1.3. 使用自定义在 Azure 上安装集群
在 OpenShift Container Platform 版本 4.3 中,您可以在安装程序在 Microsoft Azure 上置备的基础架构上安装自定义的集群。要自定义安装,请在安装集群前修改 install-config.yaml
文件中的参数。
1.3.1. 先决条件
- 查看有关 OpenShift Container Platform 安装和更新流程的详细信息。
- 配置一个 Azure 帐户以托管集群,并决定要将集群部署到的已测试和验证的区域。
- 如果使用防火墙,则必须将其配置为允许集群需要访问的站点。
- 如果不允许系统管理身份和访问管理(IAM),集群管理员可以手动创建和维护 IAM 凭证。手动模式也可以用于云 IAM API 无法访问的环境中。
1.3.2. OpenShift Container Platform 对互联网和 Telemetry 的访问
在 OpenShift Container Platform 4.3 中,您需要访问互联网来安装集群。默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标,这也需要访问互联网。如果您的集群连接到互联网,Telemetry 会自动运行,而且集群会注册到 Red Hat OpenShift Cluster Manager(OCM)。
确认 Red Hat OpenShift Cluster Manager 清单正确后,可以由 Telemetry 自动维护,也可以使用 OCM 手动维护,使用订阅监控 来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。
您必须具有以下互联网访问权限:
- 访问 Red Hat OpenShift Cluster Manager 页面,以下载安装程序并执行订阅管理。如果集群可以访问互联网,并且没有禁用 Telemetry,该服务会自动授权您的集群。
- 访问 Quay.io,以获取安装集群所需的软件包。
- 获取执行集群更新所需的软件包。
如果您的集群无法直接访问互联网,则可以在置备的某些类基础架构上执行受限网络安装。在此过程中,您要下载所需的内容,并使用它在镜像 registry(mirror registry) 中填充安装集群并生成安装程序所需的软件包。对于某些安装类型,集群要安装到的环境不需要访问互联网。在更新集群之前,要更新 registry 镜像系统中的内容。
1.3.3. 生成 SSH 私钥并将其添加到代理中
如果要在集群上执行安装调试或灾难恢复,则必须为 ssh-agent
和安装程序提供 SSH 密钥。
在生产环境中,您需要进行灾难恢复和调试。
您可以使用此密钥以 core
用户身份通过 SSH 连接到 master 节点。在部署集群时,此密钥会添加到 core
用户的 ~/.ssh/authorized_keys
列表中。
您必须使用一个本地密钥,而不要使用在特定平台上配置的密钥,如 AWS 密钥对。
流程
如果还没有为计算机上免密码身份验证而配置的 SSH 密钥,请创建一个。例如,在使用 Linux 操作系统的计算机上运行以下命令:
$ ssh-keygen -t rsa -b 4096 -N '' \ -f <path>/<file_name> 1
- 1
- 指定 SSH 密钥的路径和文件名,如
~/.ssh/id_rsa
。不要指定已存在的 SSH 密钥,因为它会被覆盖。
运行此命令会在指定的位置生成不需要密码的 SSH 密钥。
作为后台任务启动
ssh-agent
进程:$ eval "$(ssh-agent -s)" Agent pid 31874
将 SSH 私钥添加到
ssh-agent
:$ ssh-add <path>/<file_name> 1 Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
- 1
- 指定 SSH 私钥的路径和文件名,如
~/.ssh/id_rsa
后续步骤
- 在安装 OpenShift Container Platform 时,为安装程序提供 SSH 公钥。
1.3.4. 获取安装程序
在安装 OpenShift Container Platform 之前,将安装文件下载到本地计算机上。
先决条件
- 必须从使用 Linux 或 macOS 的计算机安装集群。
- 需要 500 MB 本地磁盘空间来下载安装程序。
流程
- 访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。如果您有红帽帐号,请使用自己的凭证登录。如果没有,请创建一个帐户。
进入适用于您的安装类型的页面,下载您的操作系统的安装程序,并将文件放在要保存安装配置文件的目录中。。
重要安装程序会在用来安装集群的计算机上创建若干文件。在完成集群安装后,您必须保留安装程序和安装程序所创建的文件。
重要删除安装程序创建的文件不会删除您的集群,即使集群在安装过程中失败也是如此。您必须完成针对特定云供应商的 OpenShift Container Platform 卸载流程,才能完全删除您的集群。
提取安装程序。例如,在使用 Linux 操作系统的计算机上运行以下命令:
$ tar xvf <installation_program>.tar.gz
-
在 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中,下载您的安装 pull secret 的
.txt
文件。通过此 pull secret,您可以进行所含授权机构提供的服务的身份验证,这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。
1.3.5. 创建安装配置文件
您可以自定义 Microsoft Azure 上的 OpenShift Container Platform 安装。
先决条件
- 获取 OpenShift Container Platform 安装程序以及集群的 pull secret。
流程
创建
install-config.yaml
文件。运行以下命令:
$ ./openshift-install create install-config --dir=<installation_directory> 1
- 1
- 对于
<installation_directory>
,请指定用于保存安装程序所创建的文件的目录名称。
重要指定一个空目录。一些安装信息,如 bootstrap X.509 证书,有较短的过期间隔,因此不要重复使用安装目录。如果要重复使用另一个集群安装中的个别文件,可以将其复制到您的目录中。但是,一些安装数据的文件名可能会在发行版本之间有所改变。从 OpenShift Container Platform 老版本中复制安装文件时要格外小心。
在提示符处,提供您的云的配置详情:
可选:选择用来访问集群机器的 SSH 密钥。
注意对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定
ssh-agent
进程使用的 SSH 密钥。- 选择 azure 作为目标平台。
如果计算机上没有 Microsoft Azure 配置集,请为您的订阅和服务主体指定以下 Azure 参数值:
-
azure subscription id:要用于集群的订阅 ID。指定帐户输出中的
id
值。 -
azure tenant id:租户 ID。指定帐户输出中的
tenantId
值。 -
azure service principal client id:服务主体的
appId
参数值。 -
azure service principal client secret:服务主体的
password
参数值。
-
azure subscription id:要用于集群的订阅 ID。指定帐户输出中的
- 选择要在其中部署集群的区域。
- 选择集群要部署到的基域。基域与您为集群创建的 Azure DNS 区对应。
为集群输入一个描述性名称。
重要所有通过公共端点提供的 Azure 资源均存在资源名称的限制,您无法创建使用某些名称的资源。如需 Azure 限制词语列表,请参阅 Azure 文档中的解决保留资源名称错误。
- 粘贴从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中获取的 pull secret。
-
修改
install-config.yaml
文件。您可以在安装配置参数部分中找到有关可用参数的更多信息。 备份
install-config.yaml
文件,以便用于安装多个集群。重要install-config.yaml
文件会在安装过程中消耗掉。如果要重复使用此文件,必须现在备份。
1.3.5.1. 安装配置参数
在部署 OpenShift Container Platform 集群前,您可以提供参数值,以描述托管集群的云平台的帐户并选择性地自定义集群平台。在创建 install-config.yaml
安装配置文件时,您可以通过命令行来提供所需的参数的值。如果要自定义集群,可以修改 install-config.yaml
文件来提供关于平台的更多信息。
安装之后,您无法修改 install-config.yaml
文件中的这些参数。
参数 | 描述 | 值 |
---|---|---|
|
云供应商的基域。此值用于创建到 OpenShift Container Platform 集群组件的路由。集群的完整 DNS 名称是 |
完全限定域名或子域名,如 |
|
托管 control plane 机器的云供应商。此参数值必须与 |
|
|
托管 worker 机器的云供应商。此参数值必须与 |
|
| 集群的名称。 |
包含大写字母或小写字母的字符串,如 |
| 集群要部署到的区域。 |
云的有效区域,如 AWS 的 |
| 从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret 页面中获取的 pull secret。您可以使用此 pull secret 来进行所含授权机构提供的服务的身份验证,这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。 |
{ "auths":{ "cloud.openshift.com":{ "auth":"b3Blb=", "email":"you@example.com" }, "quay.io":{ "auth":"b3Blb=", "email":"you@example.com" } } } |
参数 | 描述 | 值 |
---|---|---|
| 用于访问集群机器的 SSH 密钥。 注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定 |
添加到 |
| 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式,运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。 |
|
| 如何发布集群的面向用户的端点。 |
|
|
是否在计算机器上启用或禁用并发多线程或 重要 如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。 |
|
| 要置备的计算机器数量,也称为 worker 机器。 |
大于或等于 |
|
是否在 control plane 机器上启用或禁用并发多线程或 重要 如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。 |
|
| 要置备的 control plane 机器数量。 |
大于或等于 |
参数 | 描述 | 值 |
---|---|---|
| Azure 虚拟机实例类型。 | 使用 Windows 或 Linux 作为操作系统的虚拟机。请参阅 Azure 文档中的 Azure Stack 上支持的客户端操作系统。 |
| 虚拟机的 Azure 磁盘大小。 |
以 GB 为单位表示磁盘大小的整数,如 |
| 包含基域的 DNS 区的资源组的名称。 |
字符串,如 |
| 托管集群的 Azure 区域名称。 | 任何有效的区域名称。 |
| 可在其中放入机器的可用区的列表。如需高可用性,请至少指定两个区域。 |
区域列表,如 |
|
包含要将集群部署到的现有 VNet 的资源组名称。这个名称不能和 | 字符串。 |
| 要将集群部署到的现有 VNet 的名称。 | 字符串。 |
| 要将 control plane 机器部署到的 VNet 中现有子网的名称。 |
有效的 CIDR,如 |
| 您要将计算机器部署到的 VNet 中现有子网的名称。 |
有效的 CIDR,如 |
您无法自定义 Azure 可用区,也不能使用标签来整理用于 Azure 集群的 Azure 资源。
1.3.5.2. Azure 的自定义 install-config.yaml
文件示例
您可以自定义 install-config.yaml
文件,以指定有关 OpenShift Container Platform 集群平台的更多信息,或修改所需参数的值。
此示例 YAML 文件仅供参考。您必须使用安装程序来获取 install-config.yaml
文件,并且修改该文件。
apiVersion: v1 baseDomain: example.com 1 controlPlane: 2 hyperthreading: Enabled 3 4 name: master platform: azure: osDisk: diskSizeGB: 1024 5 type: Standard_D8s_v3 replicas: 3 compute: 6 - hyperthreading: Enabled 7 name: worker platform: azure: type: Standard_D2s_v3 osDisk: diskSizeGB: 512 8 zones: 9 - "1" - "2" - "3" replicas: 5 metadata: name: test-cluster 10 networking: clusterNetwork: - cidr: 10.128.0.0/14 hostPrefix: 23 machineCIDR: 10.0.0.0/16 networkType: OpenShiftSDN serviceNetwork: - 172.30.0.0/16 platform: azure: region: centralus 11 baseDomainResourceGroupName: resource_group 12 pullSecret: '{"auths": ...}' 13 fips: false 14 sshKey: ssh-ed25519 AAAA... 15
- 1 10 11 13
- 必需。安装程序会提示您输入这个值。
- 2 6
- 如果没有提供这些参数和值,安装程序会提供默认值。
- 3 7
controlPlane
部分是一个单映射,但 compute 部分是一系列映射。为满足不同数据结构的要求,compute
部分的第一行必须以连字符-
开头,controlPlane
部分的第一行则不可以连字符开头。虽然这两个部分目前都定义单个机器池,但未来的 OpenShift Container Platform 版本可能会支持在安装过程中定义多个计算池。只使用一个 control plane 池。- 4
- 是否要启用或禁用并发多线程或
超线程
。默认情况下,启用并发多线程以提高机器内核的性能。您可以通过将参数值设为Disabled
来禁用。如果您在某些集群机器上禁用并发多线程,则必须在所有集群机器上禁用。重要如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。如果禁用并发多线程,请使用较大的虚拟机类型,如
Standard_D8s_v3
。 - 5 8
- 可以 GB 为单位指定要使用的磁盘大小。master 节点的最低推荐值为 1024 GB。
- 9
- 指定要将机器部署到的区域列表。如需高可用性,请至少指定两个区域。
- 12
- 指定包含基域的 DNS 区的资源组的名称。
- 14
- 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式,运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。
- 15
- 您可以选择提供您用来访问集群中机器的
sshKey
值。注意对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定
ssh-agent
进程使用的 SSH 密钥。
1.3.6. 部署集群
您可以在兼容云平台中安装 OpenShift Container Platform。
安装程序的 create cluster
命令只能在初始安装过程中运行一次。
先决条件
- 配置托管集群的云平台的帐户。
- 获取 OpenShift Container Platform 安装程序以及集群的 pull secret。
流程
运行安装程序:
$ ./openshift-install create cluster --dir=<installation_directory> \ 1 --log-level=info 2
注意如果您在主机上配置的云供应商帐户没有足够的权限来部署集群,安装过程将会停止,并且显示缺少的权限。
集群部署完成后,终端会显示访问集群的信息,包括指向其 Web 控制台的链接和
kubeadmin
用户的凭证。重要安装程序生成的 Ignition 配置文件中所含的证书会在 24 小时后过期。您必须以非降级状态持续运行集群 24 小时,以确保完成第一次证书轮转。
重要您不得删除安装程序或安装程序所创建的文件。需要这两者才能删除集群。
1.3.7. 通过下载二进制文件安装 CLI
您需要安装 CLI(oc
) 来使用命令行界面与 OpenShift Container Platform 进行交互。您可在 Linux 、Windows 或 macOS 上安装 oc
。
如果安装了旧版本的 oc
,则无法使用 OpenShift Container Platform 4.3 中的所有命令。下载并安装新版本的 oc
。
1.3.7.1. 在 Linux 上安装 CLI
您可以按照以下流程在 Linux 上安装 OpenShift CLI(oc
)二进制文件。
流程
- 访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
- 选择您的基础架构供应商及安装类型。
- 在 Command-line interface 部分,从下拉菜单中选择 Linux,并点 Download command-line tools。
解包存档:
$ tar xvzf <file>
把
oc
二进制代码放到PATH
中的目录中。执行以下命令可以查看当前的
PATH
设置:$ echo $PATH
安装 CLI 后,就可以使用oc
命令:
$ oc <command>
1.3.7.2. 在 Windows 上安装 CLI
您可以按照以下流程在 Windows 上安装 OpenShift CLI(oc
)二进制代码。
流程
- 访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
- 选择您的基础架构供应商及安装类型。
- 在 Command-line interface 部分,从下拉菜单中选择 Windows,点 Download command-line tools。
- 使用 ZIP 程序解压存档。
把
oc
二进制代码放到PATH
中的目录中。要查看您的
PATH
,请打开命令提示窗口并执行以下命令:C:\> path
安装 CLI 后,就可以使用oc
命令:
C:\> oc <command>
1.3.7.3. 在 macOS 上安装 CLI
您可以按照以下流程在 macOS 上安装 OpenShift CLI(oc
)二进制代码。
流程
- 访问 Red Hat OpenShift Cluster Manager 网站的 Infrastructure Provider 页面。
- 选择您的基础架构供应商及安装类型。
- 在 Command-line interface 部分,从下拉菜单中选择 MacOS,并点 Download command-line tools。
- 解包和解压存档。
将
oc
二进制文件移到 PATH 的目录中。要查看您的
PATH
,打开一个终端窗口并执行以下命令:$ echo $PATH
安装 CLI 后,就可以使用oc
命令:
$ oc <command>
1.3.8. 登录集群
您可以通过导出集群 kubeconfig
文件,以默认系统用户身份登录集群。kubeconfig
文件包含关于集群的信息,供 CLI 用于将客户端连接到正确集群和 API 服务器。该文件特只适用于一个特定的集群,在 OpenShift Container Platform 安装过程中创建。
先决条件
- 部署 OpenShift Container Platform 集群。
-
安装
oc
CLI。
流程
导出
kubeadmin
凭证:$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
- 1
- 对于
<installation_directory>
,请指定安装文件保存到的目录的路径。
使用导出的配置,验证能否成功运行
oc
命令:$ oc whoami system:admin
1.3.9. 后续步骤
- 自定义集群。
- 若有需要,您可以选择不使用远程健康报告。