10.2. 在 IBM Z 和 LinuxONE 上使用 RHEL KVM 安装集群
在 OpenShift Container Platform 版本 4.8 中,您可以在您置备的 IBM Z 或 LinuxONE 系统上安装集群。
虽然本文档只提到了 IBM Z,但它所提供的所有信息同样也适用于 LinuxONE。
非裸机平台还有其他注意事项。在尝试在此类环境中安装 OpenShift Container Platform 集群前,请参阅有关在未经测试的平台上部署 OpenShift Container Platform 的指南中的信息。
10.2.1. 先决条件
- 您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
- 您可以阅读有关选择集群安装方法的文档,并为用户准备它。
- 在开始安装进程前,您必须清理安装目录。这可保证在安装过程中创建和更新所需的安装文件。
-
已为集群使用 NFS 置备持久性存储。要部署私有镜像 registry,您必须使用
ReadWriteMany访问设置持久性存储。 - 如果使用防火墙,则必须将其配置为允许集群需要访问的站点。
置备基于 RHEL 8.4 或更高版本的、托管在逻辑分区(LPAR)上的 RHEL Kernel Virtual Machine(KVM)系统。
注意如果您要配置代理,请务必也要查看此站点列表。
10.2.2. OpenShift Container Platform 的互联网访问
在 OpenShift Container Platform 4.8 中,您需要访问互联网来安装集群。
您必须具有以下互联网访问权限:
- 访问 OpenShift Cluster Manager 以下载安装程序并执行订阅管理。如果集群可以访问互联网,并且没有禁用 Telemetry,该服务会自动授权您的集群。
- 访问 Quay.io,以获取安装集群所需的软件包。
- 获取执行集群更新所需的软件包。
如果您的集群无法直接访问互联网,则可以在置备的某些类基础架构上执行受限网络安装。在此过程中,您要下载所需的内容,并使用它在镜像 registry(mirror registry) 中填充安装集群并生成安装程序所需的软件包。对于某些安装类型,集群要安装到的环境不需要访问互联网。在更新集群之前,要更新 registry 镜像系统中的内容。
10.2.3. 具有用户置备基础架构的集群的机器要求
对于含有用户置备的基础架构的集群,您必须部署所有所需的机器。
基于 RHEL 8.4 或更高版本的一个或多个 KVM 主机机器。每个 RHEL KVM 主机机器都必须安装并运行 libvirt。虚拟机在每台 RHEL KVM 主机中置备。
10.2.3.1. 所需的机器
最小的 OpenShift Container Platform 集群需要下列主机:
| Hosts | 描述 |
|---|---|
| 一个临时 bootstrap 机器 | 集群要求 bootstrap 机器在三台 control plane 机器上部署 OpenShift Container Platform 集群。您可在安装集群后删除 bootstrap 机器。 |
| 三个 control plane 机器 | control plane 机器运行组成 control plane 的 Kubernetes 和 OpenShift Container Platform 服务。 |
| 至少两台计算机器,也称为 worker 机器。 | OpenShift Container Platform 用户请求的工作负载在计算机器上运行。 |
要提高集群的高可用性,请在至少两台物理机器的不同 RHEL 实例上分发 control plane 机器。
bootstrap、control plane 和计算机器必须使用 Red Hat Enterprise Linux CoreOS(RHCOS)作为操作系统。
10.2.3.2. 网络连接要求
OpenShift Container Platform 安装程序创建 Ignition 文件,这是所有 Red Hat Enterprise Linux CoreOS(RHCOS)虚拟机所必需的。OpenShift Container Platform 的自动安装由 bootstrap 机器执行。它在每个节点上启动 OpenShift Container Platform 安装,启动 Kubernetes 集群,然后完成。在这个 bootstrap 中,虚拟机必须通过 DHCP 服务器或静态 IP 地址建立网络连接。
10.2.3.3. IBM Z 网络连接要求
要在 RHEL KVM 中安装 IBM Z,您需要:
- 使用 OSA 或 RoCE 网络适配器配置的 RHEL KVM 主机。
在 libvirt 中使用桥接网络的 RHEL KVM 主机或者 MacVTap 将网络连接到客户端。
请参阅虚拟网络连接的类型。
10.2.3.4. 主机机器资源要求
环境中的 RHEL KVM 主机必须满足以下要求,才能托管您计划用于 OpenShift Container Platform 环境的虚拟机。请参阅开始使用虚拟化。
您可以在以下 IBM 硬件上安装 OpenShift Container Platform 版本 4.8:
- IBM z15(所有型号)、IBM z14(所有型号)、IBM z13 和 IBM z13s
- 任何版本的 LinuxONE
10.2.3.5. 最低 IBM Z 系统环境
硬件要求
- 相当于 6 个启用了 SMT2 的 IFL,每个集群都启用了 SMT2。
-
至少一个网络连接连接到
LoadBalancer服务,并为集群外的流量提供数据。
您可以使用专用或共享的 IFL 来分配足够的计算资源。资源共享是 IBM Z 的一个关键优势。但是,您必须正确调整每个虚拟机监控程序层上的容量,并确保每个 OpenShift Container Platform 集群都有充足的资源。
由于集群的整体性能可能会受到影响,用于设置 OpenShift Container Platform 集群的 LPAR 必须提供足够的计算容量。就此而言,管理程序级别上的 LPAR 权重管理、授权和 CPU 共享扮演着重要角色。
操作系统要求
- 使用 KVM 运行 RHEL 8.4 或更高版本的 LPAR,由 libvirt 管理
在 RHEL KVM 主机上设置:
- 用于 OpenShift Container Platform control plane 机器的三台客户机虚拟机
- 用于 OpenShift Container Platform 计算机器的两个客户机虚拟机
- 一个客户虚拟机作为临时 OpenShift Container Platform bootstrap 机器
10.2.3.6. 最低资源要求
每个集群虚拟机都必须满足以下最低要求:
| 虚拟机 | 操作系统 | vCPU [1] | 虚拟内存 | 存储 | IOPS |
|---|---|---|---|---|---|
| bootstrap | RHCOS | 4 | 16 GB | 100 GB | N/A |
| Control plane | RHCOS | 4 | 16 GB | 100 GB | N/A |
| Compute | RHCOS | 2 | 8 GB | 100 GB | N/A |
- 当启用 SMT-2 时,一个物理内核 (IFL) 提供两个逻辑内核(线程)。管理程序可以提供两个或多个 vCPU。
10.2.3.7. 首选 IBM Z 系统环境
硬件要求
- 三个 LPARS,每个都相当于 6 个 IFL(每个集群启用了 SMT2)。
-
两个网络连接连接到
LoadBalancer服务,并为集群外的流量提供数据。
操作系统要求
- 为了高可用性,使用 KVM 运行 RHEL 8.4 或更高版本的 2 个或者三个 LPAR(由 libvirt 管理)。
在 RHEL KVM 主机上设置:
- 用于 OpenShift Container Platform control plane 机器的三台客户虚拟机,分布在 RHEL KVM 主机中。
- 至少 6 个用于 OpenShift Container Platform 计算机器的虚拟机,分布在 RHEL KVM 主机中。
- 一个客户虚拟机作为临时 OpenShift Container Platform bootstrap 机器。
-
要确保过量使用环境中组件的可用性,请使用
cpu_shares增加 control plane 的优先级。如果存在基础架构节点,则对它们执行相同的操作。参阅 IBM 文档中的 schedinfo.
10.2.3.8. 首选资源要求
每个集群虚拟机的首选要求如下:
| 虚拟机 | 操作系统 | vCPU | 虚拟内存 | 存储 |
|---|---|---|---|---|
| bootstrap | RHCOS | 4 | 16 GB | 120 GB |
| Control plane | RHCOS | 8 | 16 GB | 120 GB |
| Compute | RHCOS | 6 | 8 GB | 120 GB |
10.2.3.9. 证书签名请求管理
在使用您置备的基础架构时,集群只能有限地访问自动机器管理,因此您必须提供一种在安装后批准集群证书签名请求 (CSR) 的机制。kube-controller-manager 只能批准 kubelet 客户端 CSR。machine-approver 无法保证使用 kubelet 凭证请求的提供证书的有效性,因为它不能确认是正确的机器发出了该请求。您必须决定并实施一种方法,以验证 kubelet 提供证书请求的有效性并进行批准。
10.2.3.10. 用户置备的基础架构对网络的要求
所有 Red Hat Enterprise Linux CoreOS(RHCOS)机器需要在启动过程中在 initramfs 中配置网络,以获取其 Ignition 配置文件。
在初次启动过程中,机器需要通过 DHCP 服务器或静态设置的 IP 地址配置,方法是提供所需的引导选项。建立网络连接后,机器会从 HTTP 或 HTTPS 服务器下载其 Ignition 配置文件。然后,使用 Ignition 配置文件来设置每台机器的确切状态。安装后,Machine Config Operator 会完成对机器的更多更改,如应用新证书或密钥。
建议您使用 DHCP 服务器来长期管理集群机器。确保 DHCP 服务器配置为向集群机器提供持久的 IP 地址、DNS 服务器信息和主机名。
如果用户置备的基础架构没有 DHCP 服务,您可以在 RHCOS 安装时向节点提供 IP 网络配置和 DNS 服务器地址。如果您从 ISO 镜像安装,则这些参数可以作为引导参数传递。如需有关静态 IP 置备和高级网络选项的更多信息,请参阅 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程 部分。
Kubernetes API 服务器必须能够解析集群机器的节点名称。如果 API 服务器和 worker 节点位于不同的区域中,您可以配置默认 DNS 搜索区域,以便 API 服务器能够解析节点名称。另一种支持的方法是始终在节点对象和所有 DNS 请求中使用完全限定域名来指代主机。
10.2.3.10.1. 通过 DHCP 设置集群节点主机名
在 Red Hat Enterprise Linux CoreOS(RHCOS)机器上,主机名通过 NetworkManager 进行设置。默认情况下,机器通过 DHCP 获取其主机名。如果主机名不是由 DHCP 提供,且通过内核参数静态设置,则通过反向 DNS 查找来获取。反向 DNS 查找发生在网络在节点上初始化后,可能需要一些时间来解决。其他系统服务可以在之前启动并检测主机名为 localhost 或类似主机。您可以使用 DHCP 为各个集群节点提供主机名来避免这种情况。
另外,通过 DHCP 设置主机名可以绕过具有 DNS split-horizon 实施的环境中的任何手动 DNS 记录名称配置错误。
10.2.3.10.2. 网络连接要求
您必须配置机器之间的网络连接,以便 OpenShift Container Platform 集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的主机名。
本节详细介绍了所需的端口。
在连接的 OpenShift Container Platform 环境中,所有节点都需要能够访问互联网来拉取平台容器的镜像,并向红帽提供遥测数据。
RHEL KVM 主机必须配置为在 libvirt 或者 MacVTap 中使用桥接联网,才能将网络连接到虚拟机。虚拟机必须有权访问网络,并附加到 RHEL KVM 主机上。在 KVM 中的虚拟网络,如网络地址转换(NAT)并不是被支持的配置。
| 协议 | 端口 | 描述 |
|---|---|---|
| ICMP | N/A | 网络可访问性测试 |
| TCP |
| 指标 |
|
|
主机级别的服务,包括端口 | |
|
| Kubernetes 保留的默认端口 | |
|
| openshift-sdn | |
| UDP |
| VXLAN 和 Geneve |
|
| VXLAN 和 Geneve | |
|
|
主机级别的服务,包括端口 | |
|
| IPsec IKE 数据包 | |
|
| IPsec NAT-T 数据包 | |
| TCP/UDP |
| Kubernetes 节点端口 |
| ESP | N/A | IPsec Encapsulating Security Payload(ESP) |
| 协议 | 端口 | 描述 |
|---|---|---|
| TCP |
| Kubernetes API |
| 协议 | 端口 | 描述 |
|---|---|---|
| TCP |
| etcd 服务器和对等端口 |
用户置备的基础架构的 NTP 配置
OpenShift Container Platform 集群默认配置为使用公共网络时间协议(NTP)服务器。如果要使用本地企业 NTP 服务器,或者集群部署在断开连接的网络中,您可以将集群配置为使用特定的时间服务器。如需更多信息,请参阅配置 chrony 时间服务的文档。
如果 DHCP 服务器提供 NTP 服务器信息,Red Hat Enterprise Linux CoreOS(RHCOS)机器上的 chrony 时间服务会读取信息,并可与 NTP 服务器同步时钟。
其他资源
10.2.3.11. 用户置备 DNS 要求
在 OpenShift Container Platform 部署中,以下组件需要 DNS 名称解析:
- Kubernetes API
- OpenShift Container Platform 应用程序通配符
- bootstrap、control plane 和计算机器
Kubernetes API、bootstrap 机器、control plane 机器和计算机器还需要反向 DNS 解析。
DNS A/AAAA 或 CNAME 记录用于名称解析,PTR 记录用于反向解析名称。反向记录很重要,因为 Red Hat Enterprise Linux CoreOS(RHCOS)使用反向记录为所有节点设置主机名,除非主机名由 DHCP 提供。另外,反向记录用于生成 OpenShift Container Platform 需要操作的证书签名请求(CSR)。
用户置备的 OpenShift Container Platform 集群需要以下 DNS 记录,它们必须在安装前可用。在每个记录中,<cluster_name> 是集群名称,<base_domain> 是您在 install-config.yaml 文件中指定的基域。完整的 DNS 记录采用如下格式: <component>.<cluster_name>.<base_domain>.。
| 组件 | 记录 | 描述 |
|---|---|---|
| Kubernetes API |
| DNS A/AAAA 或 CNAME 记录,以及用于识别 API 负载均衡器的 DNS PTR 记录。这些记录必须由集群外的客户端以及集群中的所有节点解析。 |
|
| DNS A/AAAA 或 CNAME 记录,以及 DNS PTR 记录,以在内部识别 API 负载均衡器。这些记录必须可以从集群中的所有节点解析。 重要 API 服务器必须能够根据在 Kubernetes 中记录的主机名解析 worker 节点。如果 API 服务器无法解析节点名称,则代理的 API 调用会失败,且您无法从 pod 检索日志。 | |
| Routes |
| 引用应用程序入口负载均衡器的通配符 DNS A/AAAA 或 CNAME 记录。应用程序入口负载均衡器以运行 Ingress Controller Pod 的机器为目标。默认情况下,Ingress Controller pod 在计算机器上运行。这些记录必须由集群外的客户端以及集群中的所有节点解析。
例如, |
| bootstrap 机器 |
| 一个 DNS A/AAAA 或 CNAME 记录,以及用于识别 bootstrap 机器的 DNS PTR 记录。这些记录必须由集群中的节点解析。 |
| control plane 机器 |
| DNS A/AAAA 或 CNAME 记录,以识别 control plane 节点(也称为 master 节点)的每台机器。这些记录必须由集群中的节点解析。 |
| 计算机器 |
| DNS A/AAAA 或 CNAME 记录,以识别 worker 节点的每台机器。这些记录必须由集群中的节点解析。 |
在 OpenShift Container Platform 4.4 及更高版本中,您不需要在 DNS 配置中指定 etcd 主机和 SRV 记录。
您可以使用 dig 命令验证名称和反向名称解析。如需了解详细的验证步骤,请参阅有关用户置备的基础架构验证 DNS 解析的部分。
10.2.3.11.1. 用户置备的集群的 DNS 配置示例
本节提供了 A 和 PTR 记录配置示例,它们满足在用户置备的基础架构上部署 OpenShift Container Platform 的 DNS 要求。样本不会为选择一个 DNS 解决方案提供与其他 DNS 解决方案的建议。
在示例中,集群名称是 ocp4,基域是 example.com。
用户置备的集群的 DNS A 记录配置示例
以下示例是 BIND 区域文件,显示用户置备的集群中名称解析的 A 记录示例。
例 10.1. DNS 区数据库示例
$TTL 1W @ IN SOA ns1.example.com. root ( 2019070700 ; serial 3H ; refresh (3 hours) 30M ; retry (30 minutes) 2W ; expiry (2 weeks) 1W ) ; minimum (1 week) IN NS ns1.example.com. IN MX 10 smtp.example.com. ; ; ns1.example.com. IN A 192.168.1.5 smtp.example.com. IN A 192.168.1.5 ; helper.example.com. IN A 192.168.1.5 helper.ocp4.example.com. IN A 192.168.1.5 ; api.ocp4.example.com. IN A 192.168.1.5 1 api-int.ocp4.example.com. IN A 192.168.1.5 2 ; *.apps.ocp4.example.com. IN A 192.168.1.5 3 ; bootstrap.ocp4.example.com. IN A 192.168.1.96 4 ; master0.ocp4.example.com. IN A 192.168.1.97 5 master1.ocp4.example.com. IN A 192.168.1.98 6 master2.ocp4.example.com. IN A 192.168.1.99 7 ; worker0.ocp4.example.com. IN A 192.168.1.11 8 worker1.ocp4.example.com. IN A 192.168.1.7 9 ; ;EOF
- 1
- 为 Kubernetes API 提供名称解析。记录指的是 API 负载均衡器的 IP 地址。
- 2
- 为 Kubernetes API 提供名称解析。记录引用 API 负载均衡器的 IP 地址,用于内部集群通信。
- 3
- 为通配符路由提供名称解析。记录指的是应用程序入口负载均衡器的 IP 地址。应用程序入口负载均衡器以运行 Ingress Controller Pod 的机器为目标。默认情况下,Ingress Controller pod 在计算机器上运行。注意
在示例中,相同的负载均衡器用于 Kubernetes API 和应用入口流量。在生产环境中,您可以单独部署 API 和应用入口负载均衡器,以便您可以隔离扩展负载均衡器基础架构。
- 4
- 为 bootstrap 机器提供名称解析。
- 5 6 7
- 为 control plane 机器提供名称解析。
- 8 9
- 为计算机器提供名称解析。
用户置备的集群的 DNS PTR 记录配置示例
以下示例 BIND 区域文件显示了用户置备的集群中反向名称解析的 PTR 记录示例。
例 10.2. 反向记录的 DNS 区数据库示例
$TTL 1W @ IN SOA ns1.example.com. root ( 2019070700 ; serial 3H ; refresh (3 hours) 30M ; retry (30 minutes) 2W ; expiry (2 weeks) 1W ) ; minimum (1 week) IN NS ns1.example.com. ; 5.1.168.192.in-addr.arpa. IN PTR api.ocp4.example.com. 1 5.1.168.192.in-addr.arpa. IN PTR api-int.ocp4.example.com. 2 ; 96.1.168.192.in-addr.arpa. IN PTR bootstrap.ocp4.example.com. 3 ; 97.1.168.192.in-addr.arpa. IN PTR master0.ocp4.example.com. 4 98.1.168.192.in-addr.arpa. IN PTR master1.ocp4.example.com. 5 99.1.168.192.in-addr.arpa. IN PTR master2.ocp4.example.com. 6 ; 11.1.168.192.in-addr.arpa. IN PTR worker0.ocp4.example.com. 7 7.1.168.192.in-addr.arpa. IN PTR worker1.ocp4.example.com. 8 ; ;EOF
OpenShift Container Platform 应用程序通配符不需要 PTR 记录。
10.2.3.12. 用户置备的基础架构的负载均衡要求
在安装 OpenShift Container Platform 前,您必须置备 API 和应用程序入口负载平衡基础架构。在生产环境中,您可以单独部署 API 和应用入口负载均衡器,以便您可以隔离扩展负载均衡器基础架构。
如果要使用 Red Hat Enterprise Linux (RHEL)实例部署 API 和应用程序入口负载均衡器,您必须单独购买 RHEL 订阅。
负载平衡基础架构必须满足以下要求:
API 负载均衡器:提供一个通用端点,供用户(包括人和机器)与平台交互和配置。配置以下条件:
- 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如果使用 SSL Bridge 模式,必须为 API 路由启用 Server Name Indication(SNI)。
- 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。
注意API 负载均衡器正常工作不需要会话持久性。
在负载均衡器的前端和后台配置以下端口:
表 10.6. API 负载均衡器 端口 后端机器(池成员) 内部 外部 描述 6443Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后,您要从负载均衡器中删除 bootstrap 机器。您必须为 API 服务器健康检查探测配置
/readyz端点。X
X
Kubernetes API 服务器
22623Bootstrap 和 control plane.bootstrap 机器初始化集群 control plane 后,您要从负载均衡器中删除 bootstrap 机器。
X
机器配置服务器
注意负载均衡器必须配置为,从 API 服务器关闭
/readyz端点到从池中删除 API 服务器实例时最多需要 30 秒。在/readyz返回错误或处于健康状态后的时间范围内,端点必须被删除或添加。每 5 秒或 10 秒探测一次,有两个成功请求处于健康状态,三个成为不健康的请求经过测试。应用程序入口负载均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件:
- 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如果使用 SSL Bridge 模式,您必须为 Ingress 路由启用Server Name Indication(SNI)。
- 建议根据可用选项以及平台上托管的应用程序类型,使用基于连接的或者基于会话的持久性。
提示如果应用程序入口负载均衡器可以看到客户端的真实 IP 地址,启用基于源 IP 的会话持久性可提高使用端到端 TLS 加密的应用程序的性能。
在负载均衡器的前端和后台配置以下端口:
表 10.7. 应用程序入口负载均衡器 端口 后端机器(池成员) 内部 外部 描述 443默认运行 Ingress Controller Pod、计算或 worker 的机器。
X
X
HTTPS 流量
80默认运行 Ingress Controller Pod、计算或 worker 的机器。
X
X
HTTP 流量
1936默认情况下,运行 Ingress Controller Pod 的 worker 节点。您必须为 ingress 健康检查探测配置
/healthz/ready端点。X
X
HTTP 流量
如果要部署具有零计算节点的三节点集群,Ingress Controller pod 在 control plane 节点上运行。在三节点集群部署中,您必须配置应用程序入口负载均衡器,将 HTTP 和 HTTPS 流量路由到 control plane 节点。
OpenShift Container Platform 集群需要正确配置入口路由器。control plane 初始化后,您必须配置入口路由器。
10.2.3.12.1. 用户置备的集群负载均衡器配置示例
本节提供了一个满足用户置备集群负载均衡要求的 API 和应用程序入口负载均衡器配置示例。这个示例是 HAProxy 负载均衡器的 /etc/haproxy/haproxy.cfg 配置。这个示例不是为选择一种负载平衡解决方案提供建议。
在示例中,相同的负载均衡器用于 Kubernetes API 和应用入口流量。在生产环境中,您可以单独部署 API 和应用入口负载均衡器,以便您可以隔离扩展负载均衡器基础架构。
例 10.3. API 和应用程序入口负载均衡器配置示例
global log 127.0.0.1 local2 pidfile /var/run/haproxy.pid maxconn 4000 daemon defaults mode http log global option dontlognull option http-server-close option redispatch retries 3 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 frontend stats bind *:1936 mode http log global maxconn 10 stats enable stats hide-version stats refresh 30s stats show-node stats show-desc Stats for ocp4 cluster 1 stats auth admin:ocp4 stats uri /stats listen api-server-6443 2 bind *:6443 mode tcp server bootstrap bootstrap.ocp4.example.com:6443 check inter 1s backup 3 server master0 master0.ocp4.example.com:6443 check inter 1s server master1 master1.ocp4.example.com:6443 check inter 1s server master2 master2.ocp4.example.com:6443 check inter 1s listen machine-config-server-22623 4 bind *:22623 mode tcp server bootstrap bootstrap.ocp4.example.com:22623 check inter 1s backup 5 server master0 master0.ocp4.example.com:22623 check inter 1s server master1 master1.ocp4.example.com:22623 check inter 1s server master2 master2.ocp4.example.com:22623 check inter 1s listen ingress-router-443 6 bind *:443 mode tcp balance source server worker0 worker0.ocp4.example.com:443 check inter 1s server worker1 worker1.ocp4.example.com:443 check inter 1s listen ingress-router-80 7 bind *:80 mode tcp balance source server worker0 worker0.ocp4.example.com:80 check inter 1s server worker1 worker1.ocp4.example.com:80 check inter 1s
- 1
- 在示例中,集群名称为
ocp4。 - 2
- 端口
6443处理 Kubernetes API 流量并指向 control plane 机器。 - 3 5
- bootstrap 条目必须在 OpenShift Container Platform 集群安装前存在,且必须在 bootstrap 过程完成后删除。
- 4
- 端口
22623处理机器配置服务器流量并指向 control plane 机器。 - 6
- 端口
443处理 HTTPS 流量,并指向运行 Ingress Controller pod 的机器。默认情况下,Ingress Controller pod 在计算机器上运行。 - 7
- 端口
80处理 HTTP 流量并指向运行 Ingress Controller pod 的机器。默认情况下,Ingress Controller pod 在计算机器上运行。注意如果要部署具有零计算节点的三节点集群,Ingress Controller pod 在 control plane 节点上运行。在三节点集群部署中,您必须配置应用程序入口负载均衡器,将 HTTP 和 HTTPS 流量路由到 control plane 节点。
如果您将 HAProxy 用作负载均衡器,可以通过在 HAProxy 节点上运行 netstat -nltupe 来检查 haproxy 进程是否在侦听端口 6443、22623、443 和 80。
如果您将 HAProxy 用作负载均衡器,并且 SELinux 被设置为 enforcing,则必须通过运行 setsebool -P haproxy_connect_any=1 来确保 HAProxy 服务可以绑定到配置的 TCP 端口。
10.2.4. 准备用户置备的基础架构
在用户置备的基础架构上安装 OpenShift Container Platform 前,您必须准备底层基础架构。
本节详细介绍了设置集群基础架构以准备 OpenShift Container Platform 安装所需的高级别步骤。这包括为集群节点配置 IP 网络和网络连接,通过防火墙启用所需的端口,以及设置所需的 DNS 和负载平衡基础架构。
准备后,集群基础架构必须满足具有用户置备的基础架构的集群要求部分中的要求。
先决条件
- 您已查看了 OpenShift Container Platform 4.x Tested Integrations 页面。
- 您已查看了具有 用户置备的基础架构部分的集群的要求部分详述的基础架构要求。
流程
如果使用 DHCP 为集群节点提供 IP 网络配置,请配置 DHCP 服务。
- 将节点的持久 IP 地址添加到您的 DHCP 服务器配置中。在配置中,将相关网络接口的 MAC 地址与每个节点的预期 IP 地址匹配。
当您使用 DHCP 为集群机器配置 IP 地址时,机器也会通过 DHCP 获取 DNS 服务器信息。定义集群节点通过 DHCP 服务器配置使用的持久 DNS 服务器地址。
注意如果没有使用 DHCP 服务,则必须在 RHCOS 安装时向节点提供 IP 网络配置和 DNS 服务器地址。如果您从 ISO 镜像安装,则这些参数可以作为引导参数传递。如需有关静态 IP 置备和高级网络选项的更多信息,请参阅 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程 部分。
在 DHCP 服务器配置中定义集群节点的主机名。有关主机名注意事项的详情,请参阅通过 DHCP 设置集群节点主机名部分。
注意如果您不使用 DHCP 服务,集群节点通过反向 DNS 查找来获取其主机名。
- 选择执行 Red Hat Enterprise Linux CoreOS(RHCOS)的快速安装或 Red Hat Enterprise Linux CoreOS(RHCOS)的完整安装。对于完整安装,您必须设置 HTTP 或 HTTPS 服务器,以提供 Ignition 文件并向集群节点安装镜像。对于快速跟踪安装,并不需要 HTTP 或 HTTPS 服务器,但需要一个 DHCP 服务器。请参阅"Fast-track 安装:创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器"和"Full 安装:创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器"部分。
- 确保您的网络基础架构在集群组件之间提供所需的网络连接。有关要求的详情,请参阅用户置备的基础架构的网络要求部分。
- 将防火墙配置为启用 OpenShift Container Platform 集群组件通信所需的端口。如需了解所需端口的详情,请参阅用户置备的基础架构的网络要求部分。
为集群设置所需的 DNS 基础架构。
- 为 Kubernetes API、应用程序通配符、bootstrap 机器、control plane 机器和计算机器配置 DNS 名称解析。
为 Kubernetes API、bootstrap 机器、control plane 机器和计算机器配置反向 DNS 解析。
如需有关 OpenShift Container Platform DNS 要求的更多信息,请参阅用户置备的 DNS 要求部分。
验证您的 DNS 配置。
- 在安装节点中,根据 Kubernetes API 的记录名称、通配符路由和集群节点运行 DNS 查找。验证响应中的 IP 地址对应于正确的组件。
从安装节点中,针对负载均衡器和集群节点的 IP 地址运行反向 DNS 查找。验证响应中的记录名称对应于正确的组件。
如需了解详细的 DNS 验证步骤,请参阅用户置备的基础架构验证 DNS 解析部分。
- 调配所需的 API 和应用入口负载平衡基础架构。有关要求的更多信息,请参阅用户置备的基础架构的负载平衡要求部分。
一些负载平衡解决方案需要在初始化负载平衡之前设置群集节点的 DNS 名称解析。
10.2.5. 为用户置备的基础架构验证 DNS 解析
在用户置备的基础架构上安装 OpenShift Container Platform 前,您可以验证 DNS 配置。
在安装集群前,本节中详述的验证步骤必须成功。
先决条件
- 您已为用户置备的基础架构配置了所需的 DNS 记录。
流程
在安装节点中,根据 Kubernetes API 的记录名称、通配符路由和集群节点运行 DNS 查找。验证响应中包含的 IP 地址对应于正确的组件。
对 Kubernetes API 记录名称执行查找。检查结果是否指向 API 负载均衡器的 IP 地址:
$ dig +noall +answer @<nameserver_ip> api.<cluster_name>.<base_domain> 1- 1
- 将
<nameserver_ip>替换为名称服务器的 IP 地址,<cluster_name>替换为集群名称,<base_domain>替换为您的基域名。
输出示例
api.ocp4.example.com. 0 IN A 192.168.1.5
对 Kubernetes 内部 API 记录名称执行查找。检查结果是否指向 API 负载均衡器的 IP 地址:
$ dig +noall +answer @<nameserver_ip> api-int.<cluster_name>.<base_domain>
输出示例
api-int.ocp4.example.com. 0 IN A 192.168.1.5
测试示例
*.apps.<cluster_name>.<base_domain>DNS 通配符查找。所有应用程序通配符查找都必须解析为应用程序入口负载均衡器的 IP 地址:$ dig +noall +answer @<nameserver_ip> random.apps.<cluster_name>.<base_domain>
输出示例
random.apps.ocp4.example.com. 0 IN A 192.168.1.5
注意在示例输出中,相同的负载均衡器用于 Kubernetes API 和应用入口流量。在生产环境中,您可以单独部署 API 和应用入口负载均衡器,以便您可以隔离扩展负载均衡器基础架构。
您可以将
random替换为另一个通配符值。例如,您可以查询到 OpenShift Container Platform 控制台的路由:$ dig +noall +answer @<nameserver_ip> console-openshift-console.apps.<cluster_name>.<base_domain>
输出示例
console-openshift-console.apps.ocp4.example.com. 0 IN A 192.168.1.5
针对 bootstrap DNS 记录名称运行查找。检查结果是否指向 bootstrap 节点的 IP 地址:
$ dig +noall +answer @<nameserver_ip> bootstrap.<cluster_name>.<base_domain>
输出示例
bootstrap.ocp4.example.com. 0 IN A 192.168.1.96
- 使用此方法对 control plane 和计算节点的 DNS 记录名称执行查找。检查结果是否对应于每个节点的 IP 地址。
从安装节点中,针对负载均衡器和集群节点的 IP 地址运行反向 DNS 查找。验证响应中包含的记录名称对应于正确的组件。
对 API 负载平衡器的 IP 地址执行反向查找。检查响应是否包含 Kubernetes API 和 Kubernetes 内部 API 的记录名称:
$ dig +noall +answer @<nameserver_ip> -x 192.168.1.5
输出示例
5.1.168.192.in-addr.arpa. 0 IN PTR api-int.ocp4.example.com. 1 5.1.168.192.in-addr.arpa. 0 IN PTR api.ocp4.example.com. 2
注意OpenShift Container Platform 应用程序通配符不需要 PTR 记录。针对应用程序入口负载均衡器的 IP 地址反向 DNS 解析不需要验证步骤。
对 bootstrap 节点的 IP 地址执行反向查找。检查结果是否指向 bootstrap 节点的 DNS 记录名称:
$ dig +noall +answer @<nameserver_ip> -x 192.168.1.96
输出示例
96.1.168.192.in-addr.arpa. 0 IN PTR bootstrap.ocp4.example.com.
- 使用此方法对 control plane 和计算节点的 IP 地址执行反向查找。检查结果是否与每个节点的 DNS 记录名称对应。
10.2.6. 为集群节点的 SSH 访问生成密钥对
在 OpenShift Container Platform 安装过程中,您可以为安装程序提供 SSH 公钥。密钥通过 Ignition 配置文件传递给 Red Hat Enterprise Linux CoreOS(RHCOS)节点,用于验证对节点的 SSH 访问。密钥会添加到每个节点中 core 用户的 ~/.ssh/authorized_keys 列表中,从而启用免密码身份验证。
将密钥传递给节点后,您可以使用密钥对以 core 用户身份通过 SSH 连接到 RHCOS 节点。若要通过 SSH 访问节点,私钥身份必须由 SSH 进行管理,供您的本地用户使用。
如果要通过 SSH 连接集群节点来执行安装调试或灾难恢复,您必须在安装过程中提供 SSH 公钥。./openshift-install gather 命令还需要在集群节点上放置 SSH 公钥。
如果可能需要进行灾难恢复或调试,则不要在生产环境中跳过这个过程。
流程
如果您的本地机器上没有用于在集群节点上进行身份验证 SSH 密钥对,请创建一个。例如,在使用 Linux 操作系统的计算机上运行以下命令:
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1- 1
- 指定新 SSH 密钥的路径和文件名,如
~/.ssh/id_ed25519。如果您已有密钥对,请确保您的公钥位于~/.ssh目录中。
注意如果您计划在
x86_64架构中安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群,不要创建使用ed25519算法的密钥。反之,创建一个使用rsa或ecdsa算法的密钥。查看公共 SSH 密钥:
$ cat <path>/<file_name>.pub
例如,运行以下命令查看
~/.ssh/id_ed25519.pub公钥:$ cat ~/.ssh/id_ed25519.pub
将 SSH 私钥身份添加到您本地用户的 SSH 代理(如果尚未添加)。在集群节点上进行免密码 SSH 身份验证,或者您想要使用
./openshift-install gather命令,则需要使用 SSH 代理进行管理。注意在某些发行版中,会自动管理默认 SSH 私钥(如
~/.ssh/id_rsa和~/.ssh/id_dsa)。如果
ssh-agent进程还没有针对您的本地用户运行,请将其作为后台任务启动:$ eval "$(ssh-agent -s)"
输出示例
Agent pid 31874
注意如果您的集群采用 FIPS 模式,则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必须是 RSA 或 ECDSA。
将 SSH 私钥添加到
ssh-agent:$ ssh-add <path>/<file_name> 1- 1
- 指定 SSH 私钥的路径和文件名,如
~/.ssh/id_ed25519
输出示例
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
后续步骤
- 在安装 OpenShift Container Platform 时,为安装程序提供 SSH 公钥。
10.2.7. 获取安装程序
在安装 OpenShift Container Platform 之前,将安装文件下载到您置备的机器上。
先决条件
- 一个运行 Linux 的机器,如 Red Hat Enterprise Linux 8,本地磁盘空间为 500MB。
流程
- 访问 OpenShift Cluster Manager 站点的 Infrastructure Provider 页面。如果您有红帽帐号,请使用自己的凭证登录。如果没有,请创建一个帐户。
- 选择您的基础架构供应商。
进入适用于您的安装类型的页面,下载您的操作系统的安装程序,并将文件放在要保存安装配置文件的目录中。。
重要安装程序会在用来安装集群的计算机上创建若干文件。在完成集群安装后,您必须保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。
重要删除安装程序创建的文件不会删除您的集群,即使集群在安装过程中失败也是如此。要删除集群,为特定云供应商完成 OpenShift Container Platform 卸载流程。
提取安装程序。例如,在使用 Linux 操作系统的计算机上运行以下命令:
$ tar xvf openshift-install-linux.tar.gz
- 从 Red Hat OpenShift Cluster Manager 下载安装 pull secret。通过此 pull secret,您可以进行所含授权机构提供的服务的身份验证,这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。
10.2.8. 通过下载二进制文件安装 OpenShift CLI
您需要安装 CLI(oc) 来使用命令行界面与 OpenShift Container Platform 进行交互。您可在 Linux 、Windows 或 macOS 上安装 oc。
如果安装了旧版本的 oc,则无法使用 OpenShift Container Platform 4.8 中的所有命令。下载并安装新版本的 oc。
在 Linux 上安装 OpenShift CLI
您可以按照以下流程在 Linux 上安装 OpenShift CLI(oc)二进制文件。
流程
- 进入到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
- 在 Version 下拉菜单中选择相应的版本。
- 单击 OpenShift v4.8 Linux 客户端 条目旁边的 Download Now,再保存文件。
解包存档:
$ tar xvzf <file>
把
oc二进制代码放到PATH中的目录中。执行以下命令可以查看当前的
PATH设置:$ echo $PATH
安装 OpenShift CLI 后,可以使用 oc 命令:
$ oc <command>
在 Windows 上安装 OpenShift CLI
您可以按照以下流程在 Windows 上安装 OpenShift CLI(oc)二进制代码。
流程
- 进入到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
- 在 Version 下拉菜单中选择相应的版本。
- 单击 OpenShift v4.8 Windows 客户端 条目旁边的 Download Now,再保存文件。
- 使用 ZIP 程序解压存档。
把
oc二进制代码放到PATH中的目录中。要查看您的
PATH,请打开命令提示窗口并执行以下命令:C:\> path
安装 OpenShift CLI 后,可以使用 oc 命令:
C:\> oc <command>
在 macOS 上安装 OpenShift CLI
您可以按照以下流程在 macOS 上安装 OpenShift CLI(oc)二进制代码。
流程
- 进入到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
- 在 Version 下拉菜单中选择相应的版本。
- 单击 OpenShift v4.8 MacOSX 客户端 条目旁边的 Download Now,再保存文件。
- 解包和解压存档。
将
oc二进制文件移到 PATH 的目录中。要查看您的
PATH,打开一个终端窗口并执行以下命令:$ echo $PATH
安装 OpenShift CLI 后,可以使用 oc 命令:
$ oc <command>
10.2.9. 手动创建安装配置文件
对于用户置备的 OpenShift Container Platform 安装,您可以手动生成安装配置文件。
先决条件
- 您的本地机器上有一个 SSH 公钥供安装程序使用。密钥将用于与集群节点上进行 SSH 身份验证,以进行调试和灾难恢复。
- 已获得 OpenShift Container Platform 安装程序以及集群的 pull secret。
流程
创建用来存储您所需的安装资产的安装目录:
$ mkdir <installation_directory>
重要您必须创建目录。一些安装信息,如 bootstrap X.509 证书,有较短的过期间隔,因此不要重复使用安装目录。如果要重复使用另一个集群安装中的个别文件,可以将其复制到您的目录中。但是,一些安装数据的文件名可能会在发行版本之间有所改变。从 OpenShift Container Platform 老版本中复制安装文件时要格外小心。
自定义提供的
install-config.yaml文件模板示例,并将其保存到<installation_directory>中。注意此配置文件必须命名为
install-config.yaml。注意对于某些平台类型,您可以运行
./openshift-install create install-config --dir <installation_directory>来生成install-config.yaml文件。您可以在提示符处提供有关集群配置的详情。备份
install-config.yaml文件,以便用于安装多个集群。重要install-config.yaml文件会在安装过程的下一步骤中消耗掉。现在必须备份它。
10.2.9.1. 安装配置参数
在部署 OpenShift Container Platform 集群前,您要提供一个自定义的 install-config.yaml 安装配置文件,该文件描述了您的环境详情。
安装之后,您无法修改 install-config.yaml 文件中的这些参数。
openshift-install 命令不验证参数的字段名称。如果指定了不正确的名称,则不会创建相关的文件或对象,且不会报告错误。确保所有指定的参数的字段名称都正确。
10.2.9.1.1. 所需的配置参数
下表描述了所需的安装配置参数:
| 参数 | 描述 | 值 |
|---|---|---|
|
|
| 字符串 |
|
|
云供应商的基域。此基础域用于创建到 OpenShift Container Platform 集群组件的路由。集群的完整 DNS 名称是 |
完全限定域名或子域名,如 |
|
|
Kubernetes 资源 | 对象 |
|
|
集群的名称。集群的 DNS 记录是 |
小写字母,连字符(- |
|
|
执行安装的具体平台配置: | 对象 |
|
| 从 Red Hat OpenShift Cluster Manager 获取 pull secret,验证从 Quay.io 等服务中下载 OpenShift Container Platform 组件的容器镜像。 |
{
"auths":{
"cloud.openshift.com":{
"auth":"b3Blb=",
"email":"you@example.com"
},
"quay.io":{
"auth":"b3Blb=",
"email":"you@example.com"
}
}
}
|
10.2.9.1.2. 网络配置参数
您可以根据现有网络基础架构的要求自定义安装配置。例如,您可以扩展集群网络的 IP 地址块,或者提供不同于默认值的不同 IP 地址块。
只支持 IPv4 地址。
| 参数 | 描述 | 值 |
|---|---|---|
|
| 集群网络的配置。 | 对象 注意
您不能在安装后修改 |
|
| 要安装的集群网络供应商 Container Network Interface (CNI)插件。 |
|
|
| pod 的 IP 地址块。
默认值为 如果您指定多个 IP 地址块,则块不得互相重叠。 | 一个对象数组。例如: networking:
clusterNetwork:
- cidr: 10.128.0.0/14
hostPrefix: 23
|
|
|
使用 一个 IPv4 网络。 |
使用 CIDR 形式的 IP 地址块。IPv4 块的前缀长度介于 |
|
|
分配给每个单独节点的子网前缀长度。例如,如果 | 子网前缀。
默认值为 |
|
|
服务的 IP 地址块。默认值为 OpenShift SDN 和 OVN-Kubernetes 网络供应商只支持服务网络的一个 IP 地址块。 | CIDR 格式具有 IP 地址块的数组。例如: networking: serviceNetwork: - 172.30.0.0/16 |
|
| 机器的 IP 地址块。 如果您指定多个 IP 地址块,则块不得互相重叠。
如果您指定了多个 IP 内核参数, | 一个对象数组。例如: networking: machineNetwork: - cidr: 10.0.0.0/16 |
|
|
使用 | CIDR 表示法中的 IP 网络块。
例如: 注意
将 |
10.2.9.1.3. 可选配置参数
下表描述了可选安装配置参数:
| 参数 | 描述 | 值 |
|---|---|---|
|
| 添加到节点可信证书存储中的 PEM 编码 X.509 证书捆绑包。配置了代理时,也可以使用这个信任捆绑包。 | 字符串 |
|
| 组成计算节点的机器的配置。 |
|
|
|
决定池中机器的指令集合架构。目前不支持异构集群,因此所有池都必须指定相同的架构。有效值为 | 字符串 |
|
|
是否在计算机器上启用或禁用并发多线程或 重要 如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。 |
|
|
|
使用 |
|
|
|
使用 |
|
|
| 要置备的计算机器数量,也称为 worker 机器。 |
大于或等于 |
|
| 组成 control plane 的机器的配置。 |
|
|
|
决定池中机器的指令集合架构。目前不支持异构集群,因此所有池都必须指定相同的架构。有效值为 | 字符串 |
|
|
是否在 control plane 机器上启用或禁用并发多线程或 重要 如果禁用并发多线程,请确保在容量规划时考虑到机器性能可能会显著降低的问题。 |
|
|
|
使用 |
|
|
|
使用 |
|
|
| 要置备的 control plane 机器数量。 |
唯一支持的值是 |
|
| Cloud Credential Operator(CCO)模式。如果没有指定任何模式,CCO 会动态地尝试决定提供的凭证的功能,在支持多个模式的平台上使用 mint 模式。 注意 不是所有 CCO 模式都支持所有云供应商。如需有关 CCO 模式的更多信息,请参阅 Cluster Operator 参考内容中的 Cloud Credential Operator 条目。 |
|
|
|
启用或禁用 FIPS 模式。默认为 重要
只有在 注意 如果使用 Azure File 存储,则无法启用 FIPS 模式。 |
|
|
| release-image 内容的源和仓库。 |
对象数组。包括一个 |
|
|
使用 | 字符串 |
|
| 指定可能还包含同一镜像的一个或多个仓库。 | 字符串数组 |
|
| 如何发布或公开集群的面向用户的端点,如 Kubernetes API、OpenShift 路由。 |
在非云平台上不支持将此字段设置为 |
|
| 用于验证集群机器访问的 SSH 密钥或密钥。 注意
对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定 | 一个或多个密钥。例如: sshKey: <key1> <key2> <key3> |
10.2.9.2. IBM Z 的 install-config.yaml 文件示例
您可以自定义 install-config.yaml 文件,以指定有关 OpenShift Container Platform 集群平台的更多信息,或修改所需参数的值。
apiVersion: v1 baseDomain: example.com 1 compute: 2 - hyperthreading: Enabled 3 name: worker replicas: 0 4 architecture : s390x controlPlane: 5 hyperthreading: Enabled 6 name: master replicas: 3 7 architecture : s390x metadata: name: test 8 networking: clusterNetwork: - cidr: 10.128.0.0/14 9 hostPrefix: 23 10 networkType: OpenShiftSDN serviceNetwork: 11 - 172.30.0.0/16 platform: none: {} 12 fips: false 13 pullSecret: '{"auths": ...}' 14 sshKey: 'ssh-ed25519 AAAA...' 15
- 1
- 集群的基域。所有 DNS 记录都必须是这个基域的子域,并包含集群名称。
- 2 5
controlPlane部分是一个单映射,但compute部分是一系列映射。为满足不同数据结构的要求,compute部分的第一行必须以连字符-开头,controlPlane部分的第一行则不可以连字符开头。只使用一个 control plane 池。- 3 6
- 指定是启用或禁用并发多线程(SMT)或超线程。默认情况下,启用 SMT 可提高机器中内核的性能。您可以通过将参数值设为
Disabled来禁用。如果禁用 SMT,则必须在所有集群机器中禁用它,其中包括 control plane 和计算机器。注意默认启用并发多线程(SMT)。如果在 BIOS 设置中没有启用 SMT,
hyperthreading参数不会起作用。重要如果您禁用
hyperthreading(无论是在 BIOS 中还是在install-config.yaml中),请确保您对可能会造成的机器性能显著降低的情况有所考虑。 - 4
- 在用户置备的基础架构上安装 OpenShift Container Platform 时,您必须将此值设置为
0。在安装程序置备的安装中,参数控制集群为您创建和管理的计算机器数量。在用户置备的安装中,您必须手动部署计算机器,然后才能完成集群安装。注意如果要安装一个三节点集群,请在安装 Red Hat Enterprise Linux CoreOS(RHCOS)机器时不要部署任何计算机器。
- 7
- 您添加到集群的 control plane 机器数量。由于集群将这个值用作集群中 etcd 端点的数量,因此该值必须与您部署的 control plane 机器数量匹配。
- 8
- 您在 DNS 记录中指定的集群名称。
- 9
- 从中分配 pod IP 地址的 IP 地址块。此块不得与现有的物理网络重叠。这些 IP 地址用于 pod 网络。如果您需要从外部网络访问 pod,请配置负载均衡器和路由器来管理流量。注意
类 E CIDR 范围保留给以后使用。要使用 Class E CIDR 范围,您必须确保您的网络环境接受 Class E CIDR 范围内的 IP 地址。
- 10
- 分配给每个单独节点的子网前缀长度。例如,如果
hostPrefix设为23,则每个节点从所给的cidr中分配一个/23子网,这样就能有 510 (2^(32 - 23) - 2) 个 Pod IP 地址。如果您需要从外部网络访问节点,请配置负载均衡器和路由器来管理流量。 - 11
- 用于服务 IP 地址的 IP 地址池。您只能输入一个 IP 地址池。此块不得与现有的物理网络重叠。如果您需要从外部网络访问服务,请配置负载均衡器和路由器来管理流量。
- 12
- 您必须将平台设置为
none。您无法为 IBM Z 基础架构提供额外的平台配置变量。警告Red Hat Virtualization 目前不支持使用 oVirt 平台的用户置备的基础架构进行安装。因此,您必须将平台设置为
none,允许 OpenShift Container Platform 将每个节点识别为裸机节点,并将集群识别为裸机集群。这与 在任何平台上安装集群 相同,并有以下限制:- 没有集群供应商,因此您必须手动添加每台机器,且没有节点扩展功能。
- 不会安装 oVirt CSI 驱动程序,且没有 CSI 功能。
- 13
- 是否启用或禁用 FIPS 模式。默认情况下不启用 FIPS 模式。如果启用了 FIPS 模式,运行 OpenShift Container Platform 的 Red Hat Enterprise Linux CoreOS (RHCOS) 机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。重要
只有在
x86_64架构中的 OpenShift Container Platform 部署支持 FIPS 验证的/Modules in Process 加密库。 - 14
- Red Hat OpenShift Cluster Manager 中的 pull secret。通过此 pull secret,您可以进行所含授权机构提供的服务的身份验证,这些服务包括为 OpenShift Container Platform 组件提供容器镜像的 Quay.io。
- 15
- Red Hat Enterprise Linux CoreOS(RHCOS)中
core用户的 SSH 公钥。注意对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群,请指定
ssh-agent进程使用的 SSH 密钥。
10.2.9.3. 在安装过程中配置集群范围代理
生产环境可能会拒绝直接访问互联网,而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置,将新的 OpenShift Container Platform 集群配置为使用代理。
先决条件
-
您有一个现有的
install-config.yaml文件。 您检查了集群需要访问的站点,并决定是否需要绕过代理。默认情况下代理所有集群出口流量,包括对托管云供应商 API 的调用。您需要将站点添加到
Proxy对象的spec.noProxy字段来绕过代理。注意Proxy对象status.noProxy字段使用安装配置中的networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr和networking.serviceNetwork[]字段的值填充。对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装,
Proxy对象status.noProxy字段也会使用实例元数据端点填充(169.254.169.254)。
流程
编辑
install-config.yaml文件并添加代理设置。例如:apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://<username>:<pswd>@<ip>:<port> 1 httpsProxy: https://<username>:<pswd>@<ip>:<port> 2 noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- <MY_TRUSTED_CA_CERT> -----END CERTIFICATE----- ...
