在 Ubuntu 上安装多节点群集
阅读以下主题,了解如何在具有 Ubuntu 主机操作系统的多节点集群上安装 Paragon Automation。 图 1 简要显示了安装任务的摘要。在开始安装之前,请确保已完成 Ubuntu 上的安装先决条件 中所述的预配置和准备步骤。
要在 Web 浏览器中查看更高分辨率的图像,请右键单击该图像并在新选项卡中打开。要查看 PDF 格式的图像,请使用缩放选项进行放大。
下载 Paragon Automation 软件
先决条件
-
您需要瞻博网络帐户才能下载 Paragon Automation 软件。
- 登录到控制主机。
- 创建一个目录,您将在其中下载软件。
我们将本指南中的此目录称为此目录 pa-download-dir 。
- 从 Paragon Automation 软件下载页面的版本列表中选择版本号,该页面位于 https://support.juniper.net/support/downloads/?p=pa。
- 使用命令将
wget "http://cdn.juniper.net/software/file-download-url"Paragon Automation Setup 安装文件下载到下载文件夹。Paragon Automation 安装捆绑包包含以下脚本和 TAR 文件,用于安装每个组件模块:
-
davinci.tar.gz,这是主安装程序文件。
-
infra.tar,它安装 Kubernetes 基础架构组件,包括 Docker 和 Helm。
-
ems.tar,用于安装基本平台组件。
-
northstar.tar,用于安装 Paragon Pathfinder 和 Paragon Planner 组件。
-
healthbot.tar,用于安装 Paragon Insights 组件。
-
paragon_ui.tar,用于安装 Paragon Automation UI 组件。
-
addons.tar,用于安装不属于基本 Kubernetes 安装的基础架构组件。基础架构组件包括IAM,Kafka,ZooKeeper,cert-manager,Ambassador,Postgres,Metrics,Kubernetes Dashboard,Open Distro for Elasticsearch,Fluentd,Reloader,ArangoDB和Argo。
-
helm-charts.tar,其中包含安装所需的所有舵图。
- rke2-packages.tgz,用于安装基于 RKE2 的 Kubernetes 组件。
- 3rdparty.tar.gz,用于安装所需的第三方实用程序。
-
rhel-84-airgap.tar.gz, 它仅在 基本操作系统为 Red Hat Enterprise Linux (RHEL) 的节点上使用气隙方法安装 Paragon Automation。如果您未在 RHEL 基础操作系统上使用气隙方法安装 Paragon Automation,则可以选择删除此文件。
-
run脚本,用于执行安装程序映像。
下载软件后,即可安装 Paragon Automation。
-
在多节点集群上安装 Paragon Automation
- 使
run脚本在目录中可执行pa-download-dir。# chmod +x run
- 使用该
run脚本创建并初始化包含配置模板文件的配置目录。# ./run -c config-dir init
config-dir 是控制主机上的用户定义目录,其中包含特定安装的配置信息。如果目录不存在,该
init命令会自动创建该目录。或者,您可以在执行init命令之前创建目录。确保在命令中包含
run点和斜杠 (./)。如果您使用同一控制主机来管理 Paragon Automation 的多个安装,则可以使用不同名称的配置目录来区分安装。
- 确保控制主机可以使用安装用户帐户通过 SSH 连接到群集节点。
将您在 配置 SSH 客户端身份验证 中生成的私钥复制到用户定义的 config-dir 目录。安装程序允许 Docker 容器访问 config-dir 目录。SSH 密钥必须在目录中可用,控制主机才能连接到群集节点。
