规划 Satellite 位置的环境
规划如何设置基础架构环境以用于 IBM Cloud Satellite®。 您的基础架构环境可以是本地数据中心,公共云提供者或任何位置的兼容边缘设备。
规划基础架构
在创建位置之前,请选择基础架构提供者,基础架构区域和基础架构主机。
Satellite 位置从基础结构开始,例如公共云提供者或内部部署。 您的基础结构提供了用于构建 Satellite 位置的主机和区域的基础。 有关基础架构和 Satellite 资源的不同职责的更多信息,请参阅 您的职责。
规划基础架构提供者
选择要用于创建 Satellite 位置的基础架构提供程序。
- 内部部署
- 您可以将数据中心与现有基础架构配合使用。 您甚至可能没有数据中心,而是具有满足最低硬件要求的边缘位置,例如,贵公司的一个本地站点上的三个机架。
- 受支持的裸机服务器
- 您可以使用受支持的裸机服务器作为连接到 Satellite 位置的主机,包括 IBM Cloud® Bare Metal Servers for Classic。 更多信息,请参阅 Bare Metal Server 要求。
- 非IBM 云提供者
- 您可以使用所选的云提供者,例如 Amazon Web Services (AWS),Google Cloud Platform (GCP),Microsoft Azure或 Alibaba Cloud。
- IBM Cloud
- 您可以使用 IBM Cloud 进行测试。 当您可以将其他 IBM Cloud 虚拟服务器 (例如 Virtual Servers for VPC ) 用于测试环境时,在 Satellite 中使用的唯一受支持的 IBM Cloud 基础结构 (用于生产环境) 是运行 Red Hat CoreOS的 IBM Cloud® Bare Metal Servers for Classic。
规划多专区位置
在基础架构提供者中,识别满足等待时间要求的多专区位置。
- 多专区
- 您的位置必须至少有三个物理上独立的专区,以便您可以在这些专区中均匀分布主机,从而提高 高可用性。 例如,您的云提供者可能在同一区域中具有三个不同的区域,或者您可以在内部部署环境中使用三个机架以及三个单独的网络和电源系统。
- IBM Cloud 与位置之间的等待时间
- 要连接到 Satellite 位置控制平面的主机必须具有小于或等于 200 毫秒 (
<= 200ms) 往返时间 (RTT) 的低延迟连接到 Satellite 位置管理所在的 IBM Cloud 区域。 随着等待时间的增加,您可能会看到对性能的影响,包括 Satellite 链路吞吐量,Satellite启用的 IBM Cloud 服务供应时间,主机故障恢复时间,以及在极端情况下,在 Satellite 位置控制平面中运行的资源的可用性,例如 Red Hat OpenShift 集群主节点。 有关更多信息,请参阅 测试 IBM Cloud 与 Satellite 位置控制平面主机之间的等待时间。 - 您所在位置的主机之间的等待时间
- 主机基础结构设置必须具有小于或等于 100 毫秒 (
<= 100ms) 往返时间 (RTT) 的低延迟连接,这些连接用于 Satellite 位置控制平面工作程序节点和用于该位置中其他资源的主机 (例如集群或 Satellite-enabled IBM Cloud 服务。 例如,在诸如 AWS之类的云提供者中,此设置通常意味着 Satellite 位置中的所有主机都来自相同的云区域,例如us-east-1。 随着等待时间的增加,您可能会看到对性能的影响,包括供应和恢复时间,集群中的工作程序节点减少,Satellite启用的 IBM Cloud 服务降级以及在极端情况下,集群应用程序中的故障。
规划主机系统
在基础结构提供程序中的三个专区中的每个专区中,计划创建兼容主机以添加到 Satellite。 基础结构提供程序中的主机实例将成为计算主机,以创建位置控制平面或运行 Satellite 位置中的服务,类似于 Red Hat OpenShift 集群中的工作程序节点。
- 每个主机必须满足 Satellite的 最低主机需求。
- 您的主机必须在 官方 Red Hat 认证的硬件上运行。
要计算所需的主机数,请参阅 确定 Satellite 位置。
要检查主机设置,可以使用 satellite-host-check 脚本。 有关更多信息,请参阅 检查主机设置。
规划操作系统
为主机选择操作系统。 您可以选择 Red Hat Enterprise Linux 或 Red Hat CoreOS。 如果要将 Red Hat CoreOS 用于受管服务,那么必须创建并启用位置以使用 RHCOS 主机。 请参阅 创建 Satellite 位置。
您创建的位置类型指示可在主机上运行的操作系统的类型。 如果您的位置启用了 RHCOS,那么可以连接正在运行 RHEL 和 RHCOS 的主机。 如果您的位置未启用 RHCOS,那么只能连接运行 RHEL 的主机。 您可以检查 位置是否已启用 RHCOS。
- Red Hat Enterprise Linux 8 (RHEL 8)
- 对于运行 Red Hat OpenShift V 4.9 或更高版本以及在基础架构主机上运行的 Satellite 主机,RHEL 8 是受支持的缺省操作系统。
- Red Hat Enterprise Linux 7 (RHEL 7)
- RHEL 7 是运行 Red Hat OpenShift V 4.9 或更早版本的 Satellite 主机所支持的操作系统。 请注意,对控制平面中 RHEL 7 主机的支持将在 2023 年 3 月 2nd结束。 遵循步骤 将主机迁移到 RHEL 8。
- Red Hat CoreOS (RHCOS)
- RHCOS 是一个最小的操作系统,用于安全且大规模地运行容器化工作负载。 它基于 RHEL,并包含自动化的远程升级功能。 有关 RHCOS 的关键优势的更多信息,请参阅 Red Hat Enterprise Linux CoreOS(RHCOS)。 Satellite 主机在 Red Hat OpenShift V 4.9 或更高版本上支持 RHCOS。 Red Hat CoreOS 主机不支持所有服务。 有关更多信息,请参阅 支持 Satellite的 IBM Cloud 服务。 要连接 RHCOS 主机,您的位置必须 已启用 RHCOS。
