1.2. 在受限网络中的 IBM Power 上安装集群
在 OpenShift Container Platform 版本 4.4 中,您可以在受限网络中置备的 IBM Power 基础架构上安装集群。
非裸机平台还有其他注意事项。在尝试在此类环境中安装 OpenShift Container Platform 集群前,请参阅有关在未经测试的平台上部署 OpenShift Container Platform 的指南中的信息。
1.2.1. 先决条件
在堡垒主机上创建镜像 registry,并获取您的 OpenShift Container Platform 版本的
imageContentSources数据。重要由于安装介质位于堡垒主机上,因此请使用该计算机完成所有安装步骤。
-
为集群置备持久性存储。若要部署私有镜像 registry,您的存储必须提供
ReadWriteMany访问模式。 - 查看有关 OpenShift Container Platform 安装和更新流程的详细信息。
如果使用防火墙并计划使用遥测(telemetry),您必须将其配置为允许集群需要访问的站点。
注意如果您要配置代理,请务必也要查看此站点列表。
1.2.2. 关于在受限网络中安装
在 OpenShift Container Platform 4.4 中,可以执行不需要有效的互联网连接来获取软件组件的安装。受限网络安装只能在您置备的基础架构上完成,不能在安装程序置备的基础架构上完成,因此您的平台选择会受到限制。
要完成受限网络安装,您必须创建一个 registry,镜像 OpenShift Container Platform registry 的内容并包含其安装介质。您可以在堡垒主机上创建此镜像,该主机可同时访问互联网和您的封闭网络,也可以使用满足您的限制条件的其他方法。
受限网络安装始终使用用户置备的基础架构。由于用户置备安装配置的复杂性,在尝试受限网络安装前,请考虑完成标准用户置备基础架构安装。通过完成此测试安装,您可以更轻松地隔离和排查您在受限网络中安装时可能出现的问题。
1.2.2.1. 其他限制
受限网络中的集群还有以下额外限制:
-
ClusterVersion状态包含一个Unable to retrieve available updates错误。 - 默认情况下,您无法使用 Developer Catalog 的内容,因为您无法访问所需的镜像流标签。
1.2.3. 具有用户置备基础架构的集群的机器要求
对于含有用户置备的基础架构的集群,您必须部署所有所需的机器。
1.2.3.1. 所需的机器
最小的 OpenShift Container Platform 集群需要下列主机:
- 一个临时 bootstrap 机器
- 三台 control plane 或 master 机器
- 至少两台计算机器,也称为 worker 机器
集群要求 bootstrap 机器在三台 control plane 机器上部署 OpenShift Container Platform 集群。您可在安装集群后删除 bootstrap 机器。
要保持集群的高可用性,请将独立的物理主机用于这些集群机器。
bootstrap、control plane 以及计算(compute)机器必须使用 Red Hat Enterprise Linux CoreOS (RHCOS) 作为操作系统。
请注意,RHCOS 基于 Red Hat Enterprise Linux 8,并继承其所有硬件认证和要求。请查看Red Hat Enterprise Linux 技术功能及限制。
1.2.3.2. 网络连接要求
所有 Red Hat Enterprise Linux CoreOS (RHCOS) 机器在启动过程中需要 initramfs 中的网络从 Machine Config Server 获取 Ignition 配置文件。在初次启动过程中,需要一个 DHCP 服务器或设置了静态 IP 地址来建立网络连接,以下载它们的 Ignition 配置文件。
1.2.3.3. 最低资源要求
每台集群机器都必须满足以下最低要求:
| 机器 | 操作系统 | vCPU1 | 虚拟内存 | 存储 |
|---|---|---|---|---|
| bootstrap | RHCOS | 2 | 16 GB | 120 GB |
| Control plane | RHCOS | 2 | 16 GB | 120 GB |
| Compute | RHCOS | RHCOS 或 RHEL 7.6 | 2 | 8 GB |
1.2.3.4. 证书签名请求管理
在使用您置备的基础架构时,集群只能有限地访问自动机器管理,因此您必须提供一种在安装后批准集群证书签名请求 (CSR) 的机制。kube-controller-manager 只能批准 kubelet 客户端 CSR。machine-approver 无法保证使用 kubelet 凭证请求的提供证书的有效性,因为它不能确认是正确的机器发出了该请求。您必须决定并实施一种方法,以验证 kubelet 提供证书请求的有效性并进行批准。
1.2.4. 创建用户置备的基础架构
在部署采用用户置备的基础架构的 OpenShift Container Platform 集群前,您必须创建底层基础架构。
先决条件
- 在为集群创建支持基础架构之前,请参阅OpenShift Container Platform 4.x Tested Integrations页。
流程
- 在每个节点上配置 DHCP 或设置静态 IP 地址。
- 提供所需的负载均衡器。
- 配置机器的端口。
- 配置 DNS。
- 确保网络可以正常工作。
1.2.4.1. 用户置备的基础架构对网络的要求
所有 Red Hat Enterprise Linux CoreOS(RHCOS)机器在启动过程中需要 initramfs 中的网络从机器配置服务器获取 Ignition 配置。
在初次启动过程中,需要一个 DHCP 服务器或集群中的每个机器都设置了静态 IP 地址来建立网络连接,以下载它们的 Ignition 配置文件。
建议您使用 DHCP 服务器为集群进行长期机器管理。确保 DHCP 服务器已配置为向集群机器提供持久 IP 地址和主机名。
成功安装集群后,在每个 master 节点上运行的 Kubernetes API 服务器必须能够解析集群机器的节点名称。如果 API 服务器和 worker 节点位于不同的区域中,您可以配置默认 DNS 搜索区域,以便 API 服务器能够解析节点名称。另一种支持的方法是始终在节点对象和所有 DNS 请求中使用完全限定域名来指代主机。
您必须配置机器间的网络连接,以便集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的主机名。
| 协议 | 端口 | 描述 |
|---|---|---|
| ICMP | N/A | 网络可访问性测试 |
| TCP |
|
主机级别的服务,包括端口 |
|
| Kubernetes 保留的默认端口 | |
|
| openshift-sdn | |
| UDP |
| VXLAN 和 Geneve |
|
| VXLAN 和 Geneve | |
|
|
主机级别的服务,包括端口 | |
| TCP/UDP |
| Kubernetes 节点端口 |
| 协议 | 端口 | 描述 |
|---|---|---|
| TCP |
| etcd 服务器、对等和指标端口 |
|
| Kubernetes API |
网络拓扑要求
您为集群置备的基础架构必须满足下列网络拓扑要求。
负载均衡器
在安装 OpenShift Container Platform 前,您必须置备两个满足以下要求的负载均衡器:
