在 Ubuntu 上安装多节点集群
阅读以下主题,了解如何在搭载 Ubuntu 主机作系统的多节点群集上安装 Paragon Automation。 图 1 简要显示了安装任务的摘要。在开始安装之前,请确保已完成 Ubuntu 上的安装先决条件 中所述的预配置和准备步骤。
要在 Web 浏览器中查看更高分辨率的图像,请右键单击该图像并在新选项卡中打开。要查看 PDF 格式的图像,请使用缩放选项进行放大。
下载 Paragon Automation 软件
先决条件
-
您需要一个瞻博网络帐户才能下载 Paragon Automation 软件。
- 登录 到控制主机。
- 创建一个目录,您可以在其中下载软件。
我们在本指南中引用 pa-download-dir 此目录。
- 从 https://support.juniper.net/support/downloads/?p=pa Paragon Automation软件下载页面的版本列表中选择版本号。
- 使用命令
wget "http://cdn.juniper.net/software/file-download-url"将 Paragon Automation 安装程序安装文件下载到下载文件夹中。Paragon Automation 安装安装包包含以下脚本和 TAR 文件,用于安装每个组件模块:
-
davinci.tar.gz,这是主安装程序文件。
-
infra.tar,用于安装 Kubernetes 基础架构组件,包括 Docker 和 Helm。
-
ems.tar,用于安装基本平台组件。
-
northstar.tar,用于安装Paragon Pathfinder和Paragon Planner组件。
-
healthbot.tar,用于安装Paragon Insights组件。
-
paragon_ui.tar,安装Paragon Automation UI 组件。
-
addons.tar,用于安装不属于基本 Kubernetes 安装的基础架构组件。基础设施组件包括 IAM、Kafka、ZooKeeper、cert-manager、Ambassador、Postgres、Metrics、Kubernetes Dashboard、Open Distro for Elasticsearch、Fluentd、Reloader、ArangoDB 和 Argo。
-
helm-charts.tar,其中包含安装所需的所有舵手图。
- rke2-packages.tgz,用于安装基于 RKE2 的 Kubernetes 组件。
- 3rdparty.tar.gz,用于安装所需的第三方实用程序。
-
rhel-84-airgap.tar.gz,它仅在基本作系统是红帽企业 Linux (RHEL) 的节点上使用气隙方法安装Paragon Automation。如果您未在 RHEL 基础作系统上使用气隙方法安装 Paragon Automation,则可以选择删除此文件。
-
run脚本,用于执行安装程序映像。
下载软件后,您可以安装 Paragon Automation。
-
在多节点群集上安装 Paragon Automation
- 使
run脚本在目录中pa-download-dir可执行。# chmod +x run
- 使用脚本
run创建带有配置文件文件的配置文件并初始化其配置目录。# ./run -c config-dir init
config-dir 是控制主机上的用户定义目录,包含特定安装的配置信息。
init如果目录不存在,该命令会自动创建该目录。或者,您可以在执行init命令之前创建目录。确保在命令中
run包含点和斜线 (./)。如果您使用同一控制主机来管理多个 Paragon Automation 安装,则可以使用不同名称的配置目录来区分安装。
- 确保控制主机可以使用安装用户帐户通过 SSH 连接到群集节点。
将您在 配置 SSH 客户端身份验证中 生成的私钥复制到用户定义的 config-dir 目录中。安装程序允许 Docker 容器访问该 config-dir 目录。目录中必须有 SSH 密钥,控制主机才能连接到群集节点。
# cd config-dir # cp ~/.ssh/id_rsa . # cd ..
确保在复制命令 ()
cp的末尾包含点 (.)。 - 自定义在目录下config-dir创建的清单文件,其中包含群集节点的 IP 地址或主机名,以及连接到节点所需的用户名和身份验证信息。清单文件采用 YAML 格式,描述将安装 Paragon Automation 的群集节点。您可以使用命令或 Linux 文本编辑器(例如 vi)编辑
inv文件。-
使用以下
inv命令自定义清单文件:# ./run -c config-dir inv
下表列出了命令
inv提示您输入的配置选项。表 1: inv命令选项 inv 命令提示符 说明 Kubernetes 主节点 输入 Kubernetes 主节点的 IP 地址。 Kubernetes 工作节点 输入 Kubernetes 工作节点的 IP 地址。 本地存储节点 定义具有可用于应用程序的磁盘空间的节点。本地存储节点预先填充了主节点和工作节点的 IP 地址。您可以编辑这些地址。输入要运行需要本地存储的应用程序的节点的 IP 地址。
Postgres、ZooKeeper 和 Kafka 等服务使用本地存储或在 export/local-volumes 内分区的磁盘空间。默认情况下,工作节点具有可用的本地存储。如果不在此处添加主节点,则只能在主节点上运行不需要本地存储的应用程序。
注意:本地存储与 Ceph 存储不同。
Kubernetes 节点的用户名(例如 root) 配置用户帐户和身份验证方法,以使用群集节点对安装程序进行身份验证。用户帐户必须是 root 帐户,或者对于非 root 用户,该帐户必须具有超级用户 (sudo) 权限。 SSH 私钥文件(可选) 如果选择身份验证,
ssh-key则要让控制主机在安装过程中向节点进行身份验证,请将 ansible_ssh_private_key_file 所在的目录 ( config-dir ) 和 id_rsa 文件配置为“{{ config-dir }}/id_rsa”。Kubernetes 节点的密码(可选) 如果在安装过程中为控制主机选择密码身份验证以向节点进行身份验证,请直接输入身份验证密码。警告:密码以纯文本书写。
我们 不 建议使用此选项进行身份验证。
Kubernetes 群集名称(可选) 输入 Kubernetes 群集的名称。 写入清单文件? 单击
Yes以保存库存信息。例如:
$ ./run -c config-dir inv Loaded image: paragonautomation:latest ==================== PO-Runtime installer ==================== Supported command: deploy [-t tags] deploy runtime destroy [-t tags] destroy runtime init init configuration skeleton inv basic inventory editor conf basic configuration editor info [-mc] cluster installation info Starting now: inv INVENTORY This script will prompt for the DNS names or IP addresses of the Kubernetes master and worker nodes. Addresses should be provided as comma-delimited lists. At least three master nodes are recommended. The number of masters should be an odd number. A minimum of four nodes are recommended. Root access to the Kubernetes nodes is required. See https://docs.ansible.com/ansible/2.10/user_guide/intro_inventory.html ? Kubernetes master nodes 10.12.xx.x3,10.12.xx.x4,10.12.xx.x5 ? Kubernetes worker nodes 10.12.xx.x6 ? Local storage nodes 10.12.xx.x3,10.12.xx.x4,10.12.xx.x5,10.12.xx.x6 ? Kubernetes nodes' username (e.g. root) root ? SSH private key file (optional; e.g. "{{ inventory_dir }}/id_rsa") config/id_rsa ? Kubernetes nodes' password (optional; WARNING - written as plain text) ? Kubernetes cluster name (optional) k8scluster ? Write inventory file? Yes -
或者,您可以使用文本编辑器手动自定义清单文件。
# vi config-dir/inventory
编辑 清单 文件中的以下组。
-
添加群集的 Kubernetes 主节点和工作节点的 IP 地址。
master组标识主节点,组标识node工作节点。不能在两个master组和node组中使用相同的 IP 地址。要创建多主节点设置,请列出将在组下
master充当主节点的所有节点的地址或主机名。添加将在组下node充当工作程序的节点的地址或主机名。master: hosts: 10.12.xx.x3: {} 10.12.xx.x4: {} 10.12.xx.x5: {} node: hosts: 10.12.xx.x6: {} -
定义具有可用于组下
local_storage_nodes:children应用程序的磁盘空间的节点。local_storage_nodes: children: master: hosts: 10.12.xx.x3: {} 10.12.xx.x4: {} 10.12.xx.x5: {} node: hosts: 10.12.xx.x6: {} -
配置用户帐户和身份验证方法,以使用组下的
vars群集节点对 Ansible 控制主机中的安装程序进行身份验证。vars: ansible_user: root ansible_ssh_private_key_file: config/id_rsa ansible_password: -
(选答)为组中的
kubernetes_cluster_nameKubernetes 群集指定名称。kubernetes_cluster_name: k8scluster
-
-
- 使用
conf命令配置安装程序。# ./run -c config-dir conf
该
conf命令运行交互式安装向导,让您能够选择要安装的组件并配置基本的 Paragon Automation 设置。该命令将使用您的输入配置填充 config.yml 文件。对于高级配置,您必须手动编辑 config.yml 文件。按照向导的提示输入信息。使用光标键移动光标,使用空格键选择选项,并使用或
i键a切换选择或清除所有选项。按 Enter 键移至下一个配置选项。您可以通过输入句点 ().来跳过配置选项。您可以通过退出向导并从头开始重新输入所有选择。安装程序允许您在保存已做出的选择后退出向导或从头开始重新启动。如果不完全退出并重新启动向导,则无法返回并重做当前工作流中已做出的选择。下表列出了命令
conf提示您输入的配置选项:表 2: conf命令选项 conf命令提示符说明/选项
选择组件
您可以安装基础架构、Pathfinder、Insights 和基本平台组件。默认情况下,所有组件都处于选中状态。
您可以根据需要选择安装 Pathfinder。但是,您必须安装所有其他组件。
基础架构选项
仅当您在上一个提示时选择安装基础架构组件时,才会显示这些选项。
-
安装 Kubernetes 集群 - 安装所需的 Kubernetes 群集。如果要在现有群集上安装 Paragon Automation,则可以清除此选择。
-
安装 MetalLB 负载均衡器 - 为 Kubernetes 群集安装内部负载均衡器。默认情况下,此选项已选中。如果要在具有预配置负载平衡的现有群集上安装 Paragon Automation,则可以清除此选择。
-
安装 Nginx 入口控制器 — 安装 Nginx 入口控制器是 Pathfinder 组件的负载平衡代理。
-
安装 Chrony NTP 客户端 — 安装 Chrony NTP。您需要 NTP 来同步群集节点的时钟。如果已安装和配置 NTP,则无需安装 Chrony。所有节点必须始终运行 NTP 或其他一些时间同步协议。
-
允许主调度 - 主调度确定如何使用充当主节点的节点。 主节点 是充当主节点的另一个术语。
如果选择此选项,主节点还可以充当工作节点,这意味着它们不仅可以充当控制平面,还可以运行应用程序工作负载。如果未选择主计划,则主节点仅用作控制平面。
主计划允许作为主节点的可用资源可用于工作负载。但是,如果选择此选项,行为不正常的工作负载可能会耗尽主节点上的资源,影响整个群集的稳定性。如果没有主调度,如果您有多个具有高容量和磁盘空间的主节点,则可能会因未充分利用它们而浪费其资源。
注意:此选项对于 Ceph 存储冗余是必需的。
NTP 服务器列表
输入以逗号分隔的 NTP 服务器列表。仅当您选择安装 Chrony NTP 时,才会显示此选项。
入口控制器的虚拟 IP 地址
输入用于 Web 访问 Kubernetes 群集或 Paragon Automation UI 的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。
基础架构 Nginx 入口控制器的虚拟 IP 地址 输入 Nginx 入口控制器的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。此地址用于 NetFlow 流量。
Insights 服务的虚拟 IP 地址
输入 Paragon Insights 服务的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。
SNMP 陷阱接收器的虚拟 IP 地址(可选) 仅当需要此功能时,才输入 SNMP 陷阱接收器代理的 VIP 地址。 如果不需要此选项,请输入句点 (.) 。
探路者选项 选择安装 Netflowd。您可以为 netflowd 配置 VIP 地址,也可以为 netflowd 使用代理(与基础架构 Nginx 入口控制器的 VIP 地址相同)。 如果选择不安装 netflowd,则无法为 netflowd 配置 VIP 地址。
使用 netflowd 代理 输入以 Y使用 netflowd 代理。仅当您选择安装 netflowd 时,才会显示此选项。如果您选择使用 netflowd 代理,则无需为 netflowd 配置 VIP 地址。基础架构 Nginx 入口控制器的 VIP 地址用作 netflowd 的代理。
Pathfinder Netflowd 的虚拟 IP 地址 输入要用于 Paragon Pathfinder 网络流的 VIP 地址。仅当您选择 不 使用 netflowd 代理时,才会显示此选项。 PCE 服务器代理 选择 PCE 服务器的代理模式。从 和 Nginx-Ingress中None选择 。Pathfinder PCE 服务器的虚拟 IP 地址 输入要用于访问 Paragon Pathfinder PCE 服务器的 VIP 地址。此地址必须是由负载均衡器管理的未使用的 IP 地址。
如果您选择 Nginx-Ingress 作为 PCE 服务器代理,则不需要此 VIP 地址。向导不会提示您输入此地址,PCEP 将使用与基础架构 Nginx 入口控制器的 VIP 地址相同的地址。
注意:入口控制器、基础架构 Nginx 入口控制器、Insights 服务和 PCE 服务器的地址必须是唯一的。您不能对所有四个 VIP 地址使用相同的地址。
所有这些地址都会自动列在 LoadBalancer IP 地址范围选项中。
LoadBalancer IP 地址范围
LoadBalancer IP 地址是从您的 VIP 地址范围中预先填充的。您可以编辑这些地址。外部可访问的服务通过 MetalLB 进行处理,MetalLB 需要一个或多个可从群集外部访问的 IP 地址范围。从这些地址范围中选择不同服务器的 VIP 地址。
地址范围可以(但不必)与群集节点位于同一广播域中。为便于管理,由于网络拓扑需要访问 Insights 服务和 PCE 服务器客户端,因此建议您从同一范围内选择 VIP 地址。
有关更多信息,请参阅 虚拟 IP 地址注意事项。
地址可以以逗号分隔值 (CSV)、范围或两者的组合形式输入。例如:
-
10.x.x.1、10.x.x.2、10.x.x.3
-
10.x.x.1-10.x.x.3
-
10.x.x.1、10.x.x.3-10.x.x.5
-
10.x.x.1-3 不是有效的格式。
检测到多主节点 是否要设置多个注册表 输入以
Y在每个主节点上配置配置配置注册表。仅当在 清单 文件中配置了多个主节点(多主安装)时,才会看到此选项。
注册表的虚拟 IP 地址
输入容器注册表的 VIP 地址,仅用于 多主节点 部署。确保 VIP 地址与主节点位于相同的第 2 层域中。此 VIP 地址不属于 LoadBalancer VIP 地址池的一部分。
仅当您选择配置多个容器注册表时,您才会看到此选项。
为 PCE 服务器启用 md5
输入以 Y配置路由器与 Pathfinder 之间的 MD5 身份验证。注意:如果在 PCEP 会话上启用 MD5,则还必须在 Paragon Automation UI 中配置身份验证密钥,并在路由器上配置相同的身份验证密钥和 VIP 地址。有关如何配置身份验证密钥和 VIP 地址的信息,请参阅 MD5 身份验证的 VIP 地址。
PCEP 服务器的 IP(必须在 metallb 范围之外,并且必须与主机位于同一子网中,其子网前缀采用 CIDR 表示法)
输入 PCE 服务器的 VIP 地址。IP 地址必须为 CIDR 格式。
确保 VIP 地址与主节点位于相同的第 2 层域中。此 VIP 地址不属于 LoadBalancer VIP 地址池的一部分。
为 BGP 启用 md5
输入以 Y在 cRPD 和 BGP-LS 路由器之间配置 MD5 身份验证。CRPD 的 IP(必须超出 metallb 范围,并且必须与主机位于同一子网中,其子网前缀采用 CIDR 表示法)
输入 BGP 监控协议 (BMP) 的 VIP 地址。IP 地址必须为 CIDR 格式。
确保 VIP 地址与主节点位于相同的第 2 层域中。此 VIP 地址不属于 LoadBalancer VIP 地址池的一部分。
注意:如果在 cRPD 会话上启用 MD5,则还必须将路由器配置为为 cRPD 启用 MD5,并在路由器上配置 VIP 地址。有关如何确定 MD5 身份验证密钥和配置路由器的信息,请参阅 MD5 身份验证的 VIP 地址。
多接口
输入 Multus 接口类型。
Multus 目的地航线?可以是超过 1 个对等方,其子网前缀采用 CIDR 表示法
以 CIDR 格式输入 Multus 路由。
多重网关 IP 地址
输入 Multus 网关的 IP 地址。
主 Web 应用程序的主机名
输入入口控制器的主机名。可以将此值配置为 IP 地址或完全限定域名 (FQDN)。例如,您可以输入 10.12.xx.100 或 www.paragon.juniper.net(DNS 名称)。请勿包含 http:// 或 https://。
注意:您将使用此主机名从浏览器访问 Paragon Automation Web UI。例如,https://hostname 或 https://IP-address。
BGP 自治系统 CRPD 对等方的编号
设置容器化路由协议守护程序 (cRPD) 自治系统以及 cRPD 创建其 BGP 会话的节点。
您必须配置网络的自治系统 (AS) 编号,以允许 cRPD 与网络中的一个或多个 BGP 链路状态 (BGP-LS) 路由器对等。默认情况下,AS 编号为 64500。
注意:虽然您可以在安装时配置 AS 编号,但也可以在以后修改 cRPD 配置。请参阅 修改 cRPD 配置 。
以逗号分隔的 CRPD 对等方列表
将 cRPD 配置为与网络中至少一台 BGP-LS 路由器对等,以导入网络拓扑。对于单个自治系统,配置将与 cRPD 对等的 BGP-LS 路由器的地址,以便向 Paragon Pathfinder 提供拓扑信息。作为群集的一部分运行的 cRPD 实例将启动与指定对等路由器的 BGP-LS 连接,并在会话建立后导入拓扑数据。如果需要多个对等方,可以将对等方添加为 CSV、范围或两者的组合,类似于添加 LoadBalancer IP 地址的方式。
注意:虽然您可以在安装时配置对等 IP 地址,但也可以稍后修改 cRPD 配置,如 修改 cRPD 配置中所述。
您必须将 BGP 对等体路由器配置为接受从 cRPD 发起的 BGP 连接。BGP 会话将使用 bmp Pod 运行的工作器的地址作为源地址从 cRPD 启动。