# cd config-dir # cp ~/.ssh/id_rsa . # cd ..
确保在复制命令 (
cp) 的末尾包含点 (.)。 - 使用群集节点的 IP 地址或主机名以及连接到节点所需的用户名和身份验证信息,自定义在目录下 config-dir 创建的清单文件。清单文件采用 YAML 格式,描述了将安装 Paragon Automation 的群集节点。您可以使用命令或 Linux 文本编辑器(如 vi)编辑
inv文件。-
使用
inv以下命令自定义清单文件:# ./run -c config-dir inv
下表列出了命令提示您
inv输入的配置选项。表 1: inv命令选项 inv 命令提示 符说明 Kubernetes 主节点 输入 Kubernetes 主节点的 IP 地址。 Kubernetes 工作节点 输入 Kubernetes 工作器节点的 IP 地址。 本地存储节点 定义具有可用于应用程序的磁盘空间的节点。本地存储节点预先填充了主节点和工作节点的 IP 地址。您可以编辑这些地址。输入要在其上运行需要本地存储的应用程序的节点的 IP 地址。
Postgres、ZooKeeper 和 Kafka 等服务使用 在导出/本地卷内分区的本地存储或磁盘空间。默认情况下,工作器节点具有可用的本地存储。如果不在此处添加主节点,则只能在主节点上运行不需要本地存储的应用程序。
注意:本地存储不同于 Ceph 存储。
Kubernetes 节点的用户名(例如,根) 配置用户帐户和身份验证方法,以使用群集节点对安装程序进行身份验证。用户帐户必须是 root,或者对于非 root 用户,该帐户必须具有超级用户 (sudo) 权限。 SSH 私钥文件(可选) 如果选择
ssh-key身份验证,则要使控制主机在安装过程中向节点进行身份验证,请将 ansible_ssh_private_key_file 所在的目录 (config-dir) 和id_rsa文件配置为 “{{ config-dir }}/id_rsa”。Kubernetes 节点的密码(可选) 如果在安装过程中为控制主机选择了密码认证以向节点进行身份验证,请直接输入认证密码。警告:密码以纯文本形式写入。
建议 不要 使用此选项进行身份验证。
Kubernetes 群集名称(可选) 输入 Kubernetes 群集的名称。 写入库存文件? 单击以
Yes保存清单信息。例如:
$ ./run -c config-dir inv Loaded image: paragonautomation:latest ==================== PO-Runtime installer ==================== Supported command: deploy [-t tags] deploy runtime destroy [-t tags] destroy runtime init init configuration skeleton inv basic inventory editor conf basic configuration editor info [-mc] cluster installation info Starting now: inv INVENTORY This script will prompt for the DNS names or IP addresses of the Kubernetes master and worker nodes. Addresses should be provided as comma-delimited lists. At least three master nodes are recommended. The number of masters should be an odd number. A minimum of four nodes are recommended. Root access to the Kubernetes nodes is required. See https://docs.ansible.com/ansible/2.10/user_guide/intro_inventory.html ? Kubernetes master nodes 10.12.xx.x3,10.12.xx.x4,10.12.xx.x5 ? Kubernetes worker nodes 10.12.xx.x6 ? Local storage nodes 10.12.xx.x3,10.12.xx.x4,10.12.xx.x5,10.12.xx.x6 ? Kubernetes nodes' username (e.g. root) root ? SSH private key file (optional; e.g. "{{ inventory_dir }}/id_rsa") config/id_rsa ? Kubernetes nodes' password (optional; WARNING - written as plain text) ? Kubernetes cluster name (optional) k8scluster ? Write inventory file? Yes -
或者,您可以使用文本编辑器手动自定义库存文件。
# vi config-dir/inventory
在 清单 文件中编辑以下组。
-
添加群集的 Kubernetes 主节点和工作节点的 IP 地址。
该
master组标识主节点,node该组标识工作器节点。不能同时master在 和node组中使用相同的 IP 地址。要创建多主节点设置,请列出组下
