Red Hat Summit4.2. Des options de mode de création de clusters interactifs
En utilisant le mode interactif, vous pouvez créer un service Red Hat OpenShift sur AWS cluster avec AWS Security Token Service (STS). Activez le mode en spécifiant l’option --interactive lorsque vous exécutez la commande rosa create cluster.
Le tableau suivant décrit les options de mode de création de clusters interactifs:
| Le champ | Description |
|---|---|
|
| Entrez un nom pour votre cluster, par exemple my-rosa-cluster. |
|
| Entrez un nom pour le préfixe de domaine pour le sous-domaine de votre cluster, par exemple my-rosa-cluster. |
|
| Activer l’utilisation de plans de contrôle hébergés. |
|
| Créez un utilisateur administrateur local (cluster-admin) pour votre cluster. Cela configure automatiquement un fournisseur d’identité htpasswd pour l’utilisateur cluster-admin. |
|
| Créez un mot de passe personnalisé pour l’utilisateur de cluster-admin, ou utilisez un mot de passe généré par le système. Lorsque vous créez un mot de passe personnalisé, le mot de passe doit être d’au moins 14 caractères (norme CSAII) et ne contient aucun caractère d’espace blanc. Dans le cas où vous ne créez pas de mot de passe personnalisé, le système génère un mot de passe et l’affiche dans la sortie de la ligne de commande. |
|
| Créez un cluster OpenShift qui utilise le service de jetons de sécurité AWS (STS) pour allouer des informations d’identification temporaires et à privilèges limités pour les rôles AWS Identity and Access Management (IAM) spécifiques aux composants. Le service permet aux composants de cluster de faire des appels API AWS en utilisant des pratiques sécurisées de gestion des ressources dans le cloud. La valeur par défaut est Oui. |
|
| Choisissez la version d’OpenShift à installer, par exemple 4. La version par défaut est la dernière version. |
|
| Indiquez si toutes les instances EC2 utiliseront à la fois les points de terminaison v1 et v2 de EC2 Instance Metadata Service (IMDS) (facultatif) ou seulement IMDSv2 (requis). |
|
| Lorsque vous avez plus d’un ensemble de rôles de compte dans votre compte AWS pour la version de votre cluster, une liste de rôles d’installation ARNs sont fournies. Choisissez l’ARN pour le rôle d’installateur que vous souhaitez utiliser avec votre cluster. Le cluster utilise les rôles et les politiques à l’échelle du compte qui se rapportent au rôle d’installateur sélectionné. |
|
| Indiquez un identifiant unique qui est passé par OpenShift Cluster Manager et l’installateur OpenShift lorsqu’un rôle de compte est assumé. Cette option n’est requise que pour les rôles de compte personnalisés qui s’attendent à un identifiant externe. |
|
| Entrez un préfixe à attribuer aux rôles IAM d’opérateur spécifiques au cluster. La valeur par défaut est le nom du cluster et une chaîne aléatoire à 4 chiffres, par exemple my-rosa-cluster-a0b1. |
|
| Indiquez si vous souhaitez utiliser une configuration OIDC préconfigurée ou si vous souhaitez créer une nouvelle configuration OIDC dans le cadre du processus de création de cluster. |
|
| Indiquez une balise utilisée sur toutes les ressources créées par Red Hat OpenShift Service sur AWS dans AWS. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les ressources au sein d’AWS. Les étiquettes sont séparées par virgule, par exemple: "valeur clé, foo bar". Important Le service Red Hat OpenShift sur AWS ne prend en charge que les balises personnalisées des ressources Red Hat OpenShift lors de la création de clusters. Lorsqu’ils ont été ajoutés, les balises ne peuvent pas être supprimées ou modifiées. Les balises ajoutées par Red Hat sont nécessaires pour que les clusters restent en conformité avec les accords de niveau de production de Red Hat (SLA). Ces balises ne doivent pas être supprimées. Le service OpenShift Red Hat sur AWS ne prend pas en charge l’ajout de balises supplémentaires en dehors des ressources gérées par le cluster ROSA. Ces balises peuvent être perdues lorsque les ressources AWS sont gérées par le cluster ROSA. Dans ces cas, vous pourriez avoir besoin de solutions ou d’outils personnalisés pour réconcilier les balises et les garder intactes. |
|
| Déployez le cluster dans plusieurs zones de disponibilité dans la région AWS. La valeur par défaut est Non, ce qui entraîne le déploiement d’un cluster sur une seule zone de disponibilité. Lorsque vous déployez un cluster dans plusieurs zones de disponibilité, la région AWS doit disposer d’au moins 3 zones de disponibilité. Des zones de disponibilité multiples sont recommandées pour les charges de travail de production. |
|
| Indiquez la région AWS pour déployer le cluster. Cela remplace la variable d’environnement AWS_REGION. |
|
| Créez un cluster à l’aide d’AWS PrivateLink. Cette option offre une connectivité privée entre les clouds privés virtuels (VPC), les services AWS et vos réseaux locaux, sans exposer votre trafic à Internet public. Afin de fournir un support, Red Hat Site Reliability Engineering (SRE) peut se connecter au cluster en utilisant les points de terminaison AWS PrivateLink Virtual Private Cloud (VPC). Cette option ne peut pas être modifiée après la création d’un cluster. La valeur par défaut est Non. |
|
| Indiquez la plage d’adresses IP pour les machines (nœuds de cluster), qui doit englober toutes les gammes d’adresses CIDR pour vos sous-réseaux VPC. Les sous-réseaux doivent être contigus. La plage d’adresses IP minimale de 128 adresses, utilisant le préfixe de sous-réseau /25, est prise en charge pour les déploiements de zones de disponibilité uniques. La plage d’adresse minimale de 256 adresses, à l’aide du préfixe de sous-réseau /24, est prise en charge pour les déploiements utilisant plusieurs zones de disponibilité. La valeur par défaut est 10.0.0.0/16. Cette gamme ne doit pas entrer en conflit avec les réseaux connectés. |
|
| Indiquez la plage d’adresses IP pour les services. Il est recommandé, mais pas nécessaire, que le bloc d’adresse soit le même entre les clusters. Cela ne créera pas de conflits d’adresse IP. La gamme doit être suffisamment grande pour s’adapter à votre charge de travail. Le bloc d’adresse ne doit pas se chevaucher avec un service externe accessible depuis le cluster. La valeur par défaut est 172.30.0.0/16. |
|
| Indiquez la plage d’adresse IP pour les pods. Il est recommandé, mais pas nécessaire, que le bloc d’adresse soit le même entre les clusters. Cela ne créera pas de conflits d’adresse IP. La gamme doit être suffisamment grande pour s’adapter à votre charge de travail. Le bloc d’adresse ne doit pas se chevaucher avec un service externe accessible depuis le cluster. La valeur par défaut est 10.128.0.0/14. |
|
| Installez un cluster dans un VPC AWS existant. Afin d’utiliser cette option, votre VPC doit avoir 2 sous-réseaux pour chaque zone de disponibilité dans laquelle vous installez le cluster. La valeur par défaut est Non. |
|
| Indiquez les zones de disponibilité utilisées lors de l’installation dans un VPC AWS existant. Faites appel à une liste séparée par des virgules pour fournir les zones de disponibilité. Dans le cas où vous spécifiez Non, l’installateur sélectionne automatiquement les zones de disponibilité. |
|
| Activer cette option pour utiliser une clé AWS Key Management Service (KMS) spécifique comme clé de chiffrement pour les données persistantes. Cette clé fonctionne comme la clé de chiffrement pour le plan de contrôle, l’infrastructure et les volumes racine des nœuds de travail. La clé est également configurée sur la classe de stockage par défaut pour s’assurer que les volumes persistants créés avec la classe de stockage par défaut seront chiffrés avec la clé KMS spécifique. Lorsqu’elle est désactivée, la clé KMS du compte pour la région spécifiée est utilisée par défaut pour s’assurer que les données persistantes sont toujours cryptées. La valeur par défaut est Non. |
|
| Choisissez un type d’instance de nœud de calcul. La valeur par défaut est m5.xlarge. |
|
| Activer le calcul automatique du nœud. L’autoscaler ajuste la taille du cluster pour répondre à vos demandes de déploiement. La valeur par défaut est Non. |
|
| Choisissez les identifiants de groupe de sécurité personnalisés supplémentaires qui sont utilisés avec le pool de machines standard créé le long du cluster. La valeur par défaut n’est pas sélectionnée. Les groupes de sécurité associés au VPC sélectionné sont affichés. Il est possible de sélectionner un maximum de 5 groupes de sécurité supplémentaires. |
|
| Choisissez les identifiants de groupe de sécurité personnalisés supplémentaires qui sont utilisés avec les nœuds infra créés le long du cluster. La valeur par défaut n’est pas sélectionnée. Les groupes de sécurité associés au VPC sélectionné sont affichés. Il est possible de sélectionner un maximum de 5 groupes de sécurité supplémentaires. |
|
| Choisissez les identifiants de groupe de sécurité personnalisés supplémentaires qui sont utilisés avec les nœuds de plan de contrôle créés le long du cluster. La valeur par défaut n’est pas sélectionnée. Les groupes de sécurité associés au VPC sélectionné sont affichés. Il est possible de sélectionner un maximum de 5 groupes de sécurité supplémentaires. |
|
| Indiquez le nombre de nœuds de calcul à fournir dans chaque zone de disponibilité. Les clusters déployés dans une seule zone de disponibilité nécessitent au moins 2 nœuds. Les clusters déployés dans plusieurs zones doivent avoir au moins 3 nœuds. Le nombre maximum de nœuds ouvriers est de 249 nœuds. La valeur par défaut est 2. |
|
| Indiquez les étiquettes du pool de machines par défaut. Le format de l’étiquette doit être une liste séparée par virgule de paires clés-valeur. Cette liste écrasera les modifications apportées aux étiquettes des nœuds sur une base continue. |
|
| Indiquez la longueur de préfixe du sous-réseau assignée aux pods programmés aux machines individuelles. Le préfixe hôte détermine le pool d’adresses IP pod pour chaque machine. Ainsi, si le préfixe hôte est réglé sur /23, chaque machine se voit attribuer un sous-réseau /23 à partir de la plage d’adresses CIDR pod. La valeur par défaut est /23, permettant 512 nœuds de cluster et 512 pods par nœud, qui sont tous deux au-delà de nos maximums pris en charge. Afin d’obtenir de l’information sur les maximums pris en charge, consultez la section Ressources supplémentaires ci-dessous. |
|
| Indiquez la taille du disque racine du pool machine. Cette valeur doit inclure un suffixe unitaire comme GiB ou TiB, par exemple la valeur par défaut de 300GiB. |
|
| Activer ou désactiver le mode FIPS. La valeur par défaut est fausse (désactivée). Lorsque le mode FIPS est activé, les machines Red Hat Enterprise Linux CoreOS (RHCOS) que Red Hat OpenShift Service sur AWS exécute sur contournent la suite de cryptographie Kubernetes par défaut et utilisent les modules de cryptographie fournis avec RHCOS. Important Afin d’activer le mode FIPS pour votre cluster, vous devez exécuter le programme d’installation à partir d’un ordinateur {op-system-base-full} configuré pour fonctionner en mode FIPS. Afin de plus d’informations sur la configuration du mode FIPS sur {op-system-base}, consultez Switching {op-system-base} en mode FIPS. Lors de l’exécution {op-system-base-full} ou Red Hat Enterprise Linux CoreOS (RHCOS) démarré en mode FIPS, Red Hat OpenShift Service sur les composants de base AWS utilisent les bibliothèques cryptographiques {op-system-base} qui ont été soumises au NIST pour FIPS 140-2/140-3 Validation sur seulement les architectures x86_64, ppc64le et s390x. |
|
| Dans Red Hat OpenShift Service sur AWS, le stockage du plan de contrôle est crypté au repos par défaut et cela inclut le cryptage des volumes etcd. En outre, vous pouvez activer l’option de données cryptées etcd pour chiffrer les valeurs clés de certaines ressources en etcd, mais pas les clés. Important En activant le chiffrement etcd pour les valeurs clés dans etcd, vous subirez un surcharge de performance d’environ 20%. Les frais généraux sont le résultat de l’introduction de cette deuxième couche de chiffrement, en plus du chiffrement de stockage de plan de contrôle par défaut qui crypte les volumes etcd. Le Red Hat vous recommande d’activer le chiffrement etc. uniquement si vous en avez spécifiquement besoin pour votre cas d’utilisation. |
|
| Désactiver la surveillance des projets définis par l’utilisateur. La surveillance des projets définis par l’utilisateur est activée par défaut. |
|
| Indiquez le sélecteur d’itinéraire pour votre entrée. Le format doit être une liste séparée par les virgules de paires clé-valeur. Dans le cas où vous ne spécifiez pas une étiquette, tous les itinéraires seront exposés sur les deux routeurs. Ces étiquettes sont des étiquettes d’inclusion; sinon, elles sont traitées comme des étiquettes d’exclusion. |
|
| Indiquez les espaces de noms exclus pour votre entrée. Le format devrait être une valeur de liste séparée par des virgules1, valeur2…. Dans le cas où vous ne spécifiez pas de valeurs, tous les espaces de noms seront exposés. |
|
| Choisissez la politique de wildcard pour votre entrée. Les options sont WildcardsDisallowed et WildcardsAllowed. La valeur par défaut est WildcardsDisallowed. |
|
| Choisissez la politique de propriété de l’espace de noms pour votre entrée. Les options sont Strict et InterNamespaceAllowed. La valeur par défaut est Strict. |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}