3.12. 创建断开连接的 registry

流程

1. 打开 registry 节点上的防火墙端口：

   $ sudo firewall-cmd --add-port=5000/tcp --zone=libvirt  --permanent

   Copy to Clipboard Toggle word wrap

   $ sudo firewall-cmd --add-port=5000/tcp --zone=public   --permanent

   Copy to Clipboard Toggle word wrap

   $ sudo firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

2. 为 registry 节点安装所需的软件包：

   $ sudo yum -y install python3 podman httpd httpd-tools jq

   Copy to Clipboard Toggle word wrap

3. 创建保存存储库信息的目录结构：

   $ sudo mkdir -p /opt/registry/{auth,certs,data}

   Copy to Clipboard Toggle word wrap

流程

1. 查看 OpenShift Container Platform 下载页面，以确定您要安装的 OpenShift Container Platform 版本，并决定 Repository Tags 页中的相应标签（tag）。

2. 设置所需的环境变量：

   1. 导出发行版本信息：

      $ OCP_RELEASE=<release_version>

      Copy to Clipboard Toggle word wrap

      对于 <release_version>，请指定与 OpenShift Container Platform 版本对应的标签，用于您的架构，如 4.5.4。

   2. 导出本地 registry 名称和主机端口：

      $ LOCAL_REGISTRY='<local_registry_host_name>:<local_registry_host_port>'

      Copy to Clipboard Toggle word wrap

      对于 <local_registry_host_name>，请指定镜像存储库的 registry 域名；对于 <local_registry_host_port>，请指定用于提供内容的端口。

   3. 导出本地存储库名称：

      $ LOCAL_REPOSITORY='<local_repository_name>'

      Copy to Clipboard Toggle word wrap

      对于 <local_repository_name>，请指定要在 registry 中创建的仓库名称，如 ocp4/openshift4。

   4. 导出要进行镜像的存储库名称：

      $ PRODUCT_REPO='openshift-release-dev'

      Copy to Clipboard Toggle word wrap

      对于生产环境版本，必须指定 openshift-release-dev。

   5. 导出 registry pull secret 的路径：

      $ LOCAL_SECRET_JSON='<path_to_pull_secret>'

      Copy to Clipboard Toggle word wrap

      对于 <path_to_pull_secret>，请指定您创建的镜像 registry 的 pull secret 的绝对路径和文件名。

   6. 导出发行版本镜像：

      $ RELEASE_NAME="ocp-release"

      Copy to Clipboard Toggle word wrap

      对于生产环境版本，您必须指定 ocp-release。

   7. 为您的集群导出构架类型：

      $ ARCHITECTURE=<cluster_architecture> 

      1

      Copy to Clipboard Toggle word wrap

      1

      指定集群的构架，如 x86_64, aarch64, s390x, 获 ppc64le。

   8. 导出托管镜像的目录的路径：

      $ REMOVABLE_MEDIA_PATH=<path> 

      1

      Copy to Clipboard Toggle word wrap

      1

      指定完整路径，包括开始的前斜杠(/)字符。

3. 将版本镜像(mirror)到镜像 registry：

   • 如果您的镜像主机无法访问互联网，请执行以下操作：

     1. 将可移动介质连接到连接到互联网的系统。

     2. 查看要镜像的镜像和配置清单：

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON}  \
             --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \
             --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
             --to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} --dry-run

        Copy to Clipboard Toggle word wrap
     3. 记录上一命令输出中的 imageContentSources 部分。您的镜像信息与您的镜像存储库相对应，您必须在安装过程中将 imageContentSources 部分添加到 install-config.yaml 文件中。

     4. 将镜像镜像到可移动介质的目录中：

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE}

        Copy to Clipboard Toggle word wrap

     5. 将介质上传到受限网络环境中，并将镜像上传到本地容器 registry。

        $ oc image mirror -a ${LOCAL_SECRET_JSON} --from-dir=${REMOVABLE_MEDIA_PATH}/mirror "file://openshift/release:${OCP_RELEASE}*" ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} 

        1

        Copy to Clipboard Toggle word wrap

        1

        对于 REMOVABLE_MEDIA_PATH，您必须使用与镜像镜像时指定的同一路径。

   • 如果本地容器 registry 连接到镜像主机，请执行以下操作：

     1. 使用以下命令直接将发行版镜像推送到本地 registry:

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON}  \
             --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \
             --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
             --to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}

        Copy to Clipboard Toggle word wrap

        该命令将发行信息提取为摘要，其输出包括安装集群时所需的 imageContentSources 数据。

     2. 记录上一命令输出中的 imageContentSources 部分。您的镜像信息与您的镜像存储库相对应，您必须在安装过程中将 imageContentSources 部分添加到 install-config.yaml 文件中。

        注意

        镜像名称在镜像过程中被修补到 Quay.io， podman 镜像将在 bootstrap 虚拟机的 registry 中显示 Quay.io。

4. 要创建基于您镜像内容的安装程序，请提取内容并将其固定到发行版中：

   • 如果您的镜像主机无法访问互联网，请运行以下命令：

     $ oc adm release extract -a ${LOCAL_SECRET_JSON} --command=openshift-baremetal-install "${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}"

     Copy to Clipboard Toggle word wrap

   • 如果本地容器 registry 连接到镜像主机，请运行以下命令：

     $ oc adm release extract -a ${LOCAL_SECRET_JSON} --command=openshift-baremetal-install "${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}"

     Copy to Clipboard Toggle word wrap
     重要

     要确保将正确的镜像用于您选择的 OpenShift Container Platform 版本，您必须从镜像内容中提取安装程序。

     您必须在有活跃互联网连接的机器上执行这个步骤。

     如果您位于断开连接的环境中,请使用 --image 标志作为 must-gather 的一部分，指向有效负载镜像。

5. 对于使用安装程序置备的基础架构的集群，运行以下命令：

   $ openshift-baremetal-install

   Copy to Clipboard Toggle word wrap

流程

1. 将断开连接的 registry 节点的证书添加到 install-config.yaml 文件中：

   $ echo "additionalTrustBundle: |" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   证书应跟在 "additionalTrustBundle: |" 行后面，并正确缩进（通常为两个空格）。

   $ sed -e 's/^/  /' /opt/registry/certs/domain.crt >> install-config.yaml

   Copy to Clipboard Toggle word wrap

2. 将 registry 的镜像信息添加到 install-config.yaml 文件中：

   $ echo "imageContentSources:" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   $ echo "- mirrors:" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   $ echo "  - registry.example.com:5000/ocp4/openshift4" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   将 registry.example.com 替换为 registry 的完全限定域名。

   $ echo "  source: quay.io/openshift-release-dev/ocp-release" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   $ echo "- mirrors:" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   $ echo "  - registry.example.com:5000/ocp4/openshift4" >> install-config.yaml

   Copy to Clipboard Toggle word wrap

   将 registry.example.com 替换为 registry 的完全限定域名。

   $ echo "  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev" >> install-config.yaml

   Copy to Clipboard Toggle word wrap