决定是否对您的位置启用 Red Hat CoreOS 支持
创建位置时,可以选择是否启用 Red Hat CoreOS 支持。 启用 Red Hat CoreOS 支持有利有弊。 启用 Red Hat CoreOS 的位置可提供更多功能,但对基础设施的要求更高。 未启用 Red Hat CoreOS 的位置支持较小的功能集,但可在较小的占用空间内运行,从而在相同容量下允许更多的集群。 更多信息,请参阅 确定 Satellite 位置的大小。
下表列出了仅在 Red Hat CoreOS-enabled 位置可用的功能。 该表还显示了在 Red Hat CoreOS-enabled 位置设置这些功能时可使用的支持主机类型。
| 功能 | 支持的主机类型 |
|---|---|
| 出站流量的 HTTP 代理 | RHEL 或 RHCOS 主机 |
| 自带钥匙 (BYOK) 或自留钥匙 (KYOK) | RHEL 或 RHCOS 主机 |
| 单节点集群拓扑 | RHEL 或 RHCOS 主机 |
| Direct Link | 仅限 RHCOS 主机 |
| OpenShift 虚拟化 | 仅限 RHCOS 主机 |
要验证您的位置是否已为Red Hat CoreOS,启用,请参阅 我的位置是否已为Red Hat CoreOS启用。
在 Red Hat OpenShift on IBM Cloud 4.13 和更高版本上的 RHCOS 启用位置中支持自带密钥 (BYOK) 或保留自己的密钥 (KYOK) 功能。 它在 RHEL 和 RHCOS 主机上都受支持。 只能对集群密钥进行加密。 此功能在集群或工作程序池创建期间不可用。 必须在创建集群或工作程序池后运行 ibmcloud oc kms enable 命令以将其启用。 请注意,此功能在启用后无法禁用。
基础架构凭证
要使 IBM Cloud Satellite 在云提供者中代表您执行操作,必须向云提供者提供凭证。
AWS 凭证
检索 Satellite 可用于代表您在 AWS 云中创建 Satellite 资源的 Amazon Web Services (AWS) 凭证。
- 验证您是否具有根据模板创建 Satellite 位置所需的 AWS 帐户中的许可权。
- 创建作用域为 EC2 访问权的单独 IAM 用户。
- 检索 IAM 用户的访问密钥标识和私钥访问密钥凭证。
- 可选: 要在创建 Satellite 位置期间提供凭证,请在 JSON 文件中格式化凭证。
client_id是访问密钥的标识,client_secret是您在 AWS中为 IAM 用户创建的私钥访问密钥。{ "client_id":"string", "client_secret": "string" }
Azure 凭证
检索 Satellite 可用于代表您在 Azure 云中创建 Satellite 资源的 Microsoft Azure 凭证。
- 验证您是否具有根据模板创建 Satellite 位置所需的 Azure 帐户中的许可权。
- 从命令行 登录到 Azure 帐户。
az login - 列出帐户中的可用预订。
az account list - 设置要在其中创建 Azure 资源的预订。
az account set --subscription="<subscription_ID>" - 创建具有“添加者”角色的服务主体身份 (作用域限定为您的预订)。 这些凭证由 IBM Cloud Satellite 用于在 Azure 帐户中供应资源。 有关更多信息,请参阅 Azure 文档。
az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/<subscription_ID>" -n"<service_principal_name>" - 在输出中,记下
appID,password和tenant字段的值。{ "appId": "<azure-client-id>", "displayName": "<service_principal_name>", "name": "http://<service_principal_name>", "password": "<azure-secret-key>", "tenant": "<tenant-id>" } - 可选: 要在创建 Satellite 位置期间提供凭证,请在 JSON 文件中格式化凭证。
{ "app_id":"string", "tenant_id":"string", "password": "string" }
GCP 凭证
检索 Satellite 可用于代表您在 GCP 云中创建 Satellite 资源的 Google Cloud Platform (GCP) 凭证。
- 创建服务帐户和服务帐户密钥 至少具有必需的 GCP 许可权。 在创建服务帐户的过程中,会将 JSON 密钥文件下载到本地机器。
- 在本地机器上打开 JSON 密钥文件,并验证格式是否与以下示例匹配。 您可以提供此 JSON 密钥文件作为 GCP 凭证,以用于创建 Satellite 位置之类的操作。
{ "type":"string", "project_id":"string", "private_key_id": "string", "private_key": "string", "client_email": "string", "client_id": "string", "auth_uri": "string", "token_uri": "string", "auth_provider_x509_cert_url": "string", "client_x509_cert_url": "string" }
VMWare 凭证
检索 Satellite 可用来代表您在 VMWare 云中创建 Satellite 资源的 VMWare 凭证。
- 验证您是否具有根据模板创建 Satellite 位置所需的 VMWare 帐户中的许可权。
- 标识或具有 管理员 角色的 创建用户。
- 查找 网络信息。
- 请在 VMware Cloud Director 模板 上提供此信息。