IBM Cloud Docs
Red Hat OpenShift on IBM Cloud CLI 参考

Red Hat OpenShift on IBM Cloud CLI 参考

请参考这些命令在 Red Hat® OpenShift® on IBM Cloud® 中创建和管理 Kubernetes 或 Red Hat OpenShift 社区群集

在命令行中,ibmcloud CLI 和插件更新可用时会通知您。 确保更新 CLI,以便使用所有可用命令和选项。

在查找 ibmcloud cr 命令吗? 请参阅 IBM Cloud Container Registry CLI 参考。 在查找 kubectl 命令吗? 请参阅 Kubernetes 文档

Red Hat OpenShift on IBM Cloud 命令

下表列出了 ibmcloud oc 命令组。 要获取在 CLI 中构造的所有 ibmcloud oc 命令的完整列表,请参阅 Red Hat OpenShift on IBM Cloud CLI 映射

Red Hat OpenShift on IBM Cloud CLI 命令组
命令组 描述
集群命令 创建、查看和修改集群和集群设置,如附加组件、子网和主节点设置。
worker 命令 查看和修改集群的工作程序节点。
工作程序池命令 查看和修改集群的工作程序池。
zone 命令 列出可用性区域并修改附加到工作程序池的区域。
Ingress 命令 查看和修改入口服务和设置。
nlb-dns 命令 在集群中创建并管理网络负载均衡器 (NLB) IP 地址的主机名,并管理主机名的运行状况检查监视器。
Webhook-create 命令 在集群中注册 Webhook。
api-key 命令 查看有关集群的 API 密钥的信息或将其重置为新密钥。
凭证命令 设置和取消设置允许您通过 IBM Cloud 帐户访问 IBM Cloud 经典基础架构产品服务组合的凭证。
infra-permissions 命令 检查在 IBM Cloud Kubernetes Service中使用的经典 IBM Cloud 基础架构权限。
KMS 命令 在集群中启用密钥管理服务 (KMS) 提供程序,以使用您控制的根密钥对 etcd 组件和 Kubernetes 密钥进行加密。
配额命令 查看 IBM Cloud 帐户中集群相关资源的配额和限制。
子网命令 列出 IBM Cloud 基础架构帐户中可用的子网。
vlan 命令 列出专区的公用和专用 VLAN,并查看 VLAN 生成状态。
VPCS 命令 列出目标资源组中的所有 VPC。 如果未设置目标资源组,那么会列出帐户中的所有 VPC。
Flavor 命令 获取区域的类型模板或列表可用类型模板的信息。
位置命令 列出 IBM Cloud Kubernetes Service支持的位置。
消息命令 查看当前用户消息。
版本命令 列出可用于 IBM Cloud Kubernetes Service 集群的容器平台版本。
不推荐使用 API 命令 查看或锁定服务的 API 端点和 API 版本。
不推荐使用的 init 命令 初始化 IBM Cloud Kubernetes Service 插件或指定要创建或访问 Kubernetes 群集的区域。
script 命令 重写调用 IBM Cloud Kubernetes Service 插件命令的脚本。
Beta 存储命令 查看和修改存储资源。

cluster 命令

创建、查看和修改集群和集群设置,如附加组件、子网和主节点设置。

ibmcloud oc cluster addon disable

在现有集群中禁用受管附加组件。 对于要禁用的受管附加组件,此命令必须与下列其中一个子命令组合在一起。

ibmcloud oc cluster addon disable debug-tool

虚拟私有云 经典基础架构

禁用 IBM Cloud Kubernetes Service 诊断和调试工具的附加组件。

ibmcloud oc cluster addon disable debug-tool --cluster CLUSTER [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。

ibmcloud oc cluster addon disable image-key-synchronizer

虚拟私有云 经典基础架构

禁用 映像密钥同步器 的附加组件。

ibmcloud oc cluster addon Disable image-key-synchronizer --cluster CLUSTER [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--version VERSION
可选:指定要安装的附加组件版本。 如果未指定版本,那么将安装缺省版本。
示例 addon disable image-key-synchronizer 命令
ibmcloud oc cluster addon disable image-key-synchronizer --cluster my_cluster

ibmcloud oc cluster addon disable kube-terminal

虚拟私有云 经典基础架构

禁用 Kubernetes Web 终端 附加组件。 要在 IBM Cloud Kubernetes Service 集群控制台中使用 Kubernetes 网络终端,必须先重新启用插件。

ibmcloud oc cluster addon disable kube-terminal --cluster CLUSTER [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。

ibmcloud oc cluster addon disable openshift-data-foundation

虚拟私有云 经典基础架构

禁用 OpenShift Data Foundation 附加组件。

ibmcloud oc cluster addon disable openshift-data-foundation --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc cluster addon disable static-route

虚拟私有云 经典基础架构

禁用 静态路由 附加组件。

ibmcloud oc cluster addon disable static-route --cluster CLUSTER
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

ibmcloud oc cluster addon enable

在现有集群中启用受管附加组件。 对于要启用的受管附加组件,此命令必须与下列其中一个子命令组合在一起。

ibmcloud oc cluster addon enable debug-tool

虚拟私有云 经典基础架构

在集群中为 IBM Cloud Kubernetes Service 诊断和调试工具 启用附加组件。

ibmcloud oc cluster addon enable debug-tool --cluster CLUSTER [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--version VERSION
可选:指定要安装的附加组件版本。 如果未指定版本,那么将安装缺省版本。
示例 addon enable debug-tool 命令
ibmcloud oc cluster addon enable debug-tool --cluster my_cluster

ibmcloud oc cluster addon enable image-key-synchronizer

经典基础架构 Virtual Private Cloud

为集群中的 映像密钥同步器 启用附加组件,以使用加密映像来运行应用程序。

ibmcloud oc cluster addon enable image-key-synchronizer --cluster CLUSTER [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--version VERSION
可选:指定要安装的附加组件版本。 如果未指定版本,那么将安装缺省版本。
示例 addon enable image-key-synchronizer 命令
ibmcloud oc cluster addon enable image-key-synchronizer --cluster my_cluster

ibmcloud oc cluster addon enable openshift-data-foundation

虚拟私有云 经典基础架构

启用 OpenShift Data Foundation 附加组件。

ibmcloud oc cluster addon enable openshift-data-foundation --cluster CLUSTER [-f] [--param PARAM] [-q] [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
--param PARAM
可选: 指定安装设置。 要查看可用设置,请运行 ibmcloud oc cluster addon options --addon openshift-data-foundation
-q
可选:不显示当天的消息或更新提示。
--version VERSION
可选:指定要安装的附加组件版本。 要查看可用版本,请运行 ibmcloud oc cluster addon versions。 如果未指定版本,那么将安装缺省版本。

ibmcloud oc cluster addon enable static-route

虚拟私有云 经典基础架构

启用 静态路由 附加组件。

ibmcloud oc cluster addon enable static-route --cluster CLUSTER [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--cluster CLUSTER
必须填写:群集的名称或 ID。
--version VERSION
可选:指定要安装的附加组件版本。 如果未指定版本,那么将安装缺省版本。

ibmcloud oc cluster addon get

虚拟私有云 经典基础架构

查看已安装插件的详细信息。

ibmcloud oc cluster addon get --addon ADDON --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--addon ADDON
必须填写:addon 的名称。 要列出已安装的附加组件,请运行 ibmcloud oc cluster addon ls
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc cluster addon ls

虚拟私有云 经典基础架构

列出群集中已启用的任何受管附加组件。

ibmcloud oc cluster addon ls --cluster CLUSTER
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。

ibmcloud oc cluster addon options

虚拟私有云 经典基础架构

在启用附加组件之前,请查看其安装选项。

ibmcloud oc cluster addon options --addon ADDON [--output OUTPUT] [-q] [--version VERSION]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--addon ADDON
必须填写:addon 的名称。 要列出可用的附加组件,请运行 ibmcloud oc cluster addon versions
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。
--version VERSION
可选:指定要显示选项的附加组件版本。 如果未指定版本,那么将显示缺省版本的选项。 要列出可用的附加组件版本,请运行 ibmcloud oc cluster addon versions

ibmcloud oc cluster addon update

虚拟私有云 经典基础架构

更新已安装的附加组件。

ibmcloud oc cluster addon update ADD-ON_NAME --cluster CLUSTER [-f] [-q] [--version VERSION] [-y]
最低必需许可权

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。
--version VERSION
可选: 指定要将附加组件更新到的版本。 如果未指定版本,那么该附加组件将更新为缺省版本。 要列出可用的附加组件版本,请运行 ibmcloud oc cluster addon versions

ibmcloud oc cluster addon versions

虚拟私有云 经典基础架构

查看 IBM Cloud Kubernetes Service 中支持的受管附加组件版本的列表。

ibmcloud oc cluster addon versions [--addon ADD-ON_NAME] [--output json] [-q]
最低必需许可权

命令选项

--addon ADD-ON_NAME
可选:指定插件名称,如 istio,以筛选版本。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 addon versions 命令

ibmcloud oc cluster addon versions --addon istio

ibmcloud oc cluster ca create

虚拟私有云 经典基础架构

为群集创建新的证书颁发机构 (CA)。 创建 CA 并为集群中的组件发放新的 CA 证书后,将自动刷新集群的 API 服务器。

运行此命令之后,在运行 ibmcloud oc cluster ca rotate 命令之前,请执行 在集群中旋转 CA 证书 中的步骤,以确保使用旧 CA 签署的证书的任何工具都将更新为使用新证书并更新工作程序节点。

ibmcloud oc cluster ca create --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster ca create 命令

ibmcloud oc cluster ca create --cluster my_cluster

ibmcloud oc cluster ca get

虚拟私有云 经典基础架构

查看集群的 CA 证书的详细信息。

ibmcloud oc cluster ca get --cluster CLUSTER [ --output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster ca get 命令

ibmcloud oc cluster ca get --cluster my_cluster

ibmcloud oc cluster ca rotate

虚拟私有云 经典基础架构

轮换群集的证书颁发机构 (CA) 证书。 循环使由集群的先前 CA 签署的证书失效,并将由集群的新 CA 签署的证书发放到工作程序节点。

在运行此命令之前,请遵循 在集群中旋转 CA 证书 中的步骤,以确保使用旧 CA 证书的任何工具都已更新为使用新证书并更新工作程序节点。

ibmcloud oc cluster ca rotate --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster ca rotate 命令

ibmcloud oc cluster ca rotate --cluster my_cluster

ibmcloud oc cluster ca status

虚拟私有云 经典基础架构

运行 ibmcloud oc cluster ca rotate 后,查看集群的认证中心 (CA) 证书的轮换状态。

ibmcloud oc cluster ca status --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

示例 cluster ca status 命令

ibmcloud oc cluster ca status --cluster my_cluster

ibmcloud oc cluster config

虚拟私有云 经典基础架构

登录到 IBM Cloud后,将 Kubernetes 配置数据和证书作为 kubeconfig 文件下载到本地计算机,以便您可以连接到集群并运行 oc 命令。

kubeconfig 文件将合并到 ~/.kube/config 中的现有 kubeconfig 文件 (在 Windows 中为 <user_profile>/.kube/config ) 或由 KUBECONFIG 环境变量在命令行会话中设置的最后一个文件。 运行 ibmcloud oc cluster config 后,可以立即与集群进行交互,并将上下文快速更改为 Kubernetes 上下文中的其他集群。

ibmcloud oc cluster config --cluster CLUSTER [--admin] [--endpoint ENDPOINT_TYPE] [--network] [--skip-rbac] [-q] [-o]
最低必需许可权
查看者读者 IBM Cloud IBM Cloud Kubernetes Service中集群的 IAM 服务访问角色。 此外,如果您只有平台访问角色或只有服务访问角色,还会有其他限制。
  • 平台:如果只有平台访问角色,则可以执行此命令,但需要 服务访问角色 才能在群集中执行 Kubernetes 操作。
  • 服务:如果您拥有 service 访问角色,则可以执行此命令。 但是,集群管理员必须通过运行 ibmcloud oc cluster ls 命令或使用 IBM Cloud Kubernetes Service 控制台为您收集集群详细信息。 收到集群名称和标识后,可以通过打开浏览器到 <master_URL>/console 来打开 Red Hat OpenShift Web 控制台。

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--admin
可选:使用此选项需要管理员平台角色。 下载超级用户角色的 TLS 证书和许可权文件。 文件下载到 <user_home_directory>/.bluemix/plugins/kubernetes-service/clusters/<cluster_name>-admin。 证书可以撤销或轮换。 如需了解更多信息,请参阅 在群集中轮流使用 CA 证书
--endpoint ENDPOINT_TYPE
可选: 指定用于连接到集群的端点的类型。 如果未指定此选项,那么将使用集群的缺省服务端点。
  • private: 如果为集群启用了私有云服务端点,请设置为 private 以将私有云服务端点用于集群上下文。 请注意,您必须位于 IBM Cloud 专用网络中,或者通过 VPC VPN 连接 连接到专用网络,或者对于经典基础架构,经典 VPN 连接IBM Cloud Direct Link

  • link: 要从 IBM Cloud 专用网络中连接到 IBM Cloud Satellite 集群,请设置为 link 以将 Satellite 位置的链接端点用于集群上下文。 如果指定该选项,还必须指定 --admin 选项。 如果您没有连接到 IBM Cloud 专用网络,则无需使用此选项,因为集群服务 URL 已启用。 在可以使用 link 端点类型之前,请确保设置所需的 在您的位置

  • vpe: 如果是 VPC 集群,请设置为 vpe 以将虚拟专用端点网关用于集群上下文。 请注意,您必须连接到通过 VPC VPN 连接 部署集群的同一 VPC。

--network
可选:下载 Calico 配置文件、TLS 证书以及在群集中运行 calicoctl 命令所需的权限文件。
--skip-rbac
跳过基于 IBM Cloud IAM 服务访问角色向集群配置添加用户 Kubernetes RBAC 角色的操作。 仅当您管理自己的 Kubernetes RBAC 角色时,才包含此选项。 如果使用 IBM Cloud IAM 服务访问角色 来管理所有 RBAC 用户,请不要包含此选项。
-q
可选:不显示当天的消息或更新提示。
-o
可选:以 YAML、JSON 或 .zip 格式。

示例 cluster config 命令

ibmcloud oc cluster config --cluster my_cluster

ibmcloud oc cluster create classic

经典基础结构

在经典基础架构上创建具有工作程序节点的集群。

Red Hat OpenShift on IBM Cloud 集群是使用仅公共服务端点或同时使用公共服务端点和专用服务端点创建的。 无法禁用公共服务端点,因此,无法将公共 Red Hat OpenShift 集群转换为专用集群。 如果希望集群保持专用,请参阅 规划集群网络设置

ibmcloud oc cluster create classic [--hardware HARDWARE] --zone ZONE --flavor FLAVOR --name NAME  [--operating-system SYSTEM] [--version MAJOR.MINOR.PATCH] [--no-subnet] [--sm-group GROUP] [--sm-instance INSTANCE] [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN]  [--private-service-endpoint] [--public-service-endpoint] --workers WORKER [--disable-disk-encrypt] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--skip-advance-permissions-check] [--entitlement ENTITLEMENT][-q]

要创建 VPC 集群,请改为使用 ibmcloud oc cluster create vpc-gen2 命令

最低必需许可权
IBM Cloud Kubernetes Service 账户级别的管理员平台访问角色
IBM Cloud Container Registry 账户级别的管理员平台访问角色
对 IBM Cloud 基础架构的超级用户角色

命令选项

--hardware HARDWARE

工作程序节点的硬件隔离级别。 使用 dedicated,以便可用的物理资源仅供您专用,或者使用 shared 以允许物理资源与其他 IBM 客户共享。 缺省值为 shared。 对于裸机类型模板,请指定 dedicated

--zone ZONE

要在其中创建集群的专区。 此值对于标准集群是必需的。

查看可用的 经典VPC 区域。 选择您所在国家或地区以外的专区时,请记住,您可能需要法律授权才能将数据实际存储在国外。

--flavor FLAVOR

为工作程序节点选择类型模板(或机器类型)。 可以将工作程序节点作为虚拟机部署在共享或专用硬件上,也可以作为物理机器部署在裸机上。 可用的物理和虚拟类型模板随集群的部署专区而变化。 有关更多信息,请参阅 ibmcloud oc flavors (machine-types) 命令的文档。

--name NAME

必须填写:群集名称。 名称必须以字母开头,可包含字母、数字、句点 (.) 和连字符 (-),且必须少于或等于 35 个字符。 请使用在各区域中唯一的名称。 集群名称和部署集群的区域构成了 Ingress 子域的标准域名。 为了确保 Ingress 子域在区域内是唯一的,可能会截断 Ingress 域名中的集群名称并附加随机值。

--operating-system RHEL_9_64|REDHAT_8_64|RHCOS

可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。

--version MAJOR.MINOR.PATCH

可选:群集主节点的 Kubernetes 版本。 未指定版本时,会使用受支持 Kubernetes 版本的缺省值来创建集群。 要查看可用版本,请运行 ibmcloud oc versions

--no-subnet

缺省情况下,将在与集群关联的 VLAN 上创建公用和专用可移植子网。 包括 --no-subnet 选项,以避免在集群中创建子网。 您可以日后为集群创建添加子网。

--sm-group GROUP

保存秘密的 Secrets Manager 实例的秘密组 ID。 要获取私钥组标识,请参阅 Secrets Manager CLI 参考

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。 要获取实例的 CRN,请运行 ibmcloud oc ingress instance ls --cluster CLUSTER

--private-vlan PRIVATE_VLAN

如果此标准群集是您在此区域创建的第一个标准群集,则不包括此选项。 创建集群时,将为您创建专用 VLAN。 如果之前在此专区中已创建标准集群,或者之前在 IBM Cloud 基础架构中已创建专用 VLAN,那么必须指定该专用 VLAN。 专用 VLAN 路由器始终以 bcr(后端路由器)开头,而公用 VLAN 路由器始终以 fcr(前端路由器)开头。 创建集群并指定公用和专用 VLAN 时,在这些前缀之后的数字和字母组合必须匹配。

要了解特定区域是否已有专用 VLAN,或查找现有专用 VLAN 的名称,请运行 ibmcloud oc vlan ls --zone ZONE

--public-vlan PUBLIC_VLAN

如果此标准群集是您在此区域创建的第一个标准群集,请勿使用此选项。 创建集群时,将为您创建公用 VLAN。 如果之前在此专区中已创建标准集群,或者之前在 IBM Cloud 基础架构中已创建公用 VLAN,请指定该公用 VLAN。 如果只想将工作节点连接到专用 VLAN,请不要指定此选项。 专用 VLAN 路由器始终以 bcr(后端路由器)开头,而公用 VLAN 路由器始终以 fcr(前端路由器)开头。 创建集群并指定公用和专用 VLAN 时,在这些前缀之后的数字和字母组合必须匹配。

要了解特定区域是否已有公用 VLAN,或查找现有公用 VLAN 的名称,请运行 ibmcloud oc vlan ls --zone ZONE

--private-service-endpoint

通过 VRF 和服务端点启用的 帐户中的标准集群: 启用 私有云服务端点,以便 Kubernetes 主节点和工作程序节点通过专用 VLAN 进行通信。 如果指定此选项,那么还必须使用 --public-service-endpoint 选项来启用公共云服务端点。 请注意,以后无法更改云服务端点。 创建群集后,可通过运行 ibmcloud oc cluster get --cluster <cluster_name_or_ID>.

--public-service-endpoint

启用 公有云服务端点,以便可以通过公有网络访问您的 Kubernetes 主服务器,例如运行 oc 来自命令行的命令。 只能在未启用 VRF 的帐户中创建仅公用集群。 如果您具有 使用 VRF 和服务端点启用的帐户 并且还包含 --private-service-endpoint 选项,那么主工作程序节点通信将通过专用网络和公用网络进行。 创建群集后,可通过运行 ibmcloud oc cluster get --cluster <cluster_name_or_ID>.

--workers WORKERS

可选:指定要包含在群集中的工作节点数量。 缺省值为 1。 如果创建每个专区仅有一个工作程序节点的集群,那么可能会遇到 Ingress 问题。 为实现高可用性,请创建一个群集,每个区域至少有两个工作者。 系统会为每个工作程序节点分配唯一的工作程序节点标识和域名,在创建集群后,不得手动更改该标识和域名。 更改标识或域名会阻止 Kubernetes 主节点管理集群。

--disable-disk-encrypt

工作程序节点缺省情况下具有 AES 256 位磁盘加密功能;了解更多。 要禁用加密,请包括此选项。

--pod-subnet SUBNET

所有部署到 Worker 节点的 pod 默认都会分配一个 172.17.0.0/18 范围内的私有 IP 地址。 如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络,则可指定一个自定义子网 CIDR,为 pod 提供私有 IP 地址,从而避免子网冲突。

选择子网大小时,请考虑计划创建的集群的大小以及未来可能添加的工作程序节点数。 子网的 CIDR 必须至少为 /23,这样才能为集群中最多四个工作节点提供足够的 pod IP。 对于较大的集群,请使用 /22 为 8 个工作程序节点提供足够的 pod IP 地址,使用 /21 为 16 个工作程序节点提供足够的 pod IP 地址,以此类推。

您选择的子网必须在下列其中一个范围内:

  • 172.17.0.0 - 172.17.255.255

  • 172.21.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.254.255

  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。 缺省情况下,服务子网在 172.21.0.0/16 范围内。

--service-subnet *SUBNET

缺省情况下,部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。 如果计划通过 IBM Cloud Direct Link 或 VPN 服务将群集连接到内部网络,则可指定一个自定义子网 CIDR,为服务提供私有 IP 地址,从而避免子网冲突。

子网必须以 CIDR 格式指定,大小至少为 /24,这允许集群中最多 255 个服务或更大的服务。 您选择的子网必须在下列其中一个范围内:

  • 172.17.0.0 - 172.17.255.255

  • 172.21.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.254.255

  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。 缺省情况下,pod 子网在 172.30.0.0/16 范围内。

--skip-advance-permissions-check

可选: 在创建集群之前,跳过 基础架构许可权检查。 请注意,如果您没有正确的基础架构许可权,那么集群创建可能仅会部分成功,例如主供应,但工作程序节点无法供应。 您可以跳过许可权检查,以确定是否要继续以其他方式阻止的操作,例如,当您使用多个基础架构帐户时,如果稍后需要,可以单独处理基础架构资源。

--entitlement ENTITLEMENT

只有在与具有 OpenShift 权限的 Cloud Pak 一起使用该群集时,才将该选项设为 cloud_pak。 当您指定工作程序数 (--workers) 和类型模板数 (--flavor) 时,请确保仅指定您有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建集群后,不会向您收取 default 工作程序池中授权工作程序节点的 Red Hat OpenShift 许可费用。 请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。

-q

可选:不显示当天的消息或更新提示。

示例 cluster create classic 命令

创建第一个群集:在区域中创建的第一个标准群集也会创建一个专用 VLAN。 因此,请勿包含 --public-vlan 选项。

ibmcloud oc cluster create classic --zone dal10 --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system REDHAT_8_64

创建后续标准群集:如果之前已在此区域创建了标准群集或在 IBM Cloud 基础架构中创建了公共 VLAN,请使用 --public-vlan 选项指定该公共 VLAN。 要了解特定区域是否已有公用 VLAN,或查找现有公用 VLAN 的名称,请运行 ibmcloud oc vlan ls --zone <zone>

ibmcloud oc cluster create classic --zone dal10 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system REDHAT_8_64

ibmcloud oc cluster create vpc-gen2

虚拟私有云

在第 2 代基础结构上创建具有工作程序节点的虚拟私有云 (VPC) 集群。 登录到 IBM Cloud 帐户时,请将要在其中创建 VPC 集群的 IBM Cloud 区域和资源组设定为目标。 有关支持的区域,请参阅在其他区域中创建 VPC。 集群的资源组可以不同于 VPC 资源组。

具有实例存储器的 VPC Gen 2 集群虚拟硬件样板可用于列入允许列表的帐户。 要添加到允许列表,请在支持下 打开案例

您的 VPC 集群是使用公共云服务端点和私有云服务端点创建的。 稍后无法禁用公共服务端点,因此,无法将公共集群转换为专用集群。

ibmcloud oc cluster create vpc-gen2 --name NAME --zone ZONE --vpc-id VPC_ID --subnet-id VPC_SUBNET_ID --flavor WORKER_FLAVOR [--cluster-security-group GROUP_ID] [--operating-system SYSTEM] [--version VERSION] --cos-instance COS_CRN --workers NUMBER_WORKERS_PER_ZONE [--dedicated-host-pool POOL] [--disable-outbound-traffic-protection] [--disable-public-service-endpoint] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--entitlement ENTITLEMENT] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID][--skip-advance-permissions-check] [--sm-group GROUP] [--sm-instance INSTANCE] [-q] [--secondary-storage STORAGE]
最低必需许可权
VPC 基础架构的管理员 平台访问角色
针对帐户级别的 IBM Cloud Kubernetes Service 的 管理员 平台访问角色
WriterManager 服务访问角色,用于 IBM Cloud Kubernetes Service。
针对帐户级别的 IBM Cloud Container Registry 的 管理员 平台访问角色

命令选项

--name NAME

必须填写:群集名称。 名称必须以字母开头,可包含字母、数字、句点 (.) 和连字符 (-),且必须少于或等于 35 个字符。 请使用在各区域中唯一的名称。 集群名称和部署集群的区域构成了 Ingress 子域的标准域名。 为了确保 Ingress 子域在区域内是唯一的,可能会截断 Ingress 域名中的集群名称并附加随机值。

--zone ZONE

需要:选择一个区域来部署初始群集 Worker 池。 如果在多专区大城市中创建集群,那么日后可以向工作程序池添加专区。 要列出可用的 VPC 区域,请运行 ibmcloud oc zone ls --provider vpc-gen2

选择您所在国家或地区以外的专区时,请记住,您可能需要法律授权才能将数据实际存储在国外。

--vpc-id VPC_ID

必填:要在其中创建群集和工作节点的 VPC 的 ID。 要列出可用的 ID,请运行 ibmcloud oc vpcs

--subnet-id VPC_SUBNET_ID

必填:分配群集的 VPC 子网。 要列出可用的 VPC 子网,请运行 ibmcloud oc subnets --provider vpc-gen2

--version VERSION

群集主节点的 Red Hat OpenShift 版本。 要查看可用版本,请运行 ibmcloud oc versions

--flavor FLAVOR

选择工作程序节点的类型模板。 可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。 要查看某一区域可用的调味品,请运行 ibmcloud oc flavors --zone <vpc_zone> --provider vpc-gen2

--cluster-security-group GROUP_ID

可选。 指定适用于群集上所有工作者的附加安全组 ID。 对于要添加的每个单独的安全组,必须包含单独的 --cluster-security-group 选项。 要应用 IBM 创建的 kube-clusterID,请使用 --cluster-security-group cluster。 如果未指定值,那么将仅应用 kube-clusterID 和缺省 VPC 安全组。 最多可以将 5 个安全组应用于工作程序,包括缺省安全组。 请注意,仅当未指定其他安全组时,才会应用 VPC 安全组。 有关更多信息,请参阅 在创建期间向集群和工作程序池添加 VPC 安全组。 一旦创建了集群,就无法更改应用于该集群的安全组。 您可以更改应用于集群的安全组的规则,但不能在集群级别添加或除去安全组。 如果在集群创建时应用了不正确的安全组,那么必须删除该集群并创建新的安全组。 有关更多信息,请参阅 在创建期间向集群和工作程序池添加 VPC 安全组

--operating-system RHEL_9_64|REDHAT_8_64|RHCOS

可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。

--cos-instance COS_CRN

包含标准 IBM Cloud Object Storage 实例的 CRN 标识,以备份集群的内部注册表。 要列出现有实例的 CRN,请运行 ibmcloud resource service-instances --long 并查找对象存储实例的 ID。 要创建标准对象存储器实例,请运行 ibmcloud resource service-instance-create <name> cloud-object-storage standard global 并记下其 标识

--preview PREVIEW

可选: 指定一个或多个集群级别预览功能,例如 fips

--dedicated-host-pool POOL

可选: 要在其中运行工作程序的专用主机池的标识。

--workers NUMBER_WORKERS_PER_ZONE

可选:指定要包含在群集中的工作节点数量。 缺省值为 1。

--disable-outbound-traffic-protection

包含此选项以允许来自集群工作程序的公共出站访问。 缺省情况下,将在 OpenShift 版本 4.15 和更高版本以及 Kubernetes 版本 1.30 和更高版本中阻止公共出站访问。

--disable-public-service-endpoint

要确保工作节点和授权群集用户仅通过私有云服务端点与主控端通信,请加入此选项以创建不含公共云服务端点的群集。 如果包含此选项,那么将使用路由器和 Ingress 控制器创建集群,这些路由器和 Ingress 控制器仅在缺省情况下在专用网络上公开应用程序。 如果您以后想要向公用网络公开应用程序,那么必须手动创建公用路由器和 Ingress 控制器。

--pod-subnet SUBNET

在 VPC 中创建的第一个集群中,缺省 pod 子网为 172.17.0.0/18。 在该 VPC 中创建的第二个集群中,缺省 pod 子网为 172.17.64.0/18。 在每个后续集群中,pod 子网范围是下一个可用的非重叠 /18 子网。 如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络,则可指定一个自定义子网 CIDR,为 pod 提供私有 IP 地址,从而避免子网冲突。

选择子网大小时,请考虑计划创建的集群的大小以及未来可能添加的工作程序节点数。 子网的 CIDR 必须至少为 /23,这样才能为集群中最多四个工作节点提供足够的 pod IP。 对于较大的集群,请使用 /22 为 8 个工作程序节点提供足够的 pod IP 地址,使用 /21 为 16 个工作程序节点提供足够的 pod IP 地址,以此类推。

: 所有部署到 Worker 节点的 pod 默认都会分配一个 172.17.0.0/18 范围内的私有 IP 地址。 如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络,则可指定一个自定义子网 CIDR,为 pod 提供私有 IP 地址,从而避免子网冲突。

对于 VPC 集群,可以通过在 --pod-subnet 选项中包含子网大小来指定子网大小。 例如: --pod-subnet 0.0.0.0/X,其中 X 是必需的 pod 子网大小。 然后,将自动选择 pod 子网。 自动分配 pod 子网时,分配将从 172.17.0.0 开始,最大子网限制为 13,最小子网大小限制为 23。 有关更多信息,请参阅 配置 VPC 子网。 您选择的子网必须在下列其中一个范围内。

  • 172.17.0.0 - 172.17.255.255

  • 172.21.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.254.255

  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。 如果对工作程序节点使用定制范围子网,那么必须 确保工作程序节点子网与集群的 pod 子网不重叠

--service-subnet SUBNET

缺省情况下,部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。 如果计划通过 IBM Cloud Direct Link 或 VPN 服务将群集连接到内部网络,则可指定一个自定义子网 CIDR,为服务提供私有 IP 地址,从而避免子网冲突。 子网必须以 CIDR 格式指定,大小至少为 /24,这允许集群中最多 255 个服务或更大的服务。 您选择的子网必须在下列其中一个范围内。

  • 172.17.0.0 - 172.17.255.255
  • 172.21.0.0 - 172.31.255.255
  • 192.168.0.0 - 192.168.254.255
  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。

--entitlement ocp_entitled

仅当您使用具有 Red Hat OpenShift 权利的此集群时,才应包含此选项。 指定工作程序数 (--workers) 和类型模板数 (--flavor) 时,请确保仅指定有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建集群后,不会向您收取 default 工作程序池中授权工作程序节点的 Red Hat OpenShift 许可证费用。 请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。

--skip-advance-permissions-check

可选: 在创建集群之前,跳过 基础架构许可权检查。 请注意,如果您没有正确的基础架构许可权,那么集群创建可能仅会部分成功,例如主供应,但工作程序节点无法供应。 您可以跳过许可权检查,以确定是否要继续以其他方式阻止的操作,例如,当您使用多个基础架构帐户时,如果稍后需要,可以单独处理基础架构资源。

--kms-account-id ID

可选项:包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。

--kms-instance KMS_INSTANCE_ID

可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。 要列出可用的 KMS 实例,请运行 ibmcloud oc kms instance ls。 如果包含该选项,还必须包含 --crk 选项。 必须先创建 KMS 实例并在 IAM 中设置所需的服务授权,然后才能使用 KMS 加密。 请参阅 管理集群中工作程序节点的加密

--crk ROOT_KEY

可选: 在 KMS 实例中包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的根密钥的标识。 要列出可用的根密钥,请运行 ibmcloud oc kms crk ls --instance-id。 如果包含该选项,还必须包含 --kms-instance 选项。 必须先创建 KMS 实例并在 IAM 中设置所需的服务授权,然后才能使用 KMS 加密。 请参阅 管理集群中工作程序节点的加密

--sm-group GROUP

保存秘密的 Secrets Manager 实例的秘密组 ID。 要获取私钥组标识,请参阅 Secrets Manager CLI 参考

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。 要查找实例的 CRN,请运行 ibmcloud oc ingress instance ls --cluster CLUSTER

--secondary-storage STORAGE

可选: 类型模板的存储选项。 例如,900gb.5iops-tier。 添加辅助磁盘时,该磁盘用于容器运行时,而主磁盘用于操作系统。 要查看类型模板的存储选项,请运行 **ibmcloud oc flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。

-q

可选:不显示当天的消息或更新提示。

示例 cluster create vpc-gen2 命令

ibmcloud oc cluster create vpc-gen2 --name mycluster --version 4.17_openshift --zone us-south-1 --vpc-id a0123456-78b9-0c1d-23d4-567890123ef4 --subnet-id 1ab23c45-6789-0123-456d-789ef01gh234 --flavor bx2.4x16 --workers 3

ibmcloud oc cluster get

虚拟私有云 经典基础架构

查看集群的详细信息。

ibmcloud oc cluster get --cluster CLUSTER [--show-resources] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--show-resources
显示更多集群资源,例如附加组件、VLAN、子网和存储器。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster get 命令

ibmcloud oc cluster get --cluster my_cluster --show-resources

ibmcloud oc cluster image-security disable

虚拟私有云 经典基础架构

禁用 映像安全性实施。 禁用该功能时,将除去底层 ClusterImagePolicy CRD,这将除去所有缺省映像策略以及您创建的任何定制映像策略。

ibmcloud oc cluster image-security disable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

示例 cluster image-security disable 命令

ibmcloud oc cluster image-security disable --cluster my_cluster

ibmcloud oc cluster image-security enable

虚拟私有云 经典基础架构

通过在集群中安装 Portieris Kubernetes 许可控制器和关联的缺省映像策略来启用 映像安全实施

ibmcloud oc cluster image-security enable --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster image-security enable 命令

ibmcloud oc cluster image-security enable --cluster my_cluster

ibmcloud oc cluster ls

虚拟私有云 经典基础架构 Satellite

列出 IBM Cloud 帐户中的所有集群。

这将返回所有位置中的集群。 要按特定位置过滤群集,请使用 --location 选项。 例如,如果是按 dal 大城市过滤集群,那么会返回该大城市中的多专区集群以及该大城市内数据中心(专区)中的单专区集群。 如果是按 dal10 数据中心(专区)过滤集群,那么将返回在该专区中具有工作程序节点的多专区集群以及该专区中的单专区集群。 可以传递一个位置,也可以传递以逗号分隔的位置列表。

ibmcloud oc cluster ls [--provider (classic | vpc-gen2)] [--location LOCATION] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--provider (classic | vpc-gen2)
可选:根据基础设施提供商类型过滤输出。
-l, --location LOCATION
按特定位置过滤输出。 要查看支持的位置,请运行 ibmcloud oc locations。 要指定多个位置,每个位置使用一个选项,如 -l dal -l seo
--output json
可选:以 JSON 格式打印命令输出。 : 如果不包含 --provider 选项,那么仅返回经典集群。
-q
可选:不显示当天的消息或更新提示。

示例 cluster ls 命令

ibmcloud oc cluster ls -l ams03 -l wdc -l ap

ibmcloud oc cluster master console-oauth-access get

获取 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud oc cluster master console-oauth-access get --cluster CLUSTER [--output OUTPUT] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
--output OUTPUT
以提供的格式打印命令输出。 接受的值: json
-q
不显示每日消息或更新提示。

ibmcloud oc cluster master console-oauth-access set

设置 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud oc cluster master console-oauth-access set --cluster CLUSTER [-f] [-q] [--type TYPE]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
-f
强制此命令运行,而不显示用户提示。
-q
不显示每日消息或更新提示。
--type TYPE
指定 OpenShift Web 控制台和 OAuth 服务器访问类型。 接受的值: vpe-gatewaylegacy

ibmcloud oc cluster master pod-security get

虚拟私有云 经典基础架构

查看群集 Kubernetes API 服务器的 pod 安全许可配置。

ibmcloud oc cluster master pod-security get --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security get 命令

ibmcloud oc cluster master pod-security get --cluster mycluster

ibmcloud oc cluster master pod-security policy disable

虚拟私有云 经典基础架构

禁用集群的 Kubernetes API 服务器的 pod 安全策略。

ibmcloud oc cluster master pod-security policy disable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security policy disable 命令

ibmcloud oc cluster master pod-security policy disable --cluster mycluster

ibmcloud oc cluster master pod-security policy enable

虚拟私有云 经典基础架构

为集群的 Kubernetes API 服务器启用 pod 安全策略。 请注意,pod 安全策略在运行 1.25 或更高版本的集群中不可用。

ibmcloud oc cluster master pod-security policy enable --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security policy enable 命令

ibmcloud oc cluster master pod-security policy enable --cluster mycluster

ibmcloud oc cluster master pod-security policy get

虚拟私有云 经典基础架构

查看群集 Kubernetes API 服务器的 pod 安全策略配置。 请注意,pod 安全策略在运行 1.25 或更高版本的集群中不可用。

ibmcloud oc cluster master pod-security policy get --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security policy get 命令

ibmcloud oc cluster master pod-security policy get --cluster mycluster

ibmcloud oc cluster master pod-security set

虚拟私有云 经典基础架构

设置并启用集群的 Kubernetes API 服务器的 pod 安全许可

ibmcloud oc cluster master pod-security set --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security set 命令

ibmcloud oc cluster master pod-security set --cluster mycluster

ibmcloud oc cluster master pod-security unset

虚拟私有云 经典基础架构

除去集群的 Kubernetes API 服务器的 pod 安全许可 配置。

ibmcloud oc cluster master pod-security unset --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master pod-security unset 命令

ibmcloud oc cluster master pod-security unset --cluster mycluster

ibmcloud oc cluster master private-service-endpoint allowlist

不再支持专用服务端点允许列表。 尽快从允许列表迁移到基于上下文的限制。 有关更多信息,请参阅 从专用服务端点允许列表迁移到基于上下文的限制(CBR)

管理私有云服务端点允许列表,以便授权用户只能从允许列表中指定的子网访问私有云服务端点。

ibmcloud oc cluster master private-service-endpoint allowlist add

虚拟私有云 经典基础架构

启用私有云服务端点允许列表后,将授权用户可从中访问私有云服务端点的子网添加到允许列表。

例如,要访问集群的私有云服务端点,必须通过 VPN 或 IBM Cloud Direct Link连接到 IBM Cloud 经典网络或 VPC 网络。 您可以为 VPN 或 IBM Cloud Direct Link 隧道添加子网,以便组织中的授权用户只能从该子网访问私有云服务端点。

工作程序节点子网将自动添加到允许列表中并从允许列表中除去,以便工作程序节点可以始终通过私有云服务端点访问主节点。

ibmcloud oc cluster master private-service-endpoint allowlist add --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--subnet SUBNET
必需 :CIDR 格式的子网。 使用多个重复选项指定多个子网。
-q
可选:不显示当天的消息或更新提示。
示例 cluster master private-service-endpoint allowlist add 命令
ibmcloud oc cluster master private-service-endpoint allowlist add --cluster mycluster --subnet 1.1.1.1/16

ibmcloud oc cluster master private-service-endpoint allowlist disable

虚拟私有云 经典基础架构

对集群的私有云服务端点禁用子网允许列表功能。

禁用此功能后,通过集群的私有云服务端点向集群主节点发出的授权请求可以源自任何子网。

ibmcloud oc cluster master private-service-endpoint allowlist disable --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。
示例 cluster master private-service-endpoint allowlist disable 命令
ibmcloud oc cluster master private-service-endpoint allowlist disable --cluster mycluster

ibmcloud oc cluster master private-service-endpoint allowlist enable

虚拟私有云 经典基础架构

为集群的私有云服务端点启用子网允许列表功能。

运行此命令后,请使用 ibmcloud oc cluster master private-service-endpoint allowlist 命令 将子网添加到允许列表。 只允许通过群集的私有云服务端点,向群集主控发送来自允许列表中子网的授权请求。 如果为集群启用了公共云服务端点,那么仍允许通过公共云服务端点进行授权请求。

ibmcloud oc cluster master private-service-endpoint allowlist enable --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。
示例 cluster master private-service-endpoint allowlist enable 命令
ibmcloud oc cluster master private-service-endpoint allowlist enable --cluster mycluster

ibmcloud oc cluster master private-service-endpoint allowlist get

虚拟私有云 经典基础架构

列出集群的私有云服务端点的允许列表中的所有子网。

此列表包含使用 ibmcloud oc cluster master private-service-endpoint allowlist add 命令手动添加的子网以及由 IBM自动添加和管理的子网,例如工作程序节点子网。

ibmcloud oc cluster master private-service-endpoint allowlist get --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。
示例 cluster master private-service-endpoint allowlist get 命令
ibmcloud oc cluster master private-service-endpoint allowlist get --cluster mycluster

ibmcloud oc cluster master private-service-endpoint allowlist rm

虚拟私有云 经典基础架构

除去先前添加到集群的私有云服务端点的允许列表中的子网。

除去子网后,将拒绝从此子网通过私有云服务端点向集群主节点发出的任何请求。

ibmcloud oc cluster master private-service-endpoint allowlist rm --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--subnet SUBNET
必需: 子网 CIDR。 使用多个重复选项指定多个子网。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。
示例 cluster master private-service-endpoint allowlist rm 命令
ibmcloud oc cluster master private-service-endpoint allowlist rm --cluster mycluster
 --subnet 1.1.1.1/16

ibmcloud oc cluster master private-service-endpoint disable

经典基础结构

禁用 私有云服务端点 以除去集群主节点的私有辅助功能选项。

重要:在禁用私有端点之前,必须先完成以下步骤以启用公共云服务端点:

  1. 通过运行 ibmcloud oc cluster master public-service-endpoint enable --cluster <cluster_name> 来启用公共云服务端点。
  2. 遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
  3. 重新加载群集中的所有工作节点,以获取公共端点配置。
ibmcloud oc cluster master private-service-endpoint disable --cluster CLUSTER [-f] [-q] [-y]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。
-y
可选:刷新集群主节点并重新装入工作程序节点,而不显示用户提示。

示例 cluster master private-service-endpoint disable 命令

ibmcloud oc cluster master private-service-endpoint disable --cluster my_cluster

ibmcloud oc cluster master private-service-endpoint enable

经典基础结构

启用 私有云服务端点,使您的群集主控以私有方式访问。

要运行此命令,请执行以下操作:

  1. 在您的 IBM Cloud 基础架构帐户中启用 VRF。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。
  2. 启用 IBM Cloud 帐户以使用服务端点
  3. 运行 ibmcloud oc cluster master private-service-endpoint enable --cluster <cluster_name>
  4. 遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
  5. 重新装入集群中的所有工作程序节点以选取专用端点配置。
ibmcloud oc cluster master private-service-endpoint enable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。
-y
可选:刷新集群主节点并重新装入工作程序节点,而不显示用户提示。

示例 cluster master private-service-endpoint enable 命令

ibmcloud oc cluster master private-service-endpoint enable --cluster my_cluster

ibmcloud oc cluster master public-service-endpoint enable

虚拟私有云 经典基础架构

启用 公共云服务端点,以公开访问群集主控程序。

对于 Red Hat OpenShift on IBM Cloud 集群,无法禁用公共服务端点。 如果在 Red Hat OpenShift 集群中启用公共服务端点,那么以后无法将集群从公用转换为专用。

运行此命令后,必须通过遵循 CLI 中的提示来刷新 API 服务器,才能使用服务端点。

ibmcloud oc cluster master public-service-endpoint enable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。
-y
可选:刷新集群主节点,而不显示用户提示。

示例 cluster master public-service-endpoint enable 命令

ibmcloud oc cluster master public-service-endpoint enable --cluster my_cluster

ibmcloud oc cluster master refresh

虚拟私有云 经典基础架构

对使用 ibmcloud oc cluster master 命令请求的 Kubernetes 主节点应用配置更改。 高可用性 Kubernetes 主节点组件以滚动重新启动方式重新启动。 但是,工作程序节点、应用程序和资源不会修改,并且会继续运行。

不推荐使用此命令的 apiserver-refreshcluster-refresh 别名。

ibmcloud oc cluster master refresh --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc cluster master update

虚拟私有云 经典基础架构 Satellite

更新 Kubernetes 主服务器和 API 服务器。 更新期间,您无法访问或更改群集。 已部署的工作节点、应用程序和资源不会被修改并继续运行。

您可能需要更改 YAML 文件以供未来部署。 请查看此发行说明以了解详细信息。

不推荐使用此命令的 cluster-update 别名。

ibmcloud oc cluster master update --cluster CLUSTER [--version MAJOR.MINOR.PATCH] [--force-update] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--version MAJOR.MINOR.PATCH
可选:群集的 Kubernetes 版本。 如果不指定版本,Kubernetes 主站将更新为默认的 API 版本。 要查看可用版本,请运行 ibmcloud oc versions
--force-update
可选:即使更改与工作节点版本相差两个次版本以上,也要尝试更新。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster master update 命令

ibmcloud oc cluster master update --cluster my_cluster

ibmcloud oc cluster pull-secret apply

虚拟私有云 经典基础架构

为集群创建 IBM Cloud IAM 服务标识,为该服务标识创建策略,以用于在 IBM Cloud Container Registry 中分配读者服务访问角色,然后为该服务标识创建 API 密钥。 然后,API 密钥会被存储在 Kubernetes 镜像拉取密钥中,这样你就可以从 IBM Cloud Container Registry 命名空间为 default Red Hat OpenShift 项目中的容器拉取镜像。 创建集群时会自动执行此过程。 如果在集群创建过程中遇到错误或具有现有集群,那么可以使用此命令再次应用该过程。

通过使用 IAM API 密钥访问 IBM Cloud Container Registry,您可以为服务 ID 定制 IAM 策略,以限制对命名空间或特定图像的访问。 例如,可以更改集群的映像拉取私钥中的服务标识策略,以仅从特定注册表区域或名称空间中拉取映像。 必须为 IBM Cloud 启用 IBM Cloud Container Registry IAM 策略后,才能定制 IAM 策略。 有关更多信息,请参阅 了解如何授权集群从 IBM Cloud Container Registry 拉取映像

运行此命令时,IAM 凭证和映像拉取私钥的创建操作将启动,并且可能需要一些时间才能完成。 在创建映像拉取机密之前,无法部署从 IBM Cloud Container Registry icr.io 域拉取映像的容器。 要检查图像提取秘密,请运行 oc get secrets | grep icr-io。 如果向现有服务标识添加了 IAM 策略,例如用于限制对区域注册表的访问,那么此命令将重置映像拉取私钥的服务标识、IAM 策略和 API 密钥。

ibmcloud oc cluster pull-secret apply --cluster CLUSTER

最低必需许可权

  • 中群集的操作员或管理员平台访问角色 IBM Cloud Kubernetes Service
  • 在 IBM Cloud Container Registry 中跨所有区域和资源组的管理员平台访问角色。 该策略不能作用于特定区域或资源组。

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。

ibmcloud oc cluster rm

虚拟私有云 经典基础架构

删除集群。 所有工作程序节点、应用程序和容器都将永久删除。 此操作无法撤销。

ibmcloud oc cluster rm --cluster CLUSTER [--force-delete-storage] [--skip-advance-permissions-check] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--force-delete-storage
可选:删除群集和群集使用的任何持久存储。 注意:如果包含此选项,则无法恢复群集或其相关存储实例中存储的数据。
--skip-advance-permissions-check
可选: 在删除集群之前,跳过 基础架构许可权检查。 请注意,如果您没有正确的基础架构许可权,那么集群删除可能只会部分成功,例如要除去的 IBM管理的主节点,但无法从基础架构帐户中除去工作程序节点。 您可以跳过许可权检查,以确定是否要继续以其他方式阻止的操作,例如,当您使用多个基础架构帐户时,如果稍后需要,可以单独处理基础架构资源。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster rm 命令

ibmcloud oc cluster rm --cluster my_cluster

ibmcloud oc cluster service bind

虚拟私有云 经典基础架构

通过将服务实例绑定到 Red Hat OpenShift 项目,将 IBM Cloud 服务添加到群集。 此命令将创建 IBM Cloud 服务的服务凭证,并将这些凭证存储在集群的 Kubernetes 私钥中。

要查看 IBM Cloud 目录中的可用 IBM Cloud 服务,请运行 ibmcloud service offerings:只能添加支持服务密钥的 IBM Cloud 服务。 有关服务绑定以及可以将哪些服务添加到集群的更多信息,请参阅使用 IBM Cloud 服务绑定来添加服务

ibmcloud oc cluster service bind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE [--key SERVICE_INSTANCE_KEY] [--role IAM_SERVICE_ROLE] --service SERVICE_INSTANCE [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE
必须填写:Red Hat OpenShift 项目的名称,您要在该项目中为服务凭据创建 Kubernetes secret。
--key SERVICE_INSTANCE_KEY
可选:现有服务密钥的名称或 GUID。 使用 service-binding 命令时,会自动为服务实例创建新的服务凭证,并为启用 IAM 的服务分配 IAM 写入者服务访问角色。 如果要使用先前创建的现有服务密钥,请使用此选项。 如果定义了服务密钥,就不能同时设置 --role 选项,因为服务密钥已经用特定的 IAM 服务访问角色创建。
--role IAM_SERVICE_ROLE
您希望服务密钥具有的 IBM Cloud IAM 角色。 此值是可选的,并且只能用于启用 IAM 的服务。 如果不设置该选项,则会自动创建服务凭证并分配 IAM Writer 服务访问角色。 如果希望通过指定 --key 选项来使用现有的服务密钥,请不要包含此选项。 要列出服务的可用角色,请运行 ibmcloud iam roles --service <service_name>。 服务名称是服务在目录中的名称,可以通过运行 ibmcloud catalog search 来获取。
--service SERVICE_INSTANCE
必须填写:要绑定的 IBM Cloud 服务实例的名称。 要查找名称,请运行 ibmcloud resource service-instances
-q
可选:不显示当天的消息或更新提示。

示例 cluster service bind 命令

ibmcloud oc cluster service bind --cluster my_cluster --namespace my_namespace --service my_service_instance

ibmcloud oc cluster service ls

虚拟私有云 经典基础架构

列出与群集中一个或所有 Red Hat OpenShift 项目绑定的服务。 如果未指定任何选项,则会显示默认项目的服务。

ibmcloud oc cluster service ls --cluster CLUSTER [--namespace KUBERNETES_NAMESPACE] [--all-namespaces] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE
可选:包括与群集中特定项目绑定的服务。
--all-namespaces
可选:包括与群集中所有项目绑定的服务。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 cluster service ls 命令

ibmcloud oc cluster service ls --cluster my_cluster --namespace my_namespace

ibmcloud oc cluster service unbind

虚拟私有云 经典基础架构

通过从 Red Hat OpenShift 项目中解除绑定,从集群中删除 IBM Cloud 服务。

除去 IBM Cloud 服务时,会从集群中除去服务凭证。 如果 pod 仍在使用服务,则会因找不到服务凭据而失败。

ibmcloud oc cluster service unbind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE --service SERVICE_INSTANCE [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE
必需: Red Hat OpenShift 项目的名称。
--service SERVICE_INSTANCE
必须填写:要删除的 IBM Cloud 服务实例的名称。 要查找服务实例的名称,请运行 ibmcloud oc cluster service ls --cluster <cluster_name_or_ID>
-q
可选:不显示当天的消息或更新提示。

示例 cluster service unbind 命令

ibmcloud oc cluster service unbind --cluster my_cluster --namespace my_namespace --service 8567221

ibmcloud oc cluster subnet add

经典基础结构

使 IBM Cloud 基础架构帐户中的现有可移植公用或专用经典子网可供集群使用,或者复用已删除集群中的子网,而不使用自动供应的子网。

使子网可供集群使用时,此子网的 IP 地址会用于集群联网。 为了避免 IP 地址冲突,请确保一个子网只用于一个集群。 不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。 如果在多个集群中使用同一子网,那么缺省 Ingress TLS 证书可能会失效。 要在非 VRF 账户中同一 VLAN 不同子网的工作人员之间进行通信,必须 启用同一 VLAN 子网之间的路由

ibmcloud oc cluster subnet add --cluster CLUSTER --subnet-id SUBNET [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--subnet-id SUBNET
必须填写:子网 ID。
-q
可选:不显示当天的消息或更新提示。

示例 cluster subnet add 命令

ibmcloud oc cluster subnet add --cluster my_cluster --subnet-id 1643389

ibmcloud oc cluster subnet create

经典基础结构

在公用或专用 VLAN 上 IBM Cloud 基础架构帐户中创建可移植经典子网,并使其可供集群使用。

可移植公共 IP 地址按月收费。 如果在供应集群后除去可移植公共 IP 地址,那么即使只使用了很短的时间,您也仍然必须支付一个月的费用。 使子网可供集群使用时,此子网的 IP 地址会用于集群联网。 为了避免 IP 地址冲突,请确保一个子网只用于一个集群。 不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。 如果在多个集群中使用同一子网,那么缺省 Ingress TLS 证书可能会失效。 在经典集群中,如果有多个 VLAN 用于集群,有多个子网位于同一 VLAN 上,或有一个多专区经典集群,那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF),从而使工作程序节点可以在专用网络上相互通信。 要启用 VRF,请参阅 启用 VRF。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。 如果无法或不想启用 VRF,请启用 VLAN 生成。 要执行此操作,需要有“网络”>“管理网络 VLAN 跨基础架构”权限,或者可以要求账户所有者启用该权限。 要检查 VLAN spanning 是否已启用,请使用 ibmcloud oc vlan spanning get --region <region> 命令

ibmcloud oc cluster subnet create --cluster CLUSTER --size SIZE --vlan VLAN_ID [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。 要列出集群,请使用 ibmcloud oc cluster ls 命令
--size SIZE
要在可移植子网中创建的 IP 地址数。 接受的值为 8、16、32 或 64。 添加子网的可移植 IP 地址时,会使用 3 个 IP 地址来建立集群内部联网。 您不能将这三个 IP 地址用于 Ingress 应用程序负载平衡器 (ALB) 或创建网络负载平衡器 (NLB) 服务。 例如,如果请求 8 个可移植公共 IP 地址,那么可以使用其中 5 个地址向公众公开应用程序。
--vlan VLAN_ID
要在其中创建子网的公用或专用 VLAN 的标识。 必须选择现有工作程序节点连接到的公用或专用 VLAN。 要查看工人节点连接的公用或专用 VLAN,请运行 ibmcloud oc cluster get --cluster <cluster> --show-resources 并在输出中查找子网 VLAN 部分。 子网会在 VLAN 所在的区域中进行供应。
-q
可选:不显示当天的消息或更新提示。

示例 cluster subnet create 命令

ibmcloud oc cluster subnet create --cluster my_cluster --size 8 --vlan 1764905

ibmcloud oc cluster subnet detach

经典基础结构

将 IBM Cloud 基础设施账户中的公共或私有便携式经典子网从群集中分离出来。 子网在 IBM Cloud 基础架构帐户中仍然可用。 :除去子网后,部署到该子网中 IP 地址的任何服务仍将保持活动状态。

ibmcloud oc cluster subnet detach --cluster CLUSTER --subnet-id SUBNET_ID [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。 要列出集群,请使用 ibmcloud oc cluster ls 命令
--vlan VLAN_ID
要拆离的公用或专用子网的标识。 要查找子网 ID,首先运行 ibmcloud oc cluster get --cluster <cluster> --show-resources,然后在输出的子网 VLAN 部分查找子网 CIDR。 然后,使用子网 CIDR,运行 ibmcloud oc subnets --provider classic 并查找子网 ID
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 cluster subnet detach 命令

ibmcloud oc cluster subnet detach --cluster my_cluster --subnet-id 1602829

不推荐:ibmcloud oc cluster user-subnet add

经典基础结构

将您自己的专用子网置于 IBM Cloud Kubernetes Service 集群中。 此专用子网不是 IBM Cloud 基础架构提供的子网。 因此,您必须为子网配置任何入站和出站网络流量路由。

不推荐使用该命令。 通过运行 ibmcloud oc cluster subnet add 将现有 IBM Cloud 基础架构子网添加到集群。

使子网可供集群使用时,此子网的 IP 地址会用于集群联网。 为了避免 IP 地址冲突,请确保一个子网只用于一个集群。 不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。 如果在多个集群中使用同一子网,那么缺省 Ingress TLS 证书可能会失效。 在经典集群中,如果有多个 VLAN 用于集群,有多个子网位于同一 VLAN 上,或有一个多专区经典集群,那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF),从而使工作程序节点可以在专用网络上相互通信。 要启用 VRF,请参阅 启用 VRF。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。 如果无法或不想启用 VRF,请启用 VLAN 生成。 要执行此操作,需要有“网络”>“管理网络 VLAN 跨基础架构”权限,或者可以要求账户所有者启用该权限。 要检查 VLAN spanning 是否已启用,请使用 ibmcloud oc vlan spanning get --region <region> 命令

ibmcloud oc cluster user-subnet add --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--subnet-cidr SUBNET_CIDR
子网无类域间路由 (CIDR)。 此值是必需的,且不得与 IBM Cloud 基础架构使用的任何子网相冲突。 支持的前缀范围从 /30(1 个 IP 地址)到 /24(253 个 IP 地址)。 如果将 CIDR 设置为一个前缀长度,而稍后需要对其进行更改,请先添加新的 CIDR,然后除去旧 CIDR
--private-vlan PRIVATE_VLAN
必填:专用 VLAN 的 ID。 该标识必须用于一个或多个工作程序节点所在的集群中的专用 VLAN。 要查看群集中的专用 VLAN,请运行 ibmcloud oc cluster get --cluster <cluster_name_or_ID> --show-resources。 在输出的 Subnet VLANs 部分中,查找 Public 值为 false 的 VLAN。

示例 cluster user-subnet add 命令

ibmcloud oc cluster user-subnet add --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

不推荐:ibmcloud oc cluster user-subnet rm

经典基础结构

从指定集群除去您自己的专用子网。 除去子网后,部署到您自己专用子网的 IP 地址的任何服务都仍将保持活动状态。

不推荐使用该命令。 要改为从集群中除去 IBM Cloud 基础架构子网,请运行 ibmcloud oc cluster subnet detach

ibmcloud oc cluster user-subnet rm --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--subnet-cidr SUBNET_CIDR
子网无类域间路由 (CIDR)。 此值是必需的,并且必须与 ibmcloud oc cluster user-subnet add 命令设置的 CIDR 匹配。
--private-vlan PRIVATE_VLAN
专用 VLAN 的标识。 此值是必需的,并且必须与 ibmcloud oc cluster user-subnet add 命令设置的 VLAN 标识匹配。

示例 cluster user-subnet rm 命令

ibmcloud oc cluster user-subnet rm --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

Beta: dedicated 命令

查看、创建和除去专用主机或专用主机池。

dedicated 命令以 Beta 版提供。

Beta: ibmcloud oc dedicated flavors

虚拟私有云

查看专用主机特色。

ibmcloud oc dedicated flavors --zone ZONE --provider PROVIDER
最低必需许可权
IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项

--zone ZONE
用于搜索专用主机特色的区域。
--provider PROVIDER
用于搜索专用主机特色的提供程序。
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc dedicated flavors --zone us-south-1 --provider myprovider1

Beta: ibmcloud oc dedicated host create

虚拟私有云

创建专用主机。

ibmcloud oc dedicated host create --flavor FLAVOR --pool POOL --zone ZONE [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项

-- flavor FLAVOR
专用主机的特色。
-- pool POOL
在其中添加专用主机的专用主机池的名称。
--zone ZONE
用于创建专用主机的区域。
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc dedicated host create --flavor b3c.4x16 --pool mypool --zone wdc

Beta: ibmcloud oc dedicated host get

虚拟私有云

获取专用主机的详细信息。

ibmcloud oc dedicated host get --host HOST --pool POOL [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项

--host HOST
专用主机的标识。
--pool POOL
专用主机所在的专用主机池的标识。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated host get --host myhost  --pool mypool

Beta: ibmcloud oc dedicated host ls

虚拟私有云

列出专用主机池中的所有专用主机。

ibmcloud oc dedicated host ls --pool POOL [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项

--pool POOL
专用主机池的标识。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated host ls --pool mypool

Beta: ibmcloud oc dedicated host placement disable

虚拟私有云

禁用专用主机放置。

ibmcloud oc dedicated host placement disable --host HOST --pool POOL
最低必需许可权
IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项

--host HOST
要禁用放置的专用主机的标识。
--pool POOL
专用主机所在的专用主机池的标识。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
--q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated host placement disable --host myhost --pool mypool

Beta: ibmcloud oc dedicated host placement enable

虚拟私有云

启用专用主机放置。

ibmcloud oc dedicated host placement enable --host HOST --pool POOL
最低必需许可权
IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项

--host HOST
要为其启用放置的专用主机的标识。
--pool POOL
专用主机所在的专用主机池的标识。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
--q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated host placement enable --host myhost --pool mypool

Beta: ibmcloud oc dedicated host rm

虚拟私有云

删除专用主机。 此操作无法撤销。

ibmcloud oc dedicated host rm --host HOST --pool POOL [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项

--pool POOL
包含要删除的专用主机的专用主机池 ID。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
--output json
可选:以 JSON 格式打印命令输出。
--q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated host rm --host myhost --pool mypool

Beta: ibmcloud oc dedicated pool create

虚拟私有云

创建专用主机池。

ibmcloud oc dedicated pool create --flavor-class CLASS --metro METRO --name NAME [--output OUTPUT]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项

--flavor-class CLASS
专用主机池的 flavor-class。 要查看可用选项,请运行 ibmcloud ks flavors
--metro METRO
创建专用主机池的都会,如 dalwdc
--name NAME
专用主机池的名称。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated pool --flavor-class mb4c.20x64 --metro dal --name mypool

Beta: ibmcloud oc dedicated pool get

虚拟私有云

获取专用主机池的详细信息。

ibmcloud oc dedicated pool get --pool POOL [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项

--pool POOL
专用主机池的标识。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls

--output OUTPUT

-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated pool get --pool mypool

Beta: ibmcloud oc dedicated pool ls

虚拟私有云

列出所有专用主机池。

ibmcloud oc dedicated pool ls [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项

--output json
可选:以 JSON 格式打印命令输出。
--q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated pool ls

Beta: ibmcloud oc dedicated pool rm

虚拟私有云

删除专用主机池。 此操作无法撤销。

ibmcloud oc dedicated pool rm --pool POOL [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项

--pool POOL
要删除的专用主机池的 ID。 要列出专用主机池,请运行 ibmcloud oc dedicated pool ls
--q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc dedicated pool rm --pool mypool

worker 命令

查看和修改集群的工作程序节点。

不推荐:ibmcloud oc worker add

虚拟私有云 经典基础架构

向集群添加独立工作程序节点。

不推荐使用该命令。 运行 ibmcloud oc worker-pool create classicibmcloud oc worker-pool create vpc-gen2 来创建工人池,或通过运行 ibmcloud oc worker-pool resize.

ibmcloud oc worker add --cluster CLUSTER [--hardware HARDWARE] --flavor FLAVOR --workers NUMBER --private-vlan PRIVATE_VLAN --public-vlan PUBLIC_VLAN [--disable-disk-encrypt] [--operating-system SYSTEM] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--hardware HARDWARE
可选:工作节点的硬件隔离级别。 使用 dedicated,以便可用的物理资源仅供您专用,或者使用 shared 以允许物理资源与其他 IBM 客户共享。 缺省值为 shared。 对于裸机类型模板,请指定 dedicated
--flavor FLAVOR
为工作程序节点选择机器类型(或类型模板)。 可以将工作程序节点作为虚拟机部署在共享或专用硬件上,也可以作为物理机器部署在裸机上。 可用的物理和虚拟机类型随集群的部署专区而变化。 有关更多信息,请参阅 ibmcloud oc flavors (machine-types) 命令的文档。
--workers NUMBER
整数,表示要在集群中创建的工作程序节点数。
--private-vlan PRIVATE_VLAN
必须填写:创建群集时指定的专用 VLAN。 专用 VLAN 路由器始终以 bcr(后端路由器)开头,而公用 VLAN 路由器始终以 fcr(前端路由器)开头。 创建集群并指定公用和专用 VLAN 时,在这些前缀之后的数字和字母组合必须匹配。
--public-vlan PUBLIC_VLAN
可选:创建群集时指定的公共 VLAN。 如果您希望您的工作节点只存在于专用 VLAN 上,请不要提供公用 VLAN ID。 专用 VLAN 路由器始终以 bcr(后端路由器)开头,而公用 VLAN 路由器始终以 fcr(前端路由器)开头。 创建集群并指定公用和专用 VLAN 时,在这些前缀之后的数字和字母组合必须匹配。 如果工人节点只设置了私有 VLAN,则必须通过 启用私有云服务端点配置网关设备,允许工人节点和群集主控进行通信。
--disable-disk-encrypt
工作程序节点缺省情况下具有 AES 256 位磁盘加密功能;了解更多。 要禁用加密,请包括此选项。
--operating-system RHEL_9_64|REDHAT_8_64|RHCOS
可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。
-q
可选:不显示当天的消息或更新提示。

示例 worker add 命令

ibmcloud oc worker add --cluster my_cluster --workers 3 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --hardware shared

ibmcloud oc worker get

虚拟私有云 经典基础架构

查看工作程序节点的详细信息。

ibmcloud oc worker get --cluster CLUSTER_NAME_OR_ID --worker WORKER_NODE_ID [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER_NAME_OR_ID
可选:工作节点群集的名称或 ID。
--worker WORKER_NODE_ID
必须填写:工作节点的名称。 运行 ibmcloud oc worker ls --cluster CLUSTER 查看群集中工作节点的 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker get 命令

ibmcloud oc worker get --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

ibmcloud oc worker ls

虚拟私有云 经典基础架构

列出一个集群中的所有工作程序节点。

ibmcloud oc worker ls --cluster CLUSTER [--worker-pool POOL] [--show-pools] [--show-deleted] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:可用工作节点的群集名称或 ID。
-p, --worker-pool POOL
可选:只查看属于工人池的工人节点。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls --cluster <cluster_name_or_ID>
--show-pools
可选:列出每个工作节点所属的工作池。
--show-deleted
可选:查看从群集中删除的工作节点,包括删除原因。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker ls 命令

ibmcloud oc worker ls --cluster my_cluster

ibmcloud oc worker reboot

虚拟私有云 经典基础架构

重新引导集群中的工作程序节点。

在重新引导期间,工作程序节点的状态不会更改。 例如,如果经典 IBM Cloud 基础架构中的工作节点状态为 Powered Off,而您需要打开工作节点,您可能会使用重启。 重新引导将清除临时目录,但不会清除整个文件系统或重新格式化磁盘。 在执行重新引导操作后,工作程序节点 IP 地址保持不变。

重新引导工作程序节点可能导致工作程序节点上发生数据损坏。 请谨慎使用此命令,仅在确信重新引导可以帮助恢复工作程序节点时使用。 在其他所有情况下,请改为重新装入工作程序节点

在重新引导工作程序节点之前,请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。 重新安排 pod 可避免应用程序宕机或工作节点上的数据损坏。

  1. 列出集群中的所有工作程序节点,并记下要除去的工作程序节点的 name

    oc get nodes
    

    此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。 在运行 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时,您可以找到有关工作节点的更多信息。

  2. 强制从工作程序节点中除去 pod,并将其重新安排到集群中的剩余工作程序节点上。 工作程序节点也会被封锁,或者标记为不可用于将来的 pod 调度。 将 <worker_name> 替换为先前检索的工作程序节点的专用 IP 地址。

    oc adm drain <worker_name>
    

    此过程可能需要几分钟时间。

  3. 重新引导工作程序节点。 使用 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令返回的工人 ID。

    ibmcloud oc worker reboot --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
    
  4. 等待大约 5 分钟后,才能使工作程序节点可用于 pod 安排,以确保重新引导完成。 在重新引导期间,工作程序节点的状态不会更改。 工作程序节点的重新引导通常在几秒后完成。

  5. 使工作程序节点可用于 pod 安排。 使用从 ** 命令返回的工作程序节点的 **nameoc get nodes

    oc adm uncordon <worker_name>
    
ibmcloud oc worker reboot [--hard] --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--hard
可选:使用此选项可切断工作节点的电源,强制重新启动工作节点。 如果工作程序节点无响应或工作程序节点的容器运行时无响应,请使用此选项。
-w, --worker WORKER
指定工作程序节点标识。 要重载多个工作节点,请使用多个选项,如 -w worker1_id -w worker2_id
--skip-master-healthcheck
在重新装入或重新引导工作程序节点之前,跳过对主节点的运行状况检查。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker reboot 命令

ibmcloud oc worker reboot --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

ibmcloud oc worker reload

经典基础结构

重新加载经典工作节点的配置。 要重新加载 VPC 集群中的工作节点,请使用 ibmcloud oc worker replace 命令

如果工作程序节点遇到问题(例如,性能降低),或者如果工作程序节点卡在非正常运行状态,那么重新装入会非常有用。 在重新装入期间,工作程序节点机器将使用最新映像进行更新,并且如果数据未存储在工作程序节点外部,那么将删除数据。 在执行重新装入操作后,工作程序节点公共和专用 IP 地址保持不变。

重新装入工作程序节点会将补丁版本更新应用于工作程序节点,但不会应用主要或次要更新。 要查看从一个补丁版本到下一个补丁版本的更改,请查看 版本更改日志 文档。

在重新装入工作程序节点之前,请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。 重新安排 pod 可避免应用程序宕机或工作节点上的数据损坏。

  1. 列出集群中的所有工作程序节点,并记下要重新装入的工作程序节点的 name

    oc get nodes
    

    此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。 在运行 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时,您可以找到有关工作节点的更多信息。

  2. 重新装入工作程序节点。 在重新装入过程中,会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。 工作程序节点也会被封锁,或者标记为不可用于将来的 pod 调度。 使用 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令返回的工作节点 ID。

    ibmcloud oc worker reload --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
    
  3. 等待重新装入完成。 当工作程序节点处于“正常”状态时,该工作程序节点将再次可用于 pod 调度。

ibmcloud oc worker reload --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-w, --worker WORKER
指定工作程序节点标识。 要重载多个工作节点,请使用多个选项,如 -w worker1_id -w worker2_id
--skip-master-healthcheck
在重新装入或重新引导工作程序节点之前,跳过对主节点的运行状况检查。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker reload 命令

ibmcloud oc worker reload --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

ibmcloud oc worker replace

虚拟私有云 经典基础架构

删除工作程序节点,并将其替换为同一工作程序池中的新工作程序节点。

替换的工作节点在同一区域创建,与旧的工作节点具有相同的功能,但可能会分配新的公共或私有 IP 地址。 如果无法重新加载或更新工作节点,例如工作节点进入故障状态,则可能需要替换工作节点。

您也可以使用该命令更新工作节点的 Kubernetes 版本,使其与 Kubernetes 主节点的主次版本相匹配,方法是加入 --update 选项。 如果不包含 --update 选项,补丁版本更新会应用到工作节点,但不会应用到主要或次要更新。 要查看从一个主要版本、次要版本或补丁版本到下一个版本的更改,请查看 版本更改日志 文档。 请记住,工作程序节点最多只能比主版本 (n-2) 落后两个版本。

更换工作程序节点时,请记住以下注意事项。

要更新 Satellite 工作程序节点,请参阅 更新分配为支持 Satellite的服务的工作程序节点的主机

  • 同时更换多个工作程序节点: 如果同时更换多个工作程序节点,那么将同时删除并更换这些节点,而不是逐个更换。 在更换工作程序节点之前,请确保集群中有足够的容量来重新调度工作负载。
  • 不会保留Node级别定制: 不会将您在个别工作程序节点级别应用的任何定制标签或污点应用于替换工作程序节点。 而是在工作程序池级别应用 labelstaints,以便替换工作程序节点获取这些属性。
  • 自动重新平衡: 如果工作程序池未启用 自动重新平衡,那么不会创建替换工作程序节点。

开始之前,请确保集群具有足够的其他工作程序节点,以便可以重新调度 pod 并继续运行。

  1. 列出集群中的所有工作程序节点,并记下要替换的工作程序节点的 name

    oc get nodes
    

    此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。 在运行 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时,您可以找到有关工作节点的更多信息。

  2. 替换工作程序节点。 在替换过程中,会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。 工作程序节点也会被封锁,或者标记为不可用于将来的 pod 调度。 使用 ibmcloud oc worker ls --cluster <cluster_name_or_ID> 命令返回的工作节点 ID。

    ibmcloud oc worker replace --cluster <cluster_name_or_ID> --worker <worker_node_ID>
    
  3. 验证工作程序节点是否已替换。

    ibmcloud oc worker ls --cluster <cluster_name_or_ID>
    
ibmcloud oc worker replace --cluster CLUSTER_NAME_OR_ID --worker WORKER_ID [--update] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--worker WORKER
必须填写:工作节点的名称或 ID。
--update
包含此选项可将工作节点更新为与主节点和最新补丁相同的主次版本。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker replace 命令

ibmcloud oc worker replace --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

ibmcloud oc worker rm

虚拟私有云 经典基础架构

从集群中除去一个或多个工作程序节点。 如果除去工作程序节点,那么集群将变得不平衡,并且 更换工作程序节点 将不再创建更换工作程序节点。 在除去工作程序节点后,可以通过运行 ibmcloud oc worker-pool rebalance 命令 来自动重新平衡工作程序池。

ibmcloud oc worker rm --cluster CLUSTER --worker WORKER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-w, --worker WORKER
指定工作程序节点标识。 要重载多个工作节点,请使用多个选项,如 -w worker1_id -w worker2_id
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker rm 命令

ibmcloud oc worker rm --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

ibmcloud oc worker update

经典基础结构

更新工作程序节点以将最新的安全性更新和补丁应用于操作系统,并更新 Kubernetes 版本以与 Kubernetes 主节点的版本相匹配。 可以使用 ibmcloud oc cluster master update 命令来更新主节点的 Kubernetes 版本。 请记住,工作程序节点最多只能比主版本 (n-2) 落后两个版本。更新操作后,工作程序节点 IP 地址保持不变。

要更新 VPC 集群中的工作节点,请使用 ibmcloud oc worker replace 命令

运行 ibmcloud oc worker update 可能会导致应用程序和服务产生停机时间。 更新期间,所有 pod 都将重新安排到其他工作程序节点,对该工作程序节点重新应用映像,如果数据未存储在 pod 外部,那么将删除数据。 为避免停机时间,请确保在所选工作程序节点更新时有足够的工作程序节点来处理工作负载

要更新 Satellite 工作程序节点,请参阅 更新分配为支持 Satellite的服务的工作程序节点的主机

在更新前,您可能需要更改 YAML 文件以进行部署。 请查看此发行说明以了解详细信息。

ibmcloud oc worker update --cluster CLUSTER --worker WORKER_ID [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必填:列出可用工作节点的群集名称或 ID。
-w, --worker WORKER
指定工作程序节点标识。 要重载多个工作节点,请使用多个选项,如 -w worker1_id -w worker2_id
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker update 命令

ibmcloud oc worker update --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

worker-pool 命令

查看和修改集群的工作程序池。

ibmcloud oc worker-pool create classic

经典基础结构

可以在集群中创建工作程序池。 添加工作程序池时,缺省情况下不会为其分配专区。 您可以指定每个专区中需要的工作程序数以及工作程序的类型模板。 将为工作程序池提供缺省 Kubernetes 版本。 要完成创建工作程序,请向池添加专区

要在 VPC 集群中创建工作程序池,请使用 ibmcloud oc worker-pool create vpc-gen2 命令

ibmcloud oc worker-pool create classic --name POOL_NAME --cluster CLUSTER --flavor FLAVOR --size-per-zone WORKERS_PER_ZONE --hardware ISOLATION [--disable-disk-encrypt] [--label KEY1=VALUE1] [--operating-system SYSTEM] [--entitlement ENTITLEMENT] [-q] [--output json]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

--name POOL_NAME
要为工作程序池提供的名称。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--flavor FLAVOR
选择机器类型(或类型模板)。 可以将工作程序节点作为虚拟机部署在共享或专用硬件上,也可以作为物理机器部署在裸机上。 可用的物理和虚拟机类型随集群的部署专区而变化。 有关更多信息,请参阅 ibmcloud oc flavors (machine-types) 命令的文档。
--size-per-zone WORKERS_PER_ZONE
要在每个专区中创建的工作程序数。
--hardware ISOLATION
需要:工作节点的硬件隔离级别。 使用 dedicated,以使可用的物理资源仅供您专用,或者使用 shared 以允许物理资源与其他 IBM 客户共享。 缺省值为 shared。 对于裸机类型模板,请指定 dedicated
--disable-disk-encrypt
指定不对磁盘进行加密。 缺省值为 false
-l, --label KEY1=VALUE1
可选:为工人池中的每个工人节点应用键值标签。 要指定多个标签,请使用多个选项,如 -l key1=value1 -l key2=value2
--operating-system RHEL_9_64|REDHAT_8_64|RHCOS
可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。
--entitlement ocp_entitled
仅对具有 Red Hat OpenShift 权利的集群包含此选项。 指定工作程序数 (--size-per-zone) 和类型模板数 (--flavor) 时,请确保仅指定有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建后,工作程序池不会向您收取授权工作程序节点的 Red Hat OpenShift 许可费用。

请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。

-q
可选:不显示当天的消息或更新提示。
--output json
可选:以 JSON 格式打印命令输出。

示例 worker-pool create classic 命令

ibmcloud oc worker-pool create classic --name my_pool --cluster my_cluster --flavor b3c.4x16 --size-per-zone 6

ibmcloud oc worker-pool create vpc-gen2

虚拟私有云

向 VPC 集群添加工作池。 在向工作程序池添加专区之前,不会创建任何工作程序节点。

ibmcloud oc worker-pool create vpc-gen2 --name <worker_pool_name> --cluster <cluster_name_or_ID> --flavor <flavor> --size-per-zone <number_of_workers_per_zone> [--operating-system SYSTEM][--dedicated-host-pool POOL][--vpc-id <VPC ID>] [--label KEY1=VALUE1] [--entitlement ENTITLEMENT] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID] [--operating-system SYSTEM] [-q] [--secondary-storage STORAGE] [--security-group GROUP ...] [--output json]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项

--name NAME
必填:设置工人池的名称。
-c, --cluster CLUSTER
必填:指定群集的名称或 ID。 要列出 VPC 群集,请运行 ibmcloud oc cluster ls --provider vpc-gen2
--size-per-zone NUMBER_WORKERS_PER_ZONE
指定此工作程序池中每个专区要创建的工作程序节点数。 在向工作程序池添加专区之前,不会创建任何工作程序节点。
--operating-system RHEL_9_64|REDHAT_8_64|RHCOS
可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。
--flavor FLAVOR
选择工作程序节点的类型模板。 可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。 要查看 VPC 区域中可用的风味,请运行 ibmcloud oc flavors --zone <vpc_zone> --provider vpc-gen2
--dedicated-host-pool POOL
可选。 您要在其中运行工作者的专用主机池的 ID。
--vpc-id VPC_ID
可选:指定要在其中创建 Worker 池 Worker 节点的 VPC 的 ID。 该值必须与集群的 VPC 标识相匹配。 要列出群集的 VPC ID,请运行 ibmcloud oc cluster get -c <cluster_name_or_ID>。 如果未提供此选项,则工人池默认使用群集中现有工人池的 VPC ID。
-l, --label KEY1=VALUE1
可选:为工人池中的每个工人节点应用键值标签。 要指定多个标签,请使用多个选项,如 -l key1=value1 -l key2=value2
--entitlement ocp_entitled
仅对具有 Red Hat OpenShift 权利的集群包含此选项。 指定工作程序数 (--size-per-zone) 和类型模板数 (--flavor) 时,请确保仅指定有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建后,工作程序池不会向您收取授权工作程序节点的 Red Hat OpenShift 许可费用。 请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。
--kms-account-id ID
可选项:包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。
--kms-instance KMS_INSTANCE_ID
可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。 要列出可用的 KMS 实例,请运行 ibmcloud oc kms instance ls。 如果包含该选项,还必须包含 --crk 选项。 有关更多信息 (包括要创建的步骤),请参阅 管理集群中工作程序节点的加密
--crk ROOT_KEY
可选: 在 KMS 实例中包含用于加密此工作程序池中工作程序节点上的本地磁盘的根密钥的标识。 要列出可用的根密钥,请运行 ibmcloud oc kms crk ls --instance-id。 如果包含该选项,还必须包含 --kms-instance 选项。 必须先创建 KMS 实例并在 IAM 中设置所需的服务授权,然后才能使用 KMS 加密。 请参阅 管理集群中工作程序节点的加密
-q
可选:不显示当天的消息或更新提示。
--secondary-storage STORAGE
可选: 类型模板的存储选项。 例如,900gb.5iops-tier。 添加辅助磁盘时,该磁盘用于容器运行时,而主磁盘用于操作系统。 要查看类型模板的存储选项,请运行 **ibmcloud oc flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。
--security-group GROUP
可选。 请指定一个或多个安全组标识,以应用于集群上所有工作程序。 对于 OpenShift V 4.15 和 Kubernetes V 1.30 及更高版本,除了 IBM管理的 kube-clusterID 安全组外,还会应用这些安全组。 对于较早的集群版本,请指定 --cluster-security-group cluster 选项以应用 kube-clusterID 安全组。 如果未指定任何值,那么将应用包括 kube-clusterID 在内的一组缺省安全组。
--output json
可选:以 JSON 格式打印命令输出。

示例 worker-pool create vpc-gen2 命令

ibmcloud oc worker-pool create vpc-gen2 --name my_pool --cluster my_cluster --flavor bx2.4x16 --size-per-zone 3

ibmcloud oc worker-pool get

虚拟私有云 经典基础架构

查看工作程序池的详细信息。

ibmcloud oc worker-pool get --worker-pool WORKER_POOL --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-p, --worker-pool WORKER_POOL
必须填写:要查看详细信息的工作节点池名称。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls --cluster <cluster_name_or_ID>
-c, --cluster CLUSTER
必须填写:工人池所在群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool get 命令

ibmcloud oc worker-pool get --worker-pool pool1 --cluster my_cluster

ibmcloud oc worker-pool label rm

虚拟私有云 经典基础架构

从工作程序池的所有工作程序节点中移除所有定制 Kubernetes 标签。

无法从工作池中除去单个污点。 而是使用 kubectl taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud oc worker-pool label rm --cluster CLUSTER --worker-pool POOL [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:工人池所在群集的名称或 ID。
-p, --worker-pool WORKER_POOL
必须填写:要查看详细信息的工作节点池名称。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls --cluster <cluster_name_or_ID>
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool label rm 命令

ibmcloud oc worker-pool label rm --worker-pool pool1 --cluster my_cluster

ibmcloud oc worker-pool label set

虚拟私有云 经典基础架构

为工人池中的所有工人节点设置格式为 key=value 的自定义 Kubernetes 标签。 要保留工人池上现有的自定义标签,必须在此命令中包含这些标签。

ibmcloud oc worker-pool label set --cluster CLUSTER --label LABEL [--label LABEL ...] --worker-pool POOL [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:工人池所在群集的名称或 ID。
--label LABEL
必需: 要为工作程序池中的所有工作程序节点设置的格式为 key=value 的定制标签。 如需多个标签,请重复此选项。 要在工人池上保留任何现有的自定义标签,请使用此选项包含这些标签。 您可以通过运行 ibmcloud oc worker-pool get -c <cluster_name_or_ID> --worker-pool <pool> 来列出工作程序池中工作程序节点上的现有定制标签。
-p, --worker-pool WORKER_POOL
必须填写:要查看详细信息的工作节点池名称。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls --cluster <cluster_name_or_ID>
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool label set 命令

ibmcloud oc worker-pool label set --worker-pool pool1 --cluster my_cluster --label app=dev

ibmcloud oc worker-pool ls

虚拟私有云 经典基础架构

列出一个集群中的所有工作程序池。

ibmcloud oc worker-pool ls --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER_NAME_OR_ID
必填:您要列出工作者池的群集名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool ls 命令

ibmcloud oc worker-pool ls --cluster my_cluster

ibmcloud oc worker-pool operating-system set

设置操作系统。 设置操作系统后,您必须运行 ibmcloud ks worker updateibmcloud ks worker replace 来更新工人。

ibmcloud oc worker-pool operating-system set --cluster CLUSTER --operating-system SYSTEM --worker-pool POOL [-q]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
--operating-system SYSTEM
指定操作系统的名称。
-q
不显示每日消息或更新提示。
--worker-pool POOL, -p POOL
指定工作程序池。

ibmcloud oc worker-pool rebalance

虚拟私有云 经典基础架构

删除工作程序节点后,重新均衡集群中的工作程序池。 运行此命令后,会向工作程序池添加新的工作程序,以便工作程序池的每个专区的节点数与指定值相符。

对于Satellite集群,如果已为工人池手动分配了工人节点,则不要使用 ibmcloud oc worker-pool rebalance 命令。 使用手动分配的工作节点重新平衡池可能会移除超过预期数量的工作节点。

ibmcloud oc worker-pool rebalance --cluster CLUSTER --worker-pool WORKER_POOL [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-p, --worker-pool WORKER_POOL
需要:要重新平衡的工人池。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool rebalance 命令

ibmcloud oc worker-pool rebalance --cluster my_cluster --worker-pool my_pool

ibmcloud oc worker-pool resize

虚拟私有云 经典基础架构

调整工作程序池的大小,以增大或减小集群的每个专区中的工作程序节点数。

ibmcloud oc worker-pool resize --cluster CLUSTER --worker-pool WORKER_POOL --size-per-zone WORKERS_PER_ZONE [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:您要调整工作池大小的群集名称或 ID。
--worker-pool WORKER_POOL
必须填写:要更新的工作节点池名称。
--size-per-zone WORKERS_PER_ZONE
要在每个专区中拥有的工作程序数。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool resize 命令

ibmcloud oc worker-pool resize --cluster my_cluster --worker-pool my_pool --size-per-zone 3

ibmcloud oc worker-pool rm

虚拟私有云 经典基础架构

从集群中除去工作程序池。 这将删除池中的所有工作程序节点。 执行删除时,会重新安排 pod。 为了避免产生停机时间,请确保您有足够的工作程序来运行工作负载。

ibmcloud oc worker-pool rm --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-p, --worker-pool WORKER_POOL
必填:要删除的工作节点池名称。
-c, --cluster CLUSTER
必填:您要从中删除 Worker 池的群集名称或 ID。
-q
可选:不显示当天的消息或更新提示。
-f
可选:强制命令在没有用户提示的情况下运行。

示例 worker-pool rm 命令

ibmcloud oc worker-pool rm --cluster my_cluster --worker-pool pool1

ibmcloud oc worker-pool taint

设置或删除工人池中所有工人节点的 Kubernetes 污点。 设置污点后,没有匹配容错的 pod 无法在工作程序池上运行。 您可以使用污点将工作程序池专用于特定类型的工作负载,例如用于联网边缘节点或集群自动缩放器。 有关污点和容错如何工作的更多信息,请参阅 Kubernetes 文档

ibmcloud oc worker-pool taint set

虚拟私有云 经典基础架构

为工人池中的所有工人节点设置 Kubernetes 污点。 标记污点阻止无匹配容差的 pod 在工作程序节点上运行。 为工作程序池设置定制污点后,通过获取工作程序节点的专用 IP 地址 (ibmcloud oc worker ls -c <cluster_name_or_ID>) 并运行 oc describe node <worker_private_IP> 来确认是否在工作程序节点上设置了这些污点。

为工作程序池设置污点时,将覆盖先前使用此命令设置的任何定制污点。 要保留现有定制污点并设置新污点,请检查工作程序池的现有污点并在重新运行此命令时包含这些污点。

ibmcloud oc worker-pool taint set --worker-pool WORKER_POOL --cluster CLUSTER --taint KEY=VALUE:EFFECT [--taint KEY=VALUE2:EFFECT] [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-p, --worker-pool WORKER_POOL
必须填写:要添加污点的工作节点池名称。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls -c <cluster_name_or_ID>
-c, --cluster CLUSTER
必需: 具有要感染的工作程序池的集群的名称或标识。
--taint KEY=VALUE:EFFECT
必需: 要为工作程序池设置的 Kubernetes 污点的标签和效果。 以 key=value:effect 的格式指定污点。 key=value 是一个标签对,如 env=prod,用于管理工人节点污点和匹配 pod 容限。 effect 是描述污点工作方式的 Kubernetes 污点效应,例如 NoSchedulePreferNoScheduleNoExecute。 根据您设置的污点的影响,可能会逐出在工作程序节点上运行的 pod。
-f
可选:强制命令在没有用户提示的情况下运行。

示例 worker-pool taint set 命令

ibmcloud oc worker-pool taint set --cluster my_cluster --worker-pool pool1 --taint env=prod:NoSchedule

ibmcloud oc worker-pool taint rm

虚拟私有云 经典基础架构

删除工人池中所有工人节点的所有 Kubernetes 污点。 要在除去污点之前检查这些污点,请运行 ibmcloud oc worker-pool get -c <cluster_name_or_ID> --worker-pool <worker_pool_name_or_ID>

除去工作程序池的污点时,将从工作程序池及其工作程序节点中除去所有 Kubernetes 污点。 要从所有工作程序节点中除去单个污点,请重新运行 ibmcloud oc worker-pool taint set 命令并仅包含要保留的污点。 或者,使用 oc taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud oc worker-pool taint rm --worker-pool WORKER_POOL --cluster CLUSTER [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-p, --worker-pool WORKER_POOL
必须填写:要添加污点的工作节点池名称。 要列出可用的工人池,请运行 ibmcloud oc worker-pool ls -c <cluster_name_or_ID>
-c, --cluster CLUSTER
必需: 具有要感染的工作程序池的集群的名称或标识。
-f
可选:强制命令在没有用户提示的情况下运行。

示例 worker-pool taint rm 命令

ibmcloud oc worker-pool taint rm --cluster my_cluster --worker-pool pool1

ibmcloud oc worker-pool zones

虚拟私有云 经典基础架构

查看附加到工人池的区段。

ibmcloud oc worker-pool zones --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:工人池所在群集的名称或 ID。
-p, --worker-pool WORKER_POOL
必填:您要查看区域的工作节点池名称。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool zones 命令

ibmcloud oc worker-pool zones --cluster my_cluster --worker-pool pool1

zone 命令

ibmcloud oc zone add classic

经典基础结构

创建经典群集或工作者池后,就可以添加区域了。 添加专区后,会向新专区添加工作程序节点,以匹配为工作程序池指定的每个专区的工作程序数。 仅当集群位于多专区大城市中时,才能添加多个专区。

要将专区添加到 VPC 集群中的工作程序池,请使用 ibmcloud oc zone add vpc-gen2 命令

ibmcloud oc zone add classic --zone ZONE --cluster CLUSTER --worker-pool WORKER_POOL [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

--zone ZONE
需要:要添加的区段。 该区域必须是集群区域中的 支持多专区的专区
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-p, --worker-pool WORKER_POOL
要将专区添加到的工作程序池的名称。 要指定多个工人池,请使用多个选项,如 -p pool1 -p pool2
--private-vlan PRIVATE_VLAN
专用 VLAN 的标识。 此值是有条件的。 如果专区中有专用 VLAN,那么此值必须与集群中一个或多个工作程序节点的专用 VLAN 标识相匹配。 要查看可用的 VLAN,请运行 ibmcloud oc cluster get --cluster <cluster> --show-resources。 新的工作程序节点会添加到指定的 VLAN,但不会更改任何现有工作程序节点的 VLAN。 如果该区域中没有专用或公用 VLAN,则不要指定此选项。 初始向工作程序池添加专区后,会自动创建专用和公用 VLAN。 在经典集群中,如果有多个 VLAN 用于集群,有多个子网位于同一 VLAN 上,或有一个多专区经典集群,那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF),从而使工作程序节点可以在专用网络上相互通信。 要启用 VRF,请参阅 启用 VRF。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。 如果无法或不想启用 VRF,请启用 VLAN 生成。 要执行此操作,需要有“网络”>“管理网络 VLAN 跨基础架构”权限,或者可以要求账户所有者启用该权限。 要检查 VLAN spanning 是否已启用,请使用 ibmcloud oc vlan spanning get --region <region> 命令
--public-vlan PUBLIC_VLAN
公用 VLAN 的标识。 如果要在创建集群之后向公众公开节点上的工作负载,那么此值是必需的。 此值必须与集群中该专区的一个或多个工作程序节点的公用 VLAN 标识相匹配。 要查看可用的 VLAN,请运行 ibmcloud oc cluster get --cluster <cluster> --show-resources。 新的工作程序节点会添加到指定的 VLAN,但不会更改任何现有工作程序节点的 VLAN。 如果该区域中没有专用或公用 VLAN,则不要指定此选项。 初始向工作程序池添加专区后,会自动创建专用和公用 VLAN。 在经典集群中,如果有多个 VLAN 用于集群,有多个子网位于同一 VLAN 上,或有一个多专区经典集群,那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF),从而使工作程序节点可以在专用网络上相互通信。 要启用 VRF,请参阅 启用 VRF。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。 如果无法或不想启用 VRF,请启用 VLAN 生成。 要执行此操作,需要有“网络”>“管理网络 VLAN 跨基础架构”权限,或者可以要求账户所有者启用该权限。 要检查 VLAN spanning 是否已启用,请使用 ibmcloud oc vlan spanning get --region <region> 命令
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 zone add classic 命令

ibmcloud oc zone add classic --zone dal10 --cluster my_cluster -p pool1 -w pool2 --private-vlan 2294021

ibmcloud oc zone add vpc-gen2

虚拟私有云

创建第 2 代 VPC 群集或工作池后,可以添加区域。 添加专区后,会向新专区添加工作程序节点,以匹配为工作程序池指定的每个专区的工作程序数。 仅当集群位于多专区大城市中时,才能添加多个专区。

ibmcloud oc zone add vpc-gen2 --zone ZONE --subnet-id VPC_SUBNET_ID --cluster CLUSTER --worker-pool WORKER_POOL [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

--zone ZONE
需要:要添加的区段。 这必须是集群区域内的 VPC 专区。 要查看可用的 VPC 区域,请运行 ibmcloud oc zone ls --provider vpc-gen2
--subnet-id SUBNET_ID
必填:要添加的子网 ID。 VPC 子网必须在指定的 zone 内。 要查看可用的 VPC 子网,请运行 ibmcloud oc subnets --provider vpc-gen2 --vpc-id <vpc> --zone <vpc_zone>。 VPC 子网为集群中的工作节点和负载均衡器服务提供 IP 地址,因此请使用 具有足够 IP 地址的 VPC 子网 (例如 256 个)。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。 要列出 VPC 群集,请运行 ibmcloud oc cluster ls --provider vpc-gen2
-p, --worker-pool WORKER_POOL
要将专区添加到的工作程序池的名称。 要指定多个工人池,请使用多个选项,如 -p pool1 -p pool2
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 zone add vpc-gen2 命令

ibmcloud oc zone add vpc-gen2 --zone us-south-3 --cluster my_cluster -p pool1 -w pool2

ibmcloud oc zone ls

虚拟私有云 经典基础架构 Satellite

查看可在其中创建集群的可用专区的列表。

不推荐使用此命令的 locations 别名。

ibmcloud oc zone ls --provider (classic | satellite | vpc-gen2) [--location LOCATION] [--region-only] [--output json] [-q]

最低许可权:无

命令选项

--provider (classic | satellite | vpc-gen2)
要列出区域的基础设施提供商类型。 此选项是必需的。
-l, --location LOCATION
按特定位置过滤输出。 要查看支持的位置,请运行 ibmcloud oc locations。 要指定多个位置,每个位置使用一个选项,如 -l dal -l seo
--region-only
可选:仅列出登录区域内的多区。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc zone ls -l ap

ibmcloud oc zone network-set

经典基础结构

仅限多专区经典集群:为工作程序池设置网络元数据,以将与先前所用不同的公用或专用 VLAN 用于专区。 池中已创建的工作程序节点会继续使用先前的公用或专用 VLAN,但池中的新工作程序节点将使用新的网络数据。

ibmcloud oc zone network-set --zone ZONE --cluster CLUSTER  --private-vlan PRIVATE_VLAN --worker-pool WORKER_POOL [--public-vlan PUBLIC_VLAN] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

--zone ZONE
需要:要添加的区段。 该区域必须是集群区域中的 支持多专区的专区
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-p, --worker-pool WORKER_POOL
要将专区添加到的工作程序池的名称。 要指定多个工人池,请使用多个选项,如 -p pool1 -p pool2
--private-vlan PRIVATE_VLAN
专用 VLAN 的标识。 此值是必需的,无论要使用的专用 VLAN 与用于其他工作程序节点的专用 VLAN 相同还是不同。 新的工作程序节点会添加到指定的 VLAN,但不会更改任何现有工作程序节点的 VLAN。 专用 VLAN 和公用 VLAN 必须兼容,这可通过 Router 标识前缀进行确定。
--public-vlan PUBLIC_VLAN
公用 VLAN 的标识。 仅当要更改专区的公用 VLAN 时,此值才是必需的。 要更改公用 VLAN,必须始终提供兼容的专用 VLAN。 新的工作程序节点会添加到指定的 VLAN,但不会更改任何现有工作程序节点的 VLAN。 专用 VLAN 和公用 VLAN 必须兼容,这可通过 Router 标识前缀进行确定。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

