規劃 Satellite 位置的環境
規劃如何設定基礎架構環境,以與 IBM Cloud Satellite®搭配使用。 您的基礎架構環境可以是內部部署資料中心、公有雲提供者或任何位置的相容邊緣裝置。
規劃基礎架構
在建立位置之前,請選擇基礎架構提供者、基礎架構區域及基礎架構主機。
您的 Satellite 位置從您的基礎架構開始,例如公有雲提供者或內部部署。 您的基礎架構為您用來建置 Satellite 位置的主機和區域提供基礎。 如需基礎架構和 Satellite 資源的不同責任的相關資訊,請參閱 您的責任。
規劃基礎架構提供者
選擇您要用來建立 Satellite 位置的基礎架構提供者。
- 內部部署
- 您可以將資料中心與現有基礎架構搭配使用。 您甚至可能沒有資料中心,而是具有符合最低硬體需求的邊緣位置,例如位於公司本端網站之一的三個機架。
- 支援的裸機伺服器
- 您可以使用支援的裸機伺服器作為連接至 Satellite 位置的主機,包括 IBM Cloud® Bare Metal Servers for Classic。 如需詳細資訊,請參閱 Bare Metal Server 要求。
- 非IBM 雲端提供者
- 您可以使用您選擇的雲端提供者,例如 Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure或 Alibaba Cloud。
- IBM Cloud
- 您可以使用 IBM Cloud 進行測試。 雖然您可以將其他 IBM Cloud 虛擬伺服器 (例如 Virtual Servers for VPC ) 用於測試環境,但唯一支援的 IBM Cloud 基礎架構用於 Satellite for production 環境是 IBM Cloud® Bare Metal Servers for Classic 執行 Red Hat CoreOS。
多區域位置的計劃
在基礎架構提供者中,識別符合延遲需求的多區域位置。
- 多區域
- 您的位置必須至少有三個實際分開的區域,以便您可以將主機平均分散在這些區域中,以增加 高可用性。 例如,您的雲端提供者在相同地區內可能有三個不同的區域,或者您可以在內部部署環境中使用三個具有三個個別網路和電源供應器系統的機架。
- IBM Cloud 與位置之間的延遲
- 您要連接至 Satellite 位置控制平面的主機必須具有與 Satellite 位置管理來源的 IBM Cloud 區域的低延遲連線,其小於或等於 200 毫秒 (
<= 200ms) 來回轉換時間 (RTT)。 隨著延遲增加,您可能會看到對效能的影響,包括 Satellite 鏈結傳輸量 Satellite啟用 IBM Cloud 服務供應時間、主機失敗回復時間,以及在極端情況下,在 Satellite 位置控制平面中執行的資源可用性,例如 Red Hat OpenShift 叢集主節點。 如需相關資訊,請參閱 測試 IBM Cloud 與 Satellite 位置控制平面主機之間的延遲。 - 位置中主機之間的延遲
- 在用於 Satellite 位置控制平面工作者節點的主機與用於位置中其他資源 (例如叢集或 Satellite已啟用 IBM Cloud 服務 的主機之間,您的主機基礎架構設定必須具有小於或等於 100 毫秒的低延遲連線 (
<= 100ms) 來回轉換時間 (RTT)。 例如,在 AWS之類的雲端提供者中,此設定通常表示 Satellite 位置中的所有主機都來自相同的雲端區域,例如us-east-1。 隨著延遲增加,您可能會看到對效能的影響,包括佈建及回復時間、減少叢集裡的工作者節點、Satellite啟用 IBM Cloud 服務退化,以及在極端情況下,叢集應用程式中的失敗。
規劃主機系統
在基礎架構提供者的三個區域中,計劃建立相容主機以新增至 Satellite。 基礎架構提供者中的主機實例會變成運算主機,以建立位置控制平面或執行 Satellite 位置中的服務,類似於 Red Hat OpenShift 叢集裡的工作者節點。
- 每一部主機必須符合 Satellite的 最低主機需求。
- 您的主機必須在 官方 Red Hat 認證硬體上執行。
若要計算您需要的主機數目,請參閱 調整 Satellite 位置。
若要檢查主機設定,您可以使用 satellite-host-check Script。 如需相關資訊,請參閱 檢查主機設定。
規劃作業系統
選擇主機的作業系統。 您可以選擇 Red Hat Enterprise Linux 或 Red Hat CoreOS。 如果您想要將 Red Hat CoreOS 用於受管理服務,則必須建立並啟用位置以使用 RHCOS 主機。 請參閱 建立 Satellite 位置。
您建立的位置類型指定可在主機上執行的作業系統類型。 如果您的位置已啟用 RHCOS,則可以連接執行 RHEL 及 RHCOS 的主機。 如果您的位置未啟用 RHCOS,則只能連接執行 RHEL 的主機。 您可以檢查 位置是否已啟用 RHCOS。
- Red Hat Enterprise Linux 8 (RHEL 8)
- RHEL 8 是在基礎架構主機上執行 Red Hat OpenShift 版本 4.9 或更新版本的 Satellite 主機所支援的預設作業系統。
- Red Hat Enterprise Linux 7 (RHEL 7)
- RHEL 7 是執行 Red Hat OpenShift 4.9 版或更舊版本的 Satellite 主機所支援的作業系統。 請注意,控制平面中的 RHEL 7 主機支援將於 2023 年 3 月 2 日結束。 遵循步驟,將主機移轉至 RHEL 8。
- Red Hat CoreOS (RHCOS)
- RHCOS 是用於安全且大規模執行容器化工作負載的最小作業系統。 它以 RHEL 為基礎,並包含自動化遠端升級特性。 如需 RHCOS 主要優點的相關資訊,請參閱 Red Hat Enterprise Linux CoreOS(RHCOS)。 Red Hat OpenShift 4.9 版或更新版本上的 Satellite 主機支援 RHCOS。 Red Hat CoreOS 主機不支援所有服務。 如需相關資訊,請參閱 支援的 Satellite啟用 IBM Cloud 服務。 若要連接 RHCOS 主機,您的位置必須 針對 RHCOS 啟用。
決定是否對您的位置啟用 Red Hat CoreOS 支援
建立位置時,您可以選擇是否啟用 Red Hat CoreOS 支援。 啟用 Red Hat CoreOS 支援有利有弊。 Red Hat CoreOS 啟用位置可開啟更多功能,但對基礎設施的要求較高。 非 Red Hat CoreOS 啟用的位置支援較小的功能集,但可以在較小的佔用空間下執行,讓相同容量下有更多的群集。 如需詳細資訊,請參閱 確定 Satellite 位置的大小。
下表顯示只有 Red Hat CoreOS-enabled 位置才有的功能。 該表還顯示在 Red Hat CoreOS-enabled 位置設定這些功能時可使用的支援主機類型。
| 特性 | 支援的主機類型 |
|---|---|
| 出埠資料流量的 HTTP Proxy | RHEL 或 RHCOS 主機 |
| 自備鑰匙 (BYOK) 或自留鑰匙 (KYOK) | RHEL 或 RHCOS 主機 |
| 單一節點叢集拓蹼 | RHEL 或 RHCOS 主機 |
| 直接鏈結 | 僅 RHCOS 主機 |
| OpenShift Virtualization | 僅 RHCOS 主機 |
若要驗證您的位置是否已為Red Hat CoreOS,請參閱 我的位置是否已啟用Red Hat CoreOS。
Red Hat OpenShift on IBM Cloud 4.13 以及更新版本上已啟用 RHCOS 的位置支援自帶金鑰 (BYOK) 或保留自己的金鑰 (KYOK) 特性。 它在 RHEL 和 RHCOS 主機上都受支援。 您只能加密叢集密碼。 在建立叢集或工作者節點儲存區期間無法使用此特性。 建立叢集或工作者節點儲存區之後,您必須執行 ibmcloud oc kms enable 指令來啟用它。 請注意,此特性在啟用之後即無法停用。
基礎架構認證
若要讓 IBM Cloud Satellite 代表您在雲端提供者中執行動作,您必須提供認證給雲端提供者。
AWS 認證
擷取 Satellite 可以用來代表您在 AWS 雲端中建立 Satellite 資源的 Amazon Web Services (AWS) 認證。
- 驗證您具有從範本建立 Satellite 位置所需的 AWS 帳戶中的許可權。
- 建立以 EC2 存取權為範圍的個別 IAM 使用者。
- 擷取 IAM 使用者的存取金鑰 ID 及秘密存取金鑰認證。
- 選用: 若要在建立 Satellite 位置期間提供認證,請將認證格式化為 JSON 檔案。
client_id是存取金鑰的 ID,client_secret是您在 AWS中為 IAM 使用者建立的秘密存取金鑰。{ "client_id":"string", "client_secret": "string" }
Azure 認證
擷取 Satellite 可以用來代表您在 Azure 雲端中建立 Satellite 資源的 Microsoft Azure 認證。
- 驗證您具有從範本建立 Satellite 位置所需的 Azure 帳戶中的許可權。
- 從指令行 登入 Azure 帳戶。
az login - 列出帳戶中可用的訂閱。
az account list - 設定訂閱以在中建立 Azure 資源。
az account set --subscription="<subscription_ID>" - 建立服務主體身分,並以您的訂閱為範圍,具備 Contributor 角色。 IBM Cloud Satellite 會使用這些認證來佈建 Azure 帳戶中的資源。 如需相關資訊,請參閱 Azure 說明文件。
az ad sp create-for-rbac --role="Contributor" --scopes="/subscriptions/<subscription_ID>" -n"<service_principal_name>" - 在輸出中,記下
appID、password和tenant欄位的值。{ "appId": "<azure-client-id>", "displayName": "<service_principal_name>", "name": "http://<service_principal_name>", "password": "<azure-secret-key>", "tenant": "<tenant-id>" } - 選用: 若要在建立 Satellite 位置期間提供認證,請將認證格式化為 JSON 檔案。
{ "app_id":"string", "tenant_id":"string", "password": "string" }
GCP 認證
擷取 Satellite 可以用來代表您在 GCP 雲端中建立 Satellite 資源的 Google Cloud Platform (GCP) 認證。
- 建立服務帳戶和服務帳戶金鑰,至少具有必要的 GCP 許可權。 在建立服務帳戶的過程中,會將 JSON 金鑰檔下載至本端機器。
- 在本端機器上開啟 JSON 金鑰檔,並驗證格式是否符合下列範例。 您可以提供此 JSON 金鑰檔作為 GCP 認證,以執行如建立 Satellite 位置之類的動作。
{ "type":"string", "project_id":"string", "private_key_id": "string", "private_key": "string", "client_email": "string", "client_id": "string", "auth_uri": "string", "token_uri": "string", "auth_provider_x509_cert_url": "string", "client_x509_cert_url": "string" }
VMWare 認證
擷取 VMWare 認證,Satellite 可以用來代表您在 VMWare 雲端中建立 Satellite 資源。
- 驗證您在 VMWare 帳戶中具備必要的 許可權,可從範本建立 Satellite 位置。
- 識別或具有 管理員 角色的 建立使用者。
- 尋找 網路資訊。
- 請在 VMware Cloud Director 範本 上提供此資訊。