAuditConfig`	`object`	指定用于自定义网络策略审计日志的配置对象。如果未设置，则使用默认的审计日志设置。
`gatewayConfig`	`object`	可选：指定一个配置对象来自定义如何将出口流量发送到节点网关。注意在迁移出口流量时，工作负载和服务流量会受到一定影响，直到 Cluster Network Operator (CNO) 成功推出更改。

表 2.57. ovnKubernetesConfig.ipv4 object
字段	类型	描述
`internalTransitSwitchSubnet`	字符串	如果您的现有网络基础架构与 `100.88.0.0/16` IPv4 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。启用东西流量的分布式传输交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。必须足够大，以适应集群中的每个节点一个 IP 地址。默认值为 `100.88.0.0/16`。
`internalJoinSubnet`	字符串	如果您的现有网络基础架构与 `100.64.0.0/16` IPv4 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。您必须确保 IP 地址范围没有与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可添加到集群的最大节点数。例如，如果 `clusterNetwork.cidr` 值为 `10.128.0.0/14`，并且 `clusterNetwork.hostPrefix` 值为 `/23`，则最大节点数量为 `2^(23-14)=512`。默认值为 `100.64.0.0/16`。

表 2.58. ovnKubernetesConfig.ipv6 object
字段	类型	描述
`internalTransitSwitchSubnet`	字符串	如果您的现有网络基础架构与 `fd97::/64` IPv6 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。启用东西流量的分布式传输交换机的子网。此子网不能与 OVN-Kubernetes 或主机本身使用的任何其他子网重叠。必须足够大，以适应集群中的每个节点一个 IP 地址。默认值为 `fd97::/64`。
`internalJoinSubnet`	字符串	如果您的现有网络基础架构与 `fd98::/64` IPv6 子网重叠，您可以指定不同的 IP 地址范围供 OVN-Kubernetes 使用。您必须确保 IP 地址范围没有与 OpenShift Container Platform 安装使用的任何其他子网重叠。IP 地址范围必须大于可添加到集群的最大节点数。默认值为 `fd98::/64`。

表 2.59. policyAuditConfig object
字段	类型	描述
`rateLimit`	整数	每个节点每秒生成一次的消息数量上限。默认值为每秒 `20` 条消息。
`maxFileSize`	整数	审计日志的最大大小，以字节为单位。默认值为 `50000000` 或 50 MB。
`maxLogFiles`	整数	保留的日志文件的最大数量。
`目的地`	字符串	以下附加审计日志目标之一： `libc` 主机上的 journald 进程的 libc `syslog（）` 函数。 `UDP:<host>:<port>` 一个 syslog 服务器。将 `<host>:<port> 替换为 syslog 服务器的主机` 和端口。 `Unix:<file>` 由 `<file>` 指定的 Unix 域套接字文件。 `null` 不要将审计日志发送到任何其他目标。
`syslogFacility`	字符串	syslog 工具，如 as `kern`，如 RFC5424 定义。默认值为 `local0。`

表 2.60. gatewayConfig object
字段	类型	描述
`routingViaHost`	`布尔值`	将此字段设置为 `true`，将来自 pod 的出口流量发送到主机网络堆栈。对于依赖于在内核路由表中手动配置路由的高级别安装和应用程序，您可能需要将出口流量路由到主机网络堆栈。默认情况下，出口流量在 OVN 中进行处理以退出集群，不受内核路由表中的特殊路由的影响。默认值为 `false`。此字段与 Open vSwitch 硬件卸载功能有交互。如果将此字段设置为 `true`，则不会获得卸载的性能优势，因为主机网络堆栈会处理出口流量。
`ipForwarding`	`object`	您可以使用 `Network` 资源中的 `ipForwarding` 规格来控制 OVN-Kubernetes 管理接口上所有流量的 IP 转发。指定 `Restricted` 只允许 Kubernetes 相关流量的 IP 转发。指定 `Global` 以允许转发所有 IP 流量。对于新安装，默认值为 `Restricted`。对于到 OpenShift Container Platform 4.14 或更高版本的更新，默认值为 `Global`。注意 `Restricted` 的默认值将 IP 转发设置为 drop。
`ipv4`	`object`	可选：指定一个对象来为主机配置内部 OVN-Kubernetes 伪装地址，以服务 IPv4 地址的流量。
`ipv6`	`object`	可选：指定一个对象来为主机配置内部 OVN-Kubernetes 伪装地址，以服务 IPv6 地址的流量。

表 2.61. gatewayConfig.ipv4 对象
字段	类型	描述
`internalMasqueradeSubnet`	`字符串`	内部使用的伪装 IPv4 地址，以启用主机服务流量。主机配置了这些 IP 地址和共享网关网桥接口。默认值为 `169.254.169.0/29`。重要对于 OpenShift Container Platform 4.17 及更新的版本，集群使用 `169.254.0.0/17` 作为默认的 masquerade 子网。对于升级的集群，默认 masquerade 子网没有变化。

表 2.62. gatewayConfig.ipv6 对象
字段	类型	描述
`internalMasqueradeSubnet`	`字符串`	内部使用的伪装 IPv6 地址，以启用主机服务流量。主机配置了这些 IP 地址和共享网关网桥接口。默认值为 `fd69::/125`。重要对于 OpenShift Container Platform 4.17 及更新的版本，集群使用 `fd69::/112` 作为默认的 masquerade 子网。对于升级的集群，默认 masquerade 子网没有变化。

