Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

3.3. Création d’un cluster avec authentification de compte de service à l’aide d’OpenShift Cluster Manager

Procédure

  1. Connectez-vous à OpenShift Cluster Manager et cliquez sur Créer un cluster.
  2. Dans la page Créer un cluster OpenShift, sélectionnez Créer un cluster dans la ligne Red Hat OpenShift dédiée.

  3. Dans le modèle de facturation, configurez le type d’abonnement et le type d’infrastructure:

    1. Choisissez un type d’abonnement. En ce qui concerne les options d’abonnement dédiées à OpenShift, consultez les abonnements Cluster et l’inscription dans la documentation OpenShift Cluster Manager.

      Note

      Les types d’abonnement qui vous sont disponibles dépendent de vos abonnements OpenShift dédiés et des quotas de ressources. Le Red Hat recommande de déployer votre cluster avec le type d’abonnement à la demande acheté via la plateforme Google Cloud Platform (GCP) Marketplace. Cette option offre une facturation flexible basée sur la consommation, la consommation de capacité supplémentaire est sans friction, et aucune intervention Red Hat n’est requise.

      Contactez votre représentant commercial ou votre support Red Hat pour plus d’informations.

    2. Choisissez le type d’infrastructure d’abonnement au cloud client pour déployer OpenShift Dedicated dans un compte de fournisseur de cloud existant que vous possédez.
    3. Cliquez sur Next.
  4. Choisissez Exécuter sur Google Cloud Platform.

  5. Choisissez Compte de service comme type d’authentification.

    Note

    Le Red Hat recommande d’utiliser Workload Identity Federation comme type d’authentification. Afin d’obtenir de plus amples informations, voir Création d’un cluster sur GCP avec l’authentification de la Fédération de l’identité de la charge de travail dans la section Ressources supplémentaires.

  6. Examinez et complétez les Prérequis listés.
  7. Choisissez la case à cocher pour reconnaître que vous avez lu et rempli toutes les conditions préalables.
  8. Fournissez votre clé privée de votre compte de service GCP au format JSON. Cliquez sur Parcourir pour localiser et joindre un fichier JSON ou ajouter les détails dans le champ JSON du compte Service.
  9. Cliquez sur Suivant pour valider votre compte de fournisseur de cloud et accédez à la page Détails du cluster.

  10. Dans la page Détails du cluster, fournissez un nom pour votre cluster et spécifiez les détails du cluster:

    1. Ajoutez un nom de cluster.

    2. Facultatif: Création de cluster génère un préfixe de domaine en tant que sous-domaine pour votre cluster provisionné sur openshiftapps.com. Lorsque le nom du cluster est inférieur ou égal à 15 caractères, ce nom est utilisé pour le préfixe de domaine. Lorsque le nom du cluster est supérieur à 15 caractères, le préfixe de domaine est généré au hasard sur une chaîne de 15 caractères.

      Afin de personnaliser le sous-domaine, sélectionnez la case à cocher Créer un préfixe de domaine, puis entrez le nom de préfixe de domaine dans le champ Préfixe de domaine. Le préfixe de domaine ne peut pas dépasser 15 caractères, doit être unique au sein de votre organisation et ne peut pas être modifié après la création de clusters.

    3. Choisissez une version de cluster dans le menu déroulant Version.

      Important

      Les clusters configurés avec Private Service Connect (PSC) ne sont pris en charge que sur OpenShift Dedicated version 4.17 et ultérieure. De plus amples renseignements sur la CFP, voir Aperçu du service privé dans la section Ressources supplémentaires.

    4. Choisissez une région fournisseur de cloud dans le menu déroulant Région.
    5. Choisissez une configuration de zone unique ou multi-zone.

    6. Facultatif: Sélectionnez Activer le démarrage sécurisé pour les machines virtuelles blindées pour utiliser des machines virtuelles blindées lors de l’installation de votre cluster. Consultez les machines virtuelles blindées pour plus d’informations.

      Important

      Afin de créer avec succès un cluster, vous devez sélectionner la prise en charge Enable Secure Boot pour les machines virtuelles protégées si votre organisation dispose des contraintes de contrainte de stratégie/compute.requireShieldedVm activée. Afin d’obtenir de plus amples renseignements sur les contraintes de politique organisationnelle du PCG, voir les contraintes de politique de l’Organisation.

