So installieren wir OpenShift auf AWS

Einleitung

Die Installation von OpenShift auf AWS ist bereits recht einfach. Wenn Sie dies nicht häufig vorhaben, können Sie problemlos mit den manuellen Schritten der Ersteinrichtung gut leben. Für uns ist es wichtig, folgende Punkte effizient und oft durchführen zu können

• erstellen eines OpenShift Clusters
• Patchen eines OpenShift Cluster, um das Abschalten des Clusters innerhalb von 24 Stunden zu ermöglichen (bekanntes Problem, welches Red Hat in folgendem Blogeintrag behandelt hat.
• Google als Authentifizierungsanbieter (OAuth) hinzufügen
• neue Administratoren und Cluster Administratoren hinzufügen
• kubeadmin-User löschen um Sicherheitsrisiken zu minimieren
• Starten / Stoppen der Cluster-VMs
• OpenShift-Cluster entfernen

Um diese Abfolge regelmäßig durchführen zu können, haben wir eine Sammlung von Skripten und Aliase ​​erstellt, die uns dabei helfen, so effizient wie möglich zu arbeiten. Wenn Sie einen ähnlichen Bedarf haben, hoffen wir, dass unsere Vorarbeit Ihnen dabei hilft, Ihre manuellen Einrichtungsschritte zu beschleunigen.

Vorbereitung

Im Allgemeinen folgen wir der Anleitung, um OpenShift auf AWS einzurichten. Alle von uns erstellten Aliase sind in bashrc definiert und unten aufgeführt. Um den Alias ​​zu verwenden, musst du die bashrc einsouren und verwenden. Wenn du die Befehle unabhängig von den Alias ​​ausführen möchten, kannst du das auf eigenes Risiko tun.

source  ./bashrc

Verfügbare Befehle

• ocp-extract
• ocp-create-config
• ocp-create-cluster
• ocp-destroy-cluster
• ocp-patch-cluster
• ocp-start-cluster
• ocp-stop-cluster
• ocp-auth-add-google-provider
• ocp-auth-add-cluster-admins
• ocp-auth-del-kubeadmin
• ocp-setup

Hinweis: Nicht vergessen, die bashrc einzusourcen.

Cluster Erstellung

1) Ordner extrahieren

Um einen neuen Cluster unter AWS zu erstellen, musst du das Installationsprogramm von Red Hat für OpenShift 4 verwenden. Lade dir zunächst das Installationsprogramm, Pull-Secret- und Commandline-Tools herunter und speichere die Dateien im Repository-Ordner. Als nächstes können wir ocp-extract verwenden, um die tar-Dateien in einen neuen bin-Ordner zu extrahieren.

Tipp: Verwende –help, um mehr über ocp-extract zu erfahren

2) Konfiguration erstellen

Für diesen Schritt benötigst du ein AWS-Konto. Weitere Informationen findest du hier. Sobald du den Befehl ausgeführt hast, hast du die Möglichkeit, die Initiale Konfiguration zu adaptieren. 

Tipp: Verwende –help, um mehr über ocp-create-config zu erfahren.

3) Konfiguration anpassen

Du kannst die im vorherigen Schritt erstellte Installationskonfiguration jederzeit an deine spezifischen Anforderungen anpassen. Dies macht vor allem deshalb Sinn, da die Standardkonfiguration nicht unbedingt für deinen UseCase sinnvoll ist. 

Beispiel für eine angepasste Datei install-config.yaml für AWS

apiVersion: v1
baseDomain: example.com 
controlPlane: 
  hyperthreading: Enabled  
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1
      type: m5.xlarge 
  replicas: 3
compute: 
- hyperthreading: Enabled 
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineCIDR: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 
    userTags:
      adminContact: jdoe
      costCenter: 7536
pullSecret: '{"auths": ...}' 
sshKey: ssh-ed25519 AAAA...

Genaueres zum oben angeführten Beispiel finden Sie hier. Nachfolgend ein paar Links, die bei einer Konfigurationsanpassung helfen können

• Installationskonfigurationsparameter für AWS
• Anpassungen der Netzwerkkonfiguration

4) Cluster erstellen

Sobald die Konfiguration deinen Anforderungen entspricht, kannst du den Cluster einfach durch Ausführen erstellen.

Tipp: Verwende –help, um mehr über ocp-create-cluster zu erfahren.

Cluster patchen

“Bei der Installation von OpenShift 4-Clustern wird ein Bootstrap-Zertifikat erstellt, das auf den Master-Nodes zum Erstellen von Zertifikatsignierungsanforderungen (Certificate Signing Requests, CSRs) für Kubelet-Client-Zertifikate (eine für jedes Kubelet) verwendet wird, um jedes Kubelet auf einem beliebigen Knoten zu identifizieren. Da Zertifikate nicht widerrufen werden können, wird dieses Zertifikat mit einer kurzen Ablaufzeit erstellt und 24 Stunden nach der Clusterinstallation kann es nicht mehr verwendet werden. Alle Knoten außer den Masterknoten verfügen über ein widerrufbares ServiceAccount-Token. Daher ist das Bootstrap-Zertifikat nach der Cluster-Installation nur 24 Stunden lang gültig. Danach nochmal alle 30 Tage.

Wenn die Masterkubelets kein 30-Tage-Clientzertifikat haben (das erste ist nur für 24 Stunden gültig), macht das Fehlen des Aktualisierungsfensters für das Kubelet-Clientzertifikat den Cluster unbrauchbar, da der Bootstrap-Berechtigungsnachweis beim erneutem Starten des Clusters nicht verwendet werden kann. In der Praxis erfordert dies, dass ein OpenShift 4-Cluster nach der Installation mindestens 25 Stunden ausgeführt wird, bevor er heruntergefahren werden kann. Der folgende Prozess ermöglicht das Herunterfahren des Clusters direkt nach der Installation. Außerdem kann der Cluster in den nächsten 30 Tagen jederzeit wieder gestartet werden.”

Nun folgen wir der im OpenShift Blogpost beschriebenen Anleitung um den Cluster zu patchen,  damit er vor Ablauf von 24 Stunden heruntergefahren werden kann.

Tipp: Verwende –help, um mehr über ocp-patch-cluster zu erfahren.

Achtung: Nachdem das Skript erfolgreich ausgeführt wurde, musst du oc get clusteroperators ausführen und warten, bis alle Clusteroperatoren den erforderlichen Status erreicht haben (True False False).

Google Auth hinzufügen

Du benötigst OAuth2.0-Anmeldeinformations-IDs von Google, um diesen Schritt auszuführen. Verwende zum Erstellen oder Abrufen der clientID / clientSecret die Entwicklerkonsole von Google.

Sobald du die Client-ID und das Client-Geheimnis hast, speichere sie als Dateien (Client-ID und Client-Geheimnis) im Repo-Verzeichnis.

Hinweis: Bei Dateinamen wird die Groß- und Kleinschreibung beachtet

Sobald die clientID und clientSecret eingerichtet sind, können wir den Befehl ausführen, um Google als Authentifizierungsanbieter zum OpenShift-Cluster hinzuzufügen. Zusätzlich schränkt die Angabe des hosteddomain Parameters die zugelassene Domain für Benutzer:innen, die sich über diesen Anbieter anmelden können, ein. 

ocp-auth-add-google-provider --hosteddomain=<your-domain.com>

Tipp: Verwende –help, um mehr über ocp-auth-add-google-provider zu erfahren

 Cluster-Administratoren hinzufügen

Um mehrere Cluster-Administratoren hinzuzufügen, kannst du ocp-auth-add-cluster-admins verwenden. Es wird eine neue Gruppe von Cluster-Administratoren erstellt und dieser Gruppe eine Liste von Benutzern hinzugefügt. Sofern nicht über zusätzliche Optionen angegeben, werden Cluster-Administratoren im Repo-Verzeichnis gelesen. Geben Sie einen Benutzer pro Zeile wie folgt an:

• user1
• user2

Tipp: Lasse am Ende der Datei eine leere Zeile frei. Andernfalls wird der letzte Eintrag übersprungen.

Tipp: Verwende –help, um mehr über ocp-auth-add-cluster-admins zu erfahren

Stoppen Sie den Cluster

Um einen laufenden Cluster zu stoppen, kannst du ocp-stop-cluster verwenden.

Tipp: Verwende –help, um mehr über ocp-stop-cluster zu erfahren

Cluster starten

Um einen gestoppten Cluster erneut zu starten, kannst du ocp-start-cluster verwenden.

Tipp: Verwende –help, um mehr über ocp-start-cluster zu erfahren

ocp-start-cluster

Cluster zerstören

Zerstöre alle von ocp-create-cluster erstellten AWS-Ressourcen mit ocp-destroy-cluster. Hinweis: manuell hinzugefügte Ressourcen werden nicht gelöscht!

Tipp: Verwende –help, um mehr über ocp-destroy-cluster zu erfahren

Alles in einem

Um den Bootstrapping-Vorgang schnell auszuführen, verwende ocp-setup.

Hinweis: Dadurch werden die obigen Befehle mit den Standardwerten ausgeführt. Wenn du das Verhalten ändern möchtest, ändere die Funktion ocp-setup in Ihrer Kopie von bashrc, indem du den Befehlen zusätzliche Parameter hinzufügst.