3.5. Red Hat OpenShift 的镜像(mirror)registry
Red Hat OpenShift 的镜像 registry 是一个小且简化的容器 registry,作为目标,用于为断开连接的安装镜像(mirror)的 OpenShift Container Platform 所需的容器镜像。
如果您已有容器镜像 registry(如 Red Hat Quay),您可以跳过这些步骤,并直接 镜像 OpenShift Container Platform 镜像存储库。
先决条件
- OpenShift Container Platform 订阅。
- 安装了 Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。
- Red Hat Quay 服务的完全限定域名,它必须通过 DNS 服务器解析。
-
目标主机上的免密码
sudo访问。 - 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机,您必须生成自己的 SSH 密钥。
- 2 个或更多 vCPU。
- 8 GB RAM。
关于 OpenShift Container Platform 4.8 发行镜像的 8.7 GB,或大约 668 GB OpenShift Container Platform 4.8 发行镜像和 OpenShift Container Platform 4.8 Red Hat Operator 镜像。建议每个流或更长时间最多 1 TB。
重要这些要求基于本地测试结果,且只测试了发行镜像和 Operator 镜像。存储要求可能会因您的组织的需求而有所不同。有些用户可能需要更多空间,例如当它们镜像多个 z-streams 时。您可以使用标准 Red Hat Quay 功能删除不必要的镜像并腾出空间。
3.5.1. Red Hat OpenShift 简介的镜像(mirror)registry
对于断开连接的 OpenShift Container Platform 部署,需要一个容器 registry 来安装集群。要在这样的集群中运行 production-grade registry 服务,您必须创建一个单独的 registry 部署来安装第一个集群。此 需要 Red Hat OpenShift 的镜像 registry,并包括在每个 OpenShift 订阅中。它可用于在 OpenShift 控制台 Downloads页面下载。
Red Hat OpenShift 的镜像 registry 允许用户使用 mirror -registry 命令行界面(CLI)工具安装一个较小的 Red Hat Quay 版本及其所需的组件。Red Hat OpenShift 的镜像 registry 会自动部署预先配置的本地存储和本地数据库。它还包括自动生成的用户凭证和访问权限,其中只有一个输入集,且不会启动的额外配置选项。
Red Hat OpenShift 的镜像 registry 提供了一个预先确定的网络配置,并在成功时报告部署的组件凭证并访问 URL。另外还提供了一组有限的可选配置输入,如完全限定域名(FQDN)服务、超级用户名称和密码,以及自定义 TLS 证书。这为用户提供了一个容器 registry,以便在受限网络环境中运行 OpenShift Container Platform 时,轻松创建所有 OpenShift Container Platform 发行版本内容的离线镜像。
Red Hat OpenShift 的镜像 registry 仅限于托管安装断开连接的 OpenShift Container Platform 集群(如发行镜像或 Red Hat Operator 镜像)所需的镜像。它使用 Red Hat Enterprise Linux(RHEL)机器上的本地存储,而 RHEL 支持的存储由 Red Hat OpenShift 的镜像 registry 支持。由客户创建的内容不应由 Red Hat OpenShift 的镜像 registry 托管。
与 Red Hat Quay 不同,Red Hat OpenShift 的镜像 registry 不是高度可用的 registry,且只支持本地文件系统存储。不建议在多个集群中使用 Red Hat OpenShift 镜像 registry,因为有多个集群可以在更新集群时创建单点故障。建议利用 Red Hat OpenShift 的镜像 registry 安装可托管生产环境、高可用性 registry(如 Red Hat Quay)的集群,以便将 OpenShift Container Platform 内容提供给其他集群。
如果在安装环境中已有另一个容器 registry,则为 Red Hat OpenShift 使用镜像 registry 是可选的。
3.5.2. 使用 Red Hat OpenShift 的镜像 registry 在本地主机上镜像(mirror)
此流程解释了如何使用 mirror-registry 安装程序工具在本地主机上为 Red Hat OpenShift 安装镜像 registry。这样,用户可以创建在端口 443 上运行的本地主机 registry,以存储 OpenShift Container Platform 镜像的镜像。
使用 mirror-registry CLI 工具安装 Red Hat OpenShift 的镜像 registry 对 机器进行了几个更改。安装后,会创建一个 /etc/quay-install 目录,该目录具有安装文件、本地存储和配置捆绑包。如果部署目标是本地主机,则生成可信 SSH 密钥,并且设置主机计算机上的 systemd 文件,以确保容器运行时持久。另外,会创建一个名为 init 的初始用户,并自动生成的密码。所有访问凭证都会在安装例程的末尾打印。