用法

  1. 检查集群中可用的 VLAN。

    ibmcloud oc cluster get --cluster <cluster_name_or_ID> --show-resources
    

    示例输出

    Subnet VLANs
    VLAN ID   Subnet CIDR         Public   User-managed
    229xxxx   169.xx.xxx.xxx/29   true     false
    229xxxx   10.xxx.xx.x/29      false    false
    
  2. 检查要使用的公用和专用 VLAN 标识是否兼容。 要使两者兼容,Router 必须具有相同的 pod 标识。 专用 VLAN 路由器始终以 bcr(后端路由器)开头,而公用 VLAN 路由器始终以 fcr(前端路由器)开头。 创建集群并指定公用和专用 VLAN 时,在这些前缀之后的数字和字母组合必须匹配。

    ibmcloud oc vlan ls --zone <zone>
    

    在示例输出中,请注意路由器 pod ID 匹配:01a01a。 如果一个 pod ID 是 01a,另一个是 02a,则无法为工人池设置这些公用和专用 VLAN ID。

    ID        Name   Number   Type      Router         Supports Virtual Workers
    229xxxx          1234     private   bcr01a.dal12   true
    229xxxx          5678     public    fcr01a.dal12   true
    
  3. 如果没有任何可用的 VLAN,那么可以 订购新的 VLAN

示例 zone network-set 命令

ibmcloud oc zone network-set --zone dal10 -c my_cluster -p pool1 -p pool2 --private-vlan 2294021

ibmcloud oc zone rm

虚拟私有云 经典基础架构

仅限多区群集:从群集的一个或多个工作池中删除一个区域。 这将删除工作程序池中此专区的所有工作程序节点。

在除去专区之前,请确保集群的其他专区中有足够的工作程序节点,以便可以重新安排 pod。 重新安排 pod 可避免因工作程序节点上的应用程序或数据损坏而产生的停机时间。

ibmcloud oc zone rm --cluster CLUSTER --zone ZONE --worker-pool WORKER_POOL [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--zone ZONE
需要:要删除的区段。
-p, --worker-pool WORKER_POOL
要移除区域的工作池名称。 要指定多个工人池,请使用多个选项,如 -p pool1 -p pool2。 要从集群中的所有工作程序池中除去专区,请勿包含此选项。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 zone rm 命令

ibmcloud oc zone rm --zone dal10 --cluster my_cluster

ingress 命令

查看和配置 Ingress 应用程序负载均衡器 (ALB)。

在 CLI V 1.0.157 和更高版本中,不推荐使用 ibmcloud oc alb 类别,这些命令现在列示在 ibmcloud oc ingress alb 子类别中。 有关更多信息,请参阅 CLI 更改日志

ibmcloud oc ingress alb autoscale get

虚拟私有云 经典基础架构

获取 Ingress ALB 自动缩放配置的详细信息和状态。

ibmcloud oc ingress alb autoscale get --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

--alb ALB
必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。
--output json
可选:以 JSON 格式打印命令输出。

示例 ingress alb autoscale get 命令

ibmcloud oc ingress alb autoscale get --alb myalb123 --cluster mycluster

ibmcloud oc ingress alb autoscale set

虚拟私有云 经典基础架构

配置自动缩放以根据当前负载自动增加或减少 Ingress ALB pod 数。 您可以选择根据 CPU 利用率来缩放 pod,也可以使用指定的定制度量。 如果基于 CPU 利用率的自动缩放配置,请指定平均 CPU 利用率以及在任何给定时间要部署的最大和最小 pod 数。 如果选择指定用于自动缩放的定制度量值,请传入定制度量值文件的路径。

ibmcloud oc ingress alb autoscale set --alb ALB --cluster CLUSTER --max-replicas REPLICAS --min-replicas REPLICAS [--output OUTPUT] [-q] (--cpu-average-utilization PERCENT | --custom-metrics-file FILE)
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

--alb ALB
必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--max-replicas REPLICAS
要随时部署的最大副本数。 如果包含 ---cpu-average-utilization 选项,那么此值是必需的。
--min-replicas REPLICAS
要随时部署的最小副本数。 如果包含 ---cpu-average-utilization 选项,那么此值是必需的。
--cpu-average-utilization PERCENTAGE
用于动态计算副本数的平均利用率阈值。
--custom-metrics-file
定制度量文件的路径。
-q
可选:不显示当天的消息或更新提示。
--output json
可选:以 JSON 格式打印命令输出。

示例 ingress alb autoscale set 命令

ibmcloud oc ingress alb autoscale set --alb myalb123 --cluster mycluster --max-replicas 5 --min-replicas 2 --cpu-average-utilization 5

ibmcloud oc ingress alb autoscale unset

虚拟私有云 经典基础架构

通过删除自动缩放配置从 Ingress ALB 中除去自动缩放。

ibmcloud oc ingress alb autoscale unset --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

--alb ALB
必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb autoscale unset 命令

ibmcloud oc ingress alb autoscale unset --alb myalb123 --cluster mycluster

ibmcloud oc ingress alb autoupdate disable

虚拟私有云 经典基础架构

禁用集群中所有 Ingress ALB pod 的自动更新。

缺省情况下,将启用 Ingress 应用程序负载均衡器 (ALB) 的自动更新。 当有新的镜像版本时,ALB pod 会自动更新。 要改为手动更新该附加组件,请使用此命令来禁用自动更新。 然后,您可以运行 ibmcloud oc ingress alb update 命令 更新 ALB pod。

当您更新群集的主要或次要 Kubernetes 版本时,IBM 会自动对 Ingress 部署进行必要的更改,但不会更改 Ingress ALB 附加组件的映像版本。 您应负责检查最新的 Kubernetes 版本和 Ingress ALB 附加组件映像的兼容性。

ibmcloud oc ingress alb autoupdate disable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb autoupdate disable 命令

ibmcloud oc ingress alb autoupdate disable --cluster mycluster

ibmcloud oc ingress alb autoupdate enable

虚拟私有云 经典基础架构

启用集群中所有 Ingress ALB pod 的自动更新。

如果禁用了 Ingress ALB 附加组件的自动更新,那么您可以重新启用自动更新。 每当下一个映像版本可用时,ALB 就会自动更新到最新版本。

ibmcloud oc ingress alb autoupdate enable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc ingress alb autoupdate get

虚拟私有云 经典基础架构

检查是否启用了 Ingress ALB 插件的自动更新,以及 ALB 是否更新到了最新的映像版本。

ibmcloud oc ingress alb autoupdate get --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc ingress alb create classic

经典基础结构

在经典集群中创建公共或专用 ALB。 缺省情况下,已启用您创建的 ALB。

ibmcloud oc ingress alb create classic --cluster CLUSTER --type (PUBLIC|PRIVATE) --vlan VLAN_ID --zone ZONE [--ip IP] [--version IMAGE_VERSION] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
集群的名称或标识。
--type (PUBLIC|PRIVATE)
ALB 的类型:publicprivate。 此类型必须与 vlan 匹配。
--vlan VLAN_ID
要在其中创建 ALB 的 VLAN 的标识。 该 VLAN 必须与 ALB type 匹配,并且必须与要创建的 ALB 位于同一 zone
--zone ZONE
创建 ALB 的区域。
--ip IP
可选: 要分配给 ALB 的 IP 地址。 此 IP 必须位于您指定的 vlan 上,并且必须与要创建的 ALB 位于同一 zone 中。 该 IP 地址不得被群集中的其他负载平衡器或 ALB 使用。 要查看当前正在使用的 IP 地址,请运行 oc get svc --all-namespaces
--version IMAGE_VERSION
可选: 您希望 ALB 运行的映像版本。 要列出可用版本,请运行 ibmcloud oc ingress alb versions。 要指定非缺省版本,必须首先通过运行 ibmcloud oc ingress alb autoupdate disable 命令来禁用自动更新。 如果省略此选项,那么 ALB 将运行缺省版本的 Kubernetes Ingress 映像类型。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb create classic 命令

ibmcloud oc ingress alb create classic --cluster mycluster --type public --vlan 2234945 --zone dal10 --ip 1.1.1.1 --version 1.1.2_2507_iks

ibmcloud oc ingress alb disable

虚拟私有云 经典基础架构

在集群中禁用 ALB。 ALB 及其 pod 仍然存在,但停止将流量路由到应用程序。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb configure

ibmcloud oc ingress alb disable --alb ALB_ID --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

--alb ALB_ID
必须填写:ALB 的 ID。 要查看群集中 ALB 的 ID,请运行 ibmcloud oc ingress alb ls --cluster CLUSTER
-c, --cluster CLUSTER
集群的名称或标识。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb disable 命令

ibmcloud oc ingress alb disable --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

ibmcloud oc ingress alb enable classic

经典基础结构

在经典群集中启用 ALB。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb configure classic

可以使用此命令来执行以下操作:

  • 启用缺省专用 ALB。 创建集群时,会在具有工作程序和可用专用子网的每个专区中创建缺省专用 ALB,但未启用缺省专用 ALB。 但是,将自动启用所有缺省公共 ALB,并且缺省情况下也会启用使用 ibmcloud oc ingress alb create classic 命令创建的任何公共或专用 ALB。
  • 启用先前禁用的 ALB。
ibmcloud oc ingress alb enable classic --alb ALB_ID --cluster CLUSTER [--ip IP_ADDRESS] [--version IMAGE_VERSION] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

--alb ALB_ID
必须填写:ALB 的 ID。 要查看群集中 ALB 的 ID,请运行 ibmcloud oc ingress alb ls --cluster CLUSTER
-c, --cluster CLUSTER
集群的名称或标识。
--ip IP_ADDRESS
可选: 指定在其中创建 ALB 的区域中 VLAN 上的 IP 地址。 ALB 已启用并使用此公共或专用 IP 地址。 该 IP 地址不得被群集中的其他负载平衡器或 ALB 使用。 如果未提供 IP 地址,ALB 将使用创建群集时自动配置的可移植公网或私有子网中的公网或私有 IP 地址进行部署;如果重新启用以前启用的 ALB,则使用以前分配给 ALB 的公网或私有 IP 地址进行部署。
--version IMAGE_VERSION
可选: 您希望 ALB 运行的映像版本。 要列出可用版本,请运行 ibmcloud oc ingress alb versions。 要指定非缺省版本,必须首先通过运行 ibmcloud oc ingress alb autoupdate disable 命令来禁用自动更新。 如果省略此选项,那么 ALB 将运行 ALB 先前运行的相同映像的缺省版本: Kubernetes Ingress 映像或 Red Hat OpenShift on IBM Cloud Ingress 映像。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb enable classic 命令

ibmcloud oc ingress alb enable classic --alb private-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster --ip 169.XX.XXX.XX --version 1.1.2_2507_iks

ibmcloud oc ingress alb get

虚拟私有云 经典基础架构

查看集群中 Ingress ALB 的详细信息。

ibmcloud oc ingress alb get --alb ALB_ID --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--alb ALB_ID
必须填写:ALB 的 ID。 要查看群集中 ALB 的 ID,请运行 ibmcloud oc ingress alb ls --cluster CLUSTER
-c, --cluster CLUSTER
集群的名称或标识。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb get 命令

ibmcloud oc ingress alb get --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

ibmcloud oc ingress alb health-checker disable

虚拟私有云 经典基础架构

禁用集群中 Ingress ALB 的运行状况检查程序。

ibmcloud oc ingress alb health-checker disable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
集群的名称或标识。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb health-checker disable 命令

ibmcloud oc ingress alb health-checker disable --cluster mycluster

ibmcloud oc ingress alb health-checker enable

虚拟私有云 经典基础架构

对集群中的 Ingress ALB 启用运行状况检查程序。

ibmcloud oc ingress alb health-checker enable --cluster CLUSTER [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
集群的名称或标识。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb health-checker enable 命令

ibmcloud oc ingress alb health-checker enable --cluster mycluster

ibmcloud oc ingress alb health-checker get

虚拟私有云 经典基础架构

查看集群中 Ingress ALB 的运行状况检查程序的详细信息。

ibmcloud oc ingress alb health-checker get --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
集群的名称或标识。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb health-checker get 命令

ibmcloud oc ingress alb health-checker get --cluster mycluster

ibmcloud oc ingress alb ls

虚拟私有云 经典基础架构

列出集群中的所有 Ingress ALB 标识,并查看 ALB pod 的更新是否可用。

如果未返回任何 ALB 标识,说明集群没有可移植子网。 您可以为集群创建添加子网。 之后,将自动为您创建 ALB。

ibmcloud oc ingress alb ls --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

*-c, --cluster *CLUSTER
必填:您列出可用 ALB 的群集名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress alb ls 命令

ibmcloud oc ingress alb ls --cluster my_cluster

ibmcloud oc ingress alb update

虚拟私有云 经典基础架构

强制将集群中各个或所有 Ingress ALB 的 pod 更新到最新或特定版本。

如果禁用了 Ingress ALB 附加组件的自动更新,而您希望更新该附加组件,那么可以强制一次性更新 ALB pod。 如果最近更新了 ALB pod,但 ALB 的定制配置受最新构建影响,那么您还可以使用此命令将 ALB pod 回滚到受支持的较早版本。 请注意,您可以使用此命令将 ALB 映像更新为其他版本,但不能使用此命令将 ALB 从一种类型的映像更改为另一种类型的映像。 强制一次性更新后,自动更新仍处于禁用状态,但可以使用 ibmcloud oc ingress alb autoupdate enable 命令重新启用。

ibmcloud oc ingress alb update --cluster CLUSTER [--alb ALB1_ID --alb ALB2_ID ...] [--version IMAGE_VERSION] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必需: 要更新 ALB 的集群的名称或标识。
--alb CLUSTER
可选: 要更新的各个 ALB 的标识。 要列出 ALB ID,请运行 ibmcloud oc ingress alb ls -c <cluster>。 要更新多个 ALB,请使用多个选项,例如 --alb ALB1_ID --alb ALB2_ID。 如果省略此选项,那么将更新集群中的所有 ALB。
--version IMAGE_VERSION
可选: 要将 ALB 更新为的映像版本。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。
  • 要更新集群中的所有 ALB pod:
    ibmcloud oc ingress alb update -c mycluster --version 1.1.2_2507_iks
    
  • 要更新一个或多个特定 ALB 的 ALB pod:
    ibmcloud oc ingress alb update -c mycluster --version 1.1.2_2507_iks --alb public-crdf253b6025d64944ab99ed63bb4567b6-alb1
    

ibmcloud oc ingress alb versions

虚拟私有云 经典基础架构

查看可用的 Ingress ALB 版本。

ibmcloud oc ingress alb versions [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

ibmcloud oc ingress domain create

为集群创建 Ingress 域。

ibmcloud oc ingress domain create --cluster CLUSTER [--crn CRN] [--default] [--domain DOMAIN] [--hostname HOSTNAME] [--ip IP] [--output OUTPUT] [--domain-provider PROVIDER] [-q] [--secret-namespace NAMESPACE] [--domain-zone ZONE]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必需: 要在其中创建域的集群的名称或标识。
--crn CRN
对于 IBM Cloud Internet Services 域是必需的。 IBM Cloud Internet Services 实例的 CRN。
--is-default
可选。 包含此选项可将相关域设置为群集的默认域。
--domain DOMAIN
Ingress 域。 您可以指定一个现有域,也可以创建一个新域。 有关指定域的特定于提供者的信息,请参阅 创建您自己的 Ingress 域
--hostname HOSTNAME
可选。 对于 VPC 集群。 要为域注册的主机名。
--ip IP
可选。 要为域注册的 IP 地址。
--output OUTPUT
可选:以 JSON 格式打印命令输出。
--domain-provider PROVIDER
可选。 外部 DNS 提供程序类型。 可用选项是 cis-ext。 如果没有指定提供商,则IBM内部提供商创建域。
--secret-namespace NAMESPACE
可选。 要在其中创建 TLS 私钥的名称空间。 如果未指定命名空间,则在 default 命名空间中创建秘密。
--domain-zone ZONE
可选。 IBM Cloud Internet Services 实例的域标识。 这是一个 GUID 值。

示例 ingress domain create 命令

此示例命令创建向 IBM Cloud 内部提供程序注册的域。 有关使用不同提供程序创建域的示例,请参阅 创建您自己的 Ingress 域

ibmcloud oc ingress domain create --cluster my-cluster --domain exampledomain

ibmcloud oc ingress domain default replace

更改集群的缺省 Ingress 域。

ibmcloud oc ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]
最低必需许可权
IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要指定为集群的新缺省域的域。 您必须指定一个现有域。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain default replace 命令

ibmcloud oc ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]

ibmcloud oc ingress domain get

查看 Ingress 域的详细信息。

ibmcloud oc ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要查看其详细信息的域。
--output OUTPUT
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain get 命令

ibmcloud oc ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

ibmcloud oc ingress domain ls

列出集群的所有 Ingress 域。

ibmcloud oc ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output OUTPUT
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain ls 命令

ibmcloud oc ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]

ibmcloud oc ingress domain rm

从集群中移除 Ingress 域。

ibmcloud oc ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要从集群中除去的域。 不能指定缺省域。 如果要除去当前设置为集群缺省值的域,那么必须首先将缺省值 替换 为另一个域。

-f

-q
可选:不显示当天的消息或更新提示。

示例 ingress domain rm 命令

ibmcloud oc ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]

ibmcloud oc ingress domain secret regenerate

为 Ingress 域重新生成证书。 运行此命令以在 DNS 提供程序中生成新令牌并将其应用于集群

ibmcloud oc ingress domain secret regenerate --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要重新生成的域。
--output OUTPUT
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain secret regenerate 命令

ibmcloud oc ingress domain secret regenerate --cluster mycluster --domain exampledomain [--output OUTPUT] [-q]

ibmcloud oc ingress domain secret rm

删除输入域的密文,并阻止证书续期。

ibmcloud oc ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要从中除去私钥的域。

-f

--output OUTPUT
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain secret rm 命令

ibmcloud oc ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]

ibmcloud oc ingress domain update

更新集群的 Ingress 域以更改与该域关联的主机名或 IP 地址。 此命令使用指定的 IP 地址或主机名更新集群中的所有资源,并更改应用程序 URL。

ibmcloud oc ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [--ip IP] [-q]

请注意,添加 IP 地址或主机名时,必须包含当前已向域注册的任何 IP 或主机名。 域将使用指定的精确值进行更新,因此如果不包含任何当前 IP 地址或主机名,那么将覆盖这些地址或主机名。 例如,如果 52.137.182.166 当前已注册到您的域,并且您要添加 52.137.182.270,那么必须在命令中指定 --ip 52.137.182.166 --ip 52.137.182.270

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:应用域的群集名称或 ID。
--domain DOMAIN
必需。 要更新的域。
--hostname HOSTNAME
对于 VPC 集群。 要为域注册的主机名。
--ip IP
要为域注册的 IP 地址。 传入的 IP 地址将完全替换当前与域关联的 IP 地址。 如果要保留当前 IP 地址,那么必须包含这些地址。 如果指定此标志而不指定任何值,那么将从域中注销当前 IP 地址。
-q
可选:不显示当天的消息或更新提示。

示例 ingress domain update 命令

ibmcloud oc ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [-q]

ibmcloud oc ingress instance default set

虚拟私有云 经典基础架构

将已注册的 IBM Cloud Secrets Manager 实例设置为缺省值。 如果存在现有缺省实例,那么将从缺省实例取消设置该实例。

当您设置新的缺省 Secrets Manager 实例时,任何不受 IBM Cloud 管理的现有密钥都必须手动更新其证书 CRN 以与新的缺省实例的 CRN 相匹配。 要更新 CRN,请使用 ibmcloud oc ingress secret update 命令。 如果不更新 CRN,那么这些私钥不会在下一次调度的证书更新时更新。

ibmcloud oc ingress instance default set --cluster CLUSTER --crn CRN --name NAME [-q] [--secret-group GROUP]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--crn
必需。 IBM Cloud Secret Manager 实例的 CRN。
--name NAME
必需。 秘密管理器实例的名称。
-q
可选:不显示当天的消息或更新提示。
--secret-group GROUP
用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。 要获取私钥组标识,请参阅 Secrets Manager CLI 参考

示例

ibmcloud oc ingress instance default set --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

ibmcloud oc ingress instance default unset

虚拟私有云 经典基础架构

除去 Secrets Manager 实例作为缺省实例。

如果未设置缺省实例,那么您的私钥仅直接写入集群,而不会写入任何 Secrets Manager 实例。

ibmcloud oc ingress instance default unset --cluster CLUSTER --crn CRN --name NAME [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--crn
必需。 IBM Cloud Secret Manager 实例的 CRN。
--name NAME
必需。 秘密管理器实例的名称。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc ingress instance default unset --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default

ibmcloud oc ingress instance get

虚拟私有云 经典基础架构

查看 Secrets Manager 实例的详细信息。

ibmcloud oc ingress instance get --cluster CLUSTER --name NAME [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--name NAME
必需。 秘密管理器实例的名称。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc ingress instance get --cluster my-cluster --name my-secrets-manager

ibmcloud oc ingress instance ls

虚拟私有云 经典基础架构

列出向集群注册的所有 Secrets Manager 实例。

ibmcloud oc ingress instance ls --cluster CLUSTER [--output OUTPUT] [-q] [--show-deleted]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。
--show-deleted
可选。 添加此选项以包含从集群注销的实例。

示例

ibmcloud oc ingress instance ls --cluster my-cluster --show-deleted

ibmcloud oc ingress instance register

虚拟私有云 经典基础架构

向集群注册 Secrets Manager 实例。

ibmcloud oc ingress instance register --cluster CLUSTER --crn CRN [--is-default] [--secret-group GROUP] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--crn
必需。 IBM Cloud Secret Manager 实例的 CRN。
--is-default
可选。 包含此选项还可将已注册的实例设置为存储所有 Ingress 子域证书的缺省 Secrets Manager 实例。 如果另一个实例已设置为缺省值,那么将除去该实例。 请注意,您必须手动更新任何证书或私钥以将其上载到新的缺省实例。 否则,将在下一次调度的私钥更新时间上载这些私钥。
-q
可选:不显示当天的消息或更新提示。
--secret-group GROUP
用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。 要获取私钥组标识,请参阅 Secrets Manager CLI 参考

示例

ibmcloud oc ingress instance register --cluster my-cluster --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

ibmcloud oc ingress instance unregister

虚拟私有云 经典基础架构

从集群中除去 Secrets Manager 实例。

ibmcloud oc ingress instance unregister --cluster CLUSTER --name NAME [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--name
必需。 要删除的 Secrets Manager 实例的名称。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc ingress instance unregister --cluster my-cluster --name my-secrets-manager-instance

ibmcloud oc ingress lb get

虚拟私有云 经典基础架构

获取在集群中公开 Ingress ALB 的负载均衡器的配置。

例如,如果先前运行了诸如 ibmcloud oc ingress lb proxy-protocol enable 之类的命令,那么可以使用此命令来查看配置更改。

ibmcloud oc ingress lb get --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 ingress lb get 命令

ibmcloud oc ingress lb get --cluster mycluster

ibmcloud oc ingress lb proxy-protocol disable

虚拟私有云

禁用集群中所有 Ingress ALB 前面的负载均衡器的 NGINX PROXY 协议,以便不再将请求头中的客户机连接信息传递到 ALB。

运行此命令后,现有负载平衡器将被删除并重新创建,这可能会导致服务中断。 在重新创建负载均衡器期间,两个未使用的 IP 地址必须在每个子网中可用。

ibmcloud oc ingress lb proxy-protocol disable --cluster CLUSTER [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 ingress lb proxy-protocol disable 命令

ibmcloud oc ingress lb proxy-protocol disable --cluster mycluster

ibmcloud oc ingress lb proxy-protocol enable

虚拟私有云

对所有在集群中公开 Ingress ALB 的负载均衡器启用 NGINX PROXY 协议,以便在请求头中将客户机连接信息传递到 ALB。

PROXY 协议使负载均衡器能够将客户机请求的头中包含的客户机连接信息传递到 ALB。 此客户机信息可以包含客户机 IP 地址,代理服务器 IP 地址以及两个端口号。

运行此命令后,现有负载平衡器将被删除并重新创建,这可能会导致服务中断。 在重新创建负载均衡器期间,两个未使用的 IP 地址必须在每个子网中可用。

ibmcloud oc ingress lb proxy-protocol enable --cluster CLUSTER [--cidr CIDR ...] [--header-timeout TIMEOUT] [-f] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--cidr CIDR
可选: 负载均衡器 CIDR,ALB 从中处理 PROXY 协议头中的信息。 如果包含 PROXY 头的请求源自其他 IP 范围内的负载均衡器,那么 ALB 不会处理头中的信息。 只有运行社区 Kubernetes Ingress 映像的 ALB 才支持该选项。 缺省值: 0.0.0.0/0
--header-timeout TIMEOUT
可选: 负载均衡器接收包含客户机连接信息的 PROXY 协议头的超时值 (以秒计)。 只有运行社区 Kubernetes Ingress 映像的 ALB 才支持该选项。 缺省值: 5
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例 ingress lb proxy-protocol enable 命令

ibmcloud oc ingress lb proxy-protocol enable --cluster mycluster --cidr 1.1.1.1/16

ibmcloud oc ingress secret create

虚拟私有云 经典基础架构

在集群中为存储在 IBM Cloud® Secrets Manager中的证书创建 Ingress 私钥。 此命令可用于创建 TLS 或非 TLS 私钥。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb cert deploy。 在 CLI V 1.0.157 和更高版本中,不推荐使用 ibmcloud oc ingress alb cert 类别,这些命令现在列示在 ibmcloud oc ingress secret 子类别中。 有关更多信息,请参阅 CLI 更改日志

要使用 ibmcloud oc ingress secret create 命令,必须向集群注册缺省 Secrets Manager 实例。 如果没有 Secrets Manager 实例,而是将私钥直接写入集群,那么私钥没有必需的 CRN 值,您必须使用 oc 命令对其进行管理。

ibmcloud oc ingress secret create --cert-crn CERTIFICATE_CRN --cluster CLUSTER --name SECRET_NAME  [--namespace NAMESPACE] [--field CRN] [--persist] [--type] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--cert-crn CERTIFICATE_CRN
必需: 证书 CRN。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--name SECRET_NAME
必需: 指定私钥的名称。 确保不创建与 IBM提供的 Ingress 私钥同名的私钥,您可以通过运行 ibmcloud oc cluster get --cluster <cluster_name_or_ID> | grep Ingress 来找到该私钥。
--field CRN
对于非 TLS 私钥是必需的。 为秘密添加一个字段。 您可以同时指定多个字段。 有关更多信息,请参阅 管理非 TLS 私钥字段。 TLS 保密不支持该选项。
  • 要使用私钥类型的缺省字段名称来拉入私钥,请使用缺省字段选项: --field <crn>。 此选项可用于所有非 TLS 密钥类型。
  • 要指定字段名称,请使用指定的字段选项: --field name=<crn>。 此选项可用于任意和 IAM 凭证密钥类型。
  • 要使用 IBM Cloud Secrets Manager 私钥作为前缀,请使用前缀字段选项: --field prefix=<crn>。 此选项可用于 IAM 凭证,用户名和密码以及密钥值私钥类型。
--namespace NAMESPACE
可选: 指定 Ingress 资源要部署到的项目。 如果 ALB 运行 Kubernetes Ingress 映像,那么此值是必需的,因为 ALB 只能在与 Ingress 资源相同的项目中标识私钥。 如果 ALB 运行 Red Hat OpenShift on IBM Cloud Ingress 映像,并且未指定项目,那么将在名为 ibm-cert-store 的项目中创建证书私钥。 然后在 default 项目中创建对该秘密的引用,任何项目中的任何 Ingress 资源都可以访问该引用。 在处理请求时,ALB 遵循引用以从 ibm-cert-store 项目获取并使用证书私钥。
--persist
可选: 在集群中持久存储私钥数据。 如果稍后从 CLI 或 Red Hat OpenShift Web 控制台中删除私钥,那么将在集群中自动重新创建私钥。 要永久删除私钥,必须使用 /ingress/v2/secret/deleteSecret API
--type
可选。 私钥的类型。 从 tls (对于证书 CRN) 或 opaque (对于非证书 CRN) 中进行选择。 对于 tls,最多指定一个 CRN。 对于 opaque,可以指定多个 CRN。 如果未指定密文类型,则默认应用 tls
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret create 命令

ibmcloud oc ingress secret create --cert-crn crn:v1:staging:public:cloudcerts:us-south:a/06580c923e40314421d3b6cb40c01c68:0db4351b-0ee1-479d-af37-56a4da9ef30f:certificate:4bc35b7e0badb304e60aef00947ae7ff --cluster my_cluster --type tls --name my_alb_secret --namespace demo_ns

ibmcloud oc ingress secret field add

虚拟私有云 经典基础架构

将非 TLS CRN 字段添加到不透明密钥。 有三种方法可指定字段类型。 您选择的选项取决于私钥类型以及您希望如何在非 TLS 私钥中命名该字段。 有关更多信息,请参阅 管理非 TLS 私钥字段

ibmcloud oc ingress secret field add --cluster CLUSTER --name SECRET_NAME --field CRN --namespace NAMESPACE [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--name NAME
必需。 要向其添加字段的私钥的名称。
--field CRN
必需。 要添加到字段的私钥 CRN。 您可以同时指定多个字段。 有关更多信息,请参阅 管理非 TLS 私钥字段
  • 要使用私钥类型的缺省字段名称来拉入私钥,请使用缺省字段选项: --field <crn>。 此选项可用于所有非 TLS 密钥类型。
  • 要指定字段名称,请使用指定的字段选项: --field name=<crn>。 此选项可用于任意和 IAM 凭证密钥类型。
  • 要使用 IBM Cloud Secrets Manager 私钥作为前缀,请使用前缀字段选项: --field prefix=<crn>。 此选项可用于 IAM 凭证,用户名和密码以及密钥值私钥类型。
--namespace NAMESPACE
必需。 私钥部署到的名称空间。
-q
可选:不显示当天的消息或更新提示。

用于将缺省字段,指定字段和前缀字段添加到一组 IAM 凭证的示例:

ibmcloud oc ingress secret field add --cluster example-cluster --name example-iam-secret --namespace default  --field crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field unique_iam_name=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field prefix=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1

ibmcloud oc ingress secret field ls

虚拟私有云 经典基础架构

查看输入密文的 CRN 字段。 此命令仅适用于不透明密钥。

ibmcloud oc ingress secret field ls --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--name NAME
必需。 要向其添加字段的私钥的名称。
--namespace NAMESPACE
必需。 私钥部署到的名称空间。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret field ls 命令

ibmcloud oc ingress secret field ls --cluster a11a11a11a111a1a111a --name my-secret --namespace default

ibmcloud oc ingress secret field rm

虚拟私有云 经典基础架构

ibmcloud oc ingress secret field rm --cluster CLUSTER --name NAME --namespace NAMESPACE [--field-name NAME]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--c, --cluster CLUSTER
必需。 集群的名称或标识。
--name NAME
必需。 要从中除去字段的私钥的名称。
--namespace NAMESPACE
必需。 私钥部署到的名称空间。
--field-name NAME
要删除的字段名称。 要查看字段列表,请运行 ibmcloud oc ingress secret field ls

示例 ingress secret field rm 命令

ibmcloud oc ingress secret field rm --cluster a11a11a11a111a1a111a --name my-secret --namespace default --field-name test-field-name

ibmcloud oc ingress secret get

虚拟私有云 经典基础架构

查看有关集群中 Ingress 私钥的信息,包括存储在 IBM Cloud® Secrets Manager中的私钥。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb cert get。 在 CLI V 1.0.157 和更高版本中,不推荐使用 ibmcloud oc ingress alb cert 类别,这些命令现在列示在 ibmcloud oc ingress secret 子类别中。 有关更多信息,请参阅 CLI 更改日志

ibmcloud oc ingress secret get --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--name SECRET_NAME
必须填写:密文名称。
--namespace NAMESPACE
必需: 将私钥部署到的项目。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret get 命令

ibmcloud oc ingress secret get --cluster my_cluster --name my_alb_secret --namespace demo_ns

ibmcloud oc ingress secret ls

虚拟私有云 经典基础架构

列出集群中的 Ingress 私钥,包括存储在 IBM Cloud® Secrets Manager中的私钥。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb cert ls

ibmcloud oc ingress secret ls --cluster CLUSTER [--show-deleted] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--show-deleted
可选:查看从群集中删除的机密。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret ls 命令

ibmcloud oc ingress secret ls --cluster my_cluster

ibmcloud oc ingress secret rm

虚拟私有云 经典基础架构

从集群中删除 Ingress 私钥。 如果为来自 Secrets Manager的证书创建了私钥,那么将仅删除集群中的私钥,并且该证书将保留在 Secrets Manager 实例中。

不推荐使用此命令的先前别名 ibmcloud oc ingress alb cert rm。 在 CLI V 1.0.157 和更高版本中,不推荐使用 ibmcloud oc ingress alb cert 类别,这些命令现在列示在 ibmcloud oc ingress secret 子类别中。 有关更多信息,请参阅 CLI 更改日志

ibmcloud oc ingress secret rm --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--name SECRET_NAME
必须填写:密文名称。
--namespace NAMESPACE
必需: 将私钥部署到的项目。
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret rm 命令

ibmcloud oc ingress secret rm --cluster my_cluster --name my_alb_secret --namespace demo_ns

ibmcloud oc ingress secret update

虚拟私有云 经典基础架构

更新未在为集群创建的缺省 Secrets Manager 实例中托管的证书的 Ingress 私钥。

您对集群中缺省 Secrets Manager 实例中的证书进行的任何更改都会自动反映在集群中的私钥中。 如果您对集群 Secrets Manager 实例中未托管的证书进行更改,那么必须使用此命令更新集群中的私钥,以获取证书更改。

ibmcloud oc ingress secret update --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--cert-crn CRN] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--name SECRET_NAME
必须填写:密文名称。 要查看可用私钥,请运行 ibmcloud oc ingress secret ls
--namespace NAMESPACE
必需: 将私钥部署到的项目。 要查看私钥名称空间,请运行 ibmcloud oc ingress secret get --cluster cluster_name_or_ID <--name secret_name> --namespace <project>
--cert-crn CERTIFICATE_CRN
可选: 证书 CRN。 要查看私钥 CRN,请运行 ibmcloud oc ingress secret get --cluster <cluster_name_or_ID> --name secret_name> --namespace <project>。 此选项需要集群中的缺省 Secrets Manager 实例。
-q
可选:不显示当天的消息或更新提示。

示例 ingress secret update 命令

虚拟私有云 经典基础架构

ibmcloud oc ingress secret update --cluster my_cluster --name my_alb_secret --namespace demo_ns

ibmcloud oc ingress status-report disable

虚拟私有云 经典基础架构

禁用集群中的 Ingress 组件状态报告。

ibmcloud oc ingress status-report disable --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report disable 命令

ibmcloud oc ingress status-report disable --cluster mycluster

ibmcloud oc ingress status-report enable

虚拟私有云 经典基础架构

在集群中启用 Ingress 组件的状态报告。

ibmcloud oc ingress status-report enable --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report enable 命令

ibmcloud oc ingress status-report enable --cluster mycluster

ibmcloud oc ingress status-report get

虚拟私有云 经典基础架构

获取集群中的 Ingress 组件状态报告。

ibmcloud oc ingress status-report get --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report get 命令

ibmcloud oc ingress status-report get --cluster mycluster

ibmcloud oc ingress status-report ignored-errors add

虚拟私有云 经典基础架构

添加集群的 Ingress 状态要忽略的警告。

ibmcloud oc ingress status-report ignored-errors add --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-code, --code CODE
必填:要忽略的警告代码。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report ignored-errors add 命令

ibmcloud oc ingress status-report ignored-errors add --cluster mycluster --code CODE

ibmcloud oc ingress status-report ignored-errors ls

虚拟私有云 经典基础架构

列出集群的 Ingress 状态当前忽略的警告。

ibmcloud oc ingress status-report ignored-errors ls --cluster CLUSTER [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report ignored-errors ls 命令

ibmcloud oc ingress status-report ignored-errors ls --cluster mycluster

ibmcloud oc ingress status-report ignored-errors rm

虚拟私有云 经典基础架构

除去集群的 Ingress 状态当前忽略的警告。 除去后,将不再忽略这些警告。

ibmcloud oc ingress status-report ignored-errors rm --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-code, --code CODE
必需: 要从忽略列表中除去的警告的代码。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 ingress status-report ignored-errors rm 命令

ibmcloud oc ingress status-report ignored-errors rm --cluster mycluster

nlb-dns 命令

创建和管理网络负载均衡器 (NLB) IP 地址的子域以及用于这些子域的运行状况检查监视器。 有关更多信息,请参阅注册负载均衡器子域

DNS 微服务更新是异步的,可能需要几分钟才能应用。 请注意,如果运行 ibmcloud oc nlb-dns 命令并接收到 200 确认消息,那么可能仍需要等待实现更改。 要检查子域的状态,请运行 ibmcloud oc nlb-dns ls 并在输出中找到 Status 列。

ibmcloud oc nlb-dns add

经典基础结构

在使用 ibmcloud oc nlb-dns create 命令创建的现有子域中添加一个或多个网络负载平衡器 (NLB) IP 地址。

例如,在多区经典集群中,您可以在每个区创建一个 NLB,以公开一个应用程序。 通过运行 ibmcloud oc nlb-dns create classic 可向子域注册 NLB IP。 日后,可将另一个专区添加到集群,并为该专区添加另一个 NLB。 可以使用此命令将新的 NLB IP 添加到此现有子域。 用户访问应用程序子域时,客户机会随机访问其中一个 IP,并且会向相应的 NLB 发送请求。

ibmcloud oc nlb-dns add --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP2 --ip NLB3_IP ...] --nlb-host SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--ip NLB_IP
要添加到子域的 NLB IP 地址。 要查看 NLB IP,请运行 oc get svc。 要指定多个 IP 地址,请使用多个 --ip 选项。
--nlb-host SUBDOMAIN
要向其添加 IP 的子域。 要查看现有子域,请运行 ibmcloud oc nlb-dns ls
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns add 命令

ibmcloud oc nlb-dns add --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns create classic

经典基础结构

通过创建 DNS 子域来注册网络负载均衡器 (NLB) IP,可采用公共方式公开应用程序。

ibmcloud oc nlb-dns create classic --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP --ip NLB3_IP ...] [--secret-namespace NAMESPACE] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--ip IP
要注册的网络负载均衡器 IP 地址。 要查看 NLB IP 地址,请运行 oc get svc。 要指定多个 IP 地址,请使用多个 --ip 选项。
--secret-namespace NAMESPACE
Red Hat OpenShift 项目,您要在该项目中创建 Kubernetes secret,用于保存 NLB 的 SSL 证书信息。 如果没有指定项目,则会在 default 项目中自动创建秘密。
--type public
子域类型。 目前只支持 public
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns create classic 命令

ibmcloud oc nlb-dns create classic --cluster mycluster --ip 1.1.1.1

ibmcloud oc nlb-dns create vpc-gen2

虚拟私有云

为 Network Load Balancer for VPC 或 Application Load Balancer for VPC创建 DNS 记录。

创建 Network Load Balancer for VPC时,将为集群中的每个专区分配负载均衡器外部 IP 地址。 创建 Application Load Balancer for VPC时,会为负载均衡器分配主机名。 如果需要具有 TLS 终止的应用程序子域,那么可以使用 ibmcloud oc nlb-dns create vpc-gen2 命令为 IP 地址或主机名创建 DNS 记录。IBM Cloud 负责为您生成和维护子域的通配符 SSL 证书。 您可以为公共和专用 VPC 负载均衡器创建子域。

ibmcloud oc nlb-dns create vpc-gen2 --cluster CLUSTER (--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP) [--secret-namespace NAMESPACE] [--type (public|private)] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP
对于 VPC 应用程序负载均衡器,这是负载均衡器主机名。 要查看负载平衡器主机名,请运行 oc get svc -o wide。 对于 VPC 网络负载均衡器,外部 IP 地址。 要指定多个 IP 地址,请使用多个 --ip 选项。 要查看负载均衡器 IP 地址,请运行 oc get svc -o wide
--secret-namespace NAMESPACE
Red Hat OpenShift 项目,您要在该项目中创建 Kubernetes secret,用于保存 NLB 的 SSL 证书信息。 如果没有指定项目,则会在 default 项目中自动创建秘密。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns create vpc-gen2 命令

ibmcloud oc nlb-dns create vpc-gen2 --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud --type public

ibmcloud oc nlb-dns get

虚拟私有云 经典基础架构

查看集群中注册的 NLB 主机名的详细信息。

ibmcloud oc nlb-dns get --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output OUTPUT] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-subdomain SUBDOMAIN
注册网络负载均衡器 (NLB) IP 地址的 DNS 子域。 要列出 NLB,请运行 ibmcloud oc nlb-dns ls --cluster mycluster
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns get 命令

虚拟私有云 经典基础架构

ibmcloud oc nlb-dns get --cluster mycluster --nlb-subdomain subDomain1

ibmcloud oc nlb-dns ls

在经典集群中,列出向 DNS 子域注册的网络负载均衡器 (NLB) IP 地址。 在 VPC 集群中,列出向 DNS 子域注册的 VPC 负载均衡器主机名。

ibmcloud oc nlb-dns ls --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns ls 命令

ibmcloud oc nlb-dns ls --cluster mycluster

ibmcloud oc nlb-dns monitor configure

经典基础结构

为集群中的现有 NLB 子域配置运行状况检查监视器,并可选择启用该监视器。 为子域启用监视器后,监视器会对每个专区中的 NLB IP 执行运行状况检查,并根据这些运行状况检查使 DNS 查找结果保持更新。

您可以使用此命令创建并启用健康检查监控程序,或更新现有健康检查监控程序的设置。 要创建新的监视器,请在 --enable 选项中包含要配置的所有设置的选项。

要更新现有监视器,必须包含所需设置的所有选项,包括现有设置。

ibmcloud oc nlb-dns monitor configure --cluster CLUSTER --nlb-host SUBDOMAIN [--enable] [--description DESCRIPTION] [--type TYPE] [--method METHOD] [--path PATH] [--timeout TIMEOUT] [--retries RETRIES] [--interval INTERVAL] [--port PORT] [--header HEADER] [--expected-body BODY STRING] [--expected-codes HTTP CODES] [--follows-redirects TRUE] [--allows-insecure TRUE] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
向其注册子域的集群的名称或标识。
--nlb-host SUBDOMAIN
要为其配置运行状况检查监视器的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
--enable
包含此选项可为子域启用新的健康检查监控器。
--description DESCRIPTION
运行状况监视器的描述。
--type TYPE
用于健康检查的协议:HTTP, HTTPS,或 TCP。 缺省值: HTTP
--method METHOD
要用于运行状况检查的方法。 type HTTPHTTPS 的默认值:GETtype TCP 的默认值:connection_established
--path PATH
typeHTTPS 时:要进行健康检查的端点路径。 缺省值: /
--timeout TIMEOUT
超时(以秒为单位),在此时间后 IP 会被视为不可访问。 运行状况检查会等待 interval 参数中指定的秒数,然后重试访问该 IP。 此值必须是 1-15 范围内的整数。 缺省值: 5
--retries RETRIES
超时发生时,在不可访问的 IP 被视为运行状况欠佳之前重试的次数。 重试会立即尝试执行。 此值必须是 1-5 范围内的整数。 缺省值: 2
--interval INTERVAL
各个运行状况检查之间的时间间隔(以秒为单位)。 较短的时间间隔可能会缩短故障转移时间,但会增加 IP 上的负载。 此值必须是 10-3600 范围内的整数,并且必须大于 (RETRIES + 1) * TIMEOUT。 缺省值: 60
--port PORT
进行运行状况检查时要连接到的端口号。 当 typeTCP 时,需要使用该参数。 当 typeHTTPHTTPS 时,只有在 HTTP 使用 80 以外的端口或 HTTPS 使用 443 以外的端口时,才定义端口。 TCP 的默认值:0。 HTTP 默认:80。 HTTPS 的默认值:443
--header HEADER
typeHTTPHTTPS 时必需:HTTP 在健康检查中要发送的请求标头,如 Host 标头。 User-Agent 头信息无法覆盖。 该选项仅对类型 " HTTP "或 " HTTPS "有效。 要在请求中添加多个标头,请多次指定该选项。 该选项接受以下格式的数值:--header Header-Name=value。 更新监视器时,指定的头将替换现有头。 要删除所有现有标题,请在该选项中指定一个空值 --header ""
--expected-body BODY STRING
typeHTTPHTTPS 时:健康检查在响应正文中查找的不区分大小写的子字符串。 如果找不到此字符串,那么会认为该 IP 运行状况不佳。
--expected-codes HTTP CODES
typeHTTPHTTPS 时:HTTP 健康检查在响应中查找的代码。 如果找不到 HTTP 代码,那么 IP 会被视为运行状况欠佳。 缺省值: 2xx
--allows-insecure TRUE
typeHTTPHTTPS:设置为 true 则不验证证书。
--follows-redirects TRUE
typeHTTPHTTPS:设置为 true,以跟踪 IP 返回的任何重定向。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns monitor configure 命令

ibmcloud oc nlb-dns monitor configure --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud --enable --description "Login page monitor" --type HTTPS --method GET --path / --timeout 5 --retries 2 --interval 60  --expected-body "healthy" --expected-codes 2xx --follows-redirects true

ibmcloud oc nlb-dns monitor disable

经典基础结构

对集群中的子域禁用现有运行状况检查监视器。

ibmcloud oc nlb-dns monitor disable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-host SUBDOMAIN
监视器对其执行运行状况检查的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns monitor disable 命令

ibmcloud oc nlb-dns monitor disable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns monitor enable

经典基础结构

启用配置的运行状况检查监视器。

首次创建运行状况检查监视器时,必须使用 ibmcloud oc nlb-dns monitor configure 命令来配置并启用该监视器。 使用 ibmcloud oc nlb-dns monitor enable 命令仅可启用已配置但尚未启用的监视器,或者重新启用先前禁用的监视器。

ibmcloud oc nlb-dns monitor enable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-host SUBDOMAIN
监视器对其执行运行状况检查的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns monitor enable 命令

ibmcloud oc nlb-dns monitor enable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns monitor get

经典基础结构

查看现有运行状况检查监视器的设置。

ibmcloud oc nlb-dns monitor get --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-host SUBDOMAIN
监视器对其执行运行状况检查的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns monitor get 命令

ibmcloud oc nlb-dns monitor get --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns monitor ls

经典基础结构

列出集群中每个 NLB 子域的运行状况检查监视器设置。

ibmcloud oc nlb-dns monitor ls --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns monitor ls 命令

ibmcloud oc nlb-dns monitor ls --cluster mycluster

ibmcloud oc nlb-dns replace

虚拟私有云

替换已向 DNS 子域注册的负载均衡器主机名。 例如,如果您为应用程序创建了一个新的 VPC 负载平衡器,但不想创建一个新的 DNS 子域供用户访问应用程序,您可以用新负载平衡器的主机名替换旧负载平衡器的主机名。

ibmcloud oc nlb-dns replace --cluster CLUSTER --lb-host NEW_LB_HOSTNAME --nlb-subdomain SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--lb-host NEW_LB_HOSTNAME
用于更新子域的新 VPC 负载均衡器的主机名。 要查看 VPC 负载平衡器主机名,请运行 oc get svc -o wide
nlb-subdomain SUBDOMAIN
要替换负载均衡器主机名的 DNS 子域。 要查看现有子域,请运行 ibmcloud oc nlb-dns ls --cluster <cluster>
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns replace 命令

ibmcloud oc nlb-dns replace --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns rm classic

经典基础结构

从子域中除去网络负载均衡器 (NLB) IP 地址。 如果从子域中除去所有 IP,该子域仍然会存在,但没有与之关联的 IP。 注意:必须为每个要删除的 IP 地址运行此命令。

ibmcloud oc nlb-dns rm classic --cluster CLUSTER --ip IP --nlb-host SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--ip IP
要除去的 NLB IP。 要查看每个子域注册的 IP,请运行 ibmcloud oc nlb-dns ls --cluster <cluster>
--nlb-host SUBDOMAIN
要从中除去 IP 的子域。 要查看现有子域,请运行 ibmcloud oc nlb-dns ls
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns rm classic 命令

ibmcloud oc nlb-dns rm classic --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc nlb-dns rm vpc-gen2

