红帽全球峰会第 1 章 安装
在安装前,请查看每个产品所需的硬件和系统配置。您可以使用受支持的 Red Hat OpenShift Container Platform 版本在 Linux 上在线安装。
- 您必须有受支持的 OpenShift Container Platform 版本。例如,您可以在 AWS 或 Red Hat OpenShift Dedicated 上使用 Red Hat OpenShift Service。
- 您必须安装 multicluster engine operator。
FIPS 注意:如果您没有在 spec.ingress.sslCiphers 中指定自己的密码,则 multiclusterhub-operator 会提供默认密码列表。对于 2.3,这个列表包含两个 未被 FIPS 批准的密码。如果您从 2.3.x 或更早版本升级并希望符合 FIPS 合规性,请从 multiclusterhub 资源中删除以下两个密码: ECDHE-ECDSA-CHACHA20-POLY1305 和 ECDHE-RSA-CHACHA20-POLY1305。
安装 Red Hat Advanced Cluster Management for Kubernetes 来设置一个多节点集群生产环境。您可以使用标准配置或高可用性配置安装 Red Hat Advanced Cluster Management for Kubernetes。有关安装过程的更多信息,请参阅以下文档:
1.1. 要求和建议
在安装 Red Hat Advanced Cluster Management for Kubernetes 前,请查看以下系统配置要求和设置:
1.1.1. 支持的操作系统和平台
要查看有关 hub 集群和受管集群的平台的最新信息,请参阅 Red Hat Advanced Cluster Management 2.6 支持列表。
1.1.2. 支持的浏览器
您可从 Mozilla Firefox、Google Chrome、Microsoft Edge 和 Safari 访问 Red Hat Advanced Cluster Management 控制台。请查看以下经过测试和支持的版本:
| 平台 | 支持的浏览器 |
|---|---|
| Microsoft Windows | Microsoft Edge - 44 或更新版本,Mozilla Firefox - 82.0 或更新版本,Google Chrome - 版本 86.0 及更新版本 |
| Linux | Mozilla Firefox - 82.0 及更新版本,Google Chrome - 版本 86.0 及更新版本 |
| macOS | Mozilla Firefox - 82.0 及更新版本,Google Chrome - 版本 86.0 及更新版本,Safari - 14.0 及更新版本 |
1.1.3. 网络配置
将您的网络设置配置为允许以下的连接:
1.1.3.1. hub 集群网络要求
有关 hub 集群网络要求,请查看下表:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| 到受管集群的外向网络流量 | HTTPS |
为受管集群的 pod 从搜索控制台动态获取日志。此连接在受管集群的 | 443 |
| 到受管集群的外向网络流量 | HTTPS | 在安装时置备的受管集群的 Kubernetes API 服务器,用来安装 Klusterlet | 6443 |
| 到频道源的外向流量 | HTTPS | 频道源,包括 GitHub、Object Store 和 Helm 仓库。只有在使用应用程序生命周期、OpenShift GitOps 或 ArgoCD 来连接这些源时才需要。 | 443 |
| 来自受管集群的内向流量 | HTTPS | 受管集群用于推送指标和警报(仅针对运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集警报) | 443 |
| 来自受管集群的内向流量 | HTTPS | 监测来自受管集群的、hub 集群的 kube API Server 的变化 | 6443 |
|
到 | HTTPS | 在 Cluster Backup Operator 运行时,为 ObjectStore 和/或 中的长期存储发送 Observability 指标数据。 | 443 |
| 到镜像仓库的外向流量 | HTTPS | 访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像 | 443 |
1.1.3.2. 受管集群网络要求
注:在受管集群中的注册代理和工作代理不支持代理设置,因为它们通过建立 mTLS 连接与 hub 集群上的 apiserver 通信,该连接无法通过代理进行。
有关受管集群网络要求,请查看下表:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| 来自 hub 集群的内向流量 | HTTPS |
为受管集群的 pod 动态发送日志。这个连接使用一个在受管集群中运行的服务,名为 | 443 |
| 来自 hub 集群的内向流量 | HTTPS | 在安装时置备的受管集群的 Kubernetes API 服务器,用来安装 Klusterlet | 6443 |
| 到镜像仓库的外向流量 | HTTPS | 访问 OpenShift Container Platform 和 Red Hat Advanced Cluster Management 的镜像 | 443 |
| 到 hub 集群的外向流量 | HTTPS | 受管集群用于推送指标和警报(仅针对运行 OpenShift Container Platform 版本 4.8 或更高版本的受管集群收集警报) | 443 |
| 到 hub 集群的外向流量 | HTTPS | 监视 hub 集群的 Kubernetes API 服务器的变化 | 6443 |
| 到频道源的外向流量 | HTTPS | 到频道源的受管集群,其中包括 GitHub、Object Store 和 Helm 仓库。只有在使用应用程序生命周期来连接这些源时才需要。 | 443 |
| 到 hub 集群的外向流量 | HTTPS | 用于受管集群上的 cluster-proxy 附加组件以注册。 | 443 |
1.1.3.3. 使用基础架构 Operator 安装的额外网络要求
当使用 Infrastructure Operator 安装裸机受管集群时,请参阅以下表以了解额外网络要求:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| hub 集群到 ISO/rootfs 镜像仓库的外向流量 | HTTPS(在断开连接的环境中的 HTTP) | 用于在 Red Hat Advanced Cluster Management hub 上创建 ISO 镜像 | 443(断开连接的环境中为 80) |
| hub 集群在一个单一的节点 OpenShift Container Platform 受管集群中到 BMC 接口的外向流量 | HTTPS(在断开连接的环境中的 HTTP) | 引导 OpenShift Container Platform 集群 | 443 |
| 从 OpenShift Container Platform 受管集群到 hub 集群的外向流量 | HTTPS |
使用 | 443 |
| 从 OpenShift Container Platform 受管集群到 ISO/rootfs 镜像仓库的外向流量 | HTTP | 下载 rootfs 镜像 | 80 |
1.1.3.4. Submariner 网络要求
使用 Submariner 的集群需要三个打开的端口。下表显示了您可以使用的端口:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
| 出站和入站 | UDP | 每个受管集群 | 4800 |
| 出站和入站 | UDP | 每个受管集群 | 4500、500 以及网关节点上 IPSec 流量的任何其他端口 |
| 入站 | TCP | 每个受管集群 | 8080 |
| 入站 | TCP | 启用 Globalnet | 8081 |
1.1.3.5. 使用 Hive Operator 安装的其他网络要求
当使用 Central Infrastructure Management(包括使用 Central Infrastructure Management)安装裸机受管集群时,您必须在 hub 集群和 libvirt 置备主机间配置第 2 层或第 3 层端口连接。在使用 Hive 创建基本集群的过程中,需要它们来与置备主机进行连接。如需更多信息,请参阅下表:
| 方向 | 协议 | 连接 | 端口(如果指定) |
|---|---|---|---|
|
到 | IP |
将 hub 集群(Hive operator 安装的位置)连接到 |
注: 这些要求只适用于安装时,在升级使用 Infrastructure Operator 安装的集群时不需要。
1.1.3.6. 应用程序部署网络要求
通常,应用程序部署通信是从受管集群到 hub 集群的一种方法。连接使用 kubeconfig,后者由受管集群上的代理配置。受管集群中的应用程序部署需要访问 hub 集群中的以下命名空间:
- 频道资源的命名空间
- 受管集群的命名空间
1.1.3.7. 命名空间连接网络要求
应用程序生命周期连接:
-
命名空间
open-cluster-management需要访问端口 4000 上的控制台 API。 -
命名空间
open-cluster-management需要在端口 3001 上公开 Application UI。
-
命名空间
应用程序生命周期后端组件(pod):
在 hub 集群中,所有应用程序生命周期 pod 都安装在
open-cluster-management命名空间中,包括以下 pod:- multicluster-operators-hub-subscription
- multicluster-operators-standalone-subscription
- multicluster-operators-channel
- multicluster-operators-application
multicluster-integrations
由于这些 pod 位于
open-cluster-management命名空间中:-
命名空间
open-cluster-management需要通过端口 6443 访问 Kube API。
在受管集群中,只有
klusterlet-addon-appmgr应用程序生命周期 pod 安装在open-cluster-management-agent-addon命名空间中:-
命名空间
open-cluster-management-agent-addon需要通过端口 6443 访问 Kube API。
监管和风险:
在 hub 集群中,需要以下访问权限:
-
命名空间
open-cluster-management需要通过端口 6443 访问 Kube API。 -
命名空间
open-cluster-management需要访问端口 5353 上的 OpenShift DNS。
在受管集群中,需要以下访问权限:
-
命名空间
open-cluster-management-addon需要通过端口 6443 访问 Kube API。
-
命名空间
如需了解更多信息,请参阅 Red Hat Advanced Cluster Management for Kubernetes 2.6 支持列表。
