7.8. GCP 上のクラスターを共有 VPC にインストールする方法

PDF

OpenShift Container Platform バージョン 4.15 では、Google Cloud Platform (GCP) 上の共有 Virtual Private Cloud (VPC) にクラスターをインストールできます。このインストール方法では、クラスターは別の GCP プロジェクトの VPC を使用するように設定されています。共有 VPC により、組織は複数のプロジェクトから共通の VPC ネットワークにリソースを接続できるようになります。対象のネットワークの内部 IP アドレスを使用して、組織内の通信を安全かつ効率的に実行できます。共有 VPC の詳細は、GCP ドキュメントの共有 VPC の概要を参照してください。

インストールプログラムは、カスタマイズ可能な残りの必要なインフラストラクチャーをプロビジョニングします。インストールをカスタマイズするには、クラスターをインストールする前に、install-config.yaml ファイルでパラメーターを変更します。

7.8.1. 前提条件

OpenShift Container Platform のインストールおよび更新プロセスの詳細を確認した。
クラスターインストール方法の選択およびそのユーザー向けの準備を確認した。
ファイアウォールを使用する場合は、クラスターがアクセスを必要とするサイトを許可するようにファイアウォールを設定する必要がある。
共有 VPC ネットワークを含む GCP ホストプロジェクトがある。
クラスターをホストするように GCP プロジェクトを設定している。サービスプロジェクトと呼ばれるこのプロジェクトは、ホストプロジェクトに割り当てる必要があります。詳細は、Attaching service projects in the GCP documentation を参照してください。
ホストプロジェクトとサービスプロジェクトの両方で必要な GCP 権限を持つ GCP サービスアカウントを持っている。

7.8.2. OpenShift Container Platform のインターネットアクセス

OpenShift Container Platform 4.15 では、クラスターをインストールするためにインターネットアクセスが必要になります。

インターネットへのアクセスは以下を実行するために必要です。

OpenShift Cluster Manager にアクセスし、インストールプログラムをダウンロードし、サブスクリプション管理を実行します。クラスターにインターネットアクセスがあり、Telemetry を無効にしない場合、そのサービスは有効なサブスクリプションでクラスターを自動的に使用します。
クラスターのインストールに必要なパッケージを取得するために Quay.io にアクセスします。
クラスターの更新を実行するために必要なパッケージを取得します。

重要

クラスターでインターネットに直接アクセスできない場合、プロビジョニングする一部のタイプのインフラストラクチャーでネットワークが制限されたインストールを実行できます。このプロセスで、必要なコンテンツをダウンロードし、これを使用してミラーレジストリーにインストールパッケージを設定します。インストールタイプによっては、クラスターのインストール環境でインターネットアクセスが不要となる場合があります。クラスターを更新する前に、ミラーレジストリーのコンテンツを更新します。

7.8.3. クラスターノードの SSH アクセス用のキーペアの生成

OpenShift Container Platform をインストールする際に、SSH パブリックキーをインストールプログラムに指定できます。キーは、Ignition 設定ファイルを介して Red Hat Enterprise Linux CoreOS (RHCOS) ノードに渡され、ノードへの SSH アクセスを認証するために使用されます。このキーは各ノードの core ユーザーの ~/.ssh/authorized_keys リストに追加され、パスワードなしの認証が可能になります。

キーがノードに渡されると、キーペアを使用して RHCOS ノードにユーザー core として SSH を実行できます。SSH 経由でノードにアクセスするには、秘密鍵のアイデンティティーをローカルユーザーの SSH で管理する必要があります。

インストールのデバッグまたは障害復旧を実行するためにクラスターノードに対して SSH を実行する場合は、インストールプロセスの間に SSH 公開鍵を指定する必要があります。./openshift-install gather コマンドでは、SSH 公開鍵がクラスターノードに配置されている必要もあります。

重要

障害復旧およびデバッグが必要な実稼働環境では、この手順を省略しないでください。

注記

AWS キーペアなどのプラットフォームに固有の方法で設定したキーではなく、ローカルキーを使用する必要があります。

手順

クラスターノードへの認証に使用するローカルマシンに既存の SSH キーペアがない場合は、これを作成します。たとえば、Linux オペレーティングシステムを使用するコンピューターで以下のコマンドを実行します。
```
$ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
```
1
新しい SSH キーのパスとファイル名 (~/.ssh/id_ed25519 など) を指定します。既存のキーペアがある場合は、公開鍵が ~/.ssh ディレクトリーにあることを確認します。
注記
x86_64、ppc64le、および s390x アーキテクチャーのみで FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用する OpenShift Container Platform クラスターをインストールする予定がある場合は、ed25519 アルゴリズムを使用するキーを作成しないでください。代わりに、rsa アルゴリズムまたは ecdsa アルゴリズムを使用するキーを作成します。
公開 SSH キーを表示します。
```
$ cat <path>/<file_name>.pub
```
たとえば、次のコマンドを実行して ~/.ssh/id_ed25519.pub 公開鍵を表示します。
```
$ cat ~/.ssh/id_ed25519.pub
```
ローカルユーザーの SSH エージェントに SSH 秘密鍵 ID が追加されていない場合は、それを追加します。キーの SSH エージェント管理は、クラスターノードへのパスワードなしの SSH 認証、または ./openshift-install gather コマンドを使用する場合は必要になります。
注記
一部のディストリビューションでは、~/.ssh/id_rsa および ~/.ssh/id_dsa などのデフォルトの SSH 秘密鍵のアイデンティティーは自動的に管理されます。
1. ssh-agent プロセスがローカルユーザーに対して実行されていない場合は、バックグラウンドタスクとして開始します。
```
$ eval "$(ssh-agent -s)"
```
  出力例
```
Agent pid 31874
```
  注記
  クラスターが FIPS モードにある場合は、FIPS 準拠のアルゴリズムのみを使用して SSH キーを生成します。鍵は RSA または ECDSA のいずれかである必要があります。
SSH プライベートキーを ssh-agent に追加します。
```
$ ssh-add <path>/<file_name> 1
```
1
~/.ssh/id_ed25519 などの、SSH プライベートキーのパスおよびファイル名を指定します。
出力例
```
Identity added: /home/<you>/<path>/<file_name> (<computer_name>)
```

次のステップ

OpenShift Container Platform をインストールする際に、SSH パブリックキーをインストールプログラムに指定します。

7.8.4. インストールプログラムの取得

OpenShift Container Platform をインストールする前に、インストールに使用しているホストにインストールファイルをダウンロードします。

前提条件

500 MB のローカルディスク領域がある Linux または macOS を実行するコンピューターが必要です。

手順

OpenShift Cluster Manager サイトのインフラストラクチャープロバイダーページにアクセスします。Red Hat アカウントがある場合は、認証情報を使用してログインします。アカウントがない場合はこれを作成します。
インフラストラクチャープロバイダーを選択します。
インストールタイプのページに移動し、ホストオペレーティングシステムとアーキテクチャーに対応するインストールプログラムをダウンロードして、インストール設定ファイルを保存するディレクトリーにファイルを配置します。
重要
インストールプログラムは、クラスターのインストールに使用するコンピューターにいくつかのファイルを作成します。クラスターのインストール完了後は、インストールプログラムおよびインストールプログラムが作成するファイルを保持する必要があります。ファイルはいずれもクラスターを削除するために必要になります。
重要
インストールプログラムで作成されたファイルを削除しても、クラスターがインストール時に失敗した場合でもクラスターは削除されません。クラスターを削除するには、特定のクラウドプロバイダー用の OpenShift Container Platform のアンインストール手順を実行します。
インストールプログラムを展開します。たとえば、Linux オペレーティングシステムを使用するコンピューターで以下のコマンドを実行します。
```
$ tar -xvf openshift-install-linux.tar.gz
```
Red Hat OpenShift Cluster Manager からインストールプルシークレットをダウンロードします。このプルシークレットを使用し、OpenShift Container Platform コンポーネントのコンテナーイメージを提供する Quay.io など、組み込まれた各種の認証局によって提供されるサービスで認証できます。

7.8.5. GCP のインストール設定ファイルの作成

OpenShift Container Platform on Google Cloud Platform (GCP) を共有 VPC にインストールするには、install-config.yaml ファイルを生成し、クラスターが正しい VPC ネットワーク、DNS ゾーン、およびプロジェクト名を使用するように変更する必要があります。

7.8.5.1. インストール設定ファイルの手動作成

クラスターをインストールするには、インストール設定ファイルを手動で作成する必要があります。

前提条件

ローカルマシンには、インストールプログラムに提供する SSH 公開鍵があります。このキーは、デバッグおよび障害復旧のためにクラスターノードへの SSH 認証に使用されます。
OpenShift Container Platform インストールプログラムおよびクラスターのプルシークレットを取得しています。

手順

必要なインストールアセットを保存するためのインストールディレクトリーを作成します。
```
$ mkdir <installation_directory>
```
重要
ディレクトリーを作成する必要があります。ブートストラップ X.509 証明書などの一部のインストールアセットの有効期限は短く設定されているため、インストールディレクトリーを再利用することができません。別のクラスターインストールの個別のファイルを再利用する必要がある場合は、それらをディレクトリーにコピーすることができます。ただし、インストールアセットのファイル名はリリース間で変更される可能性があります。インストールファイルを以前のバージョンの OpenShift Container Platform からコピーする場合は注意してコピーを行ってください。
提供されるサンプルの install-config.yaml ファイルテンプレートをカスタマイズし、これを <installation_directory> に保存します。
注記
この設定ファイルの名前を install-config.yaml と付ける必要があります。
install-config.yaml ファイルをバックアップし、複数のクラスターをインストールするのに使用できるようにします。
重要
install-config.yaml ファイルは、インストールプロセスの次の手順で使用されます。この時点でこれをバックアップする必要があります。

関連情報

GCP のインストール設定パラメーター

7.8.5.2. Shielded VM の有効化

クラスターをインストールする場合は、Shielded VM を使用できます。Shielded VM には、セキュアブート、ファームウェアと整合性の監視、ルートキット検出などの追加のセキュリティー機能があります。詳細は、Shielded VM に関する Google のドキュメントを参照してください。

注記

Shielded VM は現在、64 ビット ARM インフラストラクチャーを備えたクラスターではサポートされていません。

前提条件

install-config.yaml ファイルを作成しました。

手順

クラスターをデプロイする前に、テキストエディターを使用して、install-config.yaml ファイルを編集し、次のいずれかのスタンザを追加します。
1. コントロールプレーンマシンのみに Shielded VM を使用するには:
```
controlPlane:
  platform:
    gcp:
       secureBoot: Enabled
```
2. コンピューティングマシンのみに Shielded VM を使用するには:
```
compute:
- platform:
    gcp:
       secureBoot: Enabled
```
3. すべてのマシンに Shielded VM を使用するには:
```
platform:
  gcp:
    defaultMachinePlatform:
       secureBoot: Enabled
```

7.8.5.3. Confidential VM の有効化

クラスターをインストールする場合は、Confidential VM を使用できます。Confidential VM は処理中のデータを暗号化します。詳細は、Confidential Computing に関する Google のドキュメントを参照してください。Confidential VM と Shielded VM を同時に有効にすることができますが、それらは互いに依存していません。

注記

現在、Confidential VM は 64 ビット ARM アーキテクチャーではサポートされていません。

前提条件

install-config.yaml ファイルを作成しました。

手順

クラスターをデプロイする前に、テキストエディターを使用して、install-config.yaml ファイルを編集し、次のいずれかのスタンザを追加します。
1. コントロールプレーンマシンのみに Confidential VM を使用するには:
```
controlPlane:
  platform:
    gcp:
       confidentialCompute: Enabled 1
       type: n2d-standard-8 2
       onHostMaintenance: Terminate 3
```
  1
  Confidential VM を有効にします。
  2
  Confidential VM をサポートするマシンタイプを指定します。Confidential VM には、N2D または C2D シリーズのマシンタイプが必要です。サポートされているマシンタイプの詳細は、サポートされているオペレーティングシステムとマシンタイプを参照してください。
  3
  ハードウェアやソフトウェアの更新など、ホストのメンテナンスイベント中の VM の動作を指定します。Confidential VM を使用するマシンの場合は、この値を Terminate に設定する必要があります。これにより、VM が停止します。Confidential VM はライブ VM 移行をサポートしていません。
2. コンピューティングマシンのみに Confidential VM を使用するには:
```
compute:
- platform:
    gcp:
       confidentialCompute: Enabled
       type: n2d-standard-8
       onHostMaintenance: Terminate
```
3. すべてのマシンに Confidential VM を使用するには:
```
platform:
  gcp:
    defaultMachinePlatform:
       confidentialCompute: Enabled
       type: n2d-standard-8
       onHostMaintenance: Terminate
```

7.8.5.4. 共有 VPC インストール用にカスタマイズされた install-config.yaml ファイルのサンプル

共有 VPC を使用して OpenShift Container Platform を GCP にインストールするために必要な設定パラメーターがいくつかあります。以下は、これらのフィールドを示すサンプルの install-config.yaml ファイルです。

重要

このサンプルの YAML ファイルは参照用にのみ提供されます。このファイルを変更して、ご使用の環境とクラスターに適した値にする必要があります。

apiVersion: v1
baseDomain: example.com
credentialsMode: Passthrough 1
metadata:
  name: cluster_name
platform:
  gcp:
    computeSubnet: shared-vpc-subnet-1 2
    controlPlaneSubnet: shared-vpc-subnet-2 3
    network: shared-vpc 4
    networkProjectID: host-project-name 5
    projectID: service-project-name 6
    region: us-east1
    defaultMachinePlatform:
      tags: 7
      - global-tag1
controlPlane:
  name: master
  platform:
    gcp:
      tags: 8
      - control-plane-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
compute:
- name: worker
  platform:
    gcp:
      tags: 9
      - compute-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA... 10

1: credentialsMode は Passthrough または Manual に設定する必要があります。サービスアカウントに必要な GCP 権限については、前提条件セクションを参照してください。
2: コンピュートマシンが使用する共有 VPC 内のサブネットの名前。
3: コントロールプレーンマシンが使用する共有 VPC 内のサブネットの名前。
4: 共有 VPC の名前。
5: 共有 VPC が存在するホストプロジェクトの名前。
6: クラスターをインストールする GCP プロジェクトの名前。
7 8 9: オプション: コンピューティングマシン、コントロールプレーンマシン、またはすべてのマシンに適用する 1 つ以上のネットワークタグ。
10: クラスター内のマシンにアクセスするために使用する sshKey 値をオプションで指定できます。

7.8.5.5. インストール時のクラスター全体のプロキシーの設定

実稼働環境では、インターネットへの直接アクセスを拒否し、代わりに HTTP または HTTPS プロキシーを使用することができます。プロキシー設定を install-config.yaml ファイルで行うことにより、新規の OpenShift Container Platform クラスターをプロキシーを使用するように設定できます。

前提条件

既存の install-config.yaml ファイルがある。
クラスターがアクセスする必要のあるサイトを確認済みで、それらのいずれかがプロキシーをバイパスする必要があるかどうかを判別している。デフォルトで、すべてのクラスター Egress トラフィック (クラスターをホストするクラウドに関するクラウドプロバイダー API に対する呼び出しを含む) はプロキシーされます。プロキシーを必要に応じてバイパスするために、サイトを Proxy オブジェクトの spec.noProxy フィールドに追加している。
注記
Proxy オブジェクトの status.noProxy フィールドには、インストール設定の networking.machineNetwork[].cidr、networking.clusterNetwork[].cidr、および networking.serviceNetwork[] フィールドの値が設定されます。
Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure、および Red Hat OpenStack Platform (RHOSP) へのインストールの場合、Proxy オブジェクトの status.noProxy フィールドには、インスタンスメタデータのエンドポイント (169.254.169.254) も設定されます。

手順

install-config.yaml ファイルを編集し、プロキシー設定を追加します。以下に例を示します。
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
クラスター外の HTTP 接続を作成するために使用するプロキシー URL。URL スキームは http である必要があります。
2
クラスター外で HTTPS 接続を作成するために使用するプロキシー URL。
3
プロキシーから除外するための宛先ドメイン名、IP アドレス、または他のネットワーク CIDR のコンマ区切りのリスト。サブドメインのみと一致するように、ドメインの前に . を付けます。たとえば、.y.com は x.y.com に一致しますが、y.com には一致しません。* を使用し、すべての宛先のプロキシーをバイパスします。
4
指定されている場合、インストールプログラムは HTTPS 接続のプロキシーに必要な 1 つ以上の追加の CA 証明書が含まれる user-ca-bundle という名前の設定マップを openshift-config namespace に生成します。次に Cluster Network Operator は、これらのコンテンツを Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルにマージする trusted-ca-bundle 設定マップを作成し、この設定マップは Proxy オブジェクトの trustedCA フィールドで参照されます。additionalTrustBundle フィールドは、プロキシーのアイデンティティー証明書が RHCOS 信頼バンドルからの認証局によって署名されない限り必要になります。
5
オプション： trustedCA フィールドの user-ca-bundle 設定マップを参照する Proxy オブジェクトの設定を決定するポリシー。許可される値は Proxyonly および Always です。Proxyonly を使用して、http/https プロキシーが設定されている場合にのみ user-ca-bundle 設定マップを参照します。Always を使用して、常に user-ca-bundle 設定マップを参照します。デフォルト値は Proxyonly です。
注記
インストールプログラムは、プロキシーの readinessEndpoints フィールドをサポートしません。
注記
インストーラーがタイムアウトした場合は、インストーラーの wait-for コマンドを使用してデプロイメントを再起動してからデプロイメントを完了します。以下に例を示します。
```
$ ./openshift-install wait-for install-complete --log-level debug
```
ファイルを保存し、OpenShift Container Platform のインストール時にこれを参照します。

インストールプログラムは、指定の install-config.yaml ファイルのプロキシー設定を使用する cluster という名前のクラスター全体のプロキシーを作成します。プロキシー設定が指定されていない場合、cluster Proxy オブジェクトが依然として作成されますが、これには spec がありません。

注記

cluster という名前の Proxy オブジェクトのみがサポートされ、追加のプロキシーを作成することはできません。

7.8.6. バイナリーのダウンロードによる OpenShift CLI のインストール

コマンドラインインターフェイスを使用して OpenShift Container Platform と対話するために CLI (oc) をインストールすることができます。oc は Linux、Windows、または macOS にインストールできます。

重要

以前のバージョンの oc をインストールしている場合、これを使用して OpenShift Container Platform 4.15 のすべてのコマンドを実行することはできません。新規バージョンの oc をダウンロードし、インストールします。

Linux への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを Linux にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
Product Variant ドロップダウンリストからアーキテクチャーを選択します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.15 Linux Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
アーカイブを展開します。
```
$ tar xvf <file>
```
oc バイナリーを、PATH にあるディレクトリーに配置します。
PATH を確認するには、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

OpenShift CLI のインストール後に、oc コマンドを使用して利用できます。
```
$ oc <command>
```

Windows への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを Windows にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.15 Windows Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
ZIP プログラムでアーカイブを展開します。
oc バイナリーを、PATH にあるディレクトリーに移動します。
PATH を確認するには、コマンドプロンプトを開いて以下のコマンドを実行します。
```
C:\> path
```

検証

OpenShift CLI のインストール後に、oc コマンドを使用して利用できます。
```
C:\> oc <command>
```

macOS への OpenShift CLI のインストール

以下の手順を使用して、OpenShift CLI (oc) バイナリーを macOS にインストールできます。

手順

Red Hat カスタマーポータルの OpenShift Container Platform ダウンロードページに移動します。
バージョン ドロップダウンリストから適切なバージョンを選択します。
OpenShift v4.15 macOS Client エントリーの横にある Download Now をクリックして、ファイルを保存します。
注記
macOS arm64 の場合は、OpenShift v4.15 macOS arm64 Client エントリーを選択します。
アーカイブを展開し、解凍します。
oc バイナリーをパスにあるディレクトリーに移動します。
PATH を確認するには、ターミナルを開き、以下のコマンドを実行します。
```
$ echo $PATH
```

検証

oc コマンドを使用してインストールを確認します。
```
$ oc <command>
```

7.8.7. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

デフォルトでは、管理者のシークレットは kube-system プロジェクトに保存されます。install-config.yaml ファイルの credentialsMode パラメーターを Manual に設定した場合は、次のいずれかの代替手段を使用する必要があります。

長期クラウド認証情報を手動で管理するには、長期認証情報を手動で作成するの手順に従ってください。
クラスターの外部で管理される短期認証情報を個々のコンポーネントに対して実装するには、短期認証情報を使用するように GCP クラスターを設定するの手順に従ってください。

7.8.7.1. 長期認証情報を手動で作成する

Cloud Credential Operator (CCO) は、クラウドアイデンティティーおよびアクセス管理 (IAM) API に到達できない環境にインストールする前に手動モードに配置できます。管理者はクラスター kube-system namespace に管理者レベルの認証情報シークレットを保存しないようにします。

手順

インストールプログラムが使用する GCP アカウントに次の詳細な権限を追加します。
例7.44 必要な GCP パーミッション
- compute.machineTypes.list
- compute.regions.list
- compute.zones.list
- dns.changes.create
- dns.changes.get
- dns.managedZones.create
- dns.managedZones.delete
- dns.managedZones.get
- dns.managedZones.list
- dns.networks.bindPrivateDNSZone
- dns.resourceRecordSets.create
- dns.resourceRecordSets.delete
- dns.resourceRecordSets.list
install-config.yaml 設定ファイルの credentialsMode パラメーターを Manual に設定しなかった場合は、次のように値を変更します。
設定ファイルのサンプルスニペット
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
インストールマニフェストファイルをまだ作成していない場合は、次のコマンドを実行して作成します。
```
$ openshift-install create manifests --dir <installation_directory>
```
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
次のコマンドを実行して、インストールファイルのリリースイメージを $RELEASE_IMAGE 変数に設定します。
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CredentialsRequest カスタムリソース (CR) のリストを抽出します。
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included パラメーターには、特定のクラスター設定に必要なマニフェストのみが含まれます。
2
install-config.yaml ファイルの場所を指定します。
3
CredentialsRequest オブジェクトを保存するディレクトリーへのパスを指定します。指定したディレクトリーが存在しない場合は、このコマンドによって作成されます。
このコマンドにより、それぞれの CredentialsRequest オブジェクトに YAML ファイルが作成されます。
サンプル CredentialsRequest オブジェクト
```
apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: GCPProviderSpec
    predefinedRoles:
    - roles/storage.admin
    - roles/iam.serviceAccountUser
    skipServiceCheck: true
  ...
```

以前に生成した openshift-install マニフェストディレクトリーにシークレットの YAML ファイルを作成します。シークレットは、それぞれの CredentialsRequest オブジェクトについて spec.secretRef に定義される namespace およびシークレット名を使用して保存する必要があります。

シークレットを含む CredentialsRequest オブジェクトのサンプル

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

サンプル Secret オブジェクト

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  service_account.json: <base64_encoded_gcp_service_account_file>

重要

手動でメンテナンスされる認証情報を使用するクラスターをアップグレードする前に、CCO がアップグレード可能な状態であることを確認します。

7.8.7.2. 短期認証情報を使用するように GCP クラスターを設定

GCP Workload Identity を使用するように設定されたクラスターをインストールするには、CCO ユーティリティーを設定し、クラスターに必要な GCP リソースを作成する必要があります。

7.8.7.2.1. Cloud Credential Operator ユーティリティーの設定

Cloud Credential Operator (CCO) が手動モードで動作しているときにクラスターの外部からクラウドクレデンシャルを作成および管理するには、CCO ユーティリティー (ccoctl) バイナリーを抽出して準備します。

注記

ccoctl ユーティリティーは、Linux 環境で実行する必要がある Linux バイナリーです。

前提条件

クラスター管理者のアクセスを持つ OpenShift Container Platform アカウントを使用できる。
OpenShift CLI (oc) がインストールされている。

インストールプログラムが使用する GCP アカウントに次のいずれかの認証方法を追加している。
- IAM Workload Identity Pool Admin ロール
- 次の詳細な権限:
  例7.45 必要な GCP パーミッション
  compute.projects.get
  iam.googleapis.com/workloadIdentityPoolProviders.create
  iam.googleapis.com/workloadIdentityPoolProviders.get
  iam.googleapis.com/workloadIdentityPools.create
  iam.googleapis.com/workloadIdentityPools.delete
  iam.googleapis.com/workloadIdentityPools.get
  iam.googleapis.com/workloadIdentityPools.undelete
  iam.roles.create
  iam.roles.delete
  iam.roles.list
  iam.roles.undelete
  iam.roles.update
  iam.serviceAccounts.create
  iam.serviceAccounts.delete
  iam.serviceAccounts.getIamPolicy
  iam.serviceAccounts.list
  iam.serviceAccounts.setIamPolicy
  iam.workloadIdentityPoolProviders.get
  iam.workloadIdentityPools.delete
  resourcemanager.projects.get
  resourcemanager.projects.getIamPolicy
  resourcemanager.projects.setIamPolicy
  storage.buckets.create
  storage.buckets.delete
  storage.buckets.get
  storage.buckets.getIamPolicy
  storage.buckets.setIamPolicy
  storage.objects.create
  storage.objects.delete
  storage.objects.list

手順

次のコマンドを実行して、OpenShift Container Platform リリースイメージの変数を設定します。
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CCO コンテナーイメージを取得します。
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
注記
$RELEASE_IMAGE のアーキテクチャーが、ccoctlツールを使用する環境のアーキテクチャーと一致していることを確認してください。
以下のコマンドを実行して、OpenShift Container Platform リリースイメージ内の CCO コンテナーイメージから ccoctl バイナリーを抽出します。
```
$ oc image extract $CCO_IMAGE --file="/usr/bin/ccoctl" -a ~/.pull-secret
```
次のコマンドを実行して、権限を変更して ccoctl を実行可能にします。
```
$ chmod 775 ccoctl
```

検証

ccoctl が使用できることを確認するには、help ファイルを表示します。コマンドを実行するときは、相対ファイル名を使用します。以下に例を示します。

$ ./ccoctl.rhel9

出力例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  alibabacloud Manage credentials objects for alibaba cloud
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

7.8.7.2.2. Cloud Credential Operator ユーティリティーを使用した GCP リソースの作成

ccoctl gcp create-all コマンドを使用して、GCP リソースの作成を自動化できます。

注記

デフォルトで、ccoctl はコマンドが実行されるディレクトリーにオブジェクトを作成します。オブジェクトを別のディレクトリーに作成するには、--output-dir フラグを使用します。この手順では、<path_to_ccoctl_output_dir> を使用してこの場所を参照します。

前提条件

以下が必要になります。

ccoctl バイナリーを抽出して準備している。

手順

次のコマンドを実行して、インストールファイルのリリースイメージを $RELEASE_IMAGE 変数に設定します。
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CredentialsRequest オブジェクトのリストを抽出します。
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included パラメーターには、特定のクラスター設定に必要なマニフェストのみが含まれます。
2
install-config.yaml ファイルの場所を指定します。
3
CredentialsRequest オブジェクトを保存するディレクトリーへのパスを指定します。指定したディレクトリーが存在しない場合は、このコマンドによって作成されます。
注記
このコマンドの実行には少し時間がかかる場合があります。
次のコマンドを実行し、ccoctl ツールを使用して CredentialsRequest オブジェクトをすべて処理します。
```
$ ccoctl gcp create-all \
  --name=<name> \1
  --region=<gcp_region> \2
  --project=<gcp_project_id> \3
  --credentials-requests-dir=<path_to_credentials_requests_directory> 4
```
1
トラッキングに使用される、作成されたすべての GCP リソースのユーザー定義名を指定します。
2
クラウドリソースを作成する GCP リージョンを指定します。
3
クラウドリソースを作成する GCP プロジェクト ID を指定します。
4
GCP サービスアカウントを作成するには、CredentialsRequest マニフェストのファイルが含まれるディレクトリーを指定します。
注記
クラスターで TechPreviewNoUpgrade 機能セットによって有効化されたテクノロジープレビュー機能を使用している場合は、--enable-tech-preview パラメーターを含める必要があります。

検証

OpenShift Container Platform シークレットが作成されることを確認するには、<path_to_ccoctl_output_dir>/manifests ディレクトリーのファイルを一覧表示します。

$ ls <path_to_ccoctl_output_dir>/manifests

出力例

cluster-authentication-02-config.yaml
openshift-cloud-controller-manager-gcp-ccm-cloud-credentials-credentials.yaml
openshift-cloud-credential-operator-cloud-credential-operator-gcp-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capg-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-gcp-pd-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-gcp-cloud-credentials-credentials.yaml

GCP にクエリーを実行すると、IAM サービスアカウントが作成されていることを確認できます。詳細は、IAM サービスアカウントのリスト表示に関する GCP のドキュメントを参照してください。

7.8.7.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込み

個々のコンポーネントに対してクラスターの外部で管理される短期セキュリティー認証情報を実装するには、Cloud Credential Operator ユーティリティー (ccoctl) が作成したマニフェストファイルを、インストールプログラムの正しいディレクトリーに移動する必要があります。

前提条件

クラスターをホストするクラウドプラットフォームでアカウントを設定しました。
Cloud Credential Operator ユーティリティー (ccoctl) が設定されている。
ccoctl ユーティリティーを使用して、クラスターに必要なクラウドプロバイダーリソースを作成している。

手順

インストールプログラムが使用する GCP アカウントに次の詳細な権限を追加します。
例7.46 必要な GCP パーミッション
- compute.machineTypes.list
- compute.regions.list
- compute.zones.list
- dns.changes.create
- dns.changes.get
- dns.managedZones.create
- dns.managedZones.delete
- dns.managedZones.get
- dns.managedZones.list
- dns.networks.bindPrivateDNSZone
- dns.resourceRecordSets.create
- dns.resourceRecordSets.delete
- dns.resourceRecordSets.list
install-config.yaml 設定ファイルの credentialsMode パラメーターを Manual に設定しなかった場合は、次のように値を変更します。
設定ファイルのサンプルスニペット
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
インストールマニフェストファイルをまだ作成していない場合は、次のコマンドを実行して作成します。
```
$ openshift-install create manifests --dir <installation_directory>
```
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
次のコマンドを実行して、ccoctl ユーティリティーが生成したマニフェストを、インストールプログラムが作成した manifests ディレクトリーにコピーします。
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
秘密鍵を含む tls ディレクトリーをインストールディレクトリーにコピーします。
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

7.8.8. クラスターのデプロイ

互換性のあるクラウドプラットフォームに OpenShift Container Platform をインストールできます。

重要

インストールプログラムの create cluster コマンドは、初期インストール時に 1 回だけ実行できます。

前提条件

クラスターをホストするクラウドプラットフォームでアカウントを設定しました。
OpenShift Container Platform インストールプログラムおよびクラスターのプルシークレットがある。
ホスト上のクラウドプロバイダーアカウントに、クラスターをデプロイするための適切な権限があることが確認されました。アカウントの権限が正しくないと、インストールプロセスが失敗し、不足している権限を示すエラーメッセージが表示されます。

手順

クラスターに設定した GCP アカウントのサービスアカウントキーを使用しない既存の GCP 認証情報で、以下の場所に保存されているものを削除します。
- GOOGLE_CREDENTIALS、GOOGLE_CLOUD_KEYFILE_JSON、または GCLOUD_KEYFILE_JSON 環境変数
- ~/.gcp/osServiceAccount.json ファイル
- gcloud cli デフォルト認証情報
インストールプログラムが含まれるディレクトリーに切り替え、クラスターのデプロイメントを初期化します。
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
<installation_directory> については、カスタマイズした ./install-config.yaml ファイルの場所を指定します。
2
異なるインストールの詳細情報を表示するには、info ではなく、warn、debug、または error を指定します。
オプション: クラスターをインストールするために使用したサービスアカウントのパーミッションの数を減らすことができます。
- Owner ロールをサービスアカウントに割り当てている場合、そのロールを削除し、これを Viewer ロールに置き換えることができます。
- Service Account Key Admin ロールが含まれている場合は、これを削除することができます。

検証

クラスターのデプロイが正常に完了すると、次のようになります。

ターミナルには、Web コンソールへのリンクや kubeadmin ユーザーの認証情報など、クラスターにアクセスするための指示が表示されます。
認証情報は <installation_directory>/.openshift_install.log にも出力されます。

重要

インストールプログラム、またはインストールプログラムが作成するファイルを削除することはできません。これらはいずれもクラスターを削除するために必要になります。

出力例

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

重要

インストールプログラムが生成する Ignition 設定ファイルには、24 時間が経過すると期限切れになり、その後に更新される証明書が含まれます。証明書を更新する前にクラスターが停止し、24 時間経過した後にクラスターを再起動すると、クラスターは期限切れの証明書を自動的に復元します。例外として、kubelet 証明書を回復するために保留状態の node-bootstrapper 証明書署名要求 (CSR) を手動で承認する必要があります。詳細は、コントロールプレーン証明書の期限切れの状態からのリカバリー に関するドキュメントを参照してください。
24 時間証明書はクラスターのインストール後 16 時間から 22 時間にローテーションするため、Ignition 設定ファイルは、生成後 12 時間以内に使用することを推奨します。12 時間以内に Ignition 設定ファイルを使用することにより、インストール中に証明書の更新が実行された場合のインストールの失敗を回避できます。

7.8.9. CLI の使用によるクラスターへのログイン

クラスター kubeconfig ファイルをエクスポートし、デフォルトシステムユーザーとしてクラスターにログインできます。kubeconfig ファイルには、クライアントを正しいクラスターおよび API サーバーに接続するために CLI で使用されるクラスターに関する情報が含まれます。このファイルはクラスターに固有のファイルであり、OpenShift Container Platform のインストール時に作成されます。

前提条件

OpenShift Container Platform クラスターをデプロイしていること。
oc CLI をインストールしていること。

手順

kubeadmin 認証情報をエクスポートします。
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
<installation_directory> には、インストールファイルを保存したディレクトリーへのパスを指定します。
エクスポートされた設定を使用して、oc コマンドを正常に実行できることを確認します。
```
$ oc whoami
```
出力例
```
system:admin
```

関連情報

OpenShift Container Platform Web コンソールへのアクセスと理解に関する詳細は、Web コンソールへのアクセスを参照してください。

7.8.10. OpenShift Container Platform の Telemetry アクセス

OpenShift Container Platform 4.15 では、クラスターの健全性および正常に実行された更新についてのメトリクスを提供するためにデフォルトで実行される Telemetry サービスにも、インターネットアクセスが必要です。クラスターがインターネットに接続されている場合、Telemetry は自動的に実行され、クラスターは OpenShift Cluster Manager に登録されます。

OpenShift Cluster Manager インベントリーが正常である (Telemetry によって自動的に維持、または OpenShift Cluster Manager を使用して手動で維持) ことを確認した後に、subscription watch を使用して、アカウントまたはマルチクラスターレベルで OpenShift Container Platform サブスクリプションを追跡します。

関連情報

Telemetry サービスの詳細は、リモートヘルスモニタリングを参照してください。

7.8.11. 次のステップ

クラスターをカスタマイズします。
必要に応じて、リモートヘルスレポートをオプトアウトできます。

7.8. GCP 上のクラスターを共有 VPC にインストールする方法

7.8.1. 前提条件

7.8.2. OpenShift Container Platform のインターネットアクセス

7.8.3. クラスターノードの SSH アクセス用のキーペアの生成

7.8.4. インストールプログラムの取得

7.8.5. GCP のインストール設定ファイルの作成

7.8.5.1. インストール設定ファイルの手動作成

7.8.5.2. Shielded VM の有効化

7.8.5.3. Confidential VM の有効化

7.8.5.4. 共有 VPC インストール用にカスタマイズされた install-config.yaml ファイルのサンプル

7.8.5.5. インストール時のクラスター全体のプロキシーの設定

7.8.6. バイナリーのダウンロードによる OpenShift CLI のインストール

Linux への OpenShift CLI のインストール

Windows への OpenShift CLI のインストール

macOS への OpenShift CLI のインストール

7.8.7. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

7.8.7.1. 長期認証情報を手動で作成する

7.8.7.2. 短期認証情報を使用するように GCP クラスターを設定

7.8.7.2.1. Cloud Credential Operator ユーティリティーの設定

7.8.7.2.2. Cloud Credential Operator ユーティリティーを使用した GCP リソースの作成

7.8.7.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込み

7.8.8. クラスターのデプロイ

7.8.9. CLI の使用によるクラスターへのログイン

7.8.10. OpenShift Container Platform の Telemetry アクセス

7.8.11. 次のステップ

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links