10.10. インストール後のユーザー管理の暗号化の最終処理


ユーザー管理の暗号化キーを使用して OpenShift Container Platform をインストールした場合は、新しいストレージクラスを作成し、Azure クラスターリソースグループに書き込み権限を付与することで、インストールを完了できます。

手順

  1. インストーラーが使用するクラスターリソースグループの ID を取得します。

    1. install-config.yaml で既存のリソースグループを指定した場合は、次のコマンドを実行してその Azure ID を取得します。

      $ az identity list --resource-group "<existing_resource_group>"
    2. install-config.yaml で既存のリソースグループを指定しなかった場合は、インストーラーが作成したリソースグループを見つけ、次のコマンドを実行してその Azure ID を取得します。

      $ az group list
      $ az identity list --resource-group "<installer_created_resource_group>"
  2. 次のコマンドを実行して、クラスターリソースグループにロールの割り当てを付与し、ディスク暗号化セットに書き込みできるようにします。

    $ az role assignment create --role "<privileged_role>" \1
        --assignee "<resource_group_identity>" 2
    1
    ディスク暗号化セットに対する読み取り/書き込みアクセス許可を持つ Azure ロールを指定します。必要なアクセス許可を持つ 所有者 ロールまたはカスタムロールを使用できます。
    2
    クラスターリソースグループの ID を指定します。
  3. 次のコマンドを実行して、インストール前に作成したディスク暗号化セットの ID を取得します。

    $ az disk-encryption-set show -n <disk_encryption_set_name> \1
         --resource-group <resource_group_name> 2
    1
    ディスク暗号化セットの名前を指定します。
    2
    ディスク暗号化セットを含むリソースグループを指定します。ID"/subscriptions/…/resourceGroups/…/providers/Microsoft.Compute/diskEncryptionSets/…" の形式です。
  4. 次のコマンドを実行して、クラスターサービスプリンシパルの ID を取得します。

    $ az identity show -g <cluster_resource_group> \1
         -n <cluster_service_principal_name> \2
         --query principalId --out tsv
    1
    インストールプログラムによって作成されるクラスターリソースグループの名前を指定します。
    2
    インストールプログラムによって作成されたクラスターサービスプリンシパルの名前を指定します。ID は 12345678-1234-1234-1234-1234567890 の形式です。
  5. 次のコマンドを実行して、クラスターサービスプリンシパル Contributor 特権をディスク暗号化セットに付与するロールの割り当てを作成します。

    $ az role assignment create --assignee <cluster_service_principal_id> \1
         --role 'Contributor' \//
         --scope <disk_encryption_set_id> \2
    1
    前の手順で取得したクラスターサービスプリンシパルの ID を指定します。
    2
    ディスク暗号化セットの ID を指定します。
  6. ユーザー管理のディスク暗号化セットを使用するストレージクラスを作成します。

    1. 次のストレージクラス定義を storage-class-definition.yaml などのファイルに保存します。

      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: managed-premium
      provisioner: kubernetes.io/azure-disk
      parameters:
        skuname: Premium_LRS
        kind: Managed
        diskEncryptionSetID: "<disk_encryption_set_ID>" 1
        resourceGroup: "<resource_group_name>" 2
      reclaimPolicy: Delete
      allowVolumeExpansion: true
      volumeBindingMode: WaitForFirstConsumer
      1
      前提条件の手順で作成したディスク暗号化セットの ID を指定します (例: "/subscriptions/xxxxxx-xxxxx-xxxxx/resourceGroups/test-encryption/providers/Microsoft.Compute/diskEncryptionSets/disk-encryption-set-xxxxxx")。
      2
      インストーラーが使用するリソースグループの名前を指定します。これは、最初の手順と同じリソースグループです。
    2. 次のコマンドを実行して、作成したファイルからストレージクラス managed-premium を作成します。

      $ oc create -f storage-class-definition.yaml
  7. 暗号化されたストレージを使用する永続ボリュームを作成する場合は、managed-premium ストレージクラスを選択します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.