Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.5. GCP のインストール設定ファイルの作成

OpenShift Container Platform on Google Cloud Platform (GCP) を共有 VPC にインストールするには、install-config.yaml ファイルを生成し、クラスターが正しい VPC ネットワーク、DNS ゾーン、およびプロジェクト名を使用するように変更する必要があります。

9.5.1. インストール設定ファイルの手動作成

クラスターをインストールするには、インストール設定ファイルを手動で作成する必要があります。

前提条件

  • ローカルマシンには、インストールプログラムに提供する SSH 公開鍵があります。このキーは、デバッグおよび障害復旧のためにクラスターノードへの SSH 認証に使用されます。
  • OpenShift Container Platform インストールプログラムおよびクラスターのプルシークレットを取得しています。

手順

  1. 必要なインストールアセットを保存するためのインストールディレクトリーを作成します。 

    $ mkdir <installation_directory>
    重要

    ディレクトリーを作成する必要があります。ブートストラップ X.509 証明書などの一部のインストールアセットの有効期限は短く設定されているため、インストールディレクトリーを再利用することができません。別のクラスターインストールの個別のファイルを再利用する必要がある場合は、それらをディレクトリーにコピーすることができます。ただし、インストールアセットのファイル名はリリース間で変更される可能性があります。インストールファイルを以前のバージョンの OpenShift Container Platform からコピーする場合は注意してコピーを行ってください。

  2. 提供されるサンプルの install-config.yaml ファイルテンプレートをカスタマイズし、これを <installation_directory> に保存します。

    注記

    この設定ファイルの名前を install-config.yaml と付ける必要があります。

  3. install-config.yaml ファイルをバックアップし、複数のクラスターをインストールするのに使用できるようにします。

    重要

    install-config.yaml ファイルは、インストールプロセスの次の手順で使用されます。この時点でこれをバックアップする必要があります。

9.5.2. Shielded VM の有効化

クラスターをインストールする場合は、Shielded VM を使用できます。Shielded VM には、セキュアブート、ファームウェアと整合性の監視、ルートキット検出などの追加のセキュリティー機能があります。詳細については、Shielded VM に関する Google のドキュメントを参照してください。

前提条件

  • install-config.yaml ファイルを作成しました。

手順

  • クラスターをデプロイする前に、テキストエディターを使用して、install-config.yaml ファイルを編集し、次のいずれかのスタンザを追加します。

    1. コントロールプレーンマシンのみに Shielded VM を使用するには: 

      controlPlane:
  platform:
    gcp:
       secureBoot: Enabled

    2. コンピューティングマシンのみに Shielded VM を使用するには: 

      compute:
- platform:
    gcp:
       secureBoot: Enabled

    3. すべてのマシンに Shielded VM を使用するには: 

      platform:
  gcp:
    defaultMachinePlatform:
       secureBoot: Enabled

9.5.3. Confidential VM の有効化

クラスターをインストールする場合は、Confidential VM を使用できます。Confidential VM は処理中のデータを暗号化します。詳細は、Confidential Computing に関する Google のドキュメントを参照してください。Confidential VM と Shielded VM を同時に有効にすることができますが、それらは互いに依存していません。

重要

Confidential Computing はテクノロジープレビュー機能のみです。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

重要

OpenShift Container Platform 4.13.3 以前のバージョンにおける既知の問題により、Google Cloud Platform (GCP) 上の Confidential 仮想マシンが含まれるクラスターでは、永続ボリュームストレージを使用できません。この問題は OpenShift Container Platform 4.13.4 で解決されています。詳細は、OCPBUGS-11768 を参照してください。

前提条件

  • install-config.yaml ファイルを作成しました。

手順

  • クラスターをデプロイする前に、テキストエディターを使用して、install-config.yaml ファイルを編集し、次のいずれかのスタンザを追加します。

    1. コントロールプレーンマシンのみに Confidential VM を使用するには: 

      controlPlane:
  platform:
    gcp:
       confidentialCompute: Enabled 1
       type: n2d-standard-8 2
       onHostMaintenance: Terminate 3
      1
      Confidential VM を有効にします。
      2
      Confidential VM をサポートするマシンタイプを指定します。Confidential VM には、N2D または C2D シリーズのマシンタイプが必要です。サポートされているマシンタイプの詳細は、サポートされているオペレーティングシステムとマシンタイプ を参照してください。
      3
      ハードウェアやソフトウェアの更新など、ホストのメンテナンスイベント中の VM の動作を指定します。Confidential VM を使用するマシンの場合は、この値を Terminate に設定する必要があります。これにより、VM が停止します。Confidential VM はライブ VM 移行をサポートしていません。

    2. コンピューティングマシンのみに Confidential VM を使用するには: 

      compute:
- platform:
    gcp:
       confidentialCompute: Enabled
       type: n2d-standard-8
       onHostMaintenance: Terminate

    3. すべてのマシンに Confidential VM を使用するには: 

      platform:
  gcp:
    defaultMachinePlatform:
       confidentialCompute: Enabled
       type: n2d-standard-8
       onHostMaintenance: Terminate

9.5.4. 共有 VPC インストール用にカスタマイズされた install-config.yaml ファイルのサンプル

共有 VPC を使用して OpenShift Container Platform を GCP にインストールするために必要な設定パラメーターがいくつかあります。以下は、これらのフィールドを示すサンプルの install-config.yaml ファイルです。

重要

このサンプルの YAML ファイルは参照用にのみ提供されます。このファイルを変更して、ご使用の環境とクラスターに適した値にする必要があります。 

apiVersion: v1
baseDomain: example.com
credentialsMode: Passthrough 1
metadata:
  name: cluster_name
platform:
  gcp:
    computeSubnet: shared-vpc-subnet-1 2
    controlPlaneSubnet: shared-vpc-subnet-2 3
    network: shared-vpc 4
    networkProjectID: host-project-name 5
    projectID: service-project-name 6
    region: us-east1
    defaultMachinePlatform:
      tags: 7
      - global-tag1
controlPlane:
  name: master
  platform:
    gcp:
      tags: 8
      - control-plane-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
compute:
- name: worker
  platform:
    gcp:
      tags: 9
      - compute-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA... 10
1
credentialsModePassthrough または Manual に設定する必要があります。サービスアカウントに必要な GCP 権限については、前提条件セクションを参照してください。
2
コンピュートマシンが使用する共有 VPC 内のサブネットの名前。
3
コントロールプレーンマシンが使用する共有 VPC 内のサブネットの名前。
4
共有 VPC の名前。
5
共有 VPC が存在するホストプロジェクトの名前。
6
クラスターをインストールする GCP プロジェクトの名前。
7 8 9
オプション: コンピューティングマシン、コントロールプレーンマシン、またはすべてのマシンに適用する 1 つ以上のネットワークタグ。
10
クラスター内のマシンにアクセスするために使用する sshKey 値をオプションで指定できます。

9.5.5. インストール設定パラメーター

OpenShift Container Platform クラスターをデプロイする前に、クラスターをホストするクラウドプラットフォームでアカウントを記述し、クラスターのプラットフォームをオプションでカスタマイズするためにパラメーターの値を指定します。install-config.yaml インストール設定ファイルを作成する際に、コマンドラインで必要なパラメーターの値を指定します。クラスターをカスタマイズする場合、install-config.yaml ファイルを変更して、プラットフォームについての詳細情報を指定できます。

注記

インストール後は、これらのパラメーターを install-config.yaml ファイルで変更することはできません。

9.5.5.1. 必須設定パラメーター

必須のインストール設定パラメーターは、以下の表で説明されています。

表9.1 必須パラメーター
パラメーター説明

apiVersion

install-config.yaml コンテンツの API バージョン。現在のバージョンは v1 です。インストールプログラムは、古い API バージョンもサポートしている場合があります。

文字列

baseDomain

クラウドプロバイダーのベースドメイン。ベースドメインは、OpenShift Container Platform クラスターコンポーネントへのルートを作成するために使用されます。クラスターの完全な DNS 名は、baseDomain<metadata.name>.<baseDomain> 形式を使用する metadata.name パラメーターの値の組み合わせです。

example.com などの完全修飾ドメインまたはサブドメイン名。

metadata

Kubernetes リソース ObjectMeta。ここからは name パラメーターのみが消費されます。

オブジェクト

metadata.name

クラスターの名前。クラスターの DNS レコードはすべて {{.metadata.name}}.{{.baseDomain}} のサブドメインです。

dev などの小文字、ハイフン (-)、およびピリオド (.) が含まれる文字列。

platform

インストールを実行する特定のプラットフォームの設定: alibabacloudawsbaremetalazuregcpibmcloudNutanixopenstackovirtpowervsvsphere、または {}platform.<platform> パラメーターに関する追加情報は、以下の表で特定のプラットフォームを参照してください。

オブジェクト

pullSecret

Red Hat OpenShift Cluster Manager からプルシークレット を取得して、Quay.io などのサービスから OpenShift Container Platform コンポーネントのコンテナーイメージをダウンロードすることを認証します。 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}

9.5.5.2. ネットワーク設定パラメーター

既存のネットワークインフラストラクチャーの要件に基づいて、インストール設定をカスタマイズできます。たとえば、クラスターネットワークの IP アドレスブロックを拡張するか、デフォルトとは異なる IP アドレスブロックを指定できます。

IPv4 アドレスのみがサポートされます。

注記

Globalnet は、Red Hat OpenShift Data Foundation ディザスターリカバリーソリューションではサポートされていません。局地的なディザスターリカバリーのシナリオでは、各クラスター内のクラスターとサービスネットワークに重複しない範囲のプライベート IP アドレスを使用するようにしてください。

表9.2 ネットワークパラメーター
パラメーター説明

networking

クラスターのネットワークの設定。

オブジェクト

注記

インストール後に networking オブジェクトで指定したパラメーターを変更することはできません。

networking.networkType

インストールする Red Hat OpenShift Networking ネットワークプラグイン。

OpenShiftSDN または OVNKubernetes のいずれか。OpenShiftSDN は、全 Linux ネットワーク用の CNI プラグインです。OVNKubernetes は、Linux ネットワークと、Linux サーバーと Windows サーバーの両方を含む Linux ネットワークおよびハイブリッドネットワーク用の CNI プラグインです。デフォルトの値は OVNkubernetes です。

networking.clusterNetwork

Pod の IP アドレスブロック。

デフォルト値は 10.128.0.0/14 で、ホストの接頭辞は /23 です。

複数の IP アドレスブロックを指定する場合は、ブロックが重複しないようにしてください。

オブジェクトの配列。以下に例を示します。 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork を使用する場合に必須です。IP アドレスブロック。

IPv4 ネットワーク

CIDR (Classless Inter-Domain Routing) 表記の IP アドレスブロック。IPv4 ブロックの接頭辞長は 0 から 32 の間になります。

networking.clusterNetwork.hostPrefix

それぞれの個別ノードに割り当てるサブネット接頭辞長。たとえば、hostPrefix23 に設定される場合、各ノードに指定の cidr から /23 サブネットが割り当てられます。hostPrefix 値の 23 は、510 (2^(32 - 23) - 2) Pod IP アドレスを提供します。

サブネット接頭辞。

デフォルト値は 23 です。

networking.serviceNetwork

サービスの IP アドレスブロック。デフォルト値は 172.30.0.0/16 です。

OpenShift SDN および OVN-Kubernetes ネットワークプラグインは、サービスネットワークの単一 IP アドレスブロックのみをサポートします。

CIDR 形式の IP アドレスブロックを持つ配列。以下に例を示します。 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

マシンの IP アドレスブロック。

複数の IP アドレスブロックを指定する場合は、ブロックが重複しないようにしてください。

オブジェクトの配列。以下に例を示します。 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork を使用する場合に必須です。IP アドレスブロック。libvirt と IBM Power Virtual Server を除くすべてのプラットフォームのデフォルト値は 10.0.0.0/16 です。libvirt の場合、デフォルト値は 192.168.126.0/24 です。IBM Power Virtual Server の場合、デフォルト値は 192.168.0.0/24 です。

CIDR 表記の IP ネットワークブロック。

例: 10.0.0.0/16

注記

優先される NIC が置かれている CIDR に一致する networking.machineNetwork を設定します。

9.5.5.3. オプションの設定パラメーター

オプションのインストール設定パラメーターは、以下の表で説明されています。

表9.3 オプションのパラメーター
パラメーター説明

additionalTrustBundle

ノードの信頼済み証明書ストアに追加される PEM でエンコードされた X.509 証明書バンドル。この信頼バンドルは、プロキシーが設定される際にも使用できます。

文字列

capabilities

オプションのコアクラスターコンポーネントのインストールを制御します。オプションのコンポーネントを無効にすることで、OpenShift Container Platform クラスターのフットプリントを削減できます。詳細は、インストール の「クラスター機能ページ」を参照してください。

文字列配列

capabilities.baselineCapabilitySet

有効にするオプション機能の初期セットを選択します。有効な値は Nonev4.11v4.12vCurrent です。デフォルト値は vCurrent です。

文字列

capabilities.additionalEnabledCapabilities

オプションの機能のセットを、baselineCapabilitySet で指定したものを超えて拡張します。このパラメーターで複数の機能を指定できます。

文字列配列

cpuPartitioningMode

ワークロードパーティション設定を使用して、OpenShift Container Platform サービス、クラスター管理ワークロード、およびインフラストラクチャー Pod を分離し、予約された CPU セットで実行できます。ワークロードパーティショニングはインストール中にのみ有効にすることができ、インストール後に無効にすることはできません。このフィールドはワークロードのパーティショニングを有効にしますが、特定の CPU を使用するようにワークロードを設定するわけではありません。詳細は、スケーラビリティとパフォーマンス セクションの ワークロードパーティショニング ページを参照してください。

None または AllNodes。デフォルト値は None です。

compute

コンピュートノードを設定するマシンの設定。

MachinePool オブジェクトの配列。

compute.architecture

プール内のマシンの命令セットアーキテクチャーを決定します。現在、さまざまなアーキテクチャーのクラスターはサポートされていません。すべてのプールは同じアーキテクチャーを指定する必要があります。有効な値は amd64 (デフォルト) です。

String

compute: hyperthreading:

コンピュートマシンで同時マルチスレッドまたは hyperthreading を有効/無効にするかどうか。デフォルトでは、同時スレッドはマシンのコアのパフォーマンスを上げるために有効にされます。

重要

同時スレッドを無効にする場合は、容量計画においてマシンパフォーマンスの大幅な低下が考慮に入れられていることを確認します。

Enabled または Disabled

compute.name

compute を使用する場合に必須です。マシンプールの名前。

worker

compute.platform

compute を使用する場合に必須です。このパラメーターを使用して、ワーカーマシンをホストするクラウドプロバイダーを指定します。このパラメーターの値は controlPlane.platform パラメーターの値に一致する必要があります。

alibabacloudawsazuregcpibmcloudnutanixopenstackovirtpowervsvsphere、または {}

compute.replicas

プロビジョニングするコンピュートマシン (ワーカーマシンとしても知られる) の数。

2 以上の正の整数。デフォルト値は 3 です。

featureSet

機能セットのクラスターを有効にします。機能セットは、デフォルトで有効にされない OpenShift Container Platform 機能のコレクションです。インストール中に機能セットを有効にする方法の詳細は、「機能ゲートの使用による各種機能の有効化」を参照してください。

文字列。TechPreviewNoUpgrade など、有効にする機能セットの名前。

controlPlane

コントロールプレーンを設定するマシンの設定。

MachinePool オブジェクトの配列。

controlPlane.architecture

プール内のマシンの命令セットアーキテクチャーを決定します。現在、さまざまなアーキテクチャーのクラスターはサポートされていません。すべてのプールは同じアーキテクチャーを指定する必要があります。有効な値は amd64 (デフォルト) です。

String

controlPlane: hyperthreading:

コントロールプレーンマシンで同時マルチスレッドまたは hyperthreading を有効/無効にするかどうか。デフォルトでは、同時スレッドはマシンのコアのパフォーマンスを上げるために有効にされます。

重要

同時スレッドを無効にする場合は、容量計画においてマシンパフォーマンスの大幅な低下が考慮に入れられていることを確認します。

Enabled または Disabled

controlPlane.name

controlPlane を使用する場合に必須です。マシンプールの名前。

master

controlPlane.platform

controlPlane を使用する場合に必須です。このパラメーターを使用して、コントロールプレーンマシンをホストするクラウドプロバイダーを指定します。このパラメーターの値は compute.platform パラメーターの値に一致する必要があります。

alibabacloudawsazuregcpibmcloudnutanixopenstackovirtpowervsvsphere、または {}

controlPlane.replicas

プロビジョニングするコントロールプレーンマシンの数。

サポートされる値は 3 のみです (これはデフォルト値です)。

credentialsMode

Cloud Credential Operator (CCO) モード。モードを指定しないと、CCO は指定された認証情報の機能を動的に判別しようとします。この場合、複数のモードがサポートされるプラットフォームで Mint モードが優先されます。GCP で共有 Virtual Private Cloud (VPC) にインストールする場合は、credentialsModePassthrough または Manual に設定する必要があります。

注記

すべてのクラウドプロバイダーですべての CCO モードがサポートされているわけではありません。CCO モードの詳細は、Cluster Operators リファレンスCloud Credential Operator を参照してください。

注記

AWS アカウントでサービスコントロールポリシー (SCP) が有効になっている場合は、credentialsMode パラメーターを MintPassthrough または Manual に設定する必要があります。

MintPassthroughManual、または空の文字列 ("")。

imageContentSources

release-image コンテンツのソースおよびリポジトリー。

オブジェクトの配列。この表の以下の行で説明されているように、source およびオプションで mirrors が含まれます。

imageContentSources.source

imageContentSources を使用する場合に必須です。ユーザーが参照するリポジトリーを指定します (例: イメージプル仕様)。

文字列

imageContentSources.mirrors

同じイメージが含まれる可能性のあるリポジトリーを 1 つ以上指定します。

文字列の配列。

publish

Kubernetes API、OpenShift ルートなどのクラスターのユーザーに表示されるエンドポイントをパブリッシュまたは公開する方法。

Internal または External。プライベートクラスターをデプロイするには、publishInternal に設定します。これはインターネットからアクセスできません。デフォルト値は External です。

sshKey

クラスターマシンへのアクセスを認証するための SSH キー。

注記

インストールのデバッグまたは障害復旧を実行する必要のある実稼働用の OpenShift Container Platform クラスターでは、ssh-agent プロセスが使用する SSH キーを指定します。

たとえば、sshKey: ssh-ed25519 AAAA.. です。

  1. すべてのクラウドプロバイダーですべての CCO モードがサポートされているわけではありません。CCO モードの詳細は、認証と認可 コンテンツの「クラウドプロバイダーの認証情報の管理」を参照してください。

    注記

    GCP で共有 Virtual Private Cloud (VPC) にインストールする場合は、credentialsModePassthrough または Manual に設定する必要があります。

    重要

    このパラメーターを Manual に設定すると、管理者レベルのシークレットを kube-system プロジェクトに保存する代替手段が有効になりますが、追加の設定手順が必要になります。詳細は、「管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法」を参照してください。

9.5.5.4. 追加の Google Cloud Platform (GCP) 設定パラメーター

追加の GCP 設定パラメーターは以下の表で説明されています。

表9.4 追加の GCP パラメーター
パラメーター説明

platform.gcp.network

クラスターをデプロイする既存 Virtual Private Cloud (VPC) の名前。クラスターを共有 VPC にデプロイする場合は、共有 VPC を含む GCP プロジェクトの名前で platform.gcp.networkProjectID を設定する必要があります。

文字列。

platform.gcp.networkProjectID

オプション:クラスターをデプロイする共有 VPC を含む GCP プロジェクトの名前。

文字列。

platform.gcp.projectID

インストールプログラムがクラスターをインストールする GCP プロジェクトの名前。

文字列。

platform.gcp.region

クラスターをホストする GCP リージョンの名前。

有効なリージョン名 (例: us-central1)

platform.gcp.controlPlaneSubnet

コントロールプレーンマシンをデプロイする既存サブネットの名前。

サブネット名。

platform.gcp.computeSubnet

コンピュートマシンをデプロイする既存サブネットの名前。

サブネット名。

platform.gcp.licenses

コンピューティングイメージに適用する必要があるライセンス URL のリスト。

重要

license パラメーターは非推奨のフィールドであり、ネストされた仮想化はデフォルトで有効になっています。このフィールドの使用は推奨されません。

ネストされた仮想化 を有効にするライセンスなど、ライセンス API で使用可能なすべてのライセンス。このパラメーターは、ビルド済みのイメージを生成するメカニズムでは使用できません。ライセンス URL を使用すると、インストールプログラムは使用する前にソースイメージをコピーする必要があります。

platform.gcp.defaultMachinePlatform.zones

インストールプログラムがマシンを作成するアベイラビリティーゾーン。

YAML シーケンスus-central1-a などの有効な GCP アベイラビリティーゾーン の一覧。

platform.gcp.defaultMachinePlatform.osDisk.diskSizeGB

ディスクのサイズ (GB 単位)。

16 GB から 65536 GB の間のサイズ

platform.gcp.defaultMachinePlatform.osDisk.diskType

GCP ディスクタイプ

デフォルトの pd-ssd または pd-standard ディスクタイプ。コントロールプレーンノードは pd-ssd ディスクタイプである必要があります。コンピュートノードはどちらのタイプでも構いません。

platform.gcp.defaultMachinePlatform.osImage.project

オプション: デフォルトで、インストールプログラムは、コントロールプレーンおよびコンピュートマシンの起動に使用される RHCOS イメージをダウンロードしてインストールします。両方のタイプのマシンで使用するインストールプログラムのカスタム RHCOS イメージの場所を指定することで、デフォルトの動作をオーバーライドできます。

文字列。イメージが置かれている GCP プロジェクトの名前。

platform.gcp.defaultMachinePlatform.osImage.name

インストールプログラムがコントロールプレーンとコンピュートマシンの起動に使用するカスタム RHCOS イメージの名前。platform.gcp.defaultMachinePlatform.osImage.project を使用する場合、このフィールドは必須です。

文字列。RHCOS イメージの名前。

platform.gcp.defaultMachinePlatform.tags

オプション:コントロールプレーンおよびコンピュートマシンに追加する別のネットワークタグ。

network-tag1 などの 1 つ以上の文字列。

platform.gcp.defaultMachinePlatform.type

コントロールプレーンおよびコンピュートマシンの GCP マシンタイプ

n1-standard-4 などの GCP マシンタイプ。

platform.gcp.defaultMachinePlatform.osDisk.encryptionKey.kmsKey.name

マシンのディスク暗号化に使用されるお客様が管理する暗号化キーの名前。

暗号化キー名。

platform.gcp.defaultMachinePlatform.osDisk.encryptionKey.kmsKey.keyRing

KMS キーが属する Key Management Service (KMS) キーリングの名前。

KMS キーリング名。

platform.gcp.defaultMachinePlatform.osDisk.encryptionKey.kmsKey.location

KMS キーリングが存在する GCP の場所

GCP の場所。

platform.gcp.defaultMachinePlatform.osDisk.encryptionKey.kmsKey.projectID

KMS キーリングが存在するプロジェクトの ID。この値は、設定されていない場合、デフォルトで platform.gcp.projectID パラメーターの値になります。

