6.8. インストール後のユーザー管理の暗号化の最終処理
ユーザー管理の暗号化キーを使用して OpenShift Container Platform をインストールした場合は、新しいストレージクラスを作成し、Azure クラスターリソースグループに書き込み権限を付与することで、インストールを完了できます。
手順
インストーラーが使用するクラスターリソースグループの ID を取得します。
install-config.yamlで既存のリソースグループを指定した場合は、次のコマンドを実行してその Azure ID を取得します。$ az identity list --resource-group "<existing_resource_group>"
install-config.yamlで既存のリソースグループを指定しなかった場合は、インストーラーが作成したリソースグループを見つけ、次のコマンドを実行してその Azure ID を取得します。$ az group list
$ az identity list --resource-group "<installer_created_resource_group>"
次のコマンドを実行して、クラスターリソースグループにロールの割り当てを付与し、ディスク暗号化セットに書き込みできるようにします。
$ az role assignment create --role "<privileged_role>" \1 --assignee "<resource_group_identity>" 2
次のコマンドを実行して、インストール前に作成したディスク暗号化セットの
IDを取得します。$ az disk-encryption-set show -n <disk_encryption_set_name> \1 --resource-group <resource_group_name> 2
次のコマンドを実行して、クラスターサービスプリンシパルの ID を取得します。
$ az identity show -g <cluster_resource_group> \1 -n <cluster_service_principal_name> \2 --query principalId --out tsv
次のコマンドを実行して、クラスターサービスプリンシパルに必要な特権をディスク暗号化セットに付与するロールの割り当てを作成します。
$ az role assignment create --assignee <cluster_service_principal_id> \1 --role <privileged_role> \2 --scope <disk_encryption_set_id> \3
ユーザー管理のディスク暗号化セットを使用するストレージクラスを作成します。
次のストレージクラス定義を
storage-class-definition.yamlなどのファイルに保存します。kind: StorageClass apiVersion: storage.k8s.io/v1 metadata: name: managed-premium provisioner: kubernetes.io/azure-disk parameters: skuname: Premium_LRS kind: Managed diskEncryptionSetID: "<disk_encryption_set_ID>" 1 resourceGroup: "<resource_group_name>" 2 reclaimPolicy: Delete allowVolumeExpansion: true volumeBindingMode: WaitForFirstConsumer
次のコマンドを実行して、作成したファイルからストレージクラス
managed-premiumを作成します。$ oc create -f storage-class-definition.yaml
-
暗号化されたストレージを使用する永続ボリュームを作成する場合は、
managed-premiumストレージクラスを選択します。
