Immutable Infrastructure
  • 简体中文

    • 管理节点配置

    您可以使用本节中描述的任务来创建修改节点上的文件、systemd 单元和 SSH 公钥的 MachineConfig 对象,以及恢复发生配置漂移的节点。

    MachineConfig 支持 Ignition 规范版本 3.4。所有 MachineConfig 对象必须符合此版本创建。

    在某些情况下,节点上的配置可能与当前通过 MachineConfig 应用的配置不完全匹配。这种情况称为配置漂移。机器配置守护进程会定期验证节点的配置是否发生漂移。如果检测到漂移,节点将被标记为 Degraded 状态,并保持该状态,直到管理员恢复预期的配置。

    以下示例演示如何使用 MachineConfig 对象管理节点配置。

    目录

    配置 Chrony 时间服务禁用 Chrony 时间服务配置 boot 用户的 SSH 公钥恢复配置漂移

    配置 Chrony 时间服务

    要配置 Chrony 时间同步服务(chronyd)并指定 NTP 服务器及相关设置,可以通过 MachineConfig 对象更新目标节点上的 chrony.conf 文件。

    1. 首先,创建一个包含所需 Chrony 配置的临时文件:

      chrony.conf
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
makestep 1.0 3
rtcsync
logdir /var/log/chrony

    2. 然后,对文件内容进行 base64 编码:

      base64 -w0 chrony.conf

    3. 创建一个名为 99-worker-chronyMachineConfig 对象。在 .spec.config.storage.files[0].contents.source 字段中,以 data:text/plain;base64,<encoded-content> 格式插入 base64 编码字符串:

      apiVersion: machineconfiguration.alauda.io/v1alpha1
kind: MachineConfig
metadata:
  name: 99-worker-chrony
  labels:
    machineconfiguration.alauda.io/role: worker
spec:
  config:
    ignition:
      version: 3.4.0
    storage:
      files:
        - path: /etc/chrony.conf
          mode: 0644
          contents:
            source: 'data:text/plain;base64,c2VydmVyIDAuY2VudG9zLnBvb2wubnRwLm9yZyBpYnVyc3QKc2VydmVyIDEuY2VudG9zLnBvb2wubnRwLm9yZyBpYnVyc3QKbWFrZXN0ZXAgMS4wIDMKcnRjc3luYwpsb2dkaXIgL3Zhci9sb2cvY2hyb255Cg=='

      此配置创建了一个 MachineConfig 对象,将自定义的 chrony.conf 文件应用于与 worker 机器配置池关联的节点。该文件将写入每个节点的 /etc/chrony.conf,文件权限设置为 0644

    禁用 Chrony 时间服务

    要禁用具有特定角色的节点上的 Chrony 时间同步服务,可以创建一个覆盖 systemd 单元定义并禁用该服务的 MachineConfig 对象。

    示例配置:

    apiVersion: machineconfiguration.alauda.io/v1alpha1
kind: MachineConfig
metadata:
  name: 99-worker-disable-chrony
  labels:
    machineconfiguration.alauda.io/role: worker
spec:
  config:
    ignition:
      version: 3.4.0
    systemd:
      units:
        - name: chronyd.service
          enabled: false
          contents: |
            [Unit]
            Description=NTP client/server
            Documentation=man:chronyd(8) man:chrony.conf(5)
            After=ntpdate.service sntp.service ntpd.service
            Conflicts=ntpd.service systemd-timesyncd.service
            ConditionCapability=CAP_SYS_TIME

            [Service]
            Type=forking
            PIDFile=/run/chrony/chronyd.pid
            EnvironmentFile=-/etc/sysconfig/chronyd
            ExecStart=/usr/sbin/chronyd $OPTIONS
            ExecStartPost=/usr/libexec/chrony-helper update-daemon
            PrivateTmp=yes
            ProtectHome=yes
            ProtectSystem=full

            [Install]
            WantedBy=multi-user.target

    此配置将自定义版本的 chronyd.service 单元文件推送到 worker 机器配置池中的节点。该服务被显式禁用。配置应用并重启节点后,Chrony 服务将不再自动启动。

    配置 boot 用户的 SSH 公钥

    机器配置系统允许您为受管节点上的 boot 用户配置 SSH 公钥。不支持其他用户账户的配置。请注意,机器配置不会自动创建用户或组——您必须确保在应用配置之前节点上已存在 boot 用户和组。

    示例配置:

    apiVersion: machineconfiguration.alauda.io/v1alpha1
kind: MachineConfig
metadata:
  name: 99-worker-ssh
  labels:
    machineconfiguration.alauda.io/role: worker
spec:
  config:
    ignition:
      version: 3.4.0
    passwd:
      users:
        - user: boot
          sshAuthorizedKeys:
            - ssh-rsa <ssh-public-key>

    MachineConfig 会将指定的 SSH 密钥安装到 worker 机器配置池节点的 /home/boot/.ssh/authorized_keys 文件中。

    恢复配置漂移

    如果节点的配置与其分配的 MachineConfig 不一致,节点将被标记为 Degraded。在此状态下,节点继续运行,但无法接收进一步的配置更新,直到问题解决。

    有两种方法可以将节点从降级状态恢复:

    1. 手动恢复配置
      您可以手动调整节点上的文件和权限,使其与分配的 MachineConfig 中指定的完全匹配。系统将检测到修正并清除降级状态。

    2. 强制重新应用配置
      在受影响节点上创建一个空文件 /run/machine-config-daemon-force。机器配置守护进程将检测到此触发器,重新应用当前的 MachineConfig,删除触发文件,并重启节点。重启后,节点将从 Degraded 状态恢复为 Done