第 9 章在受限网络中的 IBM Cloud 上安装集群

在 OpenShift Container Platform 4.15 中，您可以通过创建安装发行内容的内部镜像在受限网络中的集群，方法是创建一个可访问 IBM Cloud® 上现有 Virtual Private Cloud (VPC) 的安装发行内容的内部镜像。

9.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
已将 IBM Cloud 帐户配置为托管集群。
您有一个容器镜像 registry，可供互联网和受限网络访问。容器镜像 registry 应该镜像 OpenShift 镜像 registry 的内容，并包含安装介质。如需更多信息，请参阅使用 oc-mirror 插件为断开连接的安装镜像镜像。
在 IBM Cloud® 上有一个满足以下要求的 VPC：
- VPC 包含镜像 registry 或具有防火墙规则或对等连接来访问其他位置托管的镜像 registry。
- VPC 可以使用公共端点访问 IBM Cloud® 服务端点。如果网络限制限制对公共服务端点的访问，请评估这些服务中可能可用的备用端点。如需更多信息，请参阅访问 IBM 服务端点。
默认情况下，您无法使用安装程序置备的 VPC。
如果您计划将端点网关配置为使用 IBM Cloud® Virtual Private Endpoints，请考虑以下要求：
- 端点网关支持目前仅限于 us-east 和 us-south 区域。
- VPC 必须允许到端点网关的流量。您可以使用 VPC 的默认安全组或新安全组来允许端口 443 上的流量。如需更多信息，请参阅允许端点网关流量。
如果使用防火墙，将其配置为允许集群需要访问的站点。
在安装集群前已经配置了 ccoctl 工具。如需更多信息，请参阅为 IBM Cloud VPC 配置 IAM。