9.2. vSphere에 컴퓨팅 머신 추가

VMware vSphere의 OpenShift Container Platform 클러스터에 더 많은 컴퓨팅 머신을 추가할 수 있습니다.

9.2.1. 전제 조건

중요

클러스터를 생성하는 데 사용되는 RHCOS(Red Hat Enterprise Linux CoreOS) 이미지에 액세스할 수 없는 경우 새로운 버전의 RHCOS(Red Hat Enterprise Linux CoreOS) 이미지를 사용하여 OpenShift Container Platform 클러스터에 더 많은 컴퓨팅 머신을 추가할 수 있습니다. 자세한 내용은 OpenShift 4.6+로 업그레이드한 후 UPI 클러스터에 새 노드 추가 를 참조하십시오.

9.2.2. vSphere에서 RHCOS(Red Hat Enterprise Linux CoreOS) 머신 추가 생성

VMware vSphere에서 사용자 프로비저닝 인프라를 사용하는 클러스터에 대해 추가로 컴퓨팅 머신을 생성할 수 있습니다.

사전 요구 사항

  • 컴퓨팅 머신의 base64로 인코딩된 Ignition 파일을 가져옵니다.
  • 클러스터에 생성한 vSphere 템플릿에 액세스할 수 있습니다.

프로세스

  1. 템플릿이 배포된 후 클러스터에서 시스템의 가상 머신을 배포합니다.

    1. 템플릿 이름을 마우스 오른쪽 버튼으로 클릭하고 CloneClone to Virtual Machine을 클릭합니다.
    2. Select a name and folder 탭에서 가상 머신의 이름을 지정합니다. compute-1과 같은 머신 유형을 이름에 포함할 수 있습니다.
    3. Select a name and folder 탭에서 클러스터에 대해 생성한 폴더의 이름을 선택합니다.
    4. Select a compute resource 탭에서 데이터 센터의 호스트 이름을 선택합니다.
    5. 선택사항: Select storage 탭에서 스토리지 옵션을 사용자 지정합니다.
    6. Select clone options에서 Customize this virtual machine’s hardware를 선택합니다.
    7. Customize hardware 탭에서 VM OptionsAdvanced를 클릭합니다.

      • Latency Sensitivity 목록에서 High를 선택합니다.
      • Edit Configuration을 클릭하고 Configuration Parameters 창에서 Add Configuration Params를 클릭합니다. 다음 매개변수 이름 및 값을 정의합니다.

        • guestinfo.ignition.config.data: 이 머신 유형에 대해 base64로 인코딩된 컴퓨팅 Ignition 구성 파일의 내용을 붙여넣습니다.
        • guestinfo.ignition.config.data.encoding: base64를 지정합니다.
        • disk.EnableUUID: TRUE를 지정합니다.
    8. Customize hardware 탭의 Virtual Hardware 패널에서 지정된 값을 필요에 따라 수정합니다. RAM, CPU 및 디스크 스토리지의 양이 시스템 유형에 대한 최소 요구사항을 충족하는지 확인합니다. 또한 사용 가능한 네트워크가 여러 개인 경우 Add network adapter에서 올바른 네트워크를 선택해야 합니다.
    9. 구성을 완료하고 VM의 전원을 켭니다.
  2. 계속해서 클러스터에 추가 컴퓨팅 머신을 만듭니다.

9.2.3. 시스템의 인증서 서명 요청 승인

클러스터에 시스템을 추가하면 추가한 시스템별로 보류 중인 인증서 서명 요청(CSR)이 두 개씩 생성됩니다. 이러한 CSR이 승인되었는지 확인해야 하며, 필요한 경우 이를 직접 승인해야 합니다. 클라이언트 요청을 먼저 승인한 다음 서버 요청을 승인해야 합니다.

사전 요구 사항

  • 클러스터에 시스템을 추가했습니다.

프로세스

  1. 클러스터가 시스템을 인식하는지 확인합니다.

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
    master-0  Ready     master  63m  v1.19.0
    master-1  Ready     master  63m  v1.19.0
    master-2  Ready     master  64m  v1.19.0
    worker-0  NotReady  worker  76s  v1.19.0
    worker-1  NotReady  worker  70s  v1.19.0

    출력에 생성된 모든 시스템이 나열됩니다.

    참고

    이전 출력에는 일부 CSR이 승인될 때까지 컴퓨팅 노드(작업자 노드라고도 함)가 포함되지 않을 수 있습니다.

  2. 보류 중인 CSR을 검토하고 클러스터에 추가한 각 시스템에 대해 Pending 또는 Approved 상태의 클라이언트 및 서버 요청이 표시되는지 확인합니다.

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
    csr-8b2br   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
    csr-8vnps   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
    ...

    예에서는 두 시스템이 클러스터에 참여하고 있습니다. 목록에는 승인된 CSR이 더 많이 나타날 수도 있습니다.

  3. CSR이 승인되지 않은 경우, 추가된 시스템에 대한 모든 보류 중인 CSR이 Pending 상태로 전환된 후 클러스터 시스템의 CSR을 승인합니다.

    참고

    CSR은 교체 주기가 자동으로 만료되므로 클러스터에 시스템을 추가한 후 1시간 이내에 CSR을 승인하십시오. 한 시간 내에 승인하지 않으면 인증서가 교체되고 각 노드에 대해 두 개 이상의 인증서가 표시됩니다. 이러한 인증서를 모두 승인해야 합니다. 첫 번째 CSR을 승인한 후 후속 노드 클라이언트 CSR은 클러스터 kube-controller-manager에 의해 자동으로 승인됩니다.

    참고

    베어 메탈 및 기타 사용자 프로비저닝 인프라와 같이 머신 API를 사용하도록 활성화되지 않는 플랫폼에서 실행되는 클러스터의 경우 CSR(Kubelet service Certificate Request)을 자동으로 승인하는 방법을 구현해야 합니다. 요청이 승인되지 않으면 API 서버가 kubelet에 연결될 때 서비스 인증서가 필요하므로 oc exec, oc rsh, oc logs 명령을 성공적으로 수행할 수 없습니다. Kubelet 엔드 포인트에 연결하는 모든 작업을 수행하려면 이 인증서 승인이 필요합니다. 이 방법은 새 CSR을 감시하고 CSR이 system:node 또는 system:admin 그룹의 node-bootstrapper 서비스 계정에 의해 제출되었는지 확인하고 노드의 ID를 확인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오.

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.
    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오.

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
      참고

      일부 Operator는 일부 CSR이 승인될 때까지 사용할 수 없습니다.

  4. 이제 클라이언트 요청이 승인되었으므로 클러스터에 추가한 각 머신의 서버 요청을 검토해야 합니다.

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
    csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
    csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
    ...

  5. 나머지 CSR이 승인되지 않고 Pending 상태인 경우 클러스터 머신의 CSR을 승인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오.

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.
    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오.

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
  6. 모든 클라이언트 및 서버 CSR이 승인된 후 머신은 Ready 상태가 됩니다. 다음 명령을 실행하여 확인합니다.

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
    master-0  Ready     master  73m  v1.20.0
    master-1  Ready     master  73m  v1.20.0
    master-2  Ready     master  74m  v1.20.0
    worker-0  Ready     worker  11m  v1.20.0
    worker-1  Ready     worker  11m  v1.20.0

    참고

    머신이 Ready 상태로 전환하는 데 서버 CSR의 승인 후 몇 분이 걸릴 수 있습니다.

추가 정보