Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 Last Updated: 2023-06-08 Red Hat OpenShift Container Storage 4.6 以外部模式部署 OpenShift Container Storage 如何安装和配置您的环境 1 章 章 以外部模式部署概述 以外部模式部署概述 第 第 2 章 章 为 为基于 基于 RED HAT ENTERPRISE LINUX 的 的节 节点上的容器 点上的容器启 启用文件系 用文件系统访问 统访问 第 第 3 章 章 安装 安装 RED HAT OPENSHIFT CONTAINER STORAGE OPERATOR 第 第 4 章 章 为 为外部模式 外部模式创 创建 建 OPENSHIFT OPENSHIFT CONTAINER STORAGE 集群服 集群服务 务 第 第 5 章 章 为 为外部模式 外部模式验证 验证 OPENSHIFT CONTAINER STORAGE 安装 安装 5.1. 验证 POD 的状态 5.2. 验证 OPENSHIFT CONTAINER STORAGE 集群是否正常运行 5.3. 验证 MULTICLOUD 对象网关是否健康 5.4. 验证存储类是否已创建并列出

CREDENTIAL OPERATOR 19.2. 使用 MINT 模式 19.3. 使用 PASSTHROUGH 模式 19.4. 使用手动模式 19.5. 在 AMAZON WEB SERVICES SECURITY TOKEN SERVICE 中使用手动模式 19.6. 在 GCP WORKLOAD IDENTITY 中使用手动模式 132 134 134 138 150 156 156 (LDAP) LDAP 是查询用户信息的协议。 手 手动 动模式 模式 在手动模式中，用户管理云凭证而不是 Cloud Credential Operator（CCO）。 Mint 模式 模式 Mint 模式是 Cloud Credential Operator（CCO）的默认和推荐的最佳实践设置，用于支持它的平台。 在这个模式下，CCO 使用提供的管理员级云凭证为集群中组件创建新凭证，且只具有所需的特定权 OpenID Connect OpenID Connect 是一种协议，用于验证用户使用单点登录(SSO)来访问使用 OpenID 提供程序的站 点。 passthrough 模式 模式 在 passthrough 模式中，Cloud Credential Operator（CCO）将提供的云凭证传递给请求云凭证的组 件。 pod pod 是 Kubernetes 中的最小逻辑单元。pod 由一个或多个容器组成，可在

存储和加载。opm CLI 通过遍历根目录并递归到子目录来加 载目录。CLI 尝试加载它找到的每个文件，如果发生错误，则会失败。 可以使用 .indexignore 文件忽略非目录文件，这些文件对模式和优先级与 .gitignore 文件具有相同的规 则。 示例 示例 .indexignore 文件 文件 目录维护人员具有选择所需的布局的灵活性，但建议将每个软件包基于文件的目录 Blob 存储在单独的子 基本推荐结构 此推荐结构具有目录层次结构中的每个子目录都是自包含目录的属性，它使得目录组成、发现和导航简单 文件系统操作。通过将目录复制到父目录的根目录，目录也可以包含在父目录中。 2.2.2.2. 模式 模式 # Ignore everything except non-object .json and .yaml files **/* !*.json !*.yaml **/objects/*.json 的格式，该格式可使用任意模式进行扩展。以下 _Meta CUE 模 式定义了所有基于文件的目录 Blob 必须遵循的格式： _Meta 架 架构 注意 注意 此规格中列出的 CUE 模式不可被视为详尽模式。opm validate 命令具有额外的验证，很 难或不可能在 CUE 中简洁地表达。 Operator Lifecycle Manager (OLM) 目录目前使用三种模式（olm.package、olm

均衡器：提供一个通用端点，供用户（包括人和机器）与平台交互和配置。配置以下条 件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，必须为 API 路由启用 Server Name Indication（SNI）。 无状态负载平衡算法。这些选项根据负载均衡器的实现而有所不同。 重要 重要 不要为 API 均衡器:提供来自集群外部的应用程序流量流量的 Ingress 点。配置以下条件： 只适用于第 4 层负载均衡。这可被称为 Raw TCP、SSL Passthrough 或者 SSL 桥接模式。如 果使用 SSL Bridge 模式，您必须为 Ingress 路由启用Server Name Indication（SNI）。 建议根据可用选项以及平台上托管的应用程序类型，使用基于连接的或者基于会话的持久 性。 ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： 输出示例 出示例 指定 SSH 私钥的路径和文件名，如

ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： 输 输出示例 出示例 指定 SSH 私钥的路径和文件名，如 PersistentVolumeClaim 对象的唯一名称。 PersistentVolumeClaim 对象的命名空间，即 openshift-image-registry。 持久性卷声明的访问模式。使用 ReadWriteOnce 时，单个节点可以通过读写权限挂载 这个卷。 storage: pvc: claim: 1 $ oc get clusteroperator image-registry ed25519 算法的密钥。反 之，创建一个使用 rsa 或 ecdsa 算法的密钥。 2. 作为后台任务启动 ssh-agent 进程： 输 输出示例 出示例 注意 注意 如果您的集群采用 FIPS 模式，则只使用 FIPS 兼容算法来生成 SSH 密钥。密钥必 须是 RSA 或 ECDSA。 3. 将 SSH 私钥添加到 ssh-agent： 输 输出示例 出示例 指定 SSH 私钥的路径和文件名，如

kube-system 项目中存储管理员级别的 secret 的替代方案 4.3.2. 手动创建 IAM 4.3.3. 使用手动维护的凭证升级集群 4.3.4. Mint 模式 4.3.5. 带有删除或轮转管理员级凭证的 Mint 模式 4.3.6. 后续步骤 4.4. 在 AWS 上快速安装集群 4.4.1. 先决条件 4.4.2. OpenShift Container Platform 的互联网访问 IAM 5.2.1. 在 kube-system 项目中存储管理员级别的 secret 的替代方案 5.2.2. 手动创建 IAM 5.2.3. 使用手动维护的凭证升级集群 5.2.4. Mint 模式 5.2.5. 后续步骤 5.3. 在 AZURE 上快速安装集群 405 407 408 410 410 412 418 421 429 431 442 443 447 451 457 kube-system 项目中存储管理员级别的 secret 的替代方案 6.2.2. 手动创建 IAM 6.2.3. 使用手动维护的凭证升级集群 6.2.4. Mint 模式 6.2.5. 带有删除或轮转管理员级凭证的 Mint 模式 6.2.6. 后续步骤 6.3. 在 GCP 上快速安装集群 6.3.1. 先决条件 6.3.2. OpenShift Container Platform 的互联网访问

role named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create clusterrole pod-reader --verb=get,list,watch --resource=pods # Create a cluster role named "pod-reader" clusterrole foo --verb=get,list,watch --resource=rs.extensions # Create a cluster role named "foo" with SubResource specified oc create clusterrole foo --verb=get,list,watch --resource=pods,pods/status named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create role pod-reader --verb=get --verb=list --verb=watch --resource=pods # Create a role named "pod-reader" with

支持 支持 FIPS 加密 加密 20.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 20.2. 集群使用的组件支持 FIPS 20.3. 在 FIPS 模式下安装集群 2581 2581 2581 2582 OpenShift Container Platform 4.8 安装 安装 4 目 目录 录 5 第 1 章 OPENSHIFT CONTAINER uration s3:HeadBucket s3:ListBucketMultipartUploads s3:AbortMultipartUpload 注意 注意 如果您要使用 mint 模式管理云供应商凭证，IAM 用户还需要 The iam:CreateAccessKey and iam:CreateUser 权限。 第 第 4 章 章 在 在 AWS 上安装 上安装 43 例 资源 源 有关在安装前将 Cloud Credential Operator（CCO）设置为手动模式的步骤，请参阅手动为 AWS 创建 IAM。在无法使用云身份和访问管理（IAM）API 的环境里，或不希望将管理员级别的 凭证 secret 保存在集群 kube-system 项目中时，可以使用这个模式。 4.2.5. IAM 策略和 AWS 身份验证 默认情况下，安装程序会为 bootstrap、control

role named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create clusterrole pod-reader --verb=get,list,watch --resource=pods # Create a cluster role named "pod-reader" clusterrole foo --verb=get,list,watch --resource=rs.apps # Create a cluster role named "foo" with SubResource specified oc create clusterrole foo --verb=get,list,watch --resource=pods,pods/status named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create role pod-reader --verb=get --verb=list --verb=watch --resource=pods # Create a role named "pod-reader" with

ClusterRole named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create clusterrole pod-reader --verb=get,list,watch --resource=pods # Create a ClusterRole named "pod-reader" clusterrole foo --verb=get,list,watch --resource=rs.extensions # Create a ClusterRole named "foo" with SubResource specified oc create clusterrole foo --verb=get,list,watch --resource=pods,pods/status named "pod-reader" that allows user to perform "get", "watch" and "list" on pods oc create role pod-reader --verb=get --verb=list --verb=watch --resource=pods # Create a Role named "pod-reader" with