GCP プロジェクト ID

platform.gcp.defaultMachinePlatform.osDisk.encryptionKey.kmsKeyServiceAccount

コントロールプレーンおよびコンピュートマシンの暗号化要求に使用される GCP サービスアカウント。存在しない場合には、Compute Engine のデフォルトのサービスアカウントが使用されます。GCP サービスアカウントの詳細は、Google のドキュメントの service accounts を参照してください。

<service_account_name>@<project_id>.iam.gserviceaccount.com などの GCP サービスアカウントのメール。

platform.gcp.defaultMachinePlatform.secureBoot

クラスター内のすべてのマシンに Shielded VM セキュアブートを有効にするかどうか。Shielded VM には、セキュアブート、ファームウェアと整合性の監視、ルートキット保護などの追加のセキュリティープロトコルがあります。Shielded VM の詳細は、Shielded VM に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

platform.gcp.defaultMachinePlatform.confidentialCompute

クラスター内のすべてのマシンに Confidential VM を使用するかどうか。Confidential VM は処理中のデータを暗号化します。Confidential Computing の詳細は、Confidential Computing に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

platform.gcp.defaultMachinePlatform.onHostMaintenance

ソフトウェアやハードウェアの更新など、ホストメンテナンスイベント中のすべての VM の動作を指定します。Confidential VM の場合は、このパラメーターを Terminate に設定する必要があります。Confidential VM はライブ VM 移行をサポートしていません。

Terminate または Migrate。デフォルト値は、Migrate です。

controlPlane.platform.gcp.osDisk.encryptionKey.kmsKey.name

コントロールプレーンマシンのディスク暗号化に使用されるお客様が管理する暗号化キーの名前。

暗号化キー名。

controlPlane.platform.gcp.osDisk.encryptionKey.kmsKey.keyRing

コントロールプレーンマシンの場合、KMS キーが属する KMS キーリングの名前。

KMS キーリング名。

controlPlane.platform.gcp.osDisk.encryptionKey.kmsKey.location

コントロールプレーンマシンの場合、キーリングが存在する GCP の場所。KMS の場所の詳細は、Google のドキュメント Cloud KMS locations を参照してください。

キーリングの GCP の場所。

controlPlane.platform.gcp.osDisk.encryptionKey.kmsKey.projectID

コントロールプレーンマシンの場合、KMS キーリングが存在するプロジェクトの ID。設定されていない場合、この値は VM プロジェクト ID にデフォルト設定されます。

GCP プロジェクト ID

controlPlane.platform.gcp.osDisk.encryptionKey.kmsKeyServiceAccount

コントロールプレーンマシンの暗号化要求に使用される GCP サービスアカウント。存在しない場合には、Compute Engine のデフォルトのサービスアカウントが使用されます。GCP サービスアカウントの詳細は、Google のドキュメントの service accounts を参照してください。

<service_account_name>@<project_id>.iam.gserviceaccount.com などの GCP サービスアカウントのメール。

controlPlane.platform.gcp.osDisk.diskSizeGB

ディスクのサイズ (GB 単位)。この値はコントロールプレーンマシンに適用されます。

16 から 65536 までの整数。

controlPlane.platform.gcp.osDisk.diskType

コントロールプレーンマシンの GCP ディスクタイプ

コントロールプレーンマシンは、デフォルトの pd-ssd ディスクタイプを使用する必要があります。

controlPlane.platform.gcp.osImage.project

オプション: デフォルトで、インストールプログラムは、コントロールプレーンおよびコンピュートマシンの起動に使用する Red Hat Enterprise Linux CoreOS (RHCOS) イメージをダウンロードしてインストールします。コントロールプレーンマシンのみで使用するインストールプログラムのカスタム RHCOS イメージの場所を指定することで、デフォルトの動作をオーバーライドできます。

文字列。イメージが置かれている GCP プロジェクトの名前。

controlPlane.platform.gcp.osImage.name

インストールプログラムがコントロールプレーンマシンの起動に使用するカスタム RHCOS イメージの名前。controlPlane.platform.gcp.osImage.project を使用する場合、このフィールドは必須です。

文字列。RHCOS イメージの名前。

controlPlane.platform.gcp.tags

オプション:コントロールプレーンマシンに追加する別のネットワークタグ。このパラメーターを設定すると、コントロールプレーンマシンの platform.gcp.defaultMachinePlatform.tags パラメーターが上書きされます。

control-plane-tag1 などの 1 つ以上の文字列。

controlPlane.platform.gcp.type

コントロールプレーン マシンの GCP マシンタイプ。設定されている場合、このパラメーターは platform.gcp.defaultMachinePlatform.type パラメーターを上書きします。

n1-standard-4 などの GCP マシンタイプ。

controlPlane.platform.gcp.zones

インストールプログラムがコントロールプレーンマシンを作成するアベイラビリティーゾーン。

YAML シーケンスus-central1-a などの有効な GCP アベイラビリティーゾーン の一覧。

controlPlane.platform.gcp.secureBoot

コントロールプレーンマシンの Shielded VM セキュアブートを有効にするかどうか。Shielded VM には、セキュアブート、ファームウェアと整合性の監視、ルートキット保護などの追加のセキュリティープロトコルがあります。Shielded VM の詳細は、Shielded VM に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

controlPlane.platform.gcp.confidentialCompute

コントロールプレーンマシンの Confidential VM を有効にするかどうか。Confidential VM は処理中のデータを暗号化します。Confidential VM の詳細は、Confidential Computing に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

controlPlane.platform.gcp.onHostMaintenance

ソフトウェアやハードウェアの更新など、ホストメンテナンスイベント中のコントロールプレーン VM の動作を指定します。Confidential VM の場合は、このパラメーターを Terminate に設定する必要があります。Confidential VM はライブ VM 移行をサポートしていません。

Terminate または Migrate。デフォルト値は、Migrate です。

compute.platform.gcp.osDisk.encryptionKey.kmsKey.name

コントロールマシンのディスク暗号化に使用されるお客様が管理する暗号化キーの名前。

暗号化キー名。

compute.platform.gcp.osDisk.encryptionKey.kmsKey.keyRing

コンピュートマシンの場合、KMS キーが属する KMS キーリングの名前。

KMS キーリング名。

compute.platform.gcp.osDisk.encryptionKey.kmsKey.location

コンピュートマシンの場合、キーリングが存在する GCP の場所。KMS の場所の詳細は、Google のドキュメント Cloud KMS locations を参照してください。

キーリングの GCP の場所。

compute.platform.gcp.osDisk.encryptionKey.kmsKey.projectID

コンピュートマシンの場合、KMS キーリングが存在するプロジェクトの ID。設定されていない場合、この値は VM プロジェクト ID にデフォルト設定されます。

GCP プロジェクト ID

compute.platform.gcp.osDisk.encryptionKey.kmsKeyServiceAccount

コンピュートマシンの暗号化要求に使用される GCP サービスアカウント。この値が設定されていない場合には、Compute Engine のデフォルトのサービスアカウントが使用されます。GCP サービスアカウントの詳細は、Google のドキュメントの service accounts を参照してください。

<service_account_name>@<project_id>.iam.gserviceaccount.com などの GCP サービスアカウントのメール。

compute.platform.gcp.osDisk.diskSizeGB

ディスクのサイズ (GB 単位)。この値はコンピュートマシンに適用されます。

16 から 65536 までの整数。

compute.platform.gcp.osDisk.diskType

コンピュートマシンの GCP ディスクタイプ

デフォルトの pd-ssd または pd-standard ディスクタイプ。

compute.platform.gcp.osImage.project

オプション: デフォルトで、インストールプログラムはコンピュートマシンの起動に使用する RHCOS イメージをダウンロードしてインストールします。コンピュートマシンのみで使用するインストールプログラムのカスタム RHCOS イメージの場所を指定することで、デフォルトの動作をオーバーライドできます。

文字列。イメージが置かれている GCP プロジェクトの名前。

compute.platform.gcp.osImage.name

インストールプログラムがコンピュートマシンの起動に使用するカスタム RHCOS イメージの名前。compute.platform.gcp.osImage.project を使用する場合、このフィールドは必須です。

文字列。RHCOS イメージの名前。

compute.platform.gcp.tags

オプション:コンピュートマシンに追加する別のネットワークタグ。このパラメーターを設定すると、コンピュートマシンの platform.gcp.defaultMachinePlatform.tags パラメーターが上書きされます。

compute-network-tag1 などの 1 つ以上の文字列。

compute.platform.gcp.type

コンピュートマシンの GCP マシンタイプ。設定されている場合、このパラメーターは platform.gcp.defaultMachinePlatform.type パラメーターを上書きします。

n1-standard-4 などの GCP マシンタイプ。

compute.platform.gcp.zones

インストールプログラムがコンピュートマシンを作成するアベイラビリティーゾーン。

YAML シーケンスus-central1-a などの有効な GCP アベイラビリティーゾーン の一覧。

compute.platform.gcp.secureBoot

コンピュートマシン用に Shielded VM のセキュアブートを有効にするかどうか。Shielded VM には、セキュアブート、ファームウェアと整合性の監視、ルートキット保護などの追加のセキュリティープロトコルがあります。Shielded VM の詳細は、Shielded VM に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

compute.platform.gcp.confidentialCompute

コンピューティングマシンの Confidential VM を有効にするかどうか。Confidential VM は処理中のデータを暗号化します。Confidential VM の詳細は、Confidential Computing に関する Google のドキュメントを参照してください。