API 负载均衡器:提供一个通用端点,供用户(包括人和机器)与平台交互和配置。配置以下条件:
- 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如果使用 SSL Bridge 模式,必须为 API 路由启用 Server Name Indication(SNI)。
- 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。
注意API 负载均衡器正常工作不需要会话持久性。
在负载均衡器的前端和后台配置以下端口:
表 1.8. API 负载均衡器 端口 后端机器(池成员) 内部 外部 描述 6443Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后,您要从负载均衡器中删除 bootstrap 机器。您必须为 API 服务器健康检查探测配置
/readyz端点。X
X
Kubernetes API 服务器
22623Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后,您要从负载均衡器中删除 bootstrap 机器。
X
机器配置服务器
注意负载均衡器必须配置为,从 API 服务器关闭
/readyz端点到从池中删除 API 服务器实例时最多需要 30 秒。在/readyz返回错误或处于健康状态后的时间范围内,端点必须被删除或添加。每 5 秒或 10 秒探测一次,有两个成功请求处于健康状态,三个成为不健康的请求经过测试。应用程序入口负载均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件:
- 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如果使用 SSL Bridge 模式,您必须为 Ingress 路由启用Server Name Indication(SNI)。
- 建议根据可用选项以及平台上托管的应用程序类型,使用基于连接的或者基于会话的持久性。
在负载均衡器的前端和后台配置以下端口:
表 1.9. 应用程序入口负载均衡器 端口 后端机器(池成员) 内部 外部 描述 443默认运行入口路由器 Pod、计算或 worker 的机器。
X
X
HTTPS 流量
80默认运行入口路由器 Pod、计算或 worker 的机器。
X
X
HTTP 流量
如果负载均衡器可以看到客户端的真实 IP 地址,启用基于 IP 的会话持久性可提高使用端到端 TLS 加密的应用程序的性能。
OpenShift Container Platform 集群需要正确配置入口路由器。control plane 初始化后,您必须配置入口路由器。
1.2.4.2. 用户置备 DNS 要求
DNS 用于名称解析和反向名称解析。DNS A/AAAA 或 CNAME 记录用于名称解析,PTR 记录用于反向解析名称。反向记录很重要,因为 Red Hat Enterprise Linux CoreOS(RHCOS)使用反向记录为所有节点设置主机名。另外,反向记录用于生成 OpenShift Container Platform 需要操作的证书签名请求(CSR)。
采用用户置备的基础架构的 OpenShift Container Platform 集群需要以下 DNS 记录。在每一记录中,<cluster_name> 是集群名称,<base_domain> 则是您在 install-config.yaml 文件中指定的集群基域。完整的 DNS 记录采用如下格式: <component>.<cluster_name>.<base_domain>.。
| 组件 | 记录 | 描述 |
|---|---|---|
| Kubernetes API |
| 添加 DNS A/AAAA 或 CNAME 记录,以及 DNS PTR 记录,以识别 control plane 机器的负载均衡器。这些记录必须由集群外的客户端以及集群中的所有节点解析。 |
|
| 添加 DNS A/AAAA 或 CNAME 记录,以及 DNS PTR 记录,以识别 control plane 机器的负载均衡器。这些记录必须可以从集群中的所有节点解析。 重要 API 服务器必须能够根据在 Kubernetes 中记录的主机名解析 worker 节点。如果 API 服务器无法解析节点名称,则代理的 API 调用会失败,且您无法从 pod 检索日志。 | |
| Routes |
| 添加通配符 DNS A/AAAA 或 CNAME 记录,指向以运行入口路由器 Pod 的机器(默认为 worker 节点)为目标的负载均衡器。这些记录必须由集群外的客户端以及集群中的所有节点解析。 |
| bootstrap |
| 添加 DNS A/AAAA 或 CNAME 记录,以及 DNS PTR 记录来识别 bootstrap 机器。这些记录必须由集群中的节点解析。 |
| Master 主机 |
| 添加 DNS A/AAAA 或 CNAME 记录,以识别 master 节点的每台机器。这些记录必须由集群中的节点解析。 |
| Worker 主机 |
| 添加 DNS A/AAAA 或 CNAME 记录,以识别 worker 节点的每台机器。这些记录必须由集群中的节点解析。 |
您可以使用 nslookup <hostname> 命令来验证名称解析。您可以使用 dig -x <ip_address> 命令来验证 PTR 记录的反向名称解析。
下面的 BIND 区文件的例子展示了关于名字解析的 A 记录的例子。这个示例的目的是显示所需的记录。这个示例不是为选择一个名称解析服务提供建议。
例 1.3. DNS 区数据库示例
$TTL 1W @ IN SOA ns1.example.com. root ( 2019070700 ; serial 3H ; refresh (3 hours) 30M ; retry (30 minutes) 2W ; expiry (2 weeks) 1W ) ; minimum (1 week) IN NS ns1.example.com. IN MX 10 smtp.example.com. ; ; ns1 IN A 192.168.1.5 smtp IN A 192.168.1.5 ; helper IN A 192.168.1.5 helper.ocp4 IN A 192.168.1.5 ; ; The api identifies the IP of your load balancer. api.ocp4 IN A 192.168.1.5 api-int.ocp4 IN A 192.168.1.5 ; ; The wildcard also identifies the load balancer. *.apps.ocp4 IN A 192.168.1.5 ; ; Create an entry for the bootstrap host. bootstrap.ocp4 IN A 192.168.1.96 ; ; Create entries for the master hosts. master0.ocp4 IN A 192.168.1.97 master1.ocp4 IN A 192.168.1.98 master2.ocp4 IN A 192.168.1.99 ; ; Create entries for the worker hosts. worker0.ocp4 IN A 192.168.1.11 worker1.ocp4 IN A 192.168.1.7 ; ;EOF
下面的 BIND 区文件示例显示了反向名字解析的 PTR 记录示例。
例 1.4. 反向记录的 DNS 区数据库示例
$TTL 1W @ IN SOA ns1.example.com. root ( 2019070700 ; serial 3H ; refresh (3 hours) 30M ; retry (30 minutes) 2W ; expiry (2 weeks) 1W ) ; minimum (1 week) IN NS ns1.example.com. ; ; The syntax is "last octet" and the host must have an FQDN ; with a trailing dot. 97 IN PTR master0.ocp4.example.com. 98 IN PTR master1.ocp4.example.com. 99 IN PTR master2.ocp4.example.com. ; 96 IN PTR bootstrap.ocp4.example.com. ; 5 IN PTR api.ocp4.ocp4.example.com. 5 IN PTR api-int.ocp4.ocp4.example.com. ; 11 IN PTR worker0.ocp4.example.com. 7 IN PTR worker1.ocp4.example.com. ; ;EOF
1.2.5. 生成 SSH 私钥并将其添加到代理中
如果要在集群上执行安装调试或灾难恢复,则必须为 ssh-agent 和安装程序提供 SSH 密钥。您可以使用此密钥访问公共集群中的 bootstrap 机器来排除安装问题。
在生产环境中,您需要进行灾难恢复和调试。
您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时,此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。
您必须使用一个本地密钥,而不要使用在特定平台上配置的密钥,如 AWS 密钥对。
流程
如果还没有为计算机上免密码身份验证而配置的 SSH 密钥,请创建一个。例如,在使用 Linux 操作系统的计算机上运行以下命令:
$ ssh-keygen -t ed25519 -N '' \ -f <path>/<file_name> 1- 1
- 指定 SSH 密钥的路径和文件名,如
~/.ssh/id_rsa。不要指定已存在的 SSH 密钥,因为它会被覆盖。
运行此命令会在指定的位置生成不需要密码的 SSH 密钥。
作为后台任务启动
ssh-agent进程:$ eval "$(ssh-agent -s)" Agent pid 31874
将 SSH 私钥添加到
ssh-agent:$ ssh-add <path>/<file_name> 1 Identity added: /home/<you>/<path>/<file_name> (<computer_name>)- 1
- 指定 SSH 私钥的路径和文件名,如
~/.ssh/id_rsa
后续步骤
- 在安装 OpenShift Container Platform 时,为安装程序提供 SSH 公钥。
1.2.6. 手动创建安装配置文件
对于使用用户置备的基础架构的 OpenShift Container Platform 安装,您必须手动生成安装配置文件。
先决条件
- 获取 OpenShift Container Platform 安装程序和集群的访问令牌。
流程
创建用来存储您所需的安装资产的安装目录:
$ mkdir <installation_directory>
重要您必须创建目录。一些安装信息,如 bootstrap X.509 证书,有较短的过期间隔,因此不要重复使用安装目录。如果要重复使用另一个集群安装中的个别文件,可以将其复制到您的目录中。但是,一些安装数据的文件名可能会在发行版本之间有所改变。从 OpenShift Container Platform 老版本中复制安装文件时要格外小心。
自定义以下
install-config.yaml文件模板,并将它保存到<installation_directory>中。注意此配置文件必须命名为
install-config.yaml。备份
install-config.yaml文件,以便用于安装多个集群。重要install-config.yaml文件会在安装过程的下一步骤中消耗掉。现在必须备份它。
1.2.6.1. 裸机 install-config.yaml 文件示例
1.2.6.2. IBM Power 的 install-config.yaml 文件示例
您可以自定义 install-config.yaml 文件,以指定有关 OpenShift Container Platform 集群平台的更多信息,或修改所需参数的值。
apiVersion: v1 baseDomain: example.com 1 compute: - hyperthreading: Enabled 2 3 name: worker replicas: 0 4 controlPlane: hyperthreading: Enabled 5 6 name: master 7 replicas: 3 8 metadata: name: test 9 networking: clusterNetwork: - cidr: 10.128.0.0/14 10 hostPrefix: 23 11 networkType: OpenShiftSDN serviceNetwork: 12 - 172.30.0.0/16 platform: none: {} 13 fips: false 14 pullSecret: '{"auths": ...}' 15 sshKey: 'ssh-ed25519 AAAA...' 16
- 1
- 集群的基域。所有 DNS 记录都必须是这个基域的子域,并包含集群名称。
- 2 5
controlPlane部分是一个单映射,但 compute 部分是一系列映射。为满足不同数据结构的要求,compute部分的第一行必须以连字符-开头,controlPlane部分的第一行则不可以连字符开头。虽然这两个部分目前都定义单个机器池,但未来的 OpenShift Container Platform 版本可能会支持在安装过程中定义多个计算池。只使用一个 control plane 池。- 3 6 7
- 是否要启用或禁用并发多线程或
超线程。默认情况下,启用并发多线程以提高机器内核的性能。您可以通过将参数值设为Disabled来禁用。如果您在某些集群机器上禁用并发多线程,则必须在所有集群机器上禁用。重要如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。
- 4
replicas参数的值必须设置为0。此参数控制集群为您创建和管理的 worker 数量,使用用户置备的基础架构时集群不会执行这些功能。在完成 OpenShift Container Platform 安装前,您必须手动为集群部署 worker 机器。- 8
- 您添加到集群的 control plane 机器数量。由于集群将这个值用作集群中 etcd 端点的数量,因此该值必须与您部署的 control plane 机器数量匹配。
- 9
- 您在 DNS 记录中指定的集群名称。
- 10
- 从中分配 pod IP 地址的 IP 地址块。此块不得与现有的物理网络重叠。这些 IP 地址用于 pod 网络。如果您需要从外部网络访问 pod,请配置负载均衡器和路由器来管理流量。
- 11
- 分配给每个单独节点的子网前缀长度。例如,如果
hostPrefix设为23,则每个节点从所给的cidr中分配一个/23子网,这样就能有 510 (2^(32 - 23) - 2) 个 Pod IP 地址。如果您需要从外部网络访问节点,请配置负载均衡器和路由器来管理流量。 - 12
- 用于服务 IP 地址的 IP 地址池。您只能输入一个 IP 地址池。如果您需要从外部网络访问服务,请配置负载均衡器和路由器来管理流量。
- 13
- 您必须将平台设置为
none。您无法为 IBM Power 基础架构提供额外的平台配置变量。 - 14
- 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式,运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。
- 15
- 从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中获取的 pull secret。通过此 pull secret,您可以进行所含授权机构提供的服务的身份验证,这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。
- 16
- Red Hat Enterprise Linux CoreOS (RHCOS) 中
core用户的默认 SSH 密钥的公钥部分。注意对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定
ssh-agent进程使用的 SSH 密钥。
1.2.6.3. 在安装过程中配置集群范围代理
生产环境可能会拒绝直接访问互联网,而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置,将新的 OpenShift Container Platform 集群配置为使用代理。
先决条件
-
现有的
install-config.yaml文件。 查看集群需要访问的站点,并决定是否需要绕过代理。默认情况下代理所有集群出口流量,包括对托管云供应商 API 的调用。如果需要,在
Proxy对象的spec.noProxy字段中添加站点来绕过代理。注意Proxy对象status.noProxy字段使用安装配置中的networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr和networking.serviceNetwork[]字段的值填充。对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装,
Proxy对象status.noProxy字段也会使用实例元数据端点填充(169.254.169.254)。
流程
编辑
install-config.yaml文件并添加代理设置。例如:apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://<username>:<pswd>@<ip>:<port> 1 httpsProxy: http://<username>:<pswd>@<ip>:<port> 2 noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- <MY_TRUSTED_CA_CERT> -----END CERTIFICATE----- ...
- 1
- 用于创建集群外 HTTP 连接的代理 URL。URL 必须是
http。如果您使用不要求额外代理配置但需要额外 CA 的 MITM 透明代理网络,则不得指定httpProxy值。 - 2
- 用于创建集群外 HTTPS 连接的代理 URL。如果未指定此字段,
httpProxy会同时用于 HTTP 和 HTTPS 连接。如果您使用不要求额外代理配置但需要额外 CA 的 MITM 透明代理网络,则不得指定httpsProxy值。 - 3
- 要排除代理的目标域名、域、IP 地址或其他网络 CIDR 的逗号分隔列表。域之前加上前缀
.可包含该域的所有子域。使用*可对所有目的地绕过所有代理。 - 4
- 如果提供,安装程序会在
openshift-config命名空间中生成名为user-ca-bundle的配置映射,其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后,Cluster Network Operator 会创建trusted-ca-bundle配置映射,将这些内容与 Red Hat Enterprise Linux CoreOS(RHCOS)信任捆绑包合并,Proxy对象的trustedCA字段中也会引用此配置映射。additionalTrustBundle字段是必需的,除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。如果您使用不要求额外代理配置但需要额外 CA 的 MITM 透明代理网络,您必须提供 MITM CA 证书。
注意安装程序不支持代理的
readinessEndpoints字段。- 保存该文件,并在安装 OpenShift Container Platform 时引用。
安装程序会创建一个名为 cluster 的集群范围代理,该代理使用提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置,仍然会创建一个 cluster Proxy 对象,但它会有一个空 spec。
只支持名为 cluster 的 Proxy 对象,且无法创建额外的代理。
1.2.7. 创建 Kubernetes 清单和 Ignition 配置文件
由于您必须修改一些集群定义文件并要手动启动集群机器,因此您必须生成 Kubernetes 清单和 Ignition 配置文件,集群需要这两项来创建其机器。
安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书,然后在过期时进行续订。如果在更新证书前关闭集群,且集群在 24 小时后重启,集群会自动恢复过期的证书。一个例外情况是,您需要手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息,请参阅从过期的 control plane 证书中恢复的文档。
先决条件
- 获取 OpenShift Container Platform 安装程序。
-
创建
install-config.yaml安装配置文件。
流程
为集群生成 Kubernetes 清单:
$ ./openshift-install create manifests --dir=<installation_directory> 1 INFO Consuming Install Config from target directory WARNING Making control-plane schedulable by setting MastersSchedulable to true for Scheduler cluster settings- 1
- 对于
<installation_directory>,请指定含有您创建的install-config.yaml文件的安装目录。
由于您稍后会在安装过程中自行创建计算机器,因此可以忽略这个警告。
修改
<installation_directory>/manifests/cluster-scheduler-02-config.ymlKubernetes 清单文件,以防止在 control plane 机器上调度 Ppd:-
打开
<installation_directory>/manifests/cluster-scheduler-02-config.yml文件。 -
找到
mastersSchedulable参数,并将其值设为False。 - 保存并退出文件。
注意目前,由于 Kubernetes 限制,入口负载均衡器将无法访问在 control plane 机器上运行的路由器 Pod。以后的 OpenShift Container Platform 次要版本中可能不需要这一步骤。
-
打开
获取 Ignition 配置文件:
$ ./openshift-install create ignition-configs --dir=<installation_directory> 1- 1
- 对于
<installation_directory>,请指定相同的安装目录。
该目录中将生成以下文件:
. ├── auth │ ├── kubeadmin-password │ └── kubeconfig ├── bootstrap.ign ├── master.ign ├── metadata.json └── worker.ign
1.2.8. 创建 Red Hat Enterprise Linux CoreOS (RHCOS) 机器
在您置备的 IBM Power 基础架构上安装集群前,必须先创建 RHCOS 机器供其使用。按照相应的步骤,使用 ISO 镜像或网络 PXE 启动来创建机器。
1.2.8.1. 使用 ISO 镜像创建 Red Hat Enterprise Linux CoreOS (RHCOS) 机器
在您置备的 IBM Power 基础架构上安装集群前,必须先创建 RHCOS 机器供其使用。您可以使用 ISO 镜像来创建这些机器。
先决条件
- 获取集群的 Ignition 配置文件。
- 具有 HTTP 服务器的访问权限,以便您可从计算机进行访问,并且您创建的机器也可访问此服务器。
流程
将安装程序创建的 control plane、计算和 bootstrap Ignition 配置文件上传到 HTTP 服务器。记下这些文件的 URL。
重要如果您计划在安装完成后在集群中添加更多计算机器,请不要删除这些文件。
从红帽客户门户上的产品下载页面或 RHCOS 镜像页面,获取您选择的操作系统实例安装方法所需的 RHCOS 镜像。
重要RHCOS 镜像可能不会随着 OpenShift Container Platform 的每一发行版本都有改变。您必须下载最高版本的镜像,其版本号应小于或等于您安装的 OpenShift Container Platform 版本。如果可用,请使用与 OpenShift Container Platform 版本匹配的镜像版本。只使用 ISO 镜像用于这个流程对于裸机安装,RHCOS qcow2 镜像不被支持。
您必须下载 ISO 文件和 RAW 磁盘文件。这些文件的名称类似以下示例:
-
ISO:
rhcos-<version>-installer.<architecture>.iso -
压缩的裸机 RAW:
rhcos-<version>-metal.<architecture>.raw.gz
-
ISO:
将 RAW RHCOS 镜像文件上传到 HTTP 服务器并记录它的 URL。
重要如果您计划在安装完成后在集群中添加更多计算机器,请不要删除这些文件。
使用 ISO 启动 RHCOS 安装。使用如下安装选项之一:
- 将 ISO 镜像刻录到磁盘并直接启动。
- 通过 LOM 接口使用 ISO 重定向。
-
实例启动后,按
TAB或E键编辑内核命令行。 将参数添加到内核命令行:
coreos.inst=yes coreos.inst.install_dev=sda 1 coreos.inst.image_url=<image_URL> 2 coreos.inst.ignition_url=http://example.com/config.ign 3 ip=<dhcp or static IP address> 4 5 bond=<bonded_interface> 6
- 按 Enter 键完成安装。安装 RHCOS 后,系统会重启。系统重启后,它会应用您指定的 Ignition 配置文件。
继续为集群创建机器。
重要此刻您必须创建 bootstrap 和 control plane 机器。由于计算机器中已默认部署了一些 Pod,因此在安装集群前,还要创建至少两台计算机器。
1.2.8.2. 通过 PXE 引导来创建 Red Hat Enterprise Linux CoreOS (RHCOS) 机器
在您置备的裸机 IBM Power 基础架构上安装集群前,必须先创建 RHCOS 机器供其使用。您可以使用 PXE 引导来创建机器。
先决条件
- 获取集群的 Ignition 配置文件。
- 具有 HTTP 服务器和 TFTP 服务器的访问权限,以便可从您的计算机访问。
流程
将安装程序创建的 master、worker 和 bootstrap Ignition 配置文件上传到 HTTP 服务器。记下这些文件的 URL。
重要如果您计划在安装完成后在集群中添加更多计算机器,请不要删除这些文件。
从红帽客户门户上的产品下载页或 RHCOS 镜像 mirror RHCOS 镜像 mirror页,获取压缩的裸机 RAW 镜像、
kernel和initramfs文件。重要RHCOS 镜像可能不会随着 OpenShift Container Platform 的每一发行版本都有改变。您必须下载最高版本的镜像,其版本号应小于或等于您安装的 OpenShift Container Platform 版本。如果可用,请使用与 OpenShift Container Platform 版本匹配的镜像版本。此流程只使用 RAW 镜像。对于裸机安装,RHCOS qcow2 镜像不被支持。
文件名包含 OpenShift Container Platform 版本号。它们类似以下示例:
-
压缩的裸机 RAW 镜像:
rhcos-<version>-<architecture>-metal.<architecture>.raw.gz -
kernel:rhcos-<version>-<architecture>-installer-kernel-<architecture> -
initramfs:rhcos-<version>-<architecture>-installer-initramfs.<architecture>.img
-
压缩的裸机 RAW 镜像:
- 将 RAW 镜像上传到 HTTP 服务器。
上传引导方法所需的额外文件:
-
对于传统的 PXE,将
kernel和initramfs文件上传到 TFTP 服务器。 -
对于 iPXE,将
kernel和initramfs文件上传到 HTTP 服务器。
重要如果您计划在安装完成后在集群中添加更多计算机器,请不要删除这些文件。
-
对于传统的 PXE,将
- 配置网络启动基础架构,以便在安装 RHCOS 后机器可从本地磁盘启动。
为 RHCOS 镜像配置 PXE 安装。
针对您的环境修改以下示例菜单条目之一,并验证能否正确访问镜像和 Ignition 文件:
对于 PXE:
DEFAULT pxeboot TIMEOUT 20 PROMPT 0 LABEL pxeboot KERNEL rhcos-<version>-<architecture>-installer-kernel-<architecture> 1 APPEND ip=dhcp rd.neednet=1 initrd=rhcos-<version>-<architecture>-installer-initramfs.<architecture>.img coreos.inst=yes coreos.inst.install_dev=sda coreos.inst.image_url=http://<HTTP_server>/rhcos-<version>-<architecture>-metal.<architecture>.raw.gz coreos.inst.ignition_url=http://<HTTP_server>/bootstrap.ign 2 3- 1
- 指定 TFTP 服务器中可用
kernel文件的位置。 - 2
- 如果您使用多个 NIC,请在
ip选项中指定一个接口。例如,要在名为eno1的 NIC 上使用 DHCP,请设置ip=eno1:dhcp。 - 3
- 指定上传到 HTTP 或 TFTP 服务器的 RHCOS 文件的位置。
initrd参数值是initramfs文件在您的 TFTP 服务器中的位置。coreos.inst.image_url参数值是 HTTP 服务器上压缩的裸机 RAW 镜像的位置,coreos.inst.ignition_url参数值则是 HTTP 服务器上的 bootstrap Ignition 配置文件的位置。
注意这个配置不会在使用图形控制台的机器上启用串口控制台访问。要配置不同的控制台,请在
APPEND行中添加一个或多个console=参数。例如,添加console=tty0 console=ttyS0将第一个 PC 串口设置为主控制台,图形控制台作为二级控制台。如需更多信息,请参阅如何在 Red Hat Enterprise Linux 中设置串行终端和(或)控制台?
如果使用 UEFI,请执行以下操作:
提供引导系统所需的 EFI 二进制文件和
grub.cfg文件。您需要shim.efi二进制文件以及grubx64.efi二进制文件。通过在主机上挂载 RHCOS ISO,然后将
images/efiboot.img文件挂载到您的主机来提取所需的 EFI 二进制文件。从efiboot.img挂载点,将EFI/redhat/shimx64.efi和EFI/redhat/grubx64.efi文件复制到您的 TFTP 服务器中。# mkdir -p /mnt/{iso,efiboot} # mount -o loop rhcos-installer.x86_64.iso /mnt/iso # mount -o loop,ro /mnt/iso/images/efiboot.img /mnt/efiboot # cp /mnt/efiboot/EFI/redhat/{shimx64.efi,grubx64.efi} . # umount /mnt/{efiboot,iso}
-
将 RHCOS ISO 中包含的
EFI/redhat/grub.cfg文件复制到您的 TFTP 服务器中。 编辑
grub.cfg文件使其包含以下参数:menuentry 'Install Red Hat Enterprise Linux CoreOS' --class fedora --class gnu-linux --class gnu --class os { linux rhcos-<version>-<architecture>-installer-kernel-<architecture> nomodeset rd.neednet=1 coreos.inst=yes coreos.inst.install_dev=sda coreos.inst.image_url=http://<HTTP_server>/rhcos-<version>-<architecture>-metal.<architecture>.raw.gz coreos.inst.ignition_url=http://<HTTP_server>/bootstrap.ign 1 initrd rhcos-<version>-<architecture>-installer-initramfs.<architecture>.img 2 }
继续为集群创建机器。
重要此刻您必须创建 bootstrap 和 control plane 机器。由于计算机器上已默认部署了一些 Pod,因此在安装集群前,还要创建至少两台计算机器。
1.2.9. 创建集群
要创建 OpenShift Container Platform 集群,请等待您通过安装程序生成的 Ignition 配置文件所置备的机器上完成 bootstrap 过程。
先决条件
- 为集群创建所需的基础架构。
- 已获得安装程序并为集群生成了 Ignition 配置文件。
- 已使用 Ignition 配置文件为集群创建 RHCOS 机器。
流程
监控 bootstrap 过程:
$ ./openshift-install --dir=<installation_directory> wait-for bootstrap-complete \ 1 --log-level=info 2 INFO Waiting up to 30m0s for the Kubernetes API at https://api.test.example.com... INFO API v1.17.1 up INFO Waiting up to 30m0s for bootstrapping to complete... INFO It is now safe to remove the bootstrap resources
Kubernetes API 服务器提示已在 control plane 机器上完成 bootstrap 时,命令运行成功。
bootstrap 过程完成后,请从负载均衡器中删除 bootstrap 机器。
重要此时您必须从负载均衡器中删除 bootstrap 机器。您还可以删除或重新格式化机器本身。
1.2.10. 登录集群
您可以通过导出集群 kubeconfig 文件,以默认系统用户身份登录集群。kubeconfig 文件包含关于集群的信息,供 CLI 用于将客户端连接到正确集群和 API 服务器。该文件特只适用于一个特定的集群,在 OpenShift Container Platform 安装过程中创建。
先决条件
- 部署一个 OpenShift Container Platform 集群。
-
安装
ocCLI。
流程
导出
kubeadmin凭证:$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1- 1
- 对于
<installation_directory>,请指定安装文件保存到的目录的路径。
使用导出的配置,验证能否成功运行
oc命令:$ oc whoami system:admin
1.2.11. 批准机器的证书签名请求
将机器添加到集群时,会为您添加的每台机器生成两个待处理证书签名请求(CSR)。您必须确认这些 CSR 已获得批准,或根据需要自行批准。客户端请求必须首先被批准,然后是服务器请求。
先决条件
- 您已将机器添加到集群中。
流程
确认集群可以识别这些机器:
# oc get nodes NAME STATUS ROLES AGE VERSION master-01.example.com Ready master 40d v1.17.1 master-02.example.com Ready master 40d v1.17.1 master-03.example.com Ready master 40d v1.17.1 worker-01.example.com Ready worker 40d v1.17.1 worker-02.example.com Ready worker 40d v1.17.1
输出将列出您创建的所有机器。
检查待处理的 CSR,并确保可以看到添加到集群中的每台机器都有
Pending或Approved状态的客户端请求:$ oc get csr NAME AGE REQUESTOR CONDITION csr-8b2br 15m system:serviceaccount:openshift-machine-config-operator:node-bootstrapper Pending csr-8vnps 15m system:serviceaccount:openshift-machine-config-operator:node-bootstrapper Pending ...
