Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

2.3. Création d’un cluster de la Fédération d’identité de la charge de travail à l’aide d’OpenShift Cluster Manager

Procédure

  1. Connectez-vous à OpenShift Cluster Manager et cliquez sur Créer un cluster sur la carte dédiée OpenShift.

  2. Dans le modèle de facturation, configurez le type d’abonnement et le type d’infrastructure.

    1. Choisissez un type d’abonnement. En ce qui concerne les options d’abonnement dédiées à OpenShift, consultez les abonnements Cluster et l’inscription dans la documentation OpenShift Cluster Manager.
    2. Choisissez le type d’infrastructure d’abonnement au cloud client.
    3. Cliquez sur Next.
  3. Choisissez Exécuter sur Google Cloud Platform.

  4. Choisissez Workload Identity Federation comme type d’authentification.

    1. Lisez et complétez toutes les conditions préalables requises.
    2. Cliquez sur la case indiquant que vous avez lu et rempli toutes les conditions préalables requises.

  5. Afin de créer une nouvelle configuration WIF, ouvrez une fenêtre terminale et exécutez la commande OCM CLI suivante. 

    $ ocm gcp create wif-config --name <wif_name> \
    1 
    
  --project <gcp_project_id> \
    2
    Copy to Clipboard Toggle word wrap
    1
    &lt;wif_name&gt; par le nom de votre configuration WIF.
    2
    Le remplacement par <gcp_project_id> l’ID du projet Google Cloud Platform (GCP) où la configuration WIF sera implémentée.
  6. Choisissez une configuration WIF configurée dans la liste déroulante de configuration WIF. Lorsque vous souhaitez sélectionner la configuration WIF que vous avez créée dans la dernière étape, cliquez sur Refresh First.
  7. Cliquez sur Next.

  8. Dans la page Détails, indiquez un nom pour votre cluster et spécifiez les détails du cluster:

    1. Dans le champ Nom du cluster, entrez un nom pour votre cluster.

    2. Facultatif: Création de cluster génère un préfixe de domaine en tant que sous-domaine pour votre cluster provisionné sur openshiftapps.com. Lorsque le nom du cluster est inférieur ou égal à 15 caractères, ce nom est utilisé pour le préfixe de domaine. Lorsque le nom du cluster est supérieur à 15 caractères, le préfixe de domaine est généré au hasard en tant que chaîne de 15 caractères.

      Afin de personnaliser le préfixe de sous-domaine, sélectionnez la case à cocher Créer un préfixe de domaine personnalisé et entrez le nom de préfixe de domaine dans le champ Préfixe de domaine. Le préfixe de domaine ne peut pas dépasser 15 caractères, doit être unique au sein de votre organisation et ne peut pas être modifié après la création de clusters.

    3. Choisissez une version de cluster dans le menu déroulant Version.

      Note

      La Fédération de l’identité de la charge de travail (WIF) n’est prise en charge que sur OpenShift Dedicated version 4.17 et ultérieure.

    4. Choisissez une région fournisseur de cloud dans le menu déroulant Région.
    5. Choisissez une configuration de zone unique ou multi-zone.

    6. Facultatif: Sélectionnez Activer la prise en charge du démarrage sécurisé des machines virtuelles blindées pour utiliser des machines virtuelles blindées lors de l’installation de votre cluster. Consultez les machines virtuelles blindées pour plus d’informations.

      Important

      Afin de créer avec succès un cluster, vous devez sélectionner la prise en charge Enable Secure Boot pour les machines virtuelles protégées si votre organisation dispose des contraintes de contrainte de stratégie/compute.requireShieldedVm activée. Afin d’obtenir de plus amples renseignements sur les contraintes de politique organisationnelle du PCG, voir les contraintes de politique de l’Organisation.

    7. Laissez activer la surveillance de la charge de travail de l’utilisateur sélectionnée pour surveiller vos propres projets indépendamment des métriques de la plate-forme Red Hat Site Reliability Engineer (SRE). Cette option est activée par défaut.

  9. Facultatif: Expandez le chiffrement avancé pour apporter des modifications aux paramètres de chiffrement.

    1. Choisissez Utilisez les touches KMS personnalisées pour utiliser des clés KMS personnalisées. Lorsque vous préférez ne pas utiliser les touches KMS personnalisées, laissez le paramètre par défaut Utilisez les clés KMS par défaut.

    2. Avec les touches KMS personnalisées sélectionnées:

      1. Choisissez l’emplacement d’un porte-clés dans le menu déroulant de l’emplacement de l’anneau clé.
      2. Choisissez un porte-clés dans le menu déroulant Key Ring.
      3. Choisissez un nom de clé dans le menu déroulant Nom de la clé.
      4. Fournissez le compte de service KMS.

    3. Facultatif: Sélectionnez Activer la cryptographie FIPS si vous exigez que votre cluster soit validé FIPS.

      Note

      Lorsque la cryptographie FIPS est sélectionnée, Activer le chiffrement etcd supplémentaire est activé par défaut et ne peut pas être désactivé. Activez le chiffrement supplémentaire etcd sans sélectionner Activer la cryptographie FIPS.

    4. Facultatif: Sélectionnez Activer le chiffrement supplémentaire etcd si vous avez besoin d’un cryptage de valeur clé etcd. Avec cette option, les valeurs de clé etcd sont cryptées, mais pas les clés. Cette option s’ajoute au chiffrement de stockage de plan de contrôle qui chiffre les volumes etcd dans les clusters dédiés OpenShift par défaut.

      Note

      En activant le chiffrement etcd pour les valeurs clés dans etcd, vous engagez un surcharge de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Envisagez d’activer le chiffrement etcd seulement si vous en avez spécifiquement besoin pour votre cas d’utilisation.

  10. Cliquez sur Next.
  11. Dans la page de pool Machine, sélectionnez un type d’instance de nœud de calcul et un nombre de nœuds de calcul. Le nombre et les types de nœuds disponibles dépendent de votre abonnement OpenShift dédié. Lorsque vous utilisez plusieurs zones de disponibilité, le nombre de nœuds de calcul est par zone.

  12. En option: Expandez Ajoutez des étiquettes pour ajouter des étiquettes à vos nœuds. Cliquez sur Ajouter une étiquette supplémentaire pour ajouter d’autres étiquettes de nœuds.

    Important

    Cette étape se réfère aux étiquettes de Kubernetes, et non de Google Cloud. En savoir plus sur les étiquettes Kubernetes, voir Labels et Selectors.

  13. Cliquez sur Next.
  14. Dans la boîte de dialogue de confidentialité Cluster, sélectionnez Public ou Privé pour utiliser des points de terminaison API publics ou privés et des itinéraires d’application pour votre cluster. Lorsque vous sélectionnez Private Service Connect, Utilisez le service privé Connect est sélectionné par défaut et ne peut pas être désactivé. Le Private Service Connect (PSC) est la fonctionnalité de mise en réseau renforcée par la sécurité de Google Cloud.

  15. Facultatif: Pour installer le cluster dans un GCP Virtual Private Cloud (VPC) existant:

    1. Choisissez Installer dans un VPC existant.

      Important

      Le service privé Connect est pris en charge uniquement avec Install dans un VPC existant.

    2. Lorsque vous installez dans un VPC existant et que vous souhaitez activer un proxy HTTP ou HTTPS pour votre cluster, sélectionnez Configurer un proxy à l’échelle du cluster.

      Important

      Afin de configurer un proxy à l’échelle du cluster pour votre cluster, vous devez d’abord créer la traduction d’adresse réseau Cloud (NAT) et un routeur Cloud. Consultez la section Ressources supplémentaires pour plus d’informations.

  16. Acceptez les paramètres d’entrée de l’application par défaut, ou pour créer vos propres paramètres personnalisés, sélectionnez Paramètres personnalisés.

    1. Facultatif: Fournir le sélecteur d’itinéraire.
    2. Facultatif: Fournir des espaces de noms exclus.
    3. Choisissez une politique de propriété d’espace de noms.

    4. Choisissez une politique de wildcard.

      Cliquez sur l’icône d’information fournie pour chaque paramètre.

  17. Cliquez sur Next.

  18. Facultatif: Pour installer le cluster dans un PCV partagé GCP, suivez ces étapes.

    Important

    Le propriétaire de VPC du projet hôte doit activer un projet en tant que projet hôte dans sa console Google Cloud et ajouter les rôles d’administrateur de réseau informatique, d’administrateur de la sécurité de calcul et d’administrateur DNS aux comptes de service suivants avant l’installation du cluster:

    • déploiement d’OSD
    • avion de contrôle OSD
    • caractéristiques OpenShift-machine-api-gcp

    Le fait de ne pas le faire fera entrer le cluster dans l’état d’attente de l’installation. Dans ce cas, vous devez contacter le propriétaire de VPC du projet hôte pour attribuer les rôles aux comptes de service énumérés ci-dessus. Le propriétaire du VPC du projet hôte dispose de 30 jours pour accorder les autorisations énumérées avant l’échec de la création de cluster. Cliquez ici pour plus d’informations sur Activer un projet hôte et Provision Shared VPC.

    1. Choisissez Installer dans GCP Shared VPC.
    2. Indiquez l’ID du projet Host. Lorsque l’ID du projet hôte spécifié est incorrect, la création de cluster échoue.

    3. Lorsque vous avez choisi d’installer le cluster dans un VPC GCP existant, fournissez vos paramètres de sous-réseau Virtual Private Cloud (VPC) et sélectionnez Suivant. Il faut avoir créé la traduction d’adresse réseau Cloud (NAT) et un routeur Cloud. Consultez les ressources supplémentaires pour obtenir des informations sur les NAT Cloud et les VPC Google.

      Note

      Lorsque vous installez un cluster dans un VPC partagé, le nom et les sous-réseaux VPC sont partagés à partir du projet hôte.

  19. Cliquez sur Next.

  20. Lorsque vous avez choisi de configurer un proxy à l’échelle du cluster, fournissez les détails de la configuration de votre proxy sur la page proxy à l’échelle du cluster:

    1. Entrez une valeur dans au moins un des champs suivants:

      • Indiquez une URL proxy HTTP valide.
      • Indiquez une URL proxy HTTPS valide.
      • Dans le champ Autres paquets de confiance, fournissez un paquet de certificats X.509 codé PEM. Le paquet est ajouté au magasin de certificats de confiance pour les nœuds de cluster. Il est nécessaire d’obtenir un fichier de groupe de confiance supplémentaire si vous utilisez un proxy d’inspection TLS à moins que le certificat d’identité du proxy ne soit signé par une autorité du groupe de confiance Red Hat Enterprise Linux CoreOS (RHCOS). Cette exigence s’applique indépendamment du fait que le proxy soit transparent ou nécessite une configuration explicite en utilisant les arguments http-proxy et https-proxy.

    2. Cliquez sur Next.

      De plus amples informations sur la configuration d’un proxy avec OpenShift Dedicated, voir Configuration d’un proxy à l’échelle du cluster.

  21. Dans la boîte de dialogue des plages CIDR, configurez des gammes de routage interdomaine sans classe (CIDR) ou utilisez les valeurs par défaut fournies.

    Important

    Les configurations CIDR ne peuvent pas être modifiées ultérieurement. Confirmez vos sélections avec votre administrateur réseau avant de procéder.

    Lorsque la confidentialité du cluster est définie sur Private, vous ne pouvez pas accéder à votre cluster tant que vous n’avez pas configuré des connexions privées dans votre fournisseur de cloud.

  22. Dans la page Stratégie de mise à jour Cluster, configurez vos préférences de mise à jour:

    1. Choisissez une méthode de mise à jour de cluster:

      • Choisissez des mises à jour individuelles si vous souhaitez planifier chaque mise à jour individuellement. C’est l’option par défaut.

      • Choisissez les mises à jour récurrentes pour mettre à jour votre cluster le jour de votre choix et l’heure de début, lorsque des mises à jour sont disponibles.

        Note

        Consultez les dates de fin de vie dans la documentation du cycle de vie de la mise à jour pour OpenShift Dedicated. Consultez OpenShift Dedicated cycle de vie pour plus d’informations.

    2. Fournir l’approbation de l’administrateur en fonction de votre méthode de mise à jour de cluster:

      • Les mises à jour individuelles: Si vous sélectionnez une version de mise à jour qui nécessite l’approbation, fournissez la reconnaissance d’un administrateur et cliquez sur Approuver et continuer.
      • Les mises à jour récurrentes : Si vous avez sélectionné des mises à jour récurrentes pour votre cluster, fournissez la reconnaissance d’un administrateur et cliquez sur Approuver et continuer. Le gestionnaire de cluster OpenShift ne démarre pas les mises à jour programmées du flux y pour les versions mineures sans recevoir la reconnaissance d’un administrateur.
    3. Lorsque vous avez opté pour des mises à jour récurrentes, sélectionnez un jour préféré de la semaine et mettez à niveau l’heure de début en UTC dans les menus déroulants.
    4. Facultatif: Vous pouvez définir un délai de grâce pour le drainage des nœuds pendant les mises à niveau de cluster. Le délai de grâce d’une heure est fixé par défaut.

    5. Cliquez sur Next.

      Note

      En cas de problèmes de sécurité critiques qui ont un impact significatif sur la sécurité ou la stabilité d’un cluster, Red Hat Site Reliability Engineering (SRE) pourrait programmer des mises à jour automatiques de la dernière version z-stream qui n’est pas affectée. Les mises à jour sont appliquées dans les 48 heures suivant la notification des clients. La description de la cote de sécurité d’impact critique, voir Comprendre les cotes de sécurité Red Hat.

  23. Examinez le résumé de vos sélections et cliquez sur Créer un cluster pour démarrer l’installation du cluster. L’installation prend environ 30 à 40 minutes à compléter.

  24. Facultatif: Dans l’onglet Aperçu, vous pouvez activer la fonction de protection de suppression en sélectionnant Activer, qui est situé directement sous Supprimer Protection: Désactiver. Cela empêchera votre cluster d’être supprimé. Afin de désactiver la protection, sélectionnez Désactiver. Les clusters sont créés par défaut avec la fonction de protection de suppression désactivée.

    La vérification

    • Dans la page Aperçu de votre cluster, vous pouvez suivre l’avancement de l’installation. Les journaux d’installation sont affichés sur la même page. Le cluster est prêt lorsque l’état dans la section Détails de la page est listé comme prêt.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat