7.7. 重新创建 KataConfig 自定义资源

您必须为机密容器重新创建 KataConfig 自定义资源(CR)。

重要

创建 KataConfig CR 会自动重启 worker 节点。重启可能需要 10 到 60 分钟。妨碍重启时间的因素如下：

带有更多 worker 节点的大型 OpenShift Container Platform 部署。
激活 BIOS 和 Diagnostics 实用程序。
在硬盘而不是 SSD 上部署。
在物理节点上部署，如裸机，而不是在虚拟节点上部署。
CPU 和网络较慢。

先决条件

您可以使用具有 cluster-admin 角色的用户访问集群。

流程

根据以下示例创建 example-kataconfig.yaml 清单文件：

apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: example-kataconfig
spec:
  enablePeerPods: true
  logLevel: info
#  kataConfigPoolSelector:
#    matchLabels:
#      <label_key>: '<label_value>' 1

1: 可选：如果您应用了节点标签在特定节点上安装 kata-remote，请指定键和值，例如 cc: 'true'。

运行以下命令来创建 KataConfig CR：
```
$ oc apply -f example-kataconfig.yaml
```
新的 KataConfig CR 被创建，并在 worker 节点上作为运行时类安装 kata-remote。
在验证安装前，等待 kata-remote 安装完成，以及 worker 节点重新引导。
运行以下命令监控安装进度：
```
$ watch "oc describe kataconfig | sed -n /^Status:/,/^Events/p"
```
安装 kataNodes 下所有 worker 的状态并且条件 InProgress 为 False 时，而不指定原因，则会在集群中安装 kata-remote。

运行以下命令，验证您是否已构建对等 pod 镜像并将其上传到 libvirt 卷中：

$ oc describe configmap peer-pods-cm -n openshift-sandboxed-containers-operator

输出示例

Name: peer-pods-cm
Namespace: openshift-sandboxed-containers-operator
Labels: <none>
Annotations: <none>

Data
====
CLOUD_PROVIDER: libvirt
DISABLECVM: false 1
LIBVIRT_IMAGE_ID: fa-pp-vol 2

BinaryData
====
Events: <none>

1: 在 IBM Secure Execution 中为 Operator 构建的镜像启用机密虚拟机。
2: 如果您构建了对等 pod 镜像并将其上传到 libvirt 卷，则包含一个值。

运行以下命令，监控 kata-oc 机器配置池进度，以确保它处于 UPDATED 状态，当 UPDATED MACHINECOUNT 等于 MACHINECOUNT 时：
```
$ watch oc get mcp/kata-oc
```

运行以下命令验证守护进程集：

$ oc get -n openshift-sandboxed-containers-operator ds/peerpodconfig-ctrl-caa-daemon

运行以下命令验证运行时类：

$ oc get runtimeclass

输出示例

NAME             HANDLER          AGE
kata             kata             152m
kata-remote      kata-remote      152m

7.7. 重新创建 KataConfig 自定义资源

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links