Language:
Format:

Language:
Format:

9.11. 使用 Deployment Manager 模板在 GCP 中的用户置备的基础架构上安装集群

在 OpenShift Container Platform 版本 4.12 中，您可以使用您提供的基础架构在 Google Cloud Platform(GCP)上安装集群。

此处概述了进行用户提供基础架构安装的步骤。提供的几个 Deployment Manager 模板可帮助完成这些步骤，或者帮助您自行建模。您还可以自由选择通过其他方法创建所需的资源。

重要

执行用户置备的基础架构安装的步骤仅作为示例。使用您提供的基础架构安装集群需要了解云供应商和 OpenShift Container Platform 的安装过程。提供的几个 Deployment Manager 模板可帮助完成这些步骤，或者帮助您自行建模。您还可以自由选择通过其他方法创建所需的资源；模板仅作示例之用。

9.11.1. 先决条件

您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
您可以阅读有关选择集群安装方法的文档，并为用户准备它。
如果您使用防火墙并计划使用 Telemetry 服务，则将防火墙配置为允许集群需要访问的站点。
如果环境中无法访问云身份和访问管理(IAM)API，或者不想将管理员级别的凭证 secret 存储在 kube-system 命名空间中，您可以手动创建和维护 IAM 凭证。
注意
如果要配置代理，请务必查看此站点列表。

9.11.2. 证书签名请求管理

在使用您置备的基础架构时，集群只能有限地访问自动机器管理，因此您必须提供一种在安装后批准集群证书签名请求 (CSR) 的机制。kube-controller-manager 只能批准 kubelet 客户端 CSR。machine-approver 无法保证使用 kubelet 凭证请求的提供证书的有效性，因为它不能确认是正确的机器发出了该请求。您必须决定并实施一种方法，以验证 kubelet 提供证书请求的有效性并进行批准。

9.11.3. OpenShift Container Platform 互联网访问

在 OpenShift Container Platform 4.12 中，您需要访问互联网来安装集群。

您必须具有以下互联网访问权限：

访问 OpenShift Cluster Manager Hybrid Cloud Console 以下载安装程序并执行订阅管理。如果集群可以访问互联网，并且没有禁用 Telemetry，该服务会自动授权您的集群。
访问 Quay.io，以获取安装集群所需的软件包。
获取执行集群更新所需的软件包。

重要

如果您的集群无法直接访问互联网，则可以在置备的某些类型的基础架构上执行受限网络安装。在此过程中，您可以下载所需的内容，并使用它为镜像 registry 填充安装软件包。对于某些安装类型，集群要安装到的环境不需要访问互联网。在更新集群前，您要更新镜像 registry 的内容。

9.11.4. 配置 GCP 项目

在安装 OpenShift Container Platform 之前，您必须配置 Google Cloud Platform(GCP)项目来托管它。

9.11.4.1. 创建 GCP 项目

要安装 OpenShift Container Platform，您必须在 Google Cloud Platform(GCP)帐户中创建项目来托管集群。

流程

创建一个项目来托管 OpenShift Container Platform 集群。请参阅 GCP 文档中的创建和管理项目。
重要
如果您使用安装程序置备的基础架构，您的 GCP 项目必须使用 Premium Network Service Tier。使用安装程序安装的集群不支持 Standard Network Service Tier。安装程序为 api-int.<cluster_name>.<base_domain> URL 配置内部负载均衡 ; 内部负载均衡需要 Premium Tier。

9.11.4.2. 在 GCP 中启用 API 服务

Google Cloud Platform(GCP)项目需要访问多个 API 服务来完成 OpenShift Container Platform 安装。

先决条件

已创建一个项目来托管集群。

流程

在托管集群的项目中启用以下所需的 API 服务。您还可以启用安装不需要的可选 API 服务。请参阅 GCP 文档中的启用服务。

表 9.41. 所需的 API 服务

API 服务	控制台服务名称
Compute Engine API	`compute.googleapis.com`
Cloud Resource Manager API	`cloudresourcemanager.googleapis.com`
Google DNS API	`dns.googleapis.com`
IAM Service Account Credentials API	`iamcredentials.googleapis.com`
Identity and Access Management(IAM)API	`iam.googleapis.com`
Service Usage API	`serviceusage.googleapis.com`

表 9.42. 可选 API 服务

API 服务	控制台服务名称
Cloud Deployment Manager V2 API	`deploymentmanager.googleapis.com`
Google Cloud API	`cloudapis.googleapis.com`
服务管理 API	`servicemanagement.googleapis.com`
Google Cloud Storage JSON API	`storage-api.googleapis.com`
Cloud Storage	`storage-component.googleapis.com`

9.11.4.3. 为 GCP 配置 DNS

要安装 OpenShift Container Platform，您使用的 Google Cloud Platform(GCP)帐户必须在托管 OpenShift Container Platform 集群的同一项目中有一个专用的公共托管区。此区域必须对域具有权威。DNS 服务为集群外部连接提供集群 DNS 解析和名称查询。

流程

确定您的域或子域，以及注册商。您可以转移现有的域和注册商，或通过 GCP 或其他来源获取新的域和注册商。
注意
如果您购买了新的域，则需要时间来传播相关的 DNS 更改。有关通过 Google 购买域的更多信息，请参阅 Google Domains。
在 GCP 项目中为您的域或子域创建一个公共托管区。请参阅 GCP 文档中的创建公共区。
使用适当的根域，如 openshiftcorp.com 或 子域，如 cluster .openshiftcorp.com。
从托管区域记录中提取新的权威名称服务器。请参阅 GCP 文档中的查找您的云 DNS 名称服务器。
您通常有四个名称服务器。
更新域所用名称服务器的注册商记录。例如，如果您将域注册到 Google Domains，请参阅 Google Domains 帮助中的以下主题：如何切换到自定义名称服务器。
如果您将根域迁移到 Google Cloud DNS，请迁移您的 DNS 记录。请参阅 GCP 文档中的 Migrating to Cloud DNS。
如果您使用子域，请按照贵公司的步骤将其委派记录添加到父域。这个过程可能包括对您公司的 IT 部门或控制您公司的根域和 DNS 服务的部门发出的请求。

9.11.4.4. GCP 帐户限值

OpenShift Container Platform 集群使用许多 Google Cloud Platform(GCP)组件，但默认的配额不会影响您安装默认 OpenShift Container Platform 集群的能力。

默认集群包含三台计算和三台 control plane 机器，它使用以下资源。请注意，有些资源只在 bootstrap 过程中需要，并在集群部署后删除。

表 9.43. 默认集群中使用的 GCP 资源

service	组件	位置	所需的资源总数	bootstrap 后删除的资源
服务帐户	IAM	全局	6	1
防火墙规则	Networking	全局	11	1
转发规则	Compute	全局	2	0
健康检查	Compute	全局	2	0
镜像	Compute	全局	1	0
网络	Networking	全局	1	0
路由器	Networking	全局	1	0
Routes	Networking	全局	2	0
子网	Compute	全局	2	0
目标池	Networking	全局	2	0

注意

如果在安装过程中任何配额不足，安装程序会显示一个错误信息，包括超过哪个配额，以及显示区域。

请考虑您的集群的实际大小、预定的集群增长，以及来自与您的帐户关联的其他集群的使用情况。CPU、静态 IP 地址和持久磁盘 SSD（存储）配额是最可能不足的。

如果您计划在以下区域之一部署集群，您将超过最大存储配额，并可能会超过 CPU 配额限制：

asia-east2
asia-northeast2
asia-south1
australia-southeast1
europe-north1
europe-west2
europe-west3
europe-west6
northamerica-northeast1
southamerica-east1
us-west2

您可以从 GCP 控制台增加资源配额，但可能需要提交一个支持问题单。务必提前规划集群大小，以便在安装 OpenShift Container Platform 集群前有足够的时间来等待支持问题单被处理。

9.11.4.5. 在 GCP 中创建服务帐户

OpenShift Container Platform 需要一个 Google Cloud Platform(GCP)服务帐户，它提供访问 Google API 中数据的验证和授权。如果您没有包含项目中所需角色的现有 IAM 服务帐户，您必须创建一个。

先决条件

已创建一个项目来托管集群。

流程

在用于托管 OpenShift Container Platform 集群的项目中创建一个服务帐户。请参阅 GCP 文档中的创建服务帐户。
为服务帐户授予适当的权限。您可以逐一授予权限，也可以为其分配 Owner 角色。请参阅将角色转换到特定资源的服务帐户。
注意
将服务帐户设置为项目的所有者是获取所需权限的最简单方法，这意味着该服务帐户对项目有完全的控制权。您必须确定提供这种能力所带来的风险是否可以接受。
您可以使用 JSON 格式创建服务帐户密钥，或将服务帐户附加到 GCP 虚拟机。请参阅 GCP 文档中的创建服务帐户密钥以及为实例创建并启用服务帐户。
您必须有一个服务帐户密钥或带有附加服务帐户的虚拟机来创建集群。
注意
如果您使用附加服务帐户的虚拟机来创建集群，则必须在安装前在 install-config.yaml 文件中设置 credentialsMode: Manual。

9.11.4.6. 所需的 GCP 角色

将 Owner 角色附加到您创建的服务帐户时，您可以为该服务帐户授予所有权限，包括安装 OpenShift Container Platform 所需的权限。如果机构的安全策略需要更严格的权限集，您可以创建具有以下权限的服务帐户：

重要

如果将 Cloud Credential Operator 配置为以 passthrough 模式运行，则必须使用角色而不是粒度权限。

如果您将集群部署到现有的虚拟私有云 (VPC) 中，则服务帐户不需要某些网络权限，如以下列表中记录：

安装程序所需的角色

Compute Admin
IAM Security Admin
Service Account Admin
Service Account Key Admin
Service Account User
Storage Admin

安装过程中创建网络资源所需的角色

DNS Administrator

使用 passthrough 凭证模式所需的角色

Compute Load Balancer Admin
IAM 角色视图

用户置备的 GCP 基础架构所需的角色

Deployment Manager Editor

角色应用到 control plane 和计算机器使用的服务帐户：

表 9.44. GCP 服务帐户权限

帐户	角色
Control Plane	`roles/compute.instanceAdmin`
	`roles/compute.networkAdmin`
	`roles/compute.securityAdmin`
	`roles/storage.admin`
	`roles/iam.serviceAccountUser`
Compute	`roles/compute.viewer`
Compute	`roles/storage.admin`

9.11.4.7. 用户置备的基础架构所需的 GCP 权限

将 Owner 角色附加到您创建的服务帐户时，您可以为该服务帐户授予所有权限，包括安装 OpenShift Container Platform 所需的权限。

如果机构的安全策略需要更严格的权限集，您可以创建具有所需权限的自定义角色。用户置备的基础架构需要以下权限来创建和删除 OpenShift Container Platform 集群。

重要

如果将 Cloud Credential Operator 配置为以 passthrough 模式运行，则必须使用角色而不是粒度权限。如需更多信息，请参阅 "Required GCP roles" 部分中的"Required roles for using passthrough credentials mode"。

例 9.26. 创建网络资源所需的权限

compute.addresses.create
compute.addresses.createInternal
compute.addresses.delete
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.addresses.useInternal
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.create
compute.forwardingRules.get
compute.forwardingRules.list
compute.forwardingRules.setLabels
compute.networks.create
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.routers.create
compute.routers.get
compute.routers.list
compute.routers.update
compute.routes.list
compute.subnetworks.create
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp

例 9.27. 创建负载均衡器资源所需的权限

compute.regionBackendServices.create
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionBackendServices.update
compute.regionBackendServices.use
compute.targetPools.addInstance
compute.targetPools.create
compute.targetPools.get
compute.targetPools.list
compute.targetPools.removeInstance
compute.targetPools.use

例 9.28. 创建 DNS 资源所需的权限

dns.changes.create
dns.changes.get
dns.managedZones.create
dns.managedZones.get
dns.managedZones.list
dns.networks.bindPrivateDNSZone
dns.resourceRecordSets.create
dns.resourceRecordSets.list
dns.resourceRecordSets.update

例 9.29. 创建服务帐户资源所需的权限

iam.serviceAccountKeys.create
iam.serviceAccountKeys.delete
iam.serviceAccountKeys.get
iam.serviceAccountKeys.list
iam.serviceAccounts.actAs
iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

