管理 Red Hat OpenShift for VMware
部署后,请查看以下信息,以便管理您的 Red Hat® OpenShift®,以便使用 VMware® 服务。
旋转 Red Hat OpenShift 证书(必填)
Red Hat OpenShift for VMware 使用的 kubelet 客户端证书必须出于安全目的定期轮换。Red Hat OpenShift 主要自动执行轮换流程,但需要手动批准证书签名请求(CSR)。因此,请务必了解 Red Hat OpenShift 证书轮换时间表,以免证书过期。
在安装期间创建的初始证书将在创建 24 小时后到期。IBM 的自动化流程,该流程负责安装 Red Hat OpenShift,并处理首次轮换的CSR审批,具体操作是在堡垒机上运行一个脚本,持续30个小时。该脚本名为 /root/approve-csr.sh
,其日志文件名为 /root/approve-csr.log
。
要使该脚本成功运行,初始 kubeadmin
凭证必须相同,直到初始证书轮换完成。前 24 小时不要更改 kubeadmin 凭证。如果在此时间内更改了凭证,那么必须监视和核准初始证书轮换的 CSR。更多信息,请参阅 批准机器的企业社会责任。
在完成首次证书轮换之前,不要重新启动任何 Red Hat OpenShift 群集虚拟机 (VM) 或 bastion VM。
在初始证书轮换后,证书将每 30 天更新一次。您必须建立流程,用于核准每个证书轮换的 CSR。根据 Red Hat®,当CSR到期期限达到80%时,即可批准CSR,这大约相当于CSR有效期的25天。
如果您没有及时批准 CSR,证书过期了,您可以从过期的控制平面证书中恢复,并让 Red Hat OpenShift 集群重新运行。 更多信息,请参阅 《 从过期控制平面证书中恢复 》。
在部署后调整 Red Hat OpenShift 虚拟机的大小
- 使用 SSH 登录 bastion 虚拟机。
- 成为
root
用户:sudo -i
用户 - 关闭目标虚拟机:
ssh core@<vm-ip> sudo shutdown -h 0
- 关闭虚拟机电源后,在 vCenter Server 中调整虚拟机大小。
- 打开 VM 的电源。
- 在 Red Hat OpenShift 控制台中,转到 Compute > Nodes 并等待重新启动的虚拟机回到 Ready 状态。
- 为所有虚拟机完成前面的步骤。
更改 Red Hat OpenShift bastion 虚拟机上的 SSH 密钥
安装过程中生成的SSH密钥对位于 Red Hat OpenShift 堡垒机虚拟机上。SSH 密钥对的位置显示在 Red Hat OpenShift 服务详细信息页面上。 所有集群虚拟机上都安装了此 SSH 密钥,以便无需密码即可从堡垒登录 SSH。
建议生成新的 SSH 密钥对并用于替换现有密钥。要生成新的 SSH 密钥对,请使用 如何在安装 Openshift 4 后更新 ssh 密钥 中的说明。 您必须在 bastion 虚拟机上运行这些命令。 有关登录到防御主机的更多信息,请参阅防御主机详细信息。
扩大 Red Hat OpenShift 集群,增加更多员工
要添加更多工作虚拟机来扩展您的 Red Hat OpenShift 集群,请完成以下步骤:
-
使用RHCOREOS模板创建一个工作虚拟机:
- 确保虚拟机与其他 Red Hat OpenShift 工作虚拟机连接到同一网络。
- 先不要打开该虚拟机,因为还需要更多配置步骤。
-
准备一个堡垒上的工人点火文件:
- 有关登录到防御主机的更多信息,请参阅防御主机详细信息。
- 在防御主机上的安装目录中,找到名为
worker.ign
的工作程序 ignition 文件。 使用base64 -w0 worker.ign > worker.ign.b64
命令创建此文件的 Base64 版本。 您将在下一步中使用新创建的worker.ign.b64
文件的内容。
-
设置虚拟机属性:
- 开始之前,请关闭虚拟机电源。 然后,转到“配置参数”窗口,选择新的 Worker VM,并单击 Actions > Edit Settings。
- 在“编辑设置”窗口中,单击 VM 选项选项卡。 单击左侧的 Advanced 展开窗口中的 Advanced 部分。 然后,向下滚动到左侧的 配置参数。单击 编辑配置。
- 配置参数 "窗口可能会列出一长串虚拟机的现有参数。 要添加值,请单击 添加配置参数。 显示的两个空字段分别标有 Name 和 Value 供您填写。 在以下 3 个步骤中使用此流程。
- 创建一个名为
guestinfo.ignition.config.data
的值,并将其设置为之前创建的 base64-encoded 点火配置文件worker.ign.b64
的内容。 - 创建一个名为
guestinfo.ignition.config.data.encoding
的值,并将其设置为base64
。 - 创建一个名为
disk.EnableUUID
的值,并将其设置为TRUE
。 - 创建新参数后,单击 OK 两次关闭打开的窗口。
-
为工作虚拟机创建一个DHCP绑定:
- 登录 NSX-T™。
- 前往 “网络”>“细分市场”。
- 编辑
ocp-internal
段。 - 展开 DHCP 静态绑定,然后单击 设置,打开设置静态绑定窗口。
- 查看现有绑定列表,记下下一个可用的 IP 地址。
- 检查其中一个现有 Worker 绑定,查看稍后需要的信息。 记下网关地址和 DHCP 选项。 要查看 DHCP 选项,请单击 DHCP 选项旁边的 设置。 在选项窗口中,从 Select DHCP Option 列表中选择 Generic Options。 记下所设置的选项。
- 关闭正在检查的现有绑定,返回“设置静态绑定”窗口。
- 单击 添加 IPV4 静态绑定。 填写新工作者的详细信息,包括之前记录的 DHCP 选项。
- 完成后,单击 保存 提交更改。
-
将一名工作人员添加到负载均衡器池中:
- 转到 Networking > Load Balancer > Server Pools。
- 编辑服务器池
ocp-apps
。 - 在编辑窗口的 Members/Group 下,单击蓝色数字链接。 缺省值为 3。
- 打开“配置服务器池成员”窗口后,单击 添加成员。
- 输入新工人的姓名和 IP 地址。 端口号留空。
- 单击 保存,然后单击 应用。
-
为新员工创建DNS记录:
- 登录您的 VCF for Classic - Automated 实例的AD NS服务器。
- 使用 DNS 管理器将新的 A 记录添加到相应的
ocp
专区。创建A记录时,请确保选中创建关联PTR记录的选项。
-
核准来自防御主机的任何证书签名请求 (CSR)。 在配置新员工期间,你可能必须 批准来自堡垒的 CSR:
-
以
root
用户身份登录 bastion,并更改为 bastion 安装目录。 有关详细信息,请参阅 基础详细信息。 -
在运行任何命令之前,您必须先向 Red Hat OpenShift 进行身份验证:
- 如果未配置认证,并且您使用的是缺省
kubeadmin
帐户和密码,请运行export KUBECONFIG=auth/kubeconfig
命令,并验证您是否已通过运行./oc whoami
命令进行认证。 - 如果其他后端或用户已通过认证,请按照 Red Hat OpenShift 文档中的说明使用其中一个账户登录,例如,运行命令
./oc login
。
- 如果未配置认证,并且您使用的是缺省
-
运行
./oc get nodes
查看新工人。如果它不在就绪状态,请使用命令./oc get csr
反复检查待处理的 CSR,然后使用命令./oc adm certificate approve <csr_name>
批准 CSR。继续检查,直到配置完成,新工人进入就绪状态。当新员工进入就绪状态后,Red Hat OpenShift 即可使用。
-
-
打开虚拟机电源:
-
虚拟机启动后,您可以监控虚拟机,查看是否存在问题。该 VM 会获取 IP 地址,处理 ignition 文件,然后打开登录提示。
-
显示登录提示后,控制台日志消息可能会覆盖该提示。如有需要,请在控制台上按几次回车键。 如果登录提示出现,但被控制台日志消息覆盖,请按回车键重新显示登录提示。
-
如果不显示登录提示,则可能是
- 虚拟机没有获得 IP 地址。 检查虚拟机连接的网络。 另外,检查 DHCP 绑定设置。
worker.ign.64
中的 base64 值不正确。 可能缺少某些字符,或者有多余的字符。 检查数值以确认。
如果因为虚拟机没有显示登录提示而必须更改任何设置,请关闭虚拟机,更改必要的设置,然后重新启动。
-
删除 Red Hat OpenShift 时的注意事项 VMware
- 在删除 VMware 的 Red Hat OpenShift 之前,必须删除在 VMware 的
ocp
目录中创建的任何其他虚拟机。 VMware Solutions自动化只会删除在Red Hat OpenShift(虚拟机、存储和NSX)初始安装期间部署的项目。 不会清除在安装后部署的任何节点。 - 在 Red Hat OpenShift 为 VMware 的初始部署期间创建的VXLAN、DLR和边缘网关将被删除。 在删除 Red Hat OpenShift for VMware 后,您在VXLAN上部署的虚拟机将失去连接。
- 如果群集使用 NFS 存储,则删除 Red Hat OpenShift 会删除安装时添加的 NFS 数据存储。
- 如果您使用的是 vSAN 数据存储,请在卸载 Red Hat OpenShift 之前删除不再需要的任何持久卷。在 Red Hat OpenShift 卸载后,任何未删除的文件将保留在 vSAN 存储中。
- 删除服务之前,必须从存储中删除使用此服务部署的任何个人虚拟机。Red Hat OpenShift 只有在不是 vSAN 的情况下才会订购个人虚拟机。