Enabled または Disabled。デフォルト値は、Disabled です。

compute.platform.gcp.onHostMaintenance

ソフトウェアやハードウェアの更新など、ホストメンテナンスイベント中のコンピューティング VM の動作を指定します。Confidential VM の場合は、このパラメーターを Terminate に設定する必要があります。Confidential VM はライブ VM 移行をサポートしていません。

Terminate または Migrate。デフォルト値は、Migrate です。

9.5.6. インストール時のクラスター全体のプロキシーの設定

実稼働環境では、インターネットへの直接アクセスを拒否し、代わりに HTTP または HTTPS プロキシーを使用することができます。プロキシー設定を install-config.yaml ファイルで行うことにより、新規の OpenShift Container Platform クラスターをプロキシーを使用するように設定できます。

前提条件

  • 既存の install-config.yaml ファイルがある。

  • クラスターがアクセスする必要のあるサイトを確認済みで、それらのいずれかがプロキシーをバイパスする必要があるかどうかを判別している。デフォルトで、すべてのクラスター Egress トラフィック (クラスターをホストするクラウドに関するクラウドプロバイダー API に対する呼び出しを含む) はプロキシーされます。プロキシーを必要に応じてバイパスするために、サイトを Proxy オブジェクトの spec.noProxy フィールドに追加している。

    注記

    Proxy オブジェクトの status.noProxy フィールドには、インストール設定の networking.machineNetwork[].cidrnetworking.clusterNetwork[].cidr、および networking.serviceNetwork[] フィールドの値が設定されます。

    Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure、および Red Hat OpenStack Platform (RHOSP) へのインストールの場合、Proxy オブジェクトの status.noProxy フィールドには、インスタンスメタデータのエンドポイント (169.254.169.254) も設定されます。

手順

  1. install-config.yaml ファイルを編集し、プロキシー設定を追加します。以下に例を示します。 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
    1
    クラスター外の HTTP 接続を作成するために使用するプロキシー URL。URL スキームは http である必要があります。
    2
    クラスター外で HTTPS 接続を作成するために使用するプロキシー URL。
    3
    プロキシーから除外するための宛先ドメイン名、IP アドレス、または他のネットワーク CIDR のコンマ区切りのリスト。サブドメインのみと一致するように、ドメインの前に . を付けます。たとえば、.y.comx.y.com に一致しますが、y.com には一致しません。* を使用し、すべての宛先のプロキシーをバイパスします。
    4
    指定されている場合、インストールプログラムは HTTPS 接続のプロキシーに必要な 1 つ以上の追加の CA 証明書が含まれる user-ca-bundle という名前の設定マップを openshift-config namespace に生成します。次に Cluster Network Operator は、これらのコンテンツを Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルにマージする trusted-ca-bundle 設定マップを作成し、この設定マップは Proxy オブジェクトの trustedCA フィールドで参照されます。additionalTrustBundle フィールドは、プロキシーのアイデンティティー証明書が RHCOS 信頼バンドルからの認証局によって署名されない限り必要になります。
    5
    オプション: trustedCA フィールドの user-ca-bundle 設定マップを参照する Proxy オブジェクトの設定を決定するポリシー。許可される値は Proxyonly および Always です。Proxyonly を使用して、http/https プロキシーが設定されている場合にのみ user-ca-bundle 設定マップを参照します。Always を使用して、常に user-ca-bundle 設定マップを参照します。デフォルト値は Proxyonly です。
    注記

    インストールプログラムは、プロキシーの readinessEndpoints フィールドをサポートしません。

    注記

    インストーラーがタイムアウトした場合は、インストーラーの wait-for コマンドを使用してデプロイメントを再起動してからデプロイメントを完了します。以下に例を示します。 

    $ ./openshift-install wait-for install-complete --log-level debug
  2. ファイルを保存し、OpenShift Container Platform のインストール時にこれを参照します。

インストールプログラムは、指定の install-config.yaml ファイルのプロキシー設定を使用する cluster という名前のクラスター全体のプロキシーを作成します。プロキシー設定が指定されていない場合、cluster Proxy オブジェクトが依然として作成されますが、これには spec がありません。

注記

cluster という名前の Proxy オブジェクトのみがサポートされ、追加のプロキシーを作成することはできません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.