- 1
- 用于创建集群外 HTTP 连接的代理 URL。URL 必须是
http。 - 2
- 用于创建集群外 HTTPS 连接的代理 URL。
- 3
- 要排除在代理中的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加
.来仅匹配子域。例如:.y.com匹配x.y.com,但不匹配y.com。使用*绕过所有目的地的代理。 - 4
- 如果提供,安装程序会在
openshift-config 命名空间中生成名为的配置映射来保存额外的 CA 证书。如果您提供user-ca-bundleadditionalTrustBundle和至少一个代理设置,则Proxy对象会被配置为引用trustedCA字段中的user-ca-bundle配置映射。然后,Cluster Network Operator 会创建一个trusted-ca-bundle配置映射,该配置映射将为trustedCA参数指定的内容与 RHCOS 信任捆绑包合并。additionalTrustBundle字段是必需的,除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
注意安装程序不支持代理的
readinessEndpoints字段。- 保存该文件,并在安装 OpenShift Container Platform 时引用。
安装程序会创建一个名为 cluster 的集群范围代理,该代理使用提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置,仍然会创建一个 cluster Proxy 对象,但它会有一个空 spec。
只支持名为 cluster 的 Proxy 对象,且无法创建额外的代理。
10.2.9.4. 配置三节点集群
您可以选择在只由三台 control plane 机器组成的裸机集群中部署零台计算机器。这为集群管理员和开发人员提供了较小的、效率更高的集群,用于测试、开发和生产。
在三节点 OpenShift Container Platform 环境中,三台 control plane 机器可以调度,这意味着应用程序工作负载被调度到它们上运行。
先决条件
-
您有一个现有的
install-config.yaml文件。
流程
确保
install-config.yaml文件中的计算副本数设置为0,如以下compute小节中所示:compute: - name: worker platform: {} replicas: 0注意在用户置备的基础架构上安装 OpenShift Container Platform 时,您必须将 compute 机器的
replicas参数的值设置为0,无论您部署的计算机器数量是多少。在安装程序置备的安装中,参数控制集群为您创建和管理的计算机器数量。这不适用于手动部署计算机器的用户置备安装。注意control plane 节点的首选资源是 6 个 vCPU 和 21 GB。对于三个 control plane 节点,这是相当于至少五节点集群的内存 + vCPU。您应该为三个节点提供支持,每个节点安装在一个 120 GB 的磁盘上,并且有三个启用了 SMT2 的 IFL。测试最小的设置是每个 control plane 节点在 120 GB 磁盘上的三个 vCPU 和 10 GB。
对于三节点集群安装,请按照以下步骤执行:
- 如果要部署具有零计算节点的三节点集群,Ingress Controller pod 在 control plane 节点上运行。在三节点集群部署中,您必须配置应用程序入口负载均衡器,将 HTTP 和 HTTPS 流量路由到 control plane 节点。如需更多信息,请参阅用户置备的基础架构的负载平衡要求部分。
-
在以下流程中创建 Kubernetes 清单文件时,确保将
<installation_directory>/manifests/cluster-scheduler-02-config.yml文件中的mastersSchedulable参数设置为true。这可让您的应用程序工作负载在 control plane 节点上运行。 - 创建 Red Hat Enterprise Linux CoreOS(RHCOS)机器时,不要部署任何计算节点。
10.2.10. Cluster Network Operator 配置
集群网络的配置作为 Cluster Network Operator (CNO) 配置的一部分被指定,并存储在名为 cluster的自定义资源(CR)对象中。CR 指定 operator.openshift.io API 组中的 Network API 的字段。
CNO 配置会在集群安装过程中从 Network.config.openshift.io API 组中的 Network API 继承以下字段,这些字段无法更改:
clusterNetwork- 从中分配 pod IP 地址的 IP 地址池。
serviceNetwork- 服务的 IP 地址池。
defaultNetwork.type- 集群网络供应商,如 OpenShift SDN 或 OVN-Kubernetes。
您可以通过在名为 cluster 的 CNO 对象中设置 defaultNetwork 对象的字段来为集群指定集群网络供应商配置。
10.2.10.1. Cluster Network Operator 配置对象
Cluster Network Operator(CNO)的字段在下表中描述:
| 字段 | 类型 | 描述 |
|---|---|---|
|
|
|
CNO 对象的名称。这个名称始终是 |
|
|
| 用于指定从哪些 IP 地址块分配 Pod IP 地址以及分配给集群中每个节点的子网前缀长度的列表。例如: spec:
clusterNetwork:
- cidr: 10.128.0.0/19
hostPrefix: 23
- cidr: 10.128.32.0/19
hostPrefix: 23
在创建清单前,您只能在 |
|
|
| 服务的 IP 地址块。OpenShift SDN 和 OVN-Kubernetes Container Network Interface(CNI)网络供应商只支持服务网络具有单个 IP 地址块。例如: spec: serviceNetwork: - 172.30.0.0/14
在创建清单前,您只能在 |
|
|
| 为集群网络配置 Container Network Interface(CNI)集群网络供应商。 |
|
|
| 此对象的字段指定 kube-proxy 配置。如果您使用 OVN-Kubernetes 集群网络供应商,则 kube-proxy 的配置不会起作用。 |
defaultNetwork 对象配置
defaultNetwork 对象的值在下表中定义:
| 字段 | 类型 | 描述 |
|---|---|---|
|
|
|
注意 OpenShift Container Platform 默认使用 OpenShift SDN Container Network Interface(CNI)集群网络供应商。 |
|
|
| 此对象仅对 OpenShift SDN 集群网络供应商有效。 |
|
|
| 此对象仅对 OVN-Kubernetes 集群网络供应商有效。 |
配置 OpenShift SDN CNI 集群网络供应商
下表描述了 OpenShift SDN Container Network Interface(CNI)集群网络供应商的配置字段。
| 字段 | 类型 | 描述 |
|---|---|---|
|
|
|
配置 OpenShift SDN 的网络隔离模式。默认值为
|
|
|
| VXLAN 覆盖网络的最大传输单元 (MTU) 。这根据主网络接口的 MTU 自动探测。您通常不需要覆盖检测到的 MTU。 如果自动探测的值不是您期望的,请确认节点上主网络接口中的 MTU 是正确的。您不能使用这个选项更改节点上主网络接口的 MTU 值。
如果您的集群中的不同节点需要不同的 MTU 值,则必须将此值设置为比集群中的最低 MTU 值小 集群安装后无法更改这个值。 |
|
|
|
用于所有 VXLAN 数据包的端口。默认值为 如果您在虚拟环境中运行,并且现有节点是另一个 VXLAN 网络的一部分,那么可能需要更改此值。例如,当在 VMware NSX-T 上运行 OpenShift SDN 覆盖时,您必须为 VXLAN 选择一个备用端口,因为两个 SDN 都使用相同的默认 VXLAN 端口号。
在 Amazon Web Services (AWS) 上,您可以在端口 |
OpenShift SDN 配置示例
defaultNetwork:
type: OpenShiftSDN
openshiftSDNConfig:
mode: NetworkPolicy
mtu: 1450
vxlanPort: 4789
配置 OVN-Kubernetes CNI 集群网络供应商
下表描述了 OVN-Kubernetes CNI 集群网络供应商的配置字段。
| 字段 | 类型 | 描述 |
|---|---|---|
|
|
| Geneve(Generic Network Virtualization Encapsulation)覆盖网络的最大传输单元(MTU)。这根据主网络接口的 MTU 自动探测。您通常不需要覆盖检测到的 MTU。 如果自动探测的值不是您期望的,请确认节点上主网络接口中的 MTU 是正确的。您不能使用这个选项更改节点上主网络接口的 MTU 值。
如果您的集群中的不同节点需要不同的 MTU 值,则必须将此值设置为比集群中的最低 MTU 值小 集群安装后无法更改这个值。 |
|
|
|
用于所有 Geneve 数据包的端口。默认值为 |
|
|
| 指定用于自定义网络策略审计日志的配置对象。如果未设置,则使用默认的审计日志设置。 |
| 字段 | 类型 | 描述 |
|---|---|---|
|
| 整数 |
每个节点每秒生成的最大消息数。默认值为每秒 |
|
| 整数 |
审计日志的最大大小(以字节为单位)。默认值为 |
|
| 字符串 | 以下附加审计日志目标之一:
|
|
| 字符串 |
RFC5424 中定义的 syslog 工具,如 |
OVN-Kubernetes 配置示例
defaultNetwork:
type: OVNKubernetes
ovnKubernetesConfig:
mtu: 1400
genevePort: 6081
kubeProxyConfig 对象配置
kubeProxyConfig 对象的值在下表中定义:
| 字段 | 类型 | 描述 |
|---|---|---|
|
|
|
注意
由于 OpenShift Container Platform 4.3 及更高版本中引进了性能上的改进,现在不再需要调整 |
|
|
|
刷新 kubeProxyConfig:
proxyArguments:
iptables-min-sync-period:
- 0s
|
10.2.11. 创建 Kubernetes 清单和 Ignition 配置文件
由于您必须修改一些集群定义文件并要手动启动集群机器,因此您必须生成 Kubernetes 清单和 Ignition 配置文件,集群需要这两项来配置机器。
安装配置文件转换为 Kubernetes 清单。清单被嵌套到 Ignition 配置文件中,稍后用于配置集群机器。
-
OpenShift Container Platform 安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书,之后过期证书会在此时进行续订。如果在更新证书前关闭集群,且集群在 24 小时后重启,集群会自动恢复过期的证书。一个例外情况是,您需要手动批准待处理的
node-bootstrapper证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息,请参阅从过期的 control plane 证书中恢复的文档。 - 建议您在生成 12 小时后使用 Ignition 配置文件,因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件,您可以避免在安装过程中运行证书更新时避免安装失败。
生成清单和 Ignition 文件的安装程序是特定于架构的,可以从 客户端镜像镜像获取。安装程序的 Linux 版本仅在 s390x 上运行。此安装程序也可用作 Mac OS 版本。
先决条件
- 已获得 OpenShift Container Platform 安装程序。
-
已创建
install-config.yaml安装配置文件。
流程
切换到包含 OpenShift Container Platform 安装程序的目录,并为集群生成 Kubernetes 清单:
$ ./openshift-install create manifests --dir <installation_directory> 1- 1
- 对于
<installation_directory>,请指定含有您创建的install-config.yaml文件的安装目录。
警告如果要安装一个三节点集群,请跳过以下步骤,以便 control plane 节点可以调度。
重要当您将 control plane 节点从默认的不可调度配置为可以调度时,需要额外的订阅。这是因为 control plane 节点随后变为 worker 节点。
检查
<installation_directory>/manifests/cluster-scheduler-02-config.ymlKubernetes 清单文件中的mastersSchedulable参数是否已设置为false。此设置可防止在 control plane 机器上调度 pod:-
打开
<installation_directory>/manifests/cluster-scheduler-02-config.yml文件。 -
找到
mastersSchedulable参数并确保它被设置为false。 - 保存并退出文件。
-
打开
要创建 Ignition 配置文件,从包含安装程序的目录运行以下命令:
$ ./openshift-install create ignition-configs --dir <installation_directory> 1- 1
- 对于
<installation_directory>,请指定相同的安装目录。
Ignition 配置文件是为安装目录中的 bootstrap、control plane 和计算节点创建的 Ignition 配置文件。
kubeadmin-password和kubeconfig文件是在./<installation_directory>/auth目录中创建的:. ├── auth │ ├── kubeadmin-password │ └── kubeconfig ├── bootstrap.ign ├── master.ign ├── metadata.json └── worker.ign
10.2.12. 安装 RHCOS 并启动 OpenShift Container Platform bootstrap 过程
要在您置备的 IBM Z 基础架构上安装 OpenShift Container Platform,您必须安装 Red Hat Enterprise Linux CoreOS(RHCOS)作为 Red Hat Enterprise Linux(RHEL)客户机虚拟机。安装 RHCOS 时,您必须为 OpenShift Container Platform 安装程序生成的机器类型提供 Ignition 配置文件。如果您配置了合适的网络、DNS 和负载均衡基础架构,OpenShift Container Platform bootstrap 过程会在 RHCOS 机器重启后自动开始。
您可以对使用预打包的 QEMU 写时复制(QCOW2)磁盘镜像的 RHCOS 执行快速跟踪安装。或者,您可以在新的 QCOW2 磁盘镜像上执行完整安装。
10.2.12.1. 使用预打包的 QCOW2 磁盘镜像快速跟踪安装
完成以下步骤,在 Red Hat Enterprise Linux CoreOS(RHCOS)快速安装中创建机器,导入预先打包的 Red Hat Enterprise Linux CoreOS(RHCOS)QEMU copy-on-write(QCOW2)磁盘镜像。
先决条件
- 至少有一个 LPAR 使用 KVM 运行 RHEL 8.4,在此过程中称为 RHEL KVM 主机。
- KVM/QEMU 管理程序安装在 RHEL KVM 主机上。
- 可执行主机名并对节点进行逆向查询的域名服务器(DNS)。
- 提供 IP 地址的 DHCP 服务器。
流程
从红帽客户门户网站上的产品下载页面或RHCOS 镜像页面,获取 RHEL QEMU copy-on-write(QCOW2)磁盘镜像文件。
重要RHCOS 镜像可能不会随着 OpenShift Container Platform 的每一发行版本都有改变。您必须下载最高版本的镜像,其版本号应小于或等于您安装的 OpenShift Container Platform 版本。仅使用以下流程中描述的适当 RHCOS QCOW2 镜像。
将 QCOW2 磁盘镜像和 Ignition 文件下载到 RHEL KVM 主机上的通用目录中。
例如:
/var/lib/libvirt/images注意Ignition 文件由 OpenShift Container Platform 安装程序生成。
为每个 KVM 客户机节点使用 QCOW2 磁盘镜像文件创建新磁盘镜像。
$ qemu-img create -f qcow2 -F qcow2 -b /var/lib/libvirt/images/{source_rhcos_qemu} /var/lib/libvirt/images/{vmname}.qcow2 {size}使用 Ignition 文件和新磁盘镜像创建新 KVM 客户机节点。
$ virt-install --noautoconsole \ --connect qemu:///system \ --name {vn_name} \ --memory {memory} \ --vcpus {vcpus} \ --disk {disk} \ --import \ --network network={network},mac={mac} \ --qemu-commandline="-drive \ if=none,id=ignition,format=raw,file={ign_file},readonly=on -device virtio-blk,serial=ignition,drive=ignition"
10.2.12.2. 在新的 QCOW2 磁盘镜像上进行完整安装
完成以下步骤,在新的 QEMU copy-on-write(QCOW2)磁盘镜像中的完整安装中创建机器。
先决条件
- 至少有一个 LPAR 使用 KVM 运行 RHEL 8.4,在此过程中称为 RHEL KVM 主机。
- KVM/QEMU 管理程序安装在 RHEL KVM 主机上。
- 可执行主机名并对节点进行逆向查询的域名服务器(DNS)。
- 设置了 HTTP 或 HTTPS 服务器。
流程
从红帽客户门户网站上的产品下载页面或 RHCOS 镜像 mirror 页面,获取 RHEL kernel、initramfs 和 rootfs 文件。
重要RHCOS 镜像可能不会随着 OpenShift Container Platform 的每一发行版本都有改变。您必须下载最高版本的镜像,其版本号应小于或等于您安装的 OpenShift Container Platform 版本。仅使用以下流程中描述的适当 RHCOS QCOW2 镜像。
文件名包含 OpenShift Container Platform 版本号。它们类似以下示例:
-
kernel:
rhcos-<version>-live-kernel-<architecture> -
initramfs:
rhcos-<version>-live-initramfs.<architecture>.img -
rootfs:
rhcos-<version>-live-rootfs.<architecture>.img
-
kernel:
在启动
virt-install前,将下载的 RHEL live kernel、initramfs 和 rootfs 以及 Ignition 文件移动到 HTTP 或 HTTPS 服务器中。注意Ignition 文件由 OpenShift Container Platform 安装程序生成。
使用 RHEL kernel、initramfs 和 Ignition 文件、新磁盘镜像和调整的解析行参数创建新 KVM 客户机节点。
-
对于
--location,指定 HTTP 或者 HTTPS 服务器中的 kernel/initrd 的位置。 -
对于
coreos.inst.ignition_url=,为机器角色指定 Ignition 文件。使用bootstrap.ign、master.ign或worker.ign。只支持 HTTP 和 HTTPS 协议。 对于
coreos.live.rootfs_url=,为您引导的内核和 initramfs 指定匹配的 rootfs 工件。只支持 HTTP 和 HTTPS 协议。$ virt-install \ --connect qemu:///system \ --name {vn_name} \ --vcpus {vcpus} \ --memory {memory_mb} \ --disk {vn_name}.qcow2,size={image_size| default(10,true)} \ --network network={virt_network_parm} \ --boot hd \ --location {media_location},kernel={rhcos_kernel},initrd={rhcos_initrd} \ --extra-args "rd.neednet=1 coreos.inst=yes coreos.inst.install_dev=vda coreos.live.rootfs_url={rhcos_liveos} ip={ip}::{default_gateway}:{subnet_mask_length}:{vn_name}:enc1:none:{MTU} nameserver={dns} coreos.inst.ignition_url={rhcos_ign}" \ --noautoconsole \ --wait
-
对于
10.2.13. 等待 bootstrap 过程完成
OpenShift Container Platform bootstrap 过程在集群节点首次启动到已安装到磁盘的持久性 RHCOS 环境后开始。通过 Ignition 配置文件提供的配置信息用于初始化 bootstrap 过程并在机器上安装 OpenShift Container Platform。您必须等待 bootstrap 过程完成。
先决条件
- 已为集群创建 Ignition 配置文件。
- 您已配置了合适的网络、DNS 和负载平衡基础架构。
- 已获得安装程序并为集群生成了 Ignition 配置文件。
- 您在集群机器上安装了 RHCOS,并提供 OpenShift Container Platform 安装程序生成的 Ignition 配置文件。
- 您的机器可以直接访问互联网,或者有 HTTP 或 HTTPS 代理可用。
流程
监控 bootstrap 过程:
$ ./openshift-install --dir <installation_directory> wait-for bootstrap-complete \ 1 --log-level=info 2
输出示例
INFO Waiting up to 30m0s for the Kubernetes API at https://api.test.example.com:6443... INFO API v1.21.0 up INFO Waiting up to 30m0s for bootstrapping to complete... INFO It is now safe to remove the bootstrap resources
Kubernetes API 服务器提示已在 control plane 机器上完成 bootstrap 时,命令运行成功。
bootstrap 过程完成后,请从负载均衡器中删除 bootstrap 机器。
重要此时您必须从负载均衡器中删除 bootstrap 机器。您还可以删除或重新格式化 bootstrap 机器本身。
10.2.14. 使用 CLI 登录到集群
您可以通过导出集群 kubeconfig 文件,以默认系统用户身份登录集群。kubeconfig 文件包含关于集群的信息,供 CLI 用于将客户端连接到正确集群和 API 服务器。该文件特只适用于一个特定的集群,在 OpenShift Container Platform 安装过程中创建。
先决条件
- 已部署了 OpenShift Container Platform 集群。
-
已安装
ocCLI。
流程
导出
kubeadmin凭证:$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1- 1
- 对于
<installation_directory>,请指定安装文件保存到的目录的路径。
使用导出的配置,验证能否成功运行
oc命令:$ oc whoami
输出示例
system:admin
10.2.15. 批准机器的证书签名请求
将机器添加到集群时,会为您添加的每台机器生成两个待处理证书签名请求(CSR)。您必须确认这些 CSR 已获得批准,或根据需要自行批准。客户端请求必须首先被批准,然后是服务器请求。
先决条件
- 您已将机器添加到集群中。
流程
确认集群可以识别这些机器:
$ oc get nodes
输出示例
NAME STATUS ROLES AGE VERSION master-0 Ready master 63m v1.21.0 master-1 Ready master 63m v1.21.0 master-2 Ready master 64m v1.21.0
输出将列出您创建的所有机器。
注意在一些 CSR 被批准前,以上输出可能不包括计算节点(也称为 worker 节点)。
检查待处理的 CSR,并确保可以看到添加到集群中的每台机器都有
Pending或Approved状态的客户端请求:$ oc get csr
输出示例
NAME AGE REQUESTOR CONDITION csr-mddf5 20m system:node:master-01.example.com Approved,Issued csr-z5rln 16m system:node:worker-21.example.com Approved,Issued
如果 CSR 没有获得批准,请在所添加机器的所有待处理 CSR 都处于
Pending状态后,为您的集群机器批准这些 CSR:注意由于 CSR 会自动轮转,因此请在将机器添加到集群后一小时内批准您的 CSR。如果没有在一小时内批准,证书将会轮转,每个节点将会存在多个证书。您必须批准所有这些证书。批准客户端 CSR 后,Kubelet 为服务证书创建一个二级 CSR,这需要手动批准。然后,如果 Kubelet 请求具有相同参数的新证书,则
machine-approver会自动批准后续服务证书续订请求。注意对于在未启用机器 API 的平台中运行的集群,如裸机和其他用户置备的基础架构,必须采用一种方法自动批准 kubelet 提供证书请求(CSR)。如果没有批准请求,则
oc exec、oc rsh和oc logs命令将无法成功,因为 API 服务器连接到 kubelet 时需要服务证书。与 Kubelet 端点联系的任何操作都需要此证书批准。这个方法必须监视新的 CSR,确认 CSR 由system:node或system:admin组中的node-bootstrapper服务帐户提交,并确认节点的身份。若要单独批准,请对每个有效的 CSR 运行以下命令:
$ oc adm certificate approve <csr_name> 1- 1
<csr_name>是当前 CSR 列表中 CSR 的名称。
要批准所有待处理的 CSR,请运行以下命令:
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve注意在有些 CSR 被批准前,一些 Operator 可能无法使用。
现在,您的客户端请求已被批准,您必须查看添加到集群中的每台机器的服务器请求:
$ oc get csr
输出示例
NAME AGE REQUESTOR CONDITION csr-bfd72 5m26s system:node:ip-10-0-50-126.us-east-2.compute.internal Pending csr-c57lv 5m26s system:node:ip-10-0-95-157.us-east-2.compute.internal Pending ...
如果剩余的 CSR 没有被批准,且处于
Pending状态,请批准集群机器的 CSR:若要单独批准,请对每个有效的 CSR 运行以下命令:
$ oc adm certificate approve <csr_name> 1- 1
<csr_name>是当前 CSR 列表中 CSR 的名称。
要批准所有待处理的 CSR,请运行以下命令:
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
批准所有客户端和服务器 CSR 后,器将处于
Ready状态。运行以下命令验证:$ oc get nodes
输出示例
NAME STATUS ROLES AGE VERSION master-0 Ready master 73m v1.21.0 master-1 Ready master 73m v1.21.0 master-2 Ready master 74m v1.21.0 worker-0 Ready worker 11m v1.21.0 worker-1 Ready worker 11m v1.21.0
注意批准服务器 CSR 后可能需要几分钟时间让机器转换为
Ready状态。
其他信息
- 如需有关 CSR 的更多信息,请参阅证书签名请求。
10.2.16. 初始 Operator 配置
在 control plane 初始化后,您必须立即配置一些 Operator 以便它们都可用。
先决条件
- 您的 control plane 已初始化。
流程
观察集群组件上线:
$ watch -n5 oc get clusteroperators
输出示例
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE authentication 4.8.2 True False False 19m baremetal 4.8.2 True False False 37m cloud-credential 4.8.2 True False False 40m cluster-autoscaler 4.8.2 True False False 37m config-operator 4.8.2 True False False 38m console 4.8.2 True False False 26m csi-snapshot-controller 4.8.2 True False False 37m dns 4.8.2 True False False 37m etcd 4.8.2 True False False 36m image-registry 4.8.2 True False False 31m ingress 4.8.2 True False False 30m insights 4.8.2 True False False 31m kube-apiserver 4.8.2 True False False 26m kube-controller-manager 4.8.2 True False False 36m kube-scheduler 4.8.2 True False False 36m kube-storage-version-migrator 4.8.2 True False False 37m machine-api 4.8.2 True False False 29m machine-approver 4.8.2 True False False 37m machine-config 4.8.2 True False False 36m marketplace 4.8.2 True False False 37m monitoring 4.8.2 True False False 29m network 4.8.2 True False False 38m node-tuning 4.8.2 True False False 37m openshift-apiserver 4.8.2 True False False 32m openshift-controller-manager 4.8.2 True False False 30m openshift-samples 4.8.2 True False False 32m operator-lifecycle-manager 4.8.2 True False False 37m operator-lifecycle-manager-catalog 4.8.2 True False False 37m operator-lifecycle-manager-packageserver 4.8.2 True False False 32m service-ca 4.8.2 True False False 38m storage 4.8.2 True False False 37m
- 配置不可用的 Operator。
10.2.16.1. 镜像 registry 存储配置
对于不提供默认存储的平台,Image Registry Operator 最初将不可用。安装后,您必须配置 registry 使用的存储,这样 Registry Operator 才可用。
示配置生产集群所需的持久性卷的说明。如果适用,显示有关将空目录配置为存储位置的说明,该位置只可用于非生产集群。
另外还提供了在升级过程中使用 Recreate rollout 策略来允许镜像 registry 使用块存储类型的说明。
10.2.16.1.1. 为 IBM Z 配置 registry 存储
作为集群管理员,在安装后需要配置 registry 来使用存储。
先决条件
-
您可以使用具有
cluster-admin角色的用户访问集群。 - 在 IBM Z 上有一个集群。
已为集群置备持久性存储。
重要如果您只有一个副本,OpenShift Container Platform 支持对镜像 registry 存储的
ReadWriteOnce访问。ReadWriteOnce访问还要求 registry 使用Recreaterollout 策略。要部署支持高可用性的镜像 registry,需要两个或多个副本,ReadWriteMany访问。- 必须具有 100Gi 容量。
流程
为了配置 registry 使用存储,需要修改
configs.imageregistry/cluster资源中的spec.storage.pvc。注意使用共享存储时,请查看您的安全设置以防止被外部访问。
验证您没有 registry pod:
$ oc get pod -n openshift-image-registry -l docker-registry=default
输出示例
No resourses found in openshift-image-registry namespace
注意如果您的输出中有一个 registry pod,则不需要继续这个过程。
检查 registry 配置:
$ oc edit configs.imageregistry.operator.openshift.io
输出示例
storage: pvc: claim:将
claim字段留空以允许自动创建一个image-registry-storagePVC。检查
clusteroperator的状态:$ oc get clusteroperator image-registry
输出示例
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE MESSAGE image-registry 4.7 True False False 6h50m
确保您的 registry 设置为 manage,以启用镜像的构建和推送。
运行:
$ oc edit configs.imageregistry/cluster
然后将行改
managementState: Removed
为
managementState: Managed
10.2.16.1.2. 在非生产集群中配置镜像 registry 存储
您必须为 Image Registry Operator 配置存储。对于非生产集群,您可以将镜像 registry 设置为空目录。如果您这样做,重启 registry 后会丢失所有镜像。
流程
将镜像 registry 存储设置为空目录:
$ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'警告仅可为非生产集群配置这个选项。
如果在 Image Registry Operator 初始化其组件前运行此命令,
oc patch命令会失败并显示以下错误:Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found
等待几分钟,然后再次运行该命令。
10.2.17. 在用户置备的基础架构上完成安装
完成 Operator 配置后,可以在您提供的基础架构上完成集群安装。
先决条件
- 您的 control plane 已初始化。
- 已完成初始 Operator 配置。
流程
使用以下命令确认所有集群组件都已在线:
$ watch -n5 oc get clusteroperators
输出示例
NAME VERSION AVAILABLE PROGRESSING DEGRADED SINCE authentication 4.8.2 True False False 19m baremetal 4.8.2 True False False 37m cloud-credential 4.8.2 True False False 40m cluster-autoscaler 4.8.2 True False False 37m config-operator 4.8.2 True False False 38m console 4.8.2 True False False 26m csi-snapshot-controller 4.8.2 True False False 37m dns 4.8.2 True False False 37m etcd 4.8.2 True False False 36m image-registry 4.8.2 True False False 31m ingress 4.8.2 True False False 30m insights 4.8.2 True False False 31m kube-apiserver 4.8.2 True False False 26m kube-controller-manager 4.8.2 True False False 36m kube-scheduler 4.8.2 True False False 36m kube-storage-version-migrator 4.8.2 True False False 37m machine-api 4.8.2 True False False 29m machine-approver 4.8.2 True False False 37m machine-config 4.8.2 True False False 36m marketplace 4.8.2 True False False 37m monitoring 4.8.2 True False False 29m network 4.8.2 True False False 38m node-tuning 4.8.2 True False False 37m openshift-apiserver 4.8.2 True False False 32m openshift-controller-manager 4.8.2 True False False 30m openshift-samples 4.8.2 True False False 32m operator-lifecycle-manager 4.8.2 True False False 37m operator-lifecycle-manager-catalog 4.8.2 True False False 37m operator-lifecycle-manager-packageserver 4.8.2 True False False 32m service-ca 4.8.2 True False False 38m storage 4.8.2 True False False 37m
或者,通过以下命令,如果所有集群都可用您会接到通知。它还检索并显示凭证:
$ ./openshift-install --dir <installation_directory> wait-for install-complete 1- 1
- 对于
<installation_directory>,请指定安装文件保存到的目录的路径。
输出示例
INFO Waiting up to 30m0s for the cluster to initialize...
Cluster Version Operator 完成从 Kubernetes API 服务器部署 OpenShift Container Platform 集群时,命令运行成功。
重要-
安装程序生成的 Ignition 配置文件包含在 24 小时后过期的证书,然后在过期时进行续订。如果在更新证书前关闭集群,且集群在 24 小时后重启,集群会自动恢复过期的证书。一个例外情况是,您需要手动批准待处理的
node-bootstrapper证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息,请参阅从过期的 control plane 证书中恢复的文档。 - 建议您在生成 12 小时后使用 Ignition 配置文件,因为集群安装后 24 小时证书从 16 小时轮转至 22 小时。通过在 12 小时内使用 Ignition 配置文件,您可以避免在安装过程中运行证书更新时避免安装失败。
确认 Kubernetes API 服务器正在与 pod 通信。
要查看所有 pod 的列表,请使用以下命令:
$ oc get pods --all-namespaces
输出示例
NAMESPACE NAME READY STATUS RESTARTS AGE openshift-apiserver-operator openshift-apiserver-operator-85cb746d55-zqhs8 1/1 Running 1 9m openshift-apiserver apiserver-67b9g 1/1 Running 0 3m openshift-apiserver apiserver-ljcmx 1/1 Running 0 1m openshift-apiserver apiserver-z25h4 1/1 Running 0 2m openshift-authentication-operator authentication-operator-69d5d8bf84-vh2n8 1/1 Running 0 5m ...
使用以下命令,查看上一命令的输出中所列 pod 的日志:
$ oc logs <pod_name> -n <namespace> 1- 1
- 指定 pod 名称和命名空间,如上一命令的输出中所示。
如果 pod 日志显示,Kubernetes API 服务器可以与集群机器通信。
使用 Fibre Channel Protocol(FCP)安装需要额外的步骤来启用多路径。不要在安装过程中启用多路径。
如需更多信息,请参阅安装后机器配置任务文档中的"使用 RHCOS 上使用内核参数启用多路径"。
10.2.18. OpenShift Container Platform 的 Telemetry 访问
在 OpenShift Container Platform 4.8 中,默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标,需要访问互联网。如果您的集群连接到互联网,Telemetry 会自动运行,而且集群会注册到 OpenShift Cluster Manager。
确认 OpenShift Cluster Manager 清单正确后,可以由 Telemetry 自动维护,也可以使用 OpenShift Cluster Manager 手动维护,使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。
其他资源
- 有关 Telemetry 服务的更多信息,请参阅关于远程健康监控。
10.2.19. 收集调试信息
您可以收集有助于在 IBM Z 中安装 OpenShift Container Platform 时对特定问题进行故障排除和调试的调试信息。
先决条件
-
安装了
ocCLI 工具
流程
登录到集群:
$ oc login -u <username>
在您要收集硬件信息的节点中,启动一个调试容器:
$ oc debug node/<nodename>
进入 /host 文件系统并启动
toolbox:$ chroot /host $ toolbox
收集
dbginfo数据:$ dbginfo.sh
-
然后可以使用
scp来获取数据。
10.2.20. 后续步骤
- 自定义集群。
- 如果需要,您可以选择不使用远程健康报告。
