红帽全球峰会第 1 章 准备部署 OpenShift 数据基础
使用动态存储设备在 OpenShift Container Platform 上部署 OpenShift Data Foundation 为您提供创建内部集群资源的选项。
在开始部署 Red Hat OpenShift Data Foundation 前,请按照以下步骤执行:
可选:如果要使用外部密钥管理系统 (KMS) HashiCorp Vault 启用集群范围加密,请按照以下步骤执行:
- 确定您有有效的 Red Hat OpenShift Data Foundation Advanced 订阅。要了解 OpenShift Data Foundation 订阅如何工作,请参阅与 OpenShift Data Foundation 订阅相关的知识库文章。
- 当为加密选择 Token 验证方法时,请参考使用 KMS 通过 Token 身份验证启用集群范围的加密。
- 当为加密选择了 Kubernetes 验证方法时,请参考使用 KMS 使用 Kubernetes 身份验证启用集群范围的加密。
- 确保您在 Vault 服务器上使用签名的证书。
可选: 如果要使用外部密钥管理系统 (KMS) Thales CipherTrust Manager 启用集群范围的加密,您必须首先启用密钥管理互操作性协议 (KMIP),并在服务器上使用签名证书。
如果 KMIP 客户端不存在,请创建一个。在用户界面中,选择 KMIP
Client Profile Add Profile。 -
在创建配置集的过程中,将
CipherTrust用户名添加到 Common Name 字段中。
-
在创建配置集的过程中,将
-
通过进入到 KMIP
Registration Token New Registration Token 来创建令牌。为下一步复制令牌。 -
要注册客户端,请进入到 KMIP
Registered Clients Add Client。指定名称。粘贴上一步中的注册令牌,然后点保存。 - 点 Save Private Key 和 Save Certificate 下载私钥和客户端证书。
要创建新的 KMIP 接口,请进入到 Admin Settings
Interfaces Add Interface。 - 选择 KMIP Key Management Interoperability Protocol 并点 Next。
- 选择一个空闲端口。
- 为 Network Interface 选择 all。
- 为 Interface Mode 选择 TLS, verify client cert, user name taken from client cert, auth request is optional。
- (可选)您可以在密钥被删除时启用硬删除以删除元数据和材料。它默认是禁用的。
- 选择要使用的证书颁发机构(CA),然后单击 Save。
- 要获取服务器 CA 证书,请点新创建的界面右侧的 Action 菜单(⋮),然后点 Download Certificate。
可选: 如果要在部署过程中启用 StorageClass 加密,请创建一个密钥来充当密钥加密密钥(KEK):n-openshift-data-foundation-service_cloud-storage-rosahcp
-
进入到 Keys
Add Key。 - 输入 Key Name。
- 分别将 Algorithm 和 Size 设置为 AES 和 256。
- 启用 Create a key in Pre-Active state,并设置激活的日期和时间。
- 确保在 Key Usage 下启用了 Encrypt 和 Decrypt。
- 复制新创建的密钥的 ID,以在部署过程中用作唯一标识符。
-
进入到 Keys
启动节点最低要求
当不符合标准部署资源要求时,将使用最低配置部署 OpenShift Data Foundation 集群。请参阅规划指南中的资源要求部分。
要执行停止和启动节点操作,或者创建或添加机器池,需要应用正确的标记。例如:
$ rosa edit machinepool --cluster <cluster-name> --labels cluster.ocs.openshift.io/openshift-storage="" <machinepool-name>
将 <cluster-name > 替换为集群名称,<machinepool-name > 替换为机器池名称。