由于 cRPD 在给定时间可在任何工作节点上运行,因此您必须允许来自这些地址中的任何一个的连接。您可以允许辅助角色地址所属的 IP 地址范围(例如,10.xx.43.0/24),或每个辅助角色的特定 IP 地址(例如,10.xx.43.1/32、10.xx.43.2/32 和 10.xx.43.3)。您还可以使用命令
neighbor进行passive配置,其中包含阻止路由器尝试启动连接的选项。如果选择使用命令或
neighbor命令输入allow每个单独的工作器地址,请确保包含所有工作器,因为任何工作器在给定时间都可能运行 cRPD。只会启动一个 BGP 会话。如果运行 cRPD 的节点出现故障,则将在其他节点中创建包含 cRPD 容器的 bmp Pod,并重新启动 BGP 会话。以下示例中的命令序列显示了用于配置瞻博网络设备以允许来自 cRPD 的 BGP-LS 连接的选项。
以下命令将路由器配置为接受来自 10.xx.43.0/24 网络中所有工作节点都连接的任何主机的 BGP-LS 会话。
[edit groups northstar] root@system# show protocols bgp group northstar type internal; family traffic-engineering { unicast; } export TE; allow 10.xx.43.0/24; [edit groups northstar] root@system# show policy-options policy-statement TE from family traffic-engineering; then accept;以下命令将路由器配置为仅接受来自 10.xx.43.1、10.xx.43.2 和 10.xx.43.3(群集中三个工作程序的地址)的 BGP-LS 会话。
[edit protocols bgp group BGP-LS] root@vmx101# show | display set set protocols bgp group BGP-LS family traffic-engineering unicast set protocols bgp group BGP-LS peer-as 11 set protocols bgp group BGP-LS allow 10.x.43.1 set protocols bgp group BGP-LS allow 10.x.43.2 set protocols bgp group BGP-LS allow 10.x.43.3 set protocols bgp group BGP-LS export TE
cRPD 启动 BGP 会话。一次仅建立一个会话,并使用当前运行 cRPD 的工作器节点的地址启动。如果选择配置特定 IP 地址而不是使用该
allow选项,请配置所有工作节点的地址以实现冗余。以下命令还将路由器配置为仅接受来自 10.xx.43.1、10.xx.43.2 和 10.xx.43.3 的 BGP-LS 会话(群集中三个工作器的地址)。该
passive选项可防止路由器尝试发起与 cRPD 的 BGP-LS 会话。路由器将等待会话由这三个路由器中的任何一个启动。[edit protocols bgp group BGP-LS] root@vmx101# show | display set set protocols bgp group BGP-LS family traffic-engineering unicast set protocols bgp group BGP-LS peer-as 11 set protocols bgp group BGP-LS neighbor 10.xx.43.1 set protocols bgp group BGP-LS neighbor 10.xx.43.2 set protocols bgp group BGP-LS neighbor 10.xx.43.3 set protocols bgp group BGP-LS passive set protocols bgp group BGP-LS export TE
您还需要启用 OSPF/IS-IS 和 MPLS 流量工程,如下所示:
set protocols rsvp interface interface.unit set protocols isis interface interface.unit set protocols isis traffic-engineering igp-topology Or set protocols ospf area area interface interface.unit set protocols ospf traffic-engineering igp-topology set protocols mpls interface interface.unit set protocols mpls traffic-engineering database import igp-topology完成配置并将配置写入文件 单击 Yes以保存配置信息。此作将配置基本设置并将信息保存在目录中的config-dirconfig.yml文件中。
单击
No以重新启动向导而不退出当前会话。之前输入的配置参数和选择将显示在向导中预先配置。您可以选择保留它们或重新输入新值。单击
