1.7. 集群生命周期简介
multicluster engine operator 是集群生命周期 Operator,它为 OpenShift Container Platform 和 Red Hat Advanced Cluster Management hub 集群提供集群管理功能。multicluster engine operator 是一个软件 Operator,它增强了集群集管理,并支持跨云和数据中心的 OpenShift Container Platform 集群生命周期管理。您可以在没有 Red Hat Advanced Cluster Management 的情况下使用 multicluster engine operator。Red Hat Advanced Cluster Management 还自动安装多集群引擎 operator,并提供进一步的多集群功能。
请参阅以下文档:
1.7.1. 集群生命周期架构
集群生命周期需要两种类型的集群:hub 集群和受管集群。
hub 集群是带有 multicluster engine operator 的 OpenShift Container Platform (或 Red Hat Advanced Cluster Management)主集群。您可以使用 hub 集群创建、管理和监控其他 Kubernetes 集群。您可以使用 hub 集群创建集群,同时也可以导入现有集群由 hub 集群管理。
在创建受管集群时,集群会使用 Hive 资源的 Red Hat OpenShift Container Platform 集群安装程序创建集群。您可以通过阅读 OpenShift Container Platform 文档中的 安装和配置 OpenShift Container Platform 集群来查找有关使用 OpenShift Container Platform 安装程序安装集群的过程的更多信息。
下图显示了为集群管理的 multicluster engine 安装的组件:
集群生命周期管理架构的组件包括以下项目:
1.7.1.1. hub 集群
- 受管集群导入控制器将 klusterlet Operator 部署到受管集群。
- Hive 控制器使用 Kubernetes operator 的多集群引擎置备您创建的集群。Hive Controller 还销毁由 Kubernetes operator 的多集群引擎创建的受管集群。
- 集群 curator 控制器将 Ansible 作业创建为 pre-hook 或 post-hook,以便在创建或升级受管集群时配置集群基础架构环境。
- 当在 hub 集群中启用了受管集群附加组件时,会在 hub 集群中部署其 附加组件 hub 控制器。附加组件 hub 控制器将附加组件代理 部署到受管集群。
1.7.1.2. 受管集群(managed cluster)
- klusterlet Operator 在受管集群中部署注册和工作控制器。
Registration Agent 将受管集群和受管集群附加组件注册到 hub 集群。Registration Agent 还维护受管集群和受管集群附加组件的状态。以下权限会在 Clusterrole 中自动创建,以允许受管集群访问 hub 集群:
- 允许代理获取或更新 hub 集群管理的所有权集群
- 允许代理更新 hub 集群管理的拥有集群状态
- 允许代理轮转其证书
-
允许代理
get或updatecoordination.k8s.io租期 -
允许代理
get受管集群附加组件 - 允许代理更新其受管集群附加组件的状态
- 工作代理将 Add-on Agent 应用到受管集群。允许受管集群访问 hub 集群的权限会在 Clusterrole 中自动创建,并允许代理向 hub 集群发送事件。
要继续添加和管理集群,请参阅集群生命周期简介。
1.7.2. 发行镜像
构建集群时,请使用发行镜像指定的 Red Hat OpenShift Container Platform 版本。默认情况下,OpenShift Container Platform 使用 clusterImageSets 资源来获取支持的发行镜像列表。
继续阅读以了解更多有关发行镜像的信息:
1.7.2.1. 指定发行镜像
当使用 multicluster engine for Kubernetes operator 在供应商处创建集群时,请指定用于新集群的发行镜像。要指定发行镜像,请参阅以下主题:
1.7.2.1.1. 查找 ClusterImageSets
引用发行镜像的 YAML 文件在 acm-hive-openshift-releases GitHub 仓库中维护。这些文件用于在控制台中创建可用发行镜像的列表。这包括 OpenShift Container Platform 的最新快速频道镜像。
控制台仅显示三个 OpenShift Container Platform 最新版本的最新发行镜像。例如,您可能在控制台选项中看到以下发行镜像:
quay.io/openshift-release-dev/ocp-release:4.15.1-x86_64
控制台会显示最新版本,以帮助您使用最新发行镜像创建集群。如果您需要创建特定版本的集群,也可使用旧的发行镜像版本。
注: 您只能在控制台中创建集群时选择带有 visible: 'true' 标签的镜像。ClusterImageSet 资源中的此标签示例在以下内容中提供。将 4.x.1 替换为该产品的当前版本:
apiVersion: hive.openshift.io/v1
kind: ClusterImageSet
metadata:
labels:
channel: fast
visible: 'true'
name: img4.x.1-x86-64-appsub
spec:
releaseImage: quay.io/openshift-release-dev/ocp-release:4.x.1-x86_64存储了额外的发行镜像,但无法在控制台中看到。要查看所有可用发行镜像,请运行以下命令:
oc get clusterimageset
存储库具有 clusterImageSets 目录,这是您在使用发行镜像时使用的目录。clusterImageSets 目录具有以下目录:
- Fast:包含引用每个支持的 OpenShift Container Platform 版本最新版本的发行镜像的文件。此目录中的发行镜像经过测试、验证和支持。
Releases:包含引用每个 OpenShift Container Platform 版本(stable、fast 和 candidate 频道)的所有发行镜像的文件。
注意:这些发行版本尚未全部经过测试并确定是稳定的。
stable :包含引用每个支持的 OpenShift Container Platform 版本的最新两个稳定发行镜像版本的文件。
注: 默认情况下,当前发行镜像列表每小时更新一次。升级产品后,列表最多可能需要一小时,以反映该产品的新版本的建议发行镜像版本。
1.7.2.1.2. 配置 ClusterImageSets
您可以使用以下选项配置 ClusterImageSets :
选项 1: 要在控制台中创建集群,请指定您要我们的特定
ClusterImageSet的镜像引用。您指定的每个新条目都会保留,并可用于将来的所有集群。详情请参阅以下示例条目:quay.io/openshift-release-dev/ocp-release:4.6.8-x86_64
-
选项 2:手动创建,应用来自
acm-hive-openshift-releasesGitHub 仓库的ClusterImageSetsYAML 文件。 -
选项 3: 要从 fork 的 GitHub 仓库中启用
ClusterImageSets的自动更新,请按照 cluster-image-set-controller GitHub 仓库中的README.md进行操作。
1.7.2.1.3. 创建发行镜像以在不同构架中部署集群
您可以通过手动创建具有这两个架构文件的发行镜像,在与 hub 集群架构不同的架构中创建集群。
例如,您可以从 ppc64le、aarch64 或 s390x 架构上运行的 hub 集群创建一个 x86_64 集群。如果使用两组文件创建发行镜像,集群创建成功,因为新发行镜像启用 OpenShift Container Platform 发行 registry 来提供多架构镜像清单。
OpenShift Container Platform 默认支持多个架构。您可以使用以下 clusterImageSet 来置备集群。将 4.x.0 替换为当前支持的版本:
apiVersion: hive.openshift.io/v1
kind: ClusterImageSet
metadata:
labels:
channel: fast
visible: 'true'
name: img4.x.0-multi-appsub
spec:
releaseImage: quay.io/openshift-release-dev/ocp-release:4.x.0-multi要为不支持多个架构的 OpenShift Container Platform 镜像创建发行镜像,请完成类似以下示例的步骤:
在 OpenShift Container Platform release registry 中,创建一个 清单列表,其中包含
x86_64、s390x、aarch64和ppc64le发行镜像。通过运行以下示例命令,从 Quay 存储库拉取 环境中这两个架构的清单列表。将
4.x.1替换为该产品的当前版本:podman pull quay.io/openshift-release-dev/ocp-release:4.x.1-x86_64 podman pull quay.io/openshift-release-dev/ocp-release:4.x.1-ppc64le podman pull quay.io/openshift-release-dev/ocp-release:4.x.1-s390x podman pull quay.io/openshift-release-dev/ocp-release:4.x.1-aarch64
运行以下命令,登录到您维护镜像的私有存储库。将
<private-repo> 替换为存储库的路径:podman login <private-repo>
运行以下命令,将发行镜像清单添加到私有存储库中。将
4.x.1替换为该产品的当前版本。将<private-repo> 替换为存储库的路径:podman push quay.io/openshift-release-dev/ocp-release:4.x.1-x86_64 <private-repo>/ocp-release:4.x.1-x86_64 podman push quay.io/openshift-release-dev/ocp-release:4.x.1-ppc64le <private-repo>/ocp-release:4.x.1-ppc64le podman push quay.io/openshift-release-dev/ocp-release:4.x.1-s390x <private-repo>/ocp-release:4.x.1-s390x podman push quay.io/openshift-release-dev/ocp-release:4.x.1-aarch64 <private-repo>/ocp-release:4.x.1-aarch64
运行以下命令,为新信息创建清单:
podman manifest create mymanifest
运行以下命令,将两个发行镜像的引用添加到清单列表中。将
4.x.1替换为该产品的当前版本。将<private-repo> 替换为存储库的路径:podman manifest add mymanifest <private-repo>/ocp-release:4.x.1-x86_64 podman manifest add mymanifest <private-repo>/ocp-release:4.x.1-ppc64le podman manifest add mymanifest <private-repo>/ocp-release:4.x.1-s390x podman manifest add mymanifest <private-repo>/ocp-release:4.x.1-aarch64
运行以下命令,将清单列表中的列表与现有清单合并。将
<private-repo> 替换为存储库的路径。将4.x.1替换为当前版本:podman manifest push mymanifest docker://<private-repo>/ocp-release:4.x.1
在 hub 集群中,创建一个发行版本镜像来引用存储库中的清单。
创建一个 YAML 文件,其中包含类似以下示例的信息。将
<private-repo> 替换为存储库的路径。将4.x.1替换为当前版本:apiVersion: hive.openshift.io/v1 kind: ClusterImageSet metadata: labels: channel: fast visible: "true" name: img4.x.1-appsub spec: releaseImage: <private-repo>/ocp-release:4.x.1在 hub 集群中运行以下命令以应用更改。将 <
;file-name> 替换为您在上一步中创建的 YAML 文件的名称:oc apply -f <file-name>.yaml
- 在创建 OpenShift Container Platform 集群时选择新的发行镜像。
- 如果使用 Red Hat Advanced Cluster Management 控制台部署受管集群,在集群创建过程中在 Architecture 字段中指定受管集群的架构。
创建流程使用合并的发行镜像来创建集群。
1.7.2.1.4. 其他资源
- 有关引用发行镜像的 YAML 文件,请参阅 acm-hive-openshift-releases GitHub 仓库。
-
请参阅 cluster-image-set-controller GitHub 存储库,了解如何启用来自 fork 的 GitHub 仓库的
ClusterImageSets资源的自动更新。
1.7.2.2. 连接时维护自定义的发行镜像列表
您可能想要在所有集群中使用相同的发行镜像。为简化操作,您可以创建自己的自定义列表,在其中包含创建集群时可用的发行镜像。完成以下步骤以管理可用发行镜像:
- 对 acm-hive-openshift-releases GitHub 进行分叉。
-
为创建集群时可用的镜像添加 YAML 文件。使用 Git 控制台或终端将镜像添加到
./clusterImageSets/stable/或./clusterImageSets/fast/目录中。 -
在
multicluster-engine命名空间中创建一个名为cluster-image-set-git-repo的ConfigMap。请参见以下示例,但将2.x替换为 2.7:
apiVersion: v1 kind: ConfigMap metadata: name: cluster-image-set-git-repo namespace: multicluster-engine data: gitRepoUrl: <forked acm-hive-openshift-releases repository URL> gitRepoBranch: backplane-<2.x> gitRepoPath: clusterImageSets channel: <fast or stable>
您可以按照以下流程将更改合并到已分叉的存储库,从主存储库检索可用的 YAML 文件:
- 将更改提交并合并到您的已分叉仓库。
-
要在克隆
acm-hive-openshift-releases仓库后同步 fast 发行镜像列表,请将cluster-image-set-git-repoConfigMap中的 channel 字段的值更新为fast。 -
要同步并显示 stable 发行镜像,请将
cluster-image-set-git-repoConfigMap中的 channel 字段的值更新为stable。
更新 ConfigMap 后,可用稳定镜像列表会在约一分钟内更新为当前可用镜像。
您可以使用以下命令列出可用内容并删除默认值。将
<clusterImageSet_NAME>替换为正确的名称:oc get clusterImageSets oc delete clusterImageSet <clusterImageSet_NAME>
在创建集群时,在控制台中查看当前可用发行镜像的列表。
有关通过 ConfigMap 提供的其他字段的信息,请查看 cluster-image-set-controller GitHub 仓库 README。
1.7.2.3. 断开连接时维护自定义的发行镜像列表
在某些情况下,当节点集群没有互联网连接时,您需要维护一个自定义的发行镜像列表。您可以创建自己的自定义列表,在其中包含创建集群时可用的发行镜像。完成以下步骤以在断开连接的情况下管理可用发行镜像:
- 当您位于连接的系统中时,进入 acm-hive-openshift-releases GitHub 仓库 来访问可用的集群镜像集。
-
将
clusterImageSets目录复制到可以访问断开连接的多集群引擎 operator 集群的系统中。 通过完成以下步骤,添加受管集群和带有集群镜像的断开连接的存储库之间的映射:
-
对于 OpenShift Container Platform 受管集群,请参阅配置镜像 registry 存储库镜像,以了解有关使用
ImageContentSourcePolicy对象完成映射的信息。 -
对于不是 OpenShift Container Platform 集群的受管集群,请使用
ManageClusterImageRegistry自定义资源定义来覆盖镜像集的位置。如需有关如何 为映射覆盖集群的信息,请参阅指定受管集群中的 registry 镜像。
-
对于 OpenShift Container Platform 受管集群,请参阅配置镜像 registry 存储库镜像,以了解有关使用
-
使用控制台或 CLI 为您希望在创建集群时可用的镜像添加 YAML 文件,以手动添加
clusterImageSetYAML 内容。 修改 OpenShift Container Platform 发行镜像的
clusterImageSetYAML 文件,以引用存储镜像的正确离线存储库。您的更新类似以下示例,其中spec.releaseImage使用发行镜像的离线镜像 registry,发行镜像由摘要引用:apiVersion: hive.openshift.io/v1 kind: ClusterImageSet metadata: labels: channel: fast name: img<4.x.x>-x86-64-appsub spec: releaseImage: IMAGE_REGISTRY_IPADDRESS_or__DNSNAME/REPO_PATH/ocp-release@sha256:073a4e46289be25e2a05f5264c8f1d697410db66b960c9ceeddebd1c61e58717- 确保在 YAML 文件中引用的离线镜像 registry 中载入镜像。
运行以下命令来获取镜像摘要:
oc adm release info <tagged_openshift_release_image> | grep "Pull From"
将
<tagged_openshift_release_image> 替换为受支持的 OpenShift Container Platform 版本标记的镜像。请参见以下示例输出:Pull From: quay.io/openshift-release-dev/ocp-release@sha256:69d1292f64a2b67227c5592c1a7d499c7d00376e498634ff8e1946bc9ccdddfe
如需了解更多有关镜像标签和摘要的信息,请参阅镜像流中的镜像。
通过为每个
YAML文件输入以下命令来创建每个 clusterImageSets:oc create -f <clusterImageSet_FILE>
将
clusterImageSet_FILE替换为集群镜像集文件的名称。例如:oc create -f img4.11.9-x86_64.yaml
为要添加的每个资源运行此命令后,可用发行镜像列表可用。
-
另外,您还可以将镜像 URL 直接粘贴到创建集群控制台中。如果镜像 URL 不存在,则添加镜像 URL 会创建新的
clusterImageSets。 - 在创建集群时,在控制台中查看当前可用发行镜像的列表。
1.7.3. 创建集群
了解如何使用多集群引擎 operator 在云供应商中创建 Red Hat OpenShift Container Platform 集群。
multicluster engine operator 使用 OpenShift Container Platform 提供的 Hive operator 为除内部集群和托管 control plane 以外的所有供应商置备集群。在置备内部集群时,多集群引擎 operator 使用 OpenShift Container Platform 提供的中央基础架构管理和辅助安装程序功能。托管 control plane 托管的集群使用 HyperShift operator 置备。
1.7.3.1. 使用 CLI 创建集群
Kubernetes operator 的多集群引擎使用内部 Hive 组件来创建 Red Hat OpenShift Container Platform 集群。请参阅以下信息以了解如何创建集群。
1.7.3.1.1. 先决条件
在创建集群前,您必须克隆 clusterImageSets 存储库,并将其应用到 hub 集群。请参见以下步骤:
运行以下命令来克隆,但将
2.x替换为 2.7:git clone https://github.com/stolostron/acm-hive-openshift-releases.git cd acm-hive-openshift-releases git checkout origin/backplane-<2.x>
运行以下命令将其应用到 hub 集群:
find clusterImageSets/fast -type d -exec oc apply -f {} \; 2> /dev/null
在创建集群时选择 Red Hat OpenShift Container Platform 发行镜像。
注: 如果使用 Nutanix 平台,请确保将 x86_64 架构用于 ClusterImageSet 资源中的 releaseImage,并将 visible 标签值设置为 'true'。请参见以下示例:
apiVersion: hive.openshift.io/v1
kind: ClusterImageSet
metadata:
labels:
channel: stable
visible: 'true'
name: img4.x.47-x86-64-appsub
spec:
releaseImage: quay.io/openshift-release-dev/ocp-release:4.x.47-x86_641.7.3.1.2. 使用 ClusterDeployment 创建集群
ClusterDeployment 是一个 Hive 自定义资源,用于控制集群的生命周期。
按照 使用 Hive 文档创建 ClusterDeployment 自定义资源并创建单个集群。
1.7.3.1.3. 使用 ClusterPool 创建集群
ClusterPool 也是用于创建多个集群的 Hive 自定义资源。
按照 集群池文档,使用 Hive ClusterPool API 创建集群。
1.7.3.2. 在集群创建过程中配置额外清单
您可以在创建集群的过程中配置额外的 Kubernetes 资源清单。如果您需要为配置网络或设置负载均衡器等场景配置额外清单,这可以提供帮助。
1.7.3.2.1. 前提条件
添加对 ClusterDeployment 资源的引用,该资源指定包含其他资源清单的配置映射资源。
注: ClusterDeployment 资源和配置映射必须位于同一命名空间中。
1.7.3.2.2. 使用示例在集群创建过程中配置额外清单
如果要使用带有资源清单的配置映射配置其他清单,请完成以下步骤:
创建 YAML 文件并添加以下示例内容:
kind: ConfigMap apiVersion: v1 metadata: name: <my-baremetal-cluster-install-manifests> namespace: <mynamespace> data: 99_metal3-config.yaml: | kind: ConfigMap apiVersion: v1 metadata: name: metal3-config namespace: openshift-machine-api data: http_port: "6180" provisioning_interface: "enp1s0" provisioning_ip: "172.00.0.3/24" dhcp_range: "172.00.0.10,172.00.0.100" deploy_kernel_url: "http://172.00.0.3:6180/images/ironic-python-agent.kernel" deploy_ramdisk_url: "http://172.00.0.3:6180/images/ironic-python-agent.initramfs" ironic_endpoint: "http://172.00.0.3:6385/v1/" ironic_inspector_endpoint: "http://172.00.0.3:5150/v1/" cache_url: "http://192.168.111.1/images" rhcos_image_url: "https://releases-art-rhcos.svc.ci.openshift.org/art/storage/releases/rhcos-4.3/43.81.201911192044.0/x86_64/rhcos-43.81.201911192044.0-openstack.x86_64.qcow2.gz"注: 示例
ConfigMap包含带有另一个ConfigMap资源的清单。资源清单ConfigMap可以包含多个键,并在以下模式中添加资源配置data.<resource_name>\.yaml。运行以下命令来应用该文件:
oc apply -f <filename>.yaml
如果要使用
ClusterDeployment通过引用资源清单ConfigMap配置其他清单,请完成以下步骤:创建 YAML 文件并添加以下示例内容。资源清单
ConfigMap在spec.provisioning.manifestsConfigMapRef中引用:apiVersion: hive.openshift.io/v1 kind: ClusterDeployment metadata: name: <my-baremetal-cluster> namespace: <mynamespace> annotations: hive.openshift.io/try-install-once: "true" spec: baseDomain: test.example.com clusterName: <my-baremetal-cluster> controlPlaneConfig: servingCertificates: {} platform: baremetal: libvirtSSHPrivateKeySecretRef: name: provisioning-host-ssh-private-key provisioning: installConfigSecretRef: name: <my-baremetal-cluster-install-config> sshPrivateKeySecretRef: name: <my-baremetal-hosts-ssh-private-key> manifestsConfigMapRef: name: <my-baremetal-cluster-install-manifests> imageSetRef: name: <my-clusterimageset> sshKnownHosts: - "10.1.8.90 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXvVVVKUYVkuyvkuygkuyTCYTytfkufTYAAAAIbmlzdHAyNTYAAABBBKWjJRzeUVuZs4yxSy4eu45xiANFIIbwE3e1aPzGD58x/NX7Yf+S8eFKq4RrsfSaK2hVJyJjvVIhUsU9z2sBJP8=" pullSecretRef: name: <my-baremetal-cluster-pull-secret>运行以下命令来应用该文件:
oc apply -f <filename>.yaml
1.7.3.3. 在 Amazon Web Services 上创建集群
您可以使用 multicluster engine operator 控制台在 Amazon Web Services (AWS)上创建 Red Hat OpenShift Container Platform 集群。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 AWS 上安装 有关流程的更多信息。
1.7.3.3.1. 先决条件
在 AWS 上创建集群前请查看以下先决条件:
- 您必须已部署 hub 集群。
- 您需要 AWS 凭证。如需更多信息,请参阅为 Amazon Web Services 创建凭证。
- 您在 AWS 中需要配置的域。有关如何配置域的说明,请参阅配置 AWS 帐户。
- 您需要具有 Amazon Web Services (AWS) 登录凭证,其中包括用户名、密码、访问密钥 ID 和 secret 访问密钥。请参阅了解和获取您的安全凭证。
您必须具有 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
注: 如果您在云供应商中更改云供应商访问密钥,您还需要在控制台中手动更新与云供应商对应的凭证。当凭证在托管受管集群的云供应商过期并尝试删除受管集群时,需要此项。
1.7.3.3.2. 创建 AWS 集群
请参阅以下有关创建 AWS 集群的重要信息:
-
当您在创建集群前查看信息并选择性地自定义它时,您可以选择 YAML: On 查看面板中的
install-config.yaml文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。 - 在创建集群时,控制器会为集群和资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。
- 销毁集群 会删除命名空间和所有资源。
-
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有
cluster-admin权限,则必须选择一个具有clusterset-admin权限的集群集。 -
如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供
clusterset-admin权限。 -
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给
ManagedClusterSet,则会自动添加到default受管集群集中。 - 如果已有与您使用 AWS 帐户配置的所选凭证关联的基本 DNS 域,则该值会在字段中填充。您可以修改它的值来覆盖它。此名称用于集群的主机名。
- 发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。从可用的镜像列表中选择镜像。如果要使用的镜像不可用,您可以输入您要使用的镜像的 URL。
节点池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。该信息包括以下字段:
- region:指定您要节点池的区域。
- CPU 架构:如果受管集群的架构类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
- Zones:指定您要运行 control plane 池的位置。您可以为更分布式的 control plane 节点选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- 实例类型:指定 control plane 节点的实例类型。您可以在实例创建后更改实例的类型和大小。
- 根存储:指定要为集群分配的 root 存储量。
您可以在 worker 池中创建零个或多个 worker 节点,以运行集群的容器工作负载。这可以位于单个 worker 池中,也可以分布到多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。可选信息包括以下字段:
- Zones:指定您要运行 worker 池的位置。您可以为更加分散的节点组群选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- 实例类型:指定 worker 池的实例类型。您可以在实例创建后更改实例的类型和大小。
- 节点数:指定 worker 池的节点计数。定义 worker 池时需要此设置。
- 根存储:指定分配给 worker 池的根存储量。定义 worker 池时需要此设置。
- 集群需要网络详情,并使用 IPv6 需要多个网络。您可以通过点 Add network 来添加额外网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理:指定应用作
HTTP流量的代理的 URL。 -
HTTPS 代理:指定用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用相同的值HTTP Proxy URL,用于HTTP和HTTPS。 -
没有代理站点:一个以逗号分隔的站点列表,用于绕过代理。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
-
HTTP 代理:指定应用作
1.7.3.3.3. 使用控制台创建集群
要创建新集群,请参阅以下流程。如果您有一个要导入的现有集群,请参阅集群 导入。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine operator 管理自动配置。
- 进入 Infrastructure > Clusters。
- 在 Clusters 页面上。点 Cluster > Create cluster 并完成控制台中的步骤。
- 可选: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果您需要创建凭证,请参阅为 Amazon Web Services 创建凭证。
集群的主机名用于集群的主机名。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
1.7.3.3.4. 其他资源
- 在创建 AWS GovCloud 集群时使用 AWS 私有配置信息。有关 在该环境中创建集群的信息,请参阅在 Amazon Web Services GovCloud 上创建集群。
- 如需更多信息 ,请参阅配置 AWS 帐户。
- 有关发行镜像的更多信息,请参阅发行镜像。
- 通过访问您的云供应商站点(如 AWS 通用目的实例),找到有关支持的即时类型的更多信息。
1.7.3.4. 在 Amazon Web Services GovCloud 上创建集群
您可以使用控制台在 Amazon Web Services (AWS)或 AWS GovCloud 上创建 Red Hat OpenShift Container Platform 集群。此流程解释了如何在 AWS GovCloud 上创建集群。有关在 AWS 上创建集群的说明,请参阅在 Amazon Web Services 上创建集群。
AWS GovCloud 提供满足在云上存储政府文档所需的额外要求。在 AWS GovCloud 上创建集群时,您必须完成额外的步骤来准备您的环境。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 AWS 上安装集群到一个政府区域。以下小节提供了在 AWS GovCloud 上创建集群的步骤:
1.7.3.4.1. 先决条件
创建 AWS GovCloud 集群前必须满足以下先决条件:
- 您必须具有 AWS 登录凭证,其中包括用户名、密码、访问密钥 ID 和 secret 访问密钥。请参阅了解和获取您的安全凭证。
- 您需要 AWS 凭证。如需更多信息,请参阅为 Amazon Web Services 创建凭证。
- 您在 AWS 中需要配置的域。有关如何配置域的说明,请参阅配置 AWS 帐户。
- 您必须具有 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
- 您必须具有带有 hub 集群的现有 Red Hat OpenShift Container Platform 集群的 Amazon Virtual Private Cloud (VPC)。此 VPC 必须与用于受管集群资源或受管集群的服务端点的 VPC 不同。
- 您需要部署受管集群资源的 VPC。这不能与用于 hub 集群或受管集群的服务端点的 VPC 相同。
- 您需要一个或多个提供受管集群服务端点的 VPC。这不能与用于 hub 集群或受管集群的 VPC 相同。
- 确保由无类别域间路由(CIDR)指定的 VPC 的 IP 地址不会重叠。
-
您需要一个
HiveConfig自定义资源来引用 Hive 命名空间中的凭证。此自定义资源必须有权访问为受管集群服务端点创建的 VPC 上创建资源。
注: 如果您在云供应商中更改了云供应商访问密钥,则需要在 multicluster engine operator 控制台中手动更新云供应商的对应凭证。当凭证在托管受管集群的云供应商过期并尝试删除受管集群时,需要此项。
1.7.3.4.2. 配置 Hive 以在 AWS GovCloud 上部署
虽然在 AWS GovCloud 上创建集群时与在标准 AWS 上创建集群几乎相同,但您必须完成一些额外的步骤,以便在 AWS GovCloud 上为集群准备 AWS PrivateLink。
1.7.3.4.2.1. 为资源和端点创建 VPC
如先决条件中所示,除了包含 hub 集群的 VPC 外,还需要两个 VPC。有关创建 VPC 的具体步骤,请参阅 Amazon Web Services 文档中的创建 VPC。
- 使用专用子网为受管集群创建 VPC。
- 使用专用子网为受管集群服务端点创建一个或多个 VPC。区域中的每个 VPC 的限制是 255 VPC 端点,因此您需要多个 VPC 来支持该区域中的 255 多个集群。
对于每个 VPC,在区域的所有支持的可用区中创建子网。由于控制器要求,每个子网必须至少有 255 个可用的 IP 地址。
以下示例演示了如何在
us-gov-east-1区域中存在 6 个可用区的 VPC 结构子网:vpc-1 (us-gov-east-1) : 10.0.0.0/20 subnet-11 (us-gov-east-1a): 10.0.0.0/23 subnet-12 (us-gov-east-1b): 10.0.2.0/23 subnet-13 (us-gov-east-1c): 10.0.4.0/23 subnet-12 (us-gov-east-1d): 10.0.8.0/23 subnet-12 (us-gov-east-1e): 10.0.10.0/23 subnet-12 (us-gov-east-1f): 10.0.12.0/2
vpc-2 (us-gov-east-1) : 10.0.16.0/20 subnet-21 (us-gov-east-1a): 10.0.16.0/23 subnet-22 (us-gov-east-1b): 10.0.18.0/23 subnet-23 (us-gov-east-1c): 10.0.20.0/23 subnet-24 (us-gov-east-1d): 10.0.22.0/23 subnet-25 (us-gov-east-1e): 10.0.24.0/23 subnet-26 (us-gov-east-1f): 10.0.28.0/23
- 确保所有 hub 环境(hub 集群 VPC)都与您为使用 peering、传输网关和所有 DNS 设置的 VPC 创建的 VPC 有网络连接。
- 收集解析 AWS PrivateLink 的 DNS 设置所需的 VPC 列表,这是 AWS GovCloud 连接所必需的。这至少包括您要配置的多集群引擎 operator 实例的 VPC,可以包含存在各种 Hive 控制器的所有 VPC 列表。
1.7.3.4.2.2. 为 VPC 端点配置安全组
AWS 中的每个 VPC 端点都附加了一个安全组,用于控制对端点的访问。当 Hive 创建 VPC 端点时,它不会指定安全组。VPC 的默认安全组附加到 VPC 端点。VPC 的默认安全组必须具有规则来允许从 Hive 安装程序 pod 创建 VPC 端点的流量。详情请参阅 AWS 文档中的使用端点策略控制对 VPC 端点的访问。
例如,如果 Hive 在 hive-vpc (10.1.0.0/16) 中运行,则必须在 VPC 的默认安全组中有一个规则,其中创建 VPC 端点,允许从 ingress 10.1.0.0/16。
1.7.3.4.2.3. 为 AWS PrivateLink 设置权限
您需要多个凭证来配置 AWS PrivateLink。这些凭证所需的权限取决于凭证类型。
ClusterDeployment 的凭证需要以下权限:
ec2:CreateVpcEndpointServiceConfiguration ec2:DescribeVpcEndpointServiceConfigurations ec2:ModifyVpcEndpointServiceConfiguration ec2:DescribeVpcEndpointServicePermissions ec2:ModifyVpcEndpointServicePermissions ec2:DeleteVpcEndpointServiceConfigurations
端点 VPCs 帐户
.spec.awsPrivateLink.credentialsSecretRef的凭证需要以下权限:ec2:DescribeVpcEndpointServices ec2:DescribeVpcEndpoints ec2:CreateVpcEndpoint ec2:CreateTags ec2:DescribeNetworkInterfaces ec2:DescribeVPCs ec2:DeleteVpcEndpoints route53:CreateHostedZone route53:GetHostedZone route53:ListHostedZonesByVPC route53:AssociateVPCWithHostedZone route53:DisassociateVPCFromHostedZone route53:CreateVPCAssociationAuthorization route53:DeleteVPCAssociationAuthorization route53:ListResourceRecordSets route53:ChangeResourceRecordSets route53:DeleteHostedZone
HiveConfig自定义资源中指定的凭证,用于将 VPC 与私有托管区(.spec.awsPrivateLink.associatedVPCs[$idx].credentialsSecretRef)关联。VPC 所在的帐户需要以下权限:route53:AssociateVPCWithHostedZone route53:DisassociateVPCFromHostedZone ec2:DescribeVPCs
确保 hub 集群上的 Hive 命名空间中有一个凭证 secret。
HiveConfig 自定义资源需要引用 Hive 命名空间中的凭证,该凭证有权在特定提供的 VPC 中创建资源。如果您要在 AWS GovCloud 中置备 AWS 集群的凭证已在 Hive 命名空间中,则不需要创建另一个集群。如果您在 AWS GovCloud 中置备 AWS 集群的凭证还没有在 Hive 命名空间中,您可以替换您当前的凭证,或者在 Hive 命名空间中创建额外的凭证。
HiveConfig 自定义资源需要包含以下内容:
- 具有为给定 VPC 置备资源所需的权限的 AWS GovCloud 凭证。
OpenShift Container Platform 集群安装的 VPC 地址,以及受管集群的服务端点。
最佳实践: 将不同的 VPC 用于 OpenShift Container Platform 集群安装和服务端点。
以下示例显示了凭证内容:
spec:
awsPrivateLink:
## The list of inventory of VPCs that can be used to create VPC
## endpoints by the controller.
endpointVPCInventory:
- region: us-east-1
vpcID: vpc-1
subnets:
- availabilityZone: us-east-1a
subnetID: subnet-11
- availabilityZone: us-east-1b
subnetID: subnet-12
- availabilityZone: us-east-1c
subnetID: subnet-13
- availabilityZone: us-east-1d
subnetID: subnet-14
- availabilityZone: us-east-1e
subnetID: subnet-15
- availabilityZone: us-east-1f
subnetID: subnet-16
- region: us-east-1
vpcID: vpc-2
subnets:
- availabilityZone: us-east-1a
subnetID: subnet-21
- availabilityZone: us-east-1b
subnetID: subnet-22
- availabilityZone: us-east-1c
subnetID: subnet-23
- availabilityZone: us-east-1d
subnetID: subnet-24
- availabilityZone: us-east-1e
subnetID: subnet-25
- availabilityZone: us-east-1f
subnetID: subnet-26
## The credentialsSecretRef points to a secret with permissions to create.
## The resources in the account where the inventory of VPCs exist.
credentialsSecretRef:
name: <hub-account-credentials-secret-name>
## A list of VPC where various mce clusters exists.
associatedVPCs:
- region: region-mce1
vpcID: vpc-mce1
credentialsSecretRef:
name: <credentials-that-have-access-to-account-where-MCE1-VPC-exists>
- region: region-mce2
vpcID: vpc-mce2
credentialsSecretRef:
name: <credentials-that-have-access-to-account-where-MCE2-VPC-exists>
您可以从 endpointVPCInventory 列表中支持 AWS PrivateLink 的所有区域包含一个 VPC。控制器选择一个 VPC,它满足 ClusterDeployment 的要求。
如需更多信息,请参阅 Hive 文档。
1.7.3.4.3. 使用控制台创建集群
要从控制台创建集群,请导航到 Infrastructure > Clusters > Create cluster AWS > Standalone 并完成控制台中的步骤。
注: 此过程用于创建集群。如果您有一个要导入的现有集群,请参阅 集群导入。
如果创建了 AWS GovCloud 集群,则您选择的凭证必须有权访问 AWS GovCloud 区域中的资源。如果您有部署集群所需的权限,您可以使用 Hive 命名空间中已存在的 AWS GovCloud secret。控制台中会显示现有凭证。如果您需要创建凭证,请参阅为 Amazon Web Services 创建凭证。
集群的主机名用于集群的主机名。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
提示: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与您使用 AWS 或 AWS GovCloud 帐户配置的所选凭证关联的基本 DNS 域,则该值会在字段中填充。您可以修改它的值来覆盖它。此名称用于集群的主机名。如需更多信息 ,请参阅配置 AWS 帐户。
发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。有关发行镜像的更多信息,请参阅发行镜像。
节点池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。该信息包括以下字段:
-
Region :创建集群资源的区域。如果要在 AWS GovCloud 供应商中创建集群,您必须为节点池包含 AWS GovCloud 区域。例如,
us-gov-west-1。 - CPU 架构:如果受管集群的架构类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
- Zones:指定您要运行 control plane 池的位置。您可以为更分布式的 control plane 节点选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- 实例类型:为您的 control plane 节点指定实例类型,它必须与之前所示的 CPU 架构 相同。您可以在实例创建后更改实例的类型和大小。
- 根存储:指定要为集群分配的 root 存储量。
您可以在 worker 池中创建零个或多个 worker 节点,以运行集群的容器工作负载。它们可以位于单个 worker 池中,也可以分布在多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。可选信息包括以下字段:
- 池名称 :为您的池提供唯一名称。
- Zones:指定您要运行 worker 池的位置。您可以为更加分散的节点组群选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- 实例类型:指定 worker 池的实例类型。您可以在实例创建后更改实例的类型和大小。
- 节点数:指定 worker 池的节点计数。定义 worker 池时需要此设置。
- 根存储:指定分配给 worker 池的根存储量。定义 worker 池时需要此设置。
集群需要网络详情,并使用 IPv6 需要多个网络。对于 AWS GovCloud 集群,在 Machine CIDR 字段中输入 Hive VPC 的地址块的值。您可以通过点 Add network 来添加额外网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理 URL:指定应当用作
HTTP流量的代理的 URL。 -
HTTPS 代理 URL:指定用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用相同的值HTTP Proxy URL,用于HTTP和HTTPS。 -
无代理域:应当绕过代理的以逗号分隔的域列表。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
在创建 AWS GovCloud 集群或使用私有环境时,使用 AMI ID 和子网值完成 AWS 私有配置页面 中的字段。在 ClusterDeployment.yaml 文件中,确保将 spec:platform:aws:privateLink:enabled 的值设置为 true,该文件在选择 Use private configuration 时会自动设置。
当您在创建集群前查看信息并选择性地自定义它时,您可以选择 YAML: On 查看面板中的 install-config.yaml 文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine for Kubernetes operator 管理自动配置。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.5. 在 Microsoft Azure 上创建集群
您可以使用 multicluster engine operator 控制台在 Microsoft Azure 或 Microsoft Azure Government 上部署 Red Hat OpenShift Container Platform 集群。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 Azure 上安装 有关流程的更多信息。
1.7.3.5.1. 先决条件
在 Azure 上创建集群前请查看以下先决条件:
- 您必须已部署 hub 集群。
- 您需要一个 Azure 凭证。如需更多信息,请参阅为 Microsoft Azure 创建凭证。
- 您需要在 Azure 或 Azure Government 中配置了域。有关如何配置域的说明,请参阅为 Azure 云服务配置自定义域名。
- 您需要 Azure 登录凭证,其中包括用户名和密码。请参阅 Microsoft Azure Portal。
-
您需要 Azure 服务主体,其中包括
clientId、clientSecret和tenantId。请参阅 azure.microsoft.com。 - 您需要 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
注: 如果您在云供应商中更改了云供应商访问密钥,则需要在 multicluster engine operator 的控制台中手动更新云供应商对应的凭证。当凭证在托管受管集群的云供应商过期并尝试删除受管集群时,需要此项。
1.7.3.5.2. 使用控制台创建集群
要从多集群引擎 operator 控制台创建集群,请导航到 Infrastructure > Clusters。在 Clusters 页面上,点 Create cluster 并完成控制台中的步骤。
注: 此过程用于创建集群。如果您有一个要导入的现有集群,请参阅 集群导入。
如果您需要创建凭证,请参阅为 Microsoft Azure 创建凭证。
集群的主机名用于集群的主机名。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
提示: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与您为 Azure 帐户配置的所选凭证关联的基本 DNS 域,则该值会在那个字段中填充。您可以修改它的值来覆盖它。如需更多信息,请参阅为 Azure 云服务配置自定义域名。此名称用于集群的主机名。
发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。有关发行镜像的更多信息,请参阅发行镜像。
Node 池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。该信息包括以下可选字段:
- region:指定一个您要运行节点池的区域。您可以为更分布式的 control plane 节点选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- CPU 架构:如果受管集群的架构类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
您可以在创建集群后更改 control plane 池的实例类型和 Root 存储分配(必需)的类型和大小。
您可以在 worker 池中创建一个或多个 worker 节点,以运行集群的容器工作负载。它们可以位于单个 worker 池中,也可以分布在多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。该信息包括以下字段:
- Zones:指定您要运行 worker 池的位置。您可以为更加分散的节点组群选择区域中的多个区。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- 实例类型:您可以在实例创建后更改实例的类型和大小。
您可以通过点 Add network 来添加额外网络。如果您使用的是 IPv6 地址,您必须有多个网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理:用作
HTTP流量的代理的 URL。 -
HTTPS 代理 :用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用相同的值HTTP Proxy URL,用于HTTP和HTTPS。 -
无代理:应绕过代理的域列表。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
当您在创建集群前查看信息并选择性地自定义它时,您可以点 YAML 切换 On 查看面板中的 install-config.yaml 文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine operator 管理自动配置。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.6. 在 Google Cloud Platform 上创建集群
按照步骤在 Google Cloud Platform (GCP) 上创建 Red Hat OpenShift Container Platform 集群有关 GCP 的更多信息,请参阅 Google Cloud Platform。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 GCP 上安装 有关流程的更多信息。
1.7.3.6.1. 先决条件
在 GCP 上创建集群前请查看以下先决条件:
- 您必须已部署 hub 集群。
- 您必须具有 GCP 凭证。如需更多信息,请参阅为 Google Cloud Platform 创建凭证。
- 您必须在 GCP 中配置了域。有关如何配置域的说明,请参阅设置自定义域。
- 您需要 GCP 登录凭证,其中包括用户名和密码。
- 您必须具有 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
注: 如果您在云供应商中更改了云供应商访问密钥,则需要在 multicluster engine operator 的控制台中手动更新云供应商对应的凭证。当凭证在托管受管集群的云供应商过期并尝试删除受管集群时,需要此项。
1.7.3.6.2. 使用控制台创建集群
要从多集群引擎 operator 控制台创建集群,请导航到 Infrastructure > Clusters。在 Clusters 页面上,点 Create cluster 并完成控制台中的步骤。
注: 此过程用于创建集群。如果您有一个要导入的现有集群,请参阅 集群导入。
如果您需要创建凭证,请参阅为 Google Cloud Platform 创建凭证。
集群名称用于集群的主机名。在命名 GCP 集群时有一些限制。这些限制包括,名称不要以 goog 开始;名称的任何部分都不要包含与 google 类似的内容。如需了解完整的限制列表,请参阅 Bucket 命名指南。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
提示: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与 GCP 帐户所选凭证关联的基本 DNS 域,则该值会在字段中填充。您可以修改它的值来覆盖它。如需更多信息,请参阅设置自定义域。此名称用于集群的主机名。
发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。有关发行镜像的更多信息,请参阅发行镜像。
Node 池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。该信息包括以下字段:
- Region:指定您要运行 control plane 池的区域。距离更近的区域可能会提供更快的性能,但距离更远的区域可能更为分散。
- CPU 架构:如果受管集群的架构类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
您可以指定 control plane 池的实例类型。您可以在实例创建后更改实例的类型和大小。
您可以在 worker 池中创建一个或多个 worker 节点,以运行集群的容器工作负载。它们可以位于单个 worker 池中,也可以分布在多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。该信息包括以下字段:
- 实例类型:您可以在实例创建后更改实例的类型和大小。
- 节点数:定义 worker 池时需要此设置。
网络详细信息是必需的,需要使用 IPv6 地址的多个网络。您可以通过点 Add network 来添加额外网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理:用作
HTTP流量的代理的 URL。 -
HTTPS 代理 :用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用相同的值HTTP Proxy URL,用于HTTP和HTTPS。 -
没有代理站点:一个以逗号分隔的站点列表,用于绕过代理。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
当您在创建集群前查看信息并选择性地自定义它时,您可以选择 YAML: On 查看面板中的 install-config.yaml 文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine operator 管理自动配置。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.7. 在 VMware vSphere 上创建集群
您可以使用 multicluster engine operator 控制台在 VMware vSphere 上部署 Red Hat OpenShift Container Platform 集群。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 vSphere 上安装 有关流程的更多信息。
1.7.3.7.1. 先决条件
在 vSphere 上创建集群前请查看以下先决条件:
- 您必须具有在一个受支持的 OpenShift Container Platform 版本上部署的 hub 集群。
- 您需要 vSphere 凭证。如需更多信息,请参阅为 VMware vSphere 创建凭证。
- 您需要 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
您必须具有要部署的 VMware 实例的以下信息:
- API 和 Ingress 实例所需的静态 IP 地址
以下的 DNS 记录:
以下 API 基域必须指向静态 API VIP:
api.<cluster_name>.<base_domain>
以下应用程序基域必须指向 Ingress VIP 的静态 IP 地址:
*.apps.<cluster_name>.<base_domain>
1.7.3.7.2. 使用控制台创建集群
要从多集群引擎 operator 控制台创建集群,请导航到 Infrastructure > Clusters。在 Clusters 页面上,点 Create cluster 并完成控制台中的步骤。
注: 此过程用于创建集群。如果您有一个要导入的现有集群,请参阅 集群导入。
如果您需要创建凭证,请参阅为 VMware vSphere 创建凭证,以了解有关创建凭证的更多信息。
集群名称用于集群的主机名。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
提示: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与您为 vSphere 帐户配置的所选凭证关联的基域,则该值会在字段中填充。您可以修改它的值来覆盖它。如需更多信息 ,请参阅使用自定义在 vSphere 上安装集群。这个值必须与创建 prerequisites 部分中列出的 DNS 记录的名称匹配。此名称用于集群的主机名。
发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。有关发行镜像的更多信息,请参阅发行镜像。
注: 支持 OpenShift Container Platform 版本 4.15 及更新版本的发行镜像。
节点池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。该信息包括 CPU 架构 字段。查看以下字段描述:
- CPU 架构:如果受管集群的架构类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
您可以在 worker 池中创建一个或多个 worker 节点,以运行集群的容器工作负载。它们可以位于单个 worker 池中,也可以分布在多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。信息包括 每个插槽的内核数、CPU、Memory_min MiB、_Disk 大小(以 GiB 为单位)和 节点数 。
需要网络信息。使用 IPv6 需要多个网络。一些所需网络信息包括以下字段:
- vSphere 网络名:指定 VMware vSphere 网络名称。
API VIP:指定用于内部 API 通信的 IP 地址。
注: 这个值必须与您用来创建 prerequisites 部分中列出的 DNS 记录的名称匹配。如果没有提供,DNS 必须预先配置,以便
api.可以正确解析。Ingress VIP:指定用于入口流量的 IP 地址。
注: 这个值必须与您用来创建 prerequisites 部分中列出的 DNS 记录的名称匹配。如果没有提供,则必须预先配置 DNS,以便
test.apps可以被正确解析。
您可以通过点 Add network 来添加额外网络。如果您使用的是 IPv6 地址,您必须有多个网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理:指定应用作
HTTP流量的代理的 URL。 -
HTTPS 代理:指定用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用相同的值HTTP Proxy URL,用于HTTP和HTTPS。 -
无代理站点:提供应绕过代理的站点的逗号分隔列表。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
您可以点 Disconnected 安装来定义断开连接的安装镜像。当使用 Red Hat OpenStack Platform 供应商和断开连接的安装创建集群时,如果需要一个证书才能访问镜像 registry,在配置集群时需要在 Configuration for disconnected installation 段中的 Additional trust bundle 字段中输入它,在创建集群时在 Disconnected installation 段中输入它。
您可以点击 Add Automation template 来创建模板。
当您在创建集群前查看信息并选择性地自定义它时,您可以点 YAML 切换 On 查看面板中的 install-config.yaml 文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine operator 管理自动配置。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.8. 在 Red Hat OpenStack Platform 上创建集群
您可以使用 multicluster engine operator 控制台在 Red Hat OpenStack Platform 上部署 Red Hat OpenShift Container Platform 集群。
在创建集群时,创建过程使用 Hive 资源中的 OpenShift Container Platform 安装程序。如果在完成此步骤后集群创建有疑问,请参阅 OpenShift Container Platform 文档中的在 OpenStack 上安装 有关流程的更多信息。
1.7.3.8.1. 先决条件
在 Red Hat OpenStack Platform 上创建集群前请查看以下先决条件:
- 您必须在 OpenShift Container Platform 版本 4.6 或更高版本上部署了 hub 集群。
- 您必须具有 Red Hat OpenStack Platform 凭证。如需更多信息,请参阅为 Red Hat OpenStack Platform 创建凭证。
- 您需要 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
您要部署的 Red Hat OpenStack Platform 实例需要以下信息:
-
control plane 和 worker 实例的 flavor 名称,如
m1.xlarge - 外部网络的网络名称,以提供浮动 IP 地址
- API 和入口实例所需的浮动 IP 地址
以下的 DNS 记录:
以下 API 基域必须指向 API 的浮动 IP 地址:
api.<cluster_name>.<base_domain>
以下应用程序基域必须指向 ingress:app-name 的浮动 IP 地址:
*.apps.<cluster_name>.<base_domain>
-
control plane 和 worker 实例的 flavor 名称,如
1.7.3.8.2. 使用控制台创建集群
要从多集群引擎 operator 控制台创建集群,请导航到 Infrastructure > Clusters。在 Clusters 页面上,点 Create cluster 并完成控制台中的步骤。
注: 此过程用于创建集群。如果您有一个要导入的现有集群,请参阅 集群导入。
如果需要创建凭证,请参阅为 Red Hat OpenStack Platform 创建凭证。
集群的主机名用于集群的主机名。名称必须包含少于 15 个字符。这个值必须与创建凭证先决条件中列出的 DNS 记录的名称匹配。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
提示: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与您为 Red Hat OpenStack Platform 帐户配置的所选凭证关联的基本 DNS 域,则该值会在字段中填充。您可以修改它的值来覆盖它。如需更多信息,请参阅 Red Hat OpenStack Platform 文档中的管理域。此名称用于集群的主机名。
发行镜像标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。有关发行镜像的更多信息,请参阅发行镜像。仅支持 OpenShift Container Platform 版本 4.6.x 或更高版本的发行镜像。
节点池包括 control plane 池和 worker 池。control plane 节点共享集群活动的管理。如果受管集群的构架类型与 hub 集群的架构不同,请为池中机器的说明集合架构输入一个值。有效值为 amd64, ppc64le, s390x, 和 arm64。
您必须为 control plane 池添加实例类型,但您可以在实例创建后更改实例的类型和大小。
您可以在 worker 池中创建一个或多个 worker 节点,以运行集群的容器工作负载。它们可以位于单个 worker 池中,也可以分布在多个 worker 池中。如果指定了零个 worker 节点,control plane 节点也充当 worker 节点。该信息包括以下字段:
- 实例类型:您可以在实例创建后更改实例的类型和大小。
- 节点数:指定 worker 池的节点数。定义 worker 池时需要此设置。
集群需要网络详情。您必须为 IPv4 网络提供一个或多个网络的值。对于 IPv6 网络,您必须定义多个网络。
您可以通过点 Add network 来添加额外网络。如果您使用的是 IPv6 地址,您必须有多个网络。
凭证中提供的代理信息会自动添加到代理字段中。您可以使用信息原样,覆盖这些信息,或者在要启用代理时添加信息。以下列表包含创建代理所需的信息:
-
HTTP 代理:指定应用作
HTTP流量的代理的 URL。 -
HTTPS 代理 :用于
HTTPS流量的安全代理 URL。如果没有提供值,则使用与HTTP Proxy相同的值,用于HTTP和HTTPS。 -
No proxy :定义应绕过代理的站点列表。使用一个句点 (
.) 开始的域名,包含该域中的所有子域。添加一个星号*以绕过所有目的地的代理。 - 其他信任捆绑包:代理 HTTPS 连接所需的一个或多个额外 CA 证书。
您可以点 Disconnected 安装来定义断开连接的安装镜像。当使用 Red Hat OpenStack Platform 供应商和断开连接的安装创建集群时,如果需要一个证书才能访问镜像 registry,在配置集群时需要在 Configuration for disconnected installation 段中的 Additional trust bundle 字段中输入它,在创建集群时在 Disconnected installation 段中输入它。
当您在创建集群前查看信息并选择性地自定义它时,您可以点 YAML 切换 On 查看面板中的 install-config.yaml 文件内容。如果有更新,您可以使用自定义设置编辑 YAML 文件。
在创建使用内部证书颁发机构(CA)的集群时,您需要按照以下步骤自定义集群的 YAML 文件:
在 review 步骤中使用 YAML 切换,在列表的顶部插入带有 CA 证书捆绑包的
Secret对象。注: 如果 Red Hat OpenStack Platform 环境使用由多个授权机构签名的证书提供服务,则捆绑包必须包含证书以验证所有需要的端点。对名为ocp3的集群添加类似以下示例:apiVersion: v1 kind: Secret type: Opaque metadata: name: ocp3-openstack-trust namespace: ocp3 stringData: ca.crt: | -----BEGIN CERTIFICATE----- <Base64 certificate contents here> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Base64 certificate contents here> -----END CERTIFICATE----修改 Hive
ClusterDeployment对象,在spec.platform.openstack中指定 certificateSecretRef的值,如下例所示:platform: openstack: certificatesSecretRef: name: ocp3-openstack-trust credentialsSecretRef: name: ocp3-openstack-creds cloud: openstack前面的示例假定
clouds.yaml文件中的云名称为openstack。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
注: 您不必运行 oc 命令,它为导入集群提供集群详情。创建集群时,它由 multicluster engine operator 管理自动配置。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.9. 在内部环境中创建集群
您可以使用控制台创建内部 Red Hat OpenShift Container Platform 集群。集群可以是单节点 OpenShift 集群、多节点集群和紧凑的三节点集群,可以在 VMware vSphere、Red Hat OpenStack, Nutanix 或裸机环境中进行。
没有与安装集群的平台集成,因为平台值设置为 platform=none。单节点 OpenShift 集群仅包含一个节点,用于托管 control plane 服务和用户工作负载。当您要最小化集群资源占用空间时,此配置很有用。
您还可以使用零接触置备功能在边缘资源中置备多个单节点 OpenShift 集群,它是一个 Red Hat OpenShift Container Platform 提供的功能。有关零接触置备的更多信息,请参阅 OpenShift Container Platform 文档中的 网络边缘集群。
1.7.3.9.1. 先决条件
在内部环境中创建集群前需要满足以下先决条件:
- 您必须在受支持的 OpenShift Container Platform 版本中部署了 hub 集群。
- 您需要一个已配置的基础架构环境,其中含有配置的主机清单。
- 您必须对 hub 集群(连接)或者连接到连接到互联网(断开连接)的内部或镜像 registry 的连接,以检索创建集群所需的镜像。
- 您需要配置了内部凭证。
- 您需要 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
您需要以下 DNS 记录:
以下 API 基域必须指向静态 API VIP:
api.<cluster_name>.<base_domain>
以下应用程序基域必须指向 Ingress VIP 的静态 IP 地址:
*.apps.<cluster_name>.<base_domain>
1.7.3.9.2. 使用控制台创建集群
要从控制台创建集群,请完成以下步骤:
- 进入 Infrastructure > Clusters。
- 在 Clusters 页面上,点 Create cluster 并完成控制台中的步骤。
- 选择 Host inventory 作为集群的类型。
以下选项可用于您的支持安装:
- 使用现有的发现的主机 :从现有主机清单中的主机列表中选择您的主机。
- 发现新主机 :发现不在现有基础架构环境中的主机。发现您自己的主机,而不是使用已在基础架构环境中的主机。
如果您需要创建凭证,请参阅 为内部环境创建凭证。
集群的名称用于集群的主机名。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
注: 在控制台中输入信息时,选择 YAML: On 查看内容更新。
如果要将集群添加到现有的集群集中,则需要在集群设置上具有正确的权限来添加它。如果在创建集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集中没有正确的权限,集群创建会失败。如果您没有任何集群集选项,请联络您的集群管理员,为集群集提供 clusterset-admin 权限。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,则会自动添加到 default 受管集群集中。
如果已有与您为供应商帐户配置的所选凭证关联的基本 DNS 域,则该值会在那个字段中填充。您可以通过覆盖它来更改值,但创建集群后无法更改此设置。此基础域用于创建到 OpenShift Container Platform 集群组件的路由。它在集群供应商的 DNS 中被配置为授权起始(SOA)记录。
OpenShift 版本 标识用于创建集群的 OpenShift Container Platform 镜像的版本。如果要使用的版本可用,您可以从镜像列表中选择镜像。如果您要使用的镜像不是标准镜像,您可以输入您要使用的镜像的 URL。请参阅 发行镜像 以了解更多信息。
当您选择受支持的 OpenShift Container Platform 版本时,会显示一个选择 Install single-node OpenShift 的选项。单节点 OpenShift 集群仅包含一个节点,用于托管 control plane 服务和用户工作负载。请参阅 将主机扩展到 基础架构环境,以了解更多有关添加节点到单节点 OpenShift 集群的信息。
如果您希望集群是单节点 OpenShift 集群,请选择 单节点 OpenShift 选项。您可以通过完成以下步骤,向单节点 OpenShift 集群添加额外的 worker:
- 在控制台中,导航到 Infrastructure > Clusters,再选择您创建的或想要访问的集群的名称。
- 选择 Actions > Add hosts 来添加额外的 worker。
注: 单节点 OpenShift control plane 需要 8 个 CPU 内核,而多节点 control plane 集群的 control plane 节点只需要 4 个 CPU 内核。
查看并保存集群后,您的集群将保存为集群草稿。您可以通过在 Clusters 页面中选择集群名称来关闭创建过程,并在稍后完成该过程。
如果您使用的是现有主机,请选择是否要自行选择主机,还是自动选择它们。主机数量取决于您选择的节点数量。例如,单节点 OpenShift 集群只需要一个主机,而标准的三节点集群需要三个主机。
主机位置列表中显示了满足此集群要求的可用主机位置。对于主机的分发和更加高可用性的配置,请选择多个位置。
如果您发现没有现有基础架构环境的新主机,请使用 发现镜像完成将主机添加到主机清单 中的步骤。
绑定主机以及验证通过后,通过添加以下 IP 地址完成集群的网络信息:
API VIP:指定用于内部 API 通信的 IP 地址。
注: 这个值必须与您用来创建 prerequisites 部分中列出的 DNS 记录的名称匹配。如果没有提供,DNS 必须预先配置,以便
api.可以正确解析。Ingress VIP:指定用于入口流量的 IP 地址。
注: 这个值必须与您用来创建 prerequisites 部分中列出的 DNS 记录的名称匹配。如果没有提供,则必须预先配置 DNS,以便
test.apps可以被正确解析。
如果您使用 Red Hat Advanced Cluster Management for Kubernetes,并希望将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:配置 klusterlet 以在特定节点上运行 所需步骤。
您可以在 Clusters 导航页面中查看安装状态。
如需了解更多与访问集群相关的信息,继续访问集群。
1.7.3.9.3. 使用命令行创建集群
您还可以使用中央基础架构管理组件中的 Assisted Installer 功能在没有控制台的情况下创建集群。完成此步骤后,您可以从生成的发现镜像引导主机。该流程的顺序通常并不重要,但在有必要顺序时请注意。
1.7.3.9.3.1. 创建命名空间
您需要一个命名空间来用于资源。更方便地将所有资源保留在共享命名空间中。本例使用 sample-namespace 作为命名空间的名称,但您可以使用除 assisted-installer 以外的任何名称。通过创建并应用以下文件来创建命名空间:
apiVersion: v1 kind: Namespace metadata: name: sample-namespace
1.7.3.9.3.2. 将 pull secret 添加到命名空间中
通过创建并应用以下自定义资源,将 pull secret 添加到命名空间中:
apiVersion: v1
kind: Secret
type: kubernetes.io/dockerconfigjson
metadata:
name: <pull-secret>
namespace: sample-namespace
stringData:
.dockerconfigjson: 'your-pull-secret-json' 11.7.3.9.3.3. 创建 ClusterImageSet
通过创建并应用以下自定义资源,生成 CustomImageSet 以指定集群的 OpenShift Container Platform 版本:
apiVersion: hive.openshift.io/v1 kind: ClusterImageSet metadata: name: openshift-v4.15.0 spec: releaseImage: quay.io/openshift-release-dev/ocp-release:4.15.0-rc.0-x86_64
注: 如果安装了一个与 hub 集群不同的架构,则需要创建一个多架构 ClusterImageSet。如需更多信息,请参阅创建发行镜像以在不同的架构上部署集群。
1.7.3.9.3.4. 创建 ClusterDeployment 自定义资源
ClusterDeployment 自定义资源定义是一个控制集群生命周期的 API。它会在定义集群参数的 spec.ClusterInstallRef 设置中引用 AgentClusterInstall 自定义资源。
根据以下示例创建并应用 ClusterDeployment 自定义资源:
apiVersion: hive.openshift.io/v1
kind: ClusterDeployment
metadata:
name: single-node
namespace: demo-worker4
spec:
baseDomain: hive.example.com
clusterInstallRef:
group: extensions.hive.openshift.io
kind: AgentClusterInstall
name: test-agent-cluster-install 1
version: v1beta1
clusterName: test-cluster
controlPlaneConfig:
servingCertificates: {}
platform:
agentBareMetal:
agentSelector:
matchLabels:
location: internal
pullSecretRef:
name: <pull-secret> 2- 1
- 使用
AgentClusterInstall资源的名称。 - 2
- 使用您下载的 pull secret 将 pull secret 添加到命名空间。
1.7.3.9.3.5. 创建 AgentClusterInstall 自定义资源
在 AgentClusterInstall 自定义资源中,您可以指定集群的许多要求。例如,您可以指定集群网络设置、平台、control plane 数量和 worker 节点。
创建并添加类似以下示例的自定义资源:
apiVersion: extensions.hive.openshift.io/v1beta1 kind: AgentClusterInstall metadata: name: test-agent-cluster-install namespace: demo-worker4 spec: platformType: BareMetal 1 clusterDeploymentRef: name: single-node 2 imageSetRef: name: openshift-v4.15.0 3 networking: clusterNetwork: - cidr: 10.128.0.0/14 hostPrefix: 23 machineNetwork: - cidr: 192.168.111.0/24 serviceNetwork: - 172.30.0.0/16 provisionRequirements: controlPlaneAgents: 1 sshPublicKey: ssh-rsa <your-public-key-here> 4
- 1
- 指定创建集群的环境的平台类型。有效值为:
BareMetal,None,VSphere,Nutanix, 或External. - 2
- 使用与
ClusterDeployment资源相同的名称。 - 3
- 使用在生成一个ClusterImageSet 中生成的
ClusterImageSet。 - 4
- 您可以指定您的 SSH 公钥,它可让您在安装后访问主机。
1.7.3.9.3.6. 可选:创建 NMStateConfig 自定义资源
只有在您有主机级别网络配置(如静态 IP 地址)时才需要 NMStateConfig 自定义资源。如果包含此自定义资源,则必须在创建 InfraEnv 自定义资源前完成此步骤。NMStateConfig 由 InfraEnv 自定义资源中的 spec.nmStateConfigLabelSelector 的值引用。
创建并应用您的 NMStateConfig 自定义资源,如下例所示。根据需要替换值:
apiVersion: agent-install.openshift.io/v1beta1
kind: NMStateConfig
metadata:
name: <mynmstateconfig>
namespace: <demo-worker4>
labels:
demo-nmstate-label: <value>
spec:
config:
interfaces:
- name: eth0
type: ethernet
state: up
mac-address: 02:00:00:80:12:14
ipv4:
enabled: true
address:
- ip: 192.168.111.30
prefix-length: 24
dhcp: false
- name: eth1
type: ethernet
state: up
mac-address: 02:00:00:80:12:15
ipv4:
enabled: true
address:
- ip: 192.168.140.30
prefix-length: 24
dhcp: false
dns-resolver:
config:
server:
- 192.168.126.1
routes:
config:
- destination: 0.0.0.0/0
next-hop-address: 192.168.111.1
next-hop-interface: eth1
table-id: 254
- destination: 0.0.0.0/0
next-hop-address: 192.168.140.1
next-hop-interface: eth1
table-id: 254
interfaces:
- name: "eth0"
macAddress: "02:00:00:80:12:14"
- name: "eth1"
macAddress: "02:00:00:80:12:15"
注: 您必须在 InfraEnv 资源 spec.nmStateConfigLabelSelector.matchLabels 字段中包含 demo-nmstate-label 标签名称和值。
1.7.3.9.3.7. 创建 InfraEnv 自定义资源
InfraEnv 自定义资源提供创建发现 ISO 的配置。在这个自定义资源中,您可以识别代理设置的值,ignition 覆盖并指定 NMState 标签。此自定义资源中的 spec.nmStateConfigLabelSelector 值引用 NMStateConfig 自定义资源。
注: 如果您计划包含可选的 NMStateConfig 自定义资源,则必须在 InfraEnv 自定义资源中引用它。如果您在创建 NMStateConfig 自定义资源前创建 InfraEnv 自定义资源,请编辑 InfraEnv 自定义资源来引用 NMStateConfig 自定义资源并在添加引用后下载 ISO。
创建并应用以下自定义资源:
apiVersion: agent-install.openshift.io/v1beta1
kind: InfraEnv
metadata:
name: myinfraenv
namespace: demo-worker4
spec:
clusterRef:
name: single-node 1
namespace: demo-worker4 2
pullSecretRef:
name: pull-secret
sshAuthorizedKey: <your_public_key_here>
nmStateConfigLabelSelector:
matchLabels:
demo-nmstate-label: value
proxy:
httpProxy: http://USERNAME:PASSWORD@proxy.example.com:PORT
httpsProxy: https://USERNAME:PASSWORD@proxy.example.com:PORT
noProxy: .example.com,172.22.0.0/24,10.10.0.0/24- 1
- 替换 Create the ClusterDeployment 的
clusterDeployment资源名称。 - 2
1.7.3.9.3.7.1. InfraEnv 字段表
| 字段 | 可选或必需的 | 描述 |
|---|---|---|
|
| 选填 | 您可以指定您的 SSH 公钥,这可让您在从发现 ISO 镜像引导时访问主机。 |
|
| 选填 |
合并高级网络配置,如主机的静态 IP、网桥和绑定。主机网络配置使用您选择的标签在一个或多个 |
|
| 选填 | 您可以在 proxy 部分发现过程中指定主机所需的代理设置。 |
注: 当使用 IPv6 置备时,您无法在 noProxy 设置中定义 CIDR 地址块。您必须单独定义每个地址。
1.7.3.9.3.8. 从发现镜像引导主机
剩余的步骤解释了如何从之前流程中结果的发现 ISO 镜像引导主机。
运行以下命令,从命名空间中下载发现镜像:
curl --insecure -o image.iso $(kubectl -n sample-namespace get infraenvs.agent-install.openshift.io myinfraenv -o=jsonpath="{.status.isoDownloadURL}")- 将发现镜像移到虚拟介质、USB 驱动器或其他存储位置,并从您下载的发现镜像引导主机。
Agent资源会自动创建。它已注册到集群,并代表从发现镜像引导的主机。运行以下命令批准Agent自定义资源并启动安装:oc -n sample-namespace patch agents.agent-install.openshift.io 07e80ea9-200c-4f82-aff4-4932acb773d4 -p '{"spec":{"approved":true}}' --type merge将代理名称和 UUID 替换为您的值。
当上一命令的输出包含目标集群的条目时,您可以确认它已被批准,其中包含
APPROVED参数的值为true。
1.7.3.9.4. 其他资源
- 有关使用 CLI 在 Nutanix 平台创建集群时需要的额外步骤,请参阅 Red Hat OpenShift Container Platform 文档中的使用 API 和 Nutanix 安装后配置 在 Nutanix 中添加主机。
- 有关零接触置备的更多信息,请参阅 OpenShift Container Platform 文档中的 网络边缘集群。
- 请参阅使用镜像 pull secret
- 请参阅为内部环境创建凭证
- 请参阅 发行镜像
- 请参阅使用发现镜像将主机添加到主机清单中
1.7.3.10. 在代理环境中创建集群
当 hub 集群通过代理服务器连接时,您可以创建 Red Hat OpenShift Container Platform 集群。要成功创建集群,则必须满足以下情况之一:
- multicluster engine operator 与您要创建的受管集群具有私有网络连接,使用代理访问互联网的受管集群。
- 受管集群位于基础架构供应商上,但防火墙端口启用从受管集群到 hub 集群的通信。
要创建使用代理配置的集群,请完成以下步骤:
通过将以下信息添加到存储于您的 Secret 中的
install-configYAML 中添加以下信息,在 hub 集群上配置cluster-wide-proxy设置 :apiVersion: v1 kind: Proxy baseDomain: <domain> proxy: httpProxy: http://<username>:<password>@<proxy.example.com>:<port> httpsProxy: https://<username>:<password>@<proxy.example.com>:<port> noProxy: <wildcard-of-domain>,<provisioning-network/CIDR>,<BMC-address-range/CIDR>
使用代理服务器的用户名替换
username。使用密码替换
password以访问您的代理服务器。将
proxy.example.com替换为代理服务器的路径。使用与代理服务器的通信端口替换
port。将
wildcard-of-domain替换为应当绕过代理的域的条目。使用置备网络的 IP 地址和分配的 IP 地址(以 CIDR 表示)替换
provisioning-network/CIDR。将
BMC-address-range/CIDR替换为 BMC 地址和地址数(以 CIDR 表示)。- 通过完成创建集群的步骤来置备集群。请参阅创建集群以选择您的供应商。
注: 您只能在部署集群时使用 install-config YAML。部署集群后,您对 install-config YAML 所做的任何新更改都不会应用。要在部署后更新配置,您必须使用策略。如需更多信息,请参阅 Pod 策略。
1.7.3.10.1. 其他资源
1.7.3.11. 配置 AgentClusterInstall 代理
AgentClusterInstall 代理字段会在安装过程中决定代理设置,并用于在创建的集群中创建集群范围代理资源。
1.7.3.11.1. 配置 AgentClusterInstall
要配置 AgentClusterInstall 代理,请将 代理设置 添加到 AgentClusterInstall 资源中。请参阅以下带有 httpProxy、httpsProxy 和 noProxy 的 YAML 示例:
apiVersion: extensions.hive.openshift.io/v1beta1
kind: AgentClusterInstall
spec:
proxy:
httpProxy: http://<username>:<password>@<proxy.example.com>:<port> 1
httpsProxy: https://<username>:<password>@<proxy.example.com>:<port> 2
noProxy: <wildcard-of-domain>,<provisioning-network/CIDR>,<BMC-address-range/CIDR> 3- 1
httpProxy是 HTTP 请求的代理 URL。将 username 和 password 值替换为您的代理服务器的凭证。将proxy.example.com替换为代理服务器的路径。- 2
httpsProxy是 HTTPS 请求的代理 URL。将值替换为您的凭证。使用与代理服务器的通信端口替换port。- 3
noProxy是一个以逗号分隔的域列表,以及不应使用代理的 CIDR。将wildcard-of-domain替换为应当绕过代理的域的条目。使用置备网络的 IP 地址和分配的 IP 地址(以 CIDR 表示)替换provisioning-network/CIDR。将BMC-address-range/CIDR替换为 BMC 地址和地址数(以 CIDR 表示)。
1.7.3.11.2. 其他资源
1.7.4. 集群导入
您可以从不同的 Kubernetes 云供应商导入集群。导入后,目标集群成为 multicluster engine operator hub 集群的受管集群。通常,您可以完成任何可以访问 hub 集群和目标受管集群的导入任务,除非另有指定。
- hub 集群无法管理任何其他 hub 集群,但可以管理自己。hub 集群被配置为自动导入和自助管理。您不需要手动导入 hub 集群。
-
如果删除了 hub 集群并尝试再次导入它,您必须将
local-cluster:true标签添加到ManagedCluster资源中。
重要: 集群生命周期现在支持所有通过云原生计算基础(CNCF) Kubernetes 一致性计划认证的供应商。为您的混合云多集群管理选择 CNFC 可识别的供应商。
请参阅以下有关使用 CNFC 供应商的信息:
- 了解 CNFC 如何通过认证的 Kubernetes 一致性进行认证。
- 有关 CNFC 第三方供应商的信息,请参阅红帽 与第三方组件的支持,或 联系红帽支持。
-
如果您具有自己的 CNFC 一致性认证集群,您需要将 OpenShift Container Platform CLI
oc命令改为 Kubernetes CLI 命令kubectl。
阅读以下主题以了解更多有关导入集群的信息,以便您可以管理它:
所需的用户类型或访问权限级别:集群管理员
1.7.4.1. 使用控制台导入受管集群
为 Kubernetes operator 安装多集群引擎后,就可以导入集群来管理。继续阅读以下主题,了解如何使用控制台导入受管集群:
1.7.4.1.1. 先决条件
- 已部署 hub 集群。如果要导入裸机集群,必须在受支持的 Red Hat OpenShift Container Platform 版本上安装 hub 集群。
- 您要管理的集群。
-
base64命令行工具。 -
如果您要导入不是由 OpenShift Container Platform 创建的集群,则定义的
multiclusterhub.spec.imagePullSecret。安装 Kubernetes operator 的多集群引擎时,可能已创建了此 secret。如需有关如何定义此 secret 的更多信息,请参阅自定义镜像 pull secret。 -
查看 hub 集群
KubeAPIServer证书验证策略,以确保默认的UseAutoDetectedCABundle策略可以正常工作。如果需要手动更改策略,请参阅配置 hub 集群KubeAPIServer验证策略。
所需的用户类型或访问权限级别:集群管理员
1.7.4.1.2. 创建新的 pull secret
如果您需要创建新的 pull secret,请完成以下步骤:
- 从 cloud.redhat.com 下载 Kubernetes pull secret。
- 将 pull secret 添加到 hub 集群的命名空间。
运行以下命令,在
open-cluster-management命名空间中创建新 secret:oc create secret generic pull-secret -n <open-cluster-management> --from-file=.dockerconfigjson=<path-to-pull-secret> --type=kubernetes.io/dockerconfigjson
将
open-cluster-management替换为 hub 集群的命名空间的名称。hub 集群的默认命名空间是open-cluster-management。将
path-to-pull-secret替换为您下载的 pull secret 的路径。在导入时,secret 会自动复制到受管集群。
-
确保从您要导入的集群中删除了之前安装的代理。您必须删除
open-cluster-management-agent和open-cluster-management-agent-addon命名空间以避免错误。 有关在 Red Hat OpenShift Dedicated 环境中导入,请参阅以下备注:
- 您必须在 Red Hat OpenShift Dedicated 环境中部署了 hub 集群。
-
Red Hat OpenShift Dedicated 的默认权限是 dedicated-admin,但不包含创建命名空间的所有权限。您必须具有
cluster-admin权限才能导入和管理使用多集群引擎 operator 的集群。
-
确保从您要导入的集群中删除了之前安装的代理。您必须删除
1.7.4.1.3. 导入集群
您可从控制台导入每个可用的云供应商的现有集群。
注: hub 集群无法管理不同的 hub 集群。hub 集群被设置为自动导入和管理自身,因此您不必手动导入 hub 集群来管理自己。
默认情况下,命名空间用于集群名称和命名空间,但您可以更改它。
重要: 当您创建集群时,控制器会为集群及其资源创建一个命名空间。确保只在该命名空间中包含该集群实例的资源。销毁集群会删除命名空间和所有资源。
每个受管集群都必须与受管集群集关联。如果您没有将受管集群分配给 ManagedClusterSet,集群会自动添加到 default 受管集群集中。
如果要将集群添加到不同的集群集合中,集群集必须具有 clusterset-admin 权限。如果在导入集群时没有 cluster-admin 权限,则必须选择一个具有 clusterset-admin 权限的集群集。如果您在指定的集群集合中没有正确的权限,集群导入会失败。如果没有要选择的集群设置选项,请联系集群管理员,为集群集提供 clusterset-admin 权限。
如果您导入 OpenShift Container Platform Dedicated 集群,且没有通过为 vendor=OpenShiftDedicated 添加标签来指定供应商,或者为 vendor=auto-detect 添加标签,则 managed-by=platform 标签会自动添加到集群中。您可以使用此添加的标签将集群识别为 OpenShift Container Platform Dedicated 集群,并作为组检索 OpenShift Container Platform Dedicated 集群。
下表提供了 导入模式 的可用选项,它指定导入集群的方法:
| 手动运行导入命令 | 在控制台中完成并提交信息(包括任何 Red Hat Ansible Automation Platform 模板)后,在目标集群上运行提供的命令来导入集群。 |
| 为现有集群输入服务器 URL 和 API 令牌 | 提供您要导入的集群的服务器 URL 和 API 令牌。您可以指定一个在升级集群时运行的 Red Hat Ansible Automation Platform 模板。 |
|
提供 |
复制并粘贴您要导入的集群的 |
注: 您必须从 OperatorHub 安装 Red Hat Ansible Automation Platform Resource Operator,才能创建并运行 Ansible Automation Platform 作业。
要配置集群 API 地址,请参阅 可选:配置集群 API 地址。
要将受管集群 klusterlet 配置为在特定节点上运行,请参阅 可选:将 klusterlet 配置为在特定节点上运行。
1.7.4.1.3.1. 可选:配置集群 API 地址
完成以下步骤,通过配置运行 oc get managedcluster 命令时在表中显示的 URL 来选择性地配置集群详情页面上的 Cluster API 地址 :
-
使用具有
cluster-admin权限的 ID 登录到 hub 集群。 -
为目标受管集群配置
kubeconfig文件。 运行以下命令编辑您要导入的集群的受管集群条目,将
cluster-name替换为受管集群的名称:oc edit managedcluster <cluster-name>
在 YAML 文件中的
ManagedClusterspec 中添加ManagedClusterClientConfigs,如下例所示:spec: hubAcceptsClient: true managedClusterClientConfigs: - url: <https://api.new-managed.dev.redhat.com> 1- 1
- 将 URL 值替换为提供对您要导入的受管集群的外部访问的 URL。
1.7.4.1.3.2. 可选:将 klusterlet 配置为在特定节点上运行
您可以通过为受管集群配置 nodeSelector 和 tolerations 注解来指定您希望受管集群 klusterlet 运行哪些节点。完成以下步骤以配置这些设置:
- 从控制台的集群页面中选择您要更新的受管集群。
将 YAML 开关设置为
On以查看 YAML 内容。注: YAML 编辑器仅在导入或创建集群时可用。要在导入或创建后编辑受管集群 YAML 定义,您必须使用 OpenShift Container Platform 命令行界面或 Red Hat Advanced Cluster Management 搜索功能。
-
在受管集群 YAML 定义中添加
nodeSelector注解。此注解的键为:open-cluster-management/nodeSelector。此注解的值是具有 JSON 格式的字符串映射。 在受管集群 YAML 定义中添加
tolerations条目。此注解的键为:open-cluster-management/tolerations。此注解的值代表具有 JSON 格式的 容限 列表。生成的 YAML 可能类似以下示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: annotations: open-cluster-management/nodeSelector: '{"dedicated":"acm"}' open-cluster-management/tolerations: '[{"key":"dedicated","operator":"Equal","value":"acm","effect":"NoSchedule"}]'
您还可以使用 KlusterletConfig 为受管集群配置 nodeSelector 和 tolerations。完成以下步骤以配置这些设置:
注: 如果您使用 KlusterletConfig,受管集群使用 KlusterletConfig 设置中的配置,而不是受管集群注解中的设置。
应用以下示例 YAML 内容。根据需要替换值:
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: <klusterletconfigName> spec: nodePlacement: nodeSelector: dedicated: acm tolerations: - key: dedicated operator: Equal value: acm effect: NoSchedule-
将
agent.open-cluster-management.io/klusterlet-config: '<klusterletconfigName> 注解添加到受管集群,将 <klusterletconfigName> 替换为KlusterletConfig的名称。
1.7.4.1.4. 删除导入的集群
完成以下步骤以删除导入的集群以及在受管集群上创建的 open-cluster-management-agent-addon。
在 Clusters 页面上,点 Actions > Detach cluster 从管理中删除集群。
注意: 如果您试图分离名为 local-cluster 的 hub 集群,请注意 disableHub selfManagement 的默认设置为 false 。此设置会导致 hub 集群在分离时会重新导入自己并管理自己,并协调 MultiClusterHub 控制器。hub 集群可能需要几小时时间来完成分离过程并重新导入。如果要在等待进程完成的情况下重新导入 hub 集群,您可以运行以下命令来重启 multiclusterhub-operator pod 并更快地重新导入:
oc delete po -n open-cluster-management `oc get pod -n open-cluster-management | grep multiclusterhub-operator| cut -d' ' -f1`
您可以通过将 disableHubSelfManagement 值改为 true 来更改 hub 集群的值,使其不会自动导入。如需更多信息,请参阅 disableHubSelfManagement 主题。
1.7.4.1.4.1. 其他资源
- 如需有关如何定义 自定义镜像 pull secret 的更多信息,请参阅自定义镜像 pull secret。
- 请参阅 disableHubSelfManagement 主题。
1.7.4.2. 使用 CLI 导入受管集群
在为 Kubernetes operator 安装多集群引擎后,就可以使用 Red Hat OpenShift Container Platform CLI 导入集群并管理它。继续阅读以下主题,了解如何使用自动导入 secret 或使用手动命令通过 CLI 导入受管集群。
重要: hub 集群无法管理不同的 hub 集群。hub 集群被设置为自动导入和管理 本地集群。您不必手动导入 hub 集群来自己管理。如果您删除了 hub 集群并尝试再次导入它,则需要添加 local-cluster:true 标签。
1.7.4.2.1. 先决条件
- 已部署 hub 集群。如果要导入裸机集群,必须在受支持的 OpenShift Container Platform 版本上安装 hub 集群。
- 您要管理的单独集群。
- OpenShift Container Platform CLI。如需有关安装和配置 OpenShift Container Platform CLI 的信息,请参阅 OpenShift CLI 入门。
-
如果您要导入不是由 OpenShift Container Platform 创建的集群,则定义的
multiclusterhub.spec.imagePullSecret。安装 Kubernetes operator 的多集群引擎时,可能已创建了此 secret。如需有关如何定义此 secret 的更多信息,请参阅自定义镜像 pull secret。
1.7.4.2.2. 支持的构架
- Linux (x86_64, s390x, ppc64le)
- macOS
1.7.4.2.3. 准备集群导入
在使用 CLI 导入受管集群前,您必须完成以下步骤:
运行以下命令登录到您的 hub 集群:
oc login
在 hub 集群中运行以下命令以创建项目和命名空间。<
cluster_name> 中定义的集群名称也用作 YAML 文件和命令中的集群命名空间:oc new-project <cluster_name>
重要:
cluster.open-cluster-management.io/managedCluster标签会自动添加到受管集群命名空间中并从中删除。不要手动将其添加到受管集群命名空间中或从受管集群命名空间中删除。使用以下示例内容,创建一个名为
managed-cluster.yaml的文件:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: <cluster_name> labels: cloud: auto-detect vendor: auto-detect spec: hubAcceptsClient: true当
cloud和vendor的值被设置为auto-detect时,Red Hat Advanced Cluster Management 会检测您要导入的集群的云和厂商类型。您可以选择将auto-detect的值替换为集群的 cloud 和 vendor 值。请参见以下示例:cloud: Amazon vendor: OpenShift
运行以下命令,将 YAML 文件应用到
ManagedCluster资源:oc apply -f managed-cluster.yaml
现在,您可以使用 自动导入 secret 或 手动导入集群来继续导入集群。
1.7.4.2.4. 使用自动导入 secret 功能导入集群
要使用自动导入 secret 导入受管集群,您必须创建一个 secret,该 secret 包含集群的 kubeconfig 文件,或者集群的 kube API 服务器和令牌对。完成以下步骤,使用自动导入 secret 导入集群:
-
检索您要导入的受管集群的
kubeconfig文件或 kube API 服务器和令牌。请参阅 Kubernetes 集群的文档,了解在哪里可以找到您的kubeconfig文件或 kube API 服务器和令牌。 在 ${CLUSTER_NAME} 命名空间中创建
auto-import-secret.yaml文件。使用类似以下模板的内容,创建一个名为
auto-import-secret.yaml的 YAML 文件:apiVersion: v1 kind: Secret metadata: name: auto-import-secret namespace: <cluster_name> stringData: autoImportRetry: "5" # If you are using the kubeconfig file, add the following value for the kubeconfig file # that has the current context set to the cluster to import: kubeconfig: |- <kubeconfig_file> # If you are using the token/server pair, add the following two values instead of # the kubeconfig file: token: <Token to access the cluster> server: <cluster_api_url> type: Opaque
运行以下命令,应用 <cluster_name> 命名空间中的 YAML 文件:
oc apply -f auto-import-secret.yaml
注: 默认情况下,自动导入 secret 只使用一次,在导入过程完成后会被删除。如果要保留自动导入 secret,请将
managedcluster-import-controller.open-cluster-management.io/keeping-auto-import-secret添加到 secret。您可以运行以下命令来添加它:oc -n <cluster_name> annotate secrets auto-import-secret managedcluster-import-controller.open-cluster-management.io/keeping-auto-import-secret=""
验证您的导入集群的
JOINED和AVAILABLE状态。在 hub 集群中运行以下命令:oc get managedcluster <cluster_name>
在集群中运行以下命令来登录到受管集群:
oc login
您可以运行以下命令来验证您要导入的集群中的 pod 状态:
oc get pod -n open-cluster-management-agent
1.7.4.2.5. 手动导入集群
重要: 导入命令包含复制到每个导入受管集群的 pull secret 信息。具有访问导入集群权限的所有用户都可以查看 pull secret 信息。
完成以下步骤以手动导入受管集群:
运行以下命令,获取由导入控制器在 hub 集群上生成的
klusterlet-crd.yaml文件:oc get secret <cluster_name>-import -n <cluster_name> -o jsonpath={.data.crds\\.yaml} | base64 --decode > klusterlet-crd.yaml运行以下命令,获取导入控制器在 hub 集群上生成的
import.yaml文件:oc get secret <cluster_name>-import -n <cluster_name> -o jsonpath={.data.import\\.yaml} | base64 --decode > import.yaml在要导入的集群中执行以下步骤:
输入以下命令登录到您导入的受管集群:
oc login
运行以下命令应用您在第 1 步中生成的
klusterlet-crd.yaml:oc apply -f klusterlet-crd.yaml
运行以下命令应用您之前生成的
import.yaml文件:oc apply -f import.yaml
您可以通过从 hub 集群中运行以下命令来验证您要导入的受管集群的
JOINED和AVAILABLE状态:oc get managedcluster <cluster_name>
1.7.4.2.6. 导入 klusterlet 附加组件
实施 KlusterletAddonConfig klusterlet 附加组件配置,以在受管集群中启用其他附加组件。通过完成以下步骤创建并应用配置文件:
创建一个类似以下示例的 YAML 文件:
apiVersion: agent.open-cluster-management.io/v1 kind: KlusterletAddonConfig metadata: name: <cluster_name> namespace: <cluster_name> spec: applicationManager: enabled: true certPolicyController: enabled: true iamPolicyController: enabled: true policyController: enabled: true searchCollector: enabled: true-
将文件保存为
klusterlet-addon-config.yaml。 运行以下命令来应用 YAML:
oc apply -f klusterlet-addon-config.yaml
附加组件会在您导入的受管集群状态后安装为
AVAILABLE。您可以运行以下命令来验证您要导入的集群上附加组件的 pod 状态:
oc get pod -n open-cluster-management-agent-addon
1.7.4.2.7. 使用命令行界面删除导入的集群
要使用命令行界面删除受管集群,请运行以下命令:
oc delete managedcluster <cluster_name>
将 <cluster_name > 替换为集群的名称。
1.7.4.3. 使用代理注册导入受管集群
在为 Kubernetes operator 安装多集群引擎后,就可以导入集群并使用代理注册端点管理它。继续阅读以下主题,了解如何使用代理注册端点导入受管集群。
1.7.4.3.1. 先决条件
- 已部署 hub 集群。如果要导入裸机集群,必须在受支持的 OpenShift Container Platform 版本上安装 hub 集群。
- 您要管理的集群。
-
base64命令行工具。 如果您要导入不是由 OpenShift Container Platform 创建的集群,则定义的
multiclusterhub.spec.imagePullSecret。安装 Kubernetes operator 的多集群引擎时,可能已创建了此 secret。如需有关如何定义此 secret 的更多信息,请参阅自定义镜像 pull secret。如果需要创建新 secret,请参阅 创建新的 pull secret。
1.7.4.3.2. 支持的构架
- Linux (x86_64, s390x, ppc64le)
- macOS
1.7.4.3.3. 导入集群
要使用代理注册端点导入受管集群,请完成以下步骤:
在 hub 集群中运行以下命令来获取代理注册服务器 URL:
export agent_registration_host=$(oc get route -n multicluster-engine agent-registration -o=jsonpath="{.spec.host}")注: 如果您的 hub 集群使用集群范围的代理,请确保使用受管集群可访问的 URL。
运行以下命令来获取 cacert :
oc get configmap -n kube-system kube-root-ca.crt -o=jsonpath="{.data['ca\.crt']}" > ca.crt_注: 如果您没有使用
kube-root-ca发布的端点,请使用 publicagent-registrationAPI 端点 CA 而不是kube-root-caCA。通过应用以下 YAML 内容来获取代理注册的令牌:
apiVersion: v1 kind: ServiceAccount metadata: name: managed-cluster-import-agent-registration-sa namespace: multicluster-engine --- apiVersion: v1 kind: Secret type: kubernetes.io/service-account-token metadata: name: managed-cluster-import-agent-registration-sa-token namespace: multicluster-engine annotations: kubernetes.io/service-account.name: "managed-cluster-import-agent-registration-sa" --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: managedcluster-import-controller-agent-registration-client rules: - nonResourceURLs: ["/agent-registration/*"] verbs: ["get"] --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: managed-cluster-import-agent-registration roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: managedcluster-import-controller-agent-registration-client subjects: - kind: ServiceAccount name: managed-cluster-import-agent-registration-sa namespace: multicluster-engine运行以下命令以导出令牌:
export token=$(oc get secret -n multicluster-engine managed-cluster-import-agent-registration-sa-token -o=jsonpath='{.data.token}' | base64 -d)运行以下命令,启用自动批准并将内容修补到
cluster-manager:oc patch clustermanager cluster-manager --type=merge -p '{"spec":{"registrationConfiguration":{"featureGates":[ {"feature": "ManagedClusterAutoApproval", "mode": "Enable"}], "autoApproveUsers":["system:serviceaccount:multicluster-engine:agent-registration-bootstrap"]}}}'注: 您还可以禁用自动批准,并手动批准来自受管集群的证书签名请求。
运行以下命令切换到受管集群并获取 cacert :
curl --cacert ca.crt -H "Authorization: Bearer $token" https://$agent_registration_host/agent-registration/crds/v1 | oc apply -f -
运行以下命令,将受管集群导入到 hub 集群。将
<clusterName> 替换为集群的名称。将<duration> 替换为时间值。例如,4h:可选: 将
<klusterletconfigName> 替换为 KlusterletConfig 的名称。curl --cacert ca.crt -H "Authorization: Bearer $token" https://$agent_registration_host/agent-registration/manifests/<clusterName>?klusterletconfig=<klusterletconfigName>&duration=<duration> | oc apply -f -
注: 如果没有设置持续时间,klusterlet 清单中的
kubeconfigbootstrap 不会过期。
1.7.4.4. 使用中央基础架构管理手动导入内部 Red Hat OpenShift Container Platform 集群
为 Kubernetes operator 安装多集群引擎后,就可以导入受管集群。您可以导入现有的 OpenShift Container Platform 集群,以便您可以添加额外的节点。继续阅读以下主题以了解更多信息:
1.7.4.4.1. 先决条件
- 启用中央基础架构管理功能。
1.7.4.4.2. 导入集群
完成以下步骤,手动导入 OpenShift Container Platform 集群,没有静态网络或裸机主机,并准备它来添加节点:
通过应用以下 YAML 内容,为要导入的 OpenShift Container Platform 集群创建一个命名空间:
apiVersion: v1 kind: Namespace metadata: name: managed-cluster
通过应用以下 YAML 内容,确保与您导入的 OpenShift Container Platform 集群匹配的 ClusterImageSet 已存在:
apiVersion: hive.openshift.io/v1 kind: ClusterImageSet metadata: name: openshift-v4.15 spec: releaseImage: quay.io/openshift-release-dev/ocp-release@sha256:22e149142517dfccb47be828f012659b1ccf71d26620e6f62468c264a7ce7863
通过应用以下 YAML 内容来添加 pull secret 以访问镜像:
apiVersion: v1 kind: Secret type: kubernetes.io/dockerconfigjson metadata: name: pull-secret namespace: managed-cluster stringData: .dockerconfigjson: <pull-secret-json> 1- 1
- 将 <pull-secret-json> 替换为您的 pull secret JSON。
将
kubeconfig从 OpenShift Container Platform 集群复制到 hub 集群。运行以下命令,从 OpenShift Container Platform 集群获取
kubeconfig。确保将kubeconfig设置为要导入的集群:oc get secret -n openshift-kube-apiserver node-kubeconfigs -ojson | jq '.data["lb-ext.kubeconfig"]' --raw-output | base64 -d > /tmp/kubeconfig.some-other-cluster
注: 如果通过自定义域访问集群 API,您必须首先通过在
certificate-authority-data字段中添加自定义证书来编辑此kubeconfig,并通过更改server字段以匹配您的自定义域。运行以下命令,将
kubeconfig复制到 hub 集群。确保将kubeconfig设置为 hub 集群:oc -n managed-cluster create secret generic some-other-cluster-admin-kubeconfig --from-file=kubeconfig=/tmp/kubeconfig.some-other-cluster
通过应用以下 YAML 内容来创建
AgentClusterInstall自定义资源。根据需要替换值:apiVersion: extensions.hive.openshift.io/v1beta1 kind: AgentClusterInstall metadata: name: <your-cluster-name> 1 namespace: <managed-cluster> spec: networking: userManagedNetworking: true clusterDeploymentRef: name: <your-cluster> imageSetRef: name: openshift-v4.11.18 provisionRequirements: controlPlaneAgents: 2 sshPublicKey: <""> 3
通过应用以下 YAML 内容来创建
ClusterDeployment:根据需要替换值:apiVersion: hive.openshift.io/v1 kind: ClusterDeployment metadata: name: <your-cluster-name> 1 namespace: managed-cluster spec: baseDomain: <redhat.com> 2 installed: <true> 3 clusterMetadata: adminKubeconfigSecretRef: name: <your-cluster-name-admin-kubeconfig> 4 clusterID: <""> 5 infraID: <""> 6 clusterInstallRef: group: extensions.hive.openshift.io kind: AgentClusterInstall name: your-cluster-name-install version: v1beta1 clusterName: your-cluster-name platform: agentBareMetal: pullSecretRef: name: pull-secret
通过应用以下 YAML 内容,添加一个
InfraEnv自定义资源来发现要添加到集群中的新主机。根据需要替换值:注:如果您使用静态 IP 地址,以下示例可能需要其他配置。
apiVersion: agent-install.openshift.io/v1beta1 kind: InfraEnv metadata: name: your-infraenv namespace: managed-cluster spec: clusterRef: name: your-cluster-name namespace: managed-cluster pullSecretRef: name: pull-secret sshAuthorizedKey: ""
| 字段 | 可选或必需的 | 描述 |
|---|---|---|
|
| 选填 |
如果您使用晚绑定,则 |
|
| 选填 |
添加可选的 |
如果导入成功,则会出现下载 ISO 文件的 URL。运行以下命令下载 ISO 文件,将 <url> 替换为显示的 URL:
注: 您可以使用裸机主机自动执行主机发现。
oc get infraenv -n managed-cluster some-other-infraenv -ojson | jq ".status.<url>" --raw-output | xargs curl -k -o /storage0/isos/some-other.iso
-
可选: 如果要在 OpenShift Container Platform 集群中使用 Red Hat Advanced Cluster Management 功能,如策略,请创建一个
ManagedCluster资源。确保ManagedCluster资源的名称与ClusterDeplpoyment资源的名称匹配。如果缺少ManagedCluster资源,则在控制台中将断开集群状态。
1.7.4.4.3. 导入集群资源
如果 OpenShift Container Platform 受管集群由 Assisted Installer 安装,您可以将受管集群及其资源从一个 hub 集群移到另一个 hub 集群。
您可以通过保存原始资源的副本来从新的 hub 集群中管理集群,将其应用到新的 hub 集群,并删除原始资源。然后,您可以从新的 hub 集群缩减或扩展受管集群。
重要: 只有由 Assisted Installer 安装时,才能缩减导入的 OpenShift Container Platform 受管集群。
您可以导入以下资源,并继续使用它们管理集群:
| 资源 | 可选或必需的 | 描述 |
|---|---|---|
|
| 必需 | |
|
| 选填 | 如果要使用过滤器查询对 Agents 进行分类,则需要此项。 |
|
| 必需 | |
|
| 选填 |
如果您使用 |
|
| 必需 | |
|
| 必需 | |
|
| 选填 | 如果要在主机上应用网络配置,则需要此项。 |
|
| 必需 | |
|
| 必需 |
需要 |
1.7.4.4.3.1. 保存并应用受管集群资源
要保存受管集群资源的副本并将其应用到新的 hub 集群,请完成以下步骤:
运行以下命令,从源 hub 集群获取您的资源。根据需要替换值:
oc –kubeconfig <source_hub_kubeconfig> -n <managed_cluster_name> get <resource_name> <cluster_provisioning_namespace> -oyaml > <resource_name>.yaml
-
通过将 <
resource_name>替换为资源的名称,为您要导入的每个资源重复该命令。
-
通过将 <
运行以下命令,从以下资源中删除
ownerReferences属性:AgentClusterInstallyq --in-place -y 'del(.metadata.ownerReferences)' AgentClusterInstall.yaml
Secret(admin-kubeconfig)yq --in-place -y 'del(.metadata.ownerReferences)' AdminKubeconfigSecret.yaml
运行以下命令,将受管集群从源 hub 集群分离。根据需要替换值:
oc –kubeconfig <target_hub_kubeconfig> delete ManagedCluster <cluster_name>
- 在目标 hub 集群上为受管集群创建一个命名空间。使用与源 hub 集群类似的名称。
运行以下命令,在目标 hub 集群中单独应用您的存储资源。根据需要替换值:
注: 如果要将所有资源作为组而不是单独应用,请将
<resource_name>.yaml替换为。oc –kubeconfig <target_hub_kubeconfig> apply -f <resource_name>.yaml
1.7.4.4.3.2. 从源 hub 集群中删除受管集群
导入集群资源后,通过完成以下步骤从源 hub 集群中删除受管集群:
-
在
ClusterDeployment自定义资源中将spec.preserveOnDelete参数设置为true,以防止销毁受管集群。 - 完成 从管理中删除集群 中的步骤。
1.7.4.5. 在受管集群中指定镜像 registry 进行导入
您可能需要覆盖您要导入的受管集群上的镜像 registry。您可以通过创建一个 ManagedClusterImageRegistry 自定义资源定义来完成此操作。
ManagedClusterImageRegistry 自定义资源定义是一个命名空间范围的资源。
ManagedClusterImageRegistry 自定义资源定义为要选择的放置指定一组受管集群,但需要与自定义镜像 registry 不同的镜像。使用新镜像更新受管集群后,会在每个受管集群中添加以下标签进行识别: open-cluster-management.io/image-registry=<namespace>.<managedClusterImageRegistryName>。
以下示例显示了 ManagedClusterImageRegistry 自定义资源定义:
apiVersion: imageregistry.open-cluster-management.io/v1alpha1
kind: ManagedClusterImageRegistry
metadata:
name: <imageRegistryName>
namespace: <namespace>
spec:
placementRef:
group: cluster.open-cluster-management.io
resource: placements
name: <placementName> 1
pullSecret:
name: <pullSecretName> 2
registries: 3
- mirror: <mirrored-image-registry-address>
source: <image-registry-address>
- mirror: <mirrored-image-registry-address>
source: <image-registry-address>- 1
- 使用选择一组受管集群的同一命名空间中的放置名称替换。
- 2
- 使用从自定义镜像 registry 中拉取镜像的 pull secret 的名称替换。
- 3
- 列出每个
source和mirrorregistry 的值。将mirrored-image-registry-address和image-registry-address替换为每个 registry 的mirror和source的值。-
示例 1:要将名为
registry.redhat.io/rhacm2的源 registry 替换为localhost:5000/rhacm2,并将registry.redhat.io/multicluster-engine替换为localhost:5000/multicluster-engine,请使用以下示例:
-
示例 1:要将名为
registries:
- mirror: localhost:5000/rhacm2/
source: registry.redhat.io/rhacm2
- mirror: localhost:5000/multicluster-engine
source: registry.redhat.io/multicluster-engine示例 2: 要将源镜像
registry.redhat.io/rhacm2/registration-rhel8-operator替换为localhost:5000/rhacm2-registration-rhel8-operator,请使用以下示例:registries: - mirror: localhost:5000/rhacm2-registration-rhel8-operator source: registry.redhat.io/rhacm2/registration-rhel8-operator
重要: 如果要使用代理注册导入受管集群,您必须创建一个包含镜像 registry 的 KlusterletConfig。请参见以下示例。根据需要替换值:
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: <klusterletconfigName>
spec:
pullSecret:
namespace: <pullSecretNamespace>
name: <pullSecretName>
registries:
- mirror: <mirrored-image-registry-address>
source: <image-registry-address>
- mirror: <mirrored-image-registry-address>
source: <image-registry-address>请参阅使用 代理注册端点导入受管集群 以了解更多信息。
1.7.4.5.1. 导入具有 ManagedClusterImageRegistry的集群
完成以下步骤以导入使用 ManagedClusterImageRegistry 自定义资源定义自定义的集群:
在您要导入集群的命名空间中创建 pull secret。对于这些步骤,namespace 是
myNamespace。$ kubectl create secret docker-registry myPullSecret \ --docker-server=<your-registry-server> \ --docker-username=<my-name> \ --docker-password=<my-password>
在您创建的命名空间中创建一个放置。
apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: myPlacement namespace: myNamespace spec: clusterSets: - myClusterSet tolerations: - key: "cluster.open-cluster-management.io/unreachable" operator: Exists注: 需要
unreachable容限才能使配置来选择集群。创建一个
ManagedClusterSet资源,并将其绑定到命名空间。apiVersion: cluster.open-cluster-management.io/v1beta2 kind: ManagedClusterSet metadata: name: myClusterSet --- apiVersion: cluster.open-cluster-management.io/v1beta2 kind: ManagedClusterSetBinding metadata: name: myClusterSet namespace: myNamespace spec: clusterSet: myClusterSet
在命名空间中创建
ManagedClusterImageRegistry自定义资源定义。apiVersion: imageregistry.open-cluster-management.io/v1alpha1 kind: ManagedClusterImageRegistry metadata: name: myImageRegistry namespace: myNamespace spec: placementRef: group: cluster.open-cluster-management.io resource: placements name: myPlacement pullSecret: name: myPullSecret registry: myRegistryAddress- 从控制台导入受管集群并将其添加到受管集群集中。
-
在将
open-cluster-management.io/image-registry=myNamespace.myImageRegistry标签添加到受管集群后,在受管集群中复制并运行导入命令。
1.7.5. 访问集群
要访问创建并被管理的 Red Hat OpenShift Container Platform 集群,请完成以下步骤:
- 在控制台中,导航到 Infrastructure > Clusters,再选择您创建的或想要访问的集群的名称。
选择 Reveal credentials 来查看集群的用户名和密码。记下这些值以便在登录到集群时使用。
注: Reveal credentials 选项不适用于导入的集群。
- 选择 Console URL 以链接到集群。
- 使用在第 3 步中找到的用户 ID 和密码登录集群。
1.7.6. 扩展受管集群
对于您创建的集群,您可以自定义和调整受管集群规格,如虚拟机大小和节点数量。如果您为集群部署使用安装程序置备的基础架构,请参阅以下选项:
如果您使用中央基础架构管理集群部署,请查看以下选项:
1.7.6.1. 使用 MachinePool 扩展
对于使用 multicluster engine operator 置备的集群,会自动为您创建一个 MachinePool 资源。您可以使用 MachinePool 进一步自定义和调整受管集群规格,如虚拟机大小和节点数。
-
裸机集群不支持使用
MachinePool资源。 -
MachinePool资源是 Hub 集群上的 Kubernetes 资源,用于将MachineSet资源分组到受管集群上。 -
MachinePool资源统一配置一组计算机资源,包括区配置、实例类型和 root 存储。 -
使用
MachinePool,您可以手动配置所需的节点数量,或者配置受管集群中的节点自动扩展。
1.7.6.1.1. 配置自动扩展
配置自动扩展可让集群根据需要进行扩展,从而降低资源成本,在流量较低时进行缩减,并通过向上扩展以确保在资源需求较高时有足够的资源。
要使用控制台在
MachinePool资源上启用自动扩展,请完成以下步骤:- 在导航中,选择 Infrastructure > Clusters。
- 点目标集群的名称并选择 Machine pool 选项卡。
- 在 machine pool 页中,从目标机器池的 Options 菜单中选择 Enable autoscale。
选择机器设置副本的最小和最大数量。计算机集副本直接映射到集群中的节点。
在点 Scale 后,更改可能需要几分钟时间来反映控制台。您可以点 Machine pool 选项卡中的 View machine 来查看扩展操作的状态。
要使用命令行在
MachinePool资源上启用自动扩展,请完成以下步骤:输入以下命令查看您的机器池列表,将
managed-cluster-namespace替换为目标受管集群的命名空间。oc get machinepools -n <managed-cluster-namespace>
输入以下命令为机器池编辑 YAML 文件:
oc edit machinepool <MachinePool-resource-name> -n <managed-cluster-namespace>
-
将
MachinePool-resource-name替换为MachinePool资源的名称。 -
将
managed-cluster-namespace替换为受管集群的命名空间的名称。
-
将
-
从 YAML 文件删除
spec.replicas字段。 -
在资源 YAML 中添加
spec.autoscaling.minReplicas设置和spec.autoscaling.maxReplicas项。 -
将最小副本数添加到
minReplicas设置。 -
将最大副本数添加到
maxReplicas设置中。 - 保存文件以提交更改。
1.7.6.1.2. 禁用自动扩展
您可以使用控制台或命令行禁用自动扩展。
要使用控制台禁用自动扩展,请完成以下步骤:
- 在导航中,选择 Infrastructure > Clusters。
- 点目标集群的名称并选择 Machine pool 选项卡。
- 在 machine pool 页面中,从目标机器池的 Options 菜单中选择 Disable autoscale。
选择您想要的机器集副本数量。机器集副本直接与集群中的节点映射。
在点 Scale 后,在控制台中显示可能需要几分钟时间。您可以点 Machine pools 选项卡中的通知中的 View machine 来查看扩展的状态。
要使用命令行禁用自动扩展,请完成以下步骤:
输入以下命令查看您的机器池列表:
oc get machinepools -n <managed-cluster-namespace>
将
managed-cluster-namespace替换为目标受管集群的命名空间。输入以下命令为机器池编辑 YAML 文件:
oc edit machinepool <name-of-MachinePool-resource> -n <namespace-of-managed-cluster>
将
name-of-MachinePool-resource替换为MachinePool资源的名称。将
namespace-of-managed-cluster替换为受管集群的命名空间的名称。-
从 YAML 文件中删除
spec.autoscaling字段。 -
将
spec.replicas字段添加到资源 YAML。 -
将副本数添加到
replicas设置中。 - 保存文件以提交更改。
1.7.6.1.3. 启用手动扩展
您可以从控制台和命令行手动扩展。
1.7.6.1.3.1. 使用控制台启用手动扩展
要使用控制台扩展 MachinePool 资源,请完成以下步骤:
-
如果启用了
MachinePool,请禁用它。查看前面的步骤。 - 在控制台中,点 Infrastructure > Clusters。
- 点目标集群的名称并选择 Machine pool 选项卡。
- 在 machine pool 页面中,从 Options 菜单中为目标集群池选择 Scale machine pool。
- 选择您想要的机器集副本数量。机器集副本直接与集群中的节点映射。在点 Scale 后,更改可能需要几分钟时间来反映控制台。您可以通过点击 Machine pool 选项卡通知中的 View machine 来查看扩展操作的状态。
1.7.6.1.3.2. 使用命令行启用手动扩展
要使用命令行扩展 MachinePool 资源,请完成以下步骤:
输入以下命令查看您的机器池列表,将 <
managed-cluster-namespace> 替换为目标受管集群命名空间的命名空间:oc get machinepools -n <managed-cluster-namespace>
输入以下命令为机器池编辑 YAML 文件:
oc edit machinepool <MachinePool-resource-name> -n <managed-cluster-namespace>
-
将
MachinePool-resource-name替换为MachinePool资源的名称。 -
将
managed-cluster-namespace替换为受管集群的命名空间的名称。
-
将
-
从 YAML 文件中删除
spec.autoscaling字段。 -
使用您想要的副本数修改 YAML 文件中的
spec.replicas字段。 - 保存文件以提交更改。
1.7.6.2. 将 worker 节点添加到 OpenShift Container Platform 集群
如果使用中央基础架构管理,可以通过添加额外的生产环境节点来自定义 OpenShift Container Platform 集群。
需要的访问权限: Administrator
1.7.6.2.1. 前提条件
您必须具有信任受管集群 API 所需的新的 CA 证书。
1.7.6.2.2. 创建有效的 kubeconfig
在将生产环境 worker 节点添加到 OpenShift Container Platform 集群前,您必须检查是否有有效的 kubeconfig。
如果受管集群中的 API 证书已更改,请完成以下步骤以使用新的 CA 证书更新 kubeconfig :
运行以下命令,检查
clusterDeployment的kubeconfig是否有效。将<kubeconfig_name> 替换为当前kubeconfig的名称,并将 <cluster_name> 替换为集群的名称:export <kubeconfig_name>=$(oc get cd $<cluster_name> -o "jsonpath={.spec.clusterMetadata.adminKubeconfigSecretRef.name}") oc extract secret/$<kubeconfig_name> --keys=kubeconfig --to=- > original-kubeconfig oc --kubeconfig=original-kubeconfig get node如果收到以下出错信息,您必须更新
kubeconfigsecret。如果没有错误消息,请继续 添加 worker 节点 :Unable to connect to the server: tls: failed to verify certificate: x509: certificate signed by unknown authority
运行以下命令,从
kubeconfigcertificate-authority-data字段获取base64编码证书捆绑包,并解码它:echo <base64 encoded blob> | base64 --decode > decoded-existing-certs.pem
通过复制您的原始文件来创建更新的
kubeconfig文件。运行以下命令,并将 <new_kubeconfig_name> 替换为新kubeconfig文件的名称:cp original-kubeconfig <new_kubeconfig_name>
运行以下命令,将新证书附加到解码的 pem 中:
cat decoded-existing-certs.pem new-ca-certificate.pem | openssl base64 -A
-
使用文本编辑器将上一命令中的
base64输出添加为新kubeconfig文件中的certificate-authority-data键的值。 使用新的
kubeconfig查询 API,以检查新的kubeconfig是否有效。运行以下命令。将<new_kubeconfig_name> 替换为新kubeconfig文件的名称:KUBECONFIG=<new_kubeconfig_name> oc get nodes
如果您收到成功输出,则
kubeconfig有效。运行以下命令,更新 Red Hat Advanced Cluster Management hub 集群中的
kubeconfigsecret。将<new_kubeconfig_name> 替换为新kubeconfig文件的名称:oc patch secret $original-kubeconfig --type='json' -p="[{'op': 'replace', 'path': '/data/kubeconfig', 'value': '$(openssl base64 -A -in <new_kubeconfig_name>)'},{'op': 'replace', 'path': '/data/raw-kubeconfig', 'value': '$(openssl base64 -A -in <new_kubeconfig_name>)'}]"
1.7.6.2.3. 添加 worker 节点
如果您有有效的 kubeconfig,请完成以下步骤,将生产环境 worker 节点添加到 OpenShift Container Platform 集群:
从您之前下载的 ISO 中引导您要用作 worker 节点的机器。
注: 确保 worker 节点满足 OpenShift Container Platform worker 节点的要求。
运行以下命令后等待代理注册:
watch -n 5 "oc get agent -n managed-cluster"
如果代理注册成功,则会列出代理。批准安装的代理。这可能需要几分钟时间。
注: 如果没有列出代理,请按 Ctrl 和 C 退出
watch命令,然后登录到 worker 节点进行故障排除。如果使用更新的绑定,请运行以下命令将待处理的未绑定代理与 OpenShift Container Platform 集群关联。如果没有使用更新的绑定,请跳至第 5 步:
oc get agent -n managed-cluster -ojson | jq -r '.items[] | select(.spec.approved==false) |select(.spec.clusterDeploymentName==null) | .metadata.name'| xargs oc -n managed-cluster patch -p '{"spec":{"clusterDeploymentName":{"name":"some-other-cluster","namespace":"managed-cluster"}}}' --type merge agent运行以下命令来批准任何待处理的代理以进行安装:
oc get agent -n managed-cluster -ojson | jq -r '.items[] | select(.spec.approved==false) | .metadata.name'| xargs oc -n managed-cluster patch -p '{"spec":{"approved":true}}' --type merge agent
等待 worker 节点的安装。当 worker 节点安装完成后,worker 节点使用证书签名请求(CSR)联系受管集群以开始加入过程。CSR 会自动签名。
1.7.6.3. 将 control plane 节点添加到受管集群
您可以通过将 control plane 节点添加到健康或不健康的受管集群来替换失败的 control plane。
需要的访问权限: Administrator
1.7.6.3.1. 将 control plane 节点添加到健康的受管集群
完成以下步骤,将 control plane 节点添加到健康的受管集群:
- 完成将 worker 节点添加到 OpenShift Container Platform 集群 中的步骤,用于新的 control plane 节点。
运行以下命令,在批准代理前将代理设置为
master:oc patch agent <AGENT-NAME> -p '{"spec":{"role": "master"}}' --type=merge注: CSR 不会被自动批准。
- 按照 OpenShift Container Platform 文档中的在健康集群中安装主 control plane 节点 的步骤进行操作
1.7.6.3.2. 将 control plane 节点添加到不健康的受管集群
完成以下步骤,将 control plane 节点添加到不健康的受管集群:
- 删除不健康的 control plane 节点的代理。
- 如果您使用零接触置备流程进行部署,请删除裸机主机。
- 完成将 worker 节点添加到 OpenShift Container Platform 集群 中的步骤,用于新的 control plane 节点。
运行以下命令,在批准代理前将代理设置为
master:oc patch agent <AGENT-NAME> -p '{"spec":{"role": "master"}}' --type=merge注: CSR 不会被自动批准。
- 按照 OpenShift Container Platform 的 Assisted Installer 文档中的在不健康集群中安装主 control plane 节点 的步骤进行操作
1.7.7. 休眠创建的集群
您可以休眠使用多集群引擎 operator 创建的集群来节省资源。休眠集群需要的资源比正在运行的资源要少得多,因此您可以通过将集群移入和停止休眠状态来降低供应商成本。此功能只适用于在以下环境中由 multicluster engine operator 创建的集群:
- Amazon Web Services
- Microsoft Azure
- Google Cloud Platform
1.7.7.1. 使用控制台休眠集群
要使用控制台休眠由多集群引擎 operator 创建的集群,请完成以下步骤:
- 在导航菜单中选择 Infrastructure > Clusters。确保已选中 Manage cluster 选项卡。
- 从集群的 Options 菜单中选择 Hibernate cluster。注:如果 Hibernate cluster 选项不可用,您就无法休眠该群集。当集群导入且不是由多集群引擎 operator 创建时,会出现这种情况。
当进程完成后,Clusters 页面中的集群状态为 Hibernating。
提示:您可以通过在 Clusters 页面上选择要休眠的集群并选择 Actions > Hibernate clusters来休眠多个集群。
您选择的集群正在休眠。
1.7.7.2. 使用 CLI Hibernate 集群
要使用 CLI 休眠由多集群引擎 operator 创建的集群,请完成以下步骤:
输入以下命令编辑您要休眠的集群设置:
oc edit clusterdeployment <name-of-cluster> -n <namespace-of-cluster>
将
name-of-cluster替换为您要休眠的集群的名称。将
namespace-of-cluster替换为您要休眠的集群的命名空间。-
将
spec.powerState的值改为Hibernating。 输入以下命令查看集群的状态:
oc get clusterdeployment <name-of-cluster> -n <namespace-of-cluster> -o yaml
将
name-of-cluster替换为您要休眠的集群的名称。将
namespace-of-cluster替换为您要休眠的集群的命名空间。当集群休眠过程完成时,集群的 type 值为
type=Hibernating。
您选择的集群正在休眠。
1.7.7.3. 使用控制台恢复休眠集群的一般操作
要使用控制台恢复休眠集群的一般操作,请完成以下步骤:
- 在导航菜单中选择 Infrastructure > Clusters。确保已选中 Manage cluster 选项卡。
- 从您要恢复的集群的 Options 菜单中选择 Resume cluster。
当进程完成后,Clusters 页面中的集群状态为 Ready。
提示:您可以通过在 Clusters 页面上选择要恢复的集群并选择 Actions > Resume clusters来休眠多个集群。
所选集群恢复正常操作。
1.7.7.4. 使用 CLI 恢复休眠集群的一般操作
要使用 CLI 恢复休眠集群的一般操作,请完成以下步骤:
输入以下命令来编辑集群的设置:
oc edit clusterdeployment <name-of-cluster> -n <namespace-of-cluster>
将
name-of-cluster替换为您要休眠的集群的名称。将
namespace-of-cluster替换为您要休眠的集群的命名空间。-
将
spec.powerState的值改为Running。 输入以下命令查看集群的状态:
oc get clusterdeployment <name-of-cluster> -n <namespace-of-cluster> -o yaml
将
name-of-cluster替换为您要休眠的集群的名称。将
namespace-of-cluster替换为您要休眠的集群的命名空间。完成恢复集群的过程后,集群的 type 值为
type=Running。
所选集群恢复正常操作。
1.7.8. 升级集群
创建要使用 multicluster engine operator 管理的 Red Hat OpenShift Container Platform 集群后,您可以使用 multicluster engine operator 控制台将这些集群升级到受管集群使用的版本频道中可用的最新次版本。
在连接的环境中,会自动识别更新,并带有为在控制台中需要升级的每个集群提供的通知。
1.7.8.1. 先决条件
验证您是否满足升级到该版本的所有先决条件。在可以使用控制台升级集群前,您必须更新受管集群上的版本频道。
注: 在更新受管集群上的版本频道后,multicluster engine operator 控制台会显示可用于升级的最新版本。
- OpenShift Container Platform 受管集群必须处于 Ready 状态。
重要: 您无法使用 multicluster engine operator 控制台在 Red Hat OpenShift Dedicated 上升级 Red Hat OpenShift Kubernetes Service 受管集群或 OpenShift Container Platform 受管集群。
1.7.8.2. 在连接的环境中升级集群
要在连接的环境中升级集群,请完成以下步骤:
- 在导航菜单中进入 Infrastructure > Clusters。如果有可用的升级,它会出现在 Distribution version 列中。
- 选择您要升级的 Ready 状态的集群。您只能在控制台中升级 OpenShift Container Platform 集群。
- 选择 Upgrade。
- 选择每个集群的新版本。
- 选择 Upgrade。
如果集群升级失败,Operator 通常会重试升级,停止并报告故障组件的状态。在某些情况下,升级过程会一直通过尝试完成此过程进行循环。不支持在失败的升级后将集群还原到以前的版本。如果您的集群升级失败,请联系红帽支持以寻求帮助。
1.7.8.3. 选择一个频道
您可以使用控制台为 OpenShift Container Platform 上的集群升级选择频道。选择频道后,会自动提醒可用于勘误版本和发行版本的集群升级。
要为集群选择频道,请完成以下步骤:
- 在导航栏中,选择 Infrastructure > Clusters。
- 选择要更改的集群名称来查看 Cluster details 页面。如果集群有一个不同的频道,则 Channel 字段中会显示一个编辑图标。
- 点 Edit 图标更改字段中的设置。
- 在 New channel 字段中选择一个频道。
您可以在集群的 Cluster details 页中找到有关可用频道更新的提示信息。
1.7.8.4. 升级断开连接的集群
您可以将 OpenShift Update Service 与 multicluster engine operator 搭配使用,以在断开连接的环境中升级集群。
在某些情况下,安全性考虑会阻止集群直接连接到互联网。这使得您很难知道什么时候可以使用升级,以及如何处理这些升级。配置 OpenShift Update Service 可能会有所帮助。
OpenShift Update Service 是一个独立的操作对象,它监控受管集群在断开连接的环境中的可用版本,并使其可用于在断开连接的环境中升级集群。配置 OpenShift Update Service 后,它可以执行以下操作:
- 监测何时有适用于断开连接的集群的升级。
- 使用图形数据文件识别哪些更新需要被镜像到您的本地站点进行升级。
- 使用控制台,通知您的集群有可用的升级。
以下主题解释了升级断开连接的集群的步骤:
1.7.8.4.1. 先决条件
您必须满足以下先决条件,才能使用 OpenShift Update Service 升级断开连接的集群:
已部署 hub 集群,它在受支持的 OpenShift Container Platform 版本上运行,并配置了受限 OLM。如需有关如何配置 受限 OLM 的详细信息,请参阅在受限网络中使用 Operator Lifecycle Manager。
注:在配置受限 OLM 时记录目录源镜像。
- 由 hub 集群管理的 OpenShift Container Platform 集群
访问您可以镜像集群镜像的本地存储库的凭证。如需有关如何创建此存储库的更多信息,请参阅 断开连接的安装镜像。
注: 您升级的集群当前版本的镜像必须始终作为镜像的一个镜像可用。如果升级失败,集群会在试图升级时恢复到集群的版本。
1.7.8.4.2. 准备断开连接的镜像 registry
您必须镜像要升级到的镜像,以及您要从本地镜像 registry 升级到的当前镜像。完成以下步骤以镜像镜像:
创建一个包含类似以下示例内容的脚本文件:
UPSTREAM_REGISTRY=quay.io PRODUCT_REPO=openshift-release-dev RELEASE_NAME=ocp-release OCP_RELEASE=4.12.2-x86_64 LOCAL_REGISTRY=$(hostname):5000 LOCAL_SECRET_JSON=/path/to/pull/secret 1 oc adm -a ${LOCAL_SECRET_JSON} release mirror \ --from=${UPSTREAM_REGISTRY}/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE} \ --to=${LOCAL_REGISTRY}/ocp4 \ --to-release-image=${LOCAL_REGISTRY}/ocp4/release:${OCP_RELEASE}- 1
- 将
/path/to/pull/secret替换为 OpenShift Container Platform pull secret 的路径。
运行该脚本来对镜像进行镜像、配置设置并将发行镜像与发行内容分开。
在创建
ImageContentSourcePolicy时,您可以使用此脚本的最后一行输出。
1.7.8.4.3. 为 OpenShift Update Service 部署 Operator
要在 OpenShift Container Platform 环境中为 OpenShift Update Service 部署 Operator,请完成以下步骤:
- 在 hub 集群中,访问 OpenShift Container Platform operator hub。
-
选择
OpenShift Update Service Operator来部署 Operator。如果需要,更新默认值。Operator 的部署会创建一个名为openshift-cincinnati的新项目。 等待 Operator 的安装完成。
您可以通过在 OpenShift Container Platform 命令行中输入
oc get pods命令来检查安装的状态。验证 Operator 是否处于running状态。
1.7.8.4.4. 构建图形数据 init 容器
OpenShift Update Service 使用图形数据信息来决定可用的升级。在连接的环境中,OpenShift Update Service 会直接从 Cincinnati 图形数据GitHub 仓库中提取可用于升级的图形数据信息。由于要配置断开连接的环境,所以必须使用 init 容器使图形数据在本地存储库中可用。完成以下步骤以创建图形数据 init 容器:
输入以下命令克隆 graph data Git 存储库:
git clone https://github.com/openshift/cincinnati-graph-data
创建一个包含您的图形数据
init信息的文件。您可以在cincinnati-operator GitHub仓库中找到此 Dockerfile 示例。该文件的内容在以下示例中显示:FROM registry.access.redhat.com/ubi8/ubi:8.1 1 RUN curl -L -o cincinnati-graph-data.tar.gz https://github.com/openshift/cincinnati-graph-data/archive/master.tar.gz 2 RUN mkdir -p /var/lib/cincinnati/graph-data/ 3 CMD exec /bin/bash -c "tar xvzf cincinnati-graph-data.tar.gz -C /var/lib/ cincinnati/graph-data/ --strip-components=1" 4
在本例中:
运行以下命令来构建
图形数据 init 容器:podman build -f <path_to_Dockerfile> -t <${DISCONNECTED_REGISTRY}/cincinnati/cincinnati-graph-data-container>:latest 1 2 podman push <${DISCONNECTED_REGISTRY}/cincinnati/cincinnati-graph-data-container><2>:latest --authfile=</path/to/pull_secret>.json 3注: 如果没有安装
podman,您也可以将命令中的podman替换为docker。
1.7.8.4.5. 为已镜像的 registry 配置证书
如果您使用安全的外部容器 registry 来存储已镜像的 OpenShift Container Platform 发行镜像,OpenShift Update Service 需要访问此 registry 来构建升级图。完成以下步骤以配置您的 CA 证书以用于 OpenShift Update Service Pod:
查找位于
image.config.openshift.io的 OpenShift Container Platform 外部 registry API。这是存储外部 registry CA 证书的位置。如需更多信息,请参阅 OpenShift Container Platform 文档中的 为镜像 registry 访问 配置额外的信任存储。
-
在
openshift-config命名空间中创建 ConfigMap。 在密钥
updateservice-registry中添加您的 CA 证书。OpenShift Update Service 使用此设置来定位您的证书:apiVersion: v1 kind: ConfigMap metadata: name: trusted-ca data: updateservice-registry: | -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----编辑
image.config.openshift.ioAPI 中的cluster资源,将additionalTrustedCA字段设置为您创建的 ConfigMap 的名称。oc patch image.config.openshift.io cluster -p '{"spec":{"additionalTrustedCA":{"name":"trusted-ca"}}}' --type merge将
trusted-ca替换为新 ConfigMap 的路径。
OpenShift Update Service Operator 会监视 image.config.openshift.io API 和您在 openshift-config 命名空间中创建的 ConfigMap 以获取更改,然后在 CA 证书已更改时重启部署。
1.7.8.4.6. 部署 OpenShift Update Service 实例
当在 hub 集群上完成 OpenShift Update Service 实例部署时,此实例就位于集群升级的镜像镜像位置,并可供断开连接的受管集群使用。完成以下步骤以部署实例:
如果您不想使用 Operator 的默认命名空间(
openshift-cincinnati), 为 OpenShift Update Service 实例创建一个命名空间:- 在 OpenShift Container Platform hub 集群控制台导航菜单中,选择 Administration > Namespaces。
- 点 Create Namespace。
- 添加命名空间的名称以及您的命名空间的任何其他信息。
- 选择 Create 来创建命名空间。
- 在 OpenShift Container Platform 控制台的 Installed Operators 部分中,选择 OpenShift Update Service Operator。
- 在菜单中选择 Create Instance。
粘贴 OpenShift Update Service 实例中的内容。您的 YAML 实例可能类似以下清单:
apiVersion: cincinnati.openshift.io/v1beta2 kind: Cincinnati metadata: name: openshift-update-service-instance namespace: openshift-cincinnati spec: registry: <registry_host_name>:<port> 1 replicas: 1 repository: ${LOCAL_REGISTRY}/ocp4/release graphDataImage: '<host_name>:<port>/cincinnati-graph-data-container'2
- 选择 Create 来创建实例。
-
在 hub 集群 CLI 中输入
oc get pods命令来查看实例创建的状态。它可能需要一段时间,但当命令结果显示实例和运算符正在运行时,进程就会完成。
1.7.8.4.7. 覆盖默认 registry (可选)
注: 本节中的步骤只在将发行版本镜像到您的镜像 registry 时才应用。
OpenShift Container Platform 具有一个默认的镜像 registry 值,用于指定它找到升级软件包的位置。在断开连接的环境中,您可以创建一个覆盖,将该值替换为镜像发行镜像的本地镜像 registry 的路径。
完成以下步骤以覆盖默认 registry:
创建名为
mirror.yaml的 YAML 文件,该文件类似于以下内容:apiVersion: operator.openshift.io/v1alpha1 kind: ImageContentSourcePolicy metadata: name: <your-local-mirror-name>1 spec: repositoryDigestMirrors: - mirrors: - <your-registry>2 source: registry.redhat.io
注: 您可以通过输入
oc adm release mirror命令来查找到本地镜像的路径。使用受管集群的命令行,运行以下命令覆盖默认 registry:
oc apply -f mirror.yaml
1.7.8.4.8. 部署断开连接的目录源
在受管集群中,禁用所有默认目录源并创建一个新源。完成以下步骤,将默认位置从连接的位置改为断开连接的本地 registry:
创建名为
source.yaml的 YAML 文件,该文件类似于以下内容:apiVersion: config.openshift.io/v1 kind: OperatorHub metadata: name: cluster spec: disableAllDefaultSources: true --- apiVersion: operators.coreos.com/v1alpha1 kind: CatalogSource metadata: name: my-operator-catalog namespace: openshift-marketplace spec: sourceType: grpc image: '<registry_host_name>:<port>/olm/redhat-operators:v1'1 displayName: My Operator Catalog publisher: grpc- 1
- 将
spec.image值替换为本地受限目录源镜像的路径。
在受管集群的命令行中,运行以下命令来更改目录源:
oc apply -f source.yaml
1.7.8.4.9. 更改受管集群参数
更新受管集群的 ClusterVersion 资源信息,以更改从中检索其升级的默认位置。
在受管集群中,输入以下命令确认
ClusterVersionupstream 参数目前是默认公共 OpenShift Update Service 操作对象:oc get clusterversion -o yaml
返回的内容可能类似以下内容,并将
4.x设置为支持版本:apiVersion: v1 items: - apiVersion: config.openshift.io/v1 kind: ClusterVersion [..] spec: channel: stable-4.x upstream: https://api.openshift.com/api/upgrades_info/v1/graph在 hub 集群中,输入以下命令识别 OpenShift Update Service 操作对象的路由 URL:
oc get routes
记录返回的值以获取后续步骤。
在受管集群的命令行中,输入以下命令编辑
ClusterVersion资源:oc edit clusterversion version
将
spec.channel的值替换为您的新版本。将
spec.upstream值替换为 hub 集群 OpenShift Update Service 操作对象的路径。您可以完成以下步骤来确定操作对象的路径:在 hub 集群中运行以下命令:
oc get routes -A
-
查找到
cincinnati的路径。操作对象的路径是HOST/PORT字段中的值。
在受管集群的命令行中,输入以下命令确认
ClusterVersion中的 upstream 参数已更新为本地 hub 集群 OpenShift Update Service URL:oc get clusterversion -o yaml
结果类似以下内容:
apiVersion: v1 items: - apiVersion: config.openshift.io/v1 kind: ClusterVersion [..] spec: channel: stable-4.x upstream: https://<hub-cincinnati-uri>/api/upgrades_info/v1/graph
1.7.8.4.10. 查看可用升级
在 Clusters 页面中,如果断开连接的 registry 中有升级,集群的 Distribution version 表示有一个可用的升级。您可以通过从 Actions 菜单中选择集群并选择 Upgrade cluster 来查看可用的升级。如果可选的升级路径可用,则会列出可用的升级。
注: 如果当前版本没有镜像到本地镜像存储库,则不会显示可用的升级版本。
1.7.8.4.11. 选择一个频道
您可以使用控制台在 OpenShift Container Platform 版本 4.6 或更高版本中为集群升级选择一个频道。这些版本必须在镜像 registry 上可用。完成选择频道中的步骤为您的升级指定频道。
1.7.8.4.12. 升级集群
配置断开连接的 registry 后,多集群引擎 operator 和 OpenShift Update Service 使用断开连接的 registry 来确定升级是否可用。如果没有可用的升级,请确保您有集群当前级别的发行镜像,且至少有一个后续级别的镜像位于本地存储库中。如果集群当前版本的发行镜像不可用,则没有可用的升级。
在 Clusters 页面中,如果断开连接的 registry 中有升级,集群的 Distribution version 表示有一个可用的升级。您可以通过点 Upgrade available 并选择升级的版本来升级镜像。
受管集群已更新至所选版本。
如果集群升级失败,Operator 通常会重试升级,停止并报告故障组件的状态。在某些情况下,升级过程会一直通过尝试完成此过程进行循环。不支持在失败的升级后将集群还原到以前的版本。如果您的集群升级失败,请联系红帽支持以寻求帮助。
1.7.9. 使用集群代理附加组件
在某些情况下,受管集群位于防火墙后面,无法由 hub 集群直接访问。要获取访问权限,您可以设置代理附加组件来访问受管集群的 kube-apiserver 以提供更安全的连接。
重要: hub 集群中不能有集群范围的代理配置。
需要的访问权限: Editor
要为 hub 集群和受管集群配置集群代理附加组件,请完成以下步骤:
通过完成以下步骤,配置
kubeconfig文件以访问受管集群kube-apiserver:为受管集群提供有效的访问令牌。
注: 您可以使用服务帐户的对应令牌。您还可以使用 default 命名空间中的 default 服务帐户。
运行以下命令导出受管集群的
kubeconfig文件:export KUBECONFIG=<managed-cluster-kubeconfig>
在服务帐户中添加一个角色,允许它通过运行以下命令来访问 pod:
oc create role -n default test-role --verb=list,get --resource=pods oc create rolebinding -n default test-rolebinding --serviceaccount=default:default --role=test-role
运行以下命令来查找服务帐户令牌的 secret:
oc get secret -n default | grep <default-token>
将
default-token替换为您的 secret 的名称。运行以下命令复制令牌:
export MANAGED_CLUSTER_TOKEN=$(kubectl -n default get secret <default-token> -o jsonpath={.data.token} | base64 -d)将
default-token替换为您的 secret 的名称。
在 Red Hat Advanced Cluster Management hub 集群中配置
kubeconfig文件。运行以下命令,在 hub 集群中导出当前的
kubeconfig文件:oc config view --minify --raw=true > cluster-proxy.kubeconfig
使用编辑器修改
server文件。本例使用sed。如果您使用 OSX,运行alias sed=gsed。export TARGET_MANAGED_CLUSTER=<managed-cluster-name> export NEW_SERVER=https://$(oc get route -n multicluster-engine cluster-proxy-addon-user -o=jsonpath='{.spec.host}')/$TARGET_MANAGED_CLUSTER sed -i'' -e '/server:/c\ server: '"$NEW_SERVER"'' cluster-proxy.kubeconfig export CADATA=$(oc get configmap -n openshift-service-ca kube-root-ca.crt -o=go-template='{{index .data "ca.crt"}}' | base64) sed -i'' -e '/certificate-authority-data:/c\ certificate-authority-data: '"$CADATA"'' cluster-proxy.kubeconfig输入以下命令删除原始用户凭证:
sed -i'' -e '/client-certificate-data/d' cluster-proxy.kubeconfig sed -i'' -e '/client-key-data/d' cluster-proxy.kubeconfig sed -i'' -e '/token/d' cluster-proxy.kubeconfig
添加服务帐户的令牌:
sed -i'' -e '$a\ token: '"$MANAGED_CLUSTER_TOKEN"'' cluster-proxy.kubeconfig
运行以下命令,列出目标受管集群的目标命名空间中的所有 pod:
oc get pods --kubeconfig=cluster-proxy.kubeconfig -n <default>
将
default命名空间替换为您要使用的命名空间。访问受管集群上的其他服务。当受管集群是 Red Hat OpenShift Container Platform 集群时,此功能可用。服务必须使用
service-serving-certificate生成服务器证书:在受管集群中使用以下服务帐户令牌:
export PROMETHEUS_TOKEN=$(kubectl get secret -n openshift-monitoring $(kubectl get serviceaccount -n openshift-monitoring prometheus-k8s -o=jsonpath='{.secrets[0].name}') -o=jsonpath='{.data.token}' | base64 -d)在 hub 集群中,运行以下命令将证书颁发机构转换为文件:
oc get configmap kube-root-ca.crt -o=jsonpath='{.data.ca\.crt}' > hub-ca.crt
使用以下命令获取受管集群的 Prometheus 指标:
export SERVICE_NAMESPACE=openshift-monitoring export SERVICE_NAME=prometheus-k8s export SERVICE_PORT=9091 export SERVICE_PATH="api/v1/query?query=machine_cpu_sockets" curl --cacert hub-ca.crt $NEW_SERVER/api/v1/namespaces/$SERVICE_NAMESPACE/services/$SERVICE_NAME:$SERVICE_PORT/proxy-service/$SERVICE_PATH -H "Authorization: Bearer $PROMETHEUS_TOKEN"
1.7.9.1. 为集群代理附加组件配置代理设置
您可以为集群代理附加组件配置代理设置,以允许受管集群通过 HTTP 和 HTTPS 代理服务器与 hub 集群通信。如果集群代理需要通过代理服务器访问 hub 集群,您可能需要配置代理设置。
要为集群代理附加组件配置代理设置,请完成以下步骤:
在 hub 集群中创建
AddOnDeploymentConfig资源并添加spec.proxyConfig参数。请参见以下示例:apiVersion: addon.open-cluster-management.io/v1alpha1 kind: AddOnDeploymentConfig metadata: name: <name> 1 namespace: <namespace> 2 spec: agentInstallNamespace: open-cluster-managment-agent-addon proxyConfig: httpsProxy: "http://<username>:<password>@<ip>:<port>" 3 noProxy: ".cluster.local,.svc,172.30.0.1" 4 caBundle: <value> 5
通过引用您创建的
AddOnDeploymentConfig资源来更新ManagedClusterAddOn资源。请参见以下示例:apiVersion: addon.open-cluster-management.io/v1alpha1 kind: ManagedClusterAddOn metadata: name: cluster-proxy namespace: <namespace> 1 spec: installNamespace: open-cluster-managment-addon configs: group: addon.open-cluster-management.io resource: AddonDeploymentConfig name: <name> 2 namespace: <namespace> 3
1.7.10. 配置 Ansible Automation Platform 任务以在受管集群上运行
多集群引擎 Operator 与 Red Hat Ansible Automation Platform 集成,以便您可以创建创建或升级集群之前或之后发生的 prehook 和 posthook Ansible 作业实例。为集群销毁配置 prehook 和 posthook 作业,集群扩展操作不被支持。
需要的访问权限:集群管理员
1.7.10.1. 先决条件
您必须满足以下先决条件,才能在集群上运行 Automation 模板:
- 安装 OpenShift Container Platform。
- 安装 Ansible Automation Platform Resource Operator,将 Ansible 作业连接到 Git 订阅的生命周期。在使用 Automation 模板启动 Ansible Automation Platform 作业时,Ansible Automation Platform 作业模板在运行时应该是幂等的。您可以在 OpenShift Container Platform OperatorHub 中找到 Ansible Automation Platform Resource Operator。
1.7.10.2. 使用控制台将 Automation 模板配置为在集群中运行
您可以在创建集群时、导入集群或创建集群时指定您要用于集群的 Automation 模板。
要在创建或导入集群时指定模板,请在 Automation 步骤中选择您要应用到集群的 Ansible 模板。如果没有 Automation 模板,点 Add automation template 来创建。
要在创建集群时指定模板,请在现有集群的操作菜单中点 Update automation template。您还可以使用 Update Automation template 选项更新现有的自动化模板。
1.7.10.3. 创建自动化模板
要使用集群安装或升级来启动 Ansible 作业,您必须创建一个 Automation 模板来指定作业何时运行。它们可以配置为在集群安装或升级之前或之后运行。
要指定在创建模板时运行 Ansible 模板的详情,请完成控制台中的步骤:
- 从导航中选择 Infrastructure > Automation。
选择适用于您的问题单的适用路径:
- 如果要创建新模板,请单击 Create Ansible template 并继续第 3 步。
- 如果要修改现有模板,请在要修改的模板的 Options 菜单中点击 Edit template,然后继续第 5 步。
- 输入模板的唯一名称,其中包含小写字母数字字符或连字符(-)。
- 选择您要用于新模板的凭据。
选择凭据后,您可以选择用于所有作业的 Ansible 清单。要将 Ansible 凭证链接到 Ansible 模板,请完成以下步骤:
- 在导航中,选择 Automation。任何未链接到凭证的模板列表中的模板都包含可用于将模板链接到现有凭证的 Link to credential 图标。仅显示与模板相同的命名空间中的凭证。
- 如果没有可以选择的凭证,或者您不想使用现有凭证,请从您要链接的模板的 Options 菜单中选择 Edit template。
- 如果需要创建自己的凭证,点 Add credential 并完成为 Ansible Automation Platform 创建一个凭证中的步骤。
- 在与模板相同的命名空间中创建凭据后,在编辑模板时,在 Ansible Automation Platform credential 字段中选择凭据。
- 如果要在安装集群前启动任何 Ansible 作业,在 Pre-install Automation templates 部分中选择 Add an Automation template。
在出现的模态中选择
Job template或Workflow job template。您还可以添加job_tags、skip_tags和工作流类型。-
使用 Extra variables 字段,以
key=value对的形式将数据传递给AnsibleJob资源。 -
特殊键
cluster_deployment和install_config会自动作为额外变量传递。它们包含有关集群的一般信息以及集群安装配置的详情。
-
使用 Extra variables 字段,以
- 选择 prehook 和 posthook Ansible 作业的名称来添加到集群的安装或升级中。
- 如有必要,拖动 Ansible 作业以更改顺序。
-
对于您要在集群安装后启动的 Automation 模板,在 Post-install Automation templates 部分、Pre-upgrade Automation templates 和 Post-upgrade Automation templates 部分重复步骤 5 - 7。在升级集群时,您可以使用
Extra variables字段以key=value对的形式将数据传递给AnsibleJob资源。除了cluster_deployment和install_config特殊密钥外,cluster_info特殊密钥也会作为包含ManagedClusterInfo资源中数据的额外变量自动传递。
您的 Ansible 模板已配置为在集群中运行,在指定操作发生时指定此模板。
1.7.10.4. 查看 Ansible 作业的状态
您可以查看正在运行的 Ansible 作业的状态,以确保它启动并在成功运行。要查看正在运行的 Ansible 作业的当前状态,请完成以下步骤:
- 在菜单中,选择 Infrastructure > Clusters 以访问 Clusters 页面。
- 选择集群名称来查看其详情。
在集群信息上查看 Ansible 作业最后一次运行的状态。该条目显示以下状态之一:
-
当安装 prehook 或 posthook 任务失败时,集群状态会显示
Failed。 - 当升级 prehook 或 posthook 任务失败时,会在 Distribution 字段中显示升级失败的警告信息。
-
当安装 prehook 或 posthook 任务失败时,集群状态会显示
1.7.10.5. 再次运行失败的 Ansible 作业
如果集群 prehook 或 posthook 失败,您可以从 Clusters 页面重试升级。
要节省时间,您还可以运行作为集群自动化模板一部分的失败的 Ansible posthook。完成以下步骤以只再次运行 posthook,而不重试整个升级:
在
ClusterCurator资源的根目录中添加以下内容,以再次运行安装 posthook:operation: retryPosthook: installPosthook
在
ClusterCurator资源的根目录中添加以下内容,以再次运行升级 posthook:operation: retryPosthook: upgradePosthook
添加内容后,会创建一个新作业来运行 Ansible posthook。
1.7.10.6. 指定用于所有作业的 Ansible 清单
您可以使用 ClusterCurator 资源指定用于所有作业的 Ansible 清单。请参阅以下示例,将 channel 和 desiredUpdate 替换为 ClusterCurator 的正确值:
+
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: ClusterCurator
metadata:
name: test-inno
namespace: test-inno
spec:
desiredCuration: upgrade
destroy: {}
install: {}
scale: {}
upgrade:
channel: stable-4.x
desiredUpdate: 4.x.1
monitorTimeout: 150
posthook:
- extra_vars: {}
clusterName: test-inno
type: post_check
name: ACM Upgrade Checks
prehook:
- extra_vars: {}
clusterName: test-inno
type: pre_check
name: ACM Upgrade Checks
towerAuthSecret: awx
要验证清单是否已创建,您可以检查 ClusterCurator 资源中的 status 字段,以了解指定所有作业都成功完成的消息。
1.7.10.7. 将自定义标签从 ClusterCurator 资源推送到自动化作业 pod
您可以使用 ClusterCurator 资源将自定义标签推送到 Cluster Curator 创建的自动化作业 pod。您可以在所有策展类型中推送自定义标签。请参见以下示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: ClusterCurator
metadata:
name: cluster1
{{{} namespace: cluster1
labels:
test1: test1
test2: test2
{}}}spec:
desiredCuration: install
install:
jobMonitorTimeout: 5
posthook:
- extra_vars: {}
name: Demo Job Template
type: Job
prehook:
- extra_vars: {}
name: Demo Job Template
type: Job
towerAuthSecret: toweraccess1.7.10.8. 使用 ClusterCurator 进行延长更新支持(EUS)升级
您可以使用 ClusterCurator 资源在 EUS 版本之间更轻松地进行自动升级。
将
spec.upgrade.intermediateUpdate添加到带有中间发行版本值的ClusterCurator资源。请参阅以下示例,其中中间版本为4.14.x,而desiredUpdate为4.15.x:spec: desiredCuration: upgrade upgrade: intermediateUpdate: 4.14.x desiredUpdate: 4.15.x monitorTimeout: 120可选: 您可以暂停
machineconfigpools,以跳过中间版本以更快地升级。在posthook任务中输入Unpause。请参见以下示例:machinepool,并在prehook任务中暂停 machinepoolposthook: - extra_vars: {} name: Unpause machinepool type: Job prehook: - extra_vars: {} name: Pause machinepool type: Job
请参阅以下将 EUS 升级到 EUS 的 ClusterCurator 的完整示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: ClusterCurator
metadata:
annotations:
cluster.open-cluster-management.io/upgrade-clusterversion-backoff-limit: "10"
name: your-name
namespace: your-namespace
spec:
desiredCuration: upgrade
upgrade:
intermediateUpdate: 4.14.x
desiredUpdate: 4.15.x
monitorTimeout: 120
posthook:
- extra_vars: {}
name: Unpause machinepool
type: Job
prehook:
- extra_vars: {}
name: Pause machinepool
type: Job1.7.11. 配置 Ansible Automation Platform 作业以便在托管集群中运行
Red Hat Ansible Automation Platform 与多集群引擎 operator 集成,以便您可以创建在创建或更新托管集群前或之后发生的 prehook 和 posthook Ansible Automation Platform 作业实例。
需要的访问权限:集群管理员
1.7.11.1. 先决条件
您必须满足以下先决条件,才能在集群上运行 Automation 模板:
- 支持的 OpenShift Container Platform 版本
- 安装 Ansible Automation Platform Resource Operator,将 Ansible Automation Platform 作业连接到 Git 订阅的生命周期。当使用 Automation 模板启动 Ansible Automation Platform 作业时,请确保 Ansible Automation Platform 作业模板在运行时是幂等的。您可以在 OpenShift Container Platform OperatorHub 中找到 Ansible Automation Platform Resource Operator。
1.7.11.2. 运行 Ansible Automation Platform 作业以安装托管集群
要启动安装托管集群的 Ansible Automation Platform 作业,请完成以下步骤:
创建
HostedCluster和NodePool资源,包括pausedUntil: true字段。如果使用hcp create cluster命令行界面命令,您可以指定--pausedUntil: true标志。请参见以下示例:
apiVersion: hypershift.openshift.io/v1beta1 kind: HostedCluster metadata: name: my-cluster namespace: clusters spec: pausedUntil: 'true'
apiVersion: hypershift.openshift.io/v1beta1 kind: NodePool metadata: name: my-cluster-us-east-2 namespace: clusters spec: pausedUntil: 'true'
创建一个
ClusterCurator资源,其名称与HostedCluster资源相同,并在与HostedCluster资源相同的命名空间中。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: ClusterCurator metadata: name: my-cluster namespace: clusters labels: open-cluster-management: curator spec: desiredCuration: install install: jobMonitorTimeout: 5 prehook: - name: Demo Job Template extra_vars: variable1: something-interesting variable2: 2 - name: Demo Job Template posthook: - name: Demo Job Template towerAuthSecret: toweraccess如果您的 Ansible Automation Platform Tower 需要身份验证,请创建一个 secret 资源。请参见以下示例:
apiVersion: v1 kind: Secret metadata: name: toweraccess namespace: clusters stringData: host: https://my-tower-domain.io token: ANSIBLE_TOKEN_FOR_admin
1.7.11.3. 运行 Ansible Automation Platform 作业以更新托管集群
要运行更新托管集群的 Ansible Automation Platform 作业,请编辑您要更新的托管集群的 ClusterCurator 资源。请参见以下示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: ClusterCurator
metadata:
name: my-cluster
namespace: clusters
labels:
open-cluster-management: curator
spec:
desiredCuration: upgrade
upgrade:
desiredUpdate: 4.15.1 1
monitorTimeout: 120
prehook:
- name: Demo Job Template
extra_vars:
variable1: something-interesting
variable2: 2
- name: Demo Job Template
posthook:
- name: Demo Job Template
towerAuthSecret: toweraccess- 1
- 有关支持的版本的详情,请参阅 托管 control plane。
注: 当以这种方式更新托管集群时,您可以将托管的 control plane 和节点池更新至同一版本。不支持将托管的 control plane 和节点池更新至不同的版本。
1.7.11.4. 运行 Ansible Automation Platform 作业以删除托管集群
要运行删除托管集群的 Ansible Automation Platform 作业,请编辑您要删除的托管集群的 ClusterCurator 资源。请参见以下示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: ClusterCurator
metadata:
name: my-cluster
namespace: clusters
labels:
open-cluster-management: curator
spec:
desiredCuration: destroy
destroy:
jobMonitorTimeout: 5
prehook:
- name: Demo Job Template
extra_vars:
variable1: something-interesting
variable2: 2
- name: Demo Job Template
posthook:
- name: Demo Job Template
towerAuthSecret: toweraccess注: 不支持删除 AWS 上的托管集群。
1.7.11.5. 其他资源
-
有关托管的 control plane 命令行界面
hcp,请参阅安装托管的 control plane 命令行界面。 - 有关托管集群的更多信息,包括支持的版本,请参阅 托管 control plane 简介。
1.7.12. ClusterClaims
ClusterClaim 是受管集群中的一个集群范围的自定义资源定义(CRD)。ClusterClaim 代表受管集群声明的信息片段。您可以使用 ClusterClaim 来确定目标集群上资源的放置。
以下示例显示了 YAML 文件中标识的 ClusterClaim :
apiVersion: cluster.open-cluster-management.io/v1alpha1 kind: ClusterClaim metadata: name: id.openshift.io spec: value: 95f91f25-d7a2-4fc3-9237-2ef633d8451c
下表显示了 multicluster engine operator 管理的集群定义的 ClusterClaim 列表:
| 声明名称 | 保留 | 可变 | 描述 |
|---|---|---|---|
|
| true | false | 在上游社区定义的 ClusterID |
|
| true | true | Kubernetes 版本 |
|
| true | false | 运行受管集群的平台,如 AWS、GCE 和 Equinix Metal |
|
| true | false | 产品名称,如 OpenShift、Anthos、EKS 和 GKE |
|
| false | false | OpenShift Container Platform 外部 ID,它仅适用于 OpenShift Container Platform 集群 |
|
| false | true | 管理控制台的 URL,仅适用于 OpenShift Container Platform 集群 |
|
| false | true | OpenShift Container Platform 版本,它仅适用于 OpenShift Container Platform 集群 |
如果在受管集群中删除或更新之前的声明,它们会自动恢复或回滚到上一版本。
受管集群加入 hub 后,在受管集群上创建的任何 ClusterClaim 都会与 hub 集群上的 ManagedCluster 资源的状态同步。请参阅以下 ManagedCluster 的 clusterClaims 示例,将 4.x 替换为受支持的 OpenShift Container Platform 版本:
apiVersion: cluster.open-cluster-management.io/v1
kind: ManagedCluster
metadata:
labels:
cloud: Amazon
clusterID: 95f91f25-d7a2-4fc3-9237-2ef633d8451c
installer.name: multiclusterhub
installer.namespace: open-cluster-management
name: cluster1
vendor: OpenShift
name: cluster1
spec:
hubAcceptsClient: true
leaseDurationSeconds: 60
status:
allocatable:
cpu: '15'
memory: 65257Mi
capacity:
cpu: '18'
memory: 72001Mi
clusterClaims:
- name: id.k8s.io
value: cluster1
- name: kubeversion.open-cluster-management.io
value: v1.18.3+6c42de8
- name: platform.open-cluster-management.io
value: AWS
- name: product.open-cluster-management.io
value: OpenShift
- name: id.openshift.io
value: 95f91f25-d7a2-4fc3-9237-2ef633d8451c
- name: consoleurl.openshift.io
value: 'https://console-openshift-console.apps.xxxx.dev04.red-chesterfield.com'
- name: version.openshift.io
value: '4.x'
conditions:
- lastTransitionTime: '2020-10-26T07:08:49Z'
message: Accepted by hub cluster admin
reason: HubClusterAdminAccepted
status: 'True'
type: HubAcceptedManagedCluster
- lastTransitionTime: '2020-10-26T07:09:18Z'
message: Managed cluster joined
reason: ManagedClusterJoined
status: 'True'
type: ManagedClusterJoined
- lastTransitionTime: '2020-10-30T07:20:20Z'
message: Managed cluster is available
reason: ManagedClusterAvailable
status: 'True'
type: ManagedClusterConditionAvailable
version:
kubernetes: v1.18.3+6c42de81.7.12.1. 创建自定义 ClusterClaims
您可以使用受管集群上的自定义名称创建 ClusterClaim 资源,这有助于识别。自定义 ClusterClaim 资源与 hub 集群上的 ManagedCluster 资源的状态同步。以下内容显示了自定义 ClusterClaim 资源的定义示例:
apiVersion: cluster.open-cluster-management.io/v1alpha1 kind: ClusterClaim metadata: name: <custom_claim_name> spec: value: <custom_claim_value>
spec.value 字段的长度必须为 1024 或 less。创建 ClusterClaim 资源需要资源 clusterclaims.cluster.open-cluster-management.io 的 create 权限。
1.7.12.2. 列出现有 ClusterClaims
您可以使用 kubectl 命令列出应用到受管集群的 ClusterClaims,以便您可以将 ClusterClaims 与错误消息进行比较。
备注:您需要具有 clusterclaims.cluster.open-cluster-management.io 资源的 list 权限。
运行以下命令列出受管集群中的所有现有 ClusterClaims:
kubectl get clusterclaims.cluster.open-cluster-management.io
1.7.13. ManagedClusterSets
ManagedClusterSet 是一个受管集群的组。受管集群集,可帮助您管理对所有受管集群的访问。您还可以创建一个 ManagedClusterSetBinding 资源,将 ManagedClusterSet 资源绑定到命名空间。
每个集群都必须是受管集群集的成员。安装 hub 集群时,会创建一个 ManagedClusterSet 资源,名为 default。没有分配给受管集群集的所有集群都会自动分配给 默认 受管集群集。您无法删除或更新 默认 受管集群集。
继续阅读以了解有关如何创建和管理受管集群集的更多信息:
1.7.13.1. 创建 ManagedClusterSet
您可以在受管集群集中将受管集群分组在一起,以限制受管集群的用户访问权限。
需要的访问权限:集群管理员
ManagedClusterSet 是一个集群范围的资源,因此您必须在创建 ManagedClusterSet 的集群中具有集群管理权限。受管集群不能包含在多个 ManagedClusterSet 中。您可以通过 multicluster engine operator 控制台或 CLI 创建受管集群集。
注: 没有添加到受管集群集中的集群池不会添加到默认的 ManagedClusterSet 资源中。从集群池中声明集群后,集群将添加到默认的 ManagedClusterSet 中。
在创建受管集群时,会自动创建以下内容来简化管理:
-
名为
global的ManagedClusterSet。 -
名为
open-cluster-management-global-set的命名空间。 名为
global的ManagedClusterSetBinding,将全局ManagedClusterSet绑定到open-cluster-management-global-set命名空间。重要: 您无法删除、更新或编辑
全局受管集群集。全局受管集群集包括所有受管集群。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1beta2 kind: ManagedClusterSetBinding metadata: name: global namespace: open-cluster-management-global-set spec: clusterSet: global
1.7.13.1.1. 前提条件
查看 hub 集群 KubeAPIServer 证书验证策略,以确保默认的 UseAutoDetectedCABundle 策略可以正常工作。如果需要手动更改策略,请参阅配置 hub 集群 KubeAPIServer 验证策略。
1.7.13.1.2. 使用 CLI 创建 ManagedClusterSet
将受管集群集的以下定义添加到 YAML 文件中,以使用 CLI 创建受管集群集:
apiVersion: cluster.open-cluster-management.io/v1beta2 kind: ManagedClusterSet metadata: name: <cluster_set>
将 <cluster_set > 替换为受管集群集的名称。
1.7.13.1.3. 将集群添加到 ManagedClusterSet
创建 ManagedClusterSet 后,您可以按照控制台中的说明或 CLI 将集群添加到受管集群集中。
1.7.13.1.4. 使用 CLI 将集群添加到 ManagedClusterSet
完成以下步骤,使用 CLI 将集群添加到受管集群集中:
确保有一个 RBAC
ClusterRole条目,供您在managedclustersets/join的虚拟子资源中创建。注: 如果没有此权限,您无法将受管集群分配给
ManagedClusterSet。如果此条目不存在,请将其添加到您的 YAML 文件中。请参见以下示例:kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: clusterrole1 rules: - apiGroups: ["cluster.open-cluster-management.io"] resources: ["managedclustersets/join"] resourceNames: ["<cluster_set>"] verbs: ["create"]将
<cluster_set> 替换为ManagedClusterSet的名称。注:如果要将受管集群从一个
ManagedClusterSet移到另一个,则必须在两个受管集群集中都有该权限。在 YAML 文件中找到受管集群的定义。请参见以下示例定义:
apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: <cluster_name> spec: hubAcceptsClient: true
添加
cluster.open-cluster-management.io/clustersetparemeter,并指定ManagedClusterSet的名称。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: <cluster_name> labels: cluster.open-cluster-management.io/clusterset: <cluster_set> spec: hubAcceptsClient: true
1.7.13.2. 为 ManagedClusterSet分配 RBAC 权限
您可以将用户或组分配给由 hub 集群上配置的身份提供程序提供的集群集合。
需要的访问权限:集群管理员
下表包括了三个 ManagedClusterSet API RBAC 权限级别:
| 集群集 | 访问权限 | 创建权限 |
|---|---|---|
|
| 对分配给受管集群集的所有集群和集群池资源具有完全访问权限。 | 创建集群、导入集群和创建集群池的权限。创建权限时,必须将权限分配给受管集群集。 |
|
|
通过创建一个 | 没有创建集群、导入集群或创建集群池的权限。 |
|
| 对分配给受管集群集的所有集群和集群池资源的只读权限。 | 没有创建集群、导入集群或创建集群池的权限。 |
注: 您无法为全局集群集应用 Cluster set admin 权限。
完成以下步骤,从控制台将用户或组分配给受管集群集:
- 在 OpenShift Container Platform 控制台中进入 Infrastructure > Clusters。
- 选择 Cluster sets 选项卡。
- 选择您的目标集群集。
- 选择 Access management 选项卡。
- 选择 Add user or group。
- 搜索,然后选择您要提供访问权限的用户和组。
- 选择 Cluster set admin 或 Cluster set view 角色,赋予所选用户或用户组。如需更多信息,请参阅 多集群引擎 operator 基于角色的访问控制 中的角色概述。
- 选择 Add 以提交更改。
表中会显示您的用户或组。可能需要几秒钟后,分配到所有受管集群设置的资源的权限才会被传播到您的用户或组。
如需放置信息,请参阅从 ManagedCusterSets 过滤 ManagedClusters。
1.7.13.3. 创建 ManagedClusterSetBinding 资源
ManagedClusterSetBinding 资源将 ManagedClusterSet 资源绑定到命名空间。在同一命名空间中创建的应用程序和策略只能访问包含在绑定受管集群集资源中的集群。
命名空间的访问权限会自动应用到绑定到该命名空间的受管集群集。如果您有对该命名空间的访问权限,则会自动具有访问绑定到该命名空间的任何受管集群集的权限。如果您只有访问受管集群集的权限,则没有访问命名空间中其他受管集群集的权限。
您可以使用控制台或命令行创建受管集群集绑定。
1.7.13.3.1. 使用控制台创建 ManagedClusterSetBinding
完成以下步骤,使用控制台创建 ManagedClusterSetBinding :
- 在 OpenShift Container Platform 控制台中进入到 Infrastructure > Clusters,然后选择 Cluster sets 选项卡。
- 选择您要为其创建绑定的集群集的名称。
- 导航到 Actions > Edit namespace bindings。
- 在 Edit namespace bindings 页面中,从下拉菜单中选择您要将集群集绑定到的命名空间。
1.7.13.3.2. 使用 CLI 创建 ManagedClusterSetBinding
完成以下步骤,使用 CLI 创建 ManagedClusterSetBinding :
在 YAML 文件中创建
ManagedClusterSetBinding资源。注: 在创建受管集群集绑定时,受管集群集绑定的名称必须与要绑定的受管集群集的名称匹配。您的
ManagedClusterSetBinding资源可能类似以下信息:apiVersion: cluster.open-cluster-management.io/v1beta2 kind: ManagedClusterSetBinding metadata: namespace: <namespace> name: <cluster_set> spec: clusterSet: <cluster_set>
确保目标受管集群集有绑定权限。查看以下
ClusterRole资源示例,其中包含允许用户绑定到 <cluster_set> 的规则:apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: <clusterrole> rules: - apiGroups: ["cluster.open-cluster-management.io"] resources: ["managedclustersets/bind"] resourceNames: ["<cluster_set>"] verbs: ["create"]
1.7.13.4. 使用污点和容限放置受管集群
您可以使用污点和容限控制受管集群或受管集群集的放置。污点和容限提供了一种防止为特定放置选择受管集群的方法。如果要阻止某些受管集群包含在某些放置中,这个控制会很有用。您可以向受管集群添加污点,并为放置添加容限。如果污点和容限不匹配,则不会为该放置选择受管集群。
1.7.13.4.1. 将污点添加到受管集群
污点在受管集群的属性中指定,并允许放置来重新放置受管集群或一组受管集群。
如果 taints 部分不存在,您可以通过运行类似以下示例的命令,为受管集群添加污点:
oc patch managedcluster <managed_cluster_name> -p '{"spec":{"taints":[{"key": "key", "value": "value", "effect": "NoSelect"}]}}' --type=merge另外,您可以通过运行类似以下示例的命令将污点附加到现有污点中:
oc patch managedcluster <managed_cluster_name> --type='json' -p='[{"op": "add", "path": "/spec/taints/-", "value": {"key": "key", "value": "value", "effect": "NoSelect"}}]'污点的规格包括以下字段:
-
必需键 - 应用到集群的污点键。这个值必须与受管集群的容限中的值匹配,以满足添加到该放置的条件。您可以确定这个值。例如,这个值可以是
bar或foo.example.com/bar。 -
可选值 - 污点键的污点值。这个值必须与受管集群的容限中的值匹配,以满足添加到该放置的条件。例如,这个值可以是
value。 必需效果 - 污点对不容许污点的放置效果,或者在污点和放置容限不匹配时发生什么。effect 的值必须是以下值之一:
-
NoSelect- 除非容许这个污点,否则不允许放置来选择集群。如果在设置污点前放置选择了集群,则会从放置决定中移除集群。 -
NoSelectIfNew- 如果是新集群,调度程序就无法选择该集群。只有容许污点且已在其集群决策中拥有集群,放置才可以选择集群。
-
-
必需
TimeAdded- 添加污点的时间。这个值会自动设置。
1.7.13.4.2. 识别内置污点以反映受管集群的状态
当无法访问受管集群时,您不希望集群添加到放置中。以下污点会自动添加到无法访问的受管集群:
cluster.open-cluster-management.io/unavailable- 当集群有ManagedClusterConditionAvailable条件为False时,这个污点被添加到受管集群。污点具有NoSelect和空值的效果,以防止调度不可用的集群。以下内容中提供了此污点的示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: cluster1 spec: hubAcceptsClient: true taints: - effect: NoSelect key: cluster.open-cluster-management.io/unavailable timeAdded: '2022-02-21T08:11:54Z'cluster.open-cluster-management.io/unreachable- 当ManagedClusterConditionAvailable条件的状态为Unknown或没有条件时,此污点被添加到受管集群。污点对NoSelect和一个空值的影响,以防止调度无法访问的集群。以下内容中提供了此污点的示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: cluster1 spec: hubAcceptsClient: true taints: - effect: NoSelect key: cluster.open-cluster-management.io/unreachable timeAdded: '2022-02-21T08:11:06Z'
1.7.13.4.3. 为放置添加容限
容限应用到放置,并允许放置没有与放置容限匹配的污点的受管集群。容限的规格包括以下字段:
- 可选 键 - 密钥与 taint 键匹配以允许放置。
- 可选 值 - 容限中的值必须与容限的污点值匹配,以允许放置。
可选 Operator - Operator 代表键和值之间的关系。有效的操作符是
equal和exists。默认值为equal。当键相同时,容限与污点匹配,影响相同,运算符是以下值之一:-
equal- 运算符equal,值在污点和容忍度中是相同的。 -
exists- 值的通配符,因此放置可以容限特定类别的所有污点。
-
-
可选 效果 - 要匹配的污点效果。当留空时,它将匹配所有污点效果。指定后允许的值为
NoSelect或NoSelectIfNew。 -
可选 TolerationSeconds - 将受管集群移至新放置前容许污点的时间长度(以秒为单位)。如果 effect 值不是
NoSelect或PreferNoSelect,会忽略此字段。默认值为nil,这表示没有时间限制。TolerationSeconds的开始时间自动列为污点中的TimeAdded值,而不是在集群调度时间或者TolerationSeconds添加时间。
以下示例演示了如何配置容许具有污点的集群的容限:
受管集群中的污点,例如:
apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: cluster1 spec: hubAcceptsClient: true taints: - effect: NoSelect key: gpu value: "true" timeAdded: '2022-02-21T08:11:06Z'允许容许污点的放置上的容限
apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement1 namespace: default spec: tolerations: - key: gpu value: "true" operator: Equal在定义了容限示例后,放置可以选择
cluster1,因为key: gpu和value: "true"匹配。
注: 受管集群不能保证放在包含污点容限的放置上。如果其他放置包含相同的容限,受管集群可能会放置到其中一个放置上。
1.7.13.4.4. 指定临时容限
TolerationSeconds 的值指定容限容许污点的时间期限。当受管集群离线时,这个临时容限会很有用,您可以将在此集群中部署的应用程序传送到另一个受管集群中,以便容忍的时间。
例如,具有以下污点的受管集群将无法访问:
apiVersion: cluster.open-cluster-management.io/v1
kind: ManagedCluster
metadata:
name: cluster1
spec:
hubAcceptsClient: true
taints:
- effect: NoSelect
key: cluster.open-cluster-management.io/unreachable
timeAdded: '2022-02-21T08:11:06Z'
如果您使用 TolerationSeconds 的值定义放置,如下例所示,工作负载在 5 分钟后传输到另一个可用的受管集群。
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
name: demo4
namespace: demo1
spec:
tolerations:
- key: cluster.open-cluster-management.io/unreachable
operator: Exists
tolerationSeconds: 300受管集群在无法访问 5 分钟后,应用程序会被移到另一个受管集群。
1.7.13.4.5. 其他资源
- 要了解更多有关污点和容限的信息,请参阅 使用污点和容限控制 OpenShift Container Platform 文档中的日志 pod 放置。
-
了解如何使用
oc patch,请参阅 oc patch the OpenShift Container Platform 文档
1.7.13.5. 从 ManagedClusterSet中删除受管集群
您可能希望从受管集群集中删除受管集群,将其移到不同的受管集群集,或者从集合的管理设置中删除。您可以使用控制台或 CLI 从受管集群集中删除受管集群。
备注:
-
每个受管集群都必须分配给受管集群集。如果您从
ManagedClusterSet中删除受管集群,且没有将其分配给不同的ManagedClusterSet,集群会自动添加到default受管集群集中。 -
如果在受管集群中安装了 Submariner 附加组件,则必须在从
ManagedClusterSet中删除受管集群前卸载附加组件。
1.7.13.5.1. 使用控制台从 ManagedClusterSet 中删除集群
完成以下步骤,使用控制台从受管集群集中删除集群:
- 点 Infrastructure > Clusters,并确保选择了 Cluster set 选项卡。
- 选择您要从受管集群集中删除的集群集的名称,以查看集群设置详情。
- 选择 Actions > Manage resource assignments。
在 Manage resource assignments 页面上,删除您要从集群集合中删除的资源的复选框。
此步骤删除已经成为集群集的成员的资源。您可以通过查看受管集群的详情来查看资源是否已是集群集的成员。
注: 如果要将受管集群从一个受管集群集移到另一个受管集群,则必须在两个受管集群集中都有所需的 RBAC 权限。
1.7.13.5.2. 使用 CLI 从 ManagedClusterSet 中删除集群
要使用命令行从受管集群集中删除集群,请完成以下步骤:
运行以下命令在受管集群集中显示受管集群列表:
oc get managedclusters -l cluster.open-cluster-management.io/clusterset=<cluster_set>
将
cluster_set替换为受管集群集的名称。- 找到您要删除的集群条目。
从您要删除的集群的 YAML 条目中删除该标签。参阅以下标签代码示例:
labels: cluster.open-cluster-management.io/clusterset: clusterset1
注: 如果要将受管集群从一个集群设置为另一个集群,则必须在两个受管集群集中都有所需的 RBAC 权限。
1.7.14. Placement
放置资源是一个命名空间范围的资源,它定义了一个规则,该规则从 ManagedClusterSets 中选择 ManagedClusters 集合,它们绑定到放置命名空间。
需要的访问权限: 集群管理员,Cluster set administrator
继续阅读以了解更多有关如何使用放置的信息:
1.7.14.1. 放置概述
参阅以下有关使用受管集群放置的信息:
-
Kubernetes 集群在 hub 集群中注册,作为集群范围的
ManagedClusters。 -
ManagedClusters被组织到集群范围的ManagedClusterSets中。 -
ManagedClusterSets与工作负载命名空间绑定。 -
命名空间范围的放置指定
ManagedClusterSets的部分,用于选择潜在ManagedClusters的工作集合。 -
使用
labelSelector和claimSelector从ManagedClusterSets过滤ManagedClusters。 -
ManagedClusters的放置可以使用污点和容限控制。 - 放置会根据要求对集群进行排名,并从中选择集群子集。
- 放置不选择您要删除的受管集群。
备注:
-
您必须通过在该命名空间中创建一个
ManagedClusterSetBinding来把一个ManagedClusterSet绑定到一个命名空间。 -
您需要在
managedclustersets/bind的虚拟子资源上对CREATE进行基于角色的访问权限。
1.7.14.1.1. 其他资源
- 如需更多信息 ,请参阅使用污点和容限放置受管集群。
- 请参阅 Placements API 以了解有关 API 的更多信息。
- 返回到 使用放置的 Selecting ManagedClusters 。
1.7.14.2. 从 ManagedClusterSets过滤 ManagedClusters
您可以使用 labelSelector 或 claimSelector 选择要过滤的 ManagedClusters。请参见以下示例以了解如何使用这两个过滤器:
在以下示例中,
labelSelector仅与带有标签vendor: OpenShift的集群匹配:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: predicates: - requiredClusterSelector: labelSelector: matchLabels: vendor: OpenShift在以下示例中,claimSelector
仅与带有us-west-1的region.open-cluster-management.io的集群匹配:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: predicates: - requiredClusterSelector: claimSelector: matchExpressions: - key: region.open-cluster-management.io operator: In values: - us-west-1您还可以使用
clusterSets参数从特定集群集中过滤ManagedClusters。在以下示例中,claimSelector仅与集群集clusterset1和clusterset2匹配:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: clusterSets: - clusterset1 - clusterset2 predicates: - requiredClusterSelector: claimSelector: matchExpressions: - key: region.open-cluster-management.io operator: In values: - us-west-1
您还可以使用 numberOfClusters paremeter 选择要过滤的 ManagedClusters 数。请参见以下示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: Placement
metadata:
name: placement
namespace: ns1
spec:
numberOfClusters: 3 1
predicates:
- requiredClusterSelector:
labelSelector:
matchLabels:
vendor: OpenShift
claimSelector:
matchExpressions:
- key: region.open-cluster-management.io
operator: In
values:
- us-west-1- 1
- 指定您要选择的
ManagedClusters数量。上例设置为3。
1.7.14.2.1. 通过使用放置定义容限来过滤 ManagedClusters
要了解如何过滤具有匹配污点的 ManagedClusters,请参阅以下示例:
默认情况下,放置无法选择以下示例中的
cluster1:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: cluster1 spec: hubAcceptsClient: true taints: - effect: NoSelect key: gpu value: "true" timeAdded: '2022-02-21T08:11:06Z'要选择
cluster1,您必须定义容限。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: tolerations: - key: gpu value: "true" operator: Equal
您还可以使用 tolerationSeconds 参数,在指定时间内选择带有匹配污点的 ManagedClusters。tolerationSeconds 定义了一个容限保持与污点绑定的时长。tolerationSeconds 可以在指定时间长度后自动将部署在集群中的应用程序转移到另一个受管集群。
查看以下示例,了解如何使用 tolerationSeconds :
在以下示例中,受管集群变得不可访问:
apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: name: cluster1 spec: hubAcceptsClient: true taints: - effect: NoSelect key: cluster.open-cluster-management.io/unreachable timeAdded: '2022-02-21T08:11:06Z'如果您使用
tolerationSeconds定义放置,工作负载将传送到另一个可用的受管集群。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: tolerations: - key: cluster.open-cluster-management.io/unreachable operator: Exists tolerationSeconds: 300 1- 1
- 指定您希望在多数秒以后将工作负载转移。
1.7.14.2.2. 通过使用放置定义 prioritizerPolicy 来优先考虑 ManagedClusters
查看以下示例,了解如何使用 prioritizerPolicy 参数和放置来优先选择 ManagedClusters。
以下示例选择具有最大可分配内存的集群:
注: 与 Kubernetes Node Allocatable 类似,"可分配"定义为每个集群中 pod 可用的计算资源数量。
apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: numberOfClusters: 1 prioritizerPolicy: configurations: - scoreCoordinate: builtIn: ResourceAllocatableMemory以下示例选择具有最大可分配 CPU 和内存的集群,并区分资源更改:
apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: numberOfClusters: 1 prioritizerPolicy: configurations: - scoreCoordinate: builtIn: ResourceAllocatableCPU weight: 2 - scoreCoordinate: builtIn: ResourceAllocatableMemory weight: 2以下示例选择具有最大
addOn分数 CPU 比率的两个集群,并固定放置决策:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement namespace: ns1 spec: numberOfClusters: 2 prioritizerPolicy: mode: Exact configurations: - scoreCoordinate: builtIn: Steady weight: 3 - scoreCoordinate: type: AddOn addOn: resourceName: default scoreName: cpuratio
1.7.14.2.3. 根据附加组件状态过滤 ManagedClusters
您可能希望根据在其上部署的附加组件的状态,为放置选择受管集群。例如,只有在受管集群上启用了特定的附加组件时,才能为放置选择受管集群。
在创建放置时,您可以为附加组件指定标签及其状态。如果受管集群上启用了附加组件,则会自动在 ManagedCluster 资源上创建一个标签。如果禁用了附加组件,则会自动删除该标签。
每个附加组件都由一个标签表示,格式为 feature.open-cluster-management.io/addon-<addon_name>=<status_of_addon>。
使用要在所选受管集群中启用的附加组件名称替换 addon_name。
如果选择了受管集群,将 status_of_addon 替换为您希望附加组件具有的状态。
对于 status_of_addon,请查看以下可能值列表:
| 值 | 描述 |
|---|---|
|
| 附加组件已启用并可用。 |
|
| 附加组件已启用,但租期不会持续更新。 |
|
| 该附加组件已启用,但没有为其找到租用。也可以在受管集群离线时导致这个问题。 |
例如,可用的 application-manager 附加组件由受管集群上的一个标签表示,如下所示:
feature.open-cluster-management.io/addon-application-manager: available
请参阅以下示例,了解如何根据附加组件及其状态创建放置:
以下放置示例包括启用了
application-manager的所有受管集群:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement1 namespace: ns1 spec: predicates: - requiredClusterSelector: labelSelector: matchExpressions: - key: feature.open-cluster-management.io/addon-application-manager operator: Exists以下放置示例包括启用了
application-manager且具有可用状态的所有受管集群:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement2 namespace: ns1 spec: predicates: - requiredClusterSelector: labelSelector: matchLabels: "feature.open-cluster-management.io/addon-application-manager": "available"以下放置示例包括禁用
application-manager的所有受管集群:apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: placement3 namespace: ns1 spec: predicates: - requiredClusterSelector: labelSelector: matchExpressions: - key: feature.open-cluster-management.io/addon-application-manager operator: DoesNotExist
1.7.14.2.4. 其他资源
- 如需了解更多详细信息,请参阅 Node Allocatable。
- 返回到 Selecting ManagedClusters with placement for other topics。
1.7.14.3. 使用 PlacementDecisions检查所选 ManagedClusters
一个或多个带有标签 cluster.open-cluster-management.io/placement={placement_name} 的 PlacementDecision 类型被创建来代表由放置选择的 ManagedClusters。
如果选择了 ManagedCluster 并添加到 PlacementDecision 中,消耗此放置的组件可能会在这个 ManagedCluster 上应用工作负载。当 ManagedCluster 不再被选择并从 PlacementDecision 中删除后,在此 ManagedCluster 上应用的工作负载会被删除。请参阅 PlacementDecisions API 来了解更多有关 API 的信息。
请参阅以下 PlacementDecision 示例:
apiVersion: cluster.open-cluster-management.io/v1beta1
kind: PlacementDecision
metadata:
labels:
cluster.open-cluster-management.io/placement: placement1
name: placement1-kbc7q
namespace: ns1
ownerReferences:
- apiVersion: cluster.open-cluster-management.io/v1beta1
blockOwnerDeletion: true
controller: true
kind: Placement
name: placement1
uid: 05441cf6-2543-4ecc-8389-1079b42fe63e
status:
decisions:
- clusterName: cluster1
reason: ''
- clusterName: cluster2
reason: ''
- clusterName: cluster3
reason: ''1.7.14.3.1. 其他资源
- 如需了解更多详细信息,请参阅 PlacementDecisions API。
1.7.15. 管理集群池(技术预览)
集群池提供对按需和规模配置的 Red Hat OpenShift Container Platform 集群的快速、经济的访问。集群池在 Amazon Web Services、Google Cloud Platform 或 Microsoft Azure 上置备可配置且可扩展的 OpenShift Container Platform 集群,在需要时可以声明。在为开发、持续集成和生产环境提供或替换集群环境时,它们特别有用。您可以指定多个集群来保持运行,以便可以立即声明它们,而集群的剩余部分将保留在休眠状态,以便在几分钟后恢复并声明。
ClusterClaim 资源用于从集群池中签出集群。创建集群声明时,池会为它分配一个正在运行的集群。如果没有正在运行的集群可用,则会恢复休眠集群来提供集群或新的集群。集群池自动创建新集群,并恢复休眠集群来维护池中的指定大小和可用集群的数量。
创建集群池的过程与创建集群的步骤类似。在集群池中创建的集群不会供立即使用。
1.7.15.1. 创建集群池
创建集群池的过程与创建集群的步骤类似。在集群池中创建的集群不会供立即使用。
需要的访问权限:Administrator
1.7.15.1.1. 先决条件
在创建集群池前,请查看以下先决条件:
- 您需要部署多集群引擎 operator hub 集群。
- 您需要对多集群引擎 operator hub 集群的互联网访问,以便它在供应商环境中创建 Kubernetes 集群。
- 您需要一个 AWS、GCP 或 Microsoft Azure 供应商凭证。如需更多信息,请参阅管理凭证概述。
- 您需要供应商环境中配置的域。有关如何配置域的说明,请参阅您的供应商文档。
- 您需要供应商登录凭证。
- 您需要 OpenShift Container Platform 镜像 pull secret。请参阅使用镜像 pull secret。
注: 使用此流程添加集群池,以便在从池中声明集群时自动导入用于多集群引擎 operator 管理的集群。如果要创建一个没有自动导入使用集群声明的集群池,请将以下注解添加到 clusterClaim 资源中:
kind: ClusterClaim
metadata:
annotations:
cluster.open-cluster-management.io/createmanagedcluster: "false" 1- 1
"false"必须用引号括起来,表示它是一个字符串。
1.7.15.1.2. 创建集群池
要创建集群池,在导航菜单中选择 Infrastructure > Clusters。Cluster pool 选项卡列出您可以访问的集群池。选择 Create cluster pool 并完成控制台中的步骤。
如果您没有要用于集群池的基础架构凭证,可以通过选择 Add credential 来创建一个。
您可以从列表中选择现有命名空间,或者键入要创建新命名空间的名称。集群池不必与集群位于同一个命名空间中。
如果您希望集群池的 RBAC 角色共享现有集群集合的角色分配,请选择集群设置名称。只有创建集群池时,才能设置集群池中的集群设置。您无法在创建集群池后更改集群池或集群池中集群集的关联。从集群池中声明的任何集群都会自动添加到与集群池相同的集群集合中。
注:如果没有 cluster admin 权限,则必须选择一个集群集。如果您在此情形中没有包含集群集的名称,则创建集群集的请求将被拒绝,并带有禁止的错误。如果没有集群集可供选择,请联络您的集群管理员来创建集群集,并为您提供 clusterset admin 权限。
集群池大小 指定您在集群池中置备的集群数量,而集群池运行计数指定池运行的集群数量,并准备好立即使用。
此过程与创建集群的步骤非常相似。
有关您的供应商所需信息的详情,请查看以下信息:
1.7.15.2. 从集群池中声明集群
ClusterClaim 资源用于从集群池中签出集群。当集群正在运行并位于集群池中时,会出现一个声明。集群池自动在集群池中创建新运行和休眠集群,以维护为集群池指定的要求。
注: 当从集群池中声明的集群不再需要并销毁时,资源会被删除。集群不会返回到集群池。
需要的访问权限:Administrator
1.7.15.2.1. 前提条件
在从集群池中声明集群前,您必须有以下可用:
具有或没有可用集群的集群池。如果集群池中存在可用的集群,则会声明可用的集群。如果集群池中没有可用的集群,则会创建一个集群来满足这个声明。如需有关如何创建集群池的信息,请参阅创建集群池。
1.7.15.2.2. 从集群池中声明集群
在创建集群声明时,您可以从集群池请求新集群。当集群可用时,从池中签出集群。声明的集群自动导入为其中一个受管集群,除非您禁用了自动导入。
完成以下步骤以声明集群:
- 在导航菜单中点 Infrastructure > Clusters,然后选择 Cluster pool 选项卡。
- 从中查找您要声明集群的集群池的名称,然后选择 Claim cluster。
如果集群可用,它将被声明并立即出现在 Managed cluster 选项卡中。如果没有可用的集群,可能需要几分钟时间来恢复休眠集群或置备新集群。在这个时间中,声明状态为 pending。扩展集群池,以查看或删除待处理的声明。
当它在集群池中,声明的集群会保留作为与它关联的集群集的成员。在声明集群时,您无法更改声明的集群集合。
注: 对云供应商凭证的 pull secret、SSH 密钥或基域的更改不会反映从集群池中声明的现有集群,因为它们已使用原始凭证置备。您不能使用控制台编辑集群池信息,但您可以使用 CLI 接口更新其信息来更新它。您还可以使用包含更新的信息的凭证创建新集群池。新池中创建的集群使用新凭证中提供的设置。
1.7.15.3. 更新集群池发行镜像
当集群中的集群保留在休眠状态一段时间时,集群的 Red Hat OpenShift Container Platform 发行镜像可能会变为 backlevel。如果发生这种情况,您可以升级集群池中集群的发行镜像版本。
需要的访问权限 : Edit
完成以下步骤,为集群池中的集群更新 OpenShift Container Platform 发行镜像:
注: 此步骤不会从集群池中已声明的集群池中更新集群。完成此步骤后,对发行镜像的更新仅适用于与集群池相关的以下集群:
- 使用此流程更新发行镜像后,由集群池创建的集群。
- 在集群池中休眠的集群。使用旧发行镜像的现有休眠集群将被销毁,新集群使用新的发行镜像替换它们。
- 在导航菜单中点 Infrastructure > Clusters。
- 选择 Cluster pools 选项卡。
- 在 Cluster pool 表中找到您要更新的集群池的名称。
- 点表中的 Cluster pools 的 Options 菜单,然后选择 Update release image。
- 从这个集群池中选择一个新的发行镜像,用于将来的集群创建。
集群池发行镜像已更新。
提示: 您可以通过选择一个操作来更新多个集群池的发行镜像,方法是选择每个集群池的复选框,并使用 Actions 菜单为所选集群池更新发行镜像。
1.7.15.4. 扩展集群池(技术预览)
您可以通过增加或减少集群池大小中的集群数量来更改集群池中的集群数量。
需要的访问权限: 集群管理员
完成以下步骤以更改集群池中的集群数量:
- 在导航菜单中点 Infrastructure > Clusters。
- 选择 Cluster pools 选项卡。
- 在您要更改的集群池的 Options 菜单中,选择 Scale cluster pool。
- 更改池大小的值。
- 另外,您还可以更新正在运行的集群数量,以便在声明它们时立即可用的集群数量。
集群池已扩展,以反映您的新值。
1.7.15.5. 销毁一个集群池
如果您创建了集群池,并确定您不再需要它,您可以销毁集群池。
重要: 您只能销毁没有任何集群声明的集群池。
需要的访问权限: 集群管理员
要销毁集群池,请完成以下步骤:
- 在导航菜单中点 Infrastructure > Clusters。
- 选择 Cluster pools 选项卡。
在您要删除的集群池的 Options 菜单中,在确认框中键入
confirm,然后选择 Destroy。备注:
- 如果集群池有任何集群声明,则禁用 Destroy 按钮。
- 包含集群池的命名空间不会被删除。删除命名空间会销毁从集群池中声明的任何集群,因为这些集群的集群声明资源会在同一命名空间中创建。
提示: 您可以通过选择一个操作来销毁多个集群池,方法是选择每个集群池的复选框,并使用 Actions 菜单销毁所选集群池。
1.7.16. 启用 ManagedServiceAccount 附加组件
当您安装受支持的多集群引擎 Operator 版本时 ,Managed ServiceAccount 附加组件会被默认启用。
重要: 如果您从 multicluster engine operator 版本 2.4 升级 hub 集群,且在升级前没有启用 ManagedServiceAccount 附加组件,您必须手动启用附加组件。
ManagedServiceAccount 允许您在受管集群中创建或删除服务帐户。
需要的访问权限: Editor
当在 hub 集群的 <managed_cluster> 命名空间中创建了一个 ManagedServiceAccount 自定义资源后,会在受管集群中创建一个 ServiceAccount。
TokenRequest 由受管集群中的 ServiceAccount 组成,指向受管集群的 Kubernetes API 服务器。然后,令牌将存储在 hub 集群上的 <target_managed_cluster> 命名空间中的 Secret 中。
注: 令牌可以过期并可以被轮转。有关令牌请求的更多信息,请参阅 TokenRequest。
1.7.16.1. 先决条件
- 您需要一个受支持的 Red Hat OpenShift Container Platform 环境。
- 您需要安装 multicluster engine operator。
1.7.16.2. 启用 ManagedServiceAccount
要为 hub 集群和受管集群启用 ManagedServiceAccount 附加组件,请完成以下步骤:
-
在 hub 集群上启用
ManagedServiceAccount附加组件。请参阅高级配置 以了解更多信息。 部署
ManagedServiceAccount附加组件,并将其应用到目标受管集群。创建以下 YAML 文件,并将target_managed_cluster替换为您要应用Managed-ServiceAccount附加组件的受管集群的名称:apiVersion: addon.open-cluster-management.io/v1alpha1 kind: ManagedClusterAddOn metadata: name: managed-serviceaccount namespace: <target_managed_cluster> spec: installNamespace: open-cluster-management-agent-addon
运行以下命令以应用该文件:
oc apply -f -
现在,已为受管集群启用了
ManagedServiceAccount插件。请参阅以下步骤来配置ManagedServiceAccount。使用以下 YAML 源创建
ManagedServiceAccount自定义资源:apiVersion: authentication.open-cluster-management.io/v1alpha1 kind: ManagedServiceAccount metadata: name: <managedserviceaccount_name> namespace: <target_managed_cluster> spec: rotation: {}-
将
managed_serviceaccount_name替换为ManagedServiceAccount的名称。 -
将
target_managed_cluster替换为您要将ManagedServiceAccount应用到的受管集群的名称。
-
将
要验证,请查看
ManagedServiceAccount对象状态中的tokenSecretRef属性,以查找 secret 名称和命名空间。使用您的帐户和集群名称运行以下命令:oc get managedserviceaccount <managed_serviceaccount_name> -n <target_managed_cluster> -o yaml
查看包含连接到受管集群中创建的
ServiceAccount的已检索令牌的Secret。运行以下命令:oc get secret <managed_serviceaccount_name> -n <target_managed_cluster> -o yaml
1.7.17. 集群生命周期高级配置
您可以在安装过程中或安装后配置一些集群设置。
1.7.17.1. 自定义 API 服务器证书
受管集群通过与 OpenShift Kube API 服务器外部负载均衡器的 mutual 连接与 hub 集群通信。安装 OpenShift Container Platform 时,默认 OpenShift Kube API 服务器证书由内部 Red Hat OpenShift Container Platform 集群证书颁发机构(CA)发布。如果需要,您可以添加或更改证书。
更改 API 服务器证书可能会影响受管集群和 hub 集群之间的通信。在安装产品前添加指定证书时,您可以避免可能使受管集群处于离线状态的问题。
以下列表包含您可能需要更新证书时的一些示例:
您需要将外部负载均衡器的默认 API 服务器证书替换为您自己的证书。按照 OpenShift Container Platform 文档中的 Adding API 服务器证书中的指导,您可以添加带有主机名
api.<cluster_name>.<base_domain> 的命名证书来替换外部负载均衡器的默认 API 服务器证书。替换证书可能会导致某些受管集群进入离线状态。如果在升级证书后集群处于离线状态,请在 证书更改后对导入的集群离线进行故障排除 说明。注: 在安装产品前添加指定证书有助于避免集群进入离线状态。
外部负载均衡器的命名证书即将过期,您需要替换它。如果旧的和新证书共享相同的 root CA 证书,尽管存在中间证书的数量,您可以遵循 OpenShift Container Platform 文档中的 Adding API 服务器证书中的 指导来为新证书创建新 secret。然后,将主机名
api.<cluster_name>.<base_domain>的 serving 证书引用更新为APIServer自定义资源中的新 secret。否则,当旧证书和新证书有不同的 root CA 证书时,请完成以下步骤来替换证书:找到
APIServer自定义资源,如下例所示:apiVersion: config.openshift.io/v1 kind: APIServer metadata: name: cluster spec: audit: profile: Default servingCerts: namedCertificates: - names: - api.mycluster.example.com servingCertificate: name: old-cert-secret运行以下命令,在
openshift-config命名空间中创建一个新 secret,其中包含现有证书的内容:将旧证书复制到新证书中:
cp old.crt combined.crt
将新证书的内容添加到旧证书的副本中:
cat new.crt >> combined.crt
应用组合证书以创建 secret:
oc create secret tls combined-certs-secret --cert=combined.crt --key=old.key -n openshift-config
更新
APIServer资源,以将合并的证书引用为serviceCertificate。apiVersion: config.openshift.io/v1 kind: APIServer metadata: name: cluster spec: audit: profile: Default servingCerts: namedCertificates: - names: - api.mycluster.example.com servingCertificate: name: combined-cert-secret- 大约 15 分钟后,包含新证书和旧证书的 CA 捆绑包将传播到受管集群。
输入以下命令在
openshift-config命名空间中创建另一个名为new-cert-secret的 secret,该 secret 只包含新证书信息:oc create secret tls new-cert-secret --cert=new.crt --key=new.key -n openshift-config {code}通过更改
servingCertificate的名称来更新APIServer资源,以引用new-cert-secret。您的资源可能类似以下示例:apiVersion: config.openshift.io/v1 kind: APIServer metadata: name: cluster spec: audit: profile: Default servingCerts: namedCertificates: - names: - api.mycluster.example.com servingCertificate: name: new-cert-secret大约 15 分钟后,旧证书会从 CA 捆绑包中删除,更改会自动传播到受管集群。
注: 受管集群必须使用主机名 api.<cluster_name>.<base_domain& gt; 来访问 hub 集群。您不能使用配置了其他主机名的命名证书。
1.7.17.2. 配置 hub 集群和受管集群之间的代理
要将受管集群注册到 Kubernetes operator hub 集群的多集群引擎,您需要将受管集群传送到多集群引擎 operator hub 集群。有时,您的受管集群无法直接访问您的多集群引擎 operator hub 集群。在这个实例中,配置代理设置,以允许受管集群的通信通过 HTTP 或 HTTPS 代理服务器访问多集群引擎 operator hub 集群。
例如,多集群引擎 operator hub 集群位于公有云中,受管集群位于防火墙后面的私有云环境中。私有云中的通信只能通过 HTTP 或 HTTPS 代理服务器。
1.7.17.2.1. 先决条件
- 您有一个运行 HTTP 或 HTTPS 代理服务器,它支持 HTTP 隧道。例如,HTTP 连接方法。
- 您有一个可以访问 HTTP 或 HTTPS 代理服务器的管理集群,代理服务器可以访问 multicluster engine operator hub 集群。
完成以下步骤,在 hub 集群和受管集群之间配置代理设置:
使用代理设置创建
KlusterConfig资源。请参阅使用 HTTP 代理配置:
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: http-proxy spec: hubKubeAPIServerConfig: proxyURL: "http://<username>:<password>@<ip>:<port>"请参阅以下使用 HTTPS 代理的配置:
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: https-proxy spec: hubKubeAPIServerConfig: proxyURL: "https://<username>:<password>@<ip>:<port>" trustedCABundles: - name: "proxy-ca-bundle" caBundle: name: <configmap-name> namespace: <configmap-namespace>注: HTTPS 代理需要 CA 捆绑包。它引用包含一个或多个 CA 证书的 ConfigMap。您可以运行以下命令来创建 ConfigMap:
oc create -n <configmap-namespace> configmap <configmap-name> --from-file=ca.crt=/path/to/ca/file
在创建受管集群时,通过添加一个引用
KlusterletConfig资源的注解来选择KlusterletConfig资源。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: annotations: agent.open-cluster-management.io/klusterlet-config: <klusterlet-config-name> name:<managed-cluster-name> spec: hubAcceptsClient: true leaseDurationSeconds: 60备注:
-
在 multicluster engine operator 控制台上运行时,您可能需要切换 YAML 视图来将注解添加到
ManagedCluster资源。 -
您可以使用全局
KlusterletConfig在每个受管集群中启用配置,而无需使用注解进行绑定。
-
在 multicluster engine operator 控制台上运行时,您可能需要切换 YAML 视图来将注解添加到
1.7.17.2.2. 禁用 hub 集群和受管集群之间的代理
如果您的开发更改,您可能需要禁用 HTTP 或 HTTPS 代理。
-
进入
ManagedCluster资源。 -
删除
agent.open-cluster-management.io/klusterlet-config注解。
1.7.17.2.3. 可选:将 klusterlet 配置为在特定节点上运行
当使用 Red Hat Advanced Cluster Management for Kubernetes 创建集群时,您可以通过为受管集群配置 nodeSelector 和 tolerations 注解来指定您要运行受管集群 klusterlet 的节点。完成以下步骤以配置这些设置:
- 从控制台的集群页面中选择您要更新的受管集群。
将 YAML 开关设置为
On以查看 YAML 内容。注: YAML 编辑器仅在导入或创建集群时可用。要在导入或创建后编辑受管集群 YAML 定义,您必须使用 OpenShift Container Platform 命令行界面或 Red Hat Advanced Cluster Management 搜索功能。
-
在受管集群 YAML 定义中添加
nodeSelector注解。此注解的键为:open-cluster-management/nodeSelector。此注解的值是具有 JSON 格式的字符串映射。 在受管集群 YAML 定义中添加
tolerations条目。此注解的键为:open-cluster-management/tolerations。此注解的值代表具有 JSON 格式的 容限 列表。生成的 YAML 可能类似以下示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: annotations: open-cluster-management/nodeSelector: '{"dedicated":"acm"}' open-cluster-management/tolerations: '[{"key":"dedicated","operator":"Equal","value":"acm","effect":"NoSchedule"}]'- 要确保您的内容部署到正确的节点,请完成 为 klusterlet 附加组件配置 nodeSelectors 和 tolerations 中的步骤。
1.7.17.3. 导入受管集群时自定义 hub 集群 API 服务器的服务器 URL 和 CA 捆绑包(技术预览)
如果受管集群和 hub 集群之间存在中间组件,您可能无法在多集群引擎 operator hub 集群上注册受管集群。中间组件示例包括虚拟 IP、负载均衡器、反向代理或 API 网关。如果您有中间组件,在导入受管集群时,您必须为 hub 集群 API 服务器使用自定义服务器 URL 和 CA 捆绑包。
1.7.17.3.1. 先决条件
- 您必须配置中间组件,以便受管集群可以访问 hub 集群 API 服务器。
如果中间组件终止受管集群和 hub 集群 API 服务器之间的 SSL 连接,您必须桥接 SSL 连接,并将原始请求中的身份验证信息传递给 hub 集群 API 服务器的后端。您可以使用 Kubernetes API 服务器的 User Impersonation 功能来桥接 SSL 连接。
中间组件从原始请求中提取客户端证书,添加证书主题的通用名称(CN)和机构(O)作为模拟标头,然后将修改后的模拟请求转发到 hub 集群 API 服务器的后端。
注: 如果您桥接 SSL 连接,集群代理附加组件无法正常工作。
1.7.17.3.2. 自定义服务器 URL 和 hub 集群 CA 捆绑包
要在导入受管集群时使用自定义 hub API 服务器 URL 和 CA 捆绑包,请完成以下步骤:
使用自定义 hub 集群 API 服务器 URL 和 CA 捆绑包创建
KlusterConfig资源。请参见以下示例:apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: <name> 1 spec: hubKubeAPIServerConfig: url: "https://api.example.com:6443" 2 serverVerificationStrategy: UseCustomCABundles trustedCABundles: - name: <custom-ca-bundle> 3 caBundle: name: <custom-ca-bundle-configmap> 4 namespace: <multicluster-engine> 5
通过在创建受管集群时通过添加引用资源的注解来选择
KlusterletConfig资源。请参见以下示例:apiVersion: cluster.open-cluster-management.io/v1 kind: ManagedCluster metadata: annotations: agent.open-cluster-management.io/klusterlet-config: 1 name: 2 spec: hubAcceptsClient: true leaseDurationSeconds: 60备注:
-
如果使用控制台,您可能需要启用 YAML 视图来向
ManagedCluster资源添加注解。 -
您可以使用全局
KlusterletConfig在每个受管集群中启用配置,而无需使用注解进行绑定。
-
如果使用控制台,您可能需要启用 YAML 视图来向
1.7.17.3.3. 配置全局 KlusterletConfig
如果您创建 KlusterletConfig 资源并将名称设置为 全局,则全局 KlusterletConfig 中的配置会自动在每个受管集群中应用。
在具有全局 KlusterletConfig 的环境中,您还可以创建特定于集群的 KlusterletConfig,并通过将 agent.open-cluster-management.io/klusterlet-config: <klusterletconfig-name> 注解添加到 ManagedCluster 资源来 将其与受管集群绑定。如果您为同一字段设置了不同的值,则特定于集群的 的值会覆盖全局 KlusterletConfig 值。
KlusterletConfig
请参阅以下示例,其中 hubKubeAPIServerURL 字段在 KlusterletConfig 和全局 KlusterletConfig 中设置不同的值。"https://api.example.test.com:6443" 值会覆盖 "https://api.example.global.com:6443" 值:
deprecation : hubKubeAPIServerURL 字段已弃用。请参阅 API 弃用 以了解更多信息。
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: test
spec:
hubKubeAPIServerConfig:
url: "https://api.example.test.com:6443"
---
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: global
spec:
hubKubeAPIServerConfig:
url: "https://api.example.global.com:6443"
如果没有绑定到受管集群的特定于集群的 KlusterletConfig,或者缺少同一字段,或者特定于集群的 KlusterletConfig 中没有值,则使用全局 KlusterletConfig 的值。
请参阅以下示例,其中全局 KlusterletConfig 的 hubKubeAPIServerURL 字段中的 "example.global.com" 值会覆盖 KlusterletConfig :
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: test spec: hubKubeAPIServerURL: "" — apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: global spec: hubKubeAPIServerURL: "example.global.com"
请参阅以下示例,其中全局 KlusterletConfig 的 hubKubeAPIServerURL 字段中的 "example.global.com" 值也会覆盖您的 KlusterletConfig :
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: test — apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: global spec: hubKubeAPIServerURL: "example.global.com"
1.7.17.4. 配置 hub 集群 KubeAPIServer 验证策略
受管集群通过与 OpenShift Container Platform KubeAPIServer 外部负载均衡器的 mutual 连接与 hub 集群通信。安装 OpenShift Container Platform 时,内部 OpenShift Container Platform 集群证书颁发机构(CA)会发出默认的 OpenShift Container Platform KubeAPIServer 证书。Kubernetes operator 的多集群引擎会自动检测并将证书添加到 bootstrap-kubeconfig-secret 命名空间中的受管集群。
如果您的自动检测到的证书无法正常工作,您可以在 KlusterletConfig 资源中手动配置策略配置。手动配置策略允许您控制如何验证 hub 集群 KubeAPIServer 证书。
请参阅以下三种策略之一中的示例以了解如何手动配置策略:
1.7.17.4.1. 使用 UseAutoDetectedCABundle配置策略
默认配置策略是 UseAutoDetectedCABundle。multicluster engine operator 会自动检测 hub 集群上的证书,并合并 trustedCABundles 列表中配置的证书(若有的话)。
以下示例合并了来自 hub 集群和您在 new-ocp-ca 配置映射中配置的证书,并将这两个证书添加到受管集群:
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: ca-strategy
spec:
hubKubeAPIServerConfig:
serverVerificationStrategy: UseAutoDetectedCABundle
trustedCABundles:
- name: new-ca
caBundle:
name: new-ocp-ca
namespace: default1.7.17.4.2. 使用 UseSystemTruststore配置策略
使用 UseSystemTruststore 时,多集群引擎 operator 不会检测到任何证书,并忽略 trustedCABundles 参数部分中配置的证书。此配置不会将任何证书传递给受管集群。相反,受管集群使用受管集群的系统信任存储中的证书来验证 hub 集群 API 服务器。这适用于公共 CA (如 Let 的 Encrypt )发出 hub 集群证书的情况。请参阅以下使用 UseSystemTruststore 的示例:
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: ca-strategy spec: hubKubeAPIServerConfig: serverVerificationStrategy: UseSystemTruststore
1.7.17.4.3. 使用 UseCustomCABundles配置策略
如果您知道 hub 集群 API 服务器的 CA,且不想 multicluster engine operator 自动检测到它,您可以使用 UseCustomCABundles。对于此策略,多集群引擎 operator 将您配置的证书从 trustedCABundles 参数添加到受管集群。请参见以下示例了解如何使用 UseCustomCABundles :
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: ca-strategy
spec:
hubKubeAPIServerConfig:
serverVerificationStrategy: UseCustomCABundles
trustedCABundles:
- name: ca
caBundle:
name: ocp-ca
namespace: default
通常,每个受管集群此策略都相同。在安装多集群引擎 operator 或 hub 集群证书更改时,管理员可以配置名为 global 的 KlusterletConfig 来为每个受管集群激活策略。请参见以下示例:
apiVersion: config.open-cluster-management.io/v1alpha1 kind: KlusterletConfig metadata: name: global spec: hubKubeAPIServerConfig: serverVerificationStrategy: UseSystemTruststore
当受管集群需要使用不同的策略时,您还可以创建不同的 KlusterletConfig,并使用受管集群中的 agent.open-cluster-management.io/klusterlet-config 注解来指向特定的策略。请参见以下示例:
apiVersion: config.open-cluster-management.io/v1alpha1
kind: KlusterletConfig
metadata:
name: test-ca
spec:
hubKubeAPIServerConfig:
serverVerificationStrategy: UseCustomCABundles
trustedCABundles:
- name: ca
caBundle:
name: ocp-ca
namespace: default
--
apiVersion: cluster.open-cluster-management.io/v1
kind: ManagedCluster
metadata:
annotations:
agent.open-cluster-management.io/klusterlet-config: test-ca
name: cluster1
spec:
hubAcceptsClient: true
leaseDurationSeconds: 601.7.17.5. 其他资源
1.7.18. 从管理中移除集群
当您从管理中删除使用 multicluster engine operator 创建的 OpenShift Container Platform 集群时,您可以分离或销毁它。分离集群会将其从管理中移除,但不会完全删除。如果要管理它,您可以再次导入它。只有集群处于 Ready 状态时方可使用这个选项。
以下流程在以下情况下从管理中删除集群:
- 您已删除集群,并希望从 Red Hat Advanced Cluster Management 中删除已删除的集群。
- 您要从管理中删除集群,但还没有删除集群。
重要:
- 销毁集群会将其从管理中移除,并删除集群的组件。
当您分离或销毁受管集群时,相关的命名空间会被自动删除。不要将自定义资源放在这个命名空间中。
1.7.18.1. 使用控制台删除集群
在导航菜单中导航到 Infrastructure > Clusters,从您要从管理中删除的集群旁的选项菜单中选择 Destroy cluster 或 Detach cluster。
提示: 您可以通过选择要分离或销毁的集群的复选框来分离或销毁多个集群,然后选择 Detach 或 Destroy。
注: 如果您在管理的 hub 集群(称为 local-cluster )时尝试分离 hub 集群,请检查 disableHubSelfManagement 的默认设置是否为 false。此设置会导致 hub 集群在分离时重新导入自己并管理自己,并协调 MultiClusterHub 控制器。hub 集群可能需要几小时时间来完成分离过程并重新导入。
要在不需要等待进程完成的情况下重新导入 hub 集群,您可以输入以下命令来重启 multiclusterhub-operator pod 并更快地重新导入:
oc delete po -n open-cluster-management `oc get pod -n open-cluster-management | grep multiclusterhub-operator| cut -d' ' -f1`
您可以通过将 disableHubSelfManagement 值改为 true 来更改 hub 集群的值,如 在线安装 所述。
1.7.18.2. 使用命令行删除集群
要使用 hub 集群的命令行分离受管集群,请运行以下命令:
oc delete managedcluster $CLUSTER_NAME
要在分离后销毁受管集群,请运行以下命令:
oc delete clusterdeployment <CLUSTER_NAME> -n $CLUSTER_NAME
备注:
-
要防止销毁受管集群,在
ClusterDeployment自定义资源中将spec.preserveOnDelete参数设置为true。 disableHubSelfManagement的默认设置为false。false'setting 会导致 hub 集群(也称为 'local-cluster)在分离后重新导入和管理其自身,并协调MultiClusterHub控制器。分离和重新导入过程可能需要几小时时间才能完成 hub 集群。如果要在等待进程完成后重新导入 hub 集群,您可以输入以下命令来重启
multiclusterhub-operatorpod 并更快地重新导入:oc delete po -n open-cluster-management `oc get pod -n open-cluster-management | grep multiclusterhub-operator| cut -d' ' -f1`
您可以通过将
disableHubSelfManagement值改为true来更改 hub 集群的值,使其不会自动导入。请参阅在线安装。
1.7.18.3. 删除集群后删除剩余的资源
如果受管集群上有剩余的资源,则需要额外的步骤以确保删除所有剩余的组件。需要这些额外步骤的情况,包括以下示例:
-
受管集群在完全创建前会被分离,但
klusterlet等一些组件会保留在受管集群中。 - 在分离受管集群前,管理集群的 hub 丢失或销毁,因此无法从 hub 中分离受管集群。
- 当受管集群被分离后,受管集群将处于非在线状态。
如果其中一个情况适用于您试图分离的受管集群,则有些资源将无法从受管集群中删除。完成以下步骤以分离受管集群:
-
确保配置了
oc命令行界面。 确保您在受管集群中配置了
KUBECONFIG。如果运行
oc get ns | grep open-cluster-management-agent,您应该看到两个命名空间:open-cluster-management-agent Active 10m open-cluster-management-agent-addon Active 10m
使用以下命令删除
klusterlet自定义资源:oc get klusterlet | grep klusterlet | awk '{print $1}' | xargs oc patch klusterlet --type=merge -p '{"metadata":{"finalizers": []}}'运行以下命令以删除剩余的资源:
oc delete namespaces open-cluster-management-agent open-cluster-management-agent-addon --wait=false oc get crds | grep open-cluster-management.io | awk '{print $1}' | xargs oc delete crds --wait=false oc get crds | grep open-cluster-management.io | awk '{print $1}' | xargs oc patch crds --type=merge -p '{"metadata":{"finalizers": []}}'运行以下命令,以确保命名空间和所有打开的集群管理
crds均已被删除:oc get crds | grep open-cluster-management.io | awk '{print $1}' oc get ns | grep open-cluster-management-agent
1.7.18.4. 删除集群后对 etcd 数据库进行碎片整理
拥有多个受管集群可能会影响 hub 集群中 etcd 数据库的大小。在 OpenShift Container Platform 4.8 中,当删除受管集群时,hub 集群中的 etcd 数据库不会被自动减小。在某些情况下,etcd 数据库可能会耗尽空间。此时会显示一个错误 etcdserver: mvcc: database space exceeded。要更正此错误,请通过压缩数据库历史记录并对 etcd 数据库进行碎片整理来减小 etcd 数据库的大小。
注: 对于 OpenShift Container Platform 版本 4.9 及更新的版本,etcd Operator 会自动清理磁盘并压缩 etcd 历史记录。不需要人工干预。以下流程适用于 OpenShift Container Platform 版本 4.8 及更早版本。
通过完成以下步骤,压缩 etcd 历史记录并整理 hub 集群中 etcd 数据库的碎片。
1.7.18.4.1. 先决条件
-
安装 OpenShift CLI(
oc)。 -
以具有
cluster-admin特权的用户身份登录。
1.7.18.4.2. 流程
压缩
etcd历史记录。打开到
etcd成员的远程 shell 会话,例如:$ oc rsh -n openshift-etcd etcd-control-plane-0.example.com etcdctl endpoint status --cluster -w table
运行以下命令来压缩
etcd历史记录:sh-4.4#etcdctl compact $(etcdctl endpoint status --write-out="json" | egrep -o '"revision":[0-9]*' | egrep -o '[0-9]*' -m1)
输出示例
$ compacted revision 158774421
-
清理
etcd数据库并清除任何NOSPACE警报,如 分离etcd数据 中所述。
