4.14. 使用 AWS Local Zones 上的计算节点在 AWS 上安装集群

您可以通过在 install-config.yaml 文件的边缘计算池中设置区域名称，或使用 Local Zone 子网在现有 Amazon Virtual Private Cloud (VPC)上安装集群，在 Amazon Web Services (AWS) Local Zones 上快速安装 OpenShift Container Platform 集群。

AWS Local Zones (AWS Local Zones) 是一个基础架构，它放置了接近满足的云资源的区域。如需更多信息，请参阅 AWS 区域文档。

4.14.1. 基础架构先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
熟悉选择集群安装方法并为用户准备它。
已将 AWS 帐户配置为托管集群。
警告
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。集群将继续使用您当前的 AWS 凭证为集群的整个生命周期创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序（Linux、macOS 或 UNIX）安装 AWS CLI。
如果使用防火墙，则会将其配置为允许集群需要访问的站点。
您记下了区域和支持的 AWS 区域位置，在其中创建网络资源。
您可以参阅 AWS 文档中的 AWS Local Zones 功能。
您已将支持 AWS Local Zones 的网络资源添加到 Identity and Access Management (IAM) 用户或角色的权限。以下示例启用了一个 zone group，它为创建支持 AWS Local Zones 的网络资源提供用户或团队访问权限。
附加到 IAM 用户或角色的 ec2:ModifyAvailabilityZoneGroup 权限的额外 IAM 策略示例。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:ModifyAvailabilityZoneGroup"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

4.14.2. 关于 AWS 本地区域和边缘计算池

阅读以下部分以了解 AWS Local Zones 环境中的基础架构行为和集群限制。

4.14.2.1. AWS 本地区中的集群限制

当您试图在 Amazon Web Services (AWS) Local Zone 中使用默认安装配置部署集群时，有一些限制。

重要

以下列表在预先配置的 AWS 区域中部署集群时的详情限制：

区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元 (MTU) 为 1300。这会导致集群范围的网络 MTU 根据与部署一起使用的网络插件而改变。
不支持 Network Load Balancer (NLB)、Classic Load Balancer 和网络地址转换(NAT)网关等网络资源。
对于 AWS 上的 OpenShift Container Platform 集群，AWS Elastic Block Storage (EBS) gp3 类型卷是节点卷和存储类的默认设置。这个卷类型在区域位置没有全局可用。默认情况下，在区中运行的节点使用 gp2 EBS 卷进行部署。在区节点上创建工作负载时，必须设置 gp2-csi StorageClass 参数。

如果您希望安装程序为 OpenShift Container Platform 集群自动创建 Local Zone 子网，则使用此方法会有针对特定配置的限制。

重要

当您将安装程序设置为自动为 OpenShift Container Platform 集群创建子网时，会有以下配置限制：

当安装程序在 AWS Local Zones 中创建专用子网时，安装程序会将每个子网与其父区的路由表相关联。此操作通过 AWS 区域中的 NAT 网关的方式确保每个专用子网都可以将出口流量路由到互联网。
如果集群安装过程中不存在 parent-zone 路由表，安装程序会将任何专用子网与 Amazon Virtual Private Cloud (VPC)中的第一个可用私有路由表相关联。此方法仅对 OpenShift Container Platform 集群中的 AWS Local Zones 子网有效。

4.14.2.2. 关于边缘计算池

边缘计算节点是在 AWS Local Zones 位置中运行的污点计算节点。

在部署使用 Local Zones 的集群时，请考虑以下点：

本地区域中的 Amazon EC2 实例比可用区中的 Amazon EC2 实例的成本更高。
在 AWS Local Zones 和最终用户中运行的应用程序间延迟较低。例如，在 Local Zones 和 Availability Zones 混合了入口流量时，一些工作负载会有一个延迟影响。

重要

通常，本地区域中的 Amazon EC2 实例和 Region 中的 Amazon EC2 实例之间的最大传输单元 (MTU) 为 1300。对于开销，集群网络 MTU 必须总是小于 EC2 MTU。具体开销由网络插件决定。例如： OVN-Kubernetes 的开销为 100 字节。

网络插件可以提供额外的功能，如 IPsec，它们也会影响 MTU 大小。

如需更多信息，请参阅 AWS 文档中的 Local Zones 如何工作。

OpenShift Container Platform 4.12 引入了一个新的计算池 edge，用于在远程区中使用。边缘计算池配置在 AWS Local Zones 位置之间很常见。由于 Local Zones 资源上的 EC2 和 EBS 等资源的类型和大小限制，默认的实例类型可能与传统的计算池不同。

Local Zones 位置的默认 Elastic Block Store (EBS) 是 gp2，它与非边缘计算池不同。根据区域上的实例产品，边缘计算池中每个本地区域使用的实例类型可能与其他计算池不同。

边缘计算池创建新的标签，供开发人员用来将应用程序部署到 AWS Local Zones 节点上。新标签包括：

node-role.kubernetes.io/edge=''
machine.openshift.io/zone-type=local-zone
machine.openshift.io/zone-group=$ZONE_GROUP_NAME

默认情况下，边缘计算池的机器集定义 NoSchedule 污点，以防止其他工作负载分散到 Local Zones 实例。只有用户在 pod 规格中定义容限时，用户才能运行用户工作负载。

其他资源

4.14.3. 安装先决条件

在 AWS Local Zones 环境中安装集群前，您必须配置基础架构，以便它可以使用 Local Zone 功能。

4.14.3.1. 选择 AWS 本地区域

如果您计划在 AWS Local Zones 中创建子网，则必须单独选择每个 zone group。

先决条件

已安装 AWS CLI。
您已决定要部署 OpenShift Container Platform 集群的 AWS 区域。
您已将 permissive IAM 策略附加到选择 zone 组的用户或组帐户。

流程

运行以下命令，列出 AWS 区域中可用的区域：
在 AWS 区域中列出可用 AWS 区域的命令示例
```
$ aws --region "<value_of_AWS_Region>" ec2 describe-availability-zones \
    --query 'AvailabilityZones[].[{ZoneName: ZoneName, GroupName: GroupName, Status: OptInStatus}]' \
    --filters Name=zone-type,Values=local-zone \
    --all-availability-zones
```
根据 AWS 区域，可用区列表可能比较长。该命令返回以下字段：
ZoneName
本地区域的名称。
GroupName
组成区域的组。要选择 Region，保存名称。
Status
Local Zones 组的状态。如果状态是 not-opted-in，则需要选择 GroupName，如下一步所述。
运行以下命令，选择 AWS 帐户上的 zone 组：
```
$ aws ec2 modify-availability-zone-group \
    --group-name "<value_of_GroupName>" \1
    --opt-in-status opted-in
```
1
将 <value_of_GroupName> 替换为您要创建子网的 Local Zones 的组名称。例如，指定 us-east-1-nyc-1 以使用区域 us-east-1-nyc-1a (US East New York)。

4.14.3.2. OpenShift Container Platform 互联网访问

在 OpenShift Container Platform 4.15 中，您需要访问互联网来安装集群。

您必须具有以下互联网访问权限：

访问 OpenShift Cluster Manager 以下载安装程序并执行订阅管理。如果集群可以访问互联网，并且没有禁用 Telemetry，该服务会自动授权您的集群。
访问 Quay.io，以获取安装集群所需的软件包。
获取执行集群更新所需的软件包。

重要

如果您的集群无法直接访问互联网，则可以在置备的某些类型的基础架构上执行受限网络安装。在此过程中，您可以下载所需的内容，并使用它为镜像 registry 填充安装软件包。对于某些安装类型，集群要安装到的环境不需要访问互联网。在更新集群前，您要更新镜像 registry 的内容。

4.14.3.3. 获取 AWS Marketplace 镜像

如果要使用 AWS Marketplace 镜像部署 OpenShift Container Platform 集群，您必须首先通过 AWS 订阅。订阅提供的提供的 AMI ID 可让您使用安装程序用来部署计算节点的 AMI ID。

先决条件

有 AWS 账户购买的产品。此帐户不必与用于安装集群的帐户相同。

流程

从 AWS Marketplace 完成 OpenShift Container Platform 订阅。
记录特定 AWS 区域的 AMI ID。作为安装过程的一部分，您必须在部署集群前使用这个值更新 install-config.yaml 文件。
使用 AWS Marketplace 计算节点的 install-config.yaml 文件示例
```
apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'
```
1
来自 AWS Marketplace 订阅的 AMI ID。
2
您的 AMI ID 与特定的 AWS 区域相关联。在创建安装配置文件时，请确保选择配置订阅时指定的相同 AWS 区域。

4.14.3.4. 通过下载二进制文件安装 OpenShift CLI

您可以安装 OpenShift CLI(oc)来使用命令行界面与 OpenShift Container Platform 进行交互。您可以在 Linux、Windows 或 macOS 上安装 oc。

重要

如果安装了旧版本的 oc，则可能无法使用 OpenShift Container Platform 4.15 中的所有命令。下载并安装新版本的 oc。

在 Linux 上安装 OpenShift CLI

您可以按照以下流程在 Linux 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从 产品变体 下拉列表中选择架构。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.15 Linux Client 条目旁的 Download Now 来保存文件。
解包存档：
```
$ tar xvf <file>
```
将 oc 二进制文件放到 PATH 中的目录中。
要查看您的 PATH，请执行以下命令：
```
$ echo $PATH
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
$ oc <command>
```

在 Windows 上安装 OpenShift CLI

您可以按照以下流程在 Windows 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.15 Windows Client 条目旁的 Download Now 来保存文件。
使用 ZIP 程序解压存档。
将 oc 二进制文件移到 PATH 中的目录中。
要查看您的 PATH，请打开命令提示并执行以下命令：
```
C:\> path
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
C:\> oc <command>
```

在 macOS 上安装 OpenShift CLI

您可以按照以下流程在 macOS 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.15 macOS Client 条目旁的 Download Now 来保存文件。
注意
对于 macOS arm64，请选择 OpenShift v4.15 macOS arm64 Client 条目。
解包和解压存档。
将 oc 二进制文件移到 PATH 的目录中。
要查看您的 PATH，请打开终端并执行以下命令：
```
$ echo $PATH
```

验证

使用 oc 命令验证安装：
```
$ oc <command>
```

4.14.3.5. 获取安装程序

在安装 OpenShift Container Platform 前，将安装文件下载到您用于安装的主机上。

先决条件

您有一台运行 Linux 或 macOS 的计算机，本地磁盘空间为 500 MB。

流程

访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐户，请使用您的凭证登录。如果没有，请创建一个帐户。
选择您的基础架构供应商。
进入到安装类型的页面，下载与您的主机操作系统和架构对应的安装程序，并将该文件放在您要存储安装配置文件的目录中。
重要
安装程序会在用来安装集群的计算机上创建几个文件。在完成集群安装后，您必须保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。
重要
删除安装程序创建的文件不会删除您的集群，即使集群在安装过程中失败也是如此。要删除集群，请为特定云供应商完成 OpenShift Container Platform 卸载流程。
提取安装程序。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
$ tar -xvf openshift-install-linux.tar.gz
```
从 Red Hat OpenShift Cluster Manager 下载安装 pull secret。此 pull secret 允许您与所含授权机构提供的服务进行身份验证，这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。

4.14.3.6. 为集群节点 SSH 访问生成密钥对

在 OpenShift Container Platform 安装过程中，您可以为安装程序提供 SSH 公钥。密钥通过它们的 Ignition 配置文件传递给 Red Hat Enterprise Linux CoreOS(RHCOS)节点，用于验证对节点的 SSH 访问。密钥添加到每个节点上 core 用户的 ~/.ssh/authorized_keys 列表中，这将启用免密码身份验证。

将密钥传递给节点后，您可以使用密钥对作为用户 核心 通过 SSH 连接到 RHCOS 节点。若要通过 SSH 访问节点，必须由 SSH 为您的本地用户管理私钥身份。

如果要通过 SSH 连接到集群节点来执行安装调试或灾难恢复，则必须在安装过程中提供 SSH 公钥。./openshift-install gather 命令还需要在集群节点上设置 SSH 公钥。

重要

不要在生产环境中跳过这个过程，在生产环境中需要灾难恢复和调试。

注意

您必须使用本地密钥，而不是使用特定平台方法配置的密钥，如 AWS 密钥对。

流程

如果您在本地计算机上没有可用于在集群节点上进行身份验证的现有 SSH 密钥对，请创建一个。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
```
1
指定新 SSH 密钥的路径和文件名，如 ~/.ssh/id_ed25519。如果您已有密钥对，请确保您的公钥位于 ~/.ssh 目录中。
注意
如果您计划在 x86_64、ppc64le 和 s390x 架构上安装使用 RHEL 加密库（这些加密库已提交给 NIST 用于 FIPS 140-2/140-3 验证）的 OpenShift Container Platform 集群，则不要创建使用 ed25519 算法的密钥。相反，创建一个使用 rsa 或 ecdsa 算法的密钥。
查看公共 SSH 密钥：
```
$ cat <path>/<file_name>.pub
```
例如，运行以下命令来查看 ~/.ssh/id_ed25519.pub 公钥：
```
$ cat ~/.ssh/id_ed25519.pub
```
将 SSH 私钥身份添加到本地用户的 SSH 代理（如果尚未添加）。在集群节点上，或者要使用 ./openshift-install gather 命令，需要对该密钥进行 SSH 代理管理，才能在集群节点上进行免密码 SSH 身份验证。
注意
在某些发行版中，自动管理默认 SSH 私钥身份，如 ~/.ssh/id_rsa 和 ~/.ssh/id_dsa。
1. 如果 ssh-agent 进程尚未为您的本地用户运行，请将其作为后台任务启动：
```
$ eval "$(ssh-agent -s)"
```
  输出示例
```
Agent pid 31874
```
  注意
  如果集群处于 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必须是 RSA 或 ECDSA。
将 SSH 私钥添加到 ssh-agent ：
```
$ ssh-add <path>/<file_name> 1
```
1
指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_ed25519.pub
输出示例
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```

后续步骤

安装 OpenShift Container Platform 时，为安装程序提供 SSH 公钥。

4.14.4. 准备安装

在将节点扩展到 Local Zones 之前，您必须为集群安装环境准备某些资源。

4.14.4.1. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 4.23. 最低资源要求
机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程 (SMT) 或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

注意

从 OpenShift Container Platform 版本 4.13 开始，RHCOS 基于 RHEL 版本 9.2，它更新了微架构要求。以下列表包含每个架构需要的最小指令集架构 (ISA)：

x86-64 体系结构需要 x86-64-v2 ISA
ARM64 架构需要 ARMv8.0-A ISA
IBM Power 架构需要 Power 9 ISA
s390x 架构需要 z14 ISA

如需更多信息，请参阅 RHEL 架构。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

4.14.4.2. 为 AWS 测试的实例类型

以下 Amazon Web Services (AWS) 实例类型已使用 OpenShift Container Platform 测试，以用于 AWS Local Zones。

注意

将以下图中包含的机器类型用于 AWS 实例。如果您使用没有在图表中列出的实例类型，请确保使用的实例大小与名为"最小资源要求"的部分中列出的最少资源要求匹配。

例 4.91. 基于 AWS 本地区的 64 位 x86 架构的机器类型

c5.*
c5d.*
m6i.*
m5.*
r5.*
t3.*

其他资源

请参阅 AWS 文档中的 AWS Local Zones 功能。

4.14.4.3. 创建安装配置文件

生成并自定义安装程序部署集群所需的安装配置文件。

先决条件

已获取 OpenShift Container Platform 安装程序用于用户置备的基础架构和集群的 pull secret。
使用红帽发布的附带 Red Hat Enterprise Linux CoreOS (RHCOS) AMI 检查您是否将集群部署到 AWS 区域。如果要部署到需要自定义 AMI 的 AWS 区域，如 AWS GovCloud 区域，您必须手动创建 install-config.yaml 文件。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  重要
  指定一个空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 aws 作为目标平台。
  3. 如果计算机上没有保存 AWS 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 secret 访问密钥。
    注意
    AWS 访问密钥 ID 和 secret 访问密钥存储在安装主机上当前用户主目录中的 ~/.aws/credentials 中。如果文件中不存在导出的配置集凭证，安装程序会提示您输入凭证。您向安装程序提供的所有凭证都存储在文件中。
  4. 选择要将集群部署到的 AWS Region。
  5. 选择您为集群配置的 Route 53 服务的基域。
  6. 为集群输入描述性名称。
  7. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret。
可选：备份 install-config.yaml 文件。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

4.14.4.4. 使用边缘计算池安装配置文件示例

以下示例显示了包含边缘机器池配置的 install-config.yaml 文件。

使用自定义实例类型使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      type: r5.2xlarge
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

实例类型因位置而异。要验证集群运行的本地区中的可用性，请参阅 AWS 文档。

使用带有自定义 Amazon Elastic Block Store (EBS) 类型的边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
      - us-west-2-phx-2a
      rootVolume:
        type: gp3
        size: 120
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

Elastic Block Storage (EBS) 类型因位置而异。检查 AWS 文档，以验证集群运行的本地区域中的可用性。

使用自定义安全组使用边缘池的配置

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: ipi-edgezone
compute:
- name: edge
  platform:
    aws:
      additionalSecurityGroupIDs:
        - sg-1 1
        - sg-2
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

1: 指定安全组的名称，因为它在 Amazon EC2 控制台中显示。确保包含 sg 前缀。

4.14.4.5. 自定义集群网络 MTU

在 AWS 上部署集群前，您可以自定义集群网络的集群网络最大传输单元 (MTU) 来满足基础架构的需求。

默认情况下，当使用支持的 Local Zones 功能安装集群时，集群网络的 MTU 值会自动调整为网络插件接受的最低值。

重要

为 Local Zones 基础架构中运行的 EC2 实例设置不受支持的 MTU 值可能会导致 OpenShift Container Platform 集群出现问题。

如果 Local Zone 在 Local Zone 和 AWS 区域中的 EC2 实例之间支持更高的 MTU 值，您可以手动配置较高的值来提高集群网络的网络性能。

您可以通过在 install-config.yaml 配置文件中指定 networking.clusterNetworkMTU 参数来自定义集群的 MTU。

重要

Local Zones 中的所有子网都必须支持更高的 MTU 值，以便该区中的每个节点都可以成功与 AWS 区域中的服务通信并部署您的工作负载。

覆盖默认 MTU 值的示例

apiVersion: v1
baseDomain: devcluster.openshift.com
metadata:
  name: edge-zone
networking:
  clusterNetworkMTU: 8901
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
platform:
  aws:
    region: us-west-2
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

其他资源

有关最大支持的最大传输单元(MTU)值的更多信息，请参阅 AWS 文档中的 Local Zones 支持的 AWS 资源。

4.14.5. AWS 本地区域的集群安装选项

选择以下安装选项之一，使用 Local Zones 中定义的边缘计算节点在 AWS 上安装 OpenShift Container Platform 集群：

完全自动化选项：安装集群将计算节点快速扩展到边缘计算池，其中安装程序会自动为 OpenShift Container Platform 集群创建基础架构资源。
现有 VPC 选项：在 AWS 上安装集群到现有的 VPC 中，您可以为 install-config.yaml 文件提供 Local Zones 子网。

后续步骤

选择以下选项之一在 AWS Local Zones 环境中安装 OpenShift Container Platform 集群：

4.14.6. 在 AWS 本地区中快速安装集群

对于 OpenShift Container Platform 4.15，您可以在 Amazon Web Services (AWS) 上快速安装集群，以将计算节点扩展到 Local Zones 位置。通过使用此安装路由，安装程序会为您在配置文件中定义的每个区自动创建网络资源和区域子网。要自定义安装，您必须在部署集群前修改 install-config.yaml 文件中的参数。

4.14.6.1. 修改安装配置文件以使用 AWS 本地区域

修改 install-config.yaml 文件，使其包含 AWS Local Zones。

先决条件

您已配置了 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
熟悉在指定安装程序为 OpenShift Container Platform 集群自动创建子网时应用的配置限制。
您可以选择每个区的 Local Zones 组。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在边缘计算池的 platform.aws.zones 属性中指定 Local Zones 名称来修改 install-config.yaml 文件。

# ...
platform:
  aws:
    region: <region_name> 1
compute:
- name: edge
  platform:
    aws:
      zones: 2
      - <local_zone_name>
#...

1: AWS 区域名称。
2: 您使用的 Local Zones 名称列表必须存在于 platform.aws.region 字段中指定的同一 AWS 区域。

在 us-west-2 AWS 区域上安装集群的配置示例，将边缘节点扩展到 Los Angeles 和 Las Vegas 位置中的 Local Zones

apiVersion: v1
baseDomain: example.com
metadata:
  name: cluster-name
platform:
  aws:
    region: us-west-2
compute:
- name: edge
  platform:
    aws:
      zones:
      - us-west-2-lax-1a
      - us-west-2-lax-1b
      - us-west-2-las-1a
pullSecret: '{"auths": ...}'
sshKey: 'ssh-ed25519 AAAA...'
#...

部署集群。

其他资源

后续步骤

部署集群

4.14.7. 在带有 Local Zone 子网的现有 VPC 上安装集群

您可以在 Amazon Web Services (AWS) 上将集群安装到现有的 Amazon Virtual Private Cloud (VPC) 中。安装程序会置备所需基础架构的其余部分，您可以进一步自定义这些基础架构。要自定义安装，请在安装集群前修改 install-config.yaml 文件中的参数。

在 AWS 上安装集群到现有的 VPC 中，需要使用 AWS Local Zones 将计算节点扩展到 Cloud Infrastructure 的边缘。

Local Zone 子网将常规计算节点扩展到边缘网络。每个边缘计算节点都运行用户工作负载。创建 Amazon Web Service (AWS) Local Zone 环境并部署了集群后，您可以使用边缘计算节点在 Local Zone 子网中创建用户工作负载。

注意

如果要创建专用子网，您必须修改提供的 CloudFormation 模板或创建自己的模板。

您可以使用提供的 CloudFormation 模板来创建网络资源。另外，您可以修改模板来自定义模板，或使用其包含的信息根据公司的策略创建 AWS 资源。

重要

执行安装程序置备的基础架构安装的步骤仅作为示例。在现有 VPC 上安装集群需要了解云供应商和 OpenShift Container Platform 安装过程。您可以使用 CloudFormation 模板来帮助您完成这些步骤，或者帮助您建模您自己的集群安装。您可以决定使用其他方法生成这些资源，而不使用 CloudFormation 模板来创建资源。

4.14.7.1. 在 AWS 中创建 VPC

您可以在 OpenShift Container Platform 集群的 Amazon Web Services (AWS) 中创建一个 Virtual Private Cloud (VPC) 和子网，以将计算节点扩展到边缘位置。您可以进一步自定义 VPC 以满足您的要求，包括 VPN 和路由表。您还可以添加新的 Local Zones 子网，不包含在初始部署中。

您可以使用提供的 CloudFormation 模板和自定义参数文件创建代表 VPC 的 AWS 资源堆栈。

注意

如果不使用提供的 CloudFormation 模板来创建 AWS 基础架构，您必须检查提供的信息并手动创建基础架构。如果集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和 AWS 区域添加到本地 AWS 配置集中。
您可以选择 AWS 帐户上的 AWS 区域区域。

流程

创建一个 JSON 文件，其包含 CloudFormation 模板需要的参数值：
```
[
  {
    "ParameterKey": "VpcCidr", 1
    "ParameterValue": "10.0.0.0/16" 2
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 3
    "ParameterValue": "3" 4
  },
  {
    "ParameterKey": "SubnetBits", 5
    "ParameterValue": "12" 6
  }
]
```
1
VPC 的 CIDR 块。
2
以 x.x.x.x/16-24 格式指定 CIDR 块。
3
在其中部署 VPC 的可用区的数量。
4
指定一个 1 到 3 之间的整数。
5
各个可用区中每个子网的大小。
6
指定 5 到 13 之间的整数，其中 5 为 /27，13 为 /19。
进入名为 "CloudFormation template for the VPC" 的文档部分，然后从提供的模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令，启动 CloudFormation 模板以创建代表 VPC 的 AWS 资源堆栈：
重要
您必须在一行内输入命令。
```
$ aws cloudformation create-stack --stack-name <name> \1
     --template-body file://<template>.yaml \2
     --parameters file://<parameters>.json  3
```
1
<name> 是 CloudFormation 堆栈的名称，如 cluster-VPC。如果您删除集群，则需要此堆栈的名称。
2
<template> 是您保存的 CloudFormation 模板 YAML 文件的相对路径和名称。
3
<parameters> 是相对路径和 CloudFormation 参数 JSON 文件的名称。
输出示例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f
```

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。您必须为创建集群运行的其他 CloudFormation 模板提供这些参数值。

`VpcId`	您的 VPC ID。
`PublicSubnetIds`	新公共子网的 ID。
`PrivateSubnetIds`	新专用子网的 ID。
`PublicRouteTableId`	新公共路由表 ID 的 ID。

4.14.7.2. VPC 的 CloudFormation 模板

您可以使用以下 CloudFormation 模板来部署 OpenShift Container Platform 集群所需的 VPC。

例 4.92. VPC 的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Condition: DoAz3
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable
  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT
  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2
  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3
  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]
  PublicRouteTableId:
    Description: Public Route table ID
    Value: !Ref PublicRouteTable
  PrivateRouteTableIds:
    Description: Private Route table IDs
    Value:
      !Join [
        ",",
        [
          !Join ["=", [
            !Select [0, "Fn::GetAZs": !Ref "AWS::Region"],
            !Ref PrivateRouteTable
          ]],
          !If [DoAz2,
               !Join ["=", [!Select [1, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable2]],
               !Ref "AWS::NoValue"
          ],
          !If [DoAz3,
               !Join ["=", [!Select [2, "Fn::GetAZs": !Ref "AWS::Region"], !Ref PrivateRouteTable3]],
               !Ref "AWS::NoValue"
          ]
        ]
      ]

4.14.7.3. 在本地区中创建子网

在 OpenShift Container Platform 集群中为边缘计算节点配置机器集前，您必须在 Local Zones 中创建子网。对您要将计算节点部署到的每个 Local Zone 完成以下步骤。

您可以使用提供的 CloudFormation 模板并创建 CloudFormation 堆栈。然后，您可以使用此堆栈自定义置备子网。

注意

先决条件

已配置了一个 AWS 帐户。
您可以通过运行 aws configure，将 AWS 密钥和区域添加到本地 AWS 配置集中。
您可以选择 Local Zones 组。

流程

进入名为"CloudFormation template for the VPC 子网"的文档部分，并从模板中复制语法。将复制的模板语法保存为本地系统中的 YAML 文件。此模板描述了集群所需的 VPC。
运行以下命令来部署 CloudFormation 模板，它会创建一个代表 VPC 的 AWS 资源堆栈：
```
$ aws cloudformation create-stack --stack-name <stack_name> \1
  --region ${CLUSTER_REGION} \
  --template-body file://<template>.yaml \2
  --parameters \
    ParameterKey=VpcId,ParameterValue="${VPC_ID}" \3
    ParameterKey=ClusterName,ParameterValue="${CLUSTER_NAME}" \4
    ParameterKey=ZoneName,ParameterValue="${ZONE_NAME}" \5
    ParameterKey=PublicRouteTableId,ParameterValue="${ROUTE_TABLE_PUB}" \6
    ParameterKey=PublicSubnetCidr,ParameterValue="${SUBNET_CIDR_PUB}" \7
    ParameterKey=PrivateRouteTableId,ParameterValue="${ROUTE_TABLE_PVT}" \8
    ParameterKey=PrivateSubnetCidr,ParameterValue="${SUBNET_CIDR_PVT}" 9
```
1
<stack_name> 是 CloudFormation 堆栈的名称，如 cluster-wl-<local_zone_shortname>。如果您删除集群，则需要此堆栈的名称。
2
<template> 是相对路径，以及保存的 CloudFormation 模板 YAML 文件的名称。
3
${VPC_ID} 是 VPC ID，它是 VPC 模板输出中的 VpcID 值。
4
${ZONE_NAME} 是创建子网的 Local Zones 名称的值。
5
${CLUSTER_NAME} 是 ClusterName 的值，用作新 AWS 资源名称的前缀。
6
${SUBNET_CIDR_PUB} 是一个有效的 CIDR 块，用于创建公共子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。
7
${ROUTE_TABLE_PVT} 是从 VPC 的 CloudFormation 堆栈的输出中提取的 PrivateRouteTableId。
8
${SUBNET_CIDR_PVT} 是一个有效的 CIDR 块，用于创建专用子网。这个块必须是 VPC CIDR 块 VpcCidr 的一部分。

输出示例

arn:aws:cloudformation:us-east-1:123456789012:stack/<stack_name>/dbedae40-820e-11eb-2fd3-12a48460849f

验证

运行以下命令确认模板组件已存在：

$ aws cloudformation describe-stacks --stack-name <stack_name>

在 StackStatus 显示 CREATE_COMPLETE 后，输出会显示以下参数的值。确保将这些参数值提供给您为集群创建的其他 CloudFormation 模板。

`PublicSubnetId`	由 CloudFormation 堆栈创建的公共子网的 ID。
`PrivateSubnetId`	由 CloudFormation 堆栈创建的专用子网的 ID。

4.14.7.4. VPC 子网的 CloudFormation 模板

您可以使用以下 CloudFormation 模板，在 Local Zones 基础架构的区域中部署私有和公共子网。

例 4.93. VPC 子网的 CloudFormation 模板

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice Subnets (Public and Private)

Parameters:
  VpcId:
    Description: VPC ID that comprises all the target subnets.
    Type: String
    AllowedPattern: ^(?:(?:vpc)(?:-[a-zA-Z0-9]+)?\b|(?:[0-9]{1,3}\.){3}[0-9]{1,3})$
    ConstraintDescription: VPC ID must be with valid name, starting with vpc-.*.
  ClusterName:
    Description: Cluster name or prefix name to prepend the Name tag for each subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ClusterName parameter must be specified.
  ZoneName:
    Description: Zone Name to create the subnets, such as us-west-2-lax-1a.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: ZoneName parameter must be specified.
  PublicRouteTableId:
    Description: Public Route Table ID to associate the public subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PublicRouteTableId parameter must be specified.
  PublicSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for public subnet.
    Type: String
  PrivateRouteTableId:
    Description: Private Route Table ID to associate the private subnet.
    Type: String
    AllowedPattern: ".+"
    ConstraintDescription: PrivateRouteTableId parameter must be specified.
  PrivateSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for private subnet.
    Type: String


Resources:
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PublicSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "public", !Ref ZoneName]]

  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTableId

  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PrivateSubnetCidr
      AvailabilityZone: !Ref ZoneName
      Tags:
      - Key: Name
        Value: !Join ['-', [!Ref ClusterName, "private", !Ref ZoneName]]

  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTableId

Outputs:
  PublicSubnetId:
    Description: Subnet ID of the public subnets.
    Value:
      !Join ["", [!Ref PublicSubnet]]

  PrivateSubnetId:
    Description: Subnet ID of the private subnets.
    Value:
      !Join ["", [!Ref PrivateSubnet]]

其他资源

您可以通过导航 AWS CloudFormation 控制台来查看您创建的 CloudFormation 堆栈的详情。

4.14.7.5. 修改安装配置文件以使用 AWS 本地区域子网

修改 install-config.yaml 文件，使其包含 Local Zones 子网。

先决条件

您使用"在 Local Zones 中创建子网"流程创建子网。
您使用"创建安装配置文件"流程创建了 install-config.yaml 文件。

流程

通过在 platform.aws.subnets 参数中指定 Local Zones 子网来修改 install-config.yaml 配置文件。

带有本地区域子网的安装配置文件示例

# ...
platform:
  aws:
    region: us-west-2
    subnets: 1
    - publicSubnetId-1
    - publicSubnetId-2
    - publicSubnetId-3
    - privateSubnetId-1
    - privateSubnetId-2
    - privateSubnetId-3
    - publicSubnetId-LocalZone-1
# ...

1: 区域中创建的子网 ID 列表：可用性和本地区域。

其他资源

有关查看您创建的 CloudFormation 堆栈的更多信息，请参阅 AWS CloudFormation 控制台。
如需有关 AWS 配置集和凭证配置的更多信息，请参阅 AWS 文档中的配置和凭证文件设置。

后续步骤

部署集群

4.14.8. 可选： AWS 安全组

默认情况下，安装程序会创建安全组并将其附加到 control plane 和计算机器。不可修改与默认安全组关联的规则。

但是，您可以将与现有 VPC 关联的其他现有 AWS 安全组应用到 control plane 和计算机器。应用自定义安全组可帮助您满足机构的安全需求，在这种情况下，您需要控制这些机器的传入或传出流量。

作为安装过程的一部分，您可以在部署集群前通过修改 install-config.yaml 文件来应用自定义安全组。

如需更多信息，请参阅"边缘计算池和 AWS 本地区域"。

4.14.9. 可选：将公共 IP 地址分配给边缘计算节点

如果您的工作负载需要在 Local Zones 基础架构上公共子网中部署边缘计算节点，您可以在安装集群时配置机器集清单。

AWS Local Zones 基础架构访问指定区中的网络流量，因此应用程序可在提供更接近该区的最终用户时利用较低延迟。

在私有子网中部署计算节点的默认设置可能无法满足您的需求，因此当您想要将更多自定义应用到基础架构时，请考虑在公共子网中创建边缘计算节点。

重要

默认情况下，OpenShift Container Platform 在私有子网中部署计算节点。为获得最佳性能，请考虑将计算节点放在附加了其公共 IP 地址的子网中。

您必须创建额外的安全组，但请确保仅在需要时通过互联网打开组规则。

流程

进入包含安装程序的目录并生成清单文件。确保安装清单在 openshift 和 manifests 目录级别创建。
```
$ ./openshift-install create manifests --dir <installation_directory>
```

编辑安装程序为 Local Zones 生成的机器集清单，以便清单部署在公共子网中。为 spec.template.spec.providerSpec.value.publicIP 参数指定 true。

在 Local Zones 中快速安装集群的机器集清单配置示例

spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true
          subnet:
            filters:
              - name: tag:Name
                values:
                  - ${INFRA_ID}-public-${ZONE_NAME}

在具有 Local Zones 子网的现有 VPC 上安装集群的机器集清单配置示例

apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  name: <infrastructure_id>-edge-<zone>
  namespace: openshift-machine-api
spec:
  template:
    spec:
      providerSpec:
        value:
          publicIp: true

4.14.10. 部署集群

您可以在兼容云平台上安装 OpenShift Container Platform。

重要

在初始安装过程中，您只能运行安装程序的 create cluster 命令一次。

先决条件

您已使用托管集群的云平台配置了帐户。
您有 OpenShift Container Platform 安装程序和集群的 pull secret。
已确认主机上的云供应商帐户具有部署集群的正确权限。权限不正确的帐户会导致安装过程失败，并显示包括缺失权限的错误消息。

流程

进入包含安装程序的目录并初始化集群部署：
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。
注意
只有在安装过程中才需要 AdministratorAccess 策略提供的升级权限。

验证

当集群部署成功完成时：

终端会显示用于访问集群的说明，包括指向 Web 控制台和 kubeadmin 用户的凭证的链接。
凭证信息还会输出到 <installation_directory>/.openshift_install.log.

重要

不要删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。

输出示例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书，然后在过期时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

4.14.11. 验证部署集群的状态

验证 OpenShift Container Platform 是否已在 AWS Local Zones 上部署。

4.14.11.1. 使用 CLI 登录到集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

4.14.11.2. 使用 Web 控制台登录到集群

kubeadmin 用户默认在 OpenShift Container Platform 安装后存在。您可以使用 OpenShift Container Platform Web 控制台以 kubeadmin 用户身份登录集群。

先决条件

有访问安装主机的访问权限。
您完成了集群安装，所有集群 Operator 都可用。

流程

从安装主机上的 kubeadmin -password 文件中获取 kubeadmin 用户的密码：
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志文件获取 kubeadmin 密码。
列出 OpenShift Container Platform Web 控制台路由：
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注意
另外，您还可以从安装主机上的 <installation_directory>/.openshift_install.log 日志 文件获取 OpenShift Container Platform 路由。
输出示例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
在 Web 浏览器中导航到上一命令输出中包括的路由，以 kubeadmin 用户身份登录。

其他资源

如需有关访问和了解 OpenShift Container Platform Web 控制台的更多信息，请参阅访问 Web 控制台以了解更多有关访问和了解 OpenShift Container Platform Web 控制台的详细信息。

4.14.11.3. 验证使用边缘计算池创建的节点

安装使用 AWS Local Zones 基础架构的集群后，检查安装过程中由机器集清单创建的机器状态。

要检查从添加到 install-config.yaml 文件中的子网中创建的机器集，请运行以下命令：

$ oc get machineset -n openshift-machine-api

输出示例

NAME                                  DESIRED   CURRENT   READY   AVAILABLE   AGE
cluster-7xw5g-edge-us-east-1-nyc-1a   1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1a       1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1b       1         1         1       1           3h4m
cluster-7xw5g-worker-us-east-1c       1         1         1       1           3h4m

要检查从机器集创建的机器，请运行以下命令：

$ oc get machines -n openshift-machine-api

输出示例

NAME                                        PHASE     TYPE          REGION      ZONE               AGE
cluster-7xw5g-edge-us-east-1-nyc-1a-wbclh   Running   c5d.2xlarge   us-east-1   us-east-1-nyc-1a   3h
cluster-7xw5g-master-0                      Running   m6i.xlarge    us-east-1   us-east-1a         3h4m
cluster-7xw5g-master-1                      Running   m6i.xlarge    us-east-1   us-east-1b         3h4m
cluster-7xw5g-master-2                      Running   m6i.xlarge    us-east-1   us-east-1c         3h4m
cluster-7xw5g-worker-us-east-1a-rtp45       Running   m6i.xlarge    us-east-1   us-east-1a         3h
cluster-7xw5g-worker-us-east-1b-glm7c       Running   m6i.xlarge    us-east-1   us-east-1b         3h
cluster-7xw5g-worker-us-east-1c-qfvz4       Running   m6i.xlarge    us-east-1   us-east-1c         3h

要检查具有边缘角色的节点，请运行以下命令：

$ oc get nodes -l node-role.kubernetes.io/edge

输出示例

NAME                           STATUS   ROLES         AGE    VERSION
ip-10-0-207-188.ec2.internal   Ready    edge,worker   172m   v1.25.2+d2e245f

4.14.12. OpenShift Container Platform 的 Telemetry 访问

在 OpenShift Container Platform 4.15 中，默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，而且集群会注册到 OpenShift Cluster Manager。

确认 OpenShift Cluster Manager 清单正确后，可以由 Telemetry 自动维护，也可以使用 OpenShift Cluster Manager 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

有关 Telemetry 服务的更多信息，请参阅关于远程健康监控。

后续步骤

验证安装.
如果需要，您可以选择不使用远程健康。

4.14. 使用 AWS Local Zones 上的计算节点在 AWS 上安装集群

4.14.1. 基础架构先决条件

4.14.2. 关于 AWS 本地区域和边缘计算池

4.14.2.1. AWS 本地区中的集群限制

4.14.2.2. 关于边缘计算池

4.14.3. 安装先决条件

4.14.3.1. 选择 AWS 本地区域

4.14.3.2. OpenShift Container Platform 互联网访问

4.14.3.3. 获取 AWS Marketplace 镜像

4.14.3.4. 通过下载二进制文件安装 OpenShift CLI

在 Linux 上安装 OpenShift CLI

在 Windows 上安装 OpenShift CLI

在 macOS 上安装 OpenShift CLI

4.14.3.5. 获取安装程序

4.14.3.6. 为集群节点 SSH 访问生成密钥对

4.14.4. 准备安装

4.14.4.1. 集群安装的最低资源要求

4.14.4.2. 为 AWS 测试的实例类型

4.14.4.3. 创建安装配置文件

4.14.4.4. 使用边缘计算池安装配置文件示例

4.14.4.5. 自定义集群网络 MTU

4.14.5. AWS 本地区域的集群安装选项

4.14.6. 在 AWS 本地区中快速安装集群

4.14.6.1. 修改安装配置文件以使用 AWS 本地区域

4.14.7. 在带有 Local Zone 子网的现有 VPC 上安装集群

4.14.7.1. 在 AWS 中创建 VPC

4.14.7.2. VPC 的 CloudFormation 模板

4.14.7.3. 在本地区中创建子网

4.14.7.4. VPC 子网的 CloudFormation 模板

4.14.7.5. 修改安装配置文件以使用 AWS 本地区域子网

4.14.8. 可选： AWS 安全组

4.14.9. 可选：将公共 IP 地址分配给边缘计算节点

4.14.10. 部署集群

4.14.11. 验证部署集群的状态

4.14.11.1. 使用 CLI 登录到集群

4.14.11.2. 使用 Web 控制台登录到集群

4.14.11.3. 验证使用边缘计算池创建的节点

4.14.12. OpenShift Container Platform 的 Telemetry 访问

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links