表 2.63. ipsecConfig 对象
字段	类型	描述
`模式`	`字符串`	指定 IPsec 实现的行为。必须是以下值之一： `Disabled`: 在集群节点上不启用 IPsec。 `External` ：对于带有外部主机的网络流量，启用 IPsec。 `Full`: IPsec 为带有外部主机的 pod 流量和网络流量启用 IPsec。

启用 IPSec 的 OVN-Kubernetes 配置示例

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
    ipsecConfig:
      mode: Full

2.7.5. 创建 Kubernetes 清单和 Ignition 配置文件

由于您必须修改一些集群定义文件并手动启动集群机器，因此您必须生成 Kubernetes 清单和 Ignition 配置文件来配置机器。

安装配置文件转换为 Kubernetes 清单。清单嵌套到 Ignition 配置文件中，稍后用于配置集群机器。

重要

OpenShift Container Platform 安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

注意

生成清单和 Ignition 文件的安装程序是特定的架构，可以从客户端镜像镜像获取。安装程序的 Linux 版本仅在 s390x 上运行。此安装程序也可用作 Mac OS 版本。

先决条件

已获得 OpenShift Container Platform 安装程序。
已创建 install-config.yaml 安装配置文件。

流程

进入包含 OpenShift Container Platform 安装程序的目录，并为集群生成 Kubernetes 清单：
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定包含您创建的 install-config.yaml 文件的安装目录。
警告
如果您要安装一个三节点集群，请跳过以下步骤，以便可以调度 control plane 节点。
重要
当您将 control plane 节点从默认的不可调度配置为可以调度时，需要额外的订阅。这是因为 control plane 节点变为计算节点。
检查 <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 清单文件中的 mastersSchedulable 参数是否已设置为 false。此设置可防止在 control plane 机器上调度 pod：
1. 打开 <installation_directory>/manifests/cluster-scheduler-02-config.yml 文件。
2. 找到 mastersSchedulable 参数，并确保它被设置为 false。
3. 保存并退出文件。
要创建 Ignition 配置文件，请从包含安装程序的目录运行以下命令：
```
$ ./openshift-install create ignition-configs --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定相同的安装目录。
为安装目录中的 bootstrap、control plane 和计算节点创建 Ignition 配置文件。kubeadmin-password 和 kubeconfig 文件在 ./<installation_directory>/auth 目录中创建：
```
.
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign
```

2.7.6. 在 IBM Z 或 IBM LinuxONE 环境中使用静态 IP 配置 NBDE

在 IBM Z® 或 IBM® LinuxONE 环境中启用 NBDE 磁盘加密需要额外的步骤，本节中详细介绍。

先决条件

您已设置了外部 Tang 服务器。具体步骤请查看网络绑定磁盘加密。
您已安装了 with ane 实用程序。
您已查看如何使用 Butane 创建机器配置的说明。

流程

为 control plane 和计算节点创建 Butane 配置文件。
以下 control plane 节点的 Butane 配置示例为磁盘加密创建一个名为 master-storage.bu 的文件：
```
variant: openshift
version: 4.17.0
metadata:
  name: master-storage
  labels:
    machineconfiguration.openshift.io/role: master
storage:
  luks:
    - clevis:
        tang:
          - thumbprint: QcPr_NHFJammnRCA3fFMVdNBwjs
            url: http://clevis.example.com:7500
        options: 1
           - --cipher
           - aes-cbc-essiv:sha256
      device: /dev/disk/by-partlabel/root 2
      label: luks-root
      name: root
      wipe_volume: true
  filesystems:
    - device: /dev/mapper/root
      format: xfs
      label: root
      wipe_filesystem: true
openshift:
  fips: true 3
```
1
只有在启用了 FIPS 模式时才需要 cipher 选项。如果禁用了 FIPS，则省略该条目。
2
对于在 DASD 类型磁盘中安装，使用 device: /dev/disk/by-label/root 替换。
3
是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS(RHCOS)机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。

运行以下命令，创建自定义 initramfs 文件来引导机器：

$ coreos-installer pxe customize \
    /root/rhcos-bootfiles/rhcos-<release>-live-initramfs.s390x.img \
    --dest-device /dev/disk/by-id/scsi-<serial_number> --dest-karg-append \
    ip=<ip_address>::<gateway_ip>:<subnet_mask>::<network_device>:none \
    --dest-karg-append nameserver=<nameserver_ip> \
    --dest-karg-append rd.neednet=1 -o \
    /root/rhcos-bootfiles/<node_name>-initramfs.s390x.img

注意

首次引导前，您必须为集群中的每个节点自定义 initramfs，并添加 PXE 内核参数。

创建包含 ignition.platform.id=metal 和 ignition.firstboot 的参数文件。
control plane 机器的内核参数文件示例
```
cio_ignore=all,!condev rd.neednet=1 \
console=ttysclp0 \
coreos.inst.install_dev=/dev/<block_device> \1
ignition.firstboot ignition.platform.id=metal \
coreos.inst.ignition_url=http://<http_server>/master.ign \2
coreos.live.rootfs_url=http://<http_server>/rhcos-<version>-live-rootfs.<architecture>.img \3
ip=<ip>::<gateway>:<netmask>:<hostname>::none nameserver=<dns> \
rd.znet=qeth,0.0.bdd0,0.0.bdd1,0.0.bdd2,layer2=1 \
rd.zfcp=0.0.5677,0x600606680g7f0056,0x034F000000000000 \4
zfcp.allow_lun_scan=0
```
1
指定块设备类型。对于在 DASD 类型磁盘中安装，请指定 /dev/dasda。对于在 FCP 类型磁盘中安装，请指定 /dev/sda。对于在 NVMe 类型磁盘中安装，请指定 /dev/nvme0n1。
2
指定 Ignition 配置文件的位置。使用 master.ign 或 worker.ign。仅支持 HTTP 和 HTTPS 协议。
3
指定您要引导的 kernel 和 initramfs 的 rootfs 工件位置。仅支持 HTTP 和 HTTPS 协议。
4
对于在 DASD 类型磁盘中安装，使用 rd.dasd=0.0.xxxx 替换来指定 DASD 设备。
注意
将参数文件中的所有选项写为一行，并确保您没有换行字符。

其他资源

使用 Butane 创建机器配置

2.7.7. 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程

要在您置备的 IBM Z® 基础架构上安装 OpenShift Container Platform，您必须在 LPAR 中安装 Red Hat Enterprise Linux CoreOS (RHCOS)。安装 RHCOS 时，您必须为您要安装的机器类型提供 OpenShift Container Platform 安装程序生成的 Ignition 配置文件。如果您配置了合适的网络、DNS 和负载均衡基础架构，OpenShift Container Platform bootstrap 过程会在 RHCOS 客户机机器重启后自动启动。

完成以下步骤以创建机器。

先决条件

在置备机器上运行的 HTTP 或 HTTPS 服务器，可供您创建的机器访问。
如果要启用安全引导，需要已获取了适当的红帽产品签名密钥，并在 IBM 文档中的 IBM Z 和 IBM LinuxONE 上读取安全引导。

流程

在您的置备机器上登录到 Linux。
从 RHCOS 镜像镜像获取 Red Hat Enterprise Linux CoreOS(RHCOS)内核、initramfs 和 rootfs 文件。
重要
RHCOS 镜像可能不会随着 OpenShift Container Platform 的每个发行版本而改变。您必须下载最高版本的镜像，其版本号应小于或等于您安装的 OpenShift Container Platform 版本。仅使用以下步骤中描述的适当 kernel、initramfs 和 rootfs 工件。
文件名包含 OpenShift Container Platform 版本号。它们类似以下示例：
- kernel: rhcos-<version>-live-kernel-<architecture>
- initramfs: rhcos-<version>-live-initramfs.<architecture>.img
- rootfs: rhcos-<version>-live-rootfs.<architecture>.img
  注意
  FCP 和 DASD 的 rootfs 镜像相同。
创建参数文件。以下参数特定于特定虚拟机：
- 对于 ip=，请指定以下七项：
  1. 计算机的 IP 地址。
  2. 个空字符串。
  3. 网关
  4. 子网掩码.
  5. hostname.domainname 格式的机器主机和域名。省略这个值可让 RHCOS 决定。
  6. 网络接口名称。省略这个值可让 RHCOS 决定。
  7. 如果使用静态 IP 地址，请指定 none。
- 对于 coreos.inst.ignition_url=，请为机器角色指定 Ignition 文件。使用 bootstrap.ign、master.ign 或 worker.ign。仅支持 HTTP 和 HTTPS 协议。
- 对于 coreos.live.rootfs_url=，请为您引导的内核和 initramfs 指定匹配的 rootfs 构件。仅支持 HTTP 和 HTTPS 协议。
- 可选：要启用安全引导，请添加 coreos.inst.secure_ipl
- 对于在 DASD 类型磁盘中安装，请完成以下任务：
  1. 对于 coreos.inst.install_dev=，请指定 /dev/dasda。
  2. Userd .dasd= 指定安装 RHCOS 的 DASD。
  3. 所有其他参数保持不变。
    bootstrap 机器的参数文件示例：bootstrap-0.parm ：
    cio_ignore=all,!condev rd.neednet=1 \ console=ttysclp0 \ coreos.inst.install_dev=/dev/<block_device> \1 coreos.inst.ignition_url=http://<http_server>/bootstrap.ign \2 coreos.live.rootfs_url=http://<http_server>/rhcos-<version>-live-rootfs.<architecture>.img \3 coreos.inst.secure_ipl \4 ip=<ip>::<gateway>:<netmask>:<hostname>::none nameserver=<dns> \ rd.znet=qeth,0.0.bdf0,0.0.bdf1,0.0.bdf2,layer2=1,portno=0 \ rd.dasd=0.0.3490 \ zfcp.allow_lun_scan=0
    1
    指定块设备类型。对于在 DASD 类型磁盘中安装，请指定 /dev/dasda。对于在 FCP 类型磁盘中安装，请指定 /dev/sda。对于在 NVMe 类型磁盘中安装，请指定 /dev/nvme0n1。
    2
    指定 Ignition 配置文件的位置。使用 bootstrap.ign、master.ign 或 worker.ign。仅支持 HTTP 和 HTTPS 协议。
    3
    指定您要引导的 kernel 和 initramfs 的 rootfs 工件位置。仅支持 HTTP 和 HTTPS 协议。
    4
    可选：要启用安全引导，请添加 coreos.inst.secure_ipl。
    将参数文件中的所有选项写为一行，并确保您没有换行字符。
- 对于在 FCP 类型磁盘中安装，请完成以下任务：
  1. User d.zfcp=<adapter>,<wwpn>,<lun> 以指定要安装 RHCOS 的 FCP 磁盘。对于多路径，为每个额外路径重复此步骤。
    注意
    当使用多个路径安装时，您必须在安装后直接启用多路径，而不是在以后启用多路径，因为这可能导致问题。
  2. 将安装设备设置为：coreos.inst.install_dev=/dev/disk/by-id/scsi-<serial_number>。
    注意
    如果使用 NPIV 配置额外的 LUN，FCP 需要 zfcp.allow_lun_scan=0。如果必须启用 zfcp.allow_lun_scan=1，因为您使用 CSI 驱动程序，则必须配置 NPIV，以便每个节点无法访问另一个节点的引导分区。
  3. 所有其他参数保持不变。
    重要
    需要额外的安装后步骤才能完全启用多路径。如需更多信息，请参阅 安装后机器配置任务 中的"使用 RHCOS 上内核参数启用多路径"。
    以下是使用多路径的计算节点的 worker-1.parm 示例参数文件：
    cio_ignore=all,!condev rd.neednet=1 \ console=ttysclp0 \ coreos.inst.install_dev=/dev/disk/by-id/scsi-<serial_number> \ coreos.live.rootfs_url=http://<http_server>/rhcos-<version>-live-rootfs.<architecture>.img \ coreos.inst.ignition_url=http://<http_server>/worker.ign \ ip=<ip>::<gateway>:<netmask>:<hostname>::none nameserver=<dns> \ rd.znet=qeth,0.0.bdf0,0.0.bdf1,0.0.bdf2,layer2=1,portno=0 \ rd.zfcp=0.0.1987,0x50050763070bc5e3,0x4008400B00000000 \ rd.zfcp=0.0.19C7,0x50050763070bc5e3,0x4008400B00000000 \ rd.zfcp=0.0.1987,0x50050763071bc5e3,0x4008400B00000000 \ rd.zfcp=0.0.19C7,0x50050763071bc5e3,0x4008400B00000000 \ zfcp.allow_lun_scan=0
    将参数文件中的所有选项写为一行，并确保您没有换行字符。
将 initramfs、内核、参数文件和 RHCOS 镜像传送到 LPAR，例如使用 FTP。有关如何使用 FTP 和引导传输文件的详情，请参考在 IBM Z® 上引导安装，以便在 LPAR 中安装 RHEL。
引导机器
对集群中的其他机器重复此步骤。

2.7.7.1. 高级 RHCOS 安装参考

本节演示了网络配置和其他高级选项，允许您修改 Red Hat Enterprise Linux CoreOS(RHCOS)手动安装过程。下表描述了您可以用于 RHCOS live 安装程序和 coreos-installer 命令的内核参数和命令行选项。

2.7.7.1.1. ISO 安装的网络和绑定选项

如果从 ISO 镜像安装 RHCOS，您可以在引导镜像时手动添加内核参数，以便为节点配置网络。如果没有指定网络参数，当 RHCOS 检测到需要网络来获取 Ignition 配置文件时，在 initramfs 中激活 DHCP。

重要

在手动添加网络参数时，还必须添加 rd.neednet=1 内核参数，以便在 initramfs 中启动网络。

以下信息提供了在 RHCOS 节点上为 ISO 安装配置网络和绑定的示例。示例描述了如何使用 ip=、name server = 和 bond= 内核参数。

注意

