OKD搭建笔录

已于 2022-04-11 20:45:39 修改
阅读量3.5k 收藏
点赞数
分类专栏: Linux学习记录 文章标签: centos
于 2022-04-03 17:39:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenqioulin/article/details/123940498
版权

   重要: 3台管理节点内存尽量大,至少12G以上,低于12G失败概率大。

大概步骤:

  1. 基础环境机器,提供OKD集群中的节点的DNS正反解析,可以用bind或者容器时代的coredns+etcd;提供OKD引导节点以及控制平面节点以及集群负载ingress的负载均均衡软件,比如haproxy或者envoy,主要包括 控制节点api 6443,OKD平台的80 443,以及其他Ingress入口。配置可以直接按官网的来就行。另外内网环境或者不想直接去外网容器仓库拉镜像的情况,还需要提供内部registry,可以用docker 自带的registry或者 vmware的哈勃或者其他registry,注意生成证书提供HTTPS访问以及账号认证用于部署的时候客户端访问。
  2. 配置好基础环境的dns,haproxy,registry(如果基础环境机器只有一个IP,不能占用443端口,okd集群要用),然后就是下载oc 以及installer,生成install-config.yaml文件,里面定义了集群域名,Pod IP以及service IP段,虚拟网络插件,基础环境机器(充当管理机)ssh公钥,内网镜像registry信息(离线OKD镜像参考官网文档),以及registry的https证书。通过这个文件生成manifests信息,然后再生成点火文件。
  3. 手工安装的OKD,需要下载coreos,直接通过ISO或者PXE引导安装,安装过程主要是为节点机器提供网络配置,点火文件,安装后,重启节点后会自动进行安装,先安装bootstrap,bootstrap起来后最终可以sudo crictl pods看到起7个Pod后可以认为是正常了,然后再安装master,3台可以同时安装,安装完后看运气(内存不给够的情况下).
  4. 节点都安装上了后,wait-for bootstrap-complete 一直观察,如果正常会报告可以删除bootstrap的时候,就去haproxy里面把bootstrap机器的条目注视掉或者删掉。重启haproxy,这样集群就完全是走控制平面三个节点了。引导节点起来会起几个静态pod起个小的k8s环境,然后用来引导master完成安装,安装完后引导节点就把k8s控制平面由本机交给真正的3台控制平面机器。
  5. 再然后就是不停检查node,clusteroperators,pods状态,或者wait-for install-complete,如果安装完成后会报告web console的登陆地址以及账号密码。
  6. 未完待续。

使用docker的registry镜像搭建容器仓库,开启https以及认证

生成系统自认证证书,如果是本机或者可以直接添加证书为信任的情况,CA都不用,直接

openssl req -newkey rsa:4096 -nodes -sha256 -keyout /opt/registry/certs/domain.key -x509 -days 3000 -out /opt/registry/certs/domain.crt  -addext "subjectAltName = DNS:registry.okd.example.com"

这样生成key和crt,注意一定要加参数

-addext "subjectAltName = DNS:registry.okd.example.com"

不然registry起来后,客户端访问会报

x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

原因是go的高版本要求明确指定subjectaltname了,就是他提示那个SAN,参考

GENERAL: What should I do if I get an "x509: certificate relies on legacy Common Name field" error?https://jfrog.com/knowledge-base/general-what-should-i-do-if-i-get-an-x509-certificate-relies-on-legacy-common-name-field-error/How do I use SANs with openSSL instead of common name? - Stack Overflowhttps://stackoverflow.com/questions/64814173/how-do-i-use-sans-with-openssl-instead-of-common-name生成后,本机添加下信任

cp /opt/registry/certs/domain.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust extract

账号认证用

htpasswd -Bbn admin admin > htpassfile

然后就可以起registry容器了。这个镜像的使用方法及参数见官网,主要是镜像存储位置,认证信息,https证书和key 

Deploy a registry server | Docker DocumentationExplains how to deploy a registryhttps://docs.docker.com/registry/deploying/

docker run -d --restart=always --name registry \
  -v /opt/registry/certs:/certs -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -v /opt/registry/data:/var/lib/registry \
  -v "/opt/registry/auth:/auth" \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e "REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpassfile" \
  -p 443:443 registry

 然后去拖镜像用于离线安装

#OCP_RELEASE直接用下载的installer包的版本号,官网教程不准。

export OCP_RELEASE=4.10.0-0.okd-2022-03-07-131213
export LOCAL_REGISTRY='registry.okd.example.com:443'
export LOCAL_REPOSITORY='openshift/okd'
export PRODUCT_REPO='openshift'
export RELEASE_NAME="okd"
export LOCAL_SECRET_JSON='/root/.docker/config.json'

oc adm release mirror -a ${LOCAL_SECRET_JSON}  \
     --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE} \
     --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
     --to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}

拖完后会提示

imageContentSources:
- mirrors:
  - registry.okd.example.com:443/openshift/okd
  source: quay.io/openshift/okd
- mirrors:
  - registry.okd.example.com:443/openshift/okd
  source: quay.io/openshift/okd-content

这一段就可以加到install-config.yaml里面去了,这样安装就不需要再去拖镜像了。

安装OKD标准上需要1台基础服务机器,用于配置dns(集群内各种资源和主机的正反解),haproxy(okd 控制节点以及pod的ingress负载均衡),registry(离线容器镜像,基础服务器机器不会跑任何其他容器,所以可以直接用docker的registry,其他registry太大,配置麻烦),等共用服务,1台bootstrap,用于起一个微型k8s环境安装正式的okd master. okd master官网说最少是3台,但网上也有人直接修改配置只装一台的,但安装好后后面还需要改一些其他pod的副本数,资源足够尽量就3台mster,1台bootstrap

官网文档提供了在各种云平台的部署,以及裸金属 installer-provider部署和user provider部署,区别就在于云平台和installer provider环境下,OKD installer会准备很多环境及基础服务,让整个安装过程自动化,简化安装,但对实际技术人员学习来讲,理清安装的每一个环节以及步骤,手动操作才能搞清楚整个安装过程的情况,如果一键安装,不出问题的情况下,那安装完就啥也不知道,也无法理解安装的依赖以及安装情况了。

所以选择user provider部署方式来学习OKD部署最合适,因为user provider方式需要部署的人准备好一切,所以也就知道安装过程是个什么原理发生了什么。

OKD部署大致就是通过install-config.yaml生成manifests,manifests 再生成 部署实际bootstrap以及master的点火文件(bootstrap,master compute节点的点火文件),有了点火文件后,就可以开始安装bootstrap引导(引导安装master用)节点,bootstrap起来后就可以安装master节点了,master起来后就可以干掉bootstrap了,compute节点通过master节点环境安装。

几个节点的安装过程可以通过网络安装(需要DHCP配置好要给到对应节点的信息,IP,主机名,dns,点火文件获取方式),也可以通过手工ISO安装并在安装界面手工添加IP,主机名,点火文件下载信息,或者定制好ISO。

这样安装完成后,也就清楚整个安装过程是怎么来的了。

NOTE1:不知道为啥,我用iso安装,添加coreos.inst.ignition_url 参数不起作用,只能添加IP配置,然后进系统再执行安装

NOTE2:不知道为啥,离线安装方式,bootstrap非要去找registry.okd.example.com:443访问registry,inistall-config.yaml里面修改成2443了,重新生成ign并拷贝到nginx的html目录后,再安装,他还是要去找registry.okd.example.com:443,最后没办法,只能修改回来.

NOTE3:MMP的官网给的文档做LB的时候haproxy配置里面bootstrap后面加了backup,理论上这个是别的机器活着的时候,这个backup机器就不提供服务,但不知道为啥,我部署的bootstrap起来了 6443端口也是监听了,在LB机器用netstat -antup | grep 6443就死活看不到haproxy去连bootstrap机器,不停去连其他三台,要了命了(其他三台还等着bootstrap来搭把手起服务呢,怎么可能起来api-server啊,自举真麻烦)。

NOTE4:离线registry要单独放在另外的IP地址上,否则争用443端口(因为*.apps.okd.example.com这个泛域名解析已经做到用于部署LB的机器了,haproxy会监听443,如果registry用了443,haproxy没法监听,也没法转发请求到3台master机器上去了。

oc get clusteroperators.config.openshift.io

这里列出来authentication服务就会解析oauth-openshift.apps.okd.example.com,这样的域名。配置好haproxy 443端口后,所有的输出都正常了。

NOTE5:几个确认集群状态正常的命令

oc get nodes
oc adm top nodes
oc get clusterversion
oc get clusteroperators.config.openshift.io
oc describe clusterversion

#查看节点日志
oc adm node-logs <node_name> -u crio

NOTE6: 查看集群pod以及日志

oc get clusteroperators

oc get pods --all-namespaces
#查看pod日志
oc logs downloads-58b68d9689-tktbk -n openshift-console


