Instalación con un host bastión

Puede utilizar un host bastión para realizar una instalación de espacio vacío de API Connect en Red Hat OpenShift Container Platform (OCP) cuando el clúster no tiene conectividad a Internet.

Antes de empezar

Esta tarea debe realizarla un administrador de Red Hat OpenShift .

Acerca de esta tarea

Si el clúster no está conectado a Internet, puede duplicar las imágenes del producto en un registro en el entorno restringido por la red utilizando un host bastión. Un host bastión tiene acceso a Internet público y al entorno restringido de red donde residen los clústeres de destino. Puede captar imágenes de producto de Internet y enviarlas a un registro local; a continuación, puede extraer las imágenes del registro local al clúster de destino para la instalación.

Procedimiento

Configure el entorno de duplicación.

Preparar el clúster de destino:
- Despliegue una versión soportada de Red Hat OpenShift Container Platform (OCP) como clúster.
  Para obtener información, consulte la Tabla 2 "Matriz de compatibilidad deAPI Connect y OpenShift Container Platform (OCP) " en Requisitos de compatibilidad de productos de software deIBM API Connect Versión 10.
- Configure el almacenamiento en el clúster y asegúrese de que está disponible.

Preparar el host bastión:

Debe poder conectar el host bastión a Internet y al entorno de red restringido (con acceso al clúster de Red Hat OpenShift Container Platform (OCP) y al registro local) al mismo tiempo. El host debe estar en una plataforma Linux x86_64 o Mac con cualquier sistema operativo al que Red Hat OpenShift Client dé soporte (en Windows, ejecute las acciones en una máquina virtual Linux x86_64 o desde un terminal Windows Subsystem for Linux ).

Asegúrese de que se puede acceder a los sitios y puertos listados en la Tabla 1 desde el host bastión:

Tabla 1. Sitios a los que se debe acceder desde el host bastión
Sitio	Descripción
`icr.io:443`	Registro autorizado de IBM
`quay.io:443`	Repositorio de imágenes de API Connect local
`github.com`	Archivos y herramientas de CASE
`redhat.com`	Red Hat OpenShift Container Platform (OCP) actualizaciones

En el host bastión, instale Docker o Podman (no ambos).
Docker y Podman se utilizan para gestionar contenedores; sólo es necesario instalar una de estas aplicaciones.
- Para instalar Docker (por ejemplo, en Red Hat Enterprise Linux), ejecute los mandatos siguientes:
```
yum check-update
yum install docker
```
- Para instalar Podman, consulte las instrucciones de instalación dePodman.
  Por ejemplo, en Red Hat Enterprise Linux 9, instale Podman con el mandato siguiente:
```
yum install podman
```
Instale la herramienta Red Hat OpenShift Client (oc) tal como se explica en Iniciación a la CLI de OpenShift.
La herramienta oc se utiliza para gestionar recursos de Red Hat OpenShift en el clúster.
Descargue IBM Catalog Management Plug-in for IBM Cloud Paks versión 1.1.0 o posterior desde GitHub.
El plugin ibm-pak le permite acceder a imágenes de producto alojadas y ejecutar mandatos oc ibm-pak en el clúster. Para confirmar que ibm-pak está instalado, ejecute el mandato siguiente y verifique que la respuesta lista el uso del mandato:
```
oc ibm-pak --help
```

Configurar un registro de imágenes y credenciales locales.
El registro local de Docker almacena las imágenes duplicadas en el entorno restringido de red.
1. Instale un registro u obtenga acceso a un registro existente.
  Es posible que ya tenga acceso a uno o más servidores de registro corporativo centralizados para almacenar las imágenes de API Connect . Si no es así, debe instalar y configurar un registro de nivel de producción antes de continuar.
  El producto de registro que utilice debe cumplir los requisitos siguientes:
  - Da soporte a imágenes de varias arquitecturas a través de Docker Manifest V2, Schema 2
    Para obtener detalles, consulte Docker Manifest V2, Esquema 2.
  - Es accesible desde los nodos de clúster de Red Hat OpenShift Container Platform
  - Permite separadores de vía de acceso en el nombre de imagen
  Nota: No utilice el registro de imágenes de Red Hat OpenShift como registro local porque no admite imágenes de varias arquitecturas ni separadores de vía de acceso en el nombre de imagen.
2. Configure el registro para que cumpla los requisitos siguientes:
  - Da soporte a la creación automática de repositorios
  - Tiene suficiente almacenamiento para contener todo el software que se va a transferir
  - Tiene las credenciales de un usuario que puede crear y escribir en repositorios (el proceso de duplicación utiliza estas credenciales)
  - Tiene las credenciales de un usuario que puede leer todos los repositorios (el clúster de Red Hat OpenShift Container Platform utiliza estas credenciales)
Para acceder a los registros durante una instalación de espacio vacío, utilice una cuenta que pueda escribir en el registro local de destino. Para acceder a los registros durante el tiempo de ejecución, utilice una cuenta que pueda leer del registro local de destino.

Duplicar el operador cert-manager para Red Hat OpenShift.
Duplique el operador tal como se explica en las instrucciones de Red Hat : Duplicación de imágenes para una instalación desconectada utilizando el plugin oc-mirror .
Cuando modifique el ImageSetConfiguration, incluya openshift-cert-manager-operator en el canal stable-v1 como uno de los paquetes, tal como se muestra en el ejemplo siguiente:
```
    packages:
    - name: openshift-cert-manager-operator
      channels:
      - name: stable-v1
```
Establezca las variables de entorno y descargue los archivos CASE .

Puesto que utilizará valores de dos archivos CASE diferentes, debe crear variables de entorno para ambos; observe que las variables para el archivo CASE de servicios básicos (servicios comunes) tienen el prefijo "CS_" para diferenciarlos.

Importante: A partir de API Connect 10.0.11.0, las imágenes EDB se incluyen dentro del paquete de la caja API Connect y no requieren instalación por separado. Para versiones anteriores a 10.0.11.0, debe instalar y configurar manualmente el caso EDB.
1. Cree las siguientes variables de entorno con el nombre de imagen del instalador y el inventario de imágenes en el host:
  - API Connect:
```
export CASE_NAME=ibm-apiconnect
export CASE_VERSION=6.2.0
export ARCH=amd64
```
    Para obtener información sobre las versiones de API Connect CASE y sus correspondientes operadores y operandos, consulte Requisitos de operador, CASE y plataforma.
  - Servicios básicos:
```
export CS_CASE_NAME=ibm-cp-common-services
export CS_CASE_VERSION=4.6.18+
export CS_ARCH=amd64
```
    Para obtener información sobre las versiones de IBM Cloud Pak foundational services (servicios comunes) CASE , consulte " Tabla 1. Image versions for offline installation" en Installing IBM Cloud Pak foundational services in an air-gapped environment en la documentación de IBM Cloud Pak foundational services .
  - DataPower:
```
export DP_CASE_NAME=ibm-datapower-operator
export DP_CASE_VERSION=1.16.0
export DP_ARCH=amd64
```
2. Conecte el host a Internet (no es necesario que esté conectado al entorno restringido por la red en este momento).
3. Descargue los archivos CASE en el dispositivo portátil:
  - API Connect:
```
oc ibm-pak get $CASE_NAME --version $CASE_VERSION
```
  - Servicios básicos:
```
oc ibm-pak get $CS_CASE_NAME --version $CS_CASE_VERSION
```
  - DataPower
```
oc ibm-pak get $DP_CASE_NAME --version $DP_CASE_VERSION
```
Duplicar las imágenes.

El proceso de duplicación de imágenes extrae las imágenes de Internet y las envía al registro local. Después de duplicar las imágenes, puede configurar el clúster y extraer las imágenes antes de instalar API Connect.
1. Generar manifiestos de duplicación.
  1. Defina la variable de entorno $TARGET_REGISTRY ejecutando el mandato siguiente:
```
export TARGET_REGISTRY=<target-registry>
```
    Sustituya <target-registry> por la dirección IP (o nombre de host) y el puerto del registro local; por ejemplo: 172.16.0.10:5000. Si desea que las imágenes utilicen un espacio de nombres específico dentro del registro de destino, puede especificarlo aquí; por ejemplo: 172.16.0.10:5000/registry_ns.
  2. Genere manifiestos de duplicación ejecutando los mandatos siguientes:
    - API Connect:
      oc ibm-pak generate mirror-manifests $CASE_NAME --version $CASE_VERSION $TARGET_REGISTRY
    - Servicios básicos:
      oc ibm-pak generate mirror-manifests $CS_CASE_NAME --version $CS_CASE_VERSION $TARGET_REGISTRY
    - DataPower:
      oc ibm-pak generate mirror-manifests $DP_CASE_NAME file://integration --version $DP_CASE_VERSION --final-registry $TARGET_REGISTRY
    Si necesita filtrar para un grupo de imágenes específico, añada el parámetro --filter <image_group> al mandato.
  El comando generate crea los siguientes archivos en ~/.ibm-pak/data/mirror/$CASE_NAME/$CASE_VERSION, y ~/.ibm-pak/data/mirror/$CS_CASE_NAME/$CS_CASE_VERSION:
  - catalog-sources.yaml
  - catalog-sources-linux-<arch>.yaml (si hay orígenes de catálogo específicos de la arquitectura)
  - image-content-source-policy.yaml
  - images-mapping.txt
  Los archivos se utilizan al duplicar las imágenes en TARGET_REGISTRY.
2. Obtenga una clave de titularidad para el registro autorizado donde se alojan las imágenes:
  1. Inicie sesión en la biblioteca de contenedores IBM.
  2. En la biblioteca de software de IBM Container, seleccione Obtener clave de titularidad.
  3. En la sección "Acceder al software de contenedor", pulse Copiar clave.
  4. Copie la clave en una ubicación segura; la utilizará para iniciar sesión en cp.icr.io en el paso siguiente.
3. Autenticar con el registro autorizado donde se alojan las imágenes.
  El secreto de extracción de imágenes le permite autenticarse con el registro autorizado y acceder a las imágenes del producto.
  1. Ejecute el mandato siguiente para exportar la vía de acceso al archivo que almacenará las credenciales de autenticación generadas en un inicio de sesión de Podman o Docker :
```
export REGISTRY_AUTH_FILE=$HOME/.docker/config.json
```
    El archivo de autenticación normalmente se encuentra en $HOME/.docker/config.json en Linux o %USERPROFILE%/.docker/config.json en Windows.
  2. Inicie sesión en el registro de cp.icr.io con Podman o Docker; por ejemplo:
```
podman login cp.icr.io
```
    Utilice cp como nombre de usuario y la clave de titularidad como contraseña.
4. Autenticarse con el registro local.
  Inicie sesión en el registro local utilizando una cuenta que pueda escribir imágenes en dicho registro; por ejemplo:
```
podman login $TARGET_REGISTRY
```
  Si el registro no es seguro, añada el distintivo siguiente al mandato: --tls-verify=false.
5. Actualice el manifiesto de CASE para que haga referencia correctamente a la imagen DataPower Operator .
  
  Los archivos para el operador DataPower ahora están alojados en icr.io; sin embargo, el manifiesto CASE sigue haciendo referencia a docker.io como host de imagen. Para solucionar este problema, visite Airgap install failure due to 'unable to retrieve source image docker.io ' en la documentación y actualice el manifiesto siguiendo las instrucciones DataPower y actualice el manifiesto siguiendo las instrucciones. Después de actualizar el manifiesto, continúe con el paso siguiente de este procedimiento.
6. Duplicar las imágenes del producto.
  1. Conecte el host bastión a Internet y al entorno de red restringida que contiene el registro local.
  2. Ejecute los mandatos siguientes para copiar las imágenes en el registro local:
    - API Connect:
      oc image mirror \ -f ~/.ibm-pak/data/mirror/$CASE_NAME/$CASE_VERSION/images-mapping.txt \ -a $REGISTRY_AUTH_FILE \ --filter-by-os '.*' \ --skip-multiple-scopes \ --max-per-registry=1
    - Servicios básicos:
      oc image mirror \ -f ~/.ibm-pak/data/mirror/$CS_CASE_NAME/$CS_CASE_VERSION/images-mapping.txt \ -a $REGISTRY_AUTH_FILE \ --filter-by-os '.*' \ --skip-multiple-scopes \ --max-per-registry=1
    - DataPower:
      oc image mirror \ -f ~/.ibm-pak/data/mirror/$DP_CASE_NAME/$DP_CASE_VERSION/images-mapping.txt \ -a $REGISTRY_AUTH_FILE \ --filter-by-os '.*' \ --skip-multiple-scopes \ --max-per-registry=1 \
    Nota: Si el registro local no está protegido por TLS, o el certificado presentado por el registro local no es de confianza para el dispositivo, añada la opción --insecure al mandato.
    
    Puede haber un ligero retardo antes de ver una respuesta al mandato.
7. Configure el clúster de destino.
  Ahora que las imágenes se han duplicado en el registro local, el clúster de destino debe estar configurado para extraer las imágenes de él. Complete los pasos siguientes para configurar el secreto de extracción global del clúster con las credenciales del registro local y, a continuación, indique al clúster que extraiga las imágenes del registro local.
  1. Inicie sesión en el clúster de Red Hat OpenShift Container Platform :
```
oc login <openshift_url> -u <username> -p <password> -n <namespace>
```
  2. Actualice el secreto global de extracción de imágenes para el clúster como se explica en la documentación de Red Hat OpenShift Container Platform .
    Nota: Si tiene un registro no seguro, añada el registro a la lista insecureRegistries del clúster ejecutando el mandato siguiente:
    oc edit image.config.openshift.io/cluster -o yaml
    y añada TARGET_REGISTRY a spec.registrySources.insecureRegistries tal como se muestra en el ejemplo siguiente:
    spec: registrySources: insecureRegistries: - insecure0.svc:5001 - <TARGET_REGISTRY>
    Si el campo insecureRegistries no existe, puede añadirlo.
  3. Cree el ImageContentSourcePolicy, que ordena al clúster que extraiga las imágenes de su registro local:
    - API Connect:
      oc apply -f ~/.ibm-pak/data/mirror/$CASE_NAME/$CASE_VERSION/image-content-source-policy.yaml
    - Servicios básicos:
      oc apply -f ~/.ibm-pak/data/mirror/$CS_CASE_NAME/$CS_CASE_VERSION/image-content-source-policy.yaml
    - DataPower:
      oc apply -f ~/.ibm-pak/data/mirror/$DP_CASE_NAME/$DP_CASE_VERSION/image-content-source-policy.yaml
  4. Compruebe que se ha creado el recurso ImageContentSourcePolicy :
```
oc get imageContentSourcePolicy
```
  5. Verifique el estado del nodo de clúster:
```
oc get MachineConfigPool -w
```
    Espere a que se actualicen todos los nodos antes de continuar con el paso siguiente.
Aplicar los orígenes de catálogo.

Ahora que ha duplicado imágenes en el clúster de destino, aplique los orígenes de catálogo para los servicios API Connect y Foundational. No es necesario aplicar el origen de catálogo para EDB porque el operador API Connect aplicará ese origen de catálogo en su propio espacio de nombres cuando se cree el operando API Connect .

En los pasos siguientes, sustituya <Architecture> por amd64, s390x o ppc64le según convenga a su entorno.
1. Exportar las variables para que las utilice la línea de mandatos:
```
export CASE_NAME=ibm-apiconnect
export CASE_VERSION=6.2.0
export ARCH=amd64
```
```
export CS_CASE_NAME=ibm-cp-common-services
export CS_CASE_VERSION=4.6.18+
export CS_ARCH=amd64
```
```
export DP_CASE_NAME=ibm-datapower-operator
export DP_CASE_VERSION=1.16.0
export DP_ARCH=amd64
```
2. Genere los orígenes de catálogo y guárdelos en otro directorio en caso de que necesite replicar esta instalación en el futuro.
  1. Obtenga los orígenes de catálogo:
```
cat ~/.ibm-pak/data/mirror/${CASE_NAME}/${CASE_VERSION}/catalog-sources.yaml
```
```
cat ~/.ibm-pak/data/mirror/${CS_CASE_NAME}/${CS_CASE_VERSION}/catalog-sources.yaml
```
```
cat ~/.ibm-pak/data/mirror/${DP_CASE_NAME}/${DP_CASE_VERSION}/catalog-sources.yaml
```
  También puede navegar al directorio en el navegador de archivos para copiar estos artefactos en archivos que puede conservar para su reutilización o para interconexiones.
3. Aplicar los orígenes de catálogo al clúster.
  1. Aplique los orígenes de catálogo universal:
```
oc apply -f ~/.ibm-pak/data/mirror/${CASE_NAME}/${CASE_VERSION}/catalog-sources.yaml
```
```
oc apply -f ~/.ibm-pak/data/mirror/${CS_CASE_NAME}/${CS_CASE_VERSION}/catalog-sources.yaml
```
```
oc apply -f ~/.ibm-pak/data/mirror/${DP_CASE_NAME}/${DP_CASE_VERSION}/catalog-sources.yaml
```
  2. Confirme que los orígenes de catálogo se han creado en el espacio de nombres openshift-marketplace :
```
oc get catalogsource -n openshift-marketplace
```

Qué hacer a continuación

Instale API Connect siguiendo los pasos correspondientes a su tipo de despliegue: Despliegue en OpenShift y Cloud Pak for Integration.