4.14. AWS Local Zones を使用したクラスターインストール

OpenShift Container Platform バージョン 4.12 では、Amazon Web Services (AWS) 上のクラスターを既存の VPC にインストールし、AWS Local Zones を使用してクラウドインフラストラクチャーのエッジにワーカーを拡張できます。

Amazon Web Service (AWS) Local Zone 環境を作成し、クラスターをデプロイすると、エッジワーカーノードを使用して Local Zone サブネットでユーザーワークロードを作成できます。

AWS Local Zones は、クラウドリソースをメトロポリタンリージョンの近くに配置するインフラストラクチャーの一種です。詳細は、AWS Local Zones Documentation を参照してください。

OpenShift Container Platform は、Local Zone サブネットを使用して既存の VPC にインストールできます。Local Zone サブネットを使用して、通常のワーカーのノードをエッジネットワークに拡張できます。エッジワーカーノードは、ユーザーワークロードの実行専用です。

VPC とサブネットを作成する 1 つの方法として、提供される CloudFormation テンプレートを使用できます。テンプレートを変更してインフラストラクチャーをカスタマイズしたり、それらに含まれる情報を使用し、所属する会社のポリシーに基づいて AWS オブジェクトを作成したりできます。

重要

インストーラーによってプロビジョニングされるインフラストラクチャーのインストールする手順は、例としてのみ提供されます。独自にプロビジョニングする VPC でクラスターをインストールするには、クラウドプロバイダーおよび OpenShift Container Platform のインストールプロセスについて理解している必要があります。これらの手順を実行するか、独自の手順を作成するのに役立つ CloudFormation テンプレートが提供されます。他の方法を使用して必要なリソースを作成することもできます。これらのテンプレートはサンプルとしてのみ提供されます。

4.14.1. 前提条件

OpenShift Container Platform のインストールおよび更新プロセスの詳細を確認した。
クラスターインストール方法の選択およびそのユーザー向けの準備を確認した。
クラスターをホストするために AWS アカウントを設定している。
重要
AWS プロファイルがご使用のコンピューターに保存されている場合、マルチファクター認証デバイスを使用中に生成した一時的なセッショントークンを使用することはできません。クラスターは継続的に現行の AWS 認証情報を使用して、クラスターの有効期間全体にわたって AWS リソースを作成するため、キーをベースとした有効期間の長い認証情報を使用する必要があります。適切なキーを生成するには、AWS ドキュメントの Managing Access Keys for IAM Users を参照してください。キーは、インストールプログラムの実行時に指定できます。
ネットワークリソースを作成するために、リージョンとサポートされている AWS ローカルゾーンの場所を書き留めている。
各 AWS Local Zones の場所の機能を読了している。
AWS CLI をダウンロードし、これをコンピューターにインストールしている。AWS ドキュメントの Install the AWS CLI Using the Bundled Installer (Linux, macOS, or UNIX) を参照してください。
ファイアウォールを使用する場合は、クラスターがアクセスを必要とするサイトを許可するようにファイアウォールを設定する必要がある。
注記
プロキシーを設定する場合は、このサイトリストも確認してください。
お使いの環境でクラウドアイデンティティーおよびアクセス管理 (IAM) API にアクセスできない場合や、管理者レベルの認証情報シークレットを kube-system namespace に保存することを望まない場合は、IAM 認証情報を手動で作成および維持することができます。

4.14.2. AWS Local Zone でのクラスターの制限

Amazon Web Services (AWS) ローカルゾーンにデフォルトのインストール設定でクラスターをデプロイしようとすると、いくつかの制限が存在します。

重要

次のリストは、AWS Local Zones にクラスターをデプロイする際の制限事項の詳細を示しています。

ローカルゾーンの Amazon EC2 インスタンスとリージョンの Amazon EC2 インスタンス間の最大転送単位 (MTU) は 1300 です。これにより、クラスター全体のネットワーク MTU が、デプロイで使用されるネットワークプラグインに従って変更されます。
Network Load Balancer (NLB)、Classic Load Balancer、Network Address Translation (NAT) Gateway などのネットワークリソースは、AWS Local Zones ではサポートされていません。
AWS 上の OpenShift Container Platform クラスターの場合、AWS Elastic Block Storage (EBS) gp3 タイプのボリュームがノードボリュームのデフォルトであり、ストレージクラスのデフォルトです。このボリュームタイプは、ローカルゾーンの場所ではグローバルに利用できません。デフォルトでは、ローカルゾーンで実行されているノードは gp2 EBS ボリュームでデプロイされます。ローカルゾーンノードでワークロードを作成するときは、gp2-csi StorageClass を設定する必要があります。

関連情報

ストレージクラス

4.14.3. OpenShift Container Platform のインターネットアクセス

OpenShift Container Platform 4.12 では、クラスターをインストールするためにインターネットアクセスが必要になります。

インターネットへのアクセスは以下を実行するために必要です。

OpenShift Cluster Manager Hybrid Cloud Console にアクセスし、インストールプログラムをダウンロードし、サブスクリプション管理を実行します。クラスターにインターネットアクセスがあり、Telemetry を無効にしない場合、そのサービスは有効なサブスクリプションでクラスターを自動的に使用します。
クラスターのインストールに必要なパッケージを取得するために Quay.io にアクセスします。
クラスターの更新を実行するために必要なパッケージを取得します。

重要

クラスターでインターネットに直接アクセスできない場合、プロビジョニングする一部のタイプのインフラストラクチャーでネットワークが制限されたインストールを実行できます。このプロセスで、必要なコンテンツをダウンロードし、これを使用してミラーレジストリーにインストールパッケージを設定します。インストールタイプによっては、クラスターのインストール環境でインターネットアクセスが不要となる場合があります。クラスターを更新する前に、ミラーレジストリーのコンテンツを更新します。

4.14.4. AWS Local Zones へのオプトイン

AWS Local Zones にサブネットを作成する場合は、各ゾーングループに個別にオプトインする必要があります。

前提条件

AWS CLI をインストールしている。
OpenShift Container Platform クラスターをデプロイするリージョンを決定している。

手順

以下のコマンドを実行して、OpenShift Container Platform クラスターをデプロイする予定のリージョンの名前を含む変数をエクスポートします。
```
$ export CLUSTER_REGION="<region_name>" 1
```
1
<region_name> には、us-east-1 などの有効な AWS リージョン名を指定します。
次のコマンドを実行して、地域で利用可能なゾーンをリスト表示します。
```
$ aws --region ${CLUSTER_REGION} ec2 describe-availability-zones \
    --query 'AvailabilityZones[].[{ZoneName: ZoneName, GroupName: GroupName, Status: OptInStatus}]' \
    --filters Name=zone-type,Values=local-zone \
    --all-availability-zones
```
リージョンによっては、利用可能なゾーンのリストが長くなる場合があります。このコマンドは、以下のフィールドを返します。
ZoneName
Local Zone の名前。
GroupName
ゾーンが属するグループ。オプトインするには、この名前を保存する必要があります。
Status
Local Zone グループのステータス。ステータスが not-opted-in の場合は、次のコマンドを実行して GroupName をオプトインする必要があります。
次のコマンドを実行して、VPC をホストする Local Zone の名前を含む変数をエクスポートします。
```
$ export ZONE_GROUP_NAME="<value_of_GroupName>" 1
```
1
& lt;value_of_GroupName& gt; は、サブネットを作成するローカルゾーンのグループの名前を指定します。たとえば、ゾーン us-east-1-nyc-1a、米国東部 (ニューヨーク) を使用するには us-east-1-nyc-1 と指定します。

次のコマンドを実行して、AWS アカウントのゾーングループにオプトインします。

$ aws ec2 modify-availability-zone-group \
    --group-name "${ZONE_GROUP_NAME}" \
    --opt-in-status opted-in

4.14.5. AWS Marketplace イメージの取得

AWS Marketplace イメージを使用して OpenShift Container Platform クラスターをデプロイする場合は、最初に AWS を通じてサブスクライブする必要があります。オファーにサブスクライブすると、インストールプログラムがワーカーノードのデプロイに使用する AMI ID が提供されます。

前提条件

オファーを購入するための AWS アカウントを持っている。このアカウントは、クラスターのインストールに使用されるアカウントと同じである必要はありません。

手順

AWS Marketplace で OpenShift Container Platform サブスクリプションを完了します。
使用する特定のリージョンの AMI ID を記録します。インストールプロセスの一環として、クラスターをデプロイする前に、この値で install-config.yaml ファイルを更新する必要があります。

AWS Marketplace ワーカーノードを含む install-config.yaml ファイルのサンプル

apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-east-2 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'

1: AWS Marketplace サブスクリプションの AMI ID。
2: AMI ID は特定の AWS リージョンに関連付けられています。インストール設定ファイルを作成するときは、サブスクリプションの設定時に指定したものと同じ AWS リージョンを選択してください。

4.14.6. AWS Local Zones を使用する VPC の作成

ワーカーノードをエッジロケーションに拡張するには、OpenShift Container Platform クラスターの Amazon Web Services (AWS) で Virtual Private Cloud (VPC) と各ローカルゾーンロケーションのサブネットを作成する必要があります。VPN、ルートテーブルなどの要件を満たすように VPC をさらにカスタマイズし、初期デプロイメントに含まれていない新しい Local Zone サブネットを追加できます。

提供される CloudFormation テンプレートおよびカスタムパラメーターファイルを使用して、VPC を表す AWS リソースのスタックを作成できます。

注記

このドキュメントの CloudFormation テンプレートを使用して AWS インフラストラクチャーを作成しない場合は、記載されている情報を確認し、インフラストラクチャーを手動で作成する必要があります。クラスターが適切に初期化されない場合、インストールログを用意して Red Hat サポートに問い合わせする必要がある可能性があります。

前提条件

AWS アカウントを設定している。
aws configure を実行して、AWS キーおよびリージョンをローカルの AWS プロファイルに追加している。
AWS アカウントで AWS Local Zones にオプトインしている。

手順

テンプレートが必要とするパラメーター値が含まれる JSON ファイルを作成します。
```
[
  {
    "ParameterKey": "ClusterName", 1
    "ParameterValue": "mycluster" 2
  },
  {
    "ParameterKey": "VpcCidr", 3
    "ParameterValue": "10.0.0.0/16" 4
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 5
    "ParameterValue": "3" 6
  },
  {
    "ParameterKey": "SubnetBits", 7
    "ParameterValue": "12" 8
  }
]
```
1
ホスト名などに使用する短いクラスター名。
2
クラスターの install-config.yaml ファイルを生成した時に使用したクラスター名を指定します。
3
VPC の CIDR ブロック。
4
x.x.x.x/16-24 形式で CIDR ブロックを指定します。
5
VPC をデプロイするアベイラビリティーゾーンの数。
6
1 から 3 の間の整数を指定します。
7
各アベイラビリティーゾーン内の各サブネットのサイズ。
8
5 から 13 の間の整数を指定します。ここで、5 は /27 であり、13 は /19 です。
このトピックのVPC の CloudFormation テンプレートセクションからテンプレートをコピーし、これをコンピューター上に YAML ファイルとして保存します。このテンプレートは、クラスターに必要な VPC について記述しています。
次のコマンドを実行して、CloudFormation テンプレートを起動し、VPC を表す AWS リソースのスタックを作成します。
重要
単一行にコマンドを入力してください。
```
$ aws cloudformation create-stack --stack-name <name> \  1
     --template-body file://<template>.yaml \  2
     --parameters file://<parameters>.json  3
```
1
<name> は cluster-vpc などの CloudFormation スタックの名前です。クラスターを削除する場合に、このスタックの名前が必要になります。
2
<template> は、保存した CloudFormation テンプレート YAML ファイルへの相対パスまたはその名前です。
3
<parameters> は、CloudFormation パラメーター JSON ファイルへの相対パスまたは名前です。
出力例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f
```

次のコマンドを実行して、テンプレートコンポーネントが存在することを確認します。

$ aws cloudformation describe-stacks --stack-name <name>

StackStatus が CREATE_COMPLETE を表示した後に、出力には以下のパラメーターの値が表示されます。これらのパラメーターの値をクラスターを作成するために実行する他の CloudFormation テンプレートに指定する必要があります。

`VpcId`	VPC の ID。
`PublicSubnetIds`	新規パブリックサブネットの ID。
`PrivateSubnetIds`	新規プライベートサブネットの ID。
`PublicRouteTableId`	新しいパブリックルートテーブル ID の ID。

4.14.6.1. AWS Local Zones を使用する VPC の CloudFormation テンプレート

以下の CloudFormation テンプレートを使用して、AWS Local Zones を使用する OpenShift Container Platform クラスターに必要な VPC をデプロイできます。

例4.50 VPC の CloudFormation テンプレート

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  ClusterName:
    Type: String
    Description: ClusterName used to prefix resource names
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      ClusterName:
        default: ""
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-vpc" ] ]
      - Key: !Join [ "", [ "kubernetes.io/cluster/unmanaged" ] ]
        Value: "shared"

  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-public-1" ] ]
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-public-2" ] ]
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
        - 2
        - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-public-3" ] ]

  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
    Properties:
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-igw" ] ]
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-rtb-public" ] ]
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable

  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-private-1" ] ]
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-rtb-private-1" ] ]
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-natgw-private-1" ] ]
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT

  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-private-2" ] ]
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-rtb-private-2" ] ]
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-natgw-private-2" ] ]
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-eip-private-2" ] ]
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2

  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-private-3" ] ]
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-rtb-private-3" ] ]
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-natgw-private-3" ] ]
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
      Tags:
      - Key: Name
        Value: !Join [ "", [ !Ref ClusterName, "-eip-private-3" ] ]
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3

  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]
  PublicRouteTableId:
    Description: Public Route table ID
    Value: !Ref PublicRouteTable
  PrivateRouteTableId:
    Description: Private Route table ID
    Value: !Ref PrivateRouteTable

4.14.7. AWS Local Zones でのサブネットの作成

OpenShift Container Platform クラスターのワーカーマシンセットを設定する前に、AWS Local Zones にサブネットを作成する必要があります。

ワーカーノードをデプロイする Local Zone ごとに、次のプロセスを繰り返す必要があります。

提供される CloudFormation テンプレートおよびカスタムパラメーターファイルを使用して、サブネットを表す AWS リソースのスタックを作成できます。

注記

提供される CloudFormation テンプレートを使用して AWS インフラストラクチャーを使用しない場合、提供される情報を確認し、インフラストラクチャーを手動で作成する必要があります。クラスターが適切に初期化されない場合、インストールログを用意して Red Hat サポートに問い合わせする必要がある可能性があります。

前提条件

AWS アカウントを設定している。
aws configure を実行して、AWS キーおよびリージョンをローカルの AWS プロファイルに追加している。
Local Zone グループにオプトインしている。

手順

テンプレートが必要とするパラメーター値が含まれる JSON ファイルを作成します。
```
[
  {
    "ParameterKey": "ClusterName", 1
    "ParameterValue": "mycluster" 2
  },
  {
    "ParameterKey": "VpcId", 3
    "ParameterValue": "vpc-<random_string>" 4
  },
  {
    "ParameterKey": "PublicRouteTableId", 5
    "ParameterValue": "<vpc_rtb_pub>" 6
  },
  {
    "ParameterKey": "LocalZoneName", 7
    "ParameterValue": "<cluster_region_name>-<location_identifier>-<zone_identifier>" 8
  },
  {
    "ParameterKey": "LocalZoneNameShort", 9
    "ParameterValue": "<lz_zone_shortname>" 10
  },
  {
    "ParameterKey": "PublicSubnetCidr", 11
    "ParameterValue": "10.0.128.0/20" 12
  }
]
```
1
ホスト名などに使用する短いクラスター名。
2
クラスターの install-config.yaml ファイルを生成した時に使用したクラスター名を指定します。
3
Local Zone のサブネットが作成される VPC ID。
4
VPC の CloudFormation テンプレートの出力から VpcId 値を指定します。
5
VPC のパブリックルートテーブル ID。
6
VPC の CloudFormation テンプレートの出力から PublicRouteTableId 値を指定します。
7
VPC が属する Local Zone 名。
8
AWS アカウントをオプトインした Local Zone を指定します (例: us-east-1-nyc-1a)。
9
VPC が属する AWS Local Zone の短縮名。
10
AWS アカウントをオプトインした AWS Local Zone の短い名前を指定します (例: <zone_group_identified><zone_identifier>)。たとえば、us-east-1-nyc-1a は nyc-1a に短縮されます。
11
Local Zone へのアクセスを許可する CIDR ブロック。
12
x.x.x.x/16-24 形式で CIDR ブロックを指定します。
このトピックの サブネットの CloudFormation テンプレート セクションからテンプレートをコピーし、これをコンピューター上に YAML ファイルとして保存します。このテンプレートは、クラスターに必要な VPC について記述しています。
次のコマンドを実行して、CloudFormation テンプレートを起動し、VPC を表す AWS リソースのスタックを作成します。
重要
単一行にコマンドを入力してください。
```
$ aws cloudformation create-stack --stack-name <subnet_stack_name> \ 1
     --template-body file://<template>.yaml \ 2
     --parameters file://<parameters>.json 3
```
1
<subnet_stack_name> は、cluster-lz-<local_zone_shortname> などの CloudFormation スタックの名前です。クラスターを削除する場合に、このスタックの名前が必要になります。
2
<template> は、保存した CloudFormation テンプレート YAML ファイルへの相対パスまたはその名前です。
3
<parameters> は、CloudFormation パラメーター JSON ファイルへの相対パスまたは名前です。
出力例
```
arn:aws:cloudformation:us-east-1:123456789012:stack/cluster-lz-nyc1/dbedae40-2fd3-11eb-820e-12a48460849f
```
次のコマンドを実行して、テンプレートコンポーネントが存在することを確認します。
```
$ aws cloudformation describe-stacks --stack-name <subnet_stack_name>
```
StackStatus が CREATE_COMPLETE を表示した後に、出力には以下のパラメーターの値が表示されます。これらのパラメーターの値をクラスターを作成するために実行する他の CloudFormation テンプレートに指定する必要があります。

PublicSubnetIds

新規パブリックサブネットの ID。

4.14.7.1. AWS Local Zones を使用するサブネットの CloudFormation テンプレート

以下の CloudFormation テンプレートを使用して、AWS Local Zones を使用する OpenShift Container Platform クラスターに必要なサブネットをデプロイできます。

例4.51 サブネットの CloudFormation テンプレート

# CloudFormation template used to create Local Zone subnets and dependencies
AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  ClusterName:
    Description: ClusterName used to prefix resource names
    Type: String
  VpcId:
    Description: VPC Id
    Type: String
  LocalZoneName:
    Description: Local Zone Name (Example us-east-1-bos-1)
    Type: String
  LocalZoneNameShort:
    Description: Short name for Local Zone used on tag Name (Example bos1)
    Type: String
  PublicRouteTableId:
    Description: Public Route Table ID to associate the Local Zone subnet
    Type: String
  PublicSubnetCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.128.0/20
    Description: CIDR block for Public Subnet
    Type: String

Resources:
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VpcId
      CidrBlock: !Ref PublicSubnetCidr
      AvailabilityZone: !Ref LocalZoneName
      Tags:
      - Key: Name
        Value: !Join
          - ""
          - [ !Ref ClusterName, "-public-", !Ref LocalZoneNameShort, "-1" ]
      - Key: kubernetes.io/cluster/unmanaged
        Value: "true"

  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTableId

Outputs:
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        "",
        [!Ref PublicSubnet]
      ]

関連情報

AWS CloudFormation コンソールに移動し、作成する CloudFormation スタックについての詳細を表示できます。

4.14.8. インストールプログラムの取得

OpenShift Container Platform をインストールする前に、インストールに使用しているホストにインストールファイルをダウンロードします。

前提条件

500 MB のローカルディスク領域がある Linux または macOS を実行するコンピューターが必要です。

手順

OpenShift Cluster Manager サイトのインフラストラクチャープロバイダーページにアクセスします。Red Hat アカウントがある場合は、認証情報を使用してログインします。アカウントがない場合はこれを作成します。
インフラストラクチャープロバイダーを選択します。
インストールタイプのページに移動し、ホストオペレーティングシステムとアーキテクチャーに対応するインストールプログラムをダウンロードして、インストール設定ファイルを保存するディレクトリーにファイルを配置します。
重要
インストールプログラムは、クラスターのインストールに使用するコンピューターにいくつかのファイルを作成します。クラスターのインストール完了後は、インストールプログラムおよびインストールプログラムが作成するファイルを保持する必要があります。ファイルはいずれもクラスターを削除するために必要になります。
重要
インストールプログラムで作成されたファイルを削除しても、クラスターがインストール時に失敗した場合でもクラスターは削除されません。クラスターを削除するには、特定のクラウドプロバイダー用の OpenShift Container Platform のアンインストール手順を実行します。
インストールプログラムを展開します。たとえば、Linux オペレーティングシステムを使用するコンピューターで以下のコマンドを実行します。
```
$ tar -xvf openshift-install-linux.tar.gz
```
Red Hat OpenShift Cluster Manager からインストールプルシークレットをダウンロードします。このプルシークレットを使用し、OpenShift Container Platform コンポーネントのコンテナーイメージを提供する Quay.io など、組み込まれた各種の認証局によって提供されるサービスで認証できます。

4.14.9. クラスターノードの SSH アクセス用のキーペアの生成

OpenShift Container Platform をインストールする際に、SSH パブリックキーをインストールプログラムに指定できます。キーは、Ignition 設定ファイルを介して Red Hat Enterprise Linux CoreOS (RHCOS) ノードに渡され、ノードへの SSH アクセスを認証するために使用されます。このキーは各ノードの core ユーザーの ~/.ssh/authorized_keys リストに追加され、パスワードなしの認証が可能になります。

キーがノードに渡されると、キーペアを使用して RHCOS ノードにユーザー core として SSH を実行できます。SSH 経由でノードにアクセスするには、秘密鍵のアイデンティティーをローカルユーザーの SSH で管理する必要があります。

インストールのデバッグまたは障害復旧を実行するためにクラスターノードに対して SSH を実行する場合は、インストールプロセスの間に SSH 公開鍵を指定する必要があります。./openshift-install gather コマンドでは、SSH 公開鍵がクラスターノードに配置されている必要もあります。

重要

障害復旧およびデバッグが必要な実稼働環境では、この手順を省略しないでください。

注記

AWS キーペアなどのプラットフォームに固有の方法で設定したキーではなく、ローカルキーを使用する必要があります。

手順

クラスターノードへの認証に使用するローカルマシンに既存の SSH キーペアがない場合は、これを作成します。たとえば、Linux オペレーティングシステムを使用するコンピューターで以下のコマンドを実行します。
```
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
```
1
新しい SSH キーのパスとファイル名 (~/.ssh/id_ed25519 など) を指定します。既存のキーペアがある場合は、公開鍵が ~/.ssh ディレクトリーにあることを確認します。
注記
FIPS で検証済みまたは進行中のモジュール (Modules in Process) 暗号ライブラリーを使用する OpenShift Container Platform クラスターを x86_64、ppc64le、および s390x アーキテクチャーにインストールする予定の場合は、ed25519 アルゴリズムを使用するキーは作成しないでください。代わりに、rsa アルゴリズムまたは ecdsa アルゴリズムを使用するキーを作成します。
公開 SSH キーを表示します。
```
$ cat <path>/<file_name>.pub
```
たとえば、次のコマンドを実行して ~/.ssh/id_ed25519.pub 公開鍵を表示します。
```
$ cat ~/.ssh/id_ed25519.pub
```
ローカルユーザーの SSH エージェントに SSH 秘密鍵 ID が追加されていない場合は、それを追加します。キーの SSH エージェント管理は、クラスターノードへのパスワードなしの SSH 認証、または ./openshift-install gather コマンドを使用する場合は必要になります。
注記
一部のディストリビューションでは、~/.ssh/id_rsa および ~/.ssh/id_dsa などのデフォルトの SSH 秘密鍵のアイデンティティーは自動的に管理されます。
1. ssh-agent プロセスがローカルユーザーに対して実行されていない場合は、バックグラウンドタスクとして開始します。
```
$ eval "$(ssh-agent -s)"
```
  出力例
```
Agent pid 31874
```
  注記
  クラスターが FIPS モードにある場合は、FIPS 準拠のアルゴリズムのみを使用して SSH キーを生成します。鍵は RSA または ECDSA のいずれかである必要があります。
SSH プライベートキーを ssh-agent に追加します。
```
$ ssh-add <path>/<file_name> 1
```
1
~/.ssh/id_ed25519 などの、SSH プライベートキーのパスおよびファイル名を指定します。
出力例
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```

次のステップ

OpenShift Container Platform をインストールする際に、SSH パブリックキーをインストールプログラムに指定します。

4.14.10. AWS のインストールファイルの作成

OpenShift Container Platform を Amazon Web Services (AWS) にインストールして AWS Local Zones を使用するには、インストールプログラムがクラスターをデプロイするために必要なファイルを生成し、クラスターが使用するマシンのみを作成するようにそれらのファイルを変更する必要があります。install-config.yaml ファイルと Kubernetes マニフェストを生成してカスタマイズします。

4.14.10.1. クラスターインストールの最小リソース要件

それぞれのクラスターマシンは、以下の最小要件を満たしている必要があります。

表4.50 最小リソース要件
マシン	オペレーティングシステム	vCPU ^[1]	仮想 RAM	ストレージ	1 秒あたりの入出力 (IOPS) ^[2]
ブートストラップ	RHCOS	4	16 GB	100 GB	300
コントロールプレーン	RHCOS	4	16 GB	100 GB	300
Compute	RHCOS、RHEL 8.6 以降 ^[3]	2	8 GB	100 GB	300

1 vCPU は、同時マルチスレッド (SMT) またはハイパースレッディングが有効にされていない場合に 1 つの物理コアと同等です。これが有効にされている場合、以下の数式を使用して対応する比率を計算します: (コアごとのスレッド × コア数) × ソケット数 = vCPU
OpenShift Container Platform および Kubernetes はディスクのパフォーマンスに敏感であり、特に 10 ms p99 fsync 期間を必要とするコントロールプレーンノード上の etcd については、高速ストレージが推奨されます。多くのクラウドプラットフォームでは、ストレージサイズと IOPS スケールが一緒にあるため、十分なパフォーマンスを得るためにストレージボリュームの割り当てが必要になる場合があります。
すべての user-provisioned installation と同様に、クラスターで RHEL コンピュートマシンの使用を選択する場合は、システム更新の実行、パッチの適用、その他すべての必要なタスクの完了など、オペレーティングシステムのライフサイクルの管理と保守をすべて担当します。RHEL 7 コンピューティングマシンの使用は推奨されておらず、OpenShift Container Platform 4.10 以降では削除されています。

プラットフォームのインスタンスタイプがクラスターマシンの最小要件を満たす場合、これは OpenShift Container Platform で使用することがサポートされます。

関連情報

ストレージの最適化

4.14.10.2. AWS のテスト済みインスタンスタイプ

以下の Amazon Web Services (AWS) インスタンスタイプは、AWS Local Zones で使用するために OpenShift Container Platform でテストされています。

注記

以下のチャートに含まれるマシンタイプを AWS インスタンスに使用します。チャートに記載されていないインスタンスタイプを使用する場合は、使用するインスタンスサイズが、クラスターインストールの最小リソース要件に記載されている最小リソース要件と一致していることを確認してください。

例4.52 AWS Local Zones の 64 ビット x86 アーキテクチャーに基づくマシンタイプ

c5.*
c5d.*
m6i.*
m5.*
r5.*
t3.*

関連情報

AWS Local Zones およびサポートされているインスタンスタイプとサービスの詳細については、AWS ドキュメントの AWS Local Zones 機能を参照してください。

4.14.10.3. インストール設定ファイルの作成

インストールプログラムがクラスターをデプロイするために必要なインストール設定ファイルを生成し、カスタマイズします。

前提条件

OpenShift Container Platform インストールプログラム、およびクラスターのプルシークレットを取得している。
Red Hat が公開している付随の Red Hat Enterprise Linux CoreOS (RHCOS) AMI のあるリージョンにクラスターをデプロイしていることを確認済みである。AWS GovCloud リージョンなどのカスタム AMI を必要とするリージョンにデプロイする場合は、install-config.yaml ファイルを手動で作成する必要があります。

手順

install-config.yaml ファイルを作成します。
1. インストールプログラムが含まれるディレクトリーに切り替え、以下のコマンドを実行します。
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  <installation_directory> の場合、インストールプログラムが作成するファイルを保存するためにディレクトリー名を指定します。
  重要
  空のディレクトリーを指定します。ブートストラップ X.509 証明書などの一部のインストールアセットの有効期限は短く設定されているため、インストールディレクトリーを再利用することができません。別のクラスターインストールの個別のファイルを再利用する必要がある場合は、それらをディレクトリーにコピーすることができます。ただし、インストールアセットのファイル名はリリース間で変更される可能性があります。インストールファイルを以前のバージョンの OpenShift Container Platform からコピーする場合は注意してコピーを行ってください。
2. プロンプト時に、クラウドの設定の詳細情報を指定します。
  1. オプション: クラスターマシンにアクセスするために使用する SSH キーを選択します。
    注記
    インストールのデバッグまたは障害復旧を実行する必要のある実稼働用の OpenShift Container Platform クラスターでは、ssh-agent プロセスが使用する SSH キーを指定します。
  2. ターゲットに設定するプラットフォームとして aws を選択します。
  3. AWS プロファイルをコンピューターに保存していない場合、インストールプログラムを実行するように設定したユーザーの AWS アクセスキー ID およびシークレットアクセスキーを入力します。
    注記
    AWS アクセスキー ID およびシークレットアクセスキーは、インストールホストの現行ユーザーのホームディレクトリーの ~/.aws/credentials に保存されます。エクスポートされたプロファイルの認証情報がファイルにない場合は、インストールプログラムにより認証情報の入力が求めるプロンプトが出されます。インストールプログラムに指定する認証情報は、ファイルに保存されます。
  4. クラスターのデプロイ先とする AWS リージョンを選択します。指定するリージョンは、AWS アカウント用にオプトインした Local Zone を含むリージョンと同じである必要があります。
  5. クラスターに設定した Route 53 サービスのベースドメインを選択します。
  6. クラスターの記述名を入力します。
  7. Red Hat OpenShift Cluster Manager からプルシークレットを貼り付けます。
install-config.yaml ファイルを編集して、VPC が使用するアベイラビリティーゾーンのサブネットを指定します。
```
platform:
  aws:
    subnets: 1
    - publicSubnetId-1
    - publicSubnetId-2
    - publicSubnetId-3
    - privateSubnetId-1
    - privateSubnetId-2
    - privateSubnetId-3
```
1
subnets セクションを追加し、VPC の CloudFormation テンプレートの出力から PrivateSubnetIds と PublicSubnetIds の値を指定します。ここに Local Zone のサブネットは含めないでください。
オプション: install-config.yaml ファイルをバックアップします。
重要
install-config.yaml ファイルはインストールプロセス時に使用されます。このファイルを再利用する必要がある場合は、この段階でこれをバックアップしてください。

関連情報

AWS プロファイルおよび認証情報の設定についての詳細は、AWS ドキュメントの Configuration and credential file settings を参照してください。

4.14.10.4. Kubernetes マニフェストファイルの作成

一部のクラスター定義ファイルを変更し、クラスターマシンを手動で起動する必要があるため、クラスターがマシンを設定するために必要な Kubernetes マニフェストファイルを生成する必要があります。

前提条件

OpenShift Container Platform インストールプログラムを取得していること。
install-config.yaml インストール設定ファイルを作成していること。
jq パッケージをインストールしている。

手順

以下のコマンドを実行して、OpenShift Container Platform インストールプログラムを含むディレクトリーに移動し、クラスターの Kubernetes マニフェストを生成します。
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
<installation_directory> については、作成した install-config.yaml ファイルが含まれるインストールディレクトリーを指定します。
ネットワークプラグインに従って、デフォルトの最大転送単位 (MTU) を設定します。
重要
通常、ローカルゾーンの Amazon EC2 インスタンスとリージョンの Amazon EC2 インスタンス間の最大転送単位 (MTU) は 1300 です。AWS ドキュメントの How Local Zones work を参照してください。オーバーヘッドを考慮して、クラスターネットワーク MTU は常に EC2 MTU より小さくなければなりません。特定のオーバーヘッドは、ネットワークプラグインにより決定されます。以下に例を示します。
- OVN-Kubernetes: 100 bytes
- OpenShift SDN: 50 bytes
ネットワークプラグインは、IPsec などの MTU を減らす必要がある追加機能を提供することができます。詳細は、ドキュメントを参照してください。
1. OVN-Kubernetes ネットワークプラグインを使用している場合は、以下のコマンドを入力します。
```
$ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      mtu: 1200
EOF
```
2. OpenShift SDN ネットワークプラグインを使用している場合は、以下のコマンドを入力します。
```
$ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    openshiftSDNConfig:
      mtu: 1250
EOF
```

Local Zone のワーカーノードのマシンセットマニフェストを作成します。

次のコマンドを実行して、AWS アカウントをオプトインした Local Zone の名前を含むローカル変数をエクスポートします。
```
$ export LZ_ZONE_NAME="<local_zone_name>" 1
```
1
<local_zone_name> には、AWS アカウントを選択した Local Zone (us-east-1-nyc-1a など) を指定します。
次のコマンドを実行して、デプロイ先のロケーションのインスタンスタイプを確認します。
```
$ aws ec2 describe-instance-type-offerings \
    --location-type availability-zone \
    --filters Name=location,Values=${LZ_ZONE_NAME}
    --region <region> 1
```
1
<region> には、デプロイ先のリージョンの名前 (us-east-1 など) を指定します。
次のコマンドを実行して変数をエクスポートし、Local Zone サブネットにデプロイするワーカーマシンのインスタンスを定義します。
```
$ export INSTANCE_TYPE="<instance_type>" 1
```
1
<instance_type> を c5d.2xlarge などのテスト済みインスタンスタイプに設定します。

次のコマンドを実行して、AMI ID をローカル変数として保存します。

$ export AMI_ID=$(grep ami
  <installation_directory>/openshift/99_openshift-cluster-api_worker-machineset-0.yaml \
  | tail -n1 | awk '{print$2}')

次のコマンドを実行して、サブネット ID をローカル変数として保存します。
```
$ export SUBNET_ID=$(aws cloudformation describe-stacks --stack-name "<subnet_stack_name>" \ 1
  | jq -r '.Stacks[0].Outputs[0].OutputValue')
```
1
<subnet_stack_name> では、作成したサブネットスタックの名前を指定します。

次のコマンドを実行して、クラスター ID をローカル変数として保存します。

$ export CLUSTER_ID="$(awk '/infrastructureName: / {print $2}' 	<installation_directory>/manifests/cluster-infrastructure-02-config.yml)"

次のコマンドを実行して、VPC が使用する Local Zone のワーカーマニフェストファイルを作成します。

$ cat <<EOF > <installation_directory>/openshift/99_openshift-cluster-api_worker-machineset-nyc1.yaml
apiVersion: machine.openshift.io/v1beta1
kind: MachineSet
metadata:
  labels:
    machine.openshift.io/cluster-api-cluster: ${CLUSTER_ID}
  name: ${CLUSTER_ID}-edge-${LZ_ZONE_NAME}
  namespace: openshift-machine-api
spec:
  replicas: 1
  selector:
    matchLabels:
      machine.openshift.io/cluster-api-cluster: ${CLUSTER_ID}
      machine.openshift.io/cluster-api-machineset: ${CLUSTER_ID}-edge-${LZ_ZONE_NAME}
  template:
    metadata:
      labels:
        machine.openshift.io/cluster-api-cluster: ${CLUSTER_ID}
        machine.openshift.io/cluster-api-machine-role: edge
        machine.openshift.io/cluster-api-machine-type: edge
        machine.openshift.io/cluster-api-machineset: ${CLUSTER_ID}-edge-${LZ_ZONE_NAME}
    spec:
      metadata:
        labels:
          machine.openshift.com/zone-type: local-zone
          machine.openshift.com/zone-group: ${ZONE_GROUP_NAME}
          node-role.kubernetes.io/edge: ""
      taints:
        - key: node-role.kubernetes.io/edge
          effect: NoSchedule
      providerSpec:
        value:
          ami:
            id: ${AMI_ID}
          apiVersion: machine.openshift.io/v1beta1
          blockDevices:
          - ebs:
              volumeSize: 120
              volumeType: gp2
          credentialsSecret:
            name: aws-cloud-credentials
          deviceIndex: 0
          iamInstanceProfile:
            id: ${CLUSTER_ID}-worker-profile
          instanceType: ${INSTANCE_TYPE}
          kind: AWSMachineProviderConfig
          placement:
            availabilityZone: ${LZ_ZONE_NAME}
            region: ${CLUSTER_REGION}
          securityGroups:
          - filters:
            - name: tag:Name
              values:
              - ${CLUSTER_ID}-worker-sg
          subnet:
            id: ${SUBNET_ID}
          publicIp: true
          tags:
          - name: kubernetes.io/cluster/${CLUSTER_ID}
            value: owned
          userDataSecret:
            name: worker-user-data
EOF

関連情報

4.14.11. クラスターのデプロイ

互換性のあるクラウドプラットフォームに OpenShift Container Platform をインストールできます。

重要

インストールプログラムの create cluster コマンドは、初期インストール時に 1 回だけ実行できます。

前提条件

クラスターをホストするクラウドプラットフォームでアカウントを設定します。
OpenShift Container Platform インストールプログラム、およびクラスターのプルシークレットを取得する。
ホスト上のクラウドプロバイダーアカウントに、クラスターをデプロイするための適切な権限があることを確認してください。アカウントの権限が正しくないと、インストールプロセスが失敗し、不足している権限を示すエラーメッセージが表示されます。

手順

インストールプログラムが含まれるディレクトリーに切り替え、クラスターのデプロイメントを初期化します。
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
<installation_directory> については、カスタマイズした ./install-config.yaml ファイルの場所を指定します。
2
異なるインストールの詳細情報を表示するには、info ではなく、warn、debug、または error を指定します。
注記
ホストに設定したクラウドプロバイダーアカウントにクラスターをデプロイするための十分なパーミッションがない場合、インストールプロセスは停止し、不足しているパーミッションが表示されます。
オプション: クラスターのインストールに使用した IAM アカウントから AdministratorAccess ポリシーを削除するか、または無効にします。
注記
AdministratorAccess ポリシーが提供する昇格したパーミッションはインストール時にのみ必要です。

検証

クラスターのデプロイが正常に完了すると、次のようになります。

ターミナルには、Web コンソールへのリンクや kubeadmin ユーザーの認証情報など、クラスターにアクセスするための指示が表示されます。
認証情報は <installation_directory>/.openshift_install.log にも出力されます。

重要

インストールプログラム、またはインストールプログラムが作成するファイルを削除することはできません。これらはいずれもクラスターを削除するために必要になります。

出力例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

インストールプログラムが生成する Ignition 設定ファイルには、24 時間が経過すると期限切れになり、その後に更新される証明書が含まれます。証明書を更新する前にクラスターが停止し、24 時間経過した後にクラスターを再起動すると、クラスターは期限切れの証明書を自動的に復元します。例外として、kubelet 証明書を回復するために保留状態の node-bootstrapper 証明書署名要求 (CSR) を手動で承認する必要があります。詳細は、コントロールプレーン証明書の期限切れの状態からのリカバリー に関するドキュメントを参照してください。
24 時間証明書はクラスターのインストール後 16 時間から 22 時間にローテーションするため、Ignition 設定ファイルは、生成後 12 時間以内に使用することを推奨します。12 時間以内に Ignition 設定ファイルを使用することにより、インストール中に証明書の更新が実行された場合のインストールの失敗を回避できます。

次のステップ

AWS Local Zones でのユーザーワークロードの作成

4.14.12. バイナリーのダウンロードによる OpenShift CLI のインストール

コマンドラインインターフェイスを使用して OpenShift Container Platform と対話するために CLI (oc) をインストールすることができます。oc は Linux、Windows、または macOS にインストールできます。

重要

以前のバージョンの oc をインストールしている場合、これを使用して OpenShift Container Platform 4.12 のすべてのコマンドを実行することはできません。新規バージョンの oc をダウンロードし、インストールします。

