Red Hat Summit2.3. La procédure client requise
Le modèle Customer Cloud Subscription (CCS) permet à Red Hat de déployer et de gérer OpenShift Dedicated dans le projet Google Cloud Platform (GCP) d’un client. Le Red Hat nécessite plusieurs conditions préalables pour fournir ces services.
Les exigences suivantes dans cette rubrique s’appliquent aux clusters OpenShift Dedicated on Google Cloud Platform (GCP) créés à la fois à l’aide du compte de service et du type d’authentification de la Fédération d’identité de charge de travail. En ce qui concerne les exigences supplémentaires qui s’appliquent uniquement au type d’authentification de compte de service, consultez la procédure d’authentification de compte Service. En ce qui concerne les exigences supplémentaires qui s’appliquent uniquement au type d’authentification de la Fédération d’identité de la charge de travail, consultez la procédure d’authentification de la Fédération des identités de travail.
Conditions préalables
Avant d’utiliser OpenShift Dedicated dans votre projet GCP, confirmez que les contraintes de stratégie organisationnelles suivantes sont configurées correctement le cas échéant:
contraintes/iam.allowedPolicyMemberDomains- Cette contrainte de politique n’est prise en charge que si les identifiants C02k0l5e8 et C04j7mbwl de Red Hat sont inclus dans la liste d’autorisation.
contraintes/calcul.restrictLoadBalancerCreationForTypesCette contrainte de stratégie n’est prise en charge que lors de la création d’un cluster privé avec GCP Private Service Connect (PSC). Il faut s’assurer que le type d’équilibreur de charge INTERNAL_TCP_UDP est inclus dans la liste d’autorisation ou exclu de la liste de refus.
ImportantBien que le type d’équilibrage de charge EXTERNAL_NETWORK_TCP_UDP ne soit pas nécessaire lors de la création d’un cluster privé avec GCP Private Service Connect (PSC), son refus via cette contrainte empêchera le cluster de créer des équilibreurs de charge accessibles en externe.
contraintes/calcul.requireShieldedVm- Cette contrainte de stratégie n’est prise en charge que si le cluster est créé avec le support Enable Secure Boot pour les machines virtuelles protégées sélectionnées lors de la création initiale du cluster.
contraintes/calcul.vmExternalIpAccess- Cette contrainte de stratégie n’est prise en charge que lors de la création d’un cluster privé avec GCP Private Service Connect (PSC). Dans tous les autres types de clusters, cette contrainte de stratégie n’est prise en charge qu’après la création de clusters.
Procédure
- Créez un projet Google Cloud pour héberger le cluster OpenShift dédié.
Activez les API requises suivantes dans le projet qui héberge votre cluster OpenShift Dedicated:
Expand Tableau 2.1. Les services d’API requis Le service d’API Console Nom du service But déploiementmanager.googleapis.comUtilisé pour le déploiement et la gestion automatisés des ressources de l’infrastructure.
calcul.googleapis.comIl est utilisé pour créer et gérer des machines virtuelles, des pare-feu, des réseaux, des volumes de disque persistants et des équilibreurs de charge.
cloudresourcemanager.googleapis.comUtilisé pour obtenir des projets, obtenir ou définir une politique IAM pour les projets, valider les autorisations requises et le marquage.
DNS.googleapis.comIl est utilisé pour créer des zones DNS et gérer les enregistrements DNS pour les domaines de cluster.
iamcredentials.googleapis.comIl est utilisé pour créer des informations d’identification de courte durée pour usurper les comptes de services IAM.
IAM.googleapis.comIl est utilisé pour gérer la configuration IAM pour le cluster.
à propos de ServiceManagement.googleapis.comUtilisé indirectement pour obtenir des informations sur les quotas pour les ressources du PCG.
à propos de Serviceusage.googleapis.comIl est utilisé pour déterminer quels services sont disponibles dans le compte Google Cloud du client.
débarrasseurs-api.googleapis.comIl est utilisé pour accéder à Cloud Storage pour le registre des images, l’allumage et les sauvegardes de clusters (le cas échéant).
le site Storage-component.googleapis.comIl est utilisé pour gérer le stockage en nuage pour le registre des images, l’allumage et les sauvegardes de clusters (le cas échéant).
le site Orgpolicy.googleapis.comIl est utilisé pour identifier les règles de gouvernance appliquées au Google Cloud du client qui pourraient avoir un impact sur la création ou la gestion de clusters.
IAP.googleapis.com [*]
Il est utilisé dans les situations d’urgence pour dépanner les nœuds de cluster qui sont autrement inaccessibles.
Cette API est requise pour les clusters déployés avec Private Service Connect.
2.3.1. Procédure d’authentification de compte de service
En plus des procédures client requises énumérées dans la procédure client requise, il y a d’autres actions spécifiques que vous devez prendre lors de la création d’un cluster dédié OpenShift sur Google Cloud Platform (GCP) en utilisant un compte de service comme type d’authentification.
Procédure
Afin d’assurer que Red Hat puisse effectuer les actions nécessaires, vous devez créer un utilisateur de compte de service IAM osd-ccs-admin dans le cadre du projet GCP.
Les rôles suivants doivent être attribués au compte de service:
Expand Tableau 2.2. Les rôles requis Le rôle Console nom de rôle Calculer l’admin
les rôles/calcul.adminAdministrateur DNS
les rôles/dns.adminAffichage de la politique d’organisation
les rôles/orgpolicy.policyViewerAdministrateur de la gestion des services
les rôles et la gestion des services.adminAdministration d’utilisation du service
les rôles/serviceusage.serviceUsageAdminAdministrateur de stockage
les rôles/storage.adminCalculez l’équilibreur de charge Admin
fonctions/compute.loadBalancerAdminAffichage des rôles
les rôles et le spectateurAdministrateur de rôle
les rôles/iam.roleAdminAdministration de sécurité
les rôles/iam.securityAdminCompte de service Admin clé
les rôles/iam.serviceAccountKeyAdminCompte de service Admin
les rôles/iam.serviceAccountAdminCompte de service Utilisateur
les rôles/iam.serviceAccountUser- Créez la clé de compte de service pour le compte de service osd-ccs-admin IAM. Exportez la clé vers un fichier nommé osServiceAccount.json; ce fichier JSON sera téléchargé dans Red Hat OpenShift Cluster Manager lorsque vous créez votre cluster.
2.3.2. La procédure de type d’authentification de la Fédération d’identité de la charge de travail
En plus des procédures client requises énumérées dans la procédure client requise, il y a d’autres actions spécifiques que vous devez prendre lors de la création d’un cluster dédié OpenShift sur Google Cloud Platform (GCP) en utilisant Workload Identity Federation comme type d’authentification.
Procédure
Attribuez les rôles suivants au compte de service de l’utilisateur mettant en œuvre le type d’authentification de la Fédération d’identité de la charge de travail:
Expand Tableau 2.3. Les rôles requis Le rôle Console nom de rôle But du rôle Administrateur de rôle
les rôles/iam.roleAdminRequis par le client GCP dans le CLI OCM pour créer des rôles personnalisés.
Compte de service Admin
les rôles/iam.serviceAccountAdminBesoin de pré-créer le compte de services requis par le déployeur OSD, le support et les opérateurs.
Gestion du pool d’identité de la charge de travail
les rôles/iam.workloadIdentityPoolAdminIl est nécessaire de créer et de configurer le pool d’identités de la charge de travail.
Administration du projet IAM
les rôles/resourcemanager.projectIamAdminIl est nécessaire d’attribuer des rôles au compte de service et de donner des autorisations aux rôles nécessaires à l’exécution des opérations sur les ressources cloud.
Installez l’interface de ligne de commande de l’API OpenShift Cluster Manager (ocm).
Afin d’utiliser le CLI OCM, vous devez vous authentifier auprès de votre compte Red Hat OpenShift Cluster Manager. Ceci est accompli avec le jeton API OpenShift Cluster Manager.
Ici, vous pouvez obtenir votre jeton.
Afin de vous authentifier par rapport à votre compte Red Hat OpenShift Cluster Manager, exécutez la commande suivante:
ocm login --token <token>
$ ocm login --token <token>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- <token> avec votre jeton API OpenShift Cluster Manager.
ImportantL’interface de ligne de commande de l’API OpenShift Cluster Manager (ocm) est uniquement une fonctionnalité d’aperçu technologique. En savoir plus sur la portée du support des fonctionnalités de Red Hat Technology Preview, voir la portée du support des fonctionnalités d’aperçu de la technologie.
- Installez le gcloud CLI.
- Authentifier le gcloud CLI avec les identifiants par défaut d’application (ADC).
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}