红帽全球峰会第 5 章 将镜像固定到节点
到一个镜像 registry 的缓慢、不可靠的连接可能会影响需要拉取镜像的操作,如更新集群或部署应用程序。这可能包括低带宽的集群、具有不可靠互联网连接的集群,或处于断开连接环境中的集群。例如,集群更新可能需要拉取一百个镜像。无法拉取这些镜像可能会导致重试,这可能会影响更新过程,并可能导致更新失败。
防止此问题的一种方法是在实际需要前,提前拉取所需的镜像,并将这些镜像固定到一个特定的机器配置池 (MCP)。这可确保镜像在需要时可供您的节点使用。固定镜像可以提供一个更加一致的更新过程,这在将更新调度到维护窗口时非常重要。
固定镜像还可以确保镜像在部署应用程序时可用,以便您可以以一个更可靠的方式进行部署。
您可以使用 PinnedImageSet 自定义资源 (CR) 将镜像固定到特定的节点,如固定镜像中所述。固定的镜像被存储在这些节点上的 /etc/crio/crio.conf.d/50-pinned-images 文件中的节点上。该文件的内容类似于以下示例:
[crio]
[crio.image]
pinned_images = ["quay.io/openshift-release-dev/ocp-release@sha256:4198606580b69c8335ad7ae531c3a74e51aee25db5faaf368234e8c8dae5cbea", "quay.io/openshift-release-dev/ocp-release@sha256:513cf1028aa1a021fa73d0601427a0fbcf6d212b88aaf9d76d4e4841a061e44e", "quay.io/openshift-release-dev/ocp-release@sha256:61eae2d261e54d1b8a0e05f6b5326228b00468364563745eed88460af04f909b"]固定镜像的另一个优点是,镜像垃圾回收并不会删除固定的镜像。
在拉取镜像前,Machine Config Operator (MCO)会验证每个受影响的节点上是否有足够的存储空间。如果节点有足够的空间,MCO 会创建固定镜像文件,拉取镜像并重新载入 CRI-O。如果没有足够的空间,MCO 不会拉取镜像并显示一个错误消息。
5.1. 固定镜像
您可以使用 PinnedImageSet 自定义资源 (CR) 将镜像固定到节点。固定镜像集定义了要预加载的镜像列表,以及镜像应固定到的机器配置池。
镜像存储在节点上的 /etc/crio/crio.conf.d/50-pinned-images 文件中。
只有可以使用 podman manifest inspect <IMAGE_URL> 命令成功检查的镜像,才能与固定镜像集一起使用。镜像检查可能会因为不支持的清单格式、registry 授权问题、无效的模式、网络连接问题或其他问题而失败。
流程
创建一个定义了
PinnedImageSet对象的 YAML 文件,如下例所示:apiVersion: machineconfiguration.openshift.io/v1 kind: PinnedImageSet metadata: labels:1 machineconfiguration.openshift.io/role: worker name: worker-pinned-images spec: pinnedImages:2 - name: quay.io/openshift-release-dev/ocp-release@sha256:513cf1028aa1a021fa73d0601427a0fbcf6d212b88aaf9d76d4e4841a061e44e - name: quay.io/openshift-release-dev/ocp-release@sha256:61eae2d261e54d1b8a0e05f6b5326228b00468364563745eed88460af04f909b其中:
labels- 指定一个可选的节点选择器,以指定将镜像固定到的机器配置池。如果没有指定,镜像将固定到集群中的所有节点。
pinnedImages- 指定要预加载的一个或多个镜像的列表。
运行以下命令来创建
PinnedImageSet对象:$ oc create -f <file_name>.yaml
验证
运行以下命令,检查机器配置在受影响的集群配置池的集群配置节点对象中报告。
$ oc describe machineconfignode <machine_config_node_name>示例命令
$ oc describe machineconfignode ci-ln-25hlkvt-72292-jrs48-worker-a-2bdj成功镜像拉取并固定的输出示例
apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfigNode metadata: creationTimestamp: "2025-04-28T18:40:29Z" generation: 3 name: <machine_config_node_name> # ... status pinnedImageSets: - currentGeneration: 1 desiredGeneration: 1 name: worker-pinned-images1 在
MachineConfigNode对象状态字段中出现任何失败或错误信息,如下例所示:镜像拉取和固定失败的输出示例
apiVersion: machineconfiguration.openshift.io/v1 kind: MachineConfigNode metadata: creationTimestamp: "2025-04-28T18:40:29Z" generation: 3 name: <machine_config_node_name> # ... - lastTransitionTime: "2025-04-29T19:37:23Z" message: One or more PinnedImageSet is experiencing an error. See PinnedImageSet list for more details. reason: PrefetchFailed status: "True" type: PinnedImageSetsDegraded configVersion: current: rendered-worker-cef1b52c532e19a20add12e369261fba desired: rendered-worker-cef1b52c532e19a20add12e369261fba observedGeneration: 3 pinnedImageSets: - desiredGeneration: 1 lastFailedGeneration: 1 lastFailedGenerationError: 'failed to execute podman manifest inspect for "quay.io/rh-ee/machine-config-operator@sha256:65d3a308767b1773b6e3499dde6ef085753d7e20e685f78841079": exit status 125' name: worker-pinned-images检查固定镜像文件已被创建并包含正确的镜像。
运行以下命令,为节点启动 debug 会话:
$ oc debug node/<node_name>运行以下命令,将
/host设置为 debug shell 中的根目录:sh-5.1# chroot /host运行以下命令,验证固定镜像文件的内容:
$ cat /etc/crio/crio.conf.d/50-pinned-images输出示例
[crio] [crio.image] pinned_images = ["quay.io/openshift-release-dev/ocp-release@sha256:4198606580b69c8335ad7ae531c3a74e51aee25db5faaf368234e8c8dae5cbea", "quay.io/openshift-release-dev/ocp-release@sha256:513cf1028aa1a021fa73d0601427a0fbcf6d212b88aaf9d76d4e4841a061e44e", "quay.io/openshift-release-dev/ocp-release@sha256:61eae2d261e54d1b8a0e05f6b5326228b00468364563745eed88460af04f909b"]其中:
pinnedImages- 指定为受影响的机器配置池拉取和固定的镜像。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}