Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

7.11. インストール後のユーザー管理の暗号化の最終処理

ユーザー管理の暗号化キーを使用して OpenShift Container Platform をインストールした場合は、新しいストレージクラスを作成し、Azure クラスターリソースグループに書き込み権限を付与することで、インストールを完了できます。

手順

  1. インストーラーが使用するクラスターリソースグループの ID を取得します。

    1. install-config.yaml で既存のリソースグループを指定した場合は、次のコマンドを実行してその Azure ID を取得します。 

      $ az identity list --resource-group "<existing_resource_group>"
      Copy to Clipboard Toggle word wrap

    2. install-config.yaml で既存のリソースグループを指定しなかった場合は、インストーラーが作成したリソースグループを見つけ、次のコマンドを実行してその Azure ID を取得します。 

      $ az group list
      Copy to Clipboard Toggle word wrap 
      $ az identity list --resource-group "<installer_created_resource_group>"
      Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、クラスターリソースグループにロールの割り当てを付与し、ディスク暗号化セットに書き込みできるようにします。 

    $ az role assignment create --role "<privileged_role>" \
    1 
    
    --assignee "<resource_group_identity>"
    2
    Copy to Clipboard Toggle word wrap
    1
    ディスク暗号化セットに対する読み取り/書き込みアクセス許可を持つ Azure ロールを指定します。必要なアクセス許可を持つ 所有者 ロールまたはカスタムロールを使用できます。
    2
    クラスターリソースグループの ID を指定します。

  3. 次のコマンドを実行して、インストール前に作成したディスク暗号化セットの ID を取得します。 

    $ az disk-encryption-set show -n <disk_encryption_set_name> \
    1 
    
     --resource-group <resource_group_name>
    2
    Copy to Clipboard Toggle word wrap
    1
    ディスク暗号化セットの名前を指定します。
    2
    ディスク暗号化セットを含むリソースグループを指定します。ID"/subscriptions/…/resourceGroups/…/providers/Microsoft.Compute/diskEncryptionSets/…" の形式です。

  4. 次のコマンドを実行して、クラスターサービスプリンシパルの ID を取得します。 

    $ az identity show -g <cluster_resource_group> \
    1 
    
     -n <cluster_service_principal_name> \
    2 
    
     --query principalId --out tsv
    Copy to Clipboard Toggle word wrap
    1
    インストールプログラムによって作成されるクラスターリソースグループの名前を指定します。
    2
    インストールプログラムによって作成されたクラスターサービスプリンシパルの名前を指定します。ID は 12345678-1234-1234-1234-1234567890 の形式です。

  5. 次のコマンドを実行して、クラスターサービスプリンシパルに必要な特権をディスク暗号化セットに付与するロールの割り当てを作成します。 

    $ az role assignment create --assignee <cluster_service_principal_id> \
    1 
    
     --role <privileged_role> \
    2 
    
     --scope <disk_encryption_set_id> \
    3
    Copy to Clipboard Toggle word wrap
    1
    前の手順で取得したクラスターサービスプリンシパルの ID を指定します。
    2
    Azure ロール名を指定します。Contributor ロールまたは必要なアクセス許可を持つカスタムロールを使用できます。
    3
    ディスク暗号化セットの ID を指定します。

  6. ユーザー管理のディスク暗号化セットを使用するストレージクラスを作成します。

    1. 次のストレージクラス定義を storage-class-definition.yaml などのファイルに保存します。 

      kind: StorageClass
apiVersion: storage.k8s.io/v1
metadata:
  name: managed-premium
provisioner: kubernetes.io/azure-disk
parameters:
  skuname: Premium_LRS
  kind: Managed
  diskEncryptionSetID: "<disk_encryption_set_ID>"
      1 
      
  resourceGroup: "<resource_group_name>"
      2 
      
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
      Copy to Clipboard Toggle word wrap
      1
      前提条件の手順で作成したディスク暗号化セットの ID を指定します (例: "/subscriptions/xxxxxx-xxxxx-xxxxx/resourceGroups/test-encryption/providers/Microsoft.Compute/diskEncryptionSets/disk-encryption-set-xxxxxx")。
      2
      インストーラーが使用するリソースグループの名前を指定します。これは、最初の手順と同じリソースグループです。

    2. 次のコマンドを実行して、作成したファイルからストレージクラス managed-premium を作成します。 

      $ oc create -f storage-class-definition.yaml
      Copy to Clipboard Toggle word wrap
  7. 暗号化されたストレージを使用する永続ボリュームを作成する場合は、managed-premium ストレージクラスを選択します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat