第4章 Hosted Control Plane のデプロイ
4.1. AWS への Hosted Control Plane のデプロイ
ホステッドクラスター は、API エンドポイントとコントロールプレーンが管理クラスターでホストされている OpenShift Container Platform クラスターです。ホステッドクラスターには、コントロールプレーンとそれに対応するデータプレーンが含まれます。オンプレミスで Hosted Control Plane を設定するには、管理クラスターに multicluster engine for Kubernetes Operator をインストールする必要があります。hypershift-addon マネージドクラスターアドオンを使用して既存のマネージドクラスターに HyperShift Operator をデプロイすると、そのクラスターを管理クラスターとして有効にして、ホステッドクラスターの作成を開始できます。hypershift-addon マネージドクラスターアドオンは、local-cluster マネージドクラスターでデフォルトで有効になっています。
ホステッドクラスターは、multicluster engine Operator のコンソールか、Hosted Control Plane のコマンドラインインターフェイス (CLI) である hcp を使用して作成できます。ホステッドクラスターは、マネージドクラスターとして自動的にインポートされます。ただし、この multicluster engine Operator への自動インポート機能を無効にする こともできます。
4.1.1. AWS への Hosted Control Plane のデプロイの準備
Amazon Web Services (AWS) に Hosted Control Plane をデプロイする準備をする際には、次の情報を考慮してください。
- 各ホステッドクラスターに、クラスター全体で一意の名前が必要です。multicluster engine Operator によってホステッドクラスターを管理するには、ホステッドクラスター名を既存のマネージドクラスターと同じにすることはできません。
-
ホステッドクラスター名として
clustersを使用しないでください。 - 管理クラスターとワーカーは、Hosted Control Plane の同じプラットフォーム上で実行してください。
- ホステッドクラスターは、multicluster engine Operator のマネージドクラスターの namespace には作成できません。
4.1.1.1. 管理クラスターを設定するための前提条件
管理クラスターを設定するには、次の前提条件を満たす必要があります。
- OpenShift Container Platform クラスターに multicluster engine for Kubernetes Operator 2.5 以降がインストールされている。multicluster engine Operator は、Red Hat Advanced Cluster Management (RHACM) をインストールすると、自動的にインストールされます。multicluster engine Operator は、OpenShift Container Platform OperatorHub から Operator として RHACM なしでインストールすることもできます。
multicluster engine Operator のマネージド OpenShift Container Platform クラスターが少なくとも 1 つある。multicluster engine Operator バージョン 2.5 以降では、
local-clusterが自動的にインポートされます。次のコマンドを実行して、ハブクラスターの状態を確認できます。$ oc get managedclusters local-cluster
-
awsコマンドラインインターフェイス (CLI) がインストールされている。 -
Hosted Control Plane の CLI である
hcpがインストールされている。
4.1.2. Amazon Web Services S3 バケットと S3 OIDC シークレットの作成
Amazon Web Services (AWS) でホステッドクラスターを作成して管理するには、S3 バケットと S3 OIDC シークレットを作成する必要があります。
手順
次のコマンドを実行して、クラスターの OIDC 検出ドキュメントをホストするためのパブリックアクセスを持つ S3 バケットを作成します。
$ aws s3api create-bucket --bucket <bucket_name> \1 --create-bucket-configuration LocationConstraint=<region> \2 --region <region> 3
$ aws s3api delete-public-access-block --bucket <bucket_name> 1- 1
<bucket_name>は、作成する S3 バケットの名前に置き換えます。
$ echo '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::<bucket_name>/*" 1 } ] }' | envsubst > policy.json- 1
<bucket_name>は、作成する S3 バケットの名前に置き換えます。
$ aws s3api put-bucket-policy --bucket <bucket_name> --policy file://policy.json 1- 1
<bucket_name>は、作成する S3 バケットの名前に置き換えます。
注記Mac コンピューターを使用している場合は、ポリシーを機能させるためにバケット名をエクスポートする必要があります。
-
HyperShift Operator 用に
hypershift-operator-oidc-provider-s3-credentialsという名前の OIDC S3 シークレットを作成します。 -
シークレットを
local-clusternamespace に保存します。 次の表を参照して、シークレットに次のフィールドが含まれていることを確認します。
表4.1 AWS シークレットの必須フィールド フィールド名 説明 bucketホステッドクラスターの OIDC 検出ドキュメントをホストするためのパブリックアクセスを備えた S3 バケットが含まれています。
credentialsバケットにアクセスできる
defaultプロファイルの認証情報を含むファイルへの参照。デフォルトでは、HyperShift はdefaultプロファイルのみを使用してバケットを操作します。regionS3 バケットのリージョンを指定します。
AWS シークレットを作成するには、次のコマンドを実行します。
$ oc create secret generic <secret_name> --from-file=credentials=<path>/.aws/credentials --from-literal=bucket=<s3_bucket> --from-literal=region=<region> -n local-cluster
注記シークレットの障害復旧バックアップは自動的に有効になりません。障害復旧用に
hypershift-operator-oidc-provider-s3-credentialsシークレットのバックアップを有効にするラベルを追加するには、次のコマンドを実行します。$ oc label secret hypershift-operator-oidc-provider-s3-credentials -n local-cluster cluster.open-cluster-management.io/backup=true
4.1.3. ホステッドクラスター用のルーティング可能なパブリックゾーンの作成
ホステッドクラスター内のアプリケーションにアクセスするには、ルーティング可能なパブリックゾーンを設定する必要があります。パブリックゾーンが存在する場合は、この手順を省略します。省略しないと、パブリックゾーンによって既存の機能に影響が生じます。
手順
DNS レコードのルーティング可能なパブリックゾーンを作成するには、次のコマンドを入力します。
$ aws route53 create-hosted-zone --name <basedomain> --caller-reference $(whoami)-$(date --rfc-3339=date) 1- 1
<basedomain>は、ベースドメイン (例:www.example.com) に置き換えます。
4.1.4. AWS IAM ロールと STS 認証情報の作成
Amazon Web Services (AWS) でホステッドクラスターを作成する前に、AWS IAM ロールと STS 認証情報を作成する必要があります。
手順
次のコマンドを実行して、ユーザーの Amazon Resource Name (ARN) を取得します。
$ aws sts get-caller-identity --query "Arn" --output text
出力例
arn:aws:iam::1234567890:user/<aws_username>
この出力は、次のステップで
<arn>の値として使用します。ロールの信頼関係設定を含む JSON ファイルを作成します。以下の例を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<arn>" 1 }, "Action": "sts:AssumeRole" } ] }- 1
<arn>は、前のステップでメモしたユーザーの ARN に置き換えます。
次のコマンドを実行して、Identity and Access Management (IAM) ロールを作成します。
$ aws iam create-role \ --role-name <name> \1 --assume-role-policy-document file://<file_name>.json \2 --query "Role.Arn"
出力例
arn:aws:iam::820196288204:role/myrole
ロールの次の権限ポリシーを含む
policy.jsonという名前の JSON ファイルを作成します。{ "Version": "2012-10-17", "Statement": [ { "Sid": "EC2", "Effect": "Allow", "Action": [ "ec2:CreateDhcpOptions", "ec2:DeleteSubnet", "ec2:ReplaceRouteTableAssociation", "ec2:DescribeAddresses", "ec2:DescribeInstances", "ec2:DeleteVpcEndpoints", "ec2:CreateNatGateway", "ec2:CreateVpc", "ec2:DescribeDhcpOptions", "ec2:AttachInternetGateway", "ec2:DeleteVpcEndpointServiceConfigurations", "ec2:DeleteRouteTable", "ec2:AssociateRouteTable", "ec2:DescribeInternetGateways", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:RevokeSecurityGroupEgress", "ec2:ModifyVpcAttribute", "ec2:DeleteInternetGateway", "ec2:DescribeVpcEndpointConnections", "ec2:RejectVpcEndpointConnections", "ec2:DescribeRouteTables", "ec2:ReleaseAddress", "ec2:AssociateDhcpOptions", "ec2:TerminateInstances", "ec2:CreateTags", "ec2:DeleteRoute", "ec2:CreateRouteTable", "ec2:DetachInternetGateway", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeNatGateways", "ec2:DisassociateRouteTable", "ec2:AllocateAddress", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupIngress", "ec2:CreateVpcEndpoint", "ec2:DescribeVpcs", "ec2:DeleteSecurityGroup", "ec2:DeleteDhcpOptions", "ec2:DeleteNatGateway", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpc", "ec2:CreateSubnet", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Sid": "ELB", "Effect": "Allow", "Action": [ "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DeleteTargetGroup" ], "Resource": "*" }, { "Sid": "IAMPassRole", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:*:iam::*:role/*-worker-role", "Condition": { "ForAnyValue:StringEqualsIfExists": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Sid": "IAM", "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:DeleteInstanceProfile", "iam:GetRole", "iam:UpdateAssumeRolePolicy", "iam:GetInstanceProfile", "iam:TagRole", "iam:RemoveRoleFromInstanceProfile", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:AddRoleToInstanceProfile", "iam:CreateOpenIDConnectProvider", "iam:ListOpenIDConnectProviders", "iam:DeleteRolePolicy", "iam:UpdateRole", "iam:DeleteOpenIDConnectProvider", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "Route53", "Effect": "Allow", "Action": [ "route53:ListHostedZonesByVPC", "route53:CreateHostedZone", "route53:ListHostedZones", "route53:ChangeResourceRecordSets", "route53:ListResourceRecordSets", "route53:DeleteHostedZone", "route53:AssociateVPCWithHostedZone", "route53:ListHostedZonesByName" ], "Resource": "*" }, { "Sid": "S3", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": "*" } ] }次のコマンドを実行して、
policy.jsonファイルをロールに割り当てます。$ aws iam put-role-policy \ --role-name <role_name> \1 --policy-name <policy_name> \2 --policy-document file://policy.json 3
次のコマンドを実行して、
sts-creds.jsonという名前の JSON ファイル内の STS 認証情報を取得します。$ aws sts get-session-token --output json > sts-creds.json
sts-creds.jsonファイルの例{ "Credentials": { "AccessKeyId": "ASIA1443CE0GN2ATHWJU", "SecretAccessKey": "XFLN7cZ5AP0d66KhyI4gd8Mu0UCQEDN9cfelW1”, "SessionToken": "IQoJb3JpZ2luX2VjEEAaCXVzLWVhc3QtMiJHMEUCIDyipkM7oPKBHiGeI0pMnXst1gDLfs/TvfskXseKCbshAiEAnl1l/Html7Iq9AEIqf////KQburfkq4A3TuppHMr/9j1TgCj1z83SO261bHqlJUazKoy7vBFR/a6LHt55iMBqtKPEsIWjBgj/jSdRJI3j4Gyk1//luKDytcfF/tb9YrxDTPLrACS1lqAxSIFZ82I/jDhbDs=", "Expiration": "2025-05-16T04:19:32+00:00" } }
4.1.5. Hosted Control Plane 用の AWS PrivateLink の有効化
PrivateLink を使用して Amazon Web Services (AWS) で Hosted Control Plane をプロビジョニングするには、Hosted Control Plane 用の AWS PrivateLink を有効にします。
手順
-
HyperShift Operator の AWS 認証情報シークレットを作成し、
hypershift-operator-private-link-credentialsという名前を付けます。このシークレットは、管理クラスターとして使用されているマネージドクラスターの namespace であるマネージドクラスター namespace に配置する必要があります。local-clusterを使用した場合は、local-clusternamespace にシークレットを作成します。 - シークレットに必要なフィールドが含まれることを確認するには、以下の表を参照してください。
| フィールド名 | 説明 | 任意または必須 |
|---|---|---|
|
| Private Link で使用するリージョン | 必須 |
|
| 認証情報アクセスキー ID。 | 必須 |
|
| 認証情報アクセスキーのシークレット。 | 必須 |
AWS シークレットを作成するには、次のコマンドを実行します。
$ oc create secret generic <secret_name> --from-literal=aws-access-key-id=<aws_access_key_id> --from-literal=aws-secret-access-key=<aws_secret_access_key> --from-literal=region=<region> -n local-cluster
シークレットの障害復旧バックアップは自動的に有効になりません。以下のコマンドを実行して、障害復旧用に hypershift-operator-private-link-credentials シークレットのバックアップを有効にするラベルを追加します。
$ oc label secret hypershift-operator-private-link-credentials -n local-cluster cluster.open-cluster-management.io/backup=""
4.1.6. AWS 上の Hosted Control Plane 用の外部 DNS を有効にする
Hosted Control Plane では、コントロールプレーンとデータプレーンが分離されています。DNS は、次の 2 つの独立した領域で設定できます。
-
ホステッドクラスター (
*.apps.service-consumer-domain.comなどのドメイン) 内のワークロードの Ingress。 -
サービスプロバイダーのドメイン
*.service-provider-domain.comを介した API または OAuth エンドポイントなど、管理クラスター内のサービスエンドポイントの Ingress。
hostedCluster.spec.dns の入力は、ホステッドクラスター内のワークロードの Ingress を管理します。hostedCluster.spec.services.servicePublishingStrategy.route.hostname の入力は、管理クラスター内のサービスエンドポイントの Ingress を決定します。
外部 DNS は、LoadBalancer または Route の公開タイプを指定し、その公開タイプのホスト名を提供するホステッドクラスター Services の名前レコードを作成します。Private または PublicAndPrivate エンドポイントアクセスタイプを持つホステッドクラスターの場合、APIServer サービスと OAuth サービスのみがホスト名をサポートします。Private ホステッドクラスターの場合、DNS レコードが VPC 内の Virtual Private Cloud (VPC) エンドポイントのプライベート IP アドレスに解決されます。
Hosted Control Plane は、次のサービスを公開します。
-
APIServer -
OIDC
これらのサービスは、HostedCluster 仕様の servicePublishingStrategy フィールドを使用して公開できます。デフォルトでは、servicePublishingStrategy の LoadBalancer および Route タイプの場合、次のいずれかの方法でサービスを公開できます。
-
LoadBalancerタイプのServiceのステータスにあるロードバランサーのホスト名を使用する方法 -
Routeリソースのstatus.hostフィールドを使用する方法
ただし、マネージドサービスのコンテキストで Hosted Control Plane をデプロイすると、これらの方法によって、基盤となる管理クラスターの Ingress サブドメインが公開され、管理クラスターのライフサイクルと障害復旧のオプションが制限される可能性があります。
DNS 間接化が LoadBalancer および Route 公開タイプに階層化されている場合、マネージドサービスオペレーターは、サービスレベルドメインを使用してすべてのパブリックホステッドクラスターサービスを公開できます。このアーキテクチャーでは、DNS 名を新しい LoadBalancer または Route に再マッピングできますが、管理クラスターの Ingress ドメインは公開されません。Hosted Control Plane は、外部 DNS を使用して間接層を実現します。
管理クラスターの hypershift namespace に HyperShift Operator と一緒に external-dns をデプロイできます。外部 DNS は、external-dns.alpha.kubernetes.io/hostname アノテーションを持つ Services または Routes を監視します。このアノテーションは、レコードなどの Service、または CNAME レコードなどの Route を指す DNS レコードを作成するために使用されます。
外部 DNS はクラウド環境でのみ使用できます。その他の環境では、DNS とサービスを手動で設定する必要があります。
外部 DNS の詳細は、外部 DNS を参照してください。
4.1.6.1. 前提条件
Amazon Web Services (AWS) で Hosted Control Plane の外部 DNS を設定する前に、次の前提条件を満たす必要があります。
- 外部パブリックドメインを作成した。
- AWS Route53 管理コンソールにアクセスできる。
- Hosted Control Plane 用に AWS PrivateLink を有効にした。
4.1.6.2. Hosted Control Plane の外部 DNS の設定
Hosted Control Plane は、外部 DNS またはサービスレベル DNS を使用してプロビジョニングできます。
-
HyperShift Operator 用の Amazon Web Services (AWS) 認証情報シークレットを作成し、
local-clusternamespace でhypershift-operator-external-dns-credentialsという名前を付けます。 次の表を参照して、シークレットに必須フィールドが含まれていることを確認してください。
表4.3 AWS シークレットの必須フィールド フィールド名 説明 任意または