虚拟私有云

从该负载均衡器的 DNS 记录中除去负载均衡器主机名 (VPC 应用程序负载均衡器) 或 IP 地址 (VPC 网络负载均衡器)。

删除主机名或 IP 地址后,DNS 子域仍然存在,但没有负载平衡器注册。

ibmcloud oc nlb-dns rm vpc-gen2 --cluster CLUSTER --nlb-subdomain SUBDOMAIN [ --ip IP] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-subdomain SUBDOMAIN
要与 VPC 负载平衡器主机名解除关联的子域。 要查看现有子域,请运行 ibmcloud oc nlb-dns ls --cluster <cluster>
--ip IP
对于 VPC 网络负载均衡器,这是要除去的 IP 地址。 要查看每个子域注册的 IP,请运行 ibmcloud oc nlb-dns ls --cluster <cluster>。 请注意,必须为每个要删除的 IP 地址重复执行此命令。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns rm vpc-gen2 命令

ibmcloud oc nlb-dns rm vpc-gen2 --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: ibmcloud oc nlb-dns secret regenerate

虚拟私有云 经典基础架构

重新生成 NLB 子域的证书和密钥。 密钥重新生成不会造成中断,并且在密钥重新生成时流量会继续流动。

如果在私钥重新生成期间 Let 's Encrypt 证书创建失败,那么必须经过 10 分钟的等待时间,然后再自动尝试重新生成。 重新生成私钥需要另外 5 分钟才能完成,因此在完成此过程之前总共需要 15 分钟时间。

要避免 Let 's Encrypt 速率限制,请勿每天重新生成超过 5 次的私钥。

ibmcloud oc nlb-dns secret regenerate --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-subdomain SUBDOMAIN
要为其重新生成私钥的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns secret regenerate 命令

ibmcloud oc nlb-dns secret regenerate --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: ibmcloud oc nlb-dns secret rm

虚拟私有云 经典基础架构

从 NLB 子域中删除密钥,并阻止证书的未来续订。

如果不再使用 NLB 子域,或者该子域的所有者离开您的组织,那么可以删除该子域的私钥。

ibmcloud oc nlb-dns secret rm --cluster CLUSTER --nlb-subdomain SUBDOMAIN [-f] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--nlb-subdomain SUBDOMAIN
要删除其私钥的子域。 要列出子域,请运行 ibmcloud oc nlb-dns ls --cluster CLUSTER
-f
可选:强制命令在没有用户提示的情况下运行。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 nlb-dns secret rm 命令

ibmcloud oc nlb-dns secret rm --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

ibmcloud oc vpc secure-by-default enable

为使用传统安全组的 VPC 群集启用“默认情况下的安全 VPC 网络”。

ibmcloud oc vpc secure-by-default enable --cluster CLUSTER [--disable-outbound-traffic-protection] [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
--disable-outbound-traffic-protection
包含此选项以允许来自集群工作程序的公共出站访问。 默认情况下,会阻止公共向外访问。
-f
强制此命令运行,而不显示用户提示。
-q
不显示每日消息或更新提示。

webhook-create 命令

虚拟私有云 经典基础架构

注册 Webhook。

ibmcloud oc webhook-create --cluster CLUSTER --level LEVEL --type slack --url URL  [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--level LEVEL
可选: 通知级别 (例如 NormalWarning)。Warning 是缺省值。
--type slack
必需 :webhook 类型。 目前支持 Slack。
--url URL
必须填写:网络钩子的 URL。
-q
可选:不显示当天的消息或更新提示。

示例 webhook-create 命令

ibmcloud oc webhook-create --cluster my_cluster --level Normal --type slack --url http://github.com/mywebhook

api-key 命令

查看有关集群的 API 密钥的信息或将其重置为新密钥。

ibmcloud oc api-key info

虚拟私有云 经典基础架构

查看 IBM Cloud Identity and Access Management (IAM) API 密钥的所有者的名称和电子邮件地址,Red Hat OpenShift on IBM Cloud 使用该 API 密钥来认证区域和资源组中的特定请求 (例如基础结构)。

要为资源组和区域创建不同的 API 密钥,请使用 ibmcloud oc api-key reset 命令。

如果使用 ibmcloud oc credential set 命令手动设置 IBM Cloud 基础架构凭证,那么此命令中返回的 API 密钥不会用于基础架构许可权。

ibmcloud oc api-key info --cluster CLUSTER [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 api-key info 命令

ibmcloud oc api-key info --cluster my_cluster

ibmcloud oc api-key reset

虚拟私有云 经典基础架构

创建 IBM Cloud IAM API 密钥,以模拟用户的许可权来认证当前资源组和区域中所有集群的请求。

如果在集群中使用 Block Storage for VPC 或集群自动缩放器附加组件,那么必须在重置 API 密钥后重新创建附加组件控制器 pod。 有关更多信息,请参阅 Block Storage for VPC PVC 创建在 API 密钥重置后失败API 密钥重置后自动缩放失败

使用该命令前,请确保运行该命令的用户拥有所需的 IBM Cloud Kubernetes Service 和 IBM Cloud 基础架构权限。 将要为其设置 API 密钥的资源组和区域设定为目标。 重置 API 密钥时,先前用于区域和资源组的 API 密钥 (如果有) 现在已过时。 然后,可以从 API 密钥列表中删除旧 API 密钥。 重置 API 密钥之前,请检查是否有其他服务使用现有 API 密钥,例如 密钥管理服务(KMS)提供程序Secrets Manager

ibmcloud oc api-key reset --region REGION [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--region REGION
在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
-q
可选:不显示当天的消息或更新提示。

示例 api-key reset 命令

ibmcloud oc api-key reset --region us-south

credential 命令

设置和取消设置可让您通过 IBM Cloud 账户访问经典 IBM Cloud 基础设施组合的凭据。

仅对于经典集群,可以手动将基础架构凭证设置为其他帐户,但此操作不适用于 VPC 集群。

ibmcloud oc credential get

经典基础结构

如果您将 IBM Cloud 账户设置为使用不同凭据访问 IBM Cloud 基础设施组合,请获取当前目标区域和资源组的基础设施用户名。

ibmcloud oc credential get --region REGION [-q] [--output json]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--region REGION
在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 credential get 命令

ibmcloud oc credential get --region us-south

ibmcloud oc credential set classic

经典基础结构

为资源组和区域设置凭证,以便可以通过 IBM Cloud 帐户访问 IBM Cloud 基础架构产品服务组合。

如果您有 IBM Cloud 现收现付帐户,那么缺省情况下您有权访问 IBM Cloud 基础架构产品服务组合。 但是,您可能希望使用不同的现有 IBM Cloud 基础架构帐户来订购基础架构。 您可以使用此命令将此基础架构帐户链接到 IBM Cloud 帐户。

如果为某个区域和资源组手动设置了 IBM Cloud 基础架构凭证,那么这些凭证会用于为该资源组中该区域内的所有集群订购基础架构。 这些凭证用于确定基础架构许可权,即使已存在该资源组和区域的 IBM CloudIAM API 密钥也不例外。 如果存储了其凭证的用户没有必需的许可权来订购基础架构,那么与基础架构相关的操作(例如,创建集群或重新装入工作程序节点)可能会失败。

不能为同一个 IBM Cloud Kubernetes Service 资源组和区域设置多个证书。

使用此命令之前,请确保使用其凭证的用户具有必需的 IBM Cloud Kubernetes Service 和 IBM Cloud 基础架构许可权

ibmcloud oc credential set classic --infrastructure-api-key API_KEY --infrastructure-username USERNAME --region REGION [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--infrastructure-username USERNAME
必填:IBM Cloud 基础设施账户 API 用户名。 基础架构 API 用户名与 IBM 标识不同。 要查看基础架构 API 用户名,请参阅 管理经典基础架构 API 密钥
--infrastructure-api-key API_KEY
需要:IBM Cloud 基础设施账户 API 密钥。 要查看或生成基础架构 API 密钥,请参阅管理经典基础架构 API 密钥
--region REGION
在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
-q
可选:不显示当天的消息或更新提示。

示例 credential set classic 命令

ibmcloud oc credential set classic --infrastructure-api-key <api_key> --infrastructure-username dbmanager --region us-south

ibmcloud oc credential unset

经典基础结构

除去资源组和区域的凭证,以除去通过 IBM Cloud 帐户对 IBM Cloud 基础架构产品服务组合的访问权。

除去凭证后,将使用 IBM CloudIAM API 密钥来订购 IBM Cloud 基础架构中的资源。

ibmcloud oc credential unset --region REGION [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--region REGION
在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
-q
可选:不显示当天的消息或更新提示。

示例 credential unset 命令

ibmcloud oc credential unset --region us-south

infra-permissions 命令

检查 Red Hat OpenShift on IBM Cloud中使用的经典 IBM Cloud 基础架构许可权。

ibmcloud oc infra-permissions 命令仅检查经典 IBM Cloud 基础架构,而不检查 VPC 许可权。

ibmcloud oc infra-permissions get

经典基础结构

检查允许访问 IBM Cloud 基础架构产品服务组合(对于目标资源组和区域)的凭证是否缺少建议或必需的基础架构许可权。

如果区域和资源组的基础架构凭证缺少任何许可权,那么此命令的输出会返回requiredsuggested许可权的列表。

  • 必需:成功订购和管理基础架构资源(例如,工作程序节点)需要这些许可权。 如果基础架构凭证缺少其中某个许可权,那么对区域和资源组中的所有集群执行的 worker reload 等常见操作会失败。
  • 建议:将这些许可权包含在基础架构许可权中会非常有用,并且在某些用例中这些许可权可能是必需的。 例如,Add Compute with Public Network Port基础架构许可权是建议许可权,因为如果需要公用网络,那么会需要此许可权。 但是,如果用例是位于仅专用 VLAN 上的集群,那么无需此许可权,因此不会将其视为required

有关按许可权列出的常见用例的列表,请参阅基础架构角色

如果在控制台或 基础架构角色 表中找不到某个基础架构权限,该怎么办?
Support Case许可权和基础架构许可权是在控制台的不同部分中进行管理的。 请参阅 定制基础架构许可权
我要分配哪些基础架构权限?
如果您公司的许可权策略很严格,那么可能需要限制集群用例的suggested许可权。 否则,请确保区域和资源组的基础架构凭证包含所有requiredsuggested许可权。

对于大多数用例,请使用相应的基础架构许可权为区域和资源组设置 API 密钥。 如果需要使用不同于当前帐户的其他基础架构帐户,请设置手动凭证

如何控制用户可以执行的操作?
基础架构凭证设置完成后,您可以通过为用户分配 IBM Cloud IAM 平台访问角色 来控制用户可以执行的操作。
ibmcloud oc infra-permissions get --region REGION [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项

--region REGION
必需: 在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 infra-permissions get 命令

ibmcloud oc infra-permissions get --region us-south

示例输出

Missing Virtual Worker Permissions

Add Server                    suggested
Cancel Server                 suggested
View Virtual Server Details   required

Missing Physical Worker Permissions

No changes are suggested or required.

Missing Network Permissions

No changes are suggested or required.

Missing Storage Permissions

Add Storage       required
Manage Storage    required

kms 命令

在集群中启用 密钥管理服务(KMS)提供程序,以使用您控制的根密钥对 etcd 组件和 Kubernetes 私钥进行加密。

ibmcloud oc kms crk ls

虚拟私有云 经典基础架构

列出密钥管理服务实例中可用的客户根密钥 (CRK)。 根密钥打包并解包集群用于加密其密钥的本地数据加密密钥 (DEK)。 有关更多信息,请参阅 了解密钥管理服务(KMS)提供程序

请勿删除 KMS 实例中的根密钥,即使轮换使用新密钥也是如此。 如果删除群集使用的根密钥,群集将无法使用,丢失所有数据,并且无法恢复。

ibmcloud oc kms crk ls --instance-id KMS_INSTANCE_ID [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项

--instance-id KMS_INSTANCE_ID
要列出其根密钥的密钥管理服务实例的标识。 要列出可用的 KMS 实例,请运行 ibmcloud oc kms instance ls
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 kms crk ls 命令

ibmcloud oc kms crk ls --instance-id 1aa1a111-1111-1111-a111-a1aaaa1a1a1a

ibmcloud oc kms enable

虚拟私有云 经典基础架构

在集群中 启用密钥管理服务(KMS)提供商,加密 Kubernetes 秘密。 要使用现有密钥加密在集群中轮换密钥,请使用新的根密钥标识重新运行此命令。

请勿删除 KMS 实例中的根密钥,即使轮换使用新密钥也是如此。 如果删除群集使用的根密钥,群集将无法使用,丢失所有数据,并且无法恢复。 当您轮换根密钥时,不能对同一集群复用先前的根密钥。

ibmcloud oc kms enable --cluster CLUSTER_NAME_OR_ID --instance-id KMS_INSTANCE_ID --crk ROOT_KEY_ID [--kms-account-id ID] [--public-endpoint] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项

--container, -c CLUSTER_NAME_OR_ID
集群的名称或标识。
--instance-id KMS_INSTANCE_ID
要用于对集群中的私钥进行加密的 KMS 实例的标识。 要列出可用的 KMS 实例,请运行 ibmcloud oc kms instance ls
--crk ROOT_KEY_ID
要用于打包集群中本地存储的数据加密密钥 (DEK) 的 KMS 实例中客户根密钥 (CRK) 的标识。 要列出可用的根密钥,请运行 ibmcloud oc kms crk ls --instance-id <kms_instance_id>
--kms-account-id ID
可选项:包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。
--public-endpoint
可选:指定此选项可使用 KMS 公共云服务端点。 如果不包含此选项,那么缺省情况下将使用私有云服务端点。
-q
可选:不显示当天的消息或更新提示。

示例 kms enable 命令

ibmcloud oc kms enable -c mycluster --instance-id a11aa11a-bbb2-3333-d444-e5e555e5ee5 --crk 1a111a1a-bb22-3c3c-4d44-55e555e55e55

ibmcloud oc kms instance ls

虚拟私有云 经典基础架构

列出您可以选择在集群中启用的 IBM Cloud 帐户中可用的 密钥管理服务(KMS)实例

ibmcloud oc kms instance ls [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项

--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc kms instance ls

quota 命令

ibmcloud oc quota ls

虚拟私有云 经典基础架构

列出 IBM Cloud 账户中与群集相关资源的所有配额和限制。

ibmcloud oc quota ls [--provider PROVIDER] [--output json]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

--provider (classic | vpc-gen2)
要列出配额和限制的基础架构提供者类型。
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc quota ls

subnets 命令

虚拟私有云 经典基础架构

列出 IBM Cloud 基础架构帐户中所有资源组中的可用子网。

ibmcloud oc subnets [--provider (classic | vpc-gen2)] [--vpc-id <VPC_ID> --zone <VPC_ZONE>] [--location LOCATION] [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

--provider (classic | vpc-gen2)
要列出子网的基础设施提供商类型。 要列出 VPC 子网,必须使用该选项。
--vpc-id VPC_ID
要列出其子网的 VPC 的标识。 指定 vpc-gen2 提供商类型时需要使用该选项。 要列出 VPC ID,请运行 ibmcloud oc vpcs
--zone VPC_ZONE
要列出其 VPC 子网的专区。 指定 VPC 提供程序类型时需要使用该选项。
-l, --location LOCATION
按特定位置过滤输出。 要查看支持的位置,请运行 ibmcloud oc locations。 要指定多个位置,每个位置使用一个选项,如 -l dal -l seo
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc subnets -l ams03 -l wdc -l ap

vlan 命令

经典基础结构

列出专区的公用和专用 VLAN,并查看 VLAN 生成状态。

ibmcloud oc vlan ls

经典基础结构

列出可用于经典 IBM Cloud 基础架构帐户中专区的公用和专用 VLAN。 要列出可用 VLAN,您必须具有付费帐户。

ibmcloud oc vlan ls --zone ZONE [--all] [--output json] [-q]

最低必需许可权

  • 要查看群集在区域中连接的 VLAN,请执行以下操作中群集的查看器平台访问角色 IBM Cloud Kubernetes Service
  • 要列出区域中所有可用的 VLAN,请执行以下操作中区域的查看器平台访问角色 IBM Cloud Kubernetes Service

命令选项

--zone ZONE
需要:输入要列出专用和公用 VLAN 的区域。 要查看可用专区,请运行 ibmcloud oc zone ls
--all
列出所有可用的 VLAN。 缺省情况下,会对 VLAN 进行过滤,以仅显示有效的 VLAN。 要使 VLAN 有效,必须将 VLAN 与可使用本地磁盘存储来托管工作程序的基础架构相关联。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 vlan ls 命令

ibmcloud oc vlan ls --zone dal10

ibmcloud oc vlan spanning get

经典基础结构

查看 IBM Cloud 基础架构帐户的 VLAN 生成状态。 VLAN 生成支持帐户中的所有设备通过专用网络相互通信,而不管设备分配给哪个 VLAN。

对于在启用 VRF 的帐户中创建的集群,已禁用 VLAN 生成选项。 启用 VRF 时,帐户中的所有 VLAN 都可以通过专用网络自动相互通信。 要检查是否已启用 VRF,请使用 ibmcloud account show 命令。 有关更多信息,请参阅规划集群网络设置:工作程序到工作程序的通信

ibmcloud oc vlan spanning get --region REGION [--output json] [-q]
最低必需许可权
IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项

--region REGION
在 Red Hat OpenShift on IBM Cloud中指定区域: jp-osajp-tokau-sydeu-deeu-gbus-eastus-south
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 vlan spanning get 命令

ibmcloud oc vlan spanning get --region us-south

ibmcloud oc vpc ls

列出目标资源组中的所有 VPC。 如果没有针对资源组,则会列出账户中的所有 VPC。

ibmcloud oc vpc ls [--output OUTPUT] [--provider PROVIDER] [-q]

命令选项

--output OUTPUT
以提供的格式打印命令输出。 接受的值: json --provider PROVIDER
VPC 基础结构提供程序类型。 支持的值为 vpc-classicvpc-gen2。 缺省情况下,将返回所有提供程序类型的 VPC。
-q
不显示每日消息或更新提示。

ibmcloud oc vpc outbound-traffic-protection disable

对缺省情况下的安全 VPC 集群禁用出站流量保护。

ibmcloud oc vpc outbound-traffic-protection disable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
-f
强制此命令运行,而不显示用户提示。
-q
不显示每日消息或更新提示。

ibmcloud oc vpc outbound-traffic-protection enable

对缺省情况下的安全 VPC 集群启用出站流量保护。

ibmcloud oc vpc outbound-traffic-protection enable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
-f
强制此命令运行,而不显示用户提示。
-q
不显示每日消息或更新提示。

flavor 命令

每种类型模板都包含集群中每个工作程序节点的虚拟 CPU 量、内存量和磁盘空间量。

缺省情况下,存储所有容器数据的辅助存储器磁盘目录将使用 LUKS 加密进行加密。 如果在创建集群期间包含了 disable-disk-encrypt 选项,那么不会加密主机的容器运行时数据。 了解有关加密的更多信息

可以将工作程序节点作为虚拟机在共享或专用硬件上进行供应,也可以作为物理机器在裸机上进行供应(仅适用于经典集群)。

flavor get 命令

虚拟私有云 经典基础架构

获取区域和提供者的类型模板信息。

ibmcloud oc flavor get --flavor FLAVOR --provider PROVIDER --zone ZONE [--output OUTPUT] [-q]
最低必需许可权

命令选项

--flavor FLAVOR
要获取其信息的类型模板。 类型将确定可供每个工作程序节点使用的虚拟 CPU、内存和磁盘空间。
--provider PROVIDER
要获取其类型模板信息的基础结构提供程序。 可用的选项有 classicvpc-classicvpc-gen2
--zone ZONE
要获取其类型模板信息的区域。 要查看经典集群的可用专区,请运行 ibmcloud oc zone ls。 要查看 VPC 集群的可用区域,请运行 ibmcloud oc zone ls --provider vpc-gen2 for Generation 2 计算。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 flavor get 命令

虚拟私有云 经典基础架构

ibmcloud oc flavor get --zone us-south-1 --provider vpc-gen2 --flavor bx2d.48x192.900gb

flavor ls 命令

虚拟私有云 经典基础架构

列出某个区域的可用类型。

ibmcloud oc flavor ls --zone ZONE [--output OUTPUT] [--provider PROVIDER] [-q] [--show-os] [--show-storage]
最低必需许可权

命令选项

--zone ZONE
要获取其类型模板信息的区域。 要查看经典集群的可用专区,请运行 ibmcloud oc zone ls。 要查看 VPC 集群的可用区域,请运行 ibmcloud oc zone ls --provider vpc-gen2 for Generation 2 计算。
--provider PROVIDER
可选: 要获取其类型模板信息的基础结构提供程序。 可用的选项有 classicvpc-classicvpc-gen2
--show-os
可选:列出支持的操作系统。
--show-storage
可选: 显示可用于 SDS 工作程序节点类型模板的其他原始磁盘。 有关更多信息,请参阅 软件定义的存储器(SDS)机器。 在各都市区部分的表格中,SDS 味道位于 Bare Metal 选项卡中,并以 .ssd 结尾。
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 flavor ls 命令

ibmcloud oc flavor ls --zone us-south-1 --provider vpc-gen2 --show-os --show-storage

messages 命令

虚拟私有云 经典基础架构

查看来自 IBM 标识用户的 IBM Cloud Kubernetes Service CLI 插件的当前消息。

ibmcloud oc messages
最低必需许可权

命令选项:无

locations 命令

虚拟私有云 经典基础架构

列出 IBM Cloud Kubernetes Service 支持的位置。 有关返回的位置的更多信息,请参阅 IBM Cloud Kubernetes Service 位置

ibmcloud oc locations [--output json]
最低必需许可权

命令选项

--output json
可选:以 JSON 格式打印命令输出。

versions 命令

虚拟私有云 经典基础架构

列出可用于 IBM Cloud Kubernetes Service 集群的所有容器平台版本。 将集群主节点工作程序节点更新到缺省版本以获取最新的稳定功能。

不推荐使用此命令的 kube-versions 别名。

ibmcloud oc versions [--show-version (KUBERNETES|OPENSHIFT)] [--output json] [-q]
最低必需许可权

命令选项

--show-version (KUBERNETES|OPENSHIFT)
仅显示指定容器平台的版本。 支持的值为 kubernetesopenshift
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc versions

api 命令

虚拟私有云 经典基础架构

将 IBM Cloud Kubernetes Service 的 API 端点设定为目标。 如果没有指定端点,则可以查看当前目标端点的信息。

不推荐使用特定于区域的端点。 改用全局端点。

如果只需要列出和使用一个区域中的资源,那么可以使用 ibmcloud oc api 命令将区域端点而不是全局端点设定为目标。

  • 达拉斯(美国南部,us-south):https://us-south.containers.cloud.ibm.com
  • 法兰克福(欧洲中部,eu-de):https://eu-de.containers.cloud.ibm.com
  • 伦敦(英国南部,eu-gb):https://eu-gb.containers.cloud.ibm.com
  • 大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
  • 圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
  • 悉尼(亚太地区南部,au-syd):https://au-syd.containers.cloud.ibm.com
  • 东京(亚太地区北部,jp-tok):https://jp-tok.containers.cloud.ibm.com
  • 多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
  • 华盛顿,D.C。(美国东部,美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能,可以再次使用 ibmcloud oc api 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud oc api --endpoint ENDPOINT [--insecure] [--skip-ssl-validation] [--api-version VALUE] [-q]
最低必需许可权

命令选项

--endpoint ENDPOINT
IBM Cloud Kubernetes Service API 端点。 **注意**:该端点与 IBM Cloud 端点不同。 需要此值来设置 API 端点。
--insecure
允许不安全的 HTTP 连接。 此选项是可选的。
--skip-ssl-validation
允许不安全的 SSL 证书。 此选项是可选的。
--api-version VALUE
可选:指定要使用的服务的 API 版本。
-q
可选:不显示当天的消息或更新提示。

示例:查看有关设定为目标的当前 API 端点的信息。

ibmcloud oc api
API Endpoint:          https://containers.cloud.ibm.com
API Version:           v1
Skip SSL Validation:   false
Region:                us-south

init 命令

虚拟私有云 经典基础架构

初始化 Red Hat OpenShift on IBM Cloud 插件或指定要创建或访问 Red Hat OpenShift 群集的区域。

不推荐使用特定于区域的端点。 改用全局端点。

如果只需要列出和使用一个区域中的资源,那么可以使用 ibmcloud oc init 命令将区域端点而不是全局端点设定为目标。

  • 达拉斯(美国南部,us-south):https://us-south.containers.cloud.ibm.com
  • 法兰克福(欧洲中部,eu-de):https://eu-de.containers.cloud.ibm.com
  • 伦敦(英国南部,eu-gb):https://eu-gb.containers.cloud.ibm.com
  • 大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
  • 圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
  • 悉尼(亚太地区南部,au-syd):https://au-syd.containers.cloud.ibm.com
  • 东京(亚太地区北部,jp-tok):https://jp-tok.containers.cloud.ibm.com
  • 多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
  • 华盛顿,D.C。(美国东部,美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能,可以再次使用 ibmcloud oc init 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud oc init [--host HOST] [--insecure] [-p] [-u] [-q]
最低必需许可权

