4.2. 在裸机上部署托管的 control plane

流程

1. 输入以下命令创建一个命名空间来存储硬件清单：

   $ oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig create \
     namespace <namespace_example>

   Copy to Clipboard Toggle word wrap

   其中：

   <directory_example>

   是保存管理集群的 kubeconfig 文件的目录名称。

   <namespace_example>

   是您要创建的命名空间的名称，如 hardware-inventory。

   输出示例

   namespace/hardware-inventory created

   Copy to Clipboard Toggle word wrap

2. 输入以下命令复制管理集群的 pull secret：

   $ oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig \
     -n openshift-config get secret pull-secret -o yaml \
     | grep -vE "uid|resourceVersion|creationTimestamp|namespace" \
     | sed "s/openshift-config/<namespace_example>/g" \
     | oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig \
     -n <namespace> apply -f -

   Copy to Clipboard Toggle word wrap

   其中：

   <directory_example>

   是保存管理集群的 kubeconfig 文件的目录名称。

   <namespace_example>

   是您要创建的命名空间的名称，如 hardware-inventory。

   输出示例

   secret/pull-secret created

   Copy to Clipboard Toggle word wrap

3. 通过在 YAML 文件中添加以下内容来创建 InfraEnv 资源：

   apiVersion: agent-install.openshift.io/v1beta1
   kind: InfraEnv
   metadata:
     name: hosted
     namespace: <namespace_example>
   spec:
     additionalNTPSources:
     - <ip_address>
     pullSecretRef:
       name: pull-secret
     sshAuthorizedKey: <ssh_public_key>
   # ...

   Copy to Clipboard Toggle word wrap

4. 输入以下命令将更改应用到 YAML 文件：

   $ oc apply -f <infraenv_config>.yaml

   Copy to Clipboard Toggle word wrap

   将 <infraenv_config > 替换为您的文件的名称。

5. 输入以下命令验证 InfraEnv 资源是否已创建：

   $ oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig \
     -n <namespace_example> get infraenv hosted

   Copy to Clipboard Toggle word wrap

6. 通过以下两种方法之一添加裸机主机：

   • 如果不使用 Metal3 Operator，请从 InfraEnv 资源获取发现 ISO，并完成以下步骤手动引导主机：

     1. 输入以下命令下载 live ISO：

        $ oc get infraenv -A

        Copy to Clipboard Toggle word wrap

        $ oc get infraenv <namespace_example> -o jsonpath='{.status.isoDownloadURL}' -n <namespace_example> <iso_url>

        Copy to Clipboard Toggle word wrap
     2. 引导 ISO。节点与 Assisted Service 通信，并作为代理注册到与 InfraEnv 资源相同的命名空间中。

     3. 对于每个代理，设置安装磁盘 ID 和主机名，并批准它以指示代理可以使用。输入以下命令：

        $ oc -n <hosted_control_plane_namespace> get agents

        Copy to Clipboard Toggle word wrap

        输出示例

        NAME                                   CLUSTER   APPROVED   ROLE          STAGE
        86f7ac75-4fc4-4b36-8130-40fa12602218                        auto-assign
        e57a637f-745b-496e-971d-1abbf03341ba                        auto-assign

        Copy to Clipboard Toggle word wrap

        $ oc -n <hosted_control_plane_namespace> \
          patch agent 86f7ac75-4fc4-4b36-8130-40fa12602218 \
          -p '{"spec":{"installation_disk_id":"/dev/sda","approved":true,"hostname":"worker-0.example.krnl.es"}}' \
          --type merge

        Copy to Clipboard Toggle word wrap

        $ oc -n <hosted_control_plane_namespace> \
          patch agent 23d0c614-2caa-43f5-b7d3-0b3564688baa -p \
          '{"spec":{"installation_disk_id":"/dev/sda","approved":true,"hostname":"worker-1.example.krnl.es"}}' \
          --type merge

        Copy to Clipboard Toggle word wrap

        $ oc -n <hosted_control_plane_namespace> get agents

        Copy to Clipboard Toggle word wrap

        输出示例

        NAME                                   CLUSTER   APPROVED   ROLE          STAGE
        86f7ac75-4fc4-4b36-8130-40fa12602218             true       auto-assign
        e57a637f-745b-496e-971d-1abbf03341ba             true       auto-assign

        Copy to Clipboard Toggle word wrap

   • 如果使用 Metal3 Operator，您可以通过创建以下对象来自动进行裸机主机注册：

     1. 创建 YAML 文件并添加以下内容：

        apiVersion: v1
        kind: Secret
        metadata:
          name: hosted-worker0-bmc-secret
          namespace: <namespace_example>
        data:
          password: <password>
          username: <username>
        type: Opaque
        ---
        apiVersion: v1
        kind: Secret
        metadata:
          name: hosted-worker1-bmc-secret
          namespace: <namespace_example>
        data:
          password: <password>
          username: <username>
        type: Opaque
        ---
        apiVersion: v1
        kind: Secret
        metadata:
          name: hosted-worker2-bmc-secret
          namespace: <namespace_example>
        data:
          password: <password>
          username: <username>
        type: Opaque
        ---
        apiVersion: metal3.io/v1alpha1
        kind: BareMetalHost
        metadata:
          name: hosted-worker0
          namespace: <namespace_example>
          labels:
            infraenvs.agent-install.openshift.io: hosted
          annotations:
            inspect.metal3.io: disabled
            bmac.agent-install.openshift.io/hostname: hosted-worker0
        spec:
          automatedCleaningMode: disabled
          bmc:
            disableCertificateVerification: True
            address: <bmc_address>
            credentialsName: hosted-worker0-bmc-secret
          bootMACAddress: aa:aa:aa:aa:02:01
          online: true
        ---
        apiVersion: metal3.io/v1alpha1
        kind: BareMetalHost
        metadata:
          name: hosted-worker1
          namespace: <namespace_example>
          labels:
            infraenvs.agent-install.openshift.io: hosted
          annotations:
            inspect.metal3.io: disabled
            bmac.agent-install.openshift.io/hostname: hosted-worker1
        spec:
          automatedCleaningMode: disabled
          bmc:
            disableCertificateVerification: True
            address: <bmc_address>
            credentialsName: hosted-worker1-bmc-secret
          bootMACAddress: aa:aa:aa:aa:02:02
          online: true
        ---
        apiVersion: metal3.io/v1alpha1
        kind: BareMetalHost
        metadata:
          name: hosted-worker2
          namespace: <namespace_example>
          labels:
            infraenvs.agent-install.openshift.io: hosted
          annotations:
            inspect.metal3.io: disabled
            bmac.agent-install.openshift.io/hostname: hosted-worker2
        spec:
          automatedCleaningMode: disabled
          bmc:
            disableCertificateVerification: True
            address: <bmc_address>
            credentialsName: hosted-worker2-bmc-secret
          bootMACAddress: aa:aa:aa:aa:02:03
          online: true
        ---
        apiVersion: rbac.authorization.k8s.io/v1
        kind: Role
        metadata:
          name: capi-provider-role
          namespace: <namespace_example>
        rules:
        - apiGroups:
          - agent-install.openshift.io
          resources:
          - agents
          verbs:
          - '*'

        Copy to Clipboard Toggle word wrap

        其中：

        <namespace_example>

        是您的命名空间。

        <password>

        是 secret 的密码。

        <username>

        是 secret 的用户名。

        <bmc_address>

        是 BareMetalHost 对象的 BMC 地址。

        注意

        应用此 YAML 文件时，会创建以下对象：

        • 带有基板管理控制器(BMC)凭证的 secret
        • BareMetalHost 对象
        • HyperShift Operator 的角色，用于管理代理

        注意如何使用 infraenvs.agent-install.openshift.io: hosted custom 标签在 BareMetalHost 对象中引用 InfraEnv 资源。这样可确保节点使用生成的 ISO 引导。

     2. 输入以下命令将更改应用到 YAML 文件：

        $ oc apply -f <bare_metal_host_config>.yaml

        Copy to Clipboard Toggle word wrap

        将 <bare_metal_host_config > 替换为您的文件的名称。

7. 输入以下命令，然后等待几分钟后 BareMetalHost 对象移至 Provisioning 状态：

   $ oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig -n <namespace_example> get bmh

   Copy to Clipboard Toggle word wrap

   输出示例

   NAME             STATE          CONSUMER   ONLINE   ERROR   AGE
   hosted-worker0   provisioning              true             106s
   hosted-worker1   provisioning              true             106s
   hosted-worker2   provisioning              true             106s

   Copy to Clipboard Toggle word wrap

8. 输入以下命令验证节点是否已引导，并以代理的形式显示。这个过程可能需要几分钟时间，您可能需要多次输入命令。

   $ oc --kubeconfig ~/<directory_example>/mgmt-kubeconfig -n <namespace_example> get agent

   Copy to Clipboard Toggle word wrap

   输出示例

   NAME                                   CLUSTER   APPROVED   ROLE          STAGE
   aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaa0201             true       auto-assign
   aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaa0202             true       auto-assign
   aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaa0203             true       auto-assign

   Copy to Clipboard Toggle word wrap

流程

1. 打开 OpenShift Container Platform Web 控制台，并输入您的管理员凭证登录。有关打开控制台的说明，请参阅"访问 Web 控制台"。
2. 在控制台标头中，确保选择了 All Clusters。
3. 点 Infrastructure Host inventory Create infrastructure environment。
4. 创建 InfraEnv 资源后，单击 Add hosts 并从可用选项中选择，从 InfraEnv 视图中添加裸机主机。

流程

1. 运行以下命令来创建命名空间：

   $ oc create ns <hosted_cluster_namespace>

   Copy to Clipboard Toggle word wrap

   将 <hosted_cluster_namespace > 替换为托管集群命名空间的标识符。通常，命名空间由 HyperShift Operator 创建，但在裸机上托管集群创建过程中，会生成一个 Cluster API 供应商角色，需要命名空间已存在。

2. 输入以下命令为托管集群创建配置文件：

   $ hcp create cluster agent \
     --name=<hosted_cluster_name> \

   1

   
     --pull-secret=<path_to_pull_secret> \

   2

   
     --agent-namespace=<hosted_control_plane_namespace> \

   3

   
     --base-domain=<base_domain> \

   4

   
     --api-server-address=api.<hosted_cluster_name>.<base_domain> \

   5

   
     --etcd-storage-class=<etcd_storage_class> \

   6

   
     --ssh-key=<path_to_ssh_key> \

   7

   
     --namespace=<hosted_cluster_namespace> \

   8

   
     --control-plane-availability-policy=HighlyAvailable \

   9

   
     --release-image=quay.io/openshift-release-dev/ocp-release:<ocp_release_image>-multi \

   10

   
     --node-pool-replicas=<node_pool_replica_count> \

   11

   
     --render \
     --render-sensitive \
     --ssh-key <home_directory>/<path_to_ssh_key>/<ssh_key> > hosted-cluster-config.yaml 

   12

   Copy to Clipboard Toggle word wrap

   1

   指定托管集群的名称。

   2

   指定 pull secret 的路径，例如 /user/name/pullsecret。

   3

   指定托管的 control plane 命名空间。要确保代理在这个命名空间中可用，请输入 oc get agent -n <hosted_control_plane_namespace> 命令。

   4

   指定您的基域，如 krnl.es。

   5

   --api-server-address 标志定义用于托管集群中的 Kubernetes API 通信的 IP 地址。如果没有设置 --api-server-address 标志，您必须登录以连接到管理集群。

   6

   指定 etcd 存储类名称，如 lvm-storageclass。

   7

   指定 SSH 公钥的路径。默认文件路径为 ~/.ssh/id_rsa.pub。

   8

   指定托管集群命名空间。

   9

   指定托管 control plane 组件的可用性策略。支持的选项包括 SingleReplica 和 HighlyAvailable。默认值为 HighlyAvailable。

   10

   指定您要使用的 OpenShift Container Platform 版本，例如 4.19.0-multi。如果您使用断开连接的环境，将 <ocp_release_image> 替换为摘要镜像。要提取 OpenShift Container Platform 发行镜像摘要，请参阅"提取发行镜像摘要"。

