第 1 章 准备部署 OpenShift 数据基础
使用动态存储设备在 OpenShift Container Platform 上部署 OpenShift Data Foundation 为您提供创建内部集群资源的选项。这将会在内部置备基础服务,这有助于为应用提供额外的存储类。
在开始部署 Red Hat OpenShift Data Foundation 前,请按照以下步骤执行:
可选:如果要使用外部密钥管理系统(KMS)启用集群范围加密:
- 确保存在具有令牌的策略,并且启用了 Vault 中的键值后端路径。请参阅 Vault 中启用的键值后端路径和策略。
- 确保您在 Vault 服务器上使用签名的证书。
最低的启动节点要求 [技术预览]
当不符合标准部署资源要求时,将使用最低配置部署 OpenShift Data Foundation 集群。请参阅规划指南中的资源要求部分。
Regional-DR 要求 [开发人员预览]
Red Hat OpenShift Data Foundation 支持的灾难恢复功能需要满足以下所有先决条件,才能成功实施灾难恢复解决方案:
- 有效的 Red Hat OpenShift Data Foundation 高级授权
有效的 Red Hat Advanced Cluster Management for Kubernetes 订阅
要了解 OpenShift Data Foundation 订阅如何工作,请参阅与 OpenShift Data Foundation 订阅相关的知识库文章。
有关详细要求,请参阅 Regional-DR 要求 和 RHACM 要求。
1.1. 在 Vault 中启用键值后端路径和策略
先决条件
- 管理员对 Vault 的访问权限。
-
仔细选择唯一路径名称作为遵循命名惯例的后端
路径
,因为它无法在以后更改。
流程
在 Vault 中启用 Key/Value(KV)后端路径。
对于 Vault KV secret 引擎 API,版本 1:
$ vault secrets enable -path=odf kv
对于 Vault KV secret 引擎 API,版本 2:
$ vault secrets enable -path=odf kv-v2
使用以下命令,创建一个策略来限制用户对机密执行写入或删除操作。
echo ' path "odf/*" { capabilities = ["create", "read", "update", "delete", "list"] } path "sys/mounts" { capabilities = ["read"] }'| vault policy write odf -
创建与上述策略匹配的令牌。
$ vault token create -policy=odf -format json