例 9.30. 创建计算资源所需的权限

compute.disks.create
compute.disks.get
compute.disks.list
compute.instanceGroups.create
compute.instanceGroups.delete
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.create
compute.instances.delete
compute.instances.get
compute.instances.list
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setServiceAccount
compute.instances.setTags
compute.instances.use
compute.machineTypes.get
compute.machineTypes.list

例 9.31. 创建存储资源需要

storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list

例 9.32. 创建健康检查资源所需的权限

compute.healthChecks.create
compute.healthChecks.get
compute.healthChecks.list
compute.healthChecks.useReadOnly
compute.httpHealthChecks.create
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpHealthChecks.useReadOnly

例 9.33. 获取 GCP 区域和区域相关信息所需的权限

compute.globalOperations.get
compute.regionOperations.get
compute.regions.list
compute.zoneOperations.get
compute.zones.get
compute.zones.list

例 9.34. 检查服务和配额所需的权限

monitoring.timeSeries.list
serviceusage.quotas.get
serviceusage.services.list

例 9.35. 安装所需的 IAM 权限

iam.roles.get

例 9.36. 安装所需的镜像权限

compute.images.create
compute.images.delete
compute.images.get
compute.images.list

例 9.37. 运行收集 bootstrap 的可选权限

compute.instances.getSerialPortOutput

例 9.38. 删除网络资源所需的权限

compute.addresses.delete
compute.addresses.deleteInternal
compute.addresses.list
compute.firewalls.delete
compute.firewalls.list
compute.forwardingRules.delete
compute.forwardingRules.list
compute.networks.delete
compute.networks.list
compute.networks.updatePolicy
compute.routers.delete
compute.routers.list
compute.routes.list
compute.subnetworks.delete
compute.subnetworks.list

例 9.39. 删除负载均衡器资源所需的权限

compute.regionBackendServices.delete
compute.regionBackendServices.list
compute.targetPools.delete
compute.targetPools.list

例 9.40. 删除 DNS 资源所需的权限

dns.changes.create
dns.managedZones.delete
dns.managedZones.get
dns.managedZones.list
dns.resourceRecordSets.delete
dns.resourceRecordSets.list

例 9.41. 删除服务帐户资源所需的权限

iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy

例 9.42. 删除计算资源所需的权限

compute.disks.delete
compute.disks.list
compute.instanceGroups.delete
compute.instanceGroups.list
compute.instances.delete
compute.instances.list
compute.instances.stop
compute.machineTypes.list

例 9.43. 删除存储资源需要

storage.buckets.delete
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.delete
storage.objects.list

例 9.44. 删除健康检查资源所需的权限

compute.healthChecks.delete
compute.healthChecks.list
compute.httpHealthChecks.delete
compute.httpHealthChecks.list

例 9.45. 删除所需的镜像权限

compute.images.delete
compute.images.list

例 9.46. 获取区域相关信息所需的权限

compute.regions.get

例 9.47. 所需的 Deployment Manager 权限

deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.get
deploymentmanager.operations.get
deploymentmanager.resources.list

其他资源

优化存储

9.11.4.8. 支持的 GCP 区域

您可以将 OpenShift Container Platform 集群部署到以下 Google Cloud Platform(GCP)区域：

asia-east1 (Changhua County, Taiwan)
asia-east2 (Hong Kong)
asia-northeast1 (Tokyo, Japan)
asia-northeast2 (Osaka, Japan)
asia-northeast3 (Seoul, South Korea)
asia-south1 (Mumbai, India)
asia-south2 (Delhi, India)
asia-southeast1 (Jurong West, Singapore)
asia-southeast2 (Jakarta, Indonesia)
aia-southeast1( Sydney, Australia)
australia-southeast2 (Melbourne, Australia)
europe-central2 (Warsaw, USA)
europe-north1 (Hamina, Finland)
europe-southwest1 (Madrid, Spain)
europe-west1 (St. Ghislain, Belgium)
europe-west2 (London, England, UK)
europe-west3 (Frankfurt, Germany)
europe-west4 (Eemshaven, Netherlands)
europe-west6 (Zürich, Switzerland)
europe-west8 (Milan, Italy)
europe-west9 (Paris, France)
europe-west12 (Turin, Italy)
me-central1 (Doha, Qatar, Middle East)
me-west1 (Tel Aviv, Israel)
northamerica-northeast1 (Montréal, Québec, Canada)
northamerica-northeast2 (Toronto, Ontario, Canada)
southamerica-east1 (São Paulo, Brazil)
southamerica-west1 (Santiago, Chile)
us-central1 (Council Bluffs, Iowa, USA)
us-east1 (Moncks Corner, South Carolina, USA)
us-east4 (Ashburn, North Virginia, USA)
us-east5 (Columbus, Ohio)
us-south1 (Dallas, Texas)
us-west1 (The Dalles, Oregon, USA)
us-west2 (Los Angeles, California, USA)
us-west3 (Salt Lake City, Utah, USA)
us-west4 (Las Vegas, Nevada, USA)

注意

要确定地区和区域中可以使用哪些机器类型实例，请参阅 Google 文档。

9.11.4.9. 为 GCP 安装和配置 CLI 工具

要使用用户置备的基础架构在 Google Cloud Platform(GCP)上安装 OpenShift Container Platform，您必须为 GCP 安装和配置 CLI 工具。

先决条件

已创建一个项目来托管集群。
您创建了服务帐户并授予其所需的权限。

流程

在 $PATH 中安装以下二进制文件：
- gcloud
- gsutil
请参阅 GCP 文档中的安装最新的 Cloud SDK 版本。
使用 gcloud 工具及您配置的服务帐户进行身份验证。
请参阅 GCP 文档中的使用服务帐户授权。

9.11.5. 具有用户置备基础架构的集群的要求

对于包含用户置备的基础架构的集群，您必须部署所有所需的机器。

本节论述了在用户置备的基础架构上部署 OpenShift Container Platform 的要求。

9.11.5.1. 集群安装所需的机器

最小的 OpenShift Container Platform 集群需要以下主机：

表 9.45. 最低所需的主机

主机	描述
一个临时 bootstrap 机器	集群需要 bootstrap 机器在三台 control plane 机器上部署 OpenShift Container Platform 集群。您可在安装集群后删除 bootstrap 机器。
三台 control plane 机器	control plane 机器运行组成 control plane 的 Kubernetes 和 OpenShift Container Platform 服务。
至少两台计算机器，也称为 worker 机器。	OpenShift Container Platform 用户请求的工作负载在计算机器上运行。

重要

要保持集群的高可用性，请将独立的物理主机用于这些集群机器。

bootstrap 和 control plane 机器必须使用 Red Hat Enterprise Linux CoreOS(RHCOS)作为操作系统。但是，计算机器可以在 Red Hat Enterprise Linux CoreOS(RHCOS)、Red Hat Enterprise Linux(RHEL) 8.6 和更高的版本。

请注意，RHCOS 基于 Red Hat Enterprise Linux(RHEL)8，并继承其所有硬件认证和要求。查看红帽企业 Linux 技术功能和限制。

9.11.5.2. 集群安装的最低资源要求

每台集群机器都必须满足以下最低要求：

表 9.46. 最低资源要求

机器	操作系统	vCPU ^[1]	虚拟内存	Storage	每秒输入/输出 (IOPS) ^[2]
bootstrap	RHCOS	4	16 GB	100 GB	300
Control plane（控制平面）	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 及更新版本 ^[3]	2	8 GB	100 GB	300

当未启用并发多线程(SMT)或超线程时，一个 vCPU 相当于一个物理内核。启用后，使用以下公式来计算对应的比例：（每个内核数的线程）× sockets = vCPU。
OpenShift Container Platform 和 Kubernetes 对磁盘性能非常敏感，建议使用更快的存储速度，特别是 control plane 节点上需要 10 ms p99 fsync 持续时间的 etcd。请注意，在许多云平台上，存储大小和 IOPS 可一起扩展，因此您可能需要过度分配存储卷来获取足够的性能。
与所有用户置备的安装一样，如果您选择在集群中使用 RHEL 计算机器，则负责所有操作系统生命周期管理和维护，包括执行系统更新、应用补丁和完成所有其他必要的任务。RHEL 7 计算机器的使用已弃用，并已在 OpenShift Container Platform 4.10 及更新的版本中删除。

如果平台的实例类型满足集群机器的最低要求，则 OpenShift Container Platform 支持使用它。

其他资源

优化存储

9.11.5.3. 为 GCP 测试的实例类型

以下 Google Cloud Platform 实例类型已使用 OpenShift Container Platform 测试。

例 9.48. 机器系列

A2
C2
C2D
C3
E2
M1
N1
N2
N2D
Tau T2D

9.11.5.4. 使用自定义机器类型

支持使用自定义机器类型来安装 OpenShift Container Platform 集群。

使用自定义机器类型时请考虑以下几点：

与预定义的实例类型类似，自定义机器类型必须满足 control plane 和计算机器的最低资源要求。如需更多信息，请参阅"集群安装的资源要求"。
自定义机器类型的名称必须遵循以下语法：
custom-<number_of_cpus>-<amount_of_memory_in_mb>
例如，custom-6-20480。

9.11.6. 为 GCP 创建安装文件

要使用用户置备的基础架构在 Google Cloud Platform(GCP)上安装 OpenShift Container Platform，您必须生成安装程序部署集群所需的文件，并进行修改，以便集群只创建要使用的机器。您可以生成并自定义 install-config.yaml 文件、Kubernetes 清单和 Ignition 配置文件。您还可以选择在安装准备阶段首先设置独立 var 分区。

9.11.6.1. 可选：创建独立 `/var` 分区

建议安装程序将 OpenShift Container Platform 的磁盘分区保留给安装程序。然而，在有些情况下您可能需要在文件系统的一部分中创建独立分区。

OpenShift Container Platform 支持添加单个分区来将存储附加到 /var 分区或 /var 的子目录中。例如：

/var/lib/containers ：保存随着系统中添加更多镜像和容器而增长的容器相关内容。
/var/lib/etcd ：保存您可能希望独立保留的数据，比如 etcd 存储的性能优化。
/var ：保存您可能希望独立保留的数据，以满足审计等目的。

通过单独存储 /var 目录的内容，可以更轻松地根据需要为区域扩展存储，并在以后重新安装 OpenShift Container Platform，并保持该数据的完整性。使用这个方法，您不必再次拉取所有容器，在更新系统时也不必复制大量日志文件。

因为 /var 在进行一个全新的 Red Hat Enterprise Linux CoreOS（RHCOS）安装前必需存在，所以这个流程会在 OpenShift Container Platform 安装过程的 openshift-install 准备阶段插入一个创建的机器配置清单的机器配置来设置独立的 /var 分区。

重要

如果按照以下步骤在此流程中创建独立 /var 分区，则不需要再次创建 Kubernetes 清单和 Ignition 配置文件，如本节所述。

流程

创建存放 OpenShift Container Platform 安装文件的目录：
```
$ mkdir $HOME/clusterconfig
```

运行 openshift-install，以在 manifest 和 openshift 子目录中创建一组文件。在系统提示时回答系统问题：

$ openshift-install create manifests --dir $HOME/clusterconfig

输出示例

? SSH Public Key ...
INFO Credentials loaded from the "myprofile" profile in file "/home/myuser/.aws/credentials"
INFO Consuming Install Config from target directory
INFO Manifests created in: $HOME/clusterconfig/manifests and $HOME/clusterconfig/openshift

可选：确认安装程序在 clusterconfig/openshift 目录中创建了清单：

$ ls $HOME/clusterconfig/openshift/

输出示例

99_kubeadmin-password-secret.yaml
99_openshift-cluster-api_master-machines-0.yaml
99_openshift-cluster-api_master-machines-1.yaml
99_openshift-cluster-api_master-machines-2.yaml
...

创建用于配置额外分区的 Butane 配置。例如，将文件命名为 $HOME/clusterconfig/98-var-partition.bu，将磁盘设备名称改为 worker 系统上存储设备的名称，并根据情况设置存储大小。这个示例将 /var 目录放在一个单独的分区中：
```
variant: openshift
version: 4.12.0
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker
  name: 98-var-partition
storage:
  disks:
  - device: /dev/<device_name> 1
    partitions:
    - label: var
      start_mib: <partition_start_offset> 2
      size_mib: <partition_size> 3
      number: 5
  filesystems:
    - device: /dev/disk/by-partlabel/var
      path: /var
      format: xfs
      mount_options: [defaults, prjquota] 4
      with_mount_unit: true
```
1
要分区的磁盘的存储设备名称。
2
在引导磁盘中添加数据分区时，推荐最少使用 25000 MiB(Mebibytes)。root 文件系统会自动调整大小以填充所有可用空间（最多到指定的偏移值）。如果没有指定值，或者指定的值小于推荐的最小值，则生成的 root 文件系统会太小，而在以后进行的 RHCOS 重新安装可能会覆盖数据分区的开始部分。
3
以兆字节为单位的数据分区大小。
4
对于用于容器存储的文件系统，必须启用 prjquota 挂载选项。
注意
当创建单独的 /var 分区时，如果不同的实例类型没有相同的设备名称，则无法为 worker 节点使用不同的实例类型。
从 Butane 配置创建一个清单，并将它保存到 clusterconfig/openshift 目录中。例如，运行以下命令：
```
$ butane $HOME/clusterconfig/98-var-partition.bu -o $HOME/clusterconfig/openshift/98-var-partition.yaml
```

再次运行 openshift-install，从 manifest 和 openshift 子目录中的一组文件创建 Ignition 配置：

$ openshift-install create ignition-configs --dir $HOME/clusterconfig
$ ls $HOME/clusterconfig/
auth  bootstrap.ign  master.ign  metadata.json  worker.ign

现在，您可以使用 Ignition 配置文件作为安装程序的输入来安装 Red Hat Enterprise Linux CoreOS(RHCOS)系统。

9.11.6.2. 创建安装配置文件

您可以自定义在 Google Cloud Platform(GCP)上安装的 OpenShift Container Platform 集群。

先决条件

获取 OpenShift Container Platform 安装程序和集群的 pull secret。
在订阅级别获取服务主体权限。

流程

创建 install-config.yaml 文件。
1. 进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  对于 <installation_directory>，请指定要存储安装程序创建的文件的目录名称。
  在指定目录时：
  - 验证该目录是否具有执行权限。在安装目录中运行 Terraform 二进制文件需要这个权限。
  - 使用空目录。有些安装资产，如 bootstrap X.509 证书的过期间隔较短，因此不得重复使用安装目录。如果要重复使用另一个集群安装中的单个文件，您可以将它们复制到您的目录中。但是，安装资产的文件名可能会在发行版本间有所变化。从以前的 OpenShift Container Platform 版本中复制安装文件时请小心。
2. 在提示符处，提供云的配置详情：
  1. 可选：选择用于访问集群机器的 SSH 密钥。
    注意
    对于您要在其上执行安装调试或灾难恢复的生产环境 OpenShift Container Platform 集群，请指定 ssh-agent 进程使用的 SSH 密钥。
  2. 选择 gcp 作为目标平台。
  3. 如果您没有为计算机上的 GCP 帐户配置服务帐户密钥，则必须从 GCP 获取它，并粘贴文件的内容或输入文件的绝对路径。
  4. 选择要在其中置备集群的项目 ID。默认值由您配置的服务帐户指定。
  5. 选择要将集群部署到的区域。
  6. 选择集群要部署到的基域。基域与您为集群创建的公共 DNS 区对应。
  7. 为集群输入描述性名称。
  8. 粘贴 Red Hat OpenShift Cluster Manager 中的 pull secret。
3. 可选：如果您不希望集群置备计算机器，请通过编辑 install-config.yaml 文件将计算池的 replicas 设置为 0 来清空 计算 池：
```
compute:
- hyperthreading: Enabled
  name: worker
  platform: {}
  replicas: 0 1
```
  1
  设置为 0。
修改 install-config.yaml 文件。您可以在"安装配置参数"部分找到有关可用参数的更多信息。
备份 install-config.yaml 文件，以便您可以使用它安装多个集群。
重要
install-config.yaml 文件会在安装过程中消耗掉。如果要重复使用该文件，您必须立即备份该文件。

9.11.6.3. 在安装过程中配置集群范围的代理

生产环境可能会拒绝直接访问互联网，而是提供 HTTP 或 HTTPS 代理。您可以通过在 install-config.yaml 文件中配置代理设置，将新的 OpenShift Container Platform 集群配置为使用代理。

先决条件

您有一个现有的 install-config.yaml 文件。
您检查了集群需要访问的站点，并确定它们中的任何站点是否需要绕过代理。默认情况下，所有集群出口流量都经过代理，包括对托管云供应商 API 的调用。如果需要，您将在 Proxy 对象的 spec.noProxy 字段中添加站点来绕过代理。
注意
Proxy 对象 status.noProxy 字段使用安装配置中的 networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr 和 networking.serviceNetwork[] 字段的值填充。
对于在 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 Red Hat OpenStack Platform(RHOSP)上安装，Proxy 对象 status.noProxy 字段也会使用实例元数据端点填充(169.254.169.254)。

流程

编辑 install-config.yaml 文件并添加代理设置。例如：
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
用于创建集群外 HTTP 连接的代理 URL。URL 方案必须是 http。
2
用于创建集群外 HTTPS 连接的代理 URL。
3
要从代理中排除的目标域名、IP 地址或其他网络 CIDR 的逗号分隔列表。在域前面加上 . 以仅匹配子域。例如，.y.com 匹配 x.y.com，但不匹配 y.com。使用 * 绕过所有目的地的代理。
4
如果提供，安装程序会在 openshift-config 命名空间中生成名为 user-ca-bundle 的配置映射，其包含代理 HTTPS 连接所需的一个或多个额外 CA 证书。然后，Cluster Network Operator 会创建 trusted-ca-bundle 配置映射，将这些内容与 Red Hat Enterprise Linux CoreOS（RHCOS）信任捆绑包合并， Proxy 对象的 trustedCA 字段中也会引用此配置映射。additionalTrustBundle 字段是必需的，除非代理的身份证书由来自 RHCOS 信任捆绑包的颁发机构签名。
5
可选：决定 Proxy 对象的配置以引用 trustedCA 字段中 user-ca-bundle 配置映射的策略。允许的值是 Proxyonly 和 Always。仅在配置了 http/https 代理时，使用 Proxyonly 引用 user-ca-bundle 配置映射。使用 Always 始终引用 user-ca-bundle 配置映射。默认值为 Proxyonly。
注意
安装程序不支持代理的 readinessEndpoints 字段。
注意
如果安装程序超时，重启并使用安装程序的 wait-for 命令完成部署。例如：
```
$ ./openshift-install wait-for install-complete --log-level debug
```
保存该文件并在安装 OpenShift Container Platform 时引用。

安装程序会创建一个名为 cluster 的集群范围代理，该代理 使用 提供的 install-config.yaml 文件中的代理设置。如果没有提供代理设置，仍然会创建一个 cluster Proxy 对象，但它会有一个空 spec。

注意

只支持名为 cluster 的 Proxy 对象，且无法创建额外的代理。

9.11.6.4. 创建 Kubernetes 清单和 Ignition 配置文件

由于您必须修改一些集群定义文件并手动启动集群机器，因此您必须生成 Kubernetes 清单和 Ignition 配置文件来配置机器。

安装配置文件转换为 Kubernetes 清单。清单嵌套到 Ignition 配置文件中，稍后用于配置集群机器。

重要

OpenShift Container Platform 安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

先决条件

已获得 OpenShift Container Platform 安装程序。
已创建 install-config.yaml 安装配置文件。

流程

进入包含 OpenShift Container Platform 安装程序的目录，并为集群生成 Kubernetes 清单：
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定包含您创建的 install-config.yaml 文件的安装目录。
删除定义 control plane 机器的 Kubernetes 清单文件：
```
$ rm -f <installation_directory>/openshift/99_openshift-cluster-api_master-machines-*.yaml
```
通过删除这些文件，您可以防止集群自动生成 control plane 机器。
可选：如果您不希望集群置备计算机器，请删除定义 worker 机器的 Kubernetes 清单文件：
```
$ rm -f <installation_directory>/openshift/99_openshift-cluster-api_worker-machineset-*.yaml
```
由于您要自行创建和管理 worker 机器，因此不需要初始化这些机器。
检查 <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 清单文件中的 mastersSchedulable 参数是否已设置为 false。此设置可防止在 control plane 机器上调度 pod：
1. 打开 <installation_directory>/manifests/cluster-scheduler-02-config.yml 文件。
2. 找到 mastersSchedulable 参数，并确保它被设置为 false。
3. 保存并退出文件。
可选：如果您不希望 Ingress Operator 代表您创建 DNS 记录，请删除 <installation_directory>/manifests/cluster-dns-02-config.yml DNS 配置文件中的 privateZone 和 publicZone 部分：
```
apiVersion: config.openshift.io/v1
kind: DNS
metadata:
  creationTimestamp: null
  name: cluster
spec:
  baseDomain: example.openshift.com
  privateZone: 1
    id: mycluster-100419-private-zone
  publicZone: 2
    id: example.openshift.com
status: {}
```
1 2
完全删除此部分。
如果这样做，您必须在后续步骤中手动添加入口 DNS 记录。
要创建 Ignition 配置文件，请从包含安装程序的目录运行以下命令：
```
$ ./openshift-install create ignition-configs --dir <installation_directory> 1
```
1
对于 <installation_directory>，请指定相同的安装目录。
为安装目录中的 bootstrap、control plane 和计算节点创建 Ignition 配置文件。kubeadmin-password 和 kubeconfig 文件在 ./<installation_directory>/auth 目录中创建：
```
.
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign
```

其他资源

可选：添加入口 DNS 记录

9.11.7. 导出常用变量

9.11.7.1. 提取基础架构名称

Ignition 配置文件包含一个唯一集群标识符，您可以使用它在 Google Cloud Platform(GCP)中唯一地标识您的集群。基础架构名称还用于在 OpenShift Container Platform 安装过程中定位适当的 GCP 资源。提供的 Deployment Manager 模板包含对此基础架构名称的引用，因此您必须提取它。

先决条件

已获取 OpenShift Container Platform 安装程序和集群的 pull secret。
已为集群生成 Ignition 配置文件。
已安装 jq 软件包。

流程

要从 Ignition 配置文件元数据中提取和查看基础架构名称，请运行以下命令：
```
$ jq -r .infraID <installation_directory>/metadata.json 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
输出示例
```
openshift-vw9j6 1
```
1
此命令的输出是您的集群名称和随机字符串。

9.11.7.2. 为 Deployment Manager 模板导出常用变量

您必须导出与提供的 Deployment Manager 模板一起使用的一组常用变量，它们有助于在 Google Cloud Platform(GCP)上完成用户提供的基础架构安装。

注意

特定的 Deployment Manager 模板可能还需要其他导出变量，这些变量在相关程序中详细介绍。

先决条件

获取 OpenShift Container Platform 安装程序和集群的 pull secret。
为集群生成 Ignition 配置文件。
安装 jq 软件包。

流程

导出由提供的 Deployment Manager 模板使用的以下常用变量：

$ export BASE_DOMAIN='<base_domain>'
$ export BASE_DOMAIN_ZONE_NAME='<base_domain_zone_name>'
$ export NETWORK_CIDR='10.0.0.0/16'
$ export MASTER_SUBNET_CIDR='10.0.0.0/17'
$ export WORKER_SUBNET_CIDR='10.0.128.0/17'

$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
$ export CLUSTER_NAME=`jq -r .clusterName <installation_directory>/metadata.json`
$ export INFRA_ID=`jq -r .infraID <installation_directory>/metadata.json`
$ export PROJECT_NAME=`jq -r .gcp.projectID <installation_directory>/metadata.json`
$ export REGION=`jq -r .gcp.region <installation_directory>/metadata.json`

1: 对于 <installation_directory>，请指定安装文件保存到的目录的路径。

9.11.8. 在 GCP 中创建 VPC

您必须在 Google Cloud Platform(GCP)中创建一个 VPC，供您的 OpenShift Container Platform 集群使用。您可以自定义 VPC 来满足您的要求。创建 VPC 的一种方法是修改提供的 Deployment Manager 模板。

注意

如果不使用提供的 Deployment Manager 模板来创建 GCP 基础架构，您必须检查提供的信息并手动创建基础架构。如果您的集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。

流程

复制 VPC 的 Deployment Manager 模板一节中的模板， 并将它以 01_vpc.py 形式保存到计算机上。此模板描述了集群所需的 VPC。

创建 01_vpc.yaml 资源定义文件：

$ cat <<EOF >01_vpc.yaml
imports:
- path: 01_vpc.py

resources:
- name: cluster-vpc
  type: 01_vpc.py
  properties:
    infra_id: '${INFRA_ID}' 1
    region: '${REGION}' 2
    master_subnet_cidr: '${MASTER_SUBNET_CIDR}' 3
    worker_subnet_cidr: '${WORKER_SUBNET_CIDR}' 4
EOF

1: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
2: region 是集群要部署到的区域，如 us-central1。
3: master_subnet_cidr 是 master 子网的 CIDR，如 10.0.0.0/17。
4: worker_subnet_cidr 是 worker 子网的 CIDR，例如 10.0.128.0/17。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-vpc --config 01_vpc.yaml

9.11.8.1. VPC 的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的 VPC：

例 9.49. 01_VPC.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-network',
        'type': 'compute.v1.network',
        'properties': {
            'region': context.properties['region'],
            'autoCreateSubnetworks': False
        }
    }, {
        'name': context.properties['infra_id'] + '-master-subnet',
        'type': 'compute.v1.subnetwork',
        'properties': {
            'region': context.properties['region'],
            'network': '$(ref.' + context.properties['infra_id'] + '-network.selfLink)',
            'ipCidrRange': context.properties['master_subnet_cidr']
        }
    }, {
        'name': context.properties['infra_id'] + '-worker-subnet',
        'type': 'compute.v1.subnetwork',
        'properties': {
            'region': context.properties['region'],
            'network': '$(ref.' + context.properties['infra_id'] + '-network.selfLink)',
            'ipCidrRange': context.properties['worker_subnet_cidr']
        }
    }, {
        'name': context.properties['infra_id'] + '-router',
        'type': 'compute.v1.router',
        'properties': {
            'region': context.properties['region'],
            'network': '$(ref.' + context.properties['infra_id'] + '-network.selfLink)',
            'nats': [{
                'name': context.properties['infra_id'] + '-nat-master',
                'natIpAllocateOption': 'AUTO_ONLY',
                'minPortsPerVm': 7168,
                'sourceSubnetworkIpRangesToNat': 'LIST_OF_SUBNETWORKS',
                'subnetworks': [{
                    'name': '$(ref.' + context.properties['infra_id'] + '-master-subnet.selfLink)',
                    'sourceIpRangesToNat': ['ALL_IP_RANGES']
                }]
            }, {
                'name': context.properties['infra_id'] + '-nat-worker',
                'natIpAllocateOption': 'AUTO_ONLY',
                'minPortsPerVm': 512,
                'sourceSubnetworkIpRangesToNat': 'LIST_OF_SUBNETWORKS',
                'subnetworks': [{
                    'name': '$(ref.' + context.properties['infra_id'] + '-worker-subnet.selfLink)',
                    'sourceIpRangesToNat': ['ALL_IP_RANGES']
                }]
            }]
        }
    }]

    return {'resources': resources}

9.11.9. 用户置备的基础架构对网络的要求

所有 Red Hat Enterprise Linux CoreOS(RHCOS)机器都需要在启动时在 initramfs 中配置联网，以获取它们的 Ignition 配置文件。

9.11.9.1. 通过 DHCP 设置集群节点主机名

在 Red Hat Enterprise Linux CoreOS(RHCOS)机器上，主机名是通过 NetworkManager 设置的。默认情况下，机器通过 DHCP 获取其主机名。如果主机名不是由 DHCP 提供，请通过内核参数或者其它方法进行静态设置，请通过反向 DNS 查找获取。反向 DNS 查找在网络初始化后进行，可能需要一些时间来解决。其他系统服务可以在此之前启动，并将主机名检测为 localhost 或类似的内容。您可以使用 DHCP 为每个集群节点提供主机名来避免这种情况。

另外，通过 DHCP 设置主机名可以绕过实施 DNS split-horizon 的环境中的手动 DNS 记录名称配置错误。

9.11.9.2. 网络连接要求

您必须配置机器之间的网络连接，以允许 OpenShift Container Platform 集群组件进行通信。每台机器都必须能够解析集群中所有其他机器的主机名。

本节详细介绍了所需的端口。

重要

在连接的 OpenShift Container Platform 环境中，所有节点都需要访问互联网才能为平台容器拉取镜像，并向红帽提供遥测数据。

表 9.47. 用于全机器到所有机器通信的端口

协议	port	描述
ICMP	N/A	网络可访问性测试
TCP	`1936`	指标
	`9000`-`9999`	主机级别的服务，包括端口 9 `100`-`9101 上的节点导出器`，以及端口 `9099` 上的 Cluster Version Operator。
	`10250`-`10259`	Kubernetes 保留的默认端口
	`10256`	openshift-sdn
UDP	`4789`	VXLAN
	`6081`	Geneve
	`9000`-`9999`	主机级别的服务，包括端口 `9100`到`9101` 上的节点导出器。
	`500`	IPsec IKE 数据包
	`4500`	IPsec NAT-T 数据包
TCP/UDP	`30000`-`32767`	Kubernetes 节点端口
ESP	N/A	IPsec Encapsulating Security Payload(ESP)

表 9.48. 用于所有机器控制平面通信的端口

协议	port	描述
TCP	`6443`	Kubernetes API

表 9.49. control plane 机器用于 control plane 机器通信的端口

协议	port	描述
TCP	`2379`-`2380`	etcd 服务器和对等端口

9.11.10. 在 GCP 中创建负载均衡器

您必须在 Google Cloud Platform(GCP)中配置负载均衡器，供您的 OpenShift Container Platform 集群使用。创建这些组件的一种方法是修改提供的 Deployment Manager 模板。

注意

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。

流程

复制 内部负载均衡器的 Deployment Manager 模板一节中的模板，并将它以 02_lb_int.py 形式保存到计算机上。此模板描述了集群所需的内部负载均衡对象。
对于外部集群，还要复制本主题 的外部负载均衡器的 Deployment Manager 模板 一节中的模板，并将它以 02_lb_ext.py 形式保存到计算机上。此模板描述了集群所需的外部负载均衡对象。

导出部署模板使用的变量：

导出集群网络位置：

$ export CLUSTER_NETWORK=(`gcloud compute networks describe ${INFRA_ID}-network --format json | jq -r .selfLink`)

导出 control plane 子网位置：

$ export CONTROL_SUBNET=(`gcloud compute networks subnets describe ${INFRA_ID}-master-subnet --region=${REGION} --format json | jq -r .selfLink`)

导出集群使用的三个区：

$ export ZONE_0=(`gcloud compute regions describe ${REGION} --format=json | jq -r .zones[0] | cut -d "/" -f9`)

$ export ZONE_1=(`gcloud compute regions describe ${REGION} --format=json | jq -r .zones[1] | cut -d "/" -f9`)

$ export ZONE_2=(`gcloud compute regions describe ${REGION} --format=json | jq -r .zones[2] | cut -d "/" -f9`)

创建 02_infra.yaml 资源定义文件：

$ cat <<EOF >02_infra.yaml
imports:
- path: 02_lb_ext.py
- path: 02_lb_int.py 1
resources:
- name: cluster-lb-ext 2
  type: 02_lb_ext.py
  properties:
    infra_id: '${INFRA_ID}' 3
    region: '${REGION}' 4
- name: cluster-lb-int
  type: 02_lb_int.py
  properties:
    cluster_network: '${CLUSTER_NETWORK}'
    control_subnet: '${CONTROL_SUBNET}' 5
    infra_id: '${INFRA_ID}'
    region: '${REGION}'
    zones: 6
    - '${ZONE_0}'
    - '${ZONE_1}'
    - '${ZONE_2}'
EOF

1 2: 仅在部署外部集群时需要。
3: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
4: region 是集群要部署到的区域，如 us-central1。
5: control_subnet 是控制子网的 URI。
6: zones 是 control plane 实例要部署到的区域，如 us-east1-b、us-east1-c 和 us-east1-d。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-infra --config 02_infra.yaml

导出集群 IP 地址：

$ export CLUSTER_IP=(`gcloud compute addresses describe ${INFRA_ID}-cluster-ip --region=${REGION} --format json | jq -r .address`)

对于外部集群，还要导出集群公共 IP 地址：

$ export CLUSTER_PUBLIC_IP=(`gcloud compute addresses describe ${INFRA_ID}-cluster-public-ip --region=${REGION} --format json | jq -r .address`)

9.11.10.1. 外部负载均衡器的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的外部负载均衡器：

例 9.50. 02_lb_ext.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-cluster-public-ip',
        'type': 'compute.v1.address',
        'properties': {
            'region': context.properties['region']
        }
    }, {
        # Refer to docs/dev/kube-apiserver-health-check.md on how to correctly setup health check probe for kube-apiserver
        'name': context.properties['infra_id'] + '-api-http-health-check',
        'type': 'compute.v1.httpHealthCheck',
        'properties': {
            'port': 6080,
            'requestPath': '/readyz'
        }
    }, {
        'name': context.properties['infra_id'] + '-api-target-pool',
        'type': 'compute.v1.targetPool',
        'properties': {
            'region': context.properties['region'],
            'healthChecks': ['$(ref.' + context.properties['infra_id'] + '-api-http-health-check.selfLink)'],
            'instances': []
        }
    }, {
        'name': context.properties['infra_id'] + '-api-forwarding-rule',
        'type': 'compute.v1.forwardingRule',
        'properties': {
            'region': context.properties['region'],
            'IPAddress': '$(ref.' + context.properties['infra_id'] + '-cluster-public-ip.selfLink)',
            'target': '$(ref.' + context.properties['infra_id'] + '-api-target-pool.selfLink)',
            'portRange': '6443'
        }
    }]

    return {'resources': resources}

9.11.10.2. 内部负载均衡器的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的内部负载均衡器：

例 9.51. 02_lb_int.py Deployment Manager 模板

def GenerateConfig(context):

    backends = []
    for zone in context.properties['zones']:
        backends.append({
            'group': '$(ref.' + context.properties['infra_id'] + '-master-' + zone + '-ig' + '.selfLink)'
        })

    resources = [{
        'name': context.properties['infra_id'] + '-cluster-ip',
        'type': 'compute.v1.address',
        'properties': {
            'addressType': 'INTERNAL',
            'region': context.properties['region'],
            'subnetwork': context.properties['control_subnet']
        }
    }, {
        # Refer to docs/dev/kube-apiserver-health-check.md on how to correctly setup health check probe for kube-apiserver
        'name': context.properties['infra_id'] + '-api-internal-health-check',
        'type': 'compute.v1.healthCheck',
        'properties': {
            'httpsHealthCheck': {
                'port': 6443,
                'requestPath': '/readyz'
            },
            'type': "HTTPS"
        }
    }, {
        'name': context.properties['infra_id'] + '-api-internal-backend-service',
        'type': 'compute.v1.regionBackendService',
        'properties': {
            'backends': backends,
            'healthChecks': ['$(ref.' + context.properties['infra_id'] + '-api-internal-health-check.selfLink)'],
            'loadBalancingScheme': 'INTERNAL',
            'region': context.properties['region'],
            'protocol': 'TCP',
            'timeoutSec': 120
        }
    }, {
        'name': context.properties['infra_id'] + '-api-internal-forwarding-rule',
        'type': 'compute.v1.forwardingRule',
        'properties': {
            'backendService': '$(ref.' + context.properties['infra_id'] + '-api-internal-backend-service.selfLink)',
            'IPAddress': '$(ref.' + context.properties['infra_id'] + '-cluster-ip.selfLink)',
            'loadBalancingScheme': 'INTERNAL',
            'ports': ['6443','22623'],
            'region': context.properties['region'],
            'subnetwork': context.properties['control_subnet']
        }
    }]

    for zone in context.properties['zones']:
        resources.append({
            'name': context.properties['infra_id'] + '-master-' + zone + '-ig',
            'type': 'compute.v1.instanceGroup',
            'properties': {
                'namedPorts': [
                    {
                        'name': 'ignition',
                        'port': 22623
                    }, {
                        'name': 'https',
                        'port': 6443
                    }
                ],
                'network': context.properties['cluster_network'],
                'zone': zone
            }
        })

    return {'resources': resources}

创建外部集群时，除了 02_lb_ext.py 模板外，还需要此模板。

9.11.11. 在 GCP 中创建私有 DNS 区域

您必须在 Google Cloud Platform(GCP)中配置私有 DNS 区，供您的 OpenShift Container Platform 集群使用。创建此组件的一种方法是修改提供的 Deployment Manager 模板。

注意

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。

流程

复制 私有 DNS 的 Deployment Manager 模板 一节中的模板，并将它以 02_dns.py 形式保存到计算机上。此模板描述了集群所需的私有 DNS 对象。

创建 02_dns.yaml 资源定义文件：

$ cat <<EOF >02_dns.yaml
imports:
- path: 02_dns.py

resources:
- name: cluster-dns
  type: 02_dns.py
  properties:
    infra_id: '${INFRA_ID}' 1
    cluster_domain: '${CLUSTER_NAME}.${BASE_DOMAIN}' 2
    cluster_network: '${CLUSTER_NETWORK}' 3
EOF

1: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
2: cluster_domain 是集群的域，如 openshift.example.com。
3: cluster_network 是集群网络的 selfLink URL。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-dns --config 02_dns.yaml

由于 Deployment Manager 的限制，模板不会创建 DNS 条目，因此您必须手动创建它们：

添加内部 DNS 条目：

$ if [ -f transaction.yaml ]; then rm transaction.yaml; fi
$ gcloud dns record-sets transaction start --zone ${INFRA_ID}-private-zone
$ gcloud dns record-sets transaction add ${CLUSTER_IP} --name api.${CLUSTER_NAME}.${BASE_DOMAIN}. --ttl 60 --type A --zone ${INFRA_ID}-private-zone
$ gcloud dns record-sets transaction add ${CLUSTER_IP} --name api-int.${CLUSTER_NAME}.${BASE_DOMAIN}. --ttl 60 --type A --zone ${INFRA_ID}-private-zone
$ gcloud dns record-sets transaction execute --zone ${INFRA_ID}-private-zone

对于外部集群，还要添加外部 DNS 条目：

$ if [ -f transaction.yaml ]; then rm transaction.yaml; fi
$ gcloud dns record-sets transaction start --zone ${BASE_DOMAIN_ZONE_NAME}
$ gcloud dns record-sets transaction add ${CLUSTER_PUBLIC_IP} --name api.${CLUSTER_NAME}.${BASE_DOMAIN}. --ttl 60 --type A --zone ${BASE_DOMAIN_ZONE_NAME}
$ gcloud dns record-sets transaction execute --zone ${BASE_DOMAIN_ZONE_NAME}

9.11.11.1. 私有 DNS 的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的私有 DNS：

例 9.52. 02_DNS.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-private-zone',
        'type': 'dns.v1.managedZone',
        'properties': {
            'description': '',
            'dnsName': context.properties['cluster_domain'] + '.',
            'visibility': 'private',
            'privateVisibilityConfig': {
                'networks': [{
                    'networkUrl': context.properties['cluster_network']
                }]
            }
        }
    }]

    return {'resources': resources}

9.11.12. 在 GCP 中创建防火墙规则

您必须在 Google Cloud Platform(GCP)中创建防火墙规则，供您的 OpenShift Container Platform 集群使用。创建这些组件的一种方法是修改提供的 Deployment Manager 模板。

注意

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。

流程

复制 防火墙规则的 Deployment Manager 模板一节中的模板，并将它以 03_firewall.py 形式保存到计算机上。此模板描述了集群所需的安全组。
创建 03_firewall.yaml 资源定义文件：
```
$ cat <<EOF >03_firewall.yaml
imports:
- path: 03_firewall.py

resources:
- name: cluster-firewall
  type: 03_firewall.py
  properties:
    allowed_external_cidr: '0.0.0.0/0' 1
    infra_id: '${INFRA_ID}' 2
    cluster_network: '${CLUSTER_NETWORK}' 3
    network_cidr: '${NETWORK_CIDR}' 4
EOF
```
1
allowed_external_cidr 是 CIDR 范围，可访问集群 API 和 SSH 到 bootstrap 主机。对于内部集群，将此值设置为 ${NETWORK_CIDR}。
2
INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
3
cluster_network 是集群网络的 selfLink URL。
4
NETWORK_CIDR 是 VPC 网络的 CIDR，如 10.0.0.0/16。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-firewall --config 03_firewall.yaml

9.11.12.1. 防火墙规则的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的防火墙破坏：

例 9.53. 03_firewall.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-bootstrap-in-ssh',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'tcp',
                'ports': ['22']
            }],
            'sourceRanges': [context.properties['allowed_external_cidr']],
            'targetTags': [context.properties['infra_id'] + '-bootstrap']
        }
    }, {
        'name': context.properties['infra_id'] + '-api',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'tcp',
                'ports': ['6443']
            }],
            'sourceRanges': [context.properties['allowed_external_cidr']],
            'targetTags': [context.properties['infra_id'] + '-master']
        }
    }, {
        'name': context.properties['infra_id'] + '-health-checks',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'tcp',
                'ports': ['6080', '6443', '22624']
            }],
            'sourceRanges': ['35.191.0.0/16', '130.211.0.0/22', '209.85.152.0/22', '209.85.204.0/22'],
            'targetTags': [context.properties['infra_id'] + '-master']
        }
    }, {
        'name': context.properties['infra_id'] + '-etcd',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'tcp',
                'ports': ['2379-2380']
            }],
            'sourceTags': [context.properties['infra_id'] + '-master'],
            'targetTags': [context.properties['infra_id'] + '-master']
        }
    }, {
        'name': context.properties['infra_id'] + '-control-plane',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'tcp',
                'ports': ['10257']
            },{
                'IPProtocol': 'tcp',
                'ports': ['10259']
            },{
                'IPProtocol': 'tcp',
                'ports': ['22623']
            }],
            'sourceTags': [
                context.properties['infra_id'] + '-master',
                context.properties['infra_id'] + '-worker'
            ],
            'targetTags': [context.properties['infra_id'] + '-master']
        }
    }, {
        'name': context.properties['infra_id'] + '-internal-network',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'icmp'
            },{
                'IPProtocol': 'tcp',
                'ports': ['22']
            }],
            'sourceRanges': [context.properties['network_cidr']],
            'targetTags': [
                context.properties['infra_id'] + '-master',
                context.properties['infra_id'] + '-worker'
            ]
        }
    }, {
        'name': context.properties['infra_id'] + '-internal-cluster',
        'type': 'compute.v1.firewall',
        'properties': {
            'network': context.properties['cluster_network'],
            'allowed': [{
                'IPProtocol': 'udp',
                'ports': ['4789', '6081']
            },{
                'IPProtocol': 'udp',
                'ports': ['500', '4500']
            },{
                'IPProtocol': 'esp',
            },{
                'IPProtocol': 'tcp',
                'ports': ['9000-9999']
            },{
                'IPProtocol': 'udp',
                'ports': ['9000-9999']
            },{
                'IPProtocol': 'tcp',
                'ports': ['10250']
            },{
                'IPProtocol': 'tcp',
                'ports': ['30000-32767']
            },{
                'IPProtocol': 'udp',
                'ports': ['30000-32767']
            }],
            'sourceTags': [
                context.properties['infra_id'] + '-master',
                context.properties['infra_id'] + '-worker'
            ],
            'targetTags': [
                context.properties['infra_id'] + '-master',
                context.properties['infra_id'] + '-worker'
            ]
        }
    }]

    return {'resources': resources}

9.11.13. 在 GCP 中创建 IAM 角色

您必须在 Google Cloud Platform(GCP)中创建 IAM 角色，供您的 OpenShift Container Platform 集群使用。创建这些组件的一种方法是修改提供的 Deployment Manager 模板。

注意

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。

流程

复制 IAM 角色的 Deployment Manager 模板一节中的模板，并将它以 03_iam.py 形式保存到计算机上。此模板描述了集群所需的 IAM 角色。

创建 03_iam.yaml 资源定义文件：

$ cat <<EOF >03_iam.yaml
imports:
- path: 03_iam.py
resources:
- name: cluster-iam
  type: 03_iam.py
  properties:
    infra_id: '${INFRA_ID}' 1
EOF

1: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-iam --config 03_iam.yaml

导出 master 服务帐户的变量：

$ export MASTER_SERVICE_ACCOUNT=(`gcloud iam service-accounts list --filter "email~^${INFRA_ID}-m@${PROJECT_NAME}." --format json | jq -r '.[0].email'`)

导出 worker 服务帐户的变量：

$ export WORKER_SERVICE_ACCOUNT=(`gcloud iam service-accounts list --filter "email~^${INFRA_ID}-w@${PROJECT_NAME}." --format json | jq -r '.[0].email'`)

导出托管计算机器的子网的变量：

$ export COMPUTE_SUBNET=(`gcloud compute networks subnets describe ${INFRA_ID}-worker-subnet --region=${REGION} --format json | jq -r .selfLink`)

由于 Deployment Manager 的限制，模板不会创建策略绑定，因此您必须手动创建它们：

$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${MASTER_SERVICE_ACCOUNT}" --role "roles/compute.instanceAdmin"
$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${MASTER_SERVICE_ACCOUNT}" --role "roles/compute.networkAdmin"
$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${MASTER_SERVICE_ACCOUNT}" --role "roles/compute.securityAdmin"
$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${MASTER_SERVICE_ACCOUNT}" --role "roles/iam.serviceAccountUser"
$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${MASTER_SERVICE_ACCOUNT}" --role "roles/storage.admin"

$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${WORKER_SERVICE_ACCOUNT}" --role "roles/compute.viewer"
$ gcloud projects add-iam-policy-binding ${PROJECT_NAME} --member "serviceAccount:${WORKER_SERVICE_ACCOUNT}" --role "roles/storage.admin"

创建服务帐户密钥并将其存储在本地以供以后使用：

$ gcloud iam service-accounts keys create service-account-key.json --iam-account=${MASTER_SERVICE_ACCOUNT}

9.11.13.1. IAM 角色的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的 IAM 角色：

例 9.54. 03_IAM.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-master-node-sa',
        'type': 'iam.v1.serviceAccount',
        'properties': {
            'accountId': context.properties['infra_id'] + '-m',
            'displayName': context.properties['infra_id'] + '-master-node'
        }
    }, {
        'name': context.properties['infra_id'] + '-worker-node-sa',
        'type': 'iam.v1.serviceAccount',
        'properties': {
            'accountId': context.properties['infra_id'] + '-w',
            'displayName': context.properties['infra_id'] + '-worker-node'
        }
    }]

    return {'resources': resources}

9.11.14. 为 GCP 基础架构创建 RHCOS 集群镜像

您必须对 OpenShift Container Platform 节点的 Google Cloud Platform(GCP)使用有效的 Red Hat Enterprise Linux CoreOS(RHCOS)镜像。

流程

从 RHCOS 镜像镜像页面获取 RHCOS 镜像。
重要
RHCOS 镜像可能不会随着 OpenShift Container Platform 的每个发行版本而改变。您必须下载最高版本的镜像，其版本号应小于或等于您安装的 OpenShift Container Platform 版本。如果可用，请使用与 OpenShift Container Platform 版本匹配的镜像版本。
文件名包含 OpenShift Container Platform 版本号，格式为 rhcos-<version>-<arch>-gcp.<arch>.tar.gz。
创建 Google 存储桶：
```
$ gsutil mb gs://<bucket_name>
```

将 RHCOS 镜像上传到 Google 存储桶：

$ gsutil cp <downloaded_image_file_path>/rhcos-<version>-x86_64-gcp.x86_64.tar.gz  gs://<bucket_name>

将上传的 RHCOS 镜像位置导出为变量：

$ export IMAGE_SOURCE=gs://<bucket_name>/rhcos-<version>-x86_64-gcp.x86_64.tar.gz

创建集群镜像：

$ gcloud compute images create "${INFRA_ID}-rhcos-image" \
    --source-uri="${IMAGE_SOURCE}"

9.11.15. 在 GCP 中创建 bootstrap 机器

您必须在 Google Cloud Platform(GCP)中创建 bootstrap 机器，以便在 OpenShift Container Platform 集群初始化过程中使用。创建此机器的一种方法是修改提供的 Deployment Manager 模板。

注意

如果不使用提供的 Deployment Manager 模板来创建 bootstrap 机器，您必须检查提供的信息并手动创建基础架构。如果您的集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。
在 GCP 中创建和配置联网与负载均衡器。
创建 control plane 和计算角色。
确保已安装 pyOpenSSL。

流程

复制 bootstrap 机器的 Deployment Manager 模板一节中的模板，并将它以 04_bootstrap.py 形式保存到计算机上。此模板描述了集群所需的 bootstrap 机器。

导出安装程序所需的 Red Hat Enterprise Linux CoreOS(RHCOS)镜像的位置：

$ export CLUSTER_IMAGE=(`gcloud compute images describe ${INFRA_ID}-rhcos-image --format json | jq -r .selfLink`)

创建存储桶并上传 bootstrap.ign 文件：

$ gsutil mb gs://${INFRA_ID}-bootstrap-ignition

$ gsutil cp <installation_directory>/bootstrap.ign gs://${INFRA_ID}-bootstrap-ignition/

为 bootstrap 实例创建一个签名的 URL，用于访问 Ignition 配置。将输出中的 URL 导出为变量：

$ export BOOTSTRAP_IGN=`gsutil signurl -d 1h service-account-key.json gs://${INFRA_ID}-bootstrap-ignition/bootstrap.ign | grep "^gs:" | awk '{print $5}'`

创建 04_bootstrap.yaml 资源定义文件：
```
$ cat <<EOF >04_bootstrap.yaml
imports:
- path: 04_bootstrap.py

resources:
- name: cluster-bootstrap
  type: 04_bootstrap.py
  properties:
    infra_id: '${INFRA_ID}' 1
    region: '${REGION}' 2
    zone: '${ZONE_0}' 3

    cluster_network: '${CLUSTER_NETWORK}' 4
    control_subnet: '${CONTROL_SUBNET}' 5
    image: '${CLUSTER_IMAGE}' 6
    machine_type: 'n1-standard-4' 7
    root_volume_size: '128' 8

    bootstrap_ign: '${BOOTSTRAP_IGN}' 9
EOF
```
1
INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
2
region 是集群要部署到的区域，如 us-central1。
3
zone 是 bootstrap 实例要部署到的区域，如 us-central1-b。
4
cluster_network 是集群网络的 selfLink URL。
5
control_subnet 是控制子网的 selfLink URL。
6
image 是 RHCOS 镜像的 selfLink URL。
7
machine_type 是实例的机器类型，如 n1-standard-4。
8
root_volume_size 是 bootstrap 计算机的引导磁盘大小。
9
bootstrap_ign 是创建签名 URL 时的 URL 输出。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-bootstrap --config 04_bootstrap.yaml

由于 Deployment Manager 的限制，模板无法管理负载均衡器成员资格，因此您必须手动添加 bootstrap 机器。

将 bootstrap 实例添加到内部负载均衡器实例组中：

$ gcloud compute instance-groups unmanaged add-instances \
    ${INFRA_ID}-bootstrap-ig --zone=${ZONE_0} --instances=${INFRA_ID}-bootstrap

将 bootstrap 实例组添加到内部负载均衡器后端服务中：

$ gcloud compute backend-services add-backend \
    ${INFRA_ID}-api-internal-backend-service --region=${REGION} --instance-group=${INFRA_ID}-bootstrap-ig --instance-group-zone=${ZONE_0}

9.11.15.1. bootstrap 机器的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的 bootstrap 机器：

例 9.55. 04_bootstrap.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-bootstrap-public-ip',
        'type': 'compute.v1.address',
        'properties': {
            'region': context.properties['region']
        }
    }, {
        'name': context.properties['infra_id'] + '-bootstrap',
        'type': 'compute.v1.instance',
        'properties': {
            'disks': [{
                'autoDelete': True,
                'boot': True,
                'initializeParams': {
                    'diskSizeGb': context.properties['root_volume_size'],
                    'sourceImage': context.properties['image']
                }
            }],
            'machineType': 'zones/' + context.properties['zone'] + '/machineTypes/' + context.properties['machine_type'],
            'metadata': {
                'items': [{
                    'key': 'user-data',
                    'value': '{"ignition":{"config":{"replace":{"source":"' + context.properties['bootstrap_ign'] + '"}},"version":"3.2.0"}}',
                }]
            },
            'networkInterfaces': [{
                'subnetwork': context.properties['control_subnet'],
                'accessConfigs': [{
                    'natIP': '$(ref.' + context.properties['infra_id'] + '-bootstrap-public-ip.address)'
                }]
            }],
            'tags': {
                'items': [
                    context.properties['infra_id'] + '-master',
                    context.properties['infra_id'] + '-bootstrap'
                ]
            },
            'zone': context.properties['zone']
        }
    }, {
        'name': context.properties['infra_id'] + '-bootstrap-ig',
        'type': 'compute.v1.instanceGroup',
        'properties': {
            'namedPorts': [
                {
                    'name': 'ignition',
                    'port': 22623
                }, {
                    'name': 'https',
                    'port': 6443
                }
            ],
            'network': context.properties['cluster_network'],
            'zone': context.properties['zone']
        }
    }]

    return {'resources': resources}

9.11.16. 在 GCP 中创建 control plane 机器

您必须在 Google Cloud Platform(GCP)中创建 control plane 机器，供您的集群使用。创建这些机器的一种方法是修改提供的 Deployment Manager 模板。

注意

如果不使用提供的 Deployment Manager 模板来创建 control plane 机器，您必须检查提供的信息并手动创建基础架构。如果您的集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。
在 GCP 中创建和配置联网与负载均衡器。
创建 control plane 和计算角色。
创建 bootstrap 机器。

流程

复制 control plane 机器的 Deployment Manager 模板一节中的模板，并将它以 05_control_plane.py 形式保存到计算机上。此模板描述了集群所需的 control plane 机器。

导出资源定义所需的以下变量：

$ export MASTER_IGNITION=`cat <installation_directory>/master.ign`

创建 05_control_plane.yaml 资源定义文件：

$ cat <<EOF >05_control_plane.yaml
imports:
- path: 05_control_plane.py

resources:
- name: cluster-control-plane
  type: 05_control_plane.py
  properties:
    infra_id: '${INFRA_ID}' 1
    zones: 2
    - '${ZONE_0}'
    - '${ZONE_1}'
    - '${ZONE_2}'

    control_subnet: '${CONTROL_SUBNET}' 3
    image: '${CLUSTER_IMAGE}' 4
    machine_type: 'n1-standard-4' 5
    root_volume_size: '128'
    service_account_email: '${MASTER_SERVICE_ACCOUNT}' 6

    ignition: '${MASTER_IGNITION}' 7
EOF

1: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
2: zones 是 control plane 实例要部署到的区域，如 us-central1-a、us-central1-b 和 us-central1-c。
3: control_subnet 是控制子网的 selfLink URL。
4: image 是 RHCOS 镜像的 selfLink URL。
5: machine_type 是实例的机器类型，如 n1-standard-4。
6: service_account_email 是您创建的 master 服务帐户的电子邮件地址。
7: Ignition 是 master.ign 文件的内容。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-control-plane --config 05_control_plane.yaml

由于 Deployment Manager 的限制，模板无法管理负载均衡器成员资格，因此您必须手动添加 control plane 机器。

运行以下命令，将 control plane 机器添加到适当的实例组中：

$ gcloud compute instance-groups unmanaged add-instances ${INFRA_ID}-master-${ZONE_0}-ig --zone=${ZONE_0} --instances=${INFRA_ID}-master-0

$ gcloud compute instance-groups unmanaged add-instances ${INFRA_ID}-master-${ZONE_1}-ig --zone=${ZONE_1} --instances=${INFRA_ID}-master-1

$ gcloud compute instance-groups unmanaged add-instances ${INFRA_ID}-master-${ZONE_2}-ig --zone=${ZONE_2} --instances=${INFRA_ID}-master-2

对于外部集群，还必须运行以下命令将 control plane 机器添加到目标池中：

$ gcloud compute target-pools add-instances ${INFRA_ID}-api-target-pool --instances-zone="${ZONE_0}" --instances=${INFRA_ID}-master-0

$ gcloud compute target-pools add-instances ${INFRA_ID}-api-target-pool --instances-zone="${ZONE_1}" --instances=${INFRA_ID}-master-1

$ gcloud compute target-pools add-instances ${INFRA_ID}-api-target-pool --instances-zone="${ZONE_2}" --instances=${INFRA_ID}-master-2

9.11.16.1. control plane 机器的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的 control plane 机器：

例 9.56. 05_control_plane.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-master-0',
        'type': 'compute.v1.instance',
        'properties': {
            'disks': [{
                'autoDelete': True,
                'boot': True,
                'initializeParams': {
                    'diskSizeGb': context.properties['root_volume_size'],
                    'diskType': 'zones/' + context.properties['zones'][0] + '/diskTypes/pd-ssd',
                    'sourceImage': context.properties['image']
                }
            }],
            'machineType': 'zones/' + context.properties['zones'][0] + '/machineTypes/' + context.properties['machine_type'],
            'metadata': {
                'items': [{
                    'key': 'user-data',
                    'value': context.properties['ignition']
                }]
            },
            'networkInterfaces': [{
                'subnetwork': context.properties['control_subnet']
            }],
            'serviceAccounts': [{
                'email': context.properties['service_account_email'],
                'scopes': ['https://www.googleapis.com/auth/cloud-platform']
            }],
            'tags': {
                'items': [
                    context.properties['infra_id'] + '-master',
                ]
            },
            'zone': context.properties['zones'][0]
        }
    }, {
        'name': context.properties['infra_id'] + '-master-1',
        'type': 'compute.v1.instance',
        'properties': {
            'disks': [{
                'autoDelete': True,
                'boot': True,
                'initializeParams': {
                    'diskSizeGb': context.properties['root_volume_size'],
                    'diskType': 'zones/' + context.properties['zones'][1] + '/diskTypes/pd-ssd',
                    'sourceImage': context.properties['image']
                }
            }],
            'machineType': 'zones/' + context.properties['zones'][1] + '/machineTypes/' + context.properties['machine_type'],
            'metadata': {
                'items': [{
                    'key': 'user-data',
                    'value': context.properties['ignition']
                }]
            },
            'networkInterfaces': [{
                'subnetwork': context.properties['control_subnet']
            }],
            'serviceAccounts': [{
                'email': context.properties['service_account_email'],
                'scopes': ['https://www.googleapis.com/auth/cloud-platform']
            }],
            'tags': {
                'items': [
                    context.properties['infra_id'] + '-master',
                ]
            },
            'zone': context.properties['zones'][1]
        }
    }, {
        'name': context.properties['infra_id'] + '-master-2',
        'type': 'compute.v1.instance',
        'properties': {
            'disks': [{
                'autoDelete': True,
                'boot': True,
                'initializeParams': {
                    'diskSizeGb': context.properties['root_volume_size'],
                    'diskType': 'zones/' + context.properties['zones'][2] + '/diskTypes/pd-ssd',
                    'sourceImage': context.properties['image']
                }
            }],
            'machineType': 'zones/' + context.properties['zones'][2] + '/machineTypes/' + context.properties['machine_type'],
            'metadata': {
                'items': [{
                    'key': 'user-data',
                    'value': context.properties['ignition']
                }]
            },
            'networkInterfaces': [{
                'subnetwork': context.properties['control_subnet']
            }],
            'serviceAccounts': [{
                'email': context.properties['service_account_email'],
                'scopes': ['https://www.googleapis.com/auth/cloud-platform']
            }],
            'tags': {
                'items': [
                    context.properties['infra_id'] + '-master',
                ]
            },
            'zone': context.properties['zones'][2]
        }
    }]

    return {'resources': resources}

9.11.17. 等待 bootstrap 完成并删除 GCP 中的 bootstrap 资源

在 Google Cloud Platform(GCP)中创建所有所需的基础架构后，请等待您通过安装程序生成的 Ignition 配置文件所置备的机器上完成 bootstrap 过程。

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。
在 GCP 中创建和配置联网与负载均衡器。
创建 control plane 和计算角色。
创建 bootstrap 机器。
创建 control plane 机器。

流程

进入包含安装程序的目录并运行以下命令：
```
$ ./openshift-install wait-for bootstrap-complete --dir <installation_directory> \ 1
    --log-level info 2
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
2
要查看不同的安装详情，请指定 warn、debug 或 error，而不是 info。
如果命令退出时没有 FATAL 警告，则您的生产环境 control plane 已被初始化。

删除 bootstrap 资源：

$ gcloud compute backend-services remove-backend ${INFRA_ID}-api-internal-backend-service --region=${REGION} --instance-group=${INFRA_ID}-bootstrap-ig --instance-group-zone=${ZONE_0}

$ gsutil rm gs://${INFRA_ID}-bootstrap-ignition/bootstrap.ign

$ gsutil rb gs://${INFRA_ID}-bootstrap-ignition

$ gcloud deployment-manager deployments delete ${INFRA_ID}-bootstrap

9.11.18. 在 GCP 中创建额外的 worker 机器

您可以通过分散启动各个实例或利用集群外自动化流程（如自动扩展组），在 Google Cloud Platform(GCP)中为您的集群创建 worker 机器。您还可以利用 OpenShift Container Platform 中的内置集群扩展机制和机器 API。

在本例中，您要使用 Deployment Manager 模板手动启动一个实例。通过在文件中包括类型为 06_worker.py 的其他资源，即可启动其他实例。

注意

如果不使用提供的 Deployment Manager 模板来创建 worker 机器，您必须检查提供的信息并手动创建基础架构。如果您的集群没有正确初始化，您可能需要联系红帽支持并提供您的安装日志。

先决条件

配置 GCP 帐户。
为集群生成 Ignition 配置文件。
在 GCP 中创建和配置 VPC 及相关子网。
在 GCP 中创建和配置联网与负载均衡器。
创建 control plane 和计算角色。
创建 bootstrap 机器。
创建 control plane 机器。

流程

复制 worker 机器的 Deployment Manager 模板一节中的模板，并将它以 06_worker.py 形式保存到计算机上。此模板描述了集群所需的 worker 机器。

导出资源定义使用的变量。

导出托管计算机器的子网：

$ export COMPUTE_SUBNET=(`gcloud compute networks subnets describe ${INFRA_ID}-worker-subnet --region=${REGION} --format json | jq -r .selfLink`)

为您的服务帐户导出电子邮件地址：

$ export WORKER_SERVICE_ACCOUNT=(`gcloud iam service-accounts list --filter "email~^${INFRA_ID}-w@${PROJECT_NAME}." --format json | jq -r '.[0].email'`)

导出计算机器 Ignition 配置文件的位置：

$ export WORKER_IGNITION=`cat <installation_directory>/worker.ign`

创建 06_worker.yaml 资源定义文件：

$ cat <<EOF >06_worker.yaml
imports:
- path: 06_worker.py

resources:
- name: 'worker-0' 1
  type: 06_worker.py
  properties:
    infra_id: '${INFRA_ID}' 2
    zone: '${ZONE_0}' 3
    compute_subnet: '${COMPUTE_SUBNET}' 4
    image: '${CLUSTER_IMAGE}' 5
    machine_type: 'n1-standard-4' 6
    root_volume_size: '128'
    service_account_email: '${WORKER_SERVICE_ACCOUNT}' 7
    ignition: '${WORKER_IGNITION}' 8
- name: 'worker-1'
  type: 06_worker.py
  properties:
    infra_id: '${INFRA_ID}' 9
    zone: '${ZONE_1}' 10
    compute_subnet: '${COMPUTE_SUBNET}' 11
    image: '${CLUSTER_IMAGE}' 12
    machine_type: 'n1-standard-4' 13
    root_volume_size: '128'
    service_account_email: '${WORKER_SERVICE_ACCOUNT}' 14
    ignition: '${WORKER_IGNITION}' 15
EOF

1: name 是 worker 机器的名称，如 worker-0。
2 9: INFRA _ID 是 提取步骤 中的 INFRA_ID 基础架构名称。
3 10: zone 是 worker 机器要部署到的区域，如 us-central1-a。
4 11: compute_subnet 是计算子网的 selfLink URL。
5 12: image 是 RHCOS 镜像的 selfLink URL。¹
6 13: machine_type 是实例的机器类型，如 n1-standard-4。
7 14: service_account_email 是您创建的 worker 服务帐户的电子邮件地址。
8 15: Ignition 是 worker.ign 文件的内容。

可选：如果要启动更多实例，请在 06_worker.yaml 资源定义文件中包含类型为 06_worker.py 的其他资源。

使用 gcloud CLI 创建部署：

$ gcloud deployment-manager deployments create ${INFRA_ID}-worker --config 06_worker.yaml

要使用 GCP Marketplace 镜像，请指定要使用的功能：
- OpenShift Container Platform: https://www.googleapis.com/compute/v1/projects/redhat-marketplace-public/global/images/redhat-coreos-ocp-48-x86-64-202210040145
- OpenShift Platform Plus: https://www.googleapis.com/compute/v1/projects/redhat-marketplace-public/global/images/redhat-coreos-opp-48-x86-64-202206140145
- OpenShift Kubernetes Engine: https://www.googleapis.com/compute/v1/projects/redhat-marketplace-public/global/images/redhat-coreos-oke-48-x86-64-202206140145

9.11.18.1. worker 机器的 Deployment Manager 模板

您可以使用以下 Deployment Manager 模板来部署 OpenShift Container Platform 集群所需的 worker 机器：

例 9.57. 06_worker.py Deployment Manager 模板

def GenerateConfig(context):

    resources = [{
        'name': context.properties['infra_id'] + '-' + context.env['name'],
        'type': 'compute.v1.instance',
        'properties': {
            'disks': [{
                'autoDelete': True,
                'boot': True,
                'initializeParams': {
                    'diskSizeGb': context.properties['root_volume_size'],
                    'sourceImage': context.properties['image']
                }
            }],
            'machineType': 'zones/' + context.properties['zone'] + '/machineTypes/' + context.properties['machine_type'],
            'metadata': {
                'items': [{
                    'key': 'user-data',
                    'value': context.properties['ignition']
                }]
            },
            'networkInterfaces': [{
                'subnetwork': context.properties['compute_subnet']
            }],
            'serviceAccounts': [{
                'email': context.properties['service_account_email'],
                'scopes': ['https://www.googleapis.com/auth/cloud-platform']
            }],
            'tags': {
                'items': [
                    context.properties['infra_id'] + '-worker',
                ]
            },
            'zone': context.properties['zone']
        }
    }]

    return {'resources': resources}

9.11.19. 通过下载二进制文件安装 OpenShift CLI

您可以安装 OpenShift CLI(oc)来使用命令行界面与 OpenShift Container Platform 进行交互。您可以在 Linux、Windows 或 macOS 上安装 oc。

重要

如果安装了旧版本的 oc，则无法使用 OpenShift Container Platform 4.12 中的所有命令。下载并安装新版本的 oc。

在 Linux 上安装 OpenShift CLI

您可以按照以下流程在 Linux 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从 产品变体 下拉列表中选择架构。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.12 Linux Client 条目旁的 Download Now 来保存文件。
解包存档：
```
$ tar xvf <file>
```
将 oc 二进制文件放到 PATH 中的目录中。
要查看您的 PATH，请执行以下命令：
```
$ echo $PATH
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
$ oc <command>
```

在 Windows 上安装 OpenShift CLI

您可以按照以下流程在 Windows 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.12 Windows Client 条目旁的 Download Now 来保存文件。
使用 ZIP 程序解压存档。
将 oc 二进制文件移到 PATH 中的目录中。
要查看您的 PATH，请打开命令提示并执行以下命令：
```
C:\> path
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
C:\> oc <command>
```

在 macOS 上安装 OpenShift CLI

您可以按照以下流程在 macOS 上安装 OpenShift CLI(oc)二进制文件。

流程

导航到红帽客户门户网站上的 OpenShift Container Platform 下载页面。
从版本下拉列表中选择适当的版本。
点 OpenShift v4.12 macOS Client 条目旁的 Download Now 来保存文件。
注意
对于 macOS arm64，请选择 OpenShift v4.12 macOS arm64 Client 条目。
解包和解压存档。
将 oc 二进制文件移到 PATH 的目录中。
要查看您的 PATH，请打开终端并执行以下命令：
```
$ echo $PATH
```

验证

安装 OpenShift CLI 后，可以使用 oc 命令：
```
$ oc <command>
```

9.11.20. 使用 CLI 登录集群

您可以通过导出集群 kubeconfig 文件，以默认系统用户身份登录集群。kubeconfig 文件包含有关集群的信息，供 CLI 用于将客户端连接到正确的集群和 API 服务器。该文件特定于集群，在 OpenShift Container Platform 安装过程中创建。

先决条件

已部署 OpenShift Container Platform 集群。
已安装 oc CLI。

流程

导出 kubeadmin 凭证：
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
验证您可以使用导出的配置成功运行 oc 命令：
```
$ oc whoami
```
输出示例
```
system:admin
```

9.11.21. 批准机器的证书签名请求

当您将机器添加到集群时，会为您添加的每台机器生成两个待处理证书签名请求(CSR)。您必须确认这些 CSR 已获得批准，或根据需要自行批准。必须首先批准客户端请求，然后批准服务器请求。

先决条件

您已将机器添加到集群中。

流程

确认集群可以识别这些机器：
```
$ oc get nodes
```
输出示例
```
NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  63m  v1.25.0
master-1  Ready     master  63m  v1.25.0
master-2  Ready     master  64m  v1.25.0
```
输出中列出了您创建的所有机器。
注意
在有些 CSR 被批准前，前面的输出可能不包括计算节点（也称为 worker 节点）。

检查待处理的 CSR，并确保添加到集群中的每台机器都有 Pending 或 Approved 状态的客户端请求：

$ oc get csr

输出示例

NAME        AGE     REQUESTOR                                                                   CONDITION
csr-8b2br   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
csr-8vnps   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
...

在本例中，两台机器加入集群。您可能会在列表中看到更多已批准的 CSR。

如果 CSR 没有获得批准，在您添加的机器的所有待处理 CSR 都处于 Pending 状态 后，请批准集群机器的 CSR：
注意
由于 CSR 会自动轮转，因此请在将机器添加到集群后一小时内批准您的 CSR。如果没有在一小时内批准它们，证书将会轮转，每个节点会存在多个证书。您必须批准所有这些证书。批准客户端 CSR 后，Kubelet 为服务证书创建一个二级 CSR，这需要手动批准。然后，如果 Kubelet 请求具有相同参数的新证书，则后续提供证书续订请求由 machine-approver 自动批准。
注意
对于在未启用机器 API 的平台上运行的集群，如裸机和其他用户置备的基础架构，您必须实施一种方法来自动批准 kubelet 提供证书请求(CSR)。如果没有批准请求，则 oc exec、ocrsh 和 oc logs 命令将无法成功，因为 API 服务器连接到 kubelet 时需要服务证书。与 Kubelet 端点联系的任何操作都需要此证书批准。该方法必须监视新的 CSR，确认 CSR 由 system: node 或 system:admin 组中的 node-bootstrapper 服务帐户提交，并确认节点的身份。
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
```
  注意
  在有些 CSR 被批准前，一些 Operator 可能无法使用。

现在，您的客户端请求已被批准，您必须查看添加到集群中的每台机器的服务器请求：

$ oc get csr

输出示例

NAME        AGE     REQUESTOR                                                                   CONDITION
csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
...

如果剩余的 CSR 没有被批准，且处于 Pending 状态，请批准集群机器的 CSR：
- 要单独批准，请对每个有效的 CSR 运行以下命令：
```
$ oc adm certificate approve <csr_name> 1
```
  1
  <csr_name> 是当前 CSR 列表中 CSR 的名称。
- 要批准所有待处理的 CSR，请运行以下命令：
```
$ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve
```

批准所有客户端和服务器 CSR 后，机器将 处于 Ready 状态。运行以下命令验证：

$ oc get nodes

输出示例

NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  73m  v1.25.0
master-1  Ready     master  73m  v1.25.0
master-2  Ready     master  74m  v1.25.0
worker-0  Ready     worker  11m  v1.25.0
worker-1  Ready     worker  11m  v1.25.0

注意

批准服务器 CSR 后可能需要几分钟时间让机器过渡到 Ready 状态。

其他信息

如需有关 CSR 的更多信息，请参阅证书签名请求。

9.11.22. 可选：添加入口 DNS 记录

如果在创建 Kubernetes 清单并生成 Ignition 配置时删除了 DNS 区配置，您必须手动创建指向入口负载均衡器的 DNS 记录。您可以创建一个通配符 *.apps.{baseDomain}. 或特定的记录。您可以根据要求使用 A、CNAME 和其他记录。

先决条件

配置 GCP 帐户。
在创建 Kubernetes 清单并生成 Ignition 配置时，删除 DNS 区配置。
在 GCP 中创建和配置 VPC 及相关子网。
在 GCP 中创建和配置联网与负载均衡器。
创建 control plane 和计算角色。
创建 bootstrap 机器。
创建 control plane 机器。
创建 worker 机器。

流程

等待入口路由器创建负载均衡器并填充 EXTERNAL-IP 字段：

$ oc -n openshift-ingress get service router-default

输出示例

NAME             TYPE           CLUSTER-IP      EXTERNAL-IP      PORT(S)                      AGE
router-default   LoadBalancer   172.30.18.154   35.233.157.184   80:32288/TCP,443:31215/TCP   98

在您的区中添加 A 记录：

使用 A 记录：

导出路由器 IP 地址的变量：

$ export ROUTER_IP=`oc -n openshift-ingress get service router-default --no-headers | awk '{print $4}'`

在私有区中添加 A 记录：

$ if [ -f transaction.yaml ]; then rm transaction.yaml; fi
$ gcloud dns record-sets transaction start --zone ${INFRA_ID}-private-zone
$ gcloud dns record-sets transaction add ${ROUTER_IP} --name \*.apps.${CLUSTER_NAME}.${BASE_DOMAIN}. --ttl 300 --type A --zone ${INFRA_ID}-private-zone
$ gcloud dns record-sets transaction execute --zone ${INFRA_ID}-private-zone

对于外部集群，还要在公共区中添加 A 记录：

$ if [ -f transaction.yaml ]; then rm transaction.yaml; fi
$ gcloud dns record-sets transaction start --zone ${BASE_DOMAIN_ZONE_NAME}
$ gcloud dns record-sets transaction add ${ROUTER_IP} --name \*.apps.${CLUSTER_NAME}.${BASE_DOMAIN}. --ttl 300 --type A --zone ${BASE_DOMAIN_ZONE_NAME}
$ gcloud dns record-sets transaction execute --zone ${BASE_DOMAIN_ZONE_NAME}

要添加特定域而不使用通配符，请为集群的每个当前路由创建条目：

$ oc get --all-namespaces -o jsonpath='{range .items[*]}{range .status.ingress[*]}{.host}{"\n"}{end}{end}' routes

输出示例

oauth-openshift.apps.your.cluster.domain.example.com
console-openshift-console.apps.your.cluster.domain.example.com
downloads-openshift-console.apps.your.cluster.domain.example.com
alertmanager-main-openshift-monitoring.apps.your.cluster.domain.example.com
prometheus-k8s-openshift-monitoring.apps.your.cluster.domain.example.com

9.11.23. 在用户置备的基础架构上完成 GCP 安装

在 Google Cloud Platform(GCP)用户置备的基础架构上启动 OpenShift Container Platform 安装后，您可以监控集群事件，直到集群就绪。

先决条件

在用户置备的 GCP 基础架构上为 OpenShift Container Platform 集群部署 bootstrap 机器。
安装 oc CLI 并登录。

流程

完成集群安装：
```
$ ./openshift-install --dir <installation_directory> wait-for install-complete 1
```
输出示例
```
INFO Waiting up to 30m0s for the cluster to initialize...
```
1
对于 <installation_directory>，请指定安装文件保存到的目录的路径。
重要
- 安装程序生成的 Ignition 配置文件包含 24 小时后过期的证书，然后在该时进行续订。如果在更新证书前关闭集群，且集群在 24 小时后重启，集群会自动恢复过期的证书。一个例外是，您必须手动批准待处理的 node-bootstrapper 证书签名请求(CSR)来恢复 kubelet 证书。如需更多信息，请参阅从过期的 control plane 证书 中恢复的文档。
- 建议您在 Ignition 配置文件生成后的 12 小时内使用它们，因为 24 小时的证书会在集群安装后的 16 小时到 22 小时间进行轮转。通过在 12 小时内使用 Ignition 配置文件，您可以避免在安装过程中因为执行了证书更新而导致安装失败的问题。

观察集群的运行状态。

运行以下命令查看当前的集群版本和状态：

$ oc get clusterversion

输出示例

NAME      VERSION   AVAILABLE   PROGRESSING   SINCE   STATUS
version             False       True          24m     Working towards 4.5.4: 99% complete

运行以下命令，查看 control plane 上由 Cluster Version Operator(CVO)管理的 Operator：

$ oc get clusteroperators

输出示例

NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.5.4     True        False         False      7m56s
cloud-credential                           4.5.4     True        False         False      31m
cluster-autoscaler                         4.5.4     True        False         False      16m
console                                    4.5.4     True        False         False      10m
csi-snapshot-controller                    4.5.4     True        False         False      16m
dns                                        4.5.4     True        False         False      22m
etcd                                       4.5.4     False       False         False      25s
image-registry                             4.5.4     True        False         False      16m
ingress                                    4.5.4     True        False         False      16m
insights                                   4.5.4     True        False         False      17m
kube-apiserver                             4.5.4     True        False         False      19m
kube-controller-manager                    4.5.4     True        False         False      20m
kube-scheduler                             4.5.4     True        False         False      20m
kube-storage-version-migrator              4.5.4     True        False         False      16m
machine-api                                4.5.4     True        False         False      22m
machine-config                             4.5.4     True        False         False      22m
marketplace                                4.5.4     True        False         False      16m
monitoring                                 4.5.4     True        False         False      10m
network                                    4.5.4     True        False         False      23m
node-tuning                                4.5.4     True        False         False      23m
openshift-apiserver                        4.5.4     True        False         False      17m
openshift-controller-manager               4.5.4     True        False         False      15m
openshift-samples                          4.5.4     True        False         False      16m
operator-lifecycle-manager                 4.5.4     True        False         False      22m
operator-lifecycle-manager-catalog         4.5.4     True        False         False      22m
operator-lifecycle-manager-packageserver   4.5.4     True        False         False      18m
service-ca                                 4.5.4     True        False         False      23m
service-catalog-apiserver                  4.5.4     True        False         False      23m
service-catalog-controller-manager         4.5.4     True        False         False      23m
storage                                    4.5.4     True        False         False      17m

运行以下命令来查看您的集群 pod：

$ oc get pods --all-namespaces

输出示例

NAMESPACE                                               NAME                                                                READY     STATUS      RESTARTS   AGE
kube-system                                             etcd-member-ip-10-0-3-111.us-east-2.compute.internal                1/1       Running     0          35m
kube-system                                             etcd-member-ip-10-0-3-239.us-east-2.compute.internal                1/1       Running     0          37m
kube-system                                             etcd-member-ip-10-0-3-24.us-east-2.compute.internal                 1/1       Running     0          35m
openshift-apiserver-operator                            openshift-apiserver-operator-6d6674f4f4-h7t2t                       1/1       Running     1          37m
openshift-apiserver                                     apiserver-fm48r                                                     1/1       Running     0          30m
openshift-apiserver                                     apiserver-fxkvv                                                     1/1       Running     0          29m
openshift-apiserver                                     apiserver-q85nm                                                     1/1       Running     0          29m
...
openshift-service-ca-operator                           openshift-service-ca-operator-66ff6dc6cd-9r257                      1/1       Running     0          37m
openshift-service-ca                                    apiservice-cabundle-injector-695b6bcbc-cl5hm                        1/1       Running     0          35m
openshift-service-ca                                    configmap-cabundle-injector-8498544d7-25qn6                         1/1       Running     0          35m
openshift-service-ca                                    service-serving-cert-signer-6445fc9c6-wqdqn                         1/1       Running     0          35m
openshift-service-catalog-apiserver-operator            openshift-service-catalog-apiserver-operator-549f44668b-b5q2w       1/1       Running     0          32m
openshift-service-catalog-controller-manager-operator   openshift-service-catalog-controller-manager-operator-b78cr2lnm     1/1       Running     0          31m

当当前集群版本是 AVAILABLE 时，安装已完成。

9.11.24. OpenShift Container Platform 的 Telemetry 访问

在 OpenShift Container Platform 4.12 中，默认运行的 Telemetry 服务提供有关集群健康状况和成功更新的指标，需要访问互联网。如果您的集群连接到互联网，Telemetry 会自动运行，并且集群会注册到 OpenShift Cluster Manager Hybrid Cloud Console。

确认 OpenShift Cluster Manager Hybrid Cloud Console 清单正确后，可以由 Telemetry 自动维护，也可以使用 OpenShift Cluster Manager 手动维护，使用订阅监控来跟踪帐户或多集群级别的 OpenShift Container Platform 订阅。

其他资源

有关 Telemetry 服务的更多信息，请参阅关于远程健康监控

Language and Page Formatting Options

9.11. 使用 Deployment Manager 模板在 GCP 中的用户置备的基础架构上安装集群

9.11.1. 先决条件

9.11.2. 证书签名请求管理

9.11.3. OpenShift Container Platform 互联网访问

9.11.4. 配置 GCP 项目

9.11.4.1. 创建 GCP 项目

9.11.4.2. 在 GCP 中启用 API 服务

9.11.4.3. 为 GCP 配置 DNS

9.11.4.4. GCP 帐户限值

9.11.4.5. 在 GCP 中创建服务帐户

9.11.4.6. 所需的 GCP 角色

9.11.4.7. 用户置备的基础架构所需的 GCP 权限

9.11.4.8. 支持的 GCP 区域

9.11.4.9. 为 GCP 安装和配置 CLI 工具

9.11.5. 具有用户置备基础架构的集群的要求

9.11.5.1. 集群安装所需的机器

9.11.5.2. 集群安装的最低资源要求

9.11.5.3. 为 GCP 测试的实例类型

9.11.5.4. 使用自定义机器类型

9.11.6. 为 GCP 创建安装文件

9.11.6.1. 可选：创建独立 /var 分区

9.11.6.2. 创建安装配置文件

9.11.6.3. 在安装过程中配置集群范围的代理

9.11.6.4. 创建 Kubernetes 清单和 Ignition 配置文件

9.11.7. 导出常用变量

9.11.7.1. 提取基础架构名称

9.11.7.2. 为 Deployment Manager 模板导出常用变量

9.11.8. 在 GCP 中创建 VPC

9.11.8.1. VPC 的 Deployment Manager 模板

9.11.9. 用户置备的基础架构对网络的要求

9.11.9.1. 通过 DHCP 设置集群节点主机名

9.11.9.2. 网络连接要求

9.11.10. 在 GCP 中创建负载均衡器

9.11.10.1. 外部负载均衡器的 Deployment Manager 模板

9.11.10.2. 内部负载均衡器的 Deployment Manager 模板

9.11.11. 在 GCP 中创建私有 DNS 区域

9.11.11.1. 私有 DNS 的 Deployment Manager 模板

9.11.12. 在 GCP 中创建防火墙规则

9.11.12.1. 防火墙规则的 Deployment Manager 模板

9.11.13. 在 GCP 中创建 IAM 角色

9.11.13.1. IAM 角色的 Deployment Manager 模板

9.11.14. 为 GCP 基础架构创建 RHCOS 集群镜像

9.11.15. 在 GCP 中创建 bootstrap 机器

9.11.15.1. bootstrap 机器的 Deployment Manager 模板

9.11.16. 在 GCP 中创建 control plane 机器

9.11.16.1. control plane 机器的 Deployment Manager 模板

9.11.17. 等待 bootstrap 完成并删除 GCP 中的 bootstrap 资源

9.11.18. 在 GCP 中创建额外的 worker 机器

9.11.18.1. worker 机器的 Deployment Manager 模板

9.11.19. 通过下载二进制文件安装 OpenShift CLI

在 Linux 上安装 OpenShift CLI

在 Windows 上安装 OpenShift CLI

在 macOS 上安装 OpenShift CLI

9.11.20. 使用 CLI 登录集群

9.11.21. 批准机器的证书签名请求

9.11.22. 可选：添加入口 DNS 记录

9.11.23. 在用户置备的基础架构上完成 GCP 安装

9.11.24. OpenShift Container Platform 的 Telemetry 访问

9.11.25. 后续步骤

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links

9.11.6.1. 可选：创建独立 `/var` 分区