红帽全球峰会第 9 章 升级 RHACS 云服务
9.1. 使用 Operator 在 RHACS Cloud Service 中升级安全集群
红帽为它管理的组件(包括 Central 服务)提供常规服务更新。这些服务更新包括升级到 Red Hat Advanced Cluster Security Cloud Service 的新版本。
您必须定期升级安全集群中的 RHACS 版本,以确保与 RHACS 云服务兼容。
9.1.1. 准备升级
在升级 Red Hat Advanced Cluster Security for Kubernetes (RHACS)版本前,请完成以下步骤:
-
如果您要升级的集群包含
SecuredCluster自定义资源(CR),请将 collection 方法改为CORE_BPF。如需更多信息,请参阅"删除集合方法"。
9.1.1.1. 更改集合方法
如果要升级的集群包含 SecuredCluster CR,您必须确保在升级前将每个节点集合设置设置为 CORE_BPF。
步骤
- 在 OpenShift Container Platform Web 控制台中进入 RHACS Operator 页面。
- 在顶部导航菜单中,选择 Secured Cluster。
- 点实例名称,如 stackrox-secured-cluster-services。
使用以下方法之一更改设置:
-
在 Form 视图中,在 Per Node Settings
Collector Settings Collection 下,选择 CORE_BPF。 -
点 YAML 打开 YAML 编辑器并找到
spec.perNode.collector.collection属性。如果值为KernelModule或EBPF,请将其改为CORE_BPF。
-
在 Form 视图中,在 Per Node Settings
- 点 Save。
其他资源
9.1.2. 为安全集群回滚 Operator 升级
要回滚 Operator 升级,您可以使用 CLI 或 OpenShift Container Platform Web 控制台。
在安全集群中,只有在个别情况下才需要回滚 Operator 升级,例如,如果安全集群出现问题。
9.1.2.1. 使用 CLI 回滚 Operator 升级
您可以使用 CLI 命令回滚 Operator 版本。
流程
运行以下命令来删除 OLM 订阅:
对于 OpenShift Container Platform,运行以下命令:
oc -n rhacs-operator delete subscription rhacs-operator
Copy to clipboardCopied$ oc -n rhacs-operator delete subscription rhacs-operator对于 Kubernetes,运行以下命令:
kubectl -n rhacs-operator delete subscription rhacs-operator
Copy to clipboardCopied$ kubectl -n rhacs-operator delete subscription rhacs-operator
运行以下命令来删除集群服务版本 (CSV):
对于 OpenShift Container Platform,运行以下命令:
oc -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator
Copy to clipboardCopied$ oc -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator对于 Kubernetes,运行以下命令:
kubectl -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator
Copy to clipboardCopied$ kubectl -n rhacs-operator delete csv -l operators.coreos.com/rhacs-operator.rhacs-operator
- 在回滚频道上安装 Operator 的最新版本。
9.1.2.2. 使用 Web 控制台回滚 Operator 升级
您可以使用 OpenShift Container Platform Web 控制台回滚 Operator 版本。
先决条件
-
您可以使用具有
cluster-admin权限的账户访问 OpenShift Container Platform 集群 Web 控制台。
步骤
-
进入 Operators
Installed Operators 页面。 - 点 RHACS Operator。
- 在 Operator Details 页面中,从 Actions 列表中选择 Uninstall Operator。按照此操作,Operator 将停止运行,不再接收更新。
- 在回滚频道上安装 Operator 的最新版本。
9.1.3. Operator 升级问题故障排除
按照以下步骤调查并解决 RHACS Operator 的与升级相关的问题。
9.1.3.1. Central 或 Secured 集群无法部署
当 RHACS Operator 满足以下条件时,您必须检查自定义资源条件以查找问题:
- 如果 Operator 无法部署安全集群
- 如果 Operator 无法将 CR 应用到实际资源
对于安全集群,运行以下命令检查条件:
oc -n rhacs-operator describe securedclusters.platform.stackrox.io 1
Copy to clipboardCopied$ oc -n rhacs-operator describe securedclusters.platform.stackrox.io 1- 1
- 如果使用 Kubernetes,请输入
kubectl而不是oc。
您可以识别条件输出中的配置错误:
输出示例
Conditions:
Last Transition Time: 2023-04-19T10:49:57Z
Status: False
Type: Deployed
Last Transition Time: 2023-04-19T10:49:57Z
Status: True
Type: Initialized
Last Transition Time: 2023-04-19T10:59:10Z
Message: Deployment.apps "central" is invalid: spec.template.spec.containers[0].resources.requests: Invalid value: "50": must be less than or equal to cpu limit
Reason: ReconcileError
Status: True
Type: Irreconcilable
Last Transition Time: 2023-04-19T10:49:57Z
Message: No proxy configuration is desired
Reason: NoProxyConfig
Status: False
Type: ProxyConfigFailed
Last Transition Time: 2023-04-19T10:49:57Z
Message: Deployment.apps "central" is invalid: spec.template.spec.containers[0].resources.requests: Invalid value: "50": must be less than or equal to cpu limit
Reason: InstallError
Status: True
Type: ReleaseFailed Conditions:
Last Transition Time: 2023-04-19T10:49:57Z
Status: False
Type: Deployed
Last Transition Time: 2023-04-19T10:49:57Z
Status: True
Type: Initialized
Last Transition Time: 2023-04-19T10:59:10Z
Message: Deployment.apps "central" is invalid: spec.template.spec.containers[0].resources.requests: Invalid value: "50": must be less than or equal to cpu limit
Reason: ReconcileError
Status: True
Type: Irreconcilable
Last Transition Time: 2023-04-19T10:49:57Z
Message: No proxy configuration is desired
Reason: NoProxyConfig
Status: False
Type: ProxyConfigFailed
Last Transition Time: 2023-04-19T10:49:57Z
Message: Deployment.apps "central" is invalid: spec.template.spec.containers[0].resources.requests: Invalid value: "50": must be less than or equal to cpu limit
Reason: InstallError
Status: True
Type: ReleaseFailed另外,您可以查看 RHACS pod 日志以查找有关此问题的更多信息。运行以下命令来查看日志:
oc -n rhacs-operator logs deploy/rhacs-operator-controller-manager manager 1
oc -n rhacs-operator logs deploy/rhacs-operator-controller-manager manager 1- 1
- 如果使用 Kubernetes,请输入
kubectl而不是oc。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}