实验环境介绍本实验室在OpenStack上,用离线方式、采用UPI的方式安装OCP4.2。我们有一个堡垒机,他是能从外网被访问的。还有个工具机。工具机只能被内部环境访问(master、worker和堡垒机)。在后面的操作中,我们让堡垒机能够访问工具机上的镜像仓库,然后从堡垒机上从外网拉镜像下来,推动到镜像仓库中。Master和Worker节点的IP网段是:192.168.47.0/24首先使用an
原创
2020-12-21 20:05:50
3379阅读
目前本书在进行满减优惠活动中,欢迎关注。Talk is cheap in Open Source, show me the way to achieve!--大魏OCP的安全配置此前的方法论已经介绍过很多了,本篇介绍落地的手段。一、OCP4安全配置的几个方面整体看,OCP4安全配置能够落地的内容(注意是落地的配置手段,选择一个安全的红帽容器镜像这种手段,大魏不认为是配置,就不再赘述),主要有以下三
原创
2020-12-19 21:47:08
711阅读
OCP4中Infra节点有没有必要配置OCP3的安装是通过Ansible完成的。在playbook的变量中可以指定某2-3个节点是Infra角色。同时在Playbook中设置router、EFK、监控相应的资源部署到Infra节点上。OCP4的安装不适用Ansible,也无法安装时指定Infra角色(只有Master和Woker两种节点角色)。那么OCP4是否有必要配置Infra节点?答案是肯定的
原创
2021-04-16 14:37:59
570阅读
OCP中的日志组件OpenShift容器平台使用Elasticsearch(ES)将Fluentd的日志数据组织到数据存储或索引中。Elasticsearch将每个索引细分为多个称为碎片的碎片,这些碎片分布在Elasticsearch集群中的一组Elasticsearch节点上。您可以配置Elasticsearch以创建分片的副本,称为副本。Elasticsearch还将这些副本散布在Elasti
原创
2021-04-17 09:25:23
625阅读
OCP的安全配置此前的方法论已经介绍过很多了,本篇介绍落地的手段。一、OCP4安全配置的几个方面整体看,OCP4安全配置能够落地的内容(注意是落地的配置手段,选择一个安全的红帽容器镜像这种手段,大魏不认为是配置,就不再赘述),主要有以下三方面:加密相关开启FIPS加密开启etcd加密ssh公钥管控开启RHCOS磁盘加密权限相关scc中配置requiredDropCapabilities限制容器可操
原创
2021-04-16 14:04:36
492阅读
OCP4中Infra节点有没有必要配置OCP3的安装是通过Ansible完成的。在playbook的变量中可以指定某2-3个节点是Infra角色。同时在Playbook中设置router、EFK、监控相应的资源部署到Infra节点上。OCP4的安装不适用Ansible,也无法安装时指定Infra角色(只有Master和Woker两种节点角色)。那么OCP4是否有必要配置Infra节点?答案是肯定的
原创
2020-12-19 22:36:56
1250阅读
OCP中的日志组件OpenShift容器平台使用Elasticsearch(ES)将Fluentd的日志数据组织到数据存储或索引中。Elasticsearch将每个索引细分为多个称为碎片的碎片,这些碎片分布在Elasticsearch集群中的一组Elasticsearch节点上。您可以配置Elasticsearch以创建分片的副本,称为副本。Elasticsearch还将这些副本散布在Elasti
原创
2020-12-21 20:04:11
783阅读
OpenShift4(简称OCP4)在OpenStack上部署,大体分为三种模式:IPI(必须在线安装)UPI在线安装UPI离线安装Baremetal模式OCP4对红帽OpenStack的支持列表如下所示:https://access.redhat.com/articles/4679401在这个列表中的红帽OpenStack,按照对应支持的方式安装,一定没问题的。那么,如果第三方的OpenStac
原创
2020-12-19 21:55:43
518阅读
OCP安装后,所有节点只有两种role:master和worker。设置Infra很有必要,作用是:将日志、监控、路由、Image Registries这堆OCP配套的组件安装在Infra上,便于维护和配置前端负载转发(Router VIP)。那么,就带来一个问题:Infra节点上的Worker Label要不要删掉?如果删掉,那么就需要创建单独Infra的mcp,然后日志、监控、路由这堆OCP配
原创
2021-04-16 14:01:42
1833阅读
OpenShift4(简称OCP4)在OpenStack上部署,大体分为三种模式:IPI(必须在线安装)UPI在线安装UPI离线安装Baremetal模式OCP4对红帽OpenStack的支持列表如下所示:https://access.redhat.com/articles/4679401在这个列表中的红帽OpenStack,按照对应支持的方式安装,一定没问题的。那么,如果第三方的OpenStac
原创
2021-04-16 14:11:36
462阅读
首先,让我们解释一下OpenShift中pod默认怎么出去,容器都会通过其启动所在的节点出OpenShift网络。意味着相应的连接将使用我们容器当前所在的节点IP进行NAT处理。因此,防火墙或者对端需要信任OCP的节点。如果不能固定pod的位置,就需要信任所有的OCP的Worker节点。通过什么方法可以解决这个问题呢?在OCP3时代,我们可以通过:配置Egress Router、Egress IP
原创
2020-12-19 22:26:38
915阅读
首先,让我们解释一下OpenShift中pod默认怎么出去,容器都会通过其启动所在的节点出OpenShift网络。意味着相应的连接将使用我们容器当前所在的节点IP进行NAT处理。因此,防火墙或者对端需要信任OCP的节点。如果不能固定pod的位置,就需要信任所有的OCP的Worker节点。通过什么方法可以解决这个问题呢?在OCP3时代,我们可以通过:配置Egress Router、Egress IP
原创
2021-04-16 14:30:22
1405阅读
为什么选择NTO?大多数高性能应用程序需要某种程度的OS调优。在RHEL系统上,这些调整通常由Tuned守护程序进行(有很多RHEL-shipped Tuned profiles)。OCP4用的是CoreOS,这种RHEL上的方法无法直接使用。红帽技术团队经过努力,发布了控制openshift-tuned的Node Tuning Operator 。使用NTO的主要原因是:将RHEL上现有的Tun
原创
2020-12-19 22:14:36
631阅读
在OCP4集群中,和证书相关的内容有几处位置:secret.通过如下命令查看:[root@lb.weixinyucluster3 ~]# oc get secret -A -o json | jq -r '.items[] |select(.metadata.annotations."auth.openshift.io/certificate-not-after"!=null)| select(
原创
2021-04-16 14:02:55
920阅读
1评论
默认情况下,Node Tuning Operator (NTO)是二级Operator(SLO,也就说是,NTO不是OCP安装时候自动安装的Clutser Operator),它随OpenShift容器平台(OCP)4一起提供。本文将对OCP 4.5版本中引入的新功能进行基本概述。为什么选择NTO?大多数高性能应用程序需要某种程度的OS调优。在RHEL系统上,这些调整通常由Tuned守护程序进行(
原创
2021-04-16 14:16:00
987阅读
在OCP4集群中,和证书相关的内容有几处位置:secret.通过如下命令查看:[root@lb.weixinyucluster3 ~]# oc get secret -A -o json | jq -r '.items[] |select(.metadata.annotations."auth.openshift.io/certificate-not-after"!=null)| select(
原创
2020-12-18 22:23:55
894阅读
1.查看节点和pod的真实CPU利用率:oc adm top node:显示每个节点的当前CPU和内存使用情况。这些是实际使用数量,不是OpenShift调度程序认为是节点的可用和已使用容量的资源请求。root@lb.weixinyucluster ~]# oc adm top pods -n myappNAME CPU(cores) MEMORY(bytes)jen
原创
2020-12-19 22:11:17
303阅读
OCP4安装后,会有个默认的kubeadmin用户。生产环境建议将这个用户删除,但一定在创建了有cluster-admin role的用户以后再删除这个用户:$ oc delete secret kubeadmin -n kube-system如果在使用集群管理员特权配置另一个用户之前删除kubeadmin机密,则管理集群的唯一方法是使用kubeconfig文件。如果在安全的位置没有此文件的副本,
原创
2021-04-16 14:12:59
468阅读
etcd是一个可信赖的分布式键值存储服务(注意不是存储),它能够为整个分布式集群存储一些关键数据,协助分布式集群的正常运转。内部包含是一个键值(Key-Value)数据库。请记住一点:etcd是键值数据库,但键值数据库不完全是etcd,键值数据库只是etcd的一部分(后文会详细介绍)。etcd它是CoreOS(2018年被红帽收购)发起的开源项目。https://github.com/etcd-i
原创
2021-04-15 14:57:55
925阅读
1.查看节点和pod的真实CPU利用率:oc adm top node:显示每个节点的当前CPU和内存使用情况。这些是实际使用数量,不是OpenShift调度程序认为是节点的可用和已使用容量的资源请求。root@lb.weixinyucluster ~]# oc adm top pods -n myappNAME CPU(cores) MEMORY(bytes)jen
原创
2021-04-16 14:13:25
563阅读