# 获取web console 账号密码方法

./openshift-install --dir /root/okd/install-dir/ wait-for install-complete

INFO Waiting up to 40m0s (until 5:11PM) for the cluster at https://api.okd.example.com:6443 to initialize... 
INFO Waiting up to 10m0s (until 4:41PM) for the openshift-console route to be created... 
INFO Install complete!                            
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/root/okd/install-dir/auth/kubeconfig' 
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.okd.example.com 
INFO Login to the console with user: "kubeadmin", and password: "Y7Q6x-TWRgd-uMjSF-hQATP" 
INFO Time elapsed: 0s

五块钱的方便面
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装OKD
游不快的老孙
08-23 1777
安装docker 在Ubuntu 18.04上下载安装OpenShift Origin 下载OpenShift客户端实用程序,用于在Ubuntu 18.04上引导Openshift Origin,当前所用的版本是3.11.0: wget https://github.com/openshift/origin/releases/download/v3.11.0/openshift-ori...
OpenShift 3.11 OKD安装部署
Hello!C先生的博客
05-27 1649
#openshift 3.11 安装部署 openshift安装部署 ###1 环境准备(所有节点) openshift 版本 v3.11 1.1 机器环境 ip cpu mem hostname OSsystem 172.16.1.91 4 8 node01  CentOS7.6 172.16.1.92 4 8 node02  CentOS7.6 172.16.1.93 4 8 node03  CentOS7.6 ...
探索未来云基础设施:单节点OKD 3.11安装脚本
最新发布
gitblog_00077的博客
05-22 355
探索未来云基础设施:单节点OKD 3.11安装脚本 项目地址:https://gitcode.com/gshipley/installcentos 项目介绍 这个开源项目是由Red Hat前OpenShift团队成员创建的,旨在帮助你在自己的服务器上轻松安装最新的OKD(OpenShift Origin)3.11版本。不同于CDK或MiniShift本地安装,这个项目专注于在单一主机上部署一个完整...
okd4.6安装
whz-emm的博客
08-26 6126
本次测试使用一个节点情况如下: bastion centos7 api.master.example.com 172.20.42.55 bootstrap Fedora CoreOS 32(RHEL) bootstrap.ocp4.example.com 172.20.42.90 master1 Fedor...
OKD4.5裸机安装 2021-06-03
weixin_42507440的博客
06-03 3040
文章目录机器规划配置bastion节点操作hostname配置外网访问配置防火墙设置SSH登陆设置openshift-client安装openshift-install安装安装coredns安装etcd查看域名解析etcd添加域名解析安装HaProxy安装httpd安装Registry证书准备生成镜像仓库密钥下载官方镜像验证仓库时候通openshift部署生成必要的点火文件bootstrap节点操作master节点操作worker节点操作登陆方式 机器规划配置 机器节点 系统 cpu/核 内存/GB
okd 安装_在OKD中创建Kubernetes Cron作业
cumo7370的博客
07-07 446
okd 安装 开始使用Kubernetes和OKD (以前称为OpenShift Origin的Kubernetes发行版)可能会令人生畏。 有很多概念和组件需要接受和理解。 本教程将逐步创建一个示例Kubernetes cron作业,该作业使用服务帐户和Python脚本列出当前项目/命名空间中的所有Pod。 这项工作本身是没有用的,但是本教程介绍了Kubernetes和OKD基础架构的许多部分...
[openshift]openshfit OKD的安装
weixin_30500473的博客
06-19 288
系统版本:CentOS Linux release 7.6.1810 (Core) Docker版本:Docker Engine - Community 18.09.6 OpenShift版本:openshift v3.10.0+dd10d17 首先需要安装Docker,如果已经安装了旧的版得先卸载,而且得删除干净 sudo yum remove docker \ ...
okd4-helpernode
04-06
OKD4帮助程序节点 :red_exclamation_mark: 红帽支持无法解决此Repo的问题。 对于问题,请打开GitHub问题 该剧本可帮助您设置一个“多合一”节点,该节点具有所有基础结构/服务,以便安装OpenShift4。运行该剧本后...
hcloud-okd4:在Hetzner Cloud上部署OKD4(OpenShift)
02-04
OKD(OpenShift Dedicated)是OpenShift的开源版本,它让开发者能够在自托管的基础设施上享受与OpenShift相同的功能。 本项目"**hcloud-okd4**"专注于在Hetzner Cloud上部署OKD4,即OpenShift 4的开源版。Hetzner ...
okd:安装助手
03-29
在IT行业中,OKD,全称为OpenShift Origin,是一个开源的平台,用于构建、部署和管理容器化应用程序。它是基于Kubernetes的,提供了一种企业级的容器应用平台,允许开发者快速开发、部署和伸缩应用程序,同时也为...
community.okd:Ansible的OKDOpenshift集合
02-05
OKD收集Ansible 该仓库托管了community.okd Ansible Collection。 该集合包括各种Ansible内容,以帮助自动化OKD群集中的应用程序管理以及群集本身的置备和维护。包含内容单击插件或模块的名称以查看该内容的文档: ...
okd-deployment:我的OKD部署的文档和脚本
03-26
OKD部署脚本 该存储库包含我的OKD部署脚本。 它旨在在三个相同的虚拟机管理程序上部署具有三个控制平面节点和九个工作器的OKD集群。 Ceph集群将作为安装的一部分进行部署,由Rook进行协调和管理。 Ceph Web仪表板将被部署并作为Ceph部署的一部分提供。 此外,MetalLB将部署到群集中以提供LoadBalancer类型的服务。 内部容器注册表将配置为使用来自Ceph集群的存储。 此配置是我作为homelab部署的配置,借助这些脚本,可以彻底拆除并重新部署,而又省去了最少的麻烦。 此外,该群集具有完全的高可用性,并且可以就地升级,这意味着该群集可以任意地长期使用。 每当我重新部署集群时,我都会尝试返回并更新此存储库,尽管此时OKD设置非常稳定,所以该存储库中应该没有太大的变化。 先决条件 OKD部署程序 本文档假定您熟悉OKD部署过程。 具体来说,这些脚本将OKD部署到用
okd4-deployment-configuration
03-28
OKD4部署配置详解】 OKD,全称为OpenShift Kubernetes Distribution,是Red Hat推出的开源容器应用平台,基于Kubernetes并增加了许多企业级功能。在本文中,我们将深入探讨"okd4-deployment-configuration",这是...
OpenShift 容器平台社区版 OKD 4.10.0部署--基于VSphere
热门推荐
justlpf的专栏
11-23 1万+
Kubernetes。
okd 3.11 安装、使用Istio
qq_22606825的博客
11-19 1018
1.资源准备 虚拟机4C 8G 100G磁盘,配置好网络,需要连接外网。 2.安装okd 3.11 # 安装git yum install git -y # clone okd一键安装项目 cd /opt/ git clone https://gitee.com/xhua/OpenshiftOneClick.git cd OpenshiftOneClick # 修改必要的配置 cat config...
linux安装okd_在Linux桌面上使用OKD入门
cumo3681的博客
07-06 3824
linux安装okd OKD是Red Hat OpenShift容器平台的开源上游社区版本。 OKD是一个基于Docker和Kubernetes的容器管理和编排平台。 OKD是管理,部署和操作容器化应用程序的完整解决方案,除了Kubernetes提供的功能外,它还包括易于使用的Web界面,自动构建工具,路由功能以及监视和日志记录聚合功能。 OKD提供了多个针对不同需求的部署选项,这些部署...
搭建OKD 4.5集群
mengshicheng1992的博客
11-23 2631
搭建OKD 4.5集群 此文以OKD 4.5版本为例! 一、系统资源及组件规划 节点名称 系统名称 CPU/内存/网卡 磁盘 IP地址 OS 组件 Bastion bastion.okd.mengshicheng.io 4C/8G/ens192 128G 192.168.15.10 CentOS7 CoreDNS/HAProxy/ETCD/HTTP/Registry Bootstrap bootstrap.okd.mengshicheng.io 4C/8G/ens192 128G 192
okd centos7 集群部署
gxzhaha的博客
01-12 462
【代码】okd centos7 集群部署。
安装配置操作节点(Operator),并获取OCP离线安装文件
justlpf的专栏
01-04 336
com 和 redhat.com 各有一套,但是红帽网站的下载速度、内容更新、文档格式(支持 PDF)均优于 openshift.com,因此建议主要使用前者,不过有些内容需要红帽账号。将本地Harbor 的自签名的CA证书Copy至/etc/pki/ca-trust/source/anchors目录,并更新系统受信任的CA列表。OCP 4.6及之前的版本Bare Metal方式安装时似乎需要使用metal.raw.gz包,经验证OCP4.8可以直接通过ISO安装。1). 下载RHCOS镜像。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值