流程
-
为 OpenShift 控制台 Downloads 页面找到的 Red Hat OpenShift 的最新版本下载
mirror-registry.tar.gz 软件包。 使用
mirror-registry 工具,在本地主机上安装 Red Hat OpenShift 的镜像 registry。有关可用标志的完整列表,请参阅 "mirror registry for Red Hat OpenShift flags"。$ sudo ./mirror-registry install \ --quayHostname <host_example_com> \ --quayRoot <example_directory_name>
运行以下命令,使用安装期间生成的用户名和密码登录 registry:
$ podman login --authfile pull-secret.txt \ -u init \ -p <password> \ <host_example_com>:8443> \ --tls-verify=false 1- 1
- 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行
--tls-verify=false。如需更多信息,请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机构"。
注意您还可以在安装后通过
https://<host.example.com>:8443访问 UI 登录。您可以在登录后镜像 OpenShift Container Platform 镜像。根据您的需要,请参阅本文档的"镜像 OpenShift Container Platform 镜像存储库"或"镜像 Operator 目录"部分。
注意如果因为存储层问题导致 Red Hat OpenShift 镜像存储了镜像 registry 存在问题,您可以在更稳定的存储上对 OpenShift Container Platform 镜像重新镜像(mirror)或重新安装 registry。
3.5.3. 使用 Red Hat OpenShift 的镜像 registry 在远程主机上镜像(mirror)
此流程解释了如何使用 mirror-registry 工具在远程主机上为 Red Hat OpenShift 安装镜像 registry。这样,用户可以创建 registry 来保存 OpenShift Container Platform 镜像的镜像。
使用 mirror-registry CLI 工具安装 Red Hat OpenShift 的镜像 registry 对 机器进行了几个更改。安装后,会创建一个 /etc/quay-install 目录,该目录具有安装文件、本地存储和配置捆绑包。如果部署目标是本地主机,则生成可信 SSH 密钥,并且设置主机计算机上的 systemd 文件,以确保容器运行时持久。另外,会创建一个名为 init 的初始用户,并自动生成的密码。所有访问凭证都会在安装例程的末尾打印。
流程
-
为 OpenShift 控制台 Downloads 页面找到的 Red Hat OpenShift 的最新版本下载
mirror-registry.tar.gz 软件包。 使用
mirror-registry 工具,在本地主机上安装 Red Hat OpenShift 的镜像 registry。有关可用标志的完整列表,请参阅 "mirror registry for Red Hat OpenShift flags"。$ sudo ./mirror-registry install -v \ --targetHostname <host_example_com> \ --targetUsername <example_user> \ -k ~/.ssh/my_ssh_key \ --quayHostname <host_example_com> \ --quayRoot <example_directory_name>
运行以下命令,使用安装期间生成的用户名和密码登录镜像 registry:
$ podman login --authfile pull-secret.txt \ -u init \ -p <password> \ <host_example_com>:8443> \ --tls-verify=false 1- 1
- 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行
--tls-verify=false。如需更多信息,请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机构"。
注意您还可以在安装后通过
https://<host.example.com>:8443访问 UI 登录。您可以在登录后镜像 OpenShift Container Platform 镜像。根据您的需要,请参阅本文档的"镜像 OpenShift Container Platform 镜像存储库"或"镜像 Operator 目录"部分。
注意如果因为存储层问题导致 Red Hat OpenShift 镜像存储了镜像 registry 存在问题,您可以在更稳定的存储上对 OpenShift Container Platform 镜像重新镜像(mirror)或重新安装 registry。