Linux への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを Linux にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
Product Variant ドロップダウンリストからアーキテクチャーを選択します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.12 Linux Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
アーカイブを展開します。
```
$ tar xvf <file>
```
oc バイナリーを、PATH にあるディレクトリーに配置します。
PATH を確認するには、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

OpenShift CLI のインストール後に、oc コマンドを使用して利用できます。
```
$ oc <command>
```

Windows への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを Windows にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.12 Windows Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
ZIP プログラムでアーカイブを解凍します。
oc バイナリーを、PATH にあるディレクトリーに移動します。
PATH を確認するには、コマンドプロンプトを開いて以下のコマンドを実行します。
```
C:\> path
```

検証

OpenShift CLI のインストール後に、oc コマンドを使用して利用できます。
```
C:\> oc <command>
```

macOS への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを macOS にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.12 macOS Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
注記
macOS arm64 の場合は、OpenShift v4.12 macOS arm64 Client エントリーを選択します。
アーカイブを展開し、解凍します。
oc バイナリーをパスにあるディレクトリーに移動します。
PATH を確認するには、ターミナルを開き、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

OpenShift CLI のインストール後に、oc コマンドを使用して利用できます。
```
$ oc <command>
```

4.14.13. CLI の使用によるクラスターへのログイン

クラスター kubeconfig ファイルをエクスポートし、デフォルトシステムユーザーとしてクラスターにログインできます。kubeconfig ファイルには、クライアントを正しいクラスターおよび API サーバーに接続するために CLI で使用されるクラスターに関する情報が含まれます。このファイルはクラスターに固有のファイルであり、OpenShift Container Platform のインストール時に作成されます。

前提条件

OpenShift Container Platform クラスターをデプロイしていること。
oc CLI をインストールしていること。

手順

kubeadmin 認証情報をエクスポートします。
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
<installation_directory> には、インストールファイルを保存したディレクトリーへのパスを指定します。
エクスポートされた設定を使用して、oc コマンドを正常に実行できることを確認します。
```
$ oc whoami
```
出力例
```
system:admin
```

4.14.14. Web コンソールを使用したクラスターへのログイン

kubeadmin ユーザーは、OpenShift Container Platform のインストール後はデフォルトで存在します。OpenShift Container Platform Web コンソールを使用し、kubeadmin ユーザーとしてクラスターにログインできます。

前提条件

インストールホストにアクセスできる。
クラスターのインストールを完了しており、すべてのクラスター Operator が利用可能である。

手順

インストールホストで kubeadmin-password ファイルから kubeadmin ユーザーのパスワードを取得します。
```
$ cat <installation_directory>/auth/kubeadmin-password
```
注記
または、インストールホストで <installation_directory>/.openshift_install.log ログファイルから kubeadmin パスワードを取得できます。
OpenShift Container Platform Web コンソールルートをリスト表示します。
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
注記
または、インストールホストで <installation_directory>/.openshift_install.log ログファイルからで OpenShift Container Platform ルートを取得できます。
出力例
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
Web ブラウザーで前述のコマンドの出力で詳細に説明されたルートに移動し、kubeadmin ユーザーとしてログインします。

関連情報

OpenShift Container Platform Web コンソールへのアクセスと理解に関する詳細は、Web コンソールへのアクセスを参照してください。

4.14.15. OpenShift Container Platform の Telemetry アクセス

OpenShift Container Platform 4.12 では、クラスターの健全性および正常に実行された更新についてのメトリクスを提供するためにデフォルトで実行される Telemetry サービスにもインターネットアクセスが必要です。クラスターがインターネットに接続されている場合、Telemetry は自動的に実行され、クラスターは OpenShift Cluster Manager Hybrid Cloud Console に登録されます。

OpenShift Cluster Manager インベントリーが正常である (Telemetry によって自動的に維持、または OpenShift Cluster Manager Hybrid Cloud Console を使用して手動で維持) ことを確認した後に、subscription watch を使用して、アカウントまたはマルチクラスターレベルで OpenShift Container Platform サブスクリプションを追跡します。

関連情報

Telemetry サービスの詳細は、リモートヘルスモニタリングを参照してください。

4.14.16. 次のステップ

インストールの検証
クラスターをカスタマイズします。
必要に応じて、リモートヘルスレポートをオプトアウトできます。
必要に応じて、クラウドプロバイダーの認証情報を削除できます。

4.14. AWS Local Zones を使用したクラスターインストール

4.14.1. 前提条件

4.14.2. AWS Local Zone でのクラスターの制限

4.14.3. OpenShift Container Platform のインターネットアクセス

4.14.4. AWS Local Zones へのオプトイン

4.14.5. AWS Marketplace イメージの取得

4.14.6. AWS Local Zones を使用する VPC の作成

4.14.6.1. AWS Local Zones を使用する VPC の CloudFormation テンプレート

4.14.7. AWS Local Zones でのサブネットの作成

4.14.7.1. AWS Local Zones を使用するサブネットの CloudFormation テンプレート

4.14.8. インストールプログラムの取得

4.14.9. クラスターノードの SSH アクセス用のキーペアの生成

4.14.10. AWS のインストールファイルの作成

4.14.10.1. クラスターインストールの最小リソース要件

4.14.10.2. AWS のテスト済みインスタンスタイプ

4.14.10.3. インストール設定ファイルの作成

4.14.10.4. Kubernetes マニフェストファイルの作成

4.14.11. クラスターのデプロイ

4.14.12. バイナリーのダウンロードによる OpenShift CLI のインストール

Linux への OpenShift CLI のインストール

Windows への OpenShift CLI のインストール

macOS への OpenShift CLI のインストール

4.14.13. CLI の使用によるクラスターへのログイン

4.14.14. Web コンソールを使用したクラスターへのログイン

4.14.15. OpenShift Container Platform の Telemetry アクセス

4.14.16. 次のステップ

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links