为 OpenShift 4 准备 NCPLast Updated January 23, 2025
在安装 OpenShift 4 之前,您必须先更新某些 NCP 配置文件。
首先运行以下命令以获取 NSX Container Plugin 运算符 YAML 规范:
以下文件位于
nsx-container-plugin-operator/deploy
文件夹中:- configmap.yaml– 使用 NSX-T 信息更新此文件。
- operator.yaml– 在此文件中指定 NCP 映像位置。
- namespace.yaml– 运算符的命名空间规范。请勿编辑此文件。
- role_binding.yaml– 运算符的角色绑定规范。请勿编辑此文件。
- role.yaml– 运算符的角色规范。请勿编辑此文件。
- service_account.yaml– 运算符的服务帐户规范。请勿编辑此文件。
- lb-secret.yaml- 默认 NSX-T 负载均衡器证书的密钥。
- nsx-secret.yaml- 用于对 NSX-T 进行基于证书的身份验证的密钥。此文件用于代替configmap.yaml中的nsx_api_user和nsx_api_password。
- operator.nsx.vmware.com_ncpinstalls_crd.yaml- 运营商拥有的客户资源定义。
- operator.nsx.vmware.com_v1_ncpinstall_cr.yaml- 运营商拥有的客户资源。
以下
connfigmap.yaml
示例显示了基本配置。有关更多选项,请参见 deploy
文件夹中的 configmap.yaml
。您必须根据您的环境指定以下参数的值:- 集群
- nsx_api_managers
- nsx_api_user
- nsx_api_password
- external_ip_pools
- tier0_gateway
- overlay_tz
- edge_cluster
- apiserver_host_ip
- apiserver_host_port
在
operator.yaml
中,您必须在 env
部分中指定 NCP 映像的位置。使用主体身份配置对 NSX-T 的基于证书的身份验证。
在生产环境中,建议不要在
configmap.yaml
中使用 nsx_api_user
和 nsx_api_password
参数公开管理员凭据。以下步骤介绍了如何创建主体身份,并允许 NCP 使用证书进行身份验证。- 生成证书和密钥。
- 在 NSX Manager 中,导航到,然后单击 。添加主体身份,并粘贴在步骤 1 中生成的证书。
- 在nsx-secret.yaml中添加 Base64 编码的证书和密钥值。
- 在 configmap.yaml 中的 [nsx_v3] 部分下设置证书和密钥文件的位置:
注意:不支持在已引导的集群上更改身份验证方法。
(可选)配置默认 NSX-T 负载均衡器证书
NSX-T 负载均衡器可以实施 OpenShift HTTPS 路由对象和卸载 OCP HAProxy。为此,需要提供一个默认证书。执行以下步骤以配置默认证书:
- 在lb-secret.yaml中添加 Base64 编码的证书和密钥值。
- 在configmap.yaml中的[nsx_v3]部分下设置证书和密钥的位置:
(可选)配置对 NSX Manager 的基于证书的身份验证
如果在 ConfigMap 中将
insecure
设置为 False
,则必须指定 NSX Manager 集群中所有三个管理器的证书指纹。以下过程是如何执行此操作的示例。将三个 NSX Manager 的证书全部复制到一个文件中:
编辑 ConfigMap,然后在
[nsx_v3]
部分中添加指纹: