Azure Red Hat OpenShift 4 privát fürt létrehozása
Ebben a cikkben előkészíti a környezetet az OpenShift 4-et futtató Azure Red Hat OpenShift privát fürtök létrehozásához. A következőket fogja megtanulni:
- Az előfeltételek beállítása és a szükséges virtuális hálózat és alhálózatok létrehozása
- Fürt üzembe helyezése privát API-kiszolgálóvégponttal és privát bejövőforgalom-vezérlővel
Ha a parancssori felület helyi telepítését és használatát választja, ehhez az oktatóanyaghoz az Azure CLI 2.30.0-s vagy újabb verzióját kell futtatnia. A verzió azonosításához futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
Mielőtt elkezdené
Az erőforrás-szolgáltatók regisztrálása
Ha több Azure-előfizetéssel rendelkezik, adja meg a megfelelő előfizetés-azonosítót:
az account set --subscription <SUBSCRIPTION ID>Az erőforrás-szolgáltató regisztrálása
Microsoft.RedHatOpenShift:az provider register -n Microsoft.RedHatOpenShift --waitRegisztrálja az
Microsoft.Computeerőforrás-szolgáltatót (ha még nem tette meg):az provider register -n Microsoft.Compute --waitRegisztrálja az
Microsoft.Networkerőforrás-szolgáltatót (ha még nem tette meg):az provider register -n Microsoft.Network --waitRegisztrálja az
Microsoft.Storageerőforrás-szolgáltatót (ha még nem tette meg):az provider register -n Microsoft.Storage --wait
Red Hat lekéréses titkos kód lekérése (nem kötelező)
A Red Hat lekérési titkos kód lehetővé teszi a fürt számára, hogy más tartalommal együtt hozzáférjen a Red Hat tárolóregisztrációs adatbázisaihoz. Ez a lépés nem kötelező, de ajánlott.
Lépjen a Red Hat OpenShift fürtkezelő portálra , és jelentkezzen be.
Jelentkezzen be Red Hat-fiókjába, vagy hozzon létre egy új Red Hat-fiókot az üzleti e-mail-címével, és fogadja el a használati feltételeket.
Kattintson a Lekérési titkos kód letöltése elemre.
A mentett pull-secret.txt fájl biztonságos helyen tartása – az egyes fürtök létrehozásakor használatos.
A parancs futtatásakor a az aro create paraméterrel hivatkozhat a lekéréses --pull-secret @pull-secret.txt titkos kódra. Hajtsa végre az aro create azt a könyvtárat, amelyben a fájlt tárolta pull-secret.txt . Ellenkező esetben cserélje le a elemet@pull-secret.txt.@<path-to-my-pull-secret-file
Ha a lekéréses titkos kódot másolni vagy más szkriptekben hivatkozik rá, a lekéréses titkos kódnak érvényes JSON-sztringként kell formáznia.
Két üres alhálózatot tartalmazó virtuális hálózat létrehozása
Ezután hozzon létre egy két üres alhálózatot tartalmazó virtuális hálózatot.
Állítsa be a következő változókat.
LOCATION=eastus # the location of your cluster RESOURCEGROUP="v4-$LOCATION" # the name of the resource group where you want to create your cluster CLUSTER=aro-cluster # the name of your clusterErőforráscsoport létrehozása
Az Azure-erőforráscsoport olyan logikai csoport, amelyben az Azure-erőforrások üzembe helyezése és kezelése zajlik. Erőforráscsoport létrehozásakor meg kell adnia egy helyet. Ez a hely az erőforráscsoport metaadatainak tárolására szolgáló hely, ahol az erőforrások az Azure-ban futnak, ha nem ad meg másik régiót az erőforrás létrehozása során. Hozzon létre egy erőforráscsoportot az [az group create][az-group-create] paranccsal.
az group create --name $RESOURCEGROUP --location $LOCATIONAz alábbi példakimenet a sikeresen létrehozott erőforráscsoportot mutatja be:
{ "id": "/subscriptions/<guid>/resourceGroups/aro-rg", "location": "eastus", "managedBy": null, "name": "aro-rg", "properties": { "provisioningState": "Succeeded" }, "tags": null }Hozzon létre egy virtuális hálózatot.
Az OpenShift 4-et futtató Azure Red Hat OpenShift-fürtökhez két üres alhálózattal rendelkező virtuális hálózat szükséges a vezérlő- és feldolgozó csomópontokhoz.
Hozzon létre egy új virtuális hálózatot ugyanabban az erőforráscsoportban, amelyet korábban létrehozott.
az network vnet create \ --resource-group $RESOURCEGROUP \ --name aro-vnet \ --address-prefixes 10.0.0.0/22Az alábbi példakimenet a sikeresen létrehozott virtuális hálózatot mutatja be:
{ "newVNet": { "addressSpace": { "addressPrefixes": [ "10.0.0.0/22" ] }, "id": "/subscriptions/<guid>/resourceGroups/aro-rg/providers/Microsoft.Network/virtualNetworks/aro-vnet", "location": "eastus", "name": "aro-vnet", "provisioningState": "Succeeded", "resourceGroup": "aro-rg", "type": "Microsoft.Network/virtualNetworks" } }Adjon hozzá egy üres alhálózatot a fő csomópontokhoz.
az network vnet subnet create \ --resource-group $RESOURCEGROUP \ --vnet-name aro-vnet \ --name master-subnet \ --address-prefixes 10.0.0.0/23 \ --service-endpoints Microsoft.ContainerRegistryAdjon hozzá egy üres alhálózatot a feldolgozó csomópontokhoz.
az network vnet subnet create \ --resource-group $RESOURCEGROUP \ --vnet-name aro-vnet \ --name worker-subnet \ --address-prefixes 10.0.2.0/23 \ --service-endpoints Microsoft.ContainerRegistryTiltsa le az alhálózat privát végpontszabályzatát a fő alhálózaton. Ez szükséges a fürt csatlakoztatásához és kezeléséhez.
az network vnet subnet update \ --name master-subnet \ --resource-group $RESOURCEGROUP \ --vnet-name aro-vnet \ --disable-private-link-service-network-policies true
A fürt létrehozása
Futtassa a következő parancsot egy fürt létrehozásához. Opcionálisan átadhatja a Red Hat lekéréses titkos kódját , amely lehetővé teszi a fürt számára, hogy más tartalommal együtt hozzáférjen a Red Hat tárolóregisztrációs adatbázisaihoz.
Feljegyzés
Ha parancsokat másol/illeszt be, és az egyik választható paramétert használja, törölje a kezdeti kivonatolókat és a záró megjegyzésszöveget. Emellett zárja be a parancs előző sorában lévő argumentumot egy záró fordított perjellel.
az aro create \
--resource-group $RESOURCEGROUP \
--name $CLUSTER \
--vnet aro-vnet \
--master-subnet master-subnet \
--worker-subnet worker-subnet \
--apiserver-visibility Private \
--ingress-visibility Private
# --domain foo.example.com # [OPTIONAL] custom domain
# --pull-secret @pull-secret.txt # [OPTIONAL]
A az aro create fürt létrehozása általában körülbelül 35 percet vesz igénybe.
Feljegyzés
Fürt létrehozásakor, ha hibaüzenet jelenik meg arról, hogy túllépte az erőforráskvótát, olvassa el a Kvóta hozzáadása az ARO-fiókhoz című témakört a folytatáshoz.
Fontos
Ha egyéni tartományt (például foo.example.com) ad meg, az OpenShift-konzol egy URL-címen lesz elérhető, például https://console-openshift-console.apps.foo.example.coma beépített tartomány https://console-openshift-console.apps.<random>.<location>.aroapp.iohelyett.
Alapértelmezés szerint az OpenShift önaláírt tanúsítványokat használ a webhelyen létrehozott összes útvonalhoz *.apps.<random>.<location>.aroapp.io. Ha az egyéni DNS-t választja, a fürthöz való csatlakozás után az OpenShift dokumentációját követve konfigurálnia kell egy egyéni tanúsítványt a bejövőforgalom-vezérlőhöz és az egyéni tanúsítványt az API-kiszolgálóhoz.
Privát fürt létrehozása nyilvános IP-cím nélkül
A privát fürtök általában nyilvános IP-címmel és terheléselosztóval jönnek létre, ami lehetővé teszi a más szolgáltatásokhoz való kimenő kapcsolatot. Privát fürtöt azonban nyilvános IP-cím nélkül is létrehozhat. Erre akkor lehet szükség, ha biztonsági vagy szabályzati követelmények tiltják a nyilvános IP-címek használatát.
Ha nyilvános IP-cím nélkül szeretne privát fürtöt létrehozni, kövesse a fenti eljárást, és adja hozzá a paramétert --outbound-type UserDefinedRouting a aro create parancshoz, ahogyan az alábbi példában is látható:
az aro create \
--resource-group $RESOURCEGROUP \
--name $CLUSTER \
--vnet aro-vnet \
--master-subnet master-subnet \
--worker-subnet worker-subnet \
--apiserver-visibility Private \
--ingress-visibility Private \
--outbound-type UserDefinedRouting
Feljegyzés
A UserDefinedRouting jelölő csak akkor használható, ha fürtöket --apiserver-visibility Private és --ingress-visibility Private paramétereket hoz létre. Győződjön meg arról, hogy a legújabb Azure CLI-t használja. Az Azure CLI 2.52.0-s és régebbi verzióival üzembe helyezett fürtök nyilvános IP-címekkel lesznek üzembe helyezve.
Ez a felhasználó által definiált útválasztási beállítás megakadályozza a nyilvános IP-címek kiépítését. A felhasználó által definiált útválasztás (UDR) lehetővé teszi egyéni útvonalak létrehozását az Azure-ban az alapértelmezett rendszerútvonalak felülbírálásához vagy további útvonalak hozzáadásához az alhálózat útvonaltábláihoz. További információért tekintse meg a virtuális hálózati forgalom útválasztását .
Fontos
A privát fürt létrehozásakor mindenképpen adja meg a megfelelő alhálózatot a megfelelően konfigurált útválasztási táblával.
Kimenő forgalom esetén a felhasználó által definiált útválasztási beállítás biztosítja, hogy az újonnan létrehozott fürtnél engedélyezve legyen a kimenő forgalom zárolási funkciója, amely lehetővé teszi az új privát fürt kimenő forgalmának védelmét. További információt az Azure Red Hat OpenShift -fürt kimenő forgalmának szabályozása című témakörben talál.
Feljegyzés
Ha a felhasználó által definiált útválasztási hálózattípust választja, teljes mértékben Ön a felelős a fürt útválasztásának kimenő forgalmának a virtuális hálózaton kívüli kezeléséért (például a nyilvános internethez való hozzáférésért). Az Azure Red Hat OpenShift ezt nem tudja kezelni.
Konfigurálhat egy vagy több kimenő IP-címet egy névtérre vagy egy nyilvános IP-cím nélküli privát fürt névterében lévő podokra. Ehhez kövesse a fenti eljárást egy nyilvános IP-cím nélküli privát fürt létrehozásához, majd konfigurálja a kimenő IP-címet a Red Hat OpenShift-dokumentumnak megfelelően. Ezeknek a kimenő IP-címeknek az ARO-fürthöz társított alhálózatokról kell származnia.
Az ARO privát fürt kimenő IP-címének konfigurálása csak a --outbound-type UserDefinedRouting paraméterrel rendelkező fürtök esetében támogatott. A paraméterrel rendelkező --outbound-type LoadBalancer nyilvános ARO-fürtök esetében ez nem támogatott.
Csatlakozás a privát fürthöz
A felhasználóval bejelentkezhet a kubeadmin fürtbe. Futtassa a következő parancsot a felhasználó jelszavának megkereséséhez kubeadmin .
az aro list-credentials \
--name $CLUSTER \
--resource-group $RESOURCEGROUP
Az alábbi példakimenet a következő helyen jeleníti meg a jelszót kubeadminPassword: .
{
"kubeadminPassword": "<generated password>",
"kubeadminUsername": "kubeadmin"
}
A fürtkonzol URL-címét a következő parancs futtatásával találja meg, amely a következőképpen néz ki: https://console-openshift-console.apps.<random>.<region>.aroapp.io/
az aro show \
--name $CLUSTER \
--resource-group $RESOURCEGROUP \
--query "consoleProfile.url" -o tsv
Fontos
Egy privát Azure Red Hat OpenShift-fürthöz való csatlakozáshoz a következő lépést kell végrehajtania egy gazdagépről, amely vagy a létrehozott virtuális hálózatban, vagy egy olyan virtuális hálózatban található, amely egy olyan virtuális hálózattal van társítva , amelyhez a fürtöt üzembe helyezték.
Indítsa el a konzol URL-címét egy böngészőben, és jelentkezzen be a kubeadmin hitelesítő adatokkal.
Az OpenShift parancssori felület telepítése
Miután bejelentkezett az OpenShift webkonzolra, válassza a ? lehetőséget a jobb felső sarokban, majd a parancssori eszközökben. Töltse le a gépének megfelelő kiadást.
A gépnek megfelelő parancssori felület legújabb kiadását is letöltheti.
Csatlakozás az OpenShift parancssori felülettel
Kérje le az API-kiszolgáló címét.
apiServer=$(az aro show -g $RESOURCEGROUP -n $CLUSTER --query apiserverProfile.url -o tsv)
Fontos
Egy privát Azure Red Hat OpenShift-fürthöz való csatlakozáshoz a következő lépést kell végrehajtania egy gazdagépről, amely vagy a létrehozott virtuális hálózatban, vagy egy olyan virtuális hálózatban található, amely egy olyan virtuális hálózattal van társítva , amelyhez a fürtöt üzembe helyezték.
Jelentkezzen be az OpenShift-fürt API-kiszolgálójára az alábbi paranccsal. Cserélje le <a kubeadmin jelszót> a beolvasott jelszóra.
oc login $apiServer -u kubeadmin -p <kubeadmin password>
Következő lépések
Ebben a cikkben egy OpenShift 4-et futtató Azure Red Hat OpenShift-fürt lett üzembe helyezve. Megtanulta végrehajtani az alábbi műveleteket:
- Az előfeltételek beállítása és a szükséges virtuális hálózat és alhálózatok létrehozása
- Fürt üzembe helyezése
- Csatlakozás a fürthöz a
kubeadminfelhasználóval
A következő cikkből megtudhatja, hogyan konfigurálhatja a fürtöt hitelesítésre a Microsoft Entra ID használatával.