Русский

Импорт кластера OpenShift

Поддерживается интеграция развернутых кластеров OpenShift в платформу для единого управления.

Содержание

Предварительные требования

Версия Kubernetes и параметры кластера должны соответствовать Стандартным требованиям кластера Kubernetes.
Для интеграции необходимы команды kubectl. Установите CLI-инструмент на bastion-хост, который имеет доступ к кластеру.
Для обеспечения мониторинга в реальном времени таких метрик, как узлы, рабочие нагрузки (Deployment, StatefulSet, DaemonSet), Pods и контейнеры, убедитесь, что Prometheus уже развернут в целевом кластере.

Получение адреса реестра

Чтобы использовать реестр, развернутый платформой при установке глобального кластера, выполните следующую команду на глобальном управляющем узле:

if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F // '{print $NF}')
fi
echo "Registry address is: $REGISTRY"

Чтобы использовать внешний реестр, вручную задайте переменную REGISTRY:

REGISTRY=<external-registry-address>  # например, registry.example.cn:60080 или 192.168.134.43
echo "Registry address is: $REGISTRY"

Проверка необходимости дополнительной настройки реестра

Выполните команду, чтобы проверить, поддерживает ли реестр HTTPS и использует ли доверенный сертификат CA:

REGISTRY=<registry-address-from-previous-step>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo 'Pass: Registry uses a trusted CA certificate. No extra config needed.'
else
    echo 'Fail: Registry does not support HTTPS or uses an untrusted certificate. Follow "Trust Insecure Registry".'
fi

Если проверка не пройдена, выполните следующие шаги.

Доверие к небезопасному реестру

Войдите на все узлы кластера OCP.

На каждом узле настройте параметры реестра:

sudo -i
sudo chattr -i /

sudo mkdir -p /etc/systemd/system/crio.service.d/
cat | sudo tee /etc/systemd/system/crio.service.d/99-registry-cpaas-system.conf << 'EOF'
[Service]
ExecStart=
ExecStart=/usr/bin/crio \
          --insecure-registry='<registry-address>' \  # например, registry.example.cn:60080 или 192.168.134.43
          $CRIO_CONFIG_OPTIONS \
          $CRIO_RUNTIME_OPTIONS \
          $CRIO_STORAGE_OPTIONS \
          $CRIO_NETWORK_OPTIONS \
          $CRIO_METRICS_OPTIONS
EOF

Перезапустите crio:

sudo systemctl daemon-reload && sudo systemctl restart crio

Настройка DNS для кластера

Измените ConfigMap CoreDNS в глобальном кластере для настройки DNS.

С bastion-хоста получите базовый домен кластера OCP:
```
oc get dns cluster -o jsonpath='{.spec.baseDomain}'
```
Пример вывода:
```
ocp.example.com
```
Войдите в консоль управления платформой, переключитесь на глобальный кластер, затем перейдите в Управление кластерами > Управление ресурсами.
Отредактируйте ConfigMap cpaas-coredns в пространстве имен kube-system.

Добавьте новый блок с использованием базового домена OCP и адреса DNS-сервера (из /etc/resolv.conf на узле кластера).

Пример:
```
Corefile: |
ocp.example.com:1053 {
    log
    forward . 192.168.31.220
}
.:1053 {
    log
    forward . 192.168.31.220
}
```

Получение информации о кластере

Выберите один из вариантов:

Метод 1 (рекомендуется): Получение файла KubeConfig

На bastion-хосте найдите файл kubeconfig и убедитесь, что он содержит контекст администратора.
Скопируйте файл kubeconfig с bastion-хоста на локальную машину:
```
scp root@<bastion-ip>:</path/to/kubeconfig> <local-path>
```

Метод 2: Использование токена, адреса API-сервера и сертификата CA

См. Как получить информацию о кластере?.

Импорт кластера

В левом меню перейдите в Управление кластерами > Кластеры.
Нажмите Импортировать кластер.

Настройте параметры:

Параметр	Описание
Registry	Реестр, хранящий образы компонентов платформы. По умолчанию платформы: реестр, настроенный при глобальной установке. Частный реестр: требуется адрес реестра, порт, имя пользователя и пароль. Публичный реестр: требуется обновить учетные данные облака.
Cluster Info	Либо загрузите файл KubeConfig, либо введите вручную. Адрес кластера: адрес API-сервера. Сертификат CA: декодированный сертификат CA в Base64. Аутентификация: токен или клиентский сертификат с правами cluster-admin.

Параметр

Описание

Registry

Реестр, хранящий образы компонентов платформы. По умолчанию платформы: реестр, настроенный при глобальной установке. Частный реестр: требуется адрес реестра, порт, имя пользователя и пароль. Публичный реестр: требуется обновить учетные данные облака.

Cluster Info

Либо загрузите файл KubeConfig, либо введите вручную. Адрес кластера: адрес API-сервера. Сертификат CA: декодированный сертификат CA в Base64. Аутентификация: токен или клиентский сертификат с правами cluster-admin.

Нажмите Проверить подключение.
Если проверка успешна, нажмите Импортировать. Прогресс можно отслеживать в журнале выполнения. После импорта кластер отображается в списке со статусом «здоров».

Сетевая конфигурация

Обеспечьте сетевое взаимодействие между глобальным кластером и импортированным кластером. См. Сетевая конфигурация для импортированных кластеров.

Развертывание дополнений

После успешной интеграции перейдите в Marketplace для развертывания необходимых дополнений, таких как мониторинг, сбор логов и хранение логов.

Перед развертыванием сбора логов убедитесь, что в /var/cpaas/ свободно более 50 ГБ:

df -h /var/cpaas

Обновление политики аудита

Вы можете изменить политику аудита (spec.audit.profile) кластера:

Default: логирует метаданные запросов на чтение/запись (создание OAuth access token логирует тело).
WriteRequestBodies: логирует метаданные всех запросов и тела запросов на запись.
AllRequestBodies: логирует метаданные и тела всех запросов.

Чувствительные ресурсы (например, Secrets, Routes, OAuthClient) логируют только метаданные.

Обновление выполняется командой:

oc edit apiserver cluster

FAQ

Почему кнопка «Добавить узел» отключена?

Добавление узлов через UI платформы не поддерживается. Используйте метод поставщика.

Какие сертификаты поддерживаются?

Сертификаты Kubernetes: виден только сертификат API Server, автоматическая ротация отсутствует.
Сертификаты компонентов платформы: видны и автоматически ротируются.

Какие функции не поддерживаются для кластеров OpenShift?

Сбор данных аудита.
Мониторинг ETCD, Scheduler, Controller Manager (доступны только метрики API Server).
Сертификаты, кроме API Server.

Просмотреть полную документацию в формате PDF

Импорт кластера OpenShift

Поддерживается интеграция развернутых кластеров OpenShift в платформу для единого управления.

Содержание

Предварительные требования

Версия Kubernetes и параметры кластера должны соответствовать Стандартным требованиям кластера Kubernetes.
Для интеграции необходимы команды kubectl. Установите CLI-инструмент на bastion-хост, который имеет доступ к кластеру.
Для обеспечения мониторинга в реальном времени таких метрик, как узлы, рабочие нагрузки (Deployment, StatefulSet, DaemonSet), Pods и контейнеры, убедитесь, что Prometheus уже развернут в целевом кластере.

Получение адреса реестра

if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F // '{print $NF}')
fi
echo "Registry address is: $REGISTRY"

Чтобы использовать внешний реестр, вручную задайте переменную REGISTRY:

REGISTRY=<external-registry-address>  # например, registry.example.cn:60080 или 192.168.134.43
echo "Registry address is: $REGISTRY"

Проверка необходимости дополнительной настройки реестра

Выполните команду, чтобы проверить, поддерживает ли реестр HTTPS и использует ли доверенный сертификат CA:

REGISTRY=<registry-address-from-previous-step>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo 'Pass: Registry uses a trusted CA certificate. No extra config needed.'
else
    echo 'Fail: Registry does not support HTTPS or uses an untrusted certificate. Follow "Trust Insecure Registry".'
fi

Если проверка не пройдена, выполните следующие шаги.

Доверие к небезопасному реестру

Войдите на все узлы кластера OCP.

На каждом узле настройте параметры реестра:

sudo -i
sudo chattr -i /

sudo mkdir -p /etc/systemd/system/crio.service.d/
cat | sudo tee /etc/systemd/system/crio.service.d/99-registry-cpaas-system.conf << 'EOF'
[Service]
ExecStart=
ExecStart=/usr/bin/crio \
          --insecure-registry='<registry-address>' \  # например, registry.example.cn:60080 или 192.168.134.43
          $CRIO_CONFIG_OPTIONS \
          $CRIO_RUNTIME_OPTIONS \
          $CRIO_STORAGE_OPTIONS \
          $CRIO_NETWORK_OPTIONS \
          $CRIO_METRICS_OPTIONS
EOF

Перезапустите crio:

sudo systemctl daemon-reload && sudo systemctl restart crio

Настройка DNS для кластера

Измените ConfigMap CoreDNS в глобальном кластере для настройки DNS.

С bastion-хоста получите базовый домен кластера OCP:
```
oc get dns cluster -o jsonpath='{.spec.baseDomain}'
```
Пример вывода:
```
ocp.example.com
```
Войдите в консоль управления платформой, переключитесь на глобальный кластер, затем перейдите в Управление кластерами > Управление ресурсами.
Отредактируйте ConfigMap cpaas-coredns в пространстве имен kube-system.

Добавьте новый блок с использованием базового домена OCP и адреса DNS-сервера (из /etc/resolv.conf на узле кластера).

Пример:
```
Corefile: |
ocp.example.com:1053 {
    log
    forward . 192.168.31.220
}
.:1053 {
    log
    forward . 192.168.31.220
}
```

Получение информации о кластере

Выберите один из вариантов:

Метод 1 (рекомендуется): Получение файла KubeConfig

На bastion-хосте найдите файл kubeconfig и убедитесь, что он содержит контекст администратора.
Скопируйте файл kubeconfig с bastion-хоста на локальную машину:
```
scp root@<bastion-ip>:</path/to/kubeconfig> <local-path>
```

Метод 2: Использование токена, адреса API-сервера и сертификата CA

См. Как получить информацию о кластере?.

Импорт кластера

В левом меню перейдите в Управление кластерами > Кластеры.
Нажмите Импортировать кластер.

Настройте параметры:

Параметр	Описание
Registry	Реестр, хранящий образы компонентов платформы. По умолчанию платформы: реестр, настроенный при глобальной установке. Частный реестр: требуется адрес реестра, порт, имя пользователя и пароль. Публичный реестр: требуется обновить учетные данные облака.
Cluster Info	Либо загрузите файл KubeConfig, либо введите вручную. Адрес кластера: адрес API-сервера. Сертификат CA: декодированный сертификат CA в Base64. Аутентификация: токен или клиентский сертификат с правами cluster-admin.

Параметр

Описание

Registry

Cluster Info

Нажмите Проверить подключение.
Если проверка успешна, нажмите Импортировать. Прогресс можно отслеживать в журнале выполнения. После импорта кластер отображается в списке со статусом «здоров».

Сетевая конфигурация

Развертывание дополнений

Перед развертыванием сбора логов убедитесь, что в /var/cpaas/ свободно более 50 ГБ:

df -h /var/cpaas

Обновление политики аудита

Вы можете изменить политику аудита (spec.audit.profile) кластера:

Default: логирует метаданные запросов на чтение/запись (создание OAuth access token логирует тело).
WriteRequestBodies: логирует метаданные всех запросов и тела запросов на запись.
AllRequestBodies: логирует метаданные и тела всех запросов.

Чувствительные ресурсы (например, Secrets, Routes, OAuthClient) логируют только метаданные.

Обновление выполняется командой:

oc edit apiserver cluster

FAQ

Почему кнопка «Добавить узел» отключена?

Добавление узлов через UI платформы не поддерживается. Используйте метод поставщика.

Какие сертификаты поддерживаются?

Сертификаты Kubernetes: виден только сертификат API Server, автоматическая ротация отсутствует.
Сертификаты компонентов платформы: видны и автоматически ротируются.

Какие функции не поддерживаются для кластеров OpenShift?

Сбор данных аудита.
Мониторинг ETCD, Scheduler, Controller Manager (доступны только метрики API Server).
Сертификаты, кроме API Server.

ACP CLI (ac)

Управление узлами

Управляемые кластеры

Импорт кластеров

Инициализация кластера в публичном облаке

Инициализация сети

Инициализация хранилища

Как сделать

Как сделать

Управление резервным копированием

Управление восстановлением

Архитектура

Основные понятия

Руководства

Как сделать

ALB

Устранение неполадок

Основные понятия

Руководства

Как сделать

Устранение неполадок

Установка

Основные понятия

Руководства

Как сделать

Восстановление после сбоев

Основные понятия

Руководства

Как сделать

Руководства

Как сделать

Соответствие требованиям

Как сделать

API Refiner

Пользователь

Руководства

Группа

Руководства

Роль

Руководства

IDP

Руководства

Устранение неполадок

Политика пользователя

Руководства

Обзор

Образы

Руководства

Как сделать

Виртуальная машина

Руководства

Как сделать

Устранение неполадок

Сеть

Руководства

Как сделать

Хранение данных

Руководства

Резервное копирование и восстановление

Руководства

Основные понятия

Пространства имён

Создание приложений

Эксплуатация и сопровождение приложений

Развертывание приложений

KEDA (Kubernetes Event-driven Autoscaling)

Как сделать

Рабочие нагрузки

Конфигурации

Наблюдаемость приложения

Как сделать

Как сделать

Установка

Руководство пользователя

Обзор

Установка

Обновление

Руководства

Как сделать

Основные понятия