1.4. 使用自定义网络在 AWS 上安装集群

1.4.1. 先决条件
复制链接

查看有关 OpenShift Container Platform 安装和更新流程的详细信息。
配置 AWS 帐户以托管集群。
重要
如果您的计算机上存储有 AWS 配置集，则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中，集群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
如果使用防火墙，则必须将其配置为允许集群需要访问的站点。
如果不允许系统管理身份和访问管理（IAM），集群管理员可以手动创建和维护 IAM 凭证。手动模式也可以用于云 IAM API 无法访问的环境中。

1.4.2. OpenShift Container Platform 对互联网和 Telemetry 的访问
复制链接

在 OpenShift Container Platform 4.3 中，您需要访问互联网来安装集群。默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，这也需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，而且集群会注册到 Red Hat OpenShift Cluster Manager（OCM）。

确认 Red Hat OpenShift Cluster Manager 清单正确后，可以由 Telemetry 自动维护，也可以使用 OCM 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

您必须具有以下互联网访问权限：

访问 Red Hat OpenShift Cluster Manager 页面，以下载安装程序并执行订阅管理。如果集群可以访问互联网，并且没有禁用 Telemetry，该服务会自动授权您的集群。
访问 Quay.io，以获取安装集群所需的软件包。
获取执行集群更新所需的软件包。

重要

如果您的集群无法直接访问互联网，则可以在置备的某些类基础架构上执行受限网络安装。在此过程中，您要下载所需的内容，并使用它在镜像 registry（mirror registry）中填充安装集群并生成安装程序所需的软件包。对于某些安装类型，集群要安装到的环境不需要访问互联网。在更新集群之前，要更新 registry 镜像系统中的内容。

1.4.3. 生成 SSH 私钥并将其添加到代理中
复制链接

如果要在集群上执行安装调试或灾难恢复，则必须为 ssh-agent 和安装程序提供 SSH 密钥。

注意

在生产环境中，您需要进行灾难恢复和调试。

您可以使用此密钥以 core 用户身份通过 SSH 连接到 master 节点。在部署集群时，此密钥会添加到 core 用户的 ~/.ssh/authorized_keys 列表中。

注意

您必须使用一个本地密钥，而不要使用在特定平台上配置的密钥，如 AWS 密钥对。

流程

如果还没有为计算机上免密码身份验证而配置的 SSH 密钥，请创建一个。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
ssh-keygen -t rsa -b 4096 -N '' \
    -f <path>/<file_name>
```
```
$ ssh-keygen -t rsa -b 4096 -N '' \
    -f <path>/<file_name> 
```
1
Copy to Clipboard Toggle word wrap
1
指定 SSH 密钥的路径和文件名，如 ~/.ssh/id_rsa。不要指定已存在的 SSH 密钥，因为它会被覆盖。
运行此命令会在指定的位置生成不需要密码的 SSH 密钥。
作为后台任务启动 ssh-agent 进程：
```
eval "$(ssh-agent -s)"
```
```
$ eval "$(ssh-agent -s)"

