在此页面上
替换控制平面节点
总结 了解如何识别和替换 OpenShift 集群中运行状况不佳的节点。
替换控制平面节点需要您首先识别并删除运行状况不佳的节点。删除不正常的节点后,可以添加新的替换节点。
我们提供这些示例过程纯粹仅供参考。有关正式程序,请参阅 Red Hat OpenShift 文档 (https://docs.openshift.com/)。
删除运行状况不佳的控制平面节点
此程序用于识别和删除运行状况不佳的控制平面节点。
- 检查控制平面节点的状态以识别运行状况不佳的成员。
user@ai-client:~# oc get nodes -l node-role.kubernetes.io/master NAME STATUS ROLES AGE VERSION ocp1.mycluster.contrail.lan Ready master 16d v1.21.6+bb8d50a ocp2.mycluster.contrail.lan Ready master 16d v1.21.6+bb8d50a ocp3.mycluster.contrail.lan NotReady master 16d v1.21.6+bb8d50a
在此示例中,ocp3 是不正常的节点。 - 按照备份 etcd 数据库中的过程备份其中一个健康节点上的 etcd 数据库。
- 列出 etcd 成员。
user@ai-client:~# oc get pods -n openshift-etcd -o wide | grep -v etcd-quorum-guard | grep etcd etcd-ocp1 4/4 Running 0 18d 172.16.0.11 ocp1 <none> <none> etcd-ocp2 4/4 Running 0 18d 172.16.0.12 ocp2 <none> <none> etcd-ocp3 4/4 Running 0 18d 172.16.0.13 ocp3 <none> <none>
- 打开一个远程 shell,指向健康节点上的 etcd pod(例如 ocp1)。
user@ai-client:~# oc rsh -n openshift-etcd etcd-ocp1 Defaulted container "etcdctl" out of: etcdctl, etcd, etcd-metrics, etcd-health-monitor, setup (init), etcd-ensure-env-vars (init), etcd-resources-copy (init)
- 列出 etcd 成员。
sh-4.4# etcdctl member list -w table +------------------+---------+------+--------------------------+--------------------------+------------+ | ID | STATUS | NAME | PEER ADDRS | CLIENT ADDRS | IS LEARNER | +------------------+---------+------+--------------------------+--------------------------+------------+ | 19faf45778a1ddd3 | started | ocp3 | https://172.16.0.13:2380 | https://172.16.0.13:2379 | false | | ad4840148f3f241c | started | ocp1 | https://172.16.0.11:2380 | https://172.16.0.11:2379 | false | | b1f7a55fb3caa3b6 | started | ocp2 | https://172.16.0.12:2380 | https://172.16.0.12:2379 | false | +------------------+---------+------+--------------------------+--------------------------+------------+
- 删除不正常节点上的 etcd 成员。
sh-4.4# etcdctl member remove 19faf45778a1ddd3 Member 19faf45778a1ddd3 removed from cluster 60f3fdb1b921fd7
- 再次查看成员列表。
sh-4.4# etcdctl member list -w table +------------------+-----------+------+--------------------------+--------------------------+------------+ | ID | STATUS | NAME | PEER ADDRS | CLIENT ADDRS | IS LEARNER | +------------------+-----------+------+--------------------------+--------------------------+------------+ | ad4840148f3f241c | started | ocp1 | https://172.16.0.11:2380 | https://172.16.0.11:2379 | false | | b1f7a55fb3caa3b6 | started | ocp2 | https://172.16.0.12:2380 | https://172.16.0.12:2379 | false | +------------------+-----------+------+--------------------------+--------------------------+------------+
- 键入exit以退出远程外壳程序。
- 返回 AI 客户端节点,删除运行状况不佳的 etcd 成员的旧密钥。
- 列出不正常(已删除)成员的机密。
user@ai-client:~# oc get secrets -n openshift-etcd | grep ocp3 etcd-peer-ocp3 kubernetes.io/tls 2 18d etcd-serving-metrics-ocp3 kubernetes.io/tls 2 18d etcd-serving-ocp3 kubernetes.io/tls 2 18d
- 删除对等机密。
user@ai-client:~# oc delete secret -n openshift-etcd etcd-peer-ocp3 secret "etcd-peer-ocp3" deleted
- 删除指标机密。
user@ai-client:~# oc delete secret -n openshift-etcd etcd-serving-metrics-ocp3 secret "etcd-serving-metrics-ocp3" deleted
- 删除服务机密。
user@ai-client:~# oc delete secret -n openshift-etcd etcd-serving-ocp3 secret "etcd-serving-ocp3" deleted
- 列出不正常(已删除)成员的机密。
- 最后,删除不正常的节点。
- 封锁不正常的节点。
user@ai-client:~# oc adm cordon ocp3 node/ocp3 cordoned
- 清空不正常的节点。
user@ai-client:~# oc adm drain ocp3 --ignore-daemonsets=true --delete-emptydir-data --force node/ocp3 already cordoned <trimmed>
- 删除不正常的节点。
user@ai-client:~# oc delete node ocp3 node "ocp3" deleted
- 列出节点。
user@ai-client:~# oc get nodes NAME STATUS ROLES AGE VERSION ocp1 Ready master 19d v1.21.6+bb8d50a ocp2 Ready master 19d v1.21.6+bb8d50a ocp4 Ready worker 18d v1.21.6+bb8d50a ocp5 Ready worker 18d v1.21.6+bb8d50a
您现在已经识别并删除了不正常的节点。 - 封锁不正常的节点。
添加替换控制平面节点
此程序用于将替换控制平面节点添加到现有 OpenShift 群集。OpenShift 集群正好有 3 个控制平面节点。您无法使用此过程将节点添加到已有 3 个控制平面节点的集群。
此过程显示延迟绑定的示例。在后期绑定中,生成 ISO 并使用该 ISO 引导节点。节点启动后,将节点绑定到现有群集。
这会导致一个或多个证书签名请求 (CSR) 从新节点发送到现有群集。CSR 只是获取(现有)群集的客户端证书的请求。您需要明确批准这些请求。获得批准后,现有群集将向新节点提供客户端证书,并允许新节点加入现有群集。
- 登录到用作辅助安装程序客户端的计算机(VM 或 BMS)。在辅助安装程序客户端计算机上,您可以向红帽托管的辅助安装程序服务器发出辅助安装程序 API 调用。
- 通过设置将在后续步骤中使用的环境变量来准备部署。
- 设置用于现有群集的相同 SSH 密钥。
在此示例中,我们从其默认位置 ~/.ssh/id_rsa.pub 检索该 SSH 密钥并存储到变量中。
export CLUSTER_SSHKEY=$(cat ~/.ssh/id_rsa.pub)
- 如果您不再拥有映像拉取密钥,请将映像提取密钥从您的红帽帐户下载到本地计算机上。拉取密钥允许您的安装访问为 OpenShift 组件提供容器映像的服务和注册表。
如果您使用的是红帽托管的辅助安装程序,则可以从 https://console.redhat.com/openshift/downloads 页面下载拉取密钥文件(拉取密钥)。将拉取密钥文件复制到辅助安装程序客户端计算机。在此示例中,我们将拉取密钥存储在名为 pull-secret.txt 的文件中。
去除任何空格,将内容转换为 JSON 字符串格式,并存储为环境变量,如下所示:
export PULL_SECRET=$(sed '/^[[:space:]]*$/d' pull-secret.txt | jq -R .)
- 如果您不再拥有离线访问令牌,请从您的红帽帐户复制离线访问令牌。OpenShift 集群管理器 API 令牌允许您(在辅助安装程序客户端计算机上)与红帽托管的辅助安装程序 API 服务进行交互。
令牌是可以复制并粘贴到本地环境变量的字符串。如果您使用的是红帽托管的辅助安装程序,则可以从 https://console.redhat.com/openshift/downloads 复制 API 令牌。
export OFFLINE_ACCESS_TOKEN='<paste offline access token here>'
- 从OFFLINE_ACCESS_TOKEN生成(刷新)令牌。每当发出 API 命令时,您都将使用此生成的令牌。
export TOKEN=$(curl --silent --data-urlencode "grant_type=refresh_token" --data-urlencode "client_id=cloud-services" --data-urlencode "refresh_token=${OFFLINE_ACCESS_TOKEN}" https://sso.redhat.com/auth/realms/redhat-external/protocol/openid-connect/token | jq -r .access_token)注意:此令牌定期过期。当此令牌过期时,每当发出 API 命令时,您都会收到 HTTP 4xx 响应。令牌过期时刷新令牌,或者,在过期前定期刷新令牌。在令牌未过期时刷新令牌并没有什么坏处。
- 获取现有集群的 OpenShift 集群 ID。
例如:将其保存到变量:
oc get clusterversion -o jsonpath='{.items[].spec.clusterID}{"\n"}' 1777102a-1fe1-407a-9441-9d0bad4f5968export $OS_CLUSTER_ID="1777102a-1fe1-407a-9441-9d0bad4f5968"
- 设置其余的环境变量。
表 1 列出了在此过程中需要设置的所有环境变量,包括前面步骤中描述的环境变量。
表 1:环境变量 变量 描述 示例 CLUSTER_SSHKEY 用于现有群集的(公共)SSH 密钥。您必须对要添加的新节点使用相同的密钥。 – PULL_SECRET 已下载、剥离并转换为 JSON 字符串格式的映像拉取机密。 – OFFLINE_ACCESS_TOKEN 您复制的 OpenShift 集群管理器 API 令牌。 – 令 牌 从OFFLINE_ACCESS_TOKEN生成(刷新)的令牌。 – CLUSTER_NAME 现有群集的名称。 我的集群 CLUSTER_DOMAIN 现有群集的基本域。 Contrail.lan OS_CLUSTER_ID 现有集群的 OpenShift 集群 ID。 1777102A-1FE1-407A-9441-9D0BAD4F5968 AI_URL 辅助安装程序服务的 URL。此示例使用 Red Hat 托管的辅助安装程序。 https://api.openshift.com
- 设置用于现有群集的相同 SSH 密钥。
- 生成发现启动 ISO。您将使用此 ISO 启动要添加到群集的节点。
ISO 会根据您将设置的基础架构环境针对您的基础架构进行自定义。
- 创建描述基础结构环境的文件。在此示例中,我们将其命名为 infra-envs-addhost.json。
cat << EOF > ./infra-envs-addhost.json { "name": "<InfraEnv Name>", "ssh_authorized_key": "$CLUSTER_SSHKEY", "pull_secret": $PULL_SECRET, "openshift_version": "4.8", "user_managed_networking": <same as for existing cluster>, "vip_dhcp_allocation": <same as for existing cluster>, "base_dns_domain": "$CLUSTER_DOMAIN", } EOF- InfraEnv Name 是您想要称为 InfraEnv 的名称。
user_managed_networking并vip_dhcp_allocation设置为与现有集群相同的值。
- 注册红外线。作为响应,辅助安装程序服务分配一个 InfraEnv ID,并根据指定的基础结构环境构建发现引导 ISO。
curl -X POST "$AI_URL/api/assisted-install/v2/infra-envs" -H "accept: application/json" -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" -d @infra-envs-addhosts.json
注册 InfraEnv 时,辅助安装程序服务会返回 InfraEnv ID。请仔细查找响应中嵌入的 InfraEnv ID。例如:
"id":"5c858ed9-26cf-446d-817c-4c4261541657"
将 InfraEnv ID 存储到变量中。例如:
export INFRA_ENV_ID="5c858ed9-26cf-446d-817c-4c4261541657"
- 获取图像下载 URL。
curl -s $AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/downloads/image-url -H "accept: application/json" -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" | jq '.url'
- 下载 ISO 并将其保存到文件中。在此示例中,我们将其保存到ai-liveiso-addhosts.iso。
curl -L "<image URL>" -H "Authorization: Bearer $TOKEN" -o ./ai-liveiso-addhosts.iso
- 创建描述基础结构环境的文件。在此示例中,我们将其命名为 infra-envs-addhost.json。
- 使用发现引导 ISO 引导新节点。选择最适合您的基础架构的引导方法。确保新节点启动时连接到可以访问红帽托管的辅助安装程序的网络。
检查主机的状态:
curl -s -X GET --header "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" $AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts | jq '.'
export HOST_ID=$(curl -s -X GET --header "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" $AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts | jq -r '.[].id')
- 将新节点配置为控制平面节点。
curl -X PATCH --header "Content-Type: application/json" "$AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts/$HOST_ID" -H "Authorization: Bearer $TOKEN" -d "{ \"machine_config_pool_name\": \"master\"}" | jq -r"machine_config_pool_name": "master",
- 导入现有群集。
curl -X POST "$AI_URL/api/assisted-install/v2/clusters/import" -H "accept: application/json" -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" -d "{\"name\":\"$CLUSTER_NAME\",\"openshift_cluster_id\":\"$OS_CLUSTER_ID\",\"api_vip_dnsname\":\"api.$CLUSTER_NAME.$CLUSTER_DOMAIN\"}"导入群集时,辅助安装程序服务将返回 AddHosts群集的群集 ID。仔细查看响应中嵌入的群集 ID。例如:
"id":"c5bbb159-78bc-41c9-99b7-d8a4727a3890"
- 将新主机绑定到群集,引用 AddHosts群集的群集 ID。
curl -X POST "$AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts/$HOST_ID/actions/bind" -H "accept: application/json" -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" -d '{"cluster_id":"c5bbb159-78bc-41c9-99b7-d8a4727a3890"}'curl -s -X GET --header "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" $AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts | jq '.'
"status": "known", "status_info": "Host is ready to be installed",
- 安装新节点。
curl -X POST -H "accept: application/json" -H "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" "$AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts/$HOST_ID/actions/install"
curl -s -X GET --header "Content-Type: application/json" -H "Authorization: Bearer $TOKEN" $AI_URL/api/assisted-install/v2/infra-envs/$INFRA_ENV_ID/hosts | jq '.'
"status_info": "Host has rebooted and no further updates will be posted. Please check console for progress and to possibly approve pending CSRs",
- 新节点重新启动后,它将尝试加入现有群集。这会导致一个或多个证书签名请求 (CSR) 从新节点发送到现有群集。您需要批准 CSR。
- 检查 CSR。
例如:
root@ai-client:~/contrail# oc get csr -A NAME AGE SIGNERNAME REQUESTOR CONDITION csr-gblnm 20s kubernetes.io/kube-apiserver-client-kubelet system:serviceaccount:openshift-machine-config-operator:node-bootstrapper Pending
您可能需要定期重复此命令,直到看到挂起的 CSR。
- 批准 CSR。
例如:
root@ai-client:~/contrail# oc adm certificate approve csr-gblnm certificatesigningrequest.certificates.k8s.io/csr-gblnm approved
- 检查 CSR。
- 验证新节点是否已在现有群集中启动并正在运行。
oc get nodes