2.4. 创建 OpenShift Data Foundation 集群

流程

1. 在 OpenShift Web 控制台中，点 Operators Installed Operators 查看所有已安装的 Operator。

   确保所选 项目 为 openshift-storage。

2. 点 OpenShift Data Foundation 操作器，然后单击 Create StorageSystem。

3. 在 Backing storage 页面中，选择以下内容：

   1. 为 Deployment 类型选项选择 Full Deployment。
   2. 选择 Use a existing StorageClass 选项。

   3. 选择 Storage Class。

      从 OpenShift Data Foundation 版本 4.12 开始，您可以选择 gp2-csi 或 gp3-csi 作为存储类。

   4. 可选： 选择 Use external PostgreSQL 复选框以使用外部 PostgreSQL [技术预览]。

      这为多云对象网关提供了高可用性解决方案，其中 PostgreSQL pod 是单点故障。

      1. 提供以下连接详情：

         • 用户名
         • 密码
         • 服务器 名称和端口
         • 数据库名称
      2. 选中 Enable TLS/SSL 复选框，为 Postgres 服务器启用加密。
   5. 点击 Next。

4. 在 Capacity and nodes 页面中，提供必要的信息：

   1. 从下拉列表中选择 Requested Capacity 的值。默认设置为 2 TiB。

      注意

      选择初始存储容量后，集群扩展将使用所选的可用容量（原始存储的三倍）执行。

   2. 在 Select Nodes 部分中，选择至少三个可用节点。

   3. 在 Configure performance 部分中，选择以下性能配置集之一：

      • Swant

        在资源受限环境中使用它，其最少资源低于建议。此配置集通过分配较少的 CPU 和较少的内存来最小化资源消耗。

      • balanced （默认）

        当有建议的资源可用时，请使用此选项。此配置集提供不同工作负载的资源消耗和性能之间的平衡。

      • 性能

        在具有足够资源的环境中使用此方法获得最佳性能。通过分配 ample 内存和 CPU 来确保最佳执行要求的工作负载，以此为高性能量身定制此配置集。

        注意

        即使使用 StorageSystems 选项卡的选项菜单中的 Configure performance 选项，您也可以在部署后配置性能配置集。

        重要

        在选择资源配置集前，请确保检查集群中资源的当前可用性。在资源不足的集群中选择更高的资源配置集可能会导致安装失败。

        有关资源要求的更多信息，请参阅 性能配置集的资源要求。

   4. 可选：选中 Taint nodes 复选框，以将所选节点专用于 OpenShift Data Foundation。

      对于具有多个可用区的云平台，请确保节点分布在不同的位置/可用性区域。

      如果选择的节点与聚合的 30 个 CPU 和 72 GiB RAM 的 OpenShift Data Foundation 集群要求不匹配，则会部署最小的集群。如需最低起始节点要求，请参阅 规划指南中的资源要求部分。

   5. 点 Next。

5. 可选：在 Security and network 页面中，根据您的要求进行配置：

   1. 若要启用加密，可选择为块存储和文件存储启用数据加密。

      1. 选择其中一个加密级别或两个都选：

         • 集群范围的加密

           加密整个集群（块和文件）。

         • StorageClass 加密

           使用启用加密的存储类创建加密的持久性卷（仅块）。

      2. 可选：选择 Connect to an external key management service 复选框。这是集群范围加密的可选选项。

         1. 在 Key Management Service Provider 下拉列表中选择以下供应商之一并提供所需的详情：

            • Vault

              1. 选择身份验证方法。

                 • 使用令牌验证方法

                   • 输入唯一的连接名称 , Vault 服务器的主机地址（'https://<hostname 或 ip>'），端口号和令牌。

                   • 展开 Advanced Settings，以根据您的 Vault 配置输入其他设置和证书详情：

                     • 在 后端路径中输入为 OpenShift Data Foundation 专用且唯一的 Key Value secret 路径。
                   • （可选）输入 TLS 服务器名称和 Vault Enterprise 命名空间。
                   • 上传对应的 PEM 编码证书文件，以提供 CA 证书、客户端证书和客户端私钥。
                   • 点击 Save。

                 • 使用 Kubernetes 验证方法

                   • 输入唯一的 Vault Connection Name, Vault 服务器的主机地址（'https://<hostname 或 ip>'）、端口号和角色名称。

                   • 展开 Advanced Settings，以根据您的 Vault 配置输入其他设置和证书详情：

                     • 在 后端路径中输入为 OpenShift Data Foundation 专用且唯一的 Key Value secret 路径。
                     • 可选：输入 TLS Server Name 和 Authentication Path （如果适用）。
                     • 上传对应的 PEM 编码证书文件，以提供 CA 证书、客户端证书和客户端私钥。

                   • 点击 Save。

                     注意

                     如果您需要为 Vault KMS 启用密钥轮转，请在创建存储集群后在 OpenShift Web 控制台中运行以下命令：

                     oc patch storagecluster ocs-storagecluster -n openshift-storage --type=json -p '[{"op": "add", "path":"/spec/encryption/keyRotation/enable", "value": true}]'

            • Thales CipherTrust Manager (using KMIP)

              1. 在项目中输入密钥管理服务的唯一连接名称。

              2. 在 Address 和 Port 部分中，输入 Thales CipherTrust Manager 的 IP 以及在其中启用了 KMIP 接口的端口。例如：

                 • 地址: 123.34.3.2
                 • 端口 ：5696
              3. 上传 客户端证书、CA 证书和 客户端私钥。
              4. 如果启用了 StorageClass 加密，请输入用于加密和解密的唯一标识符。
              5. TLS Server 字段是可选的，并在没有 KMIP 端点的 DNS 条目时使用。例如，kmip_all_<port>.ciphertrustmanager.local。

   2. 要启用 in-transit 加密，请选择 In-transit encryption。

      1. 选择 网络。
      2. 点 Next。

6. 在 Review and create 页面中，检查配置详情。

   若要修改任何配置设置，请单击 Back。

7. 单击 Create StorageSystem。