Agent pid 31874
```
Copy to Clipboard Toggle word wrap
将 SSH 私钥添加到 ssh-agent：
```
ssh-add <path>/<file_name>
```
```
$ ssh-add <path>/<file_name> 
```
1
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```
Copy to Clipboard Toggle word wrap
1
指定 SSH 私钥的路径和文件名，如 ~/.ssh/id_rsa

后续步骤

在安装 OpenShift Container Platform 时，为安装程序提供 SSH 公钥。

1.4.4. 获取安装程序
复制链接

在安装 OpenShift Container Platform 之前，将安装文件下载到本地计算机上。

先决条件

必须从使用 Linux 或 macOS 的计算机安装集群。
需要 500 MB 本地磁盘空间来下载安装程序。

流程

访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。如果您有红帽帐号，请使用自己的凭证登录。如果没有，请创建一个帐户。
进入适用于您的安装类型的页面，下载您的操作系统的安装程序，并将文件放在要保存安装配置文件的目录中。。
重要
安装程序会在用来安装集群的计算机上创建若干文件。在完成集群安装后，您必须保留安装程序和安装程序所创建的文件。
重要
删除安装程序创建的文件不会删除您的集群，即使集群在安装过程中失败也是如此。您必须完成针对特定云供应商的 OpenShift Container Platform 卸载流程，才能完全删除您的集群。
提取安装程序。例如，在使用 Linux 操作系统的计算机上运行以下命令：
```
tar xvf <installation_program>.tar.gz
```
```
$ tar xvf <installation_program>.tar.gz
```
Copy to Clipboard Toggle word wrap
在 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中，下载您的安装 pull secret 的 .txt 文件。通过此 pull secret，您可以进行所含授权机构提供的服务的身份验证，这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。

1.4.5. 创建安装配置文件
复制链接

您可以自定义 Amazon Web Services (AWS) 上的 OpenShift Container Platform 安装。

先决条件

获取 OpenShift Container Platform 安装程序以及集群的 pull secret。

流程

创建 install-config.yaml 文件。
1. 运行以下命令：
  $ ./openshift-install create install-config --dir=<installation_directory>
  1
  Copy to Clipboard Toggle word wrap
  1
  对于 <installation_directory>，请指定用于保存安装程序所创建的文件的目录名称。
  重要
  指定一个空目录。一些安装信息，如 bootstrap X.509 证书，有较短的过期间隔，因此不要重复使用安装目录。如果要重复使用另一个集群安装中的个别文件，可以将其复制到您的目录中。但是，一些安装数据的文件名可能会在发行版本之间有所改变。从 OpenShift Container Platform 老版本中复制安装文件时要格外小心。
2. 在提示符处，提供您的云的配置详情：
  1. 可选：选择用来访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 AWS 作为目标平台。
  3. 如果计算机上没有保存 Amazon Web Services (AWS) 配置集，请为您配置用于运行安装程序的用户输入 AWS 访问密钥 ID 和 Secret 访问密钥。
  4. 选择要将集群部署到的 AWS 区域。
  5. 选择您为集群配置的 Route53 服务的基域。
  6. 为集群输入一个描述性名称。
  7. 粘贴从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中获取的 pull secret。
修改 install-config.yaml 文件。您可以在安装配置参数部分中找到有关可用参数的更多信息。
备份 install-config.yaml 文件，以便用于安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用此文件，必须现在备份。

1.4.5.1. 安装配置参数
复制链接

在部署 OpenShift Container Platform 集群前，您可以提供参数值，以描述托管集群的云平台的帐户并选择性地自定义集群平台。在创建 install-config.yaml 安装配置文件时，您可以通过命令行来提供所需的参数的值。如果要自定义集群，可以修改 install-config.yaml 文件来提供关于平台的更多信息。

注意

安装之后，您无法修改 install-config.yaml 文件中的这些参数。

Expand

表 1.4. 所需的参数
参数	描述	值
`baseDomain`	云供应商的基域。此值用于创建到 OpenShift Container Platform 集群组件的路由。集群的完整 DNS 名称是 `baseDomain` 和 `metadata.name` 参数值的组合，其格式为 `<metadata.name>.<baseDomain>`。	完全限定域名或子域名，如 `example.com`。
`controlPlane.platform`	托管 control plane 机器的云供应商。此参数值必须与 `compute.platform` 参数值匹配。	`aws`、`azure`、`gcp`、`openstack` 或 `{}`
`compute.platform`	托管 worker 机器的云供应商。此参数值必须与 `controlPlane.platform` 参数值匹配。	`aws`、`azure`、`gcp`、`openstack` 或 `{}`
`metadata.name`	集群的名称。	包含大写字母或小写字母的字符串，如 `dev`。
`platform.<platform>.region`	集群要部署到的区域。	云的有效区域，如 AWS 的 `us-east-1`、Azure 的 `centralus` 或 Red Hat OpenStack Platform (RHOSP) 的 `region1`。
`pullSecret`	从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中获取的 pull secret。您可以使用此 pull secret 来进行所含授权机构提供的服务的身份验证，这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。	`{ "auths":{ "cloud.openshift.com":{ "auth":"b3Blb=", "email":"you@example.com" }, "quay.io":{ "auth":"b3Blb=", "email":"you@example.com" } } }` Copy to Clipboard Toggle word wrap

Expand

表 1.5. 可选参数
参数	描述	值
`sshKey`	用于访问集群机器的 SSH 密钥。注意对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 `ssh-agent` 进程使用的 SSH 密钥。	添加到 `ssh-agent` 进程的有效本地公共 SSH 密钥。
`fips`	是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。	`false` 或 `true`
`publish`	如何发布集群的面向用户的端点。	`Internal` 或 `External`。把 `publish` 设置为 `Internal` 以部署一个私有集群，它不能被互联网访问。默认值为 `External`。
`compute.hyperthreading`	是否在计算机器上启用或禁用并发多线程或`超线程`。默认情况下，启用并发多线程以提高机器内核的性能。重要如果禁用并发多线程，请确保在容量规划时考虑到机器性能可能会显著降低的问题。	`Enabled` 或 `Disabled`
`compute.replicas`	要置备的计算机器数量，也称为 worker 机器。	大于或等于 `2` 的正整数。默认值为 `3`。
`controlPlane.hyperthreading`	是否在 control plane 机器上启用或禁用并发多线程或`超线程`。默认情况下，启用并发多线程以提高机器内核的性能。重要如果禁用并发多线程，请确保在容量规划时考虑到机器性能可能会显著降低的问题。	`Enabled` 或 `Disabled`
`controlPlane.replicas`	要置备的 control plane 机器数量。	大于或等于 `3` 的正整数。默认值为 `3`。

Expand

表 1.6. 可选的 AWS 参数
参数	描述	值
`compute.platform.aws.rootVolume.iops`	为根卷保留的每秒输入/输出操作 (IOPS) 数。	整数，如 `4000`。
`compute.platform.aws.rootVolume.size`	以 GiB 为单位的根卷大小。	整数，如 `500`。
`compute.platform.aws.rootVolume.type`	根卷的实例类型。	有效的 AWS EBS 实例类型，如 `io1`。
`compute.platform.aws.type`	计算机器的 EC2 实例类型。	有效的 AWS 实例类型，如 `c5.9xlarge`。
`compute.platform.aws.zones`	安装程序在其中为计算 MachinePool 创建机器的可用区。如果您提供自己的 VPC，则必须在那个可用域中提供一个子网。	有效 AWS 可用区的列表，如 `us-east-1c`，以 YAML 序列表示。
`compute.aws.region`	安装程序在其中创建计算资源的 AWS 区域。	有效的 AWS 区域，如 `us-east-1`。
`controlPlane.platform.aws.type`	control plane 机器的 EC2 实例类型。	有效的 AWS 实例类型，如 `c5.9xlarge`。
`controlPlane.platform.aws.zones`	安装程序在其中为 control plane MachinePool 创建机器的可用区。	有效 AWS 可用区的列表，如 `us-east-1c`，以 YAML 序列表示。
`controlPlane.aws.region`	安装程序在其中创建 control plane 资源的 AWS 区域。	有效的 AWS 区域，如 `us-east-1`。
`platform.aws.userTags`	键与值的映射，安装程序将其作为标签添加到它所创建的所有资源。	任何有效的 YAML 映射，如 `<key>: <value>` 格式的键值对。如需有关 AWS 标签的更多信息，请参阅 AWS 文档中的标记您的 Amazon EC2 资源。
`platform.aws.subnets`	如果您提供 VPC，而不是让安装程序为您创建 VPC，请指定要使用的集群子网。子网必须是您指定的同一 `machineCIDR` 范围的一部分。对于标准集群，为每个可用区指定一个公共和私有子网。对于私有集群，为每个可用区指定一个私有子网。	有效的子网 ID。

重要

Open Virtual Networking (OVN) Kubernetes 网络插件只是技术预览功能。技术预览功能不被红帽产品服务等级协议 (SLA) 支持，且可能在功能方面有缺陷。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能，并有机会在开发阶段提供反馈意见。

如需 OVN 技术预览支持范围的更多信息，请参阅 https://access.redhat.com/articles/4380121。

1.4.5.2. 网络配置参数
复制链接

您可以在 install-config.yaml 配置文件中修改集群网络配置参数。下表描述了这些参数。

注意

安装之后，您无法修改 install-config.yaml 文件中的这些参数。

Expand

表 1.7. 所需的网络参数
参数	描述	值
`networking.networkType`	要部署的默认 Container Network Interface(CNI)网络供应商插件。`OpenShiftSDN` 插件是 OpenShift Container Platform 4.3 中唯一支持的插件。`OVNKubernetes` 插件在 OpenShift Container Platform 4.3 中仅以技术预览提供。	`OpenShiftSDN` 或 `OVNKubernetes`。默认值为 `OpenShiftSDN`。
`networking.clusterNetwork.cidr`	从中分配 Pod IP 地址的 IP 地址块。`OpenShiftSDN` 网络插件支持多个集群网络。多个集群网络的地址块不得互相重叠。请选择足够大的地址池，以适配预期的工作负载。	CIDR 格式的 IP 地址分配。默认值为 `10.128.0.0/14`。
`networking.clusterNetwork.hostPrefix`	分配给每个单独节点的子网前缀长度。例如，如果 `hostPrefix` 设为 `23`，则每个节点从所给的 `cidr` 中分配一个 `/23` 子网，这样就能有 510 (2^(32 - 23) - 2) 个 Pod IP 地址。	子网前缀。默认值为 `23`。
`networking.serviceNetwork[]`	服务的 IP 地址块。`OpenShiftSDN` 只允许一个 `serviceNetwork` 块。该地址块不得与任何其他网络块重叠。	CIDR 格式的 IP 地址分配。默认值为 `172.30.0.0/16`。
`networking.machineCIDR`	OpenShift Container Platform 安装程序在安装集群时使用的 IP 地址块。该地址块不得与任何其他网络块重叠。	CIDR 格式的 IP 地址分配。默认值为 `10.0.0.0/16`。

1.4.5.3. AWS 的自定义 install-config.yaml 文件示例
复制链接

您可以自定义 install-config.yaml 文件，以指定有关 OpenShift Container Platform 集群平台的更多信息，或修改所需参数的值。

重要

此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml 文件，并且修改该文件。

apiVersion: v1
baseDomain: example.com 
controlPlane: 
  hyperthreading: Enabled  
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1
      type: m5.xlarge 
  replicas: 3
compute: 
- hyperthreading: Enabled 
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 
networking: 
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineCIDR: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 
    userTags:
      adminContact: jdoe
      costCenter: 7536
pullSecret: '{"auths": ...}' 
fips: false 
sshKey: ssh-ed25519 AAAA...

apiVersion: v1
baseDomain: example.com

1


controlPlane:

2


  hyperthreading: Enabled

3

4


  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1
      type: m5.xlarge

5


  replicas: 3
compute:

6


- hyperthreading: Enabled

7


  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1

8


      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster

9


networking:

10


  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineCIDR: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2

11


    userTags:
      adminContact: jdoe
      costCenter: 7536
pullSecret: '{"auths": ...}'

12


fips: false

13


sshKey: ssh-ed25519 AAAA...

14

Copy to Clipboard

Toggle word wrap

1 9 11 12: 必需。安装程序会提示您输入这个值。
2 6 10: 如果没有提供这些参数和值，安装程序会提供默认值。
3 7: controlPlane 部分是一个单映射，但 compute 部分是一系列映射。为满足不同数据结构的要求，compute 部分的第一行必须以连字符 - 开头，controlPlane 部分的第一行则不可以连字符开头。虽然这两个部分目前都定义单个机器池，但未来的 OpenShift Container Platform 版本可能会支持在安装过程中定义多个计算池。只使用一个 control plane 池。
4 5: 是否要启用或禁用并发多线程或超线程。默认情况下，启用并发多线程以提高机器内核的性能。您可以通过将参数值设为 Disabled 来禁用。如果您在某些集群机器上禁用并发多线程，则必须在所有集群机器上禁用。
重要
如果禁用并发多线程，请确保在容量规划时考虑到机器性能可能会显著降低的问题。如果您对机器禁用并发多线程，请使用较大的实例类型，如 m4.2xlarge 或 m5.2xlarge。
8: 要为 etcd 配置更快的存储，特别是对于较大的集群，请将存储类型设置为 io1，并将 iops 设为 2000。
13: 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式，运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件，并使用由 RHCOS 提供的加密模块。
14: 您可以选择提供您用来访问集群中机器的 sshKey 值。
注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。

1.4.6. 修改高级网络配置参数
复制链接

您只能在安装集群前修改高级网络配置参数。通过自定义高级配置，您可以指定 MTU 或 VXLAN 端口，允许自定义 kube-proxy 设置，以及为 openshiftSDNConfig 参数指定不同的 mode，从而将集群整合到现有的网络环境中。

重要

不支持直接修改 OpenShift Container Platform 清单文件。

先决条件

创建 install-config.yaml 文件并完成对其所做的任何修改。

流程

使用以下命令来创建清单：
```
./openshift-install create manifests --dir=<installation_directory>
```
```
$ ./openshift-install create manifests --dir=<installation_directory> 
```
1
Copy to Clipboard Toggle word wrap
1
对于 <installation_directory>，请指定含有集群的 install-config.yaml 文件的目录的名称。
修改 <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 清单文件，以防止在 control plane 机器上调度 Pod：
1. 打开 manifests/cluster-scheduler-02-config.yml 文件。
2. 找到 mastersSchedulable 参数，并将其值设为 False。
3. 保存并退出文件。
注意
目前，由于 Kubernetes 限制，入口负载均衡器将无法访问在 control plane 机器上运行的路由器 Pod。
在 <installation_directory>/manifests/ 目录下，创建一个名为 cluster-network-03-config.yml 的文件：
```
touch <installation_directory>/manifests/cluster-network-03-config.yml
```
```
$ touch <installation_directory>/manifests/cluster-network-03-config.yml 
```
1
Copy to Clipboard Toggle word wrap
1
对于 <installation_directory>，请指定包含集群的 manifests/ 目录的目录名称。
创建该文件后，manifests/ 目录中会包含多个网络配置文件，如下所示：
```
ls <installation_directory>/manifests/cluster-network-*
```
```
$ ls <installation_directory>/manifests/cluster-network-*
```
Copy to Clipboard Toggle word wrap
输出示例
```
cluster-network-01-crd.yml
cluster-network-02-config.yml
cluster-network-03-config.yml
```
```
cluster-network-01-crd.yml
cluster-network-02-config.yml
cluster-network-03-config.yml
```
Copy to Clipboard Toggle word wrap

在编辑器中打开 cluster-network-03-config.yml 文件，然后输入描述您想要的 Operator 配置的 CR：

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec: 
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  defaultNetwork:
    type: OpenShiftSDN
    openshiftSDNConfig:
      mode: NetworkPolicy
      mtu: 1450
      vxlanPort: 4789

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:

1


  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  defaultNetwork:
    type: OpenShiftSDN
    openshiftSDNConfig:
      mode: NetworkPolicy
      mtu: 1450
      vxlanPort: 4789

Copy to Clipboard

Toggle word wrap

1: spec 参数的参数仅作示例。在 CR 中为 Cluster Network Operator 指定配置。

CNO 为 CR 中的参数提供默认值，因此您必须只指定要更改的参数。

保存 cluster-network-03-config.yml 文件，再退出文本编辑器。
可选：备份 manifests/cluster-network-03-config.yml 文件。创建集群时，安装程序会删除 manifests/ 目录。

1.4.7. Cluster Network Operator 配置
复制链接

集群网络的配置作为 Cluster Network Operator (CNO) 配置的一部分被指定，并存储在名为 cluster的 CR 对象中。CR 指定 operator.openshift.io API 组中的 Network API 的参数。

您可以通过在 CNO CR 中设置 defaultNetwork 参数的值，为 OpenShift Container Platform 集群指定集群网络配置。以下 CR 显示了 CNO 的默认配置，并列出了您可以配置的参数和有效的参数值：

Cluster Network Operator CR

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  clusterNetwork: 
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork: 
  - 172.30.0.0/16
  defaultNetwork: 
    ...
  kubeProxyConfig: 
    iptablesSyncPeriod: 30s 
    proxyArguments:
      iptables-min-sync-period: 
      - 0s

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  clusterNetwork:

1


  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:

2


  - 172.30.0.0/16
  defaultNetwork:

3


    ...
  kubeProxyConfig:

4


    iptablesSyncPeriod: 30s

5


    proxyArguments:
      iptables-min-sync-period:

6


      - 0s

Copy to Clipboard

Toggle word wrap

1 2: 在 install-config.yaml 文件中指定。
3: 配置集群网络的默认 Container Network Interface(CNI)网络供应商。
4: 此对象的参数指定 kube-proxy 配置。如果没有指定参数值，Cluster Network Operator 会使用显示的默认参数值。如果您使用 OVN-Kubernetes 默认 CNI 网络供应商，则 kube-proxy 的配置不会起作用。
5: iptables 规则的刷新周期。默认值为 30s。有效的后缀包括 s、m和 h，具体参见 Go 时间包文档。
注意
由于 OpenShift Container Platform 4.3 及更高版本中引进了性能上的改进，现在不再需要调整 iptablesSyncPeriod 参数。
6: 刷新 iptables 规则前的最短时长。此参数确保刷新的频率不会过于频繁。有效的后缀包括 s、m 和 h，具体参见 Go time 软件包。

1.4.7.1. OpenShift SDN 网络供应商的配置参数
复制链接

以下 YAML 对象描述了 OpenShift SDN 默认 Container Network Interface(CNI)网络供应商的配置参数。

defaultNetwork:
  type: OpenShiftSDN 
  openshiftSDNConfig: 
    mode: NetworkPolicy 
    mtu: 1450 
    vxlanPort: 4789

defaultNetwork:
  type: OpenShiftSDN

1


  openshiftSDNConfig:

2


    mode: NetworkPolicy

3


    mtu: 1450

4


    vxlanPort: 4789

5

Copy to Clipboard

Toggle word wrap

1: 在 install-config.yaml 文件中指定。
2: 只有您要覆盖部分 OpenShift SDN 配置时才需要指定。
3: 配置 OpenShift SDN 的网络隔离模式。允许的值有 Multitenant、Subnet 或 NetworkPolicy。默认值为 NetworkPolicy。
4: VXLAN 覆盖网络的最大传输单元 (MTU) 。这个值通常是自动配置的；但是，如果集群中的节点没有全部使用相同的 MTU，那么您必须将此值明确设置为比最小节点 MTU 的值小 50。
5: 用于所有 VXLAN 数据包的端口。默认值为 4789。如果您在虚拟环境中运行，并且现有节点是另一个 VXLAN 网络的一部分，那么可能需要更改此值。例如，当在 VMware NSX-T 上运行 OpenShift SDN 覆盖时，您必须为 VXLAN 选择一个备用端口，因为两个 SDN 都使用相同的默认 VXLAN 端口号。
在 Amazon Web Services (AWS) 上，您可以在端口 9000 和端口 9999 之间为 VXLAN 选择一个备用端口。

1.4.7.2. OVN-Kubernetes 网络供应商的配置参数
复制链接

以下 YAML 对象描述了 OVN-Kubernetes Pod 网络供应商的配置参数：

defaultNetwork:
  type: OVNKubernetes 
  ovnKubernetesConfig: 
    mtu: 1400 
    genevePort: 6081

defaultNetwork:
  type: OVNKubernetes

1


  ovnKubernetesConfig:

2


    mtu: 1400

3


    genevePort: 6081

4

Copy to Clipboard

Toggle word wrap

1: 在 install-config.yaml 文件中指定。
2: 只有在需要覆盖部分 OVN-Kubernetes 配置时才需要指定。
3: Geneve（Generic Network Virtualization Encapsulation）覆盖网络的 MTU。这个值通常是自动配置的；但是，如果集群中的节点没有都使用相同的 MTU，那么您必须将此值明确设置为比最小节点 MTU 的值小 100。
4: Geneve 覆盖网络的 UDP 端口。

1.4.7.3. Cluster Network Operator 配置示例
复制链接

下例中显示了 CNO 的一个完整 CR：

Cluster Network Operator 示例 CR

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  defaultNetwork:
    type: OpenShiftSDN
    openshiftSDNConfig:
      mode: NetworkPolicy
      mtu: 1450
      vxlanPort: 4789
  kubeProxyConfig:
    iptablesSyncPeriod: 30s
    proxyArguments:
      iptables-min-sync-period:
      - 0s

apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  serviceNetwork:
  - 172.30.0.0/16
  defaultNetwork:
    type: OpenShiftSDN
    openshiftSDNConfig:
      mode: NetworkPolicy
      mtu: 1450
      vxlanPort: 4789
  kubeProxyConfig:
    iptablesSyncPeriod: 30s
    proxyArguments:
      iptables-min-sync-period:
      - 0s

Copy to Clipboard

Toggle word wrap

1.4.8. 部署集群
复制链接

您可以在兼容云平台中安装 OpenShift Container Platform。

重要

安装程序的 create cluster 命令只能在初始安装过程中运行一次。

先决条件

配置托管集群的云平台的帐户。
获取 OpenShift Container Platform 安装程序以及集群的 pull secret。

流程

运行安装程序：
```
./openshift-install create cluster --dir=<installation_directory> \
    --log-level=info
```
```
$ ./openshift-install create cluster --dir=<installation_directory> \ 
```
1
```
    --log-level=info 
```
2
Copy to Clipboard Toggle word wrap
1
对于 <installation_directory>，请指定自定义 ./install-config.yaml 文件的位置。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不要指定 info。
注意
如果您在主机上配置的云供应商帐户没有足够的权限来部署集群，安装过程将会停止，并且显示缺少的权限。
集群部署完成后，终端会显示访问集群的信息，包括指向其 Web 控制台的链接和 kubeadmin 用户的凭证。
重要
安装程序生成的 Ignition 配置文件中所含的证书会在 24 小时后过期。您必须以非降级状态持续运行集群 24 小时，以确保完成第一次证书轮转。
重要
您不得删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。
可选：从您用来安装集群的 IAM 帐户删除或禁用 AdministratorAccess 策略。

1.4.9. 通过下载二进制文件安装 CLI
复制链接

您需要安装 CLI（oc）来使用命令行界面与 OpenShift Container Platform 进行交互。您可在 Linux 、Windows 或 macOS 上安装 oc。

重要

如果安装了旧版本的 oc，则无法使用 OpenShift Container Platform 4.3 中的所有命令。下载并安装新版本的 oc。

1.4.9.1. 在 Linux 上安装 CLI
复制链接

您可以按照以下流程在 Linux 上安装 OpenShift CLI（oc）二进制文件。

流程

访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
选择您的基础架构供应商及安装类型。
在 Command-line interface 部分，从下拉菜单中选择 Linux，并点 Download command-line tools。
解包存档：
```
tar xvzf <file>
```
```
$ tar xvzf <file>
```
Copy to Clipboard Toggle word wrap
把 oc 二进制代码放到 PATH 中的目录中。
执行以下命令可以查看当前的 PATH 设置：
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

安装 CLI 后，就可以使用oc命令：

oc <command>

$ oc <command>

Copy to Clipboard

Toggle word wrap

1.4.9.2. 在 Windows 上安装 CLI
复制链接

您可以按照以下流程在 Windows 上安装 OpenShift CLI（oc）二进制代码。

流程

访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
选择您的基础架构供应商及安装类型。
在 Command-line interface 部分，从下拉菜单中选择 Windows，点 Download command-line tools。
使用 ZIP 程序解压存档。
把 oc 二进制代码放到 PATH 中的目录中。
要查看您的 PATH，请打开命令提示窗口并执行以下命令：
```
path
```
```
C:\> path
```
Copy to Clipboard Toggle word wrap

安装 CLI 后，就可以使用oc命令：

oc <command>

C:\> oc <command>

Copy to Clipboard

Toggle word wrap

1.4.9.3. 在 macOS 上安装 CLI
复制链接

您可以按照以下流程在 macOS 上安装 OpenShift CLI（oc）二进制代码。

流程

访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
选择您的基础架构供应商及安装类型。
在 Command-line interface 部分，从下拉菜单中选择 MacOS，并点 Download command-line tools。
解包和解压存档。
将 oc 二进制文件移到 PATH 的目录中。
要查看您的 PATH，打开一个终端窗口并执行以下命令：
```
echo $PATH
```
```
$ echo $PATH
```
Copy to Clipboard Toggle word wrap

安装 CLI 后，就可以使用oc命令：

oc <command>

$ oc <command>

Copy to Clipboard

Toggle word wrap

1.4.10. 登录集群
复制链接

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含关于集群的信息，供 CLI 用于将客户端连接到正确集群和 API 服务器。该文件特只适用于一个特定的集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

部署 OpenShift Container Platform 集群。
安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
export KUBECONFIG=<installation_directory>/auth/kubeconfig
```
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 
```
1
Copy to Clipboard Toggle word wrap
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
使用导出的配置，验证能否成功运行 oc 命令：
```
oc whoami
```
```
$ oc whoami
system:admin
```
Copy to Clipboard Toggle word wrap

1.4.11. 后续步骤
复制链接

自定义集群。
若有需要，您可以选择不使用远程健康报告。

1.4.1. 先决条件
复制链接

1.4.2. OpenShift Container Platform 对互联网和 Telemetry 的访问
复制链接

1.4.3. 生成 SSH 私钥并将其添加到代理中
复制链接

1.4.4. 获取安装程序
复制链接

1.4.5. 创建安装配置文件
复制链接

1.4.5.1. 安装配置参数
复制链接

1.4.5.2. 网络配置参数
复制链接

1.4.5.3. AWS 的自定义 install-config.yaml 文件示例
复制链接

1.4.6. 修改高级网络配置参数
复制链接

1.4.7. Cluster Network Operator 配置
复制链接

1.4.7.1. OpenShift SDN 网络供应商的配置参数
复制链接

1.4.7.2. OVN-Kubernetes 网络供应商的配置参数
复制链接

1.4.7.3. Cluster Network Operator 配置示例
复制链接

1.4.8. 部署集群
复制链接

1.4.9. 通过下载二进制文件安装 CLI
复制链接

1.4.9.1. 在 Linux 上安装 CLI
复制链接

1.4.9.2. 在 Windows 上安装 CLI
复制链接

1.4.9.3. 在 macOS 上安装 CLI
复制链接

1.4.10. 登录集群
复制链接

1.4.11. 后续步骤
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.4. 使用自定义网络在 AWS 上安装集群

1.4.1. 先决条件复制链接链接已复制到粘贴板!

1.4.2. OpenShift Container Platform 对互联网和 Telemetry 的访问复制链接链接已复制到粘贴板!

1.4.3. 生成 SSH 私钥并将其添加到代理中复制链接链接已复制到粘贴板!

1.4.4. 获取安装程序复制链接链接已复制到粘贴板!

1.4.5. 创建安装配置文件复制链接链接已复制到粘贴板!

1.4.5.1. 安装配置参数复制链接链接已复制到粘贴板!

1.4.5.2. 网络配置参数复制链接链接已复制到粘贴板!

1.4.5.3. AWS 的自定义 install-config.yaml 文件示例复制链接链接已复制到粘贴板!

1.4.6. 修改高级网络配置参数复制链接链接已复制到粘贴板!

1.4.7. Cluster Network Operator 配置复制链接链接已复制到粘贴板!

1.4.7.1. OpenShift SDN 网络供应商的配置参数复制链接链接已复制到粘贴板!

1.4.7.2. OVN-Kubernetes 网络供应商的配置参数复制链接链接已复制到粘贴板!

1.4.7.3. Cluster Network Operator 配置示例复制链接链接已复制到粘贴板!

1.4.8. 部署集群复制链接链接已复制到粘贴板!

1.4.9. 通过下载二进制文件安装 CLI复制链接链接已复制到粘贴板!

1.4.9.1. 在 Linux 上安装 CLI复制链接链接已复制到粘贴板!

1.4.9.2. 在 Windows 上安装 CLI复制链接链接已复制到粘贴板!

1.4.9.3. 在 macOS 上安装 CLI复制链接链接已复制到粘贴板!

1.4.10. 登录集群复制链接链接已复制到粘贴板!

1.4.11. 后续步骤复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.4.1. 先决条件
复制链接

1.4.2. OpenShift Container Platform 对互联网和 Telemetry 的访问
复制链接

1.4.3. 生成 SSH 私钥并将其添加到代理中
复制链接

1.4.4. 获取安装程序
复制链接

1.4.5. 创建安装配置文件
复制链接

1.4.5.1. 安装配置参数
复制链接

1.4.5.2. 网络配置参数
复制链接

1.4.5.3. AWS 的自定义 install-config.yaml 文件示例
复制链接

1.4.6. 修改高级网络配置参数
复制链接

1.4.7. Cluster Network Operator 配置
复制链接

1.4.7.1. OpenShift SDN 网络供应商的配置参数
复制链接

1.4.7.2. OVN-Kubernetes 网络供应商的配置参数
复制链接

1.4.7.3. Cluster Network Operator 配置示例
复制链接

1.4.8. 部署集群
复制链接

1.4.9. 通过下载二进制文件安装 CLI
复制链接

1.4.9.1. 在 Linux 上安装 CLI
复制链接

1.4.9.2. 在 Windows 上安装 CLI
复制链接

1.4.9.3. 在 macOS 上安装 CLI
复制链接

1.4.10. 登录集群
复制链接

1.4.11. 后续步骤
复制链接