命令选项

--host HOST
可选: 要使用的 IBM Cloud Kubernetes Service API 端点。
--insecure
允许不安全的 HTTP 连接。
-p
您的 IBM Cloud 密码。
-u
您的 IBM Cloud 用户名。
-q
可选:不显示当天的消息或更新提示。

示例

  • 将美国南部区域端点设定为目标的示例:
    ibmcloud oc init --host https://us-south.containers.cloud.ibm.com
    
  • 将全局端点重新设定为目标的示例:
    ibmcloud oc init --host https://containers.cloud.ibm.com
    

script 命令

ibmcloud oc script update

虚拟私有云 经典基础架构

重写调用 kubernetes-service 命令的脚本。 将旧结构的命令替换为 Beta 结构的命令。

V1.0 中的大部分命令行为和语法都有更改。 这些更改与先前版本不兼容。 更新脚本之后,必须在脚本中或运行脚本的环境中继续使用 V1.0 插件。 不要将 IKS_BETA_VERSION 环境变量更改为其他版本。

ibmcloud oc script update [--in-place] FILE [FILE ...]
最低必需许可权

命令选项

--in-place
可选:使用更新的命令结构来重写源文件。 如果未指定此选项,则可在 STDOUT 中看到脚本文件的更改摘要。
FILE [FILE ...]
包含要更新的脚本的文件。

要使用此命令为 Red Hat OpenShift on IBM Cloud V1.0 插件发行版准备自动化脚本,请执行以下操作:

  1. 在不带 --in-place 选项的测试脚本上运行该命令。
    ibmcloud oc script update ./mytestscript.sh
    
  2. 查看命令行 STDOUT 中显示的脚本修改建议。 示例输出
    --- a/script-test-2
    +++ b/script-test-2
    @@ -1,5 +1,5 @@
    -ibmcloud ks logging-config-get --cluster mycluster
    -ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-containers app1,app2,app3 --app-paths /var/log/path/
    -ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-paths=/var/log/path/,/var/log/other/path/
    -ibmcloud ks clusters -s --locations dal09,dal12 --output json
    -ibmcloud ks subnets --locations sao01
    +ibmcloud ks logging config get --cluster mycluster
    +ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -C app1 -C app2 -C app3 -p /var/log/path/
    +ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -p /var/log/path/ -p /var/log/other/path/
    +ibmcloud ks clusters -s -l dal09 -l dal12 --output json
    +ibmcloud ks subnets -l sao01
    
  3. 要根据建议的更新重写脚本,请使用 --in-place 选项再次运行该命令。
    ibmcloud oc script update ./mytestscript.sh --in-place
    
  4. 搜索并解决脚本中标记有 # WARNING 消息的所有命令。 例如,有些命令已经过时,没有替代命令。
  5. 在脚本中或运行脚本的环境中,将 IKS_BETA_VERSION 环境变量设置为 1.0
    export IKS_BETA_VERSION=1.0
    
  6. 使用更新的脚本测试自动化。 请注意,如果自动化包含创建集群,那么可能会产生费用。
  7. 更新所有脚本。
  8. 将 CLI 插件更新为 V 1.0。
    ibmcloud plugin update kubernetes-service
    

security-group 命令

虚拟私有云 经典基础架构

将安全组重置或同步到 缺省交通规则

ibmcloud oc security-group ls

列出与集群关联的所有安全组。

ibmcloud oc security-group ls --cluster CLUSTER [--attached-to ATTACHED] [--managed-by MANAGER] [--output OUTPUT] [-q] [--scope SCOPE]

命令选项

--attached-to ATTACHED
按安全组所连接的组件对安全组进行过滤。 接受的值: clusterload-balancervpcvpe-gatewayworker-pool
--cluster CLUSTER, -c CLUSTER
指定集群名称或标识。
--managed-by MANAGER
指定 user 以返回用户创建的安全组。 指定 ibm 以仅返回由 IBM管理的安全组。 接受的值: ibmuser
--output OUTPUT
以提供的格式打印命令输出。 接受的值: json
-q
不显示每日消息或更新提示。
--scope SCOPE
指定 cluster 以返回作用域限定为集群的安全组。 指定 vpc 以返回作用域限定为整个 VPC 的安全组。 接受的值: clustervpc

ibmcloud oc security-group reset

虚拟私有云 经典基础架构

删除所有现有安全组规则并重新应用缺省规则

ibmcloud oc security-group reset --cluster CLUSTER --security-group GROUP [-f] [-q]
最低必需许可权

命令选项

--cluster CLUSTER
必填:指定群集名称或 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--security-group GROUP_ID
必需: 指定安全组标识。

示例

ibmcloud oc security-group reset --cluster mycluster --security-group mygroup

ibmcloud oc security-group sync

虚拟私有云 经典基础架构

重新应用 缺省安全组规则 以添加任何缺少的规则。 不会删除已有规则。

ibmcloud oc security-group sync --cluster CLUSTER --security-group GROUP [-q]
最低必需许可权

命令选项

--cluster CLUSTER
必填:指定群集名称或 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--security-group GROUP_ID
必需: 指定安全组标识。

示例

ibmcloud oc security-group sync --cluster mycluster --security-group mygroup

Beta: storage 命令

虚拟私有云 经典基础架构

创建,获取,列示或除去存储卷连接。

storage 命令以 Beta 版提供。

ibmcloud oc storage attachment create

虚拟私有云

将存储卷连接到集群中的工作程序节点。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色
ibmcloud oc storage attachment create --cluster CLUSTER_ID --volume VOLUME --worker WORKER [--output json]

命令选项

--cluster CLUSTER_ID
必填:指定群集 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--volume VOLUME
需要:指定卷 ID。 要列出可用的工人名单,请运行 ibmcloud oc storage volume ls
--worker WORKER
必须填写:指定工人 ID。 要列出可用的工人名单,请运行 ibmcloud oc worker ls
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage attachment create --cluster aa1111aa11aaaaa11aa1 --volume 111111111 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

ibmcloud oc storage attachment get

虚拟私有云

获取群集中存储卷附件的详细信息。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
ibmcloud oc storage attachment get --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]
--cluster CLUSTER_ID
必填:指定群集 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--attachment ATTACHMENT
必填:指定卷附件 ID。 要列出可用附件,请运行 ibmcloud oc storage attachment ls
--worker WORKER
必须填写:指定工人 ID。 要列出可用的工人名单,请运行 ibmcloud oc worker ls
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage attachment get --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

ibmcloud oc storage attachment ls

虚拟私有云

列出集群中工作程序节点的存储卷连接。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
ibmcloud oc storage attachment ls --cluster CLUSTER_ID --worker WORKER [--output json]
--cluster CLUSTER_ID
必填:指定群集 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--worker WORKER
必须填写:指定工人 ID。 要列出可用的工人名单,请运行 ibmcloud oc worker ls
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage attachment ls --cluster aa1111aa11aaaaa11aa1 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

ibmcloud oc storage attachment rm

虚拟私有云

从集群中的工作程序节点除去存储卷。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色
ibmcloud oc storage attachment rm --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]

命令选项

--cluster CLUSTER_ID
必填:指定群集 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--attachment ATTACHMENT
必填:指定卷附件 ID。 要列出可用附件,请运行 ibmcloud oc storage attachment ls
--worker WORKER
必须填写:指定工人 ID。 要列出可用的工人名单,请运行 ibmcloud oc worker ls
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage attachment rm --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

ibmcloud oc storage volume get

虚拟私有云 经典基础架构

列出经典集群的存储卷。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
ibmcloud oc storage volume get --volume VOLUME

命令选项

--volume VOLUME
需要:指定卷 ID。 要列出可用卷,请运行 ibmcloud ks storage volume ls
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage volume get --volume 111111111

ibmcloud oc storage volume ls

虚拟私有云 经典基础架构

获取存储卷列表。

最低必需许可权
IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色
ibmcloud oc storage volume ls [--cluster CLUSTER_ID] [--provider PROVIDER] [--zone ZONE] [--output json]

命令选项

--cluster CLUSTER_ID
可选:指定群集 ID。 要列出可用的群集,请运行 ibmcloud oc cluster ls
--provider PROVIDER
可选: 指定提供程序。 支持的值为 classicvpc-gen2
--zone ZONE
可选: 指定区域。 要列出可用区段,请运行 ibmcloud oc locations
--output json
可选:以 JSON 格式打印命令输出。

示例

ibmcloud oc storage volume ls --cluster aa1111aa11aaaaa11aa1

Satellite 命令

创建和管理 IBM Cloud Satellite 集群。

ibmcloud oc cluster create satellite

Satellite

在您自己的基础架构上创建 IBM Cloud Satellite 集群,将其作为主机添加到 Satellite 位置。 这些主机用作 Satellite 集群中的工作程序节点。

开始之前,请创建 Satellite,并将至少 3 个主机分配到控制平面操作的位置。 创建 Satellite 集群后,请为工作程序节点分配主机。 有关更多信息,请参阅 在 Satellite 中创建 Red Hat OpenShift 集群

ibmcloud oc cluster create satellite --location LOCATION --name NAME --version VERSION [--enable-config-admin] [--host-label LABEL ...] [--infrastructure-topology TOPOLOGY] [--operating-system SYSTEM] [--pod-subnet SUBNET] [--pod-network-interface-selection METHOD] [--pull-secret SECRET] [-q] [--service-subnet SUBNET] [--sm-group GROUP] [--sm-instance INSTANCE] [--workers COUNT] [--zone ZONE] [--entitlement ENTITLEMENT]

最低必需许可权: IBM Cloud IAM 管理员 对 Satellite的平台访问角色。

命令选项

--location LOCATION

必需。 输入要在其中创建集群的位置的标识或名称。 要检索位置 ID 或名称,请运行 ibmcloud sat location ls

--name NAME

必需。 输入集群的名称。 名称必须以字母开头,可以包含字母、数字和连字符 (-),并且不能超过 35 个字符。

--version VERSION

必需。 输入要在集群中运行的 Red Hat OpenShift on IBM Cloud 版本。 要获取受支持版本的列表,请运行 ibmcloud oc versions

--enable-config-admin

可选。 授予 Satellite 配置服务帐户对集群管理角色的访问权,以管理 Kubernetes 资源。 如果未授予 Satellite 配置访问权,那么以后无法使用 Satellite 配置功能来查看或部署集群的 Kubernetes 资源。 如果您希望稍后启用访问权,那么可以 为 Satellite 配置 创建定制 RBAC 角色。

--host-label, -hl LABEL

可选。 输入描述 Satellite 主机的现有标签,格式为 -hl key=value 对,因此可以自动将具有匹配标签的主机分配为集群的工作程序节点。 要查找可用的主机标签,请运行 ibmcloud sat host get --host <host_name_or_ID> --location <location_name_or_ID>

--infrastructure-topology TOPOLOGY

可选。 指定集群是运行单个工作程序节点,还是运行三个工作程序节点的缺省设置。 要创建单节点群集,请指定 single-replica。 此选项仅受 Red Hat OpenShift on IBM Cloud V 4.11 或更高版本支持,并且要求您在启用 CoreOS 的情况下指定 Satellite 位置。 请注意,单节点集群缺乏高可用性,仅建议用于特定情况。 通过供应单节点集群,您可以接受您更有可能迂到宕机和工作负载中断的情况。

--operating-system RHEL_9_64|REDHAT_8_64|RHCOS

可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。

--pod-subnet SUBNET

可选。 缺省情况下,部署到工作程序节点的所有 pod 都会分配有 172.30.0.0/16 范围内的专用 IP 地址。 通过指定为 pod 提供专用 IP 地址的定制子网 CIDR,可以避免子网与用于连接到位置的网络发生冲突。

选择子网大小时,请考虑计划创建的集群的大小以及未来可能添加的工作程序节点数。 子网的 CIDR 必须至少为 /23,这样才能为集群中最多四个工作节点提供足够的 pod IP。 对于较大的集群,请使用 /22 为 8 个工作程序节点提供足够的 pod IP 地址,使用 /21 为 16 个工作程序节点提供足够的 pod IP 地址,以此类推。

您选择的子网必须在下列其中一个范围内。

  • 172.17.0.0 - 172.17.255.255
  • 172.21.0.0 - 172.31.255.255
  • 192.168.0.0 - 192.168.254.255
  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。 缺省情况下,服务子网在 172.21.0.0/16 范围内。 此值不能设置为相关位置的 pod-subnet 或 service-subnet 的值。

--pod-network-interface-selection METHOD

可选。 用于选择内部 pod 网络的节点网络接口的方法。 可用的方法为 can-reachinterface。 只有同时使用 --operating-system 选项启用 Red Hat CoreOS 时,才能使用该选项。

  • 要提供直接 URL 或IP地址,请指定 can-reach=<url>can-reach=<ip_address>。 如果网络接口能够访问提供的 URL 或IP地址,则使用此选项。 例如,使用 can-reach=www.exampleurl.com 指定 URL,使用 can-reach=172.19.0.0 指定IP地址。
  • 要选择具有 Regex 字符串的接口,请指定 interface=<regex_string>; 例如,interface=eth.*
--pull-secret SECRET

可选。 通过提供 Red Hat® 帐户拉取私钥,指定此集群中工作程序节点的现有 OCP 权利。 集群还使用此拉取私钥从您自己的 Red Hat 帐户下载 Red Hat OpenShift 映像。

-q

可选:不显示当天的消息或更新提示。

--service-subnet SUBNET

可选。 缺省情况下,部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。 通过指定为服务提供专用 IP 地址的定制子网 CIDR,可以避免子网与用于连接到位置的网络发生冲突。

子网必须以 CIDR 格式指定,大小至少为 /24,这允许集群中最多 255 个服务或更大的服务。 您选择的子网必须在下列其中一个范围内。

  • 172.17.0.0 - 172.17.255.255
  • 172.21.0.0 - 172.31.255.255
  • 192.168.0.0 - 192.168.254.255
  • 198.18.0.0 - 198.19.255.255

请注意,pod 和服务子网不能重叠。 缺省情况下,pod 子网在 172.30.0.0/16 范围内。 此值不能设置为相关位置的 pod-subnet 或 service-subnet 的值。

--sm-group GROUP

保存秘密的 Secrets Manager 实例的秘密组 ID。 要获取私钥组标识,请参阅 Secrets Manager CLI 参考

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。 要获取实例的 CRN,请运行 ibmcloud oc ingress instance ls --cluster CLUSTER

--workers COUNT

在指定了 --host-label 或要 自动分配主机 时必需。 指定默认工人池中每个区域的工人节点数量。 缺省值为 0。 如果未指定值,那么不会自动分配工作程序,而是必须 手动将 工作程序分配给 Satellite 资源。

--zone ZONE

可选。 要在其中创建缺省工作程序池的区域的名称。 您可以从一个专区开始,然后稍后将另外两个专区添加到集群以实现高可用性。 要查看位置的区域名称,请运行 ibmcloud sat location get --location <location_name_or_ID> 并查找 Host Zones 字段。 如果未指定区域名称,那么将选择按字母顺序排列的区域名称。

--entitlement

只有当您将此群集与具有 Red Hat OpenShift 权限的 IBM Cloud Pak 一起使用时,才将此选项设置为 cloud_pak。 当您指定工作程序数 (--workers) 和类型模板数 (--flavor) 时,请确保仅指定您有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建集群后,不会向您收取 default 工作程序池中授权工作程序节点的 Red Hat OpenShift 许可证费用。

请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。

以下示例使用 REDHAT_8_64 操作系统创建 Satellite 集群。

ibmcloud sat cluster create satellite --name mysatcluster --location my-location --pull-secret <secret> --operating-system REDHAT_8_64 --version 4.17_openshift -hl cpu=4 -hl memory=16265432 --workers 3 --zone myzone1

以下示例创建运行 Red Hat OpenShift on IBM Cloud V 4.9.23_openshift 和 RHCOS 主机的 Satellite 集群。

ibmcloud sat cluster create satellite --name mysatcluster-coreos --location my-location --version 4.9.23_openshift --operating-system RHCOS --workers 6

ibmcloud oc cluster master satellite-service-endpoint allowlist add

Satellite

将子网添加到 Satellite 集群的服务端点允许列表。 允许通过 Satellite 服务端点向群集主控发送来自子网的授权请求。 必须 启用 允许列表才能应用限制。 此命令只能用于Satellite集群CoreOS-enabled。

ibmcloud oc cluster master satellite-service-endpoint allowlist add --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]

最低必需许可权: IBM Cloud IAM 编辑者 Satellite。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
--subnet SUBNET
必需 :CIDR 格式的子网。 使用多个重复条目指定多个子网。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc cluster master satellite-service-endpoint allowlist add --cluster my-cluster --subnet 1.1.1.1/16 --subnet SUBNET 1.1.1.1/32 [-q]

ibmcloud oc cluster master satellite-service-endpoint allowlist disable

Satellite

禁用 Satellite 集群的允许列表。 禁用允许列表时,允许通过 Satellite 服务端点向源自任何子网的集群主节点发出授权请求。 此命令只能用于Satellite集群CoreOS-enabled。

ibmcloud oc cluster master satellite-service-endpoint allowlist disable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud IAM 管理员 对 Satellite的平台访问角色。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
--subnet SUBNET
必需 :CIDR 格式的子网。 使用多个重复条目指定多个子网。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc cluster master satellite-service-endpoint allowlist disable --cluster my-cluster

ibmcloud oc cluster master satellite-service-endpoint allowlist enable

Satellite

为 Satellite 集群启用允许列表。 启用允许列表时,仅当对集群主节点的授权请求源自允许列表中指定的子网时,才允许这些请求通过 Satellite 服务端点。 此命令只能用于Satellite集群CoreOS-enabled。

ibmcloud oc cluster master satellite-service-endpoint allowlist enable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud IAM 管理员 对 Satellite的平台访问角色。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc cluster master satellite-service-endpoint allowlist enable --cluster my-cluster

ibmcloud oc cluster master satellite-service-endpoint allowlist get

Satellite

获取 Satellite 集群的服务端点允许列表。 允许列表包含允许通过 Satellite 服务端点向集群主节点发出请求的子网。 此命令只能用于Satellite集群CoreOS-enabled。

ibmcloud oc cluster master satellite-service-endpoint allowlist get --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud IAM 查看者 平台访问角色 (针对 Satellite。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc cluster master satellite-service-endpoint allowlist get --cluster my-cluster

ibmcloud oc cluster master satellite-service-endpoint allowlist remove

Satellite

从 Satellite 集群的服务端点允许列表中除去子网。 不再允许通过 Satellite 服务端点向来自子网的集群主节点发出的授权请求。 此命令只能用于Satellite集群CoreOS-enabled。

ibmcloud oc cluster master satellite-service-endpoint allowlist remove --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-f] [-q]

最低必需许可权: IBM Cloud IAM 编辑者 Satellite。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
-f
可选:强制命令在没有用户提示的情况下运行。
-q
可选:不显示当天的消息或更新提示。

示例

ibmcloud oc cluster master satellite-service-endpoint allowlist remove --cluster my-cluster --subnet 1.1.1.1/16 --subnet SUBNET 1.1.1.1/32 [-q]

ibmcloud oc worker-pool create satellite

Satellite

为 IBM Cloud Satellite中的 Red Hat OpenShift 集群创建工作程序池。

ibmcloud oc worker-pool create satellite --cluster CLUSTER --host-label LABEL [--host-label LABEL ...] --name NAME [--operating-system SYSTEM] --size-per-zone WORKERS_PER_ZONE --zone ZONE [--entitlement ENTITLEMENT] [--label LABEL ...] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud IAM 管理员 对 Satellite的平台访问角色。

命令选项

-c, --cluster CLUSTER
必需。 集群的名称或标识。
--host-label, -hl LABEL
必需。 至少输入一个描述 Satellite 主机的现有标签,格式为 -hl key=value 对,因此可以将具有匹配标签的主机自动分配给此工作程序池。 您指定的标签必须与主机标签完全匹配。 例如,如果要将具有 3 标签的主机分配给此工作程序池,那么必须在 3 重复选项中指定所有 3 标签。 要查找可用的主机标签,请运行 ibmcloud sat host get --host <host_name_or_ID> --location <location_name_or_ID>
--name POOL_NAME
必需。 要为工作程序池提供的名称。
--operating-system RHEL_9_64|REDHAT_8_64|RHCOS
可选。 集群中工作程序节点的操作系统。 如需按集群版本查看可用操作系统列表,请参阅 Red Hat OpenShift on IBM Cloud 版本信息。 如果未指定任何选项,那么将使用与集群版本对应的缺省操作系统。
--size-per-zone WORKERS_PER_ZONE
必需。 每个专区中要请求的工作程序节点数。 确保 将足够的主机连接到您的位置 以用作工作程序节点。 例如,如果您输入 2,然后在创建此工作程序池后将其 添加 2 更多专区,请确保至少将 6 个未分配的主机连接到您的位置,以便可以将它们分配为工作程序池中每个 3 专区中的 2 个工作程序节点。
--zone ZONE
必需。 要将主机分配为工作程序节点的区域的名称。 要查看位置的区域名称,请运行 ibmcloud sat location get --location <location_name_or_ID> 并查找 Host Zones 字段。 请注意,创建此工作程序池后,可以 添加更多专区 以实现高可用性。
--entitlement ENTITLEMENT
只有当您将此群集与具有 Red Hat OpenShift 权限的 IBM Cloud Pak 一起使用时,才将此标记设置为 cloud_pak。 当您指定工作程序数 (--workers) 和类型模板数 (--flavor) 时,请确保仅指定您有权在 IBM Passport Advantage中使用的工作程序节点数和大小。 创建集群后,不会向您收取 default 工作程序池中授权工作程序节点的 Red Hat OpenShift 许可证费用。 请勿超出您的权利范围。 请记住,OpenShift Container Platform 权利可以与其他云提供者一起使用,也可以在其他环境中使用。 为避免以后出现计费问题,请确保仅使用您有权使用的内容。 例如,您可能具有针对两个工作程序节点 4 CPU 和 16 GB 内存的 OCP 许可证的权利,并且您使用两个工作程序节点 4 CPU 和 16 GB 内存创建此工作程序池。 您使用了整个权利,但不能对其他工作程序池,云提供者或环境使用相同的权利。
-l, --label KEY1=VALUE1
可选。 将键/值标签应用于工作程序池中的每个工作程序节点。 请注意,这些工作程序节点标签是在 Red Hat OpenShift 的上下文中使用的,例如,用于管理集群中的工作负载部署,并且与先前应用于 Satellite 主机的主机标签分开,这些主机用于将主机分配给集群。 要指定多个标签,请使用多个选项,如 -l key1=value1 -l key2=value2
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 worker-pool create satellite 命令

ibmcloud oc worker-pool create satellite --cluster mycluster --host-label use=clusterworker --host-label cpu=4 --host-label memory=16260936 --name mypool --operating-system REDHAT_8_64 --size-per-zone 2 --zone myzone1

ibmcloud oc zone add satellite

Satellite

创建 IBM Cloud Satellite 群集或工作池后,可以添加区域。 添加专区后,会向新专区添加工作程序节点,以匹配为工作程序池指定的每个专区的工作程序数。 仅当集群位于多专区大城市中时,才能添加多个专区。

ibmcloud oc zone add satellite --zone ZONE --cluster CLUSTER --worker-pool WORKER_POOL [--output json] [-q]

最低必需许可权: IBM Cloud IAM 管理员 对 Satellite的平台访问角色。

命令选项

--zone ZONE
必需。 要添加的区段名称。 要查看位置的区域名称,请运行 ibmcloud sat location get --location <location_name_or_ID> 并查找 Host Zones 字段。
-c, --cluster CLUSTER
必须填写:群集的名称或 ID。
-p, --worker-pool WORKER_POOL
要将专区添加到的工作程序池的名称。 要指定多个工人池,请使用多个选项,如 -p pool1 -p pool2
--output json
可选:以 JSON 格式打印命令输出。
-q
可选:不显示当天的消息或更新提示。

示例 zone add satellite 命令

Satellite

ibmcloud oc zone add satellite --zone myzone2 --cluster my_cluster -p pool1 -p pool2