Cancel以退出向导而不保存配置。$ ./run -c config conf Loaded image: paragonautomation.latest ==================== PO-Runtime installer ==================== Supported command: deploy [-t tags] deploy runtime destroy [-t tags] destroy runtime init init configuration skeleton inv basic inventory editor conf basic configuration editor info [-mc] cluster installation info Starting now: conf NOTE: depending on options chosen additional IP addresses may be required for: multi-master Kubernetes Master Virtual IP address Infrastructure Virtual IP address(es) for ingress controller Infrastructure Virtual IP address for Infrastructure Nginx Ingress Cont roller Insights Virtual IP address for Insights services Insights Virtual IP address for SNMP Trap receiver (optional) Pathfinder Virtual IP address for Pathfinder Netflowd Pathfinder Virtual IP address for Pathfinder PCE server multi-registry Paragon External Registry Virtual IP address ? Select components done (4 selections) ? Infrastructure Options done (4 selections) ? List of NTP servers 0.pool.ntp.org ? Virtual IP address(es) for ingress controller 10.12.xx.x7 ? Virtual IP address for Insights services 10.12.xx.x8 ? Virtual IP address for SNMP Trap receiver (optional) ? Pathfinder Options [Install Netflowd] ? Use netflowd proxy? Yes ? PCEServer proxy Nginx Ingress ? LoadBalancer IP address ranges 10.12.xx.x7-10.12.xx.x9 ? Multi-master node detected do you want to setup multiple registries Yes ? Virtual IP address for registry 10.12.xx.10 ? Enable md5 for PCE Server ? Yes ? IP for PCEP server (must be outside metallb range and must be in the same subnet as the host with its subnet prefix in CIDR notation) 10.12.xx.219/24 ? Enable md5 for BGP ? Yes ? IP for CRPD (must be outside metallb range and must be in the same subnet as the host with its subnet prefix in CIDR notation) 10.12.xx.220/24 ? Multus Interface ? eth1 ? Multus Destination routes ? can be more than 1 peer with its subnet prefix in CIDR notation 10.12.xx.41/24,10.13.xx.21/24 ? Multus Gateway IP Address ? 10.12.xx.101 ? Hostname of Main web application host.example.net ? BGP autonomous system number of CRPD peer 64500 ? Comma separated list of CRPD peers 10.12.xx.11 ? Finish and write configuration to file Yes -
- (可选)要对群集进行更高级的配置,请使用文本编辑器手动编辑config.yml文件。
config.yml 文件由文件开头的一个基本部分组成,该部分与安装向导提示您输入的配置选项相对应。该文件在基本部分下还有一个广泛的部分列表,允许您直接在文件中输入复杂的配置值。
您可以配置以下选项:
-
(选答)设置
grafana_admin_password密码以登录 Grafana 应用程序。Grafana 是一种可视化工具,通常用于可视化和分析来自各种来源(包括日志)的数据。默认情况下,用户名在 中预配置为 admin
# grafana_admin_user: admin。使用 admin 作为用户名和您配置的密码,以登录 Grafana。grafana_admin_user: admin grafana_admin_password: grafana_password如果未配置密码
grafana_admin_password,安装程序将生成一个随机密码。您可以使用以下命令检索密码:# kubectl get secret -n kube-system grafana -o jsonpath={..grafana-password} | base64 -d -
对于通过身份和访问管理 (IAM) 进行不使用 SMTP 的用户管理,将配置选项设置为
iam_skip_mail_verificationtrue。默认情况下,此选项设置为 false,以便使用 SMTP 进行用户管理。您必须在 Paragon Automation 中配置 SMTP,以便在创建、激活或锁定 Paragon Automation 用户帐户时,或者更改帐户密码时通知其用户。 -
callback_vip使用与入口控制器的虚拟 IP (VIP) 地址不同的 IP 地址配置该选项。您可以使用 VIP 地址的 MetalLB 池中的 IP 地址。您可配置此 IP 地址以启用来自南向和北向接口的管理和数据流量隔离。默认情况下,callback_vip分配与入口控制器相同或其中一个地址。
完成编辑后,保存并退出文件。
-
- (可选)如果要部署由公认的证书颁发机构 (CA) 签名的自定义 证书颁发机构,请将私钥和证书存储在目录中config-dir。将私钥另存为 ambassador.key.pem,证书另存为 ambassador.cert.pem。
默认情况下,大使使用由 Kubernetes 群集内部 CA 签名的本地生成的证书颁发机构。
注意:如果证书即将过期,请将新证书另存为 ambassador.cert.pem 在同一目录中,然后执行命令
./run -c config-dir deploy -t ambassador。 - 根据 您在 config.yml 和 清单 文件中配置的信息安装Paragon Automation群集。
# ./run -c config-dir deploy
安装配置群集的安装时间取决于群集的复杂程度。基本安装至少需要 45 分钟才能完成。
安装程序会在安装开始时检查 NTP 同步。如果时钟不同步,则安装失败。
仅对于 多主节点 部署,安装程序会检查单个服务器 CPU 和内存以及每个群集的可用 CPU 和内存总数。如果不满足以下要求,则安装失败。
-
每个群集的最小 CPU:20 个 CPU
-
每个群集的最小内存:32 GB
-
每个节点的最小 CPU:4 CPU
-
每个节点的最小内存:6-GB
要禁用 CPU 和内存检查,请使用以下命令并重新运行部署。
# ./run -c config-dir deploy -e ignore_iops_check=yes如果要在现有 Kubernetes 群集上安装 Paragon Automation,则该deploy命令会将当前部署的群集升级到最新的 Kubernetes 版本。如果需要,该命令还会升级 Docker 客户边缘版本。如果节点上已安装 Docker EE,则命令deploy不会使用 Docker 客户边缘覆盖它。升级 Kubernetes 版本或 Docker 版本时,命令会依次在一个节点上执行升级。该命令会封锁每个节点并将其从调度中移除。它会执行升级,在节点上重新启动 Kubernetes,最后断开节点封锁并将其重新纳入调度。 -
- 部署完成后,登录工作节点。
使用文本编辑器在 limits.conf 和 sysctl.conf 文件中为 Paragon Insights 配置以下建议信息。这些值为涌入数据库内存需求设置软内存和硬内存限制。如果未设置这些限制,则可能会看到“内存不足”或“打开的文件过多”等错误,因为默认系统限制。
-
# vi /etc/security/limits.conf # End of file * hard nofile 1048576 * soft nofile 1048576 root hard nofile 1048576 root soft nofile 1048576 influxdb hard nofile 1048576 influxdb soft nofile 1048576 -
# vi /etc/sysctl.conf fs.file-max = 2097152 vm.max_map_count=262144 fs.inotify.max_user_watches=524288 fs.inotify.max_user_instances=512
对所有工作节点重复此步骤。
-
安装并部署 Paragon Automation 群集后,您可以登录 Paragon Automation UI。
登录 Paragon Automation 用户界面
要登录 Paragon Automation UI,请执行以下作:
- 打开浏览器,然后输入主 Web 应用程序的主机名或您在安装向导的 URL 字段中输入的入口控制器的 VIP 地址。
例如,https:// vip-of-ingress-controller-or-hostname-of-main-web-application 。此时将显示 Paragon Automation 登录页面。
- 首次访问时,请输入 admin 作为用户名,输入 Admin123! 作为登录密码。您必须立即更改密码。
此时将显示 “设置密码” 页面。要访问 Paragon Automation 设置,您必须设置新密码。
- 设置满足密码要求的新密码。
使用 6 到 20 个字符以及大写字母、小写字母、数字和特殊字符的组合。确认新密码,然后单击 确定。此时将显示 “仪表板” 页面。您已成功安装并登录 Paragon Automation 用户界面。
- 更新 URL 以访问 Administration > Authentication > Portal Settings 中的 Paragon Automation UI,以确保发送给用户以激活其帐户的激活电子邮件包含用于访问 GUI 的正确链接。有关详细信息,请参阅配置门户设置。
有关登录 Paragon Automation UI 后可以执行的高级任务,请参阅 Paragon Automation 快速入门 - 启动和运行。