master将充当主节点的所有节点的地址或主机名。添加将在组下node充当辅助角色的节点的地址或主机名。master: hosts: 10.12.xx.x3: {} 10.12.xx.x4: {} 10.12.xx.x5: {} node: hosts: 10.12.xx.x6: {} -
定义具有可用于组下
local_storage_nodes:children应用程序的磁盘空间的节点。local_storage_nodes: children: master: hosts: 10.12.xx.x3: {} 10.12.xx.x4: {} 10.12.xx.x5: {} node: hosts: 10.12.xx.x6: {} -
配置用户帐户和身份验证方法,以使用 Ansible 控制主机中的安装程序与组
vars下的群集节点进行身份验证。vars: ansible_user: root ansible_ssh_private_key_file: config/id_rsa ansible_password: -
(可选)在组中指定 Kubernetes 群集
kubernetes_cluster_name的名称。kubernetes_cluster_name: k8scluster
-
-
- 使用
conf命令配置安装程序。# ./run -c config-dir conf
该
conf命令运行交互式安装向导,使您能够选择要安装的组件并配置基本的 Paragon Automation 设置。该命令使用您的输入配置填充 config.yml 文件。对于高级配置,您必须手动编辑 config.yml 文件。按照向导提示输入信息。使用光标键移动光标,使用空格键选择一个选项,并使用 or
i键切换a选择或清除所有选项。按 Enter 转到下一个配置选项。您可以通过输入句点 (.) 来跳过配置选项。您可以通过退出向导并从头开始重新输入所有选择。安装程序允许您在保存已做出的选择后退出向导或从头开始重新启动。如果不完全退出并重新启动向导,则无法返回并重做已在当前工作流中所做的选择。下表列出了命令提示您
conf输入的配置选项:表 2: conf命令选项 conf命令提示符说明/选项
选择组件
您可以安装基础架构、Pathfinder、Insights 和基本平台组件。默认情况下,将选择所有组件。
您可以根据需要选择安装 Pathfinder。但是,您必须安装所有其他组件。
基础架构选项
仅当您在上一个提示符下选择安装基础架构组件时,才会显示这些选项。
-
安装 Kubernetes 集群 - 安装所需的 Kubernetes 集群。如果要在现有群集上安装 Paragon Automation,则可以清除此选择。
-
安装 MetalLB 负载均衡器 — 为 Kubernetes 集群安装内部负载均衡器。默认情况下,此选项已选中。如果要在具有预配置负载平衡的现有集群上安装 Paragon Automation,则可以清除此选择。
-
安装 Nginx 入口控制器 — 安装 Nginx 入口控制器是 Pathfinder 组件的负载平衡代理。
-
安装 Chrony NTP 客户端 — 安装 Chrony NTP。您需要 NTP 来同步群集节点的时钟。如果已安装并配置 NTP,则无需安装 Chrony。所有节点必须始终运行 NTP 或其他时间同步协议。
-
允许主调度 — 主调度确定如何使用充当主节点的节点。 主节点 是充当主节点的另一个术语。
如果选择此选项,主节点也可以充当工作器节点,这意味着它们不仅可以充当控制平面,还可以运行应用程序工作负载。如果未选择主调度,则主节点仅用作控制平面。
主调度允许充当主节点的可用资源可用于工作负载。但是,如果选择此选项,行为异常的工作负载可能会耗尽主节点上的资源并影响整个集群的稳定性。如果没有主调度,如果您有多个具有高容量和磁盘空间的主节点,则可能会因未充分利用它们而浪费其资源。
注意:Ceph 存储冗余需要此选项。
NTP 服务器列表
输入以逗号分隔的 NTP 服务器列表。仅当您选择安装 Chrony NTP 时,才会显示此选项。
入口控制器的虚拟 IP 地址
输入要用于 Kubernetes 群集或 Paragon Automation UI 的 Web 访问的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。
基础架构 nginx 入口控制器的虚拟 IP 地址 输入 Nginx 入口控制器的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。此地址用于 NetFlow 流量。
见解服务的虚拟 IP 地址
输入 Paragon Insights 服务的 VIP 地址。这必须是由 MetalLB 负载均衡器池管理的未使用的 IP 地址。
SNMP 陷阱接收器的虚拟 IP 地址(可选) 仅当需要此功能时,才输入 SNMP 陷阱接收器代理的 VIP 地址。 如果不需要此选项,请输入句点 (.)。
探路者选项 选择以安装 Netflowd。您可以为 netflowd 配置 VIP 地址,也可以为 netflowd 使用代理(与基础架构 Nginx 入口控制器的 VIP 地址相同)。 如果选择不安装 netflowd,则无法为 netflowd 配置 VIP 地址。
使用 netflowd 代理 输入 Y以使用净流代理。仅当您选择安装 netflowd 时,才会显示此选项。如果选择使用 netflowd 代理,则无需为 netflowd 配置 VIP 地址。基础架构 Nginx 入口控制器的 VIP 地址用作 netflowd 的代理。
Pathfinder Netflowd 的虚拟 IP 地址 输入用于 Paragon Pathfinder 净流的 VIP 地址。仅当您选择 不使用 netflowd 代理时,才会显示此选项。 PCE 服务器代理 选择 PCE 服务器的代理模式。从 None和Nginx-Ingress中选择。Pathfinder PCE 服务器的虚拟 IP 地址 输入用于 Paragon Pathfinder PCE 服务器访问的 VIP 地址。此地址必须是由负载均衡器管理的未使用的 IP 地址。
如果您选择Nginx-Ingress作为PCE服务器代理,则不需要此VIP地址。向导不会提示您输入此地址,PCEP 将使用与基础结构 Nginx 入口控制器的 VIP 地址相同的地址。
注意:入口控制器、基础架构 Nginx 入口控制器、见解服务和 PCE 服务器的地址必须是唯一的。不能对所有四个 VIP 地址使用相同的地址。
所有这些地址都会自动列在“负载均衡器 IP 地址范围”选项中。
负载均衡器 IP 地址范围
负载均衡器 IP 地址是从 VIP 地址范围预填充的。您可以编辑这些地址。外部可访问的服务通过 MetalLB 处理,MetalLB 需要一个或多个可从群集外部访问的 IP 地址范围。不同服务器的 VIP 地址是从这些地址范围中选择的。
地址范围可以(但不必)与群集节点位于同一广播域中。为了便于管理,由于网络拓扑需要访问 Insights 服务和 PCE 服务器客户端,因此我们建议您从同一范围中选择 VIP 地址。
有关详细信息,请参阅 虚拟 IP 地址注意事项。
地址可以作为逗号分隔值 (CSV)、范围或两者的组合输入。例如:
-
10.x.x.1、10.x.x.2、10.x.x.3
-
10.x.x.1-10.x.x.3
-
10.x.x.1, 10.x.x.3-10.x.x.5
-
10.x.x.1-3 不是有效的格式。
检测到多主节点是否要设置多个注册表 输入
Y以在每个主节点上配置配置注册表。仅当您在 清单 文件中配置了多个主节点(多主安装)时,才会看到此选项。
注册表的虚拟 IP 地址
输入容器注册表的 VIP 地址,仅用于 多主节点 部署。确保 VIP 地址与主节点位于同一第 2 层域中。此 VIP 地址不是 VIP 地址负载均衡器池的一部分。
仅当选择配置多个容器注册表时,才会看到此选项。
为 PCE 服务器启用 md5
输入 Y以在路由器和 Pathfinder 之间配置 MD5 身份验证。注意:如果在 PCEP 会话上启用 MD5,还必须在 Paragon Automation UI 中配置身份验证密钥,并在路由器上配置相同的身份验证密钥和 VIP 地址。有关如何配置认证密钥和 VIP 地址的信息,请参阅 MD5 认证的 VIP 地址。
PCEP 服务器的 IP(必须在 metallb 范围之外,并且必须与主机位于同一子网中,其子网前缀采用 CIDR 表示法)
输入 PCE 服务器的 VIP 地址。IP 地址必须采用 CIDR 格式。
确保 VIP 地址与主节点位于同一第 2 层域中。此 VIP 地址不是 VIP 地址负载均衡器池的一部分。
为 BGP 启用 md5
输入 Y以配置 cRPD 和 BGP-LS 路由器之间的 MD5 身份验证。CRPD 的 IP(必须在 metallb 范围之外,并且必须与主机位于同一子网中,其子网前缀采用 CIDR 表示法)
输入 BGP 监控协议 (BMP) 的 VIP 地址。IP 地址必须采用 CIDR 格式。
确保 VIP 地址与主节点位于同一第 2 层域中。此 VIP 地址不是 VIP 地址负载均衡器池的一部分。
注意:如果在 cRPD 会话上启用 MD5,则还必须将路由器配置为启用 MD5 for cRPD,并在路由器上配置 VIP 地址。有关如何确定 MD5 身份验证密钥和配置路由器的信息,请参阅 MD5 身份验证的 VIP 地址。
多孔接口
输入 Multus 接口类型。
穆尔图斯目的地路线 ?可以是多个对等方,其子网前缀采用 CIDR 表示法
以 CIDR 格式输入 Multus 路由。
多图斯网关 IP 地址
输入 Multus 网关的 IP 地址。
主 Web 应用程序的主机名
输入入口控制器的主机名。可以将此值配置为 IP 地址或完全限定的域名 (FQDN)。例如,可以输入 10.12.xx.100 或 www.paragon.juniper.net(DNS 名称)。不要包含 http:// 或 https://。
注意:您将使用此主机名从浏览器访问 Paragon Automation Web UI。例如,https://hostname 或 https://IP-address。
BGP 自治系统对等方 CRPD 编号
设置容器化路由协议守护程序 (cRPD) 自治系统以及 cRPD 用于创建其 BGP 会话的节点。
您必须配置网络的自治系统 (AS) 编号,以允许 cRPD 与网络中的一个或多个 BGP 链路状态 (BGP-LS) 路由器对等。默认情况下,AS 编号为 64500。
注意:虽然您可以在安装时配置 AS 编号,但您也可以稍后修改 cRPD 配置。请参 阅 修改 cRPD 配置 。
以逗号分隔的 CRPD 对等方列表
将 cRPD 配置为与网络中至少一个 BGP-LS 路由器对等,以导入网络拓扑。对于单个自治系统,请配置将与 cRPD 对等的 BGP-LS 路由器的地址,以便向 Paragon Pathfinder 提供拓扑信息。作为集群一部分运行的 cRPD 实例将启动与指定对等路由器的 BGP-LS 连接,并在建立会话后导入拓扑数据。如果需要多个对等方,可以将对等方添加为 CSV、范围或两者的组合,类似于添加负载均衡器 IP 地址的方式。
注意:虽然您可以在安装时配置对等 IP 地址,但您也可以稍后修改 cRPD 配置,如 修改 cRPD 配置中所述。
您必须将 BGP 对等路由器配置为接受从 cRPD 启动的 BGP 连接。BGP 会话将使用运行 bmp Pod 的工作线程的地址作为源地址,从 cRPD 启动。
由于 cRPD 可以在给定时间在任何工作器节点上运行,因此您必须允许来自这些地址中的任何一个的连接。您可以允许工作器地址所属的 IP 地址范围(例如,10.xx.43.0/24)或每个工作器的特定 IP 地址(例如,10.xx.43.1/32、10.xx.43.2/32 和 10.xx.43.3)。您也可以使用
neighbor带有阻止路由器尝试启动连接的选项的命令进行passive配置。如果选择使用命令或
neighbor命令输入allow每个工作线程地址,请确保包括所有工作线程,因为任何工作线程都可以在给定时间运行 cRPD。只会启动一个 BGP 会话。如果运行 cRPD 的节点发生故障,则会在其他节点中创建包含 cRPD 容器的 bmp Pod,并重新启动 BGP 会话。以下示例中的命令序列显示了将瞻博网络设备配置为允许来自 cRPD 的 BGP-LS 连接的选项。
以下命令将路由器配置为接受来自连接所有工作器节点的 10.xx.43.0/24 网络中任何主机的 BGP-LS 会话。
[edit groups northstar] root@system# show protocols bgp group northstar type internal; family traffic-engineering { unicast; } export TE; allow 10.xx.43.0/24; [edit groups northstar] root@system# show policy-options policy-statement TE from family traffic-engineering; then accept;以下命令将路由器配置为仅接受来自 10.xx.43.1、10.xx.43.2 和 10.xx.43.3(群集中三个辅助角色的地址)的 BGP-LS 会话。
[edit protocols bgp group BGP-LS] root@vmx101# show | display set set protocols bgp group BGP-LS family traffic-engineering unicast set protocols bgp group BGP-LS peer-as 11 set protocols bgp group BGP-LS allow 10.x.43.1 set protocols bgp group BGP-LS allow 10.x.43.2 set protocols bgp group BGP-LS allow 10.x.43.3 set protocols bgp group BGP-LS export TE
cRPD 启动 BGP 会话。一次只建立一个会话,并使用当前运行 cRPD 的工作器节点的地址启动。如果选择配置特定 IP 地址而不是使用该
allow选项,请配置所有工作器节点的地址以实现冗余。以下命令还将路由器配置为仅接受来自 10.xx.43.1、10.xx.43.2 和 10.xx.43.3(群集中三个工作线程的地址)的 BGP-LS 会话。该
passive选项可防止路由器尝试使用 cRPD 启动 BGP-LS 会话。路由器将等待会话由这三个路由器中的任何一个启动。[edit protocols bgp group BGP-LS] root@vmx101# show | display set set protocols bgp group BGP-LS family traffic-engineering unicast set protocols bgp group BGP-LS peer-as 11 set protocols bgp group BGP-LS neighbor 10.xx.43.1 set protocols bgp group BGP-LS neighbor 10.xx.43.2 set protocols bgp group BGP-LS neighbor 10.xx.43.3 set protocols bgp group BGP-LS passive set protocols bgp group BGP-LS export TE
您还需要启用 OSPF/IS-IS 和 MPLS 流量工程,如下所示:
set protocols rsvp interface interface.unit set protocols isis interface interface.unit set protocols isis traffic-engineering igp-topology Or set protocols ospf area area interface interface.unit set protocols ospf traffic-engineering igp-topology set protocols mpls interface interface.unit set protocols mpls traffic-engineering database import igp-topology完成配置并将其写入文件 单击 Yes以保存配置信息。此操作将配置基本设置并将信息保存在目录中的config-dirconfig.yml文件中。
单击此项
No可重新启动向导而不退出当前会话。先前输入的配置参数和选择将显示在向导中预配置。您可以选择保留它们或重新输入新值。单击此项
Cancel可退出向导而不保存配置。$ ./run -c config conf Loaded image: paragonautomation.latest ==================== PO-Runtime installer ==================== Supported command: deploy [-t tags] deploy runtime destroy [-t tags] destroy runtime init init configuration skeleton inv basic inventory editor conf basic configuration editor info [-mc] cluster installation info Starting now: conf NOTE: depending on options chosen additional IP addresses may be required for: multi-master Kubernetes Master Virtual IP address Infrastructure Virtual IP address(es) for ingress controller Infrastructure Virtual IP address for Infrastructure Nginx Ingress Cont roller Insights Virtual IP address for Insights services Insights Virtual IP address for SNMP Trap receiver (optional) Pathfinder Virtual IP address for Pathfinder Netflowd Pathfinder Virtual IP address for Pathfinder PCE server multi-registry Paragon External Registry Virtual IP address ? Select components done (4 selections) ? Infrastructure Options done (4 selections) ? List of NTP servers 0.pool.ntp.org ? Virtual IP address(es) for ingress controller 10.12.xx.x7 ? Virtual IP address for Insights services 10.12.xx.x8 ? Virtual IP address for SNMP Trap receiver (optional) ? Pathfinder Options [Install Netflowd] ? Use netflowd proxy? Yes ? PCEServer proxy Nginx Ingress ? LoadBalancer IP address ranges 10.12.xx.x7-10.12.xx.x9 ? Multi-master node detected do you want to setup multiple registries Yes ? Virtual IP address for registry 10.12.xx.10 ? Enable md5 for PCE Server ? Yes ? IP for PCEP server (must be outside metallb range and must be in the same subnet as the host with its subnet prefix in CIDR notation) 10.12.xx.219/24 ? Enable md5 for BGP ? Yes ? IP for CRPD (must be outside metallb range and must be in the same subnet as the host with its subnet prefix in CIDR notation) 10.12.xx.220/24 ? Multus Interface ? eth1 ? Multus Destination routes ? can be more than 1 peer with its subnet prefix in CIDR notation 10.12.xx.41/24,10.13.xx.21/24 ? Multus Gateway IP Address ? 10.12.xx.101 ? Hostname of Main web application host.example.net ? BGP autonomous system number of CRPD peer 64500 ? Comma separated list of CRPD peers 10.12.xx.11 ? Finish and write configuration to file Yes -
- (可选)要对群集进行更高级的配置,请使用文本编辑器手动编辑config.yml文件。
config.yml文件由文件开头的基本部分组成,该部分对应于安装向导提示您输入的配置选项。该文件在基本部分下还有一个广泛的部分列表,允许您直接在文件中输入复杂的配置值。
您可以配置以下选项:
-
(可选)
grafana_admin_password设置密码以登录 Grafana 应用程序。Grafana 是一种可视化工具,通常用于可视化和分析来自各种来源(包括日志)的数据。默认情况下,用户名在 中
# grafana_admin_user: admin预配置为 admin。使用 admin 作为用户名和密码,您配置登录 Grafana 。grafana_admin_user: admin grafana_admin_password: grafana_password
如果未配置密码,
grafana_admin_password安装程序将生成一个随机密码。您可以使用以下命令检索密码:# kubectl get secret -n kube-system grafana -o jsonpath={..grafana-password} | base64 -d -
iam_skip_mail_verification对于没有 SMTP 的用户管理,通过身份和访问管理 (IAM) 将配置选项设置为 true。默认情况下,对于使用 SMTP 进行的用户管理,此选项设置为 false。您必须在 Paragon Automation 中配置 SMTP,以便在创建、激活或锁定 Paragon Automation 用户帐户或更改帐户密码时通知用户。 -
callback_vip使用不同于入口控制器的虚拟 IP (VIP) 地址的 IP 地址配置选项。您可以使用 MetalLB VIP 地址池中的 IP 地址。您可以配置此 IP 地址,以便将管理和数据流量与南向和北向接口隔离。默认情况下,callback_vip分配了入口控制器的相同地址或地址之一。
完成编辑后保存并退出文件。
-
- (可选)如果要部署由公认的证书颁发机构 (CA) 签名的自定义 SSL 证书,请将私钥和证书config-dir存储在目录中。将私钥另存为 ambassador.key.pem,将证书另存为 ambassador.cert.pem。
默认情况下,大使使用由 Kubernetes 群集内部 CA 签名的本地生成的证书。
注意:如果证书即将过期,请将新证书另存为同一目录中的 ambassador.cert.pem ,然后执行
./run -c config-dir deploy -t ambassador命令。 - 根据您在config.yml和清单文件中配置的信息安装 Paragon Automation 集群。
# ./run -c config-dir deploy
安装已配置群集的安装时间取决于群集的复杂性。基本安装至少需要 45 分钟才能完成。
安装程序会在安装开始时检查 NTP 同步。如果时钟不同步,安装将失败。
仅对于 多主节点 部署,安装程序会检查单个服务器的 CPU 和内存以及每个群集的总可用 CPU 和内存。如果不满足以下要求,安装将失败。
-
每个群集的最小 CPU:20 个 CPU
-
每个群集的最小内存:32-GB
-
每个节点的最小 CPU 数:4 个 CPU
-
每个节点的最小内存:6 GB
若要禁用 CPU 和内存检查,请使用以下命令并重新运行部署。
# ./run -c config-dir deploy -e ignore_iops_check=yes如果要在现有 Kubernetes 集群上安装 Paragon Automation,该命令会将deploy当前部署的集群升级到最新的 Kubernetes 版本。如果需要,该命令还会升级 Docker CE 版本。如果节点上已安装 Docker EE,deploy则该命令不会使用 Docker CE 覆盖它。升级 Kubernetes 版本或 Docker 版本时,命令一次在一个节点上按顺序执行升级。该命令会封锁每个节点并将其从调度中删除。它执行升级,在节点上重新启动 Kubernetes,最后解除节点的警戒线并将其重新纳入调度状态。 -
- 部署完成后,登录到工作器节点。
使用文本编辑器在 limits.conf 和 sysctl.conf 文件中为 Paragon Insights 配置以下推荐信息。这些值为流入数据库内存要求设置软内存和硬内存限制。如果未设置这些限制,由于默认系统限制,您可能会看到“内存不足”或“打开的文件过多”等错误。
-
# vi /etc/security/limits.conf # End of file * hard nofile 1048576 * soft nofile 1048576 root hard nofile 1048576 root soft nofile 1048576 influxdb hard nofile 1048576 influxdb soft nofile 1048576 -
# vi /etc/sysctl.conf fs.file-max = 2097152 vm.max_map_count=262144 fs.inotify.max_user_watches=524288 fs.inotify.max_user_instances=512
对所有工作器节点重复此步骤。
-
现在,您已经安装并部署了 Paragon Automation 集群,接下来就可以登录 Paragon Automation UI 了。
登录 Paragon Automation UI
要登录 Paragon Automation UI,请执行以下操作:
- 打开浏览器,然后输入主 Web 应用程序的主机名或您在安装向导的 URL 字段中输入的入口控制器的 VIP 地址。
例如, https://vip-of-ingress-controller-or-hostname-of-main-web-application。此时将显示 Paragon Automation 登录页面。
- 对于首次访问,请输入 admin 作为用户名,输入 Admin123! 作为登录密码。您必须立即更改密码。
此时将显示“ 设置密码 ”页面。要访问 Paragon Automation 设置,您必须设置新密码。
- 设置满足密码要求的新密码。
使用 6 到 20 个字符以及大写字母、小写字母、数字和特殊字符的组合。确认新密码,然后单击 确定。此时将显示 “仪表板 ”页面。您已成功安装并登录到 Paragon Automation UI。
- 更新 URL 以在“管理>身份验证”>“门户设置”中访问 Paragon Automation UI,以确保发送给用户用于激活其帐户的激活电子邮件包含访问 GUI 的正确链接。有关详细信息,请参阅配置门户设置。
有关登录 Paragon Automation UI 后可以执行的高级任务,请参阅 Paragon Automation 快速入门 - 启动和运行。