添加内核参数时顺序非常重要： ip=、name server=，然后 bond=。

网络选项在系统引导过程中传递给 dracut 工具。有关 dracut 支持的网络选项的更多信息，请参阅 dracut.cmdline 手册页。

以下示例是 ISO 安装的网络选项。

配置 DHCP 或静态 IP 地址

要配置 IP 地址，可使用 DHCP(ip=dhcp)或设置单独的静态 IP 地址(ip=<host_ip>)。如果设置静态 IP，则必须在每个节点上识别 DNS 服务器 IP 地址（名称服务器=<dns_ip>）。以下示例集：

节点的 IP 地址为 10.10.10.2
网关地址为 10.10.10.254
子网掩码为 255.255.255.0
到 core0.example.com 的主机名
DNS 服务器地址为 4.4.4.41
自动配置值为 none。当以静态方式配置 IP 网络时，不需要自动配置。

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
nameserver=4.4.4.41

注意

当您使用 DHCP 为 RHCOS 机器配置 IP 寻址时，机器还通过 DHCP 获取 DNS 服务器信息。对于基于 DHCP 的部署，您可以通过 DHCP 服务器配置定义 RHCOS 节点使用的 DNS 服务器地址。

配置没有静态主机名的 IP 地址

您可以在不分配静态主机名的情况下配置 IP 地址。如果用户没有设置静态主机名，则会提取并通过反向 DNS 查找自动设置。要在没有静态主机名的情况下配置 IP 地址，请参考以下示例：

节点的 IP 地址为 10.10.10.2
网关地址为 10.10.10.254
子网掩码为 255.255.255.0
DNS 服务器地址为 4.4.4.41
自动配置值为 none。当以静态方式配置 IP 网络时，不需要自动配置。

ip=10.10.10.2::10.10.10.254:255.255.255.0::enp1s0:none
nameserver=4.4.4.41

指定多个网络接口

您可以通过设置多个 ip= 条目来指定多个网络接口。

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
ip=10.10.10.3::10.10.10.254:255.255.255.0:core0.example.com:enp2s0:none

配置默认网关和路由

可选：您可以通过设置 a rd.route= 值来配置到额外网络的路由。

注意

当您配置一个或多个网络时，需要一个默认网关。如果额外网络网关与主要网络网关不同，则默认网关必须是主要网络网关。

运行以下命令来配置默认网关：
```
ip=::10.10.10.254::::
```
输入以下命令为额外网络配置路由：
```
rd.route=20.20.20.0/24:20.20.20.254:enp2s0
```

在单个接口中禁用 DHCP

您可以在单一接口中禁用 DHCP，例如当有两个或者多个网络接口时，且只有一个接口被使用。在示例中，enp1s0 接口具有一个静态网络配置，而 enp2s0 禁用了 DHCP，不使用它：

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp1s0:none
ip=::::core0.example.com:enp2s0:none

合并 DHCP 和静态 IP 配置

您可以将系统上的 DHCP 和静态 IP 配置与多个网络接口合并，例如：

ip=enp1s0:dhcp
ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp2s0:none

在独立接口上配置 VLAN

可选：您可以使用 vlan= 参数在单个接口上配置 VLAN。

要在网络接口中配置 VLAN 并使用静态 IP 地址，请运行以下命令：

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:enp2s0.100:none
vlan=enp2s0.100:enp2s0

要在网络接口中配置 VLAN 并使用 DHCP，请运行以下命令：
```
ip=enp2s0.100:dhcp
vlan=enp2s0.100:enp2s0
```

提供多个 DNS 服务器

您可以通过为每个服务器添加一个 nameserver= 条目来提供多个 DNS 服务器，例如

nameserver=1.1.1.1
nameserver=8.8.8.8

将多个网络接口绑定到一个接口

可选：您可以使用 bond= 选项将多个网络接口绑定到一个接口。请参见以下示例：

配置绑定接口的语法为： bond=<name>[:<network_interfaces>][:options]
<name> 是绑定设备名称 (bond0)、<network_interfaces> 代表以逗号分隔的物理（以太网）接口列表(em1,em2)，options 是用逗号分开的绑定选项列表。输入 modinfo bonding 查看可用选项。
当使用 bond= 创建绑定接口时，您必须指定如何分配 IP 地址以及绑定接口的其他信息。
- 要将绑定接口配置为使用 DHCP，请将绑定的 IP 地址设置为 dhcp。例如：
```
bond=bond0:em1,em2:mode=active-backup
ip=bond0:dhcp
```
- 要将绑定接口配置为使用静态 IP 地址，请输入您需要的特定 IP 地址和相关信息。例如：

bond=bond0:em1,em2:mode=active-backup,fail_over_mac=1
ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:bond0:none

在 active-backup 模式中始终设置 fail_over_mac=1 选项，以避免使用共享 OSA/RoCE 卡时出现问题。

将多个网络接口绑定到一个接口

可选：您可以使用 vlan= 参数并在绑定接口上配置 VLAN，并使用 DHCP，例如：

ip=bond0.100:dhcp
bond=bond0:em1,em2:mode=active-backup
vlan=bond0.100:bond0

使用以下示例配置带有 VLAN 的绑定接口并使用静态 IP 地址：

ip=10.10.10.2::10.10.10.254:255.255.255.0:core0.example.com:bond0.100:none
bond=bond0:em1,em2:mode=active-backup
vlan=bond0.100:bond0

使用网络团队

可选：您可以使用 team= 参数来将网络团队用作绑定的替代选择：

配置组接口的语法为： team=name[:network_interfaces]
name 是组设备名称(team0)，network_interfaces 代表以逗号分隔的物理（以太网）接口（em1、em2）列表。

注意

当 RHCOS 切换到即将推出的 RHEL 版本时，团队(team)功能被计划弃用。如需更多信息，请参阅红帽知识库文章。

使用以下示例配置网络团队：

team=team0:em1,em2
ip=team0:dhcp

2.7.8. 等待 bootstrap 过程完成

OpenShift Container Platform bootstrap 过程在集群节点首次引导到安装到磁盘的持久 RHCOS 环境后开始。通过 Ignition 配置文件提供的配置信息用于初始化 bootstrap 过程并在机器上安装 OpenShift Container Platform。您必须等待 bootstrap 过程完成。

先决条件

已为集群创建 Ignition 配置文件。
您已配置了适当的网络、DNS 和负载平衡基础架构。
已获得安装程序，并为集群生成 Ignition 配置文件。
已在集群机器上安装 RHCOS，并提供 OpenShift Container Platform 安装程序生成的 Ignition 配置文件。
您的机器可以直接访问互联网，或者有 HTTP 或 HTTPS 代理可用。

流程

监控 bootstrap 过程：

$ ./openshift-install --dir <installation_directory> wait-for bootstrap-complete \ 1
    --log-level=info 2

1: 对于 <installation_directory>，请指定安装文件保存到的目录的路径。
2: 要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。

输出示例

INFO Waiting up to 30m0s for the Kubernetes API at https://api.test.example.com:6443...
INFO API v1.30.3 up
INFO Waiting up to 30m0s for bootstrapping to complete...
INFO It is now safe to remove the bootstrap resources

当 Kubernetes API 服务器提示已在 control plane 机器上引导它时，该命令会成功。

bootstrap 过程完成后，从负载均衡器中删除 bootstrap 机器。
重要
此时您必须从负载均衡器中删除 bootstrap 机器。您还可以删除或重新格式化 bootstrap 机器本身。

2.7.9. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

2.7.10. 批准机器的证书签名请求

当您将机器添加到集群时，会为您添加的每台机器生成两个待处理证书签名请求(CSR)。您必须确认这些 CSR 已获得批准，或根据需要自行批准。必须首先批准客户端请求，然后批准服务器请求。

先决条件

您已将机器添加到集群中。

流程

确认集群可以识别这些机器：
```
$ oc get nodes
```
输出示例
```
NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  63m  v1.30.3
master-1  Ready     master  63m  v1.30.3
master-2  Ready     master  64m  v1.30.3
```
输出中列出了您创建的所有机器。
注意
在有些 CSR 被批准前，前面的输出可能不包括计算节点（也称为 worker 节点）。

检查待处理的 CSR，并确保添加到集群中的每台机器都有 Pending 或 Approved 状态的客户端请求：

$ oc get csr

输出示例

NAME        AGE   REQUESTOR                                   CONDITION
csr-mddf5   20m   system:node:master-01.example.com   Approved,Issued
csr-z5rln   16m   system:node:worker-21.example.com   Approved,Issued

如果 CSR 没有获得批准，在您添加的机器的所有待处理 CSR 都处于 Pending 状态 后，请批准集群机器的 CSR：
注意
由于 CSR 会自动轮转，因此请在将机器添加到集群后一小时内批准您的 CSR。如果没有在一小时内批准它们，证书将会轮转，每个节点会存在多个证书。您必须批准所有这些证书。批准客户端 CSR 后，Kubelet 为服务证书创建一个二级 CSR，这需要手动批准。然后，如果 Kubelet 请求具有相同参数的新证书，则后续提供证书续订请求由 machine-approver 自动批准。
注意
对于在未启用机器 API 的平台上运行的集群，如裸机和其他用户置备的基础架构，您必须实施一种方法来自动批准 kubelet 提供证书请求(CSR)。如果没有批准请求，则 oc exec、ocrsh 和 oc logs 命令将无法成功，因为 API 服务器连接到 kubelet 时需要服务证书。与 Kubelet 端点联系的任何操作都需要此证书批准。该方法必须监视新的 CSR，确认 CSR 由 system: node 或 system:admin 组中的 node-bootstrapper 服务帐户提交，并确认节点的身份。
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
```
  注意
  在有些 CSR 被批准前，一些 Operator 可能无法使用。

现在，您的客户端请求已被批准，您必须查看添加到集群中的每台机器的服务器请求：

$ oc get csr

输出示例

NAME        AGE     REQUESTOR                                                                   CONDITION
csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
...

如果剩余的 CSR 没有被批准，且处于 Pending 状态，请批准集群机器的 CSR：
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
```

批准所有客户端和服务器 CSR 后，机器将 处于 Ready 状态。运行以下命令验证：

$ oc get nodes

输出示例

NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  73m  v1.30.3
master-1  Ready     master  73m  v1.30.3
master-2  Ready     master  74m  v1.30.3
worker-0  Ready     worker  11m  v1.30.3
worker-1  Ready     worker  11m  v1.30.3

注意

批准服务器 CSR 后可能需要几分钟时间让机器过渡到 Ready 状态。

附加信息

证书签名请求

2.7.11. 初始 Operator 配置

在 control plane 初始化后，您必须立即配置一些 Operator，以便它们都可用。

先决条件

您的 control plane 已初始化。

流程

观察集群组件上线：

$ watch -n5 oc get clusteroperators

输出示例

NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.17.0    True        False         False      19m
baremetal                                  4.17.0    True        False         False      37m
cloud-credential                           4.17.0    True        False         False      40m
cluster-autoscaler                         4.17.0    True        False         False      37m
config-operator                            4.17.0    True        False         False      38m
console                                    4.17.0    True        False         False      26m
csi-snapshot-controller                    4.17.0    True        False         False      37m
dns                                        4.17.0    True        False         False      37m
etcd                                       4.17.0    True        False         False      36m
image-registry                             4.17.0    True        False         False      31m
ingress                                    4.17.0    True        False         False      30m
insights                                   4.17.0    True        False         False      31m
kube-apiserver                             4.17.0    True        False         False      26m
kube-controller-manager                    4.17.0    True        False         False      36m
kube-scheduler                             4.17.0    True        False         False      36m
kube-storage-version-migrator              4.17.0    True        False         False      37m
machine-api                                4.17.0    True        False         False      29m
machine-approver                           4.17.0    True        False         False      37m
machine-config                             4.17.0    True        False         False      36m
marketplace                                4.17.0    True        False         False      37m
monitoring                                 4.17.0    True        False         False      29m
network                                    4.17.0    True        False         False      38m
node-tuning                                4.17.0    True        False         False      37m
openshift-apiserver                        4.17.0    True        False         False      32m
openshift-controller-manager               4.17.0    True        False         False      30m
openshift-samples                          4.17.0    True        False         False      32m
operator-lifecycle-manager                 4.17.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.17.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.17.0    True        False         False      32m
service-ca                                 4.17.0    True        False         False      38m
storage                                    4.17.0    True        False         False      37m

配置不可用的 Operator。

2.7.11.1. 镜像 registry 存储配置

对于不提供默认存储的平台，Image Registry Operator 最初不可用。安装后，您必须将 registry 配置为使用存储，以便 Registry Operator 可用。

显示配置生产集群所需的持久性卷的说明。如果适用，显示有关将空目录配置为存储位置的说明，这仅适用于非生产集群。

提供了在升级过程中使用 Recreate rollout 策略来允许镜像 registry 使用块存储类型的说明。

2.7.11.1.1. 为 IBM Z 配置 registry 存储

作为集群管理员，在安装后需要配置 registry 来使用存储。

先决条件

您可以使用具有 cluster-admin 角色的用户访问集群。
在 IBM Z® 上有一个集群。
您已为集群置备持久性存储，如 Red Hat OpenShift Data Foundation。
重要
当您只有一个副本时，OpenShift Container Platform 支持对镜像 registry 存储的 ReadWriteOnce 访问。ReadWriteOnce 访问还要求 registry 使用 Recreate rollout 策略。要部署支持高可用性的镜像 registry，需要两个或多个副本，ReadWriteMany 访问。
必须具有 100Gi 容量。

流程

要将 registry 配置为使用存储，修改 configs.imageregistry/cluster 资源中的 spec.storage.pvc。
注意
使用共享存储时，请查看您的安全设置以防止外部访问。
验证您没有 registry pod:
```
$ oc get pod -n openshift-image-registry -l docker-registry=default
```
输出示例
```
No resources found in openshift-image-registry namespace
```
注意
如果您的输出中有一个 registry pod，则不需要继续这个过程。
检查 registry 配置：
```
$ oc edit configs.imageregistry.operator.openshift.io
```
输出示例
```
storage:
  pvc:
    claim:
```
将 claim 字段留空以允许自动创建 image-registry-storage PVC。

检查 clusteroperator 状态：

$ oc get clusteroperator image-registry

输出示例

NAME             VERSION              AVAILABLE   PROGRESSING   DEGRADED   SINCE   MESSAGE
image-registry   4.17                 True        False         False      6h50m

确保 registry 设置为 managed，以启用镜像的构建和推送。
- 运行：
```
$ oc edit configs.imageregistry/cluster
```
  然后，更改行
```
managementState: Removed
```
  至
```
managementState: Managed
```

2.7.11.1.2. 在非生产集群中为镜像 registry 配置存储

您必须为 Image Registry Operator 配置存储。对于非生产集群，您可以将镜像 registry 设置为空目录。如果您这样做，重启 registry 时会丢失所有镜像。

流程

将镜像 registry 存储设置为空目录：
```
$ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
```
警告
仅为非生产集群配置这个选项。
如果在 Image Registry Operator 初始化其组件前运行这个命令，oc patch 命令会失败并显示以下错误：
```
Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found
```
等待几分钟，然后再次运行命令。

2.7.12. 在用户置备的基础架构上完成安装

完成 Operator 配置后，可以在您提供的基础架构上完成集群安装。

先决条件

您的 control plane 已初始化。
已完成初始 Operator 配置。

流程

使用以下命令确认所有集群组件都在线：

$ watch -n5 oc get clusteroperators

输出示例

NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.17.0    True        False         False      19m
baremetal                                  4.17.0    True        False         False      37m
cloud-credential                           4.17.0    True        False         False      40m
cluster-autoscaler                         4.17.0    True        False         False      37m
config-operator                            4.17.0    True        False         False      38m
console                                    4.17.0    True        False         False      26m
csi-snapshot-controller                    4.17.0    True        False         False      37m
dns                                        4.17.0    True        False         False      37m
etcd                                       4.17.0    True        False         False      36m
image-registry                             4.17.0    True        False         False      31m
ingress                                    4.17.0    True        False         False      30m
insights                                   4.17.0    True        False         False      31m
kube-apiserver                             4.17.0    True        False         False      26m
kube-controller-manager                    4.17.0    True        False         False      36m
kube-scheduler                             4.17.0    True        False         False      36m
kube-storage-version-migrator              4.17.0    True        False         False      37m
machine-api                                4.17.0    True        False         False      29m
machine-approver                           4.17.0    True        False         False      37m
machine-config                             4.17.0    True        False         False      36m
marketplace                                4.17.0    True        False         False      37m
monitoring                                 4.17.0    True        False         False      29m
network                                    4.17.0    True        False         False      38m
node-tuning                                4.17.0    True        False         False      37m
openshift-apiserver                        4.17.0    True        False         False      32m
openshift-controller-manager               4.17.0    True        False         False      30m
openshift-samples                          4.17.0    True        False         False      32m
operator-lifecycle-manager                 4.17.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.17.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.17.0    True        False         False      32m
service-ca                                 4.17.0    True        False         False      38m
storage                                    4.17.0    True        False         False      37m

另外，当所有集群都可用时，以下命令会通知您。它还检索并显示凭证：

$ ./openshift-install --dir <installation_directory> wait-for install-complete 1

1: 对于 <installation_directory>，请指定安装文件保存到的目录的路径。

输出示例

INFO Waiting up to 30m0s for the cluster to initialize...

Cluster Version Operator 完成从 Kubernetes API 服务器部署 OpenShift Container Platform 集群时，该命令会成功。

重要

安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

确认 Kubernetes API 服务器正在与 pod 通信。

要查看所有 pod 的列表，请使用以下命令：

$ oc get pods --all-namespaces

输出示例

NAMESPACE                         NAME                                            READY   STATUS      RESTARTS   AGE
openshift-apiserver-operator      openshift-apiserver-operator-85cb746d55-zqhs8   1/1     Running     1          9m
openshift-apiserver               apiserver-67b9g                                 1/1     Running     0          3m
openshift-apiserver               apiserver-ljcmx                                 1/1     Running     0          1m
openshift-apiserver               apiserver-z25h4                                 1/1     Running     0          2m
openshift-authentication-operator authentication-operator-69d5d8bf84-vh2n8        1/1     Running     0          5m
...

使用以下命令，查看上一命令的输出中所列 pod 的日志：
```
$ oc logs <pod_name> -n <namespace> 1
```
1
指定 pod 名称和命名空间，如上一命令的输出中所示。
如果 pod 日志显示，Kubernetes API 服务器可以与集群机器通信。

对于使用光纤通道协议(FCP)的安装，还需要额外的步骤才能启用多路径。不要在安装过程中启用多路径。
如需更多信息，请参阅 安装后机器配置任务 文档中的"使用 RHCOS 上使用内核参数启用多路径"。

验证

如果您在 OpenShift Container Platform bootstrap 过程中启用了安全引导，则需要以下验证步骤：

运行以下命令来调试节点：

$ oc debug node/<node_name>
chroot /host

运行以下命令确认启用了安全引导：
```
$ cat /sys/firmware/ipl/secure
```
输出示例
```
1 1
```
1
如果启用了安全引导，则值为 1，如果未启用安全引导，则值为 0。

运行以下命令列出 re-IPL 配置：

# lsreipl

FCP 磁盘的输出示例

Re-IPL type: fcp
WWPN: 0x500507630400d1e3
LUN: 0x4001400e00000000
Device: 0.0.810e
bootprog: 0
br_lba: 0
Loadparm: ""
Bootparms: ""
clear: 0

DASD 磁盘输出示例

for DASD output:
Re-IPL type: ccw
Device: 0.0.525d
Loadparm: ""
clear: 0

运行以下命令来关闭节点：
```
sudo shutdown -h
```
从 LPAR 从硬件管理控制台 (HMC) 启动引导。请参阅 IBM 文档中的从 LPAR 启动安全引导。
当节点恢复时，再次检查安全引导状态。

2.7.13. OpenShift Container Platform 的 Telemetry 访问

在 OpenShift Container Platform 4.17 中，默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，而且集群会注册到 OpenShift Cluster Manager。

确认 OpenShift Cluster Manager 清单正确后，可以由 Telemetry 自动维护，也可以使用 OpenShift Cluster Manager 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

2.7. 在 IBM Z 和 IBM LinuxONE 的 LPAR 上安装集群

2.7.1. 先决条件

2.7.2. 准备用户置备的基础架构

2.7.3. 手动创建安装配置文件

2.7.3.1. IBM Z 的 install-config.yaml 文件示例

2.7.3.2. 在安装过程中配置集群范围的代理

2.7.3.3. 配置三节点集群

2.7.4. Cluster Network Operator 配置

2.7.4.1. Cluster Network Operator 配置对象

defaultNetwork 对象配置

配置 OVN-Kubernetes 网络插件

2.7.5. 创建 Kubernetes 清单和 Ignition 配置文件

2.7.6. 在 IBM Z 或 IBM LinuxONE 环境中使用静态 IP 配置 NBDE

2.7.7. 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程

2.7.7.1. 高级 RHCOS 安装参考

2.7.7.1.1. ISO 安装的网络和绑定选项

配置 DHCP 或静态 IP 地址

配置没有静态主机名的 IP 地址

指定多个网络接口

配置默认网关和路由

在单个接口中禁用 DHCP

合并 DHCP 和静态 IP 配置

在独立接口上配置 VLAN

提供多个 DNS 服务器

将多个网络接口绑定到一个接口

将多个网络接口绑定到一个接口

使用网络团队

2.7.8. 等待 bootstrap 过程完成

2.7.9. 使用 CLI 登录集群

2.7.10. 批准机器的证书签名请求

2.7.11. 初始 Operator 配置

2.7.11.1. 镜像 registry 存储配置

2.7.11.1.1. 为 IBM Z 配置 registry 存储

2.7.11.1.2. 在非生产集群中为镜像 registry 配置存储

2.7.12. 在用户置备的基础架构上完成安装

2.7.13. OpenShift Container Platform 的 Telemetry 访问

2.7.14. 后续步骤

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links