红帽全球峰会第 3 章 准备部署托管的 control plane
3.1. 托管 control plane 的要求
在托管 control plane 的上下文中,管理集群 是一个 OpenShift Container Platform 集群,部署 HyperShift Operator,以及托管集群的 control plane 的位置。
control plane 与托管集群关联,并作为 pod 在单个命名空间中运行。当集群服务消费者创建托管集群时,它会创建一个独立于 control plane 的 worker 节点。
以下要求适用于托管的 control plane:
- 为了运行 HyperShift Operator,您的管理集群至少需要三个 worker 节点。
- 您可以在内部运行管理集群和 worker 节点,比如在裸机平台或 OpenShift Virtualization 中。另外,您可以在云基础架构上运行管理集群和 worker 节点,如 Amazon Web Services (AWS)。
-
如果您使用混合基础架构(如在 AWS 和 worker 节点上运行内部的 worker 节点),或在 AWS 和您的管理集群内部运行 worker 节点,则必须使用
PublicAndPrivate发布策略,并遵循支持列表中的延迟要求。 - 在 Bare Metal Host (BMH) 部署中,BMH 在其中启动机器,托管的 control plane 必须能够访问基板管理控制器(BMC)。如果您的安全配置集不允许 Cluster Baremetal Operator 访问 BMH 具有其 BMC 的网络,以便启用 Redfish 自动化,您可以使用 BYO ISO 支持。但是,在 BYO 模式中,OpenShift Container Platform 无法自动打开 BMH 的电源。
3.1.1. 托管 control plane 的支持列表
因为 Kubernetes Operator 的多集群引擎包含 HyperShift Operator,托管 control plane 的发行版本与 multicluster engine Operator 发行版本保持一致。如需更多信息,请参阅 OpenShift Operator 生命周期。
3.1.1.1. 管理集群支持
任何支持的独立 OpenShift Container Platform 集群都可以是一个管理集群。
不支持单节点 OpenShift Container Platform 集群作为管理集群。如果您有资源限制,可以在独立的 OpenShift Container Platform control plane 和托管的 control plane 间共享基础架构。如需更多信息,请参阅"托管和独立 control plane 之间的共享基础架构"。
下表将多集群引擎 Operator 版本映射到支持它们的管理集群版本:
| 管理集群版本 | 支持的多集群引擎 Operator 版本 |
|---|---|
| 4.14 - 4.15 | 2.4 |
| 4.14 - 4.16 | 2.5 |
| 4.14 - 4.17 | 2.6 |
| 4.15 - 4.17 | 2.7 |
| 4.16 - 4.18 | 2.8 |
| 4.17 - 4.19 | 2.9 |
3.1.1.2. 托管的集群支持
对于托管集群,管理集群版本和托管的集群版本之间没有直接关系。托管的集群版本取决于 multicluster engine Operator 版本中包含的 HyperShift Operator。
确保管理集群和托管的集群间的最大延迟 200 ms。这个要求对于混合基础架构部署来说尤其重要,如您的管理集群位于 AWS 上,且您的计算节点位于内部时。
下表显示了您可以使用与多集群引擎 Operator 版本关联的 HyperShift Operator 创建的托管集群版本:
虽然 HyperShift Operator 支持下表中的托管集群版本,但多集群引擎 Operator 只支持比当前版本早 2 个版本。例如,如果当前托管的集群版本为 4.19,多集群引擎 Operator 支持的最早版本为 4.17 版本。如果要使用早于 multicluster engine Operator 所支持的版本早一个版本的托管集群,您可以将托管集群从 multicluster engine Operator 分离为非受管状态,或者您可以使用早期版本的 multicluster engine Operator。有关从多集群引擎 Operator 分离托管集群的步骤,请参阅 从管理中删除集群 (RHACM 文档)。如需有关多集群引擎 Operator 支持的更多信息,请参阅 Kubernetes operator 2.9 Support Matrix (红帽知识库)的多集群引擎。
| 托管的集群版本 | multicluster engine Operator 2.4 中的 HyperShift Operator | multicluster engine Operator 2.5 中的 HyperShift Operator | multicluster engine Operator 2.6 中的 HyperShift Operator | multicluster engine Operator 2.7 中的 HyperShift Operator | multicluster engine Operator 2.8 中的 HyperShift Operator | 多集群引擎 Operator 2.9 中的 HyperShift Operator |
|---|---|---|---|---|---|---|
| 4.14 | 是 | 是 | 是 | 是 | 是 | 是 |
| 4.15 | 否 | 是 | 是 | 是 | 是 | 是 |
| 4.16 | 否 | 否 | 是 | 是 | 是 | 是 |
| 4.17 | 否 | 否 | 否 | 是 | 是 | 是 |
| 4.18 | 否 | 否 | 否 | 否 | 是 | 是 |
| 4.19 | 否 | 否 | 否 | 否 | 否 | 是 |
3.1.1.3. 托管的集群平台支持
托管的集群只支持一个基础架构平台。例如,您不能在不同的基础架构平台上创建多个节点池。
下表指明了托管 control plane 的每个平台都支持哪些 OpenShift Container Platform 版本。
对于 IBM Power 和 IBM Z,您必须在基于 64 位 x86 架构的机器类型以及 IBM Power 或 IBM Z 上的节点池上运行 control plane。
在下表中,管理集群版本是启用 multicluster engine Operator 的 OpenShift Container Platform 版本:
| 托管的集群平台 | 管理集群版本 | 托管的集群版本 |
|---|---|---|
| Amazon Web Services | 4.16 - 4.19 | 4.16 - 4.19 |
| IBM Power | 4.17 - 4.19 | 4.17 - 4.19 |
| IBM Z | 4.17 - 4.19 | 4.17 - 4.19 |
| OpenShift Virtualization | 4.14 - 4.19 | 4.14 - 4.19 |
| 裸机 | 4.14 - 4.19 | 4.14 - 4.19 |
| 非裸机代理机器(技术预览) | 4.16 - 4.19 | 4.16 - 4.19 |
| Red Hat OpenStack Platform (RHOSP) (技术预览) | 4.19 | 4.19 |
3.1.1.4. 支持多架构
下表指明了在多个架构上托管 control plane 的支持状态,按平台组织。
| OpenShift Container Platform 版本 | ARM64 control plane | ARM64 计算节点 |
|---|---|---|
| 4.19 | 公开发行 | 公开发行 |
| 4.18 | 公开发行 | 公开发行 |
| 4.17 | 公开发行 | 公开发行 |
| 4.16 | 技术预览 | 公开发行 |
| 4.15 | 技术预览 | 公开发行 |
| 4.14 | 技术预览 | 公开发行 |
| OpenShift Container Platform 版本 | ARM64 control plane | ARM64 计算节点 |
|---|---|---|
| 4.19 | 不可用 | 技术预览 |
| 4.18 | 不可用 | 技术预览 |
| 4.17 | 不可用 | 技术预览 |
| 4.16 | 不可用 | 技术预览 |
| 4.15 | 不可用 | 技术预览 |
| 4.14 | 不可用 | 技术预览 |
| OpenShift Container Platform 版本 | ARM64 control plane | ARM64 计算节点 |
|---|---|---|
| 4.19 | 不可用 | 不可用 |
| 4.18 | 不可用 | 不可用 |
| 4.17 | 不可用 | 不可用 |
| OpenShift Container Platform 版本 | control plane | 计算节点 |
|---|---|---|
| 4.19 |
|
|
| 4.18 |
|
|
| 4.17 |
|
|
| OpenShift Container Platform 版本 | control plane | 计算节点 |
|---|---|---|
| 4.19 |
|
|
| 4.18 |
|
|
| 4.17 |
|
|
| OpenShift Container Platform 版本 | ARM64 control plane | ARM64 计算节点 |
|---|---|---|
| 4.19 | 不可用 | 不可用 |
| 4.18 | 不可用 | 不可用 |
| 4.17 | 不可用 | 不可用 |
| 4.16 | 不可用 | 不可用 |
| 4.15 | 不可用 | 不可用 |
| 4.14 | 不可用 | 不可用 |
3.1.1.5. 多集群引擎 Operator 的更新
当您升级到 multicluster engine Operator 的另一个版本时,如果 multicluster engine Operator 版本中包含的 HyperShift Operator 支持托管的集群版本,则托管集群可以继续运行。下表显示了在哪些更新的多集群引擎 Operator 版本中支持哪些托管集群版本。
虽然 HyperShift Operator 支持下表中的托管集群版本,但多集群引擎 Operator 只支持比当前版本早 2 个版本。例如,如果当前托管的集群版本为 4.19,多集群引擎 Operator 支持的最早版本为 4.17 版本。如果要使用早于 multicluster engine Operator 所支持的版本早一个版本的托管集群,您可以将托管集群从 multicluster engine Operator 分离为非受管状态,或者您可以使用早期版本的 multicluster engine Operator。有关从多集群引擎 Operator 分离托管集群的步骤,请参阅 从管理中删除集群 (RHACM 文档)。如需有关多集群引擎 Operator 支持的更多信息,请参阅 Kubernetes operator 2.9 Support Matrix (红帽知识库)的多集群引擎。
| 更新了多集群引擎 Operator 版本 | 支持的托管集群版本 |
|---|---|
| 从 2.4 更新至 2.5 | OpenShift Container Platform 4.14 |
| 从 2.5 更新至 2.6 | OpenShift Container Platform 4.14 - 4.15 |
| 从 2.6 更新至 2.7 | OpenShift Container Platform 4.14 - 4.16 |
| 从 2.7 更新至 2.8 | OpenShift Container Platform 4.14 - 4.17 |
| 从 2.8 更新至 2.9 | OpenShift Container Platform 4.14 - 4.18 |
例如,如果您在管理集群中有一个 OpenShift Container Platform 4.14 托管集群,且从 multicluster engine Operator 2.4 更新至 2.5,则托管集群可以继续运行。
3.1.1.6. 技术预览功能
以下列表显示此发行版本中具有技术预览状态的功能:
- 在断开连接的环境中在 IBM Z 上托管 control plane
- 托管 control plane 的自定义污点和容限
- 托管 control plane for OpenShift Virtualization 上的 NVIDIA GPU 设备
- 在 Red Hat OpenStack Platform (RHOSP)上托管 control plane
3.1.2. 启用 FIPS 的托管集群
托管 control plane 的二进制文件符合 FIP,但托管的 control plane 命令行界面 hcp 除外。
如果要部署启用了 FIPS 的托管集群,则必须使用启用了 FIPS 的管理集群。要为管理集群启用 FIPS 模式,您必须从配置为以 FIPS 模式运行的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息,请参阅将 RHEL 切换到 FIPS 模式。
当以 FIPS 模式运行 RHEL 或 Red Hat Enterprise Linux CoreOS (RHCOS)时,OpenShift Container Platform 核心组件使用 RHEL 加密库,在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。
在以 FIPS 模式设置管理集群后,托管集群创建过程在该管理集群中运行。
3.1.3. 托管 control plane 的 CIDR 范围
要在 OpenShift Container Platform 上部署托管的 control plane,请使用以下所需的无类别域间路由(CIDR)子网范围:
-
v4InternalSubnet: 100.65.0.0/16 (OVN-Kubernetes) -
clusterNetwork: 10.132.0.0/14 (pod network) -
serviceNetwork: 172.31.0.0/16
如需有关 OpenShift Container Platform CIDR 范围定义的更多信息,请参阅"CIDR 范围定义"。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}