    7. Laissez activer la surveillance de la charge de travail de l’utilisateur sélectionnée pour surveiller vos propres projets indépendamment des métriques de la plate-forme Red Hat Site Reliability Engineer (SRE). Cette option est activée par défaut.

  11. Facultatif: Expandez le chiffrement avancé pour apporter des modifications aux paramètres de chiffrement.

    1. Choisissez Utilisez les touches KMS personnalisées pour utiliser des clés KMS personnalisées. Lorsque vous préférez ne pas utiliser les touches KMS personnalisées, laissez le paramètre par défaut Utilisez les clés KMS par défaut.

      Important

      Afin d’utiliser des clés KMS personnalisées, le compte de service IAM osd-ccs-admin doit être accordé au rôle Cloud KMS CryptoKey Encrypter/Décrypteur. Afin d’obtenir de plus amples renseignements sur l’octroi de rôles sur une ressource, consultez les rôles de subvention sur une ressource.

    2. Avec les touches KMS personnalisées sélectionnées:

      1. Choisissez l’emplacement d’un porte-clés dans le menu déroulant de l’emplacement de l’anneau clé.
      2. Choisissez un porte-clés dans le menu déroulant Key Ring.
      3. Choisissez un nom de clé dans le menu déroulant Nom de la clé.
      4. Fournissez le compte de service KMS.

    3. Facultatif: Sélectionnez Activer la cryptographie FIPS si vous exigez que votre cluster soit validé FIPS.

      Note

      Lorsque la cryptographie FIPS est sélectionnée, Activer le chiffrement etcd supplémentaire est activé par défaut et ne peut pas être désactivé. Activez le chiffrement supplémentaire etcd sans sélectionner Activer la cryptographie FIPS.

    4. Facultatif: Sélectionnez Activer le chiffrement supplémentaire etcd si vous avez besoin d’un cryptage de valeur clé etcd. Avec cette option, les valeurs de clé etcd sont cryptées, mais pas les clés. Cette option s’ajoute au chiffrement de stockage de plan de contrôle qui chiffre les volumes etcd dans les clusters dédiés OpenShift par défaut.

      Note

      En activant un chiffrement supplémentaire etcd, vous subirez des frais généraux de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Envisagez d’activer le chiffrement etcd seulement si vous en avez spécifiquement besoin pour votre cas d’utilisation.

    5. Cliquez sur Next.
  12. Dans la page de pool machine par défaut, sélectionnez un type d’instance de nœud de calcul dans le menu déroulant.

  13. Facultatif: Sélectionnez la case à cocher Autoscaling pour activer l’autoscaling.

    1. Cliquez sur Modifier les paramètres d’autoscaling du cluster pour apporter des modifications aux paramètres de mise à l’échelle automatique.
    2. Lorsque vous avez apporté vos modifications souhaitées, cliquez sur Fermer.
    3. Choisissez un nombre minimum et maximum de nœuds. Les nombres de nœuds peuvent être sélectionnés en engageant les signes plus et moins disponibles ou en entrant le nombre de nœuds souhaité dans le champ d’entrée du nombre.

  14. Choisissez un nombre de nœuds de calcul dans le menu déroulant.

    Note

    Lorsque vous utilisez plusieurs zones de disponibilité, le nombre de nœuds de calcul est par zone. Après la création de votre cluster, vous pouvez modifier le nombre de nœuds de calcul dans votre cluster, mais vous ne pouvez pas modifier le type d’instance de nœud de calcul dans un pool de machines. Le nombre et les types de nœuds à votre disposition dépendent de votre abonnement OpenShift dédié.

  15. En option: Expandez Ajoutez des étiquettes pour ajouter des étiquettes à vos nœuds. Cliquez sur Ajouter une étiquette supplémentaire pour ajouter une étiquette de nœud supplémentaire et sélectionnez Suivant.

    Important

    Cette étape se réfère aux étiquettes de Kubernetes, et non de Google Cloud. En savoir plus sur les étiquettes Kubernetes, voir Labels et Selectors.

  16. Dans la page de configuration réseau, sélectionnez Public ou Privé pour utiliser des points de terminaison API publics ou privés et des itinéraires d’application pour votre cluster.

    Lorsque vous sélectionnez PrivateShift Dedicated version 4.17 ou version ultérieure en tant que version de cluster, Utilisez Private Service Connect est sélectionné par défaut. Le Private Service Connect (PSC) est la fonctionnalité de mise en réseau renforcée par la sécurité de Google Cloud. En cliquant sur la case Utiliser le service privé Connect, vous pouvez désactiver PSC.

    Note

    Le Red Hat recommande d’utiliser Private Service Connect lors du déploiement d’un cluster privé OpenShift dédié sur Google Cloud. Le service privé Connect garantit une connectivité privée sécurisée entre l’infrastructure Red Hat, l’ingénierie de fiabilité du site (SRE) et les clusters privés OpenShift dédiés.

    Important

    Lorsque vous utilisez des points de terminaison d’API privés, vous ne pouvez pas accéder à votre cluster tant que vous n’avez pas mis à jour les paramètres réseau de votre compte fournisseur de cloud.

  17. Facultatif: Pour installer le cluster dans un GCP Virtual Private Cloud (VPC) existant:

    1. Choisissez Installer dans un VPC existant.

      Important

      Le service privé Connect est pris en charge uniquement avec Install dans un VPC existant.

    2. Lorsque vous installez dans un VPC existant et que vous souhaitez activer un proxy HTTP ou HTTPS pour votre cluster, sélectionnez Configurer un proxy à l’échelle du cluster.

      Important

      Afin de configurer un proxy à l’échelle du cluster pour votre cluster, vous devez d’abord créer la traduction d’adresse réseau Cloud (NAT) et un routeur Cloud. Consultez la section Ressources supplémentaires pour plus d’informations.

  18. Acceptez les paramètres d’entrée de l’application par défaut, ou pour créer vos propres paramètres personnalisés, sélectionnez Paramètres personnalisés.

    1. Facultatif: Fournir le sélecteur d’itinéraire.
    2. Facultatif: Fournir des espaces de noms exclus.
    3. Choisissez une politique de propriété d’espace de noms.

    4. Choisissez une politique de wildcard.

      Cliquez sur l’icône d’information fournie pour chaque paramètre.

  19. Cliquez sur Next.

  20. Facultatif: Pour installer le cluster dans un PCV partagé GCP:

    Important

    Afin d’installer un cluster dans un PCV partagé, vous devez utiliser OpenShift Dedicated version 4.13.15 ou ultérieure. De plus, le propriétaire de VPC du projet hôte doit activer un projet en tant qu’hôte dans sa console Google Cloud. Consultez Activer un projet hôte pour plus d’informations.

    1. Choisissez Installer dans GCP Shared VPC.

    2. Indiquez l’ID du projet Host. Lorsque l’ID du projet hôte spécifié est incorrect, la création de cluster échoue.

      Important

      Lorsque vous avez terminé les étapes de l’assistant de configuration du cluster et cliquez sur Créer un cluster, le cluster entrera dans l’état "Installation en attente". À ce stade, vous devez contacter le propriétaire de VPC du projet hôte, qui doit attribuer au compte de service généré dynamiquement les rôles suivants : Administrateur réseau de calcul, administrateur de sécurité de calcul, administrateur de projet IAM et administrateur DNS. Le propriétaire du VPC du projet hôte dispose de 30 jours pour accorder les autorisations énumérées avant l’échec de la création de cluster. Afin d’obtenir de l’information sur les autorisations VPC partagées, consultez Provision Shared VPC.

  21. Lorsque vous avez choisi d’installer le cluster dans un VPC GCP existant, fournissez vos paramètres de sous-réseau Virtual Private Cloud (VPC) et sélectionnez Suivant. Il faut avoir créé la traduction d’adresse réseau Cloud (NAT) et un routeur Cloud. Consultez la section « Ressources supplémentaires » pour obtenir des informations sur les NAT Cloud et les VPC Google.

    Note

    Lorsque vous installez un cluster dans un VPC partagé, le nom et les sous-réseaux VPC sont partagés à partir du projet hôte.

  22. Lorsque vous avez choisi de configurer un proxy à l’échelle du cluster, fournissez les détails de la configuration de votre proxy sur la page proxy à l’échelle du cluster:

    1. Entrez une valeur dans au moins un des champs suivants:

      • Indiquez une URL proxy HTTP valide.
      • Indiquez une URL proxy HTTPS valide.
      • Dans le champ Autres paquets de confiance, fournissez un paquet de certificats X.509 codé PEM. Le paquet est ajouté au magasin de certificats de confiance pour les nœuds de cluster. Il est nécessaire d’obtenir un fichier de groupe de confiance supplémentaire si vous utilisez un proxy d’inspection TLS à moins que le certificat d’identité du proxy ne soit signé par une autorité du groupe de confiance Red Hat Enterprise Linux CoreOS (RHCOS). Cette exigence s’applique indépendamment du fait que le proxy soit transparent ou nécessite une configuration explicite en utilisant les arguments http-proxy et https-proxy.

    2. Cliquez sur Next.

      De plus amples informations sur la configuration d’un proxy avec OpenShift Dedicated, voir Configuration d’un proxy à l’échelle du cluster.

  23. Dans la boîte de dialogue des plages CIDR, configurez des gammes de routage interdomaine sans classe (CIDR) ou utilisez les valeurs par défaut fournies.

    Note

    Lorsque vous installez dans un VPC, la gamme Machine CIDR doit correspondre aux sous-réseaux VPC.

    Important

    Les configurations CIDR ne peuvent pas être modifiées ultérieurement. Confirmez vos sélections avec votre administrateur réseau avant de procéder.

  24. Dans la page Stratégie de mise à jour Cluster, configurez vos préférences de mise à jour:

    1. Choisissez une méthode de mise à jour de cluster:

      • Choisissez des mises à jour individuelles si vous souhaitez planifier chaque mise à jour individuellement. C’est l’option par défaut.

      • Choisissez les mises à jour récurrentes pour mettre à jour votre cluster le jour de votre choix et l’heure de début, lorsque des mises à jour sont disponibles.

        Note

        Consultez les dates de fin de vie dans la documentation du cycle de vie de la mise à jour pour OpenShift Dedicated. Consultez OpenShift Dedicated cycle de vie pour plus d’informations.

    2. Fournir l’approbation de l’administrateur en fonction de votre méthode de mise à jour de cluster:

      • Les mises à jour individuelles: Si vous sélectionnez une version de mise à jour qui nécessite l’approbation, fournissez la reconnaissance d’un administrateur et cliquez sur Approuver et continuer.
      • Les mises à jour récurrentes : Si vous avez sélectionné des mises à jour récurrentes pour votre cluster, fournissez la reconnaissance d’un administrateur et cliquez sur Approuver et continuer. Le gestionnaire de cluster OpenShift ne démarre pas les mises à jour programmées du flux y pour les versions mineures sans recevoir la reconnaissance d’un administrateur.
    3. Lorsque vous avez opté pour des mises à jour récurrentes, sélectionnez un jour préféré de la semaine et mettez à niveau l’heure de début en UTC dans les menus déroulants.
    4. Facultatif: Vous pouvez définir un délai de grâce pour le drainage des nœuds pendant les mises à niveau de cluster. Le délai de grâce d’une heure est fixé par défaut.

    5. Cliquez sur Next.

      Note

      En cas de problèmes de sécurité critiques qui ont un impact significatif sur la sécurité ou la stabilité d’un cluster, Red Hat Site Reliability Engineering (SRE) pourrait programmer des mises à jour automatiques de la dernière version z-stream qui n’est pas affectée. Les mises à jour sont appliquées dans les 48 heures suivant la notification des clients. La description de la cote de sécurité d’impact critique, voir Comprendre les cotes de sécurité Red Hat.

  25. Examinez le résumé de vos sélections et cliquez sur Créer un cluster pour démarrer l’installation du cluster. L’installation prend environ 30 à 40 minutes à compléter.

  26. Facultatif: Dans l’onglet Aperçu, vous pouvez activer la fonction de protection de suppression en sélectionnant Activer, qui est situé directement sous Supprimer Protection: Désactiver. Cela empêchera votre cluster d’être supprimé. Afin de désactiver la protection, sélectionnez Désactiver. Les clusters sont créés par défaut avec la fonction de protection de suppression désactivée.

    Note

    Lorsque vous supprimez un cluster installé dans un PCV partagé GCP, informez le propriétaire de VPC du projet hôte de supprimer les rôles de stratégie IAM attribués au compte de service référencé lors de la création de cluster.

La vérification

  • Dans la page Aperçu de votre cluster, vous pouvez suivre l’avancement de l’installation. Les journaux d’installation sont affichés sur la même page. Le cluster est prêt lorsque l’état dans la section Détails de la page est listé comme prêt.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat