通过使用堡垒服务器在气隙环境中进行安装

集群管理员可以在具有具有外部因特网访问权的堡垒服务器的气隙环境中安装 WebSphere Automation。

关于本任务

注: 以下指示信息适用于使用 cloudctl 实用程序将 WebSphere Automation 部署到气郄环境的原始方法。有关使用 ibm-pak 插件的最新方法，请参阅通过将镜像安装到私有容器注册表（使用 ibm-pak 插件）。

准备工作

气隙环境中的安装有下列先决条件：

可以访问 Red Hat® OpenShift® Container Platform4.14 或更高版本的集群、本地容器注册表和互联网。 bastion 服务器必须是 Linux® x86_64 或 Linux on IBM Z 平台上的 Red Hat Enterprise Linux 版本 8 操作系统。
在防御服务器上安装 Docker 17.05 或更高版本或者 Podman V1.4 或更高版本。
OpenShift Container Platform CLI 工具 (oc)。
支持 Docker 映像清单 V2 格式的容器注册表，可由防御服务器和 Red Hat OpenShift 集群访问。
IBM® 授权容器实现注册表的权利密钥。
1. 使用与软件相关联的 IBMid 和密码登录 MyIBM 容器软件库。
2. 在 " 活动权利密钥 " 部分中，单击复制以将权利密钥复制到剪贴板。

过程

对 WebSphere Automation 容器映像进行镜像并配置集群

安装 cloudctl。
1. 请按照 IBM 公共 IBM Cloud Pak cli 资源库中的说明下载并验证 cloudctl 工具。
2. 下载并验证适用于您的操作系统的 cloudctl 二进制文件后，将该二进制文件移至适合于您的操作系统的路径。例如，对于 Linux，运行以下命令以更改和移动文件。
```
sudo mv cloudctl-os-arch /usr/local/bin/cloudctl
```
下载 Container Application Software for Enterprises (CASE)。
运行 cloudctl case save 命令，以下载 CASE 元数据。
```
cloudctl case save \
 --repo https://github.com/IBM/cloud-pak/raw/master/repo/case --case $CASE_NAME --version $CASE_VERSION \
 --outputdir ./ibm-websphere-automation
```
对于当前发行版的 WebSphere Automation，
- CASE_NAME=ibm-websphere-automation
- CASE_VERSION 是您要安装的 WebSphere Automation 版本，例如 1.10.0；您可以查看可用版本。

创建环境变量。

请将以下示例中的变量替换为您自己的信息。

export MIRROR_REGISTRY=registry
export MIRROR_REGISTRY_USERNAME=username
export MIRROR_REGISTRY_PASSWORD=password
export CASEPATH=absolute_path_to_downloaded_ibm-websphere-automation

登录到 Red Hat OpenShift Container Platform 集群。
```
oc login https://your_api_cluster_url
```

创建镜像注册表的凭证。

cloudctl case launch \
 --case $CASEPATH \
 --inventory automationOperatorSetup \
 --action configure-creds-airgap \
 --args "--registry $MIRROR_REGISTRY --user $MIRROR_REGISTRY_USERNAME --pass $MIRROR_REGISTRY_PASSWORD"

如果使用非安全镜像注册表，请配置非安全注册表。
请配置集群，以允许从该注册表拉取映像。请将 registry 替换为注册表名称，然后运行 patch 命令。
```
oc patch image.config.openshift.io/cluster --type=merge \
 -p '{"spec":{"registrySources":{"insecureRegistries":["registry"]}}}'
```

为 IBM 权利注册表创建凭证。

将 entitlement_key 替换为授权密钥，然后运行 cloudctl case launch 命令。

cloudctl case launch \
 --case $CASEPATH \
 --inventory automationOperatorSetup \
 --action configure-creds-airgap \
 --args "--registry cp.icr.io --user cp --pass entitlement_key"

制作映像的镜像。

export OFFLINEDIR=absolute_path_to_outputdir_from_previous_cloudctl_case_save
 cloudctl case launch  \
 --case $CASEPATH    \
 --inventory automationOperatorSetup   \
 --action mirror-images  \
 --args "--registry $MIRROR_REGISTRY --inputDir $OFFLINEDIR"

配置 ImageContentSourcePolicy 并创建全局拉取私钥。
运行以下命令来配置集群，以将映像请求重定向至镜像注册表，并为镜像注册表创建全局拉取私钥。
```
cloudctl case launch  \
 --case $CASEPATH    \
 --namespace default    \
 --inventory automationOperatorSetup   \
 --action configure-cluster-airgap  \
 --args "--registry $MIRROR_REGISTRY --inputDir $OFFLINEDIR"
```
提示: 在每个节点耗尽其 pod 时，部署 ImageContentSourcePolicy 资源需要几分钟时间。在前进至下一步之前，请确保所有节点的状态均为 Ready。请运行 oc get nodes 命令以获取状态。
等待转出过程完成。
运行以下命令，以验证 Updated 是否设置为 true。
```
oc get machineconfigpools
```

安装 WebSphere Automation 操作程序

设置 WSA_OPERATOR_NAMESPACE 和 WSA_INSTANCE_NAMESPACE shell 变量。
对于 AllNamespaces 安装方式，请将 WSA_OPERATOR_NAMESPACE 设置为 openshift-operator。将 WSA_INSTANCE_NAMESPACE 设置为实例名称空间，例如 websphere-automation。对于 SingleNamespace，请使用不同的名称空间值。对于 OwnNamespace 方式，将 WSA_OPERATOR_NAMESPACE 设置为与 WSA_INSTANCE_NAMESPACE 相同的值。
```
WSA_OPERATOR_NAMESPACE=openshift-operators
WSA_INSTANCE_NAMESPACE=websphere-automation
```
如果需要，请创建名称空间。
对于目录名称空间，存在 openshift-marketplace。对于 AllNamespaces 安装方式， openshift-operator 名称空间存在。
```
oc create namespace $WSA_OPERATOR_NAMESPACE
oc create namespace $WSA_INSTANCE_NAMESPACE
```

对于 OwnNamespace 或 SingleNamespace 方式，请创建 OperatorGroup。

注: 对于缺省 AllNamespaces 方式，请跳过此步骤。

cat <<EOF | oc apply -f -
apiVersion: operators.coreos.com/v1alpha2
kind: OperatorGroup
metadata:
  name: ibm-websphere-automation
  namespace: $WSA_OPERATOR_NAMESPACE
spec:
  targetNamespaces:
  - $WSA_INSTANCE_NAMESPACE
EOF

安装 WebSphere Automation 及其依赖项的操作程序目录。

cloudctl case launch  \
 --case $CASEPATH    \
 --namespace openshift-marketplace    \
 --inventory automationOperatorSetup   \
 --action install-catalog \
 --args "--inputDir $OFFLINEDIR --recursive --registry icr.io"

安装 WebSphere Automation 操作程序。

cloudctl case launch  \
 --case $CASEPATH    \
 --namespace $WSA_OPERATOR_NAMESPACE    \
 --inventory automationOperatorSetup   \
 --action install-operator \
 --args "--inputDir $OFFLINEDIR"

创建 WebSphere Automation 的实例

部署以下配置以创建 WebSphere Automation 气隙环境的实例。

cat <<EOF | oc apply -f -
apiVersion: automation.websphere.ibm.com/v1
kind: WebSphereSecure
metadata:
  name: wsa-secure
  namespace: $WSA_INSTANCE_NAMESPACE
spec:
  license:
    accept: false
  cveMonitor:
    suspend: true
---
apiVersion: automation.websphere.ibm.com/v1
kind: WebSphereHealth
metadata:
  name: wsa-health
  namespace: $WSA_INSTANCE_NAMESPACE
spec:
  license:
    accept: false
EOF

要仅安装安全功能，请从配置中省略 WebSphereHealth 部分。

.spec.cveMonitor.suspend 属性禁用定期运行以从 ibm.com下载最新安全公告信息的作业。如果您的集群无法访问互联网，请将该属性设置为 true 以使用一组静态安全公告填充 WebSphere Automation。有关如何自定义 WebSphere Automation 实例的更多信息，请参阅 WebSphereSecure 资源配置。

如果集群具有通过代理服务器的因特网访问权，那么可以使用代理服务器配置来配置 WebSphereSecure 定制资源。更多信息，请参阅配置使用代理服务器。在 cveMonitor 规范中，请确保将 .spec.cveMonitor.suspend 属性设置为值 false。

将 .spec.license.accept 属性从其缺省值 false 设置为 true，以指示您同意 https://ibm.biz/WebSphereAutoLicense 中的许可条款。

下一步操作

验证安装并访问 WebSphere Automation UI。

有关更改缺省密码的信息，请参阅更改集群管理员访问凭证。