18.5. AWS での DNS レコードの作成

手順

1. ユーザーを確認してください。ユーザーは、kube-system namespace にアクセスできる必要があります。クレデンシャルがない場合は、kube-system namespace からクレデンシャルを取得すると、クラウドプロバイダークライアントを使用できます。

   $ oc whoami

   出力例

   system:admin

2. kube-system namespace に存在する aws-creds シークレットから値を取得します。

   $ export AWS_ACCESS_KEY_ID=$(oc get secrets aws-creds -n kube-system  --template={{.data.aws_access_key_id}} | base64 -d)
   $ export AWS_SECRET_ACCESS_KEY=$(oc get secrets aws-creds -n kube-system  --template={{.data.aws_secret_access_key}} | base64 -d)

3. ルートを取得して、ドメインを確認します。

   $ oc get routes --all-namespaces | grep console

   出力例

   openshift-console          console             console-openshift-console.apps.testextdnsoperator.apacshift.support                       console             https   reencrypt/Redirect     None
   openshift-console          downloads           downloads-openshift-console.apps.testextdnsoperator.apacshift.support                     downloads           http    edge/Redirect          None

4. DNS ゾーンのリストを取得して、以前に検出されたルートのドメインに対応するものを検索します。

   $ aws route53 list-hosted-zones | grep testextdnsoperator.apacshift.support

   出力例

   HOSTEDZONES	terraform	/hostedzone/Z02355203TNN1XXXX1J6O	testextdnsoperator.apacshift.support.	5

5. route ソースの ExternalDNS リソースを作成します。

   $ cat <<EOF | oc create -f -
   apiVersion: externaldns.olm.openshift.io/v1beta1
   kind: ExternalDNS
   metadata:
     name: sample-aws 1
   spec:
     domains:
     - filterType: Include   2
       matchType: Exact   3
       name: testextdnsoperator.apacshift.support 4
     provider:
       type: AWS 5
     source:  6
       type: OpenShiftRoute 7
       openshiftRouteOptions:
         routerName: default 8
   EOF

   1

   外部 DNS リソースの名前を定義します。

   2

   デフォルトでは、すべてのホストゾーンがターゲット候補として選択されます。必要なホストゾーンを追加できます。

   3

   ターゲットゾーンのドメインは、(正規表現の一致とは対照的に) 完全一致である必要があります。

   4

   更新するゾーンのドメインを正確に指定します。ルートのホスト名は、指定されたドメインのサブドメインである必要があります。

   5

   AWS Route53DNSプロバイダーを定義します。

   6

   DNS レコードのソースのオプションを定義します。

   7

   以前に指定された DNS プロバイダーで作成される DNS レコードのソースとして OpenShift route リソースを定義します。

   8

   ソースが OpenShiftRoute の場合に、OpenShift Ingress Controller 名を指定できます。外部 DNS Operator は、CNAME レコードの作成時に、そのルーターの正規のホスト名をターゲットとして選択します。

6. 次のコマンドを使用して、OCP ルート用に作成されたレコードを確認します。

   $ aws route53 list-resource-record-sets --hosted-zone-id Z02355203TNN1XXXX1J6O --query "ResourceRecordSets[?Type == 'CNAME']" | grep console

手順

1. 次のコマンドを実行して、アカウント B からアカウント A の Route 53 ホストゾーンにアクセスできるように作成した IAM ロールのロール ARN を取得します。

   $ aws --profile account-a iam get-role --role-name user-rol1 | head -1

   出力例

   ROLE	arn:aws:iam::1234567890123:role/user-rol1	2023-09-14T17:21:54+00:00	3600	/	AROA3SGB2ZRKRT5NISNJN	user-rol1

2. 次のコマンドを実行して、アカウント A の認証情報で使用するプライベートホストゾーンを特定します。

   $ aws --profile account-a route53 list-hosted-zones | grep testextdnsoperator.apacshift.support

   出力例

   HOSTEDZONES	terraform	/hostedzone/Z02355203TNN1XXXX1J6O	testextdnsoperator.apacshift.support. 5

3. 次のコマンドを実行して、ExternalDNS オブジェクトを作成します。

   $ cat <<EOF | oc create -f -
   apiVersion: externaldns.olm.openshift.io/v1beta1
   kind: ExternalDNS
   metadata:
     name: sample-aws
   spec:
     domains:
     - filterType: Include
       matchType: Exact
       name: testextdnsoperator.apacshift.support
     provider:
       type: AWS
       aws:
         assumeRole:
           arn: arn:aws:iam::12345678901234:role/user-rol1 1
     source:
       type: OpenShiftRoute
       openshiftRouteOptions:
         routerName: default
   EOF

   1

   アカウント A に DNS レコードを作成するには、ロール ARN を指定します。

4. 次のコマンドを使用して、OpenShift Container Platform (OCP) ルートに対して作成されたレコードを確認します。

   $ aws --profile account-a route53 list-resource-record-sets --hosted-zone-id Z02355203TNN1XXXX1J6O --query "ResourceRecordSets[?Type == 'CNAME']" | grep console-openshift-console