在本例中,两台机器加入了集群。您可能会在列表中看到更多已批准的 CSR。
如果 CSR 没有获得批准,请在所添加机器的所有待处理 CSR 都处于
Pending状态后,为您的集群机器批准这些 CSR:注意由于 CSR 会自动轮转,因此请在将机器添加到集群后一小时内批准您的 CSR。如果没有在一小时内批准,证书将会轮转,每个节点将会存在多个证书。您必须批准所有这些证书。批准初始 CSR 后,集群的
kube-controller-manager会自动批准后续的节点客户端 CSR。您必须实施一个方法来自动批准 kubelet 提供的证书请求。若要单独批准,请对每个有效的 CSR 运行以下命令:
$ oc adm certificate approve <csr_name> 1- 1
<csr_name>是当前 CSR 列表中 CSR 的名称。
要批准所有待处理的 CSR,请运行以下命令:
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
现在,您的客户端请求已被批准,您必须查看添加到集群中的每台机器的服务器请求:
$ oc get csr
输出示例
NAME AGE REQUESTOR CONDITION csr-bfd72 5m26s system:node:ip-10-0-50-126.us-east-2.compute.internal Pending csr-c57lv 5m26s system:node:ip-10-0-95-157.us-east-2.compute.internal Pending ...
如果剩余的 CSR 没有被批准,且处于
Pending状态,请批准集群机器的 CSR:若要单独批准,请对每个有效的 CSR 运行以下命令:
$ oc adm certificate approve <csr_name> 1- 1
<csr_name>是当前 CSR 列表中 CSR 的名称。
要批准所有待处理的 CSR,请运行以下命令:
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
批准所有客户端和服务器 CSR 后,器将处于
Ready状态。运行以下命令验证:$ oc get nodes
输出示例
NAME STATUS ROLES AGE VERSION master-0 Ready master 73m v1.20.0 master-1 Ready master 73m v1.20.0 master-2 Ready master 74m v1.20.0 worker-0 Ready worker 11m v1.20.0 worker-1 Ready worker 11m v1.20.0
注意批准服务器 CSR 后可能需要几分钟时间让机器转换为
Ready状态。
其他信息
- 如需有关 CSR 的更多信息,请参阅证书签名请求。
1.2.12. 初始 Operator 配置
在 control plane 初始化后,您必须立即配置一些 Operator 以便它们都可用。
先决条件
- 您的 control plane 已初始化。
流程
观察集群组件上线:
$ watch -n5 oc get clusteroperators NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE authentication 4.4.0 True False False 69s cloud-credential 4.4.0 True False False 12m cluster-autoscaler 4.4.0 True False False 11m console 4.4.0 True False False 46s dns 4.4.0 True False False 11m image-registry 4.4.0 True False False 5m26s ingress 4.4.0 True False False 5m36s kube-apiserver 4.4.0 True False False 8m53s kube-controller-manager 4.4.0 True False False 7m24s kube-scheduler 4.4.0 True False False 12m machine-api 4.4.0 True False False 12m machine-config 4.4.0 True False False 7m36s marketplace 4.4.0 True False False 7m54m monitoring 4.4.0 True False False 7h54s network 4.4.0 True False False 5m9s node-tuning 4.4.0 True False False 11m openshift-apiserver 4.4.0 True False False 11m openshift-controller-manager 4.4.0 True False False 5m943s openshift-samples 4.4.0 True False False 3m55s operator-lifecycle-manager 4.4.0 True False False 11m operator-lifecycle-manager-catalog 4.4.0 True False False 11m service-ca 4.4.0 True False False 11m service-catalog-apiserver 4.4.0 True False False 5m26s service-catalog-controller-manager 4.4.0 True False False 5m25s storage 4.4.0 True False False 5m30s
- 配置不可用的 Operator。
1.2.12.1. 镜像 registry 存储配置
对于不提供默认存储的平台,Image Registry Operator 最初将不可用。安装后,您必须配置 registry 使用的存储,这样 Registry Operator 才可用。
提供了配置持久性卷的说明,这是生产集群所需要的;也提供了将空目录配置为存储位置的说明,这仅适用于非生产集群。
1.2.12.1.1. 为裸机配置 registry 存储
作为集群管理员,在安装后需要配置 registry 来使用存储。
先决条件
- 具有 Cluster Administrator 权限
- 在裸机上有一个集群。
为集群置备的持久性存储,如 Red Hat OpenShift Container Storage。
重要如果您只有一个副本,OpenShift Container Platform 支持对镜像 registry 存储的
ReadWriteOnce访问。要部署支持高可用性的、带有两个或多个副本的镜像 registry,需要ReadWriteMany访问设置。- 必须具有 100Gi 容量。
流程
为了配置 registry 使用存储,需要修改
configs.imageregistry/cluster资源中的spec.storage.pvc。注意使用共享存储时,请查看您的安全设置以防止被外部访问。
验证您没有 registry pod:
$ oc get pod -n openshift-image-registry