   11

   指定节点池副本数，例如 3。您必须将副本数指定为 0 或更高，才能创建相同数量的副本。否则，不会创建节点池。

   12

   在 --ssh-key 标志后，指定 SSH 密钥的路径；例如 user/.ssh/id_rsa。

3. 配置服务发布策略。默认情况下，托管集群使用 NodePort 服务发布策略，因为节点端口始终在没有额外基础架构的情况下可用。但是，您可以将服务发布策略配置为使用负载均衡器。

   • 如果您使用默认的 NodePort 策略，请将 DNS 配置为指向托管的集群计算节点，而不是管理集群节点。如需更多信息，请参阅"裸机上的 DNS 配置"。

   • 对于生产环境，请使用 LoadBalancer 策略，因为它提供证书处理和自动 DNS 解析。要更改服务发布策略 LoadBalancer，在托管集群配置文件中编辑服务发布策略详情：

     ...
     spec:
       services:
       - service: APIServer
         servicePublishingStrategy:
           type: LoadBalancer 

     1

     
       - service: Ignition
         servicePublishingStrategy:
           type: Route
       - service: Konnectivity
         servicePublishingStrategy:
           type: Route
       - service: OAuthServer
         servicePublishingStrategy:
           type: Route
       - service: OIDC
         servicePublishingStrategy:
           type: Route
       sshKey:
         name: <ssh_key>
     ...

     Copy to Clipboard Toggle word wrap

     1

     指定 LoadBalancer 作为 API 服务器类型。对于所有其他服务，将 Route 指定为类型。

4. 输入以下命令将更改应用到托管集群配置文件：

   $ oc apply -f hosted_cluster_config.yaml

   Copy to Clipboard Toggle word wrap

5. 输入以下命令来监控托管集群、节点池和 pod 的创建：

   $ oc get hostedcluster \
     <hosted_cluster_namespace> -n \
     <hosted_cluster_namespace> -o \
     jsonpath='{.status.conditions[?(@.status=="False")]}' | jq .

   Copy to Clipboard Toggle word wrap

   $ oc get nodepool \
     <hosted_cluster_namespace> -n \
     <hosted_cluster_namespace> -o \
     jsonpath='{.status.conditions[?(@.status=="False")]}' | jq .

   Copy to Clipboard Toggle word wrap

   $ oc get pods -n <hosted_cluster_namespace>

   Copy to Clipboard Toggle word wrap
6. 确认托管集群已就绪。当集群的状态为 Available: True 时，节点池状态会显示 AllMachinesReady: True，并且所有集群 Operator 都健康。

7. 在托管集群中安装 MetalLB：

   1. 从托管集群中提取 kubeconfig 文件，并输入以下命令为托管集群访问设置环境变量：

      $ oc get secret \
        <hosted_cluster_namespace>-admin-kubeconfig \
        -n <hosted_cluster_namespace> \
        -o jsonpath='{.data.kubeconfig}' \
        | base64 -d > \
        kubeconfig-<hosted_cluster_namespace>.yaml

      Copy to Clipboard Toggle word wrap

      $ export KUBECONFIG="/path/to/kubeconfig-<hosted_cluster_namespace>.yaml"

      Copy to Clipboard Toggle word wrap

   2. 通过创建 install-metallb-operator.yaml 文件来安装 MetalLB Operator：

      apiVersion: v1
      kind: Namespace
      metadata:
        name: metallb-system
      ---
      apiVersion: operators.coreos.com/v1
      kind: OperatorGroup
      metadata:
        name: metallb-operator
        namespace: metallb-system
      ---
      apiVersion: operators.coreos.com/v1alpha1
      kind: Subscription
      metadata:
        name: metallb-operator
        namespace: metallb-system
      spec:
        channel: "stable"
        name: metallb-operator
        source: redhat-operators
        sourceNamespace: openshift-marketplace
        installPlanApproval: Automatic

      Copy to Clipboard Toggle word wrap

   3. 输入以下命令应用该文件：

      $ oc apply -f install-metallb-operator.yaml

      Copy to Clipboard Toggle word wrap

   4. 通过创建 deploy-metallb-ipaddresspool.yaml 文件来配置 MetalLB IP 地址池：

      apiVersion: metallb.io/v1beta1
      kind: IPAddressPool
      metadata:
        name: metallb
        namespace: metallb-system
      spec:
        autoAssign: true
        addresses:
        - 10.11.176.71-10.11.176.75
      ---
      apiVersion: metallb.io/v1beta1
      kind: L2Advertisement
      metadata:
        name: l2advertisement
        namespace: metallb-system
      spec:
        ipAddressPools:
        - metallb

      Copy to Clipboard Toggle word wrap

   5. 输入以下命令应用配置：

      $ oc apply -f deploy-metallb-ipaddresspool.yaml

      Copy to Clipboard Toggle word wrap

   6. 通过检查 Operator 状态、IP 地址池和 L2Advertisement 来验证是否安装了 MetalLB。输入以下命令：

      $ oc get pods -n metallb-system

      Copy to Clipboard Toggle word wrap

      $ oc get ipaddresspool -n metallb-system

      Copy to Clipboard Toggle word wrap

      $ oc get l2advertisement -n metallb-system

      Copy to Clipboard Toggle word wrap

8. 为入口配置负载均衡器：

   1. 创建 ingress-loadbalancer.yaml 文件：

      apiVersion: v1
      kind: Service
      metadata:
        annotations:
          metallb.universe.tf/address-pool: metallb
        name: metallb-ingress
        namespace: openshift-ingress
      spec:
        ports:
          - name: http
            protocol: TCP
            port: 80
            targetPort: 80
          - name: https
            protocol: TCP
            port: 443
            targetPort: 443
        selector:
          ingresscontroller.operator.openshift.io/deployment-ingresscontroller: default
        type: LoadBalancer

      Copy to Clipboard Toggle word wrap

   2. 输入以下命令应用配置：

      $ oc apply -f ingress-loadbalancer.yaml

      Copy to Clipboard Toggle word wrap

   3. 输入以下命令验证负载均衡器服务是否按预期工作：

      $ oc get svc metallb-ingress -n openshift-ingress

      Copy to Clipboard Toggle word wrap

      输出示例

      NAME              TYPE           CLUSTER-IP       EXTERNAL-IP    PORT(S)                      AGE
      metallb-ingress   LoadBalancer   172.31.127.129   10.11.176.71   80:30961/TCP,443:32090/TCP   16h

      Copy to Clipboard Toggle word wrap

9. 配置 DNS 以使用负载均衡器：

   1. 通过将 5.2. apps .<hosted_cluster_namespace>.<base_domain> 通配符 DNS 记录指向负载均衡器 IP 地址，为 apps 域配置 DNS。

   2. 输入以下命令验证 DNS 解析：

      $ nslookup console-openshift-console.apps.<hosted_cluster_namespace>.<base_domain> <load_balancer_ip_address>

      Copy to Clipboard Toggle word wrap

      输出示例

      Server:         10.11.176.1
      Address:        10.11.176.1#53
      
      Name:   console-openshift-console.apps.my-hosted-cluster.sample-base-domain.com
      Address: 10.11.176.71

      Copy to Clipboard Toggle word wrap

验证

1. 输入以下命令检查集群 Operator：

   $ oc get clusteroperators

   Copy to Clipboard Toggle word wrap

   确保所有 Operator 显示 AVAILABLE: True,PROGRESSING: False, 和 DEGRADED: False。

2. 输入以下命令检查节点：

   $ oc get nodes

   Copy to Clipboard Toggle word wrap

   确保所有节点的状态为 READY。

3. 通过在 Web 浏览器中输入以下 URL 来测试对控制台的访问：

   https://console-openshift-console.apps.<hosted_cluster_namespace>.<base_domain>

   Copy to Clipboard Toggle word wrap

流程

1. 打开 OpenShift Container Platform Web 控制台，并输入您的管理员凭证登录。有关打开控制台的说明，请参阅"访问 Web 控制台"。
2. 在控制台标头中，确保选择了 All Clusters。
3. 点 Infrastructure Clusters。

4. 点 Create cluster Host inventory Hosted control plane。

   此时会显示 Create cluster 页。

5. 在 Create cluster 页中，按照提示输入集群、节点池、网络和自动化的详细信息。

   注意

   在输入集群详情时，您可能会发现以下提示很有用：

   • 如果要使用预定义的值来自动填充控制台中的字段，您可以创建主机清单凭证。如需更多信息，请参阅"为内部环境创建凭证"。
   • 在 Cluster details 页中，pull secret 是用于访问 OpenShift Container Platform 资源的 OpenShift Container Platform pull secret。如果您选择了主机清单凭证，则会自动填充 pull secret。
   • 在 Node pool 页中，命名空间包含节点池的主机。如果使用控制台创建主机清单，控制台会创建一个专用命名空间。
   • 在 Networking 页上，您可以选择 API 服务器发布策略。托管集群的 API 服务器可以通过使用现有负载均衡器或 NodePort 类型的服务公开。必须存在 api.<hosted_cluster_name>.<base_domain> 的 DNS 条目，指向可以访问 API 服务器的目标。此条目可以是指向管理集群中某一节点的记录，也可以是指向将传入流量重定向到 Ingress pod 的负载均衡器的记录。

6. 检查您的条目并点 Create。

   此时会显示 Hosted 集群视图。

7. 在托管集群视图中监控托管集群的部署。
8. 如果您没有看到托管集群的信息，请确保选择了 All Clusters，然后点集群名称。
9. 等待 control plane 组件就绪。这个过程可能需要几分钟时间。
10. 要查看节点池状态，请滚动到 NodePool 部分。安装节点的过程需要大约 10 分钟。您还可以点 Nodes 来确认节点是否加入托管集群。

流程

1. 创建 YAML 文件来定义镜像内容源策略 (ICSP)。请参见以下示例：

   - mirrors:
     - brew.registry.redhat.io
     source: registry.redhat.io
   - mirrors:
     - brew.registry.redhat.io
     source: registry.stage.redhat.io
   - mirrors:
     - brew.registry.redhat.io
     source: registry-proxy.engineering.redhat.com

   Copy to Clipboard Toggle word wrap
2. 将文件保存为 icsp.yaml。此文件包含您的镜像 registry。

3. 要使用您的镜像 registry 创建托管集群，请运行以下命令：

   $ hcp create cluster agent \
       --name=<hosted_cluster_name> \

   1

   
       --pull-secret=<path_to_pull_secret> \

   2

   
       --agent-namespace=<hosted_control_plane_namespace> \

   3

   
       --base-domain=<basedomain> \

   4

   
       --api-server-address=api.<hosted_cluster_name>.<basedomain> \

   5

   
       --image-content-sources icsp.yaml  \

   6

   
       --ssh-key  <path_to_ssh_key> \

   7

   
       --namespace <hosted_cluster_namespace> \

   8

   
       --release-image=quay.io/openshift-release-dev/ocp-release:<ocp_release_image> 

   9

   Copy to Clipboard Toggle word wrap

   1

   指定托管集群的名称，如 example。

   2

   指定 pull secret 的路径，例如 /user/name/pullsecret。

   3

   指定托管的 control plane 命名空间，如 cluster-example。使用 oc get agent -n <hosted-control-plane-namespace> 命令，确保此在命名空间中有可用的代理。

   4

   指定您的基域，如 krnl.es。

   5

   --api-server-address 标志定义用于托管集群中的 Kubernetes API 通信的 IP 地址。如果没有设置 --api-server-address 标志，您必须登录以连接到管理集群。

   6

   指定定义 ICSP 和您的镜像 registry 的 icsp.yaml 文件。

   7

   指定 SSH 公钥的路径。默认文件路径为 ~/.ssh/id_rsa.pub。

   8

   指定托管集群命名空间。

   9

   指定您要使用的 OpenShift Container Platform 版本，例如 4.19.0-multi。如果您使用断开连接的环境，将 <ocp_release_image> 替换为摘要镜像。要提取 OpenShift Container Platform 发行镜像摘要，请参阅"提取 OpenShift Container Platform 发行镜像摘要"。