注意如果存储类型为
emptyDIR,则副本数不能超过1。检查 registry 配置:
$ oc edit configs.imageregistry.operator.openshift.io
输出示例
storage: pvc: claim:将
claim字段留空以允许自动创建一个image-registry-storagePVC。检查
clusteroperator的状态:$ oc get clusteroperator image-registry
1.2.12.1.2. 在非生产集群中配置镜像 registry 存储
您必须为 Image Registry Operator 配置存储。对于非生产集群,您可以将镜像 registry 设置为空目录。如果您这样做,重启 registry 后会丢失所有镜像。
流程
将镜像 registry 存储设置为空目录:
$ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'警告仅可为非生产集群配置这个选项。
如果在 Image Registry Operator 初始化其组件前运行此命令,
oc patch命令会失败并显示以下错误:Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found
等待几分钟,然后再次运行该命令。
1.2.13. 在用户置备的基础架构上完成安装
完成 Operator 配置后,可以在您提供的基础架构上完成集群安装。
先决条件
- 您的 control plane 已初始化。
- 已完成初始 Operator 配置。
流程
确认所有集群组件都已上线:
$ watch -n5 oc get clusteroperators NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE authentication 4.4.3 True False False 7m56s cloud-credential 4.4.3 True False False 31m cluster-autoscaler 4.4.3 True False False 16m console 4.4.3 True False False 10m csi-snapshot-controller 4.4.3 True False False 16m dns 4.4.3 True False False 22m etcd 4.4.3 False False False 25s image-registry 4.4.3 True False False 16m ingress 4.4.3 True False False 16m insights 4.4.3 True False False 17m kube-apiserver 4.4.3 True False False 19m kube-controller-manager 4.4.3 True False False 20m kube-scheduler 4.4.3 True False False 20m kube-storage-version-migrator 4.4.3 True False False 16m machine-api 4.4.3 True False False 22m machine-config 4.4.3 True False False 22m marketplace 4.4.3 True False False 16m monitoring 4.4.3 True False False 10m network 4.4.3 True False False 23m node-tuning 4.4.3 True False False 23m openshift-apiserver 4.4.3 True False False 17m openshift-controller-manager 4.4.3 True False False 15m openshift-samples 4.4.3 True False False 16m operator-lifecycle-manager 4.4.3 True False False 22m operator-lifecycle-manager-catalog 4.4.3 True False False 22m operator-lifecycle-manager-packageserver 4.4.3 True False False 18m service-ca 4.4.3 True False False 23m service-catalog-apiserver 4.4.3 True False False 23m service-catalog-controller-manager 4.4.3 True False False 23m storage 4.4.3 True False False 17m
当所有集群 Operator 状态都是
AVAILABLE时,您可以完成安装。监控集群完成:
$ ./openshift-install --dir=<installation_directory> wait-for install-complete 1 INFO Waiting up to 30m0s for the cluster to initialize...- 1
- 对于
<installation_directory>,请指定安装文件保存到的目录的路径。
Cluster Version Operator 完成从 Kubernetes API 服务器部署 OpenShift Container Platform 集群时,命令运行成功。
重要安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书,然后在过期时进行续订。如果在更新证书前关闭集群,且集群在 24 小时后重启,集群会自动恢复过期的证书。一个例外情况是,您需要手动批准待处理的
node-bootstrapper证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息,请参阅从过期的 control plane 证书中恢复的文档。确认 Kubernetes API 服务器正在与 pod 通信。
要查看所有 pod 的列表,请使用以下命令:
$ oc get pods --all-namespaces NAMESPACE NAME READY STATUS RESTARTS AGE openshift-apiserver-operator openshift-apiserver-operator-85cb746d55-zqhs8 1/1 Running 1 9m openshift-apiserver apiserver-67b9g 1/1 Running 0 3m openshift-apiserver apiserver-ljcmx 1/1 Running 0 1m openshift-apiserver apiserver-z25h4 1/1 Running 0 2m openshift-authentication-operator authentication-operator-69d5d8bf84-vh2n8 1/1 Running 0 5m ...
使用以下命令,查看上一命令的输出中所列 pod 的日志:
$ oc logs <pod_name> -n <namespace> 1- 1
- 指定 pod 名称和命名空间,如上一命令的输出中所示。
如果 pod 日志显示,Kubernetes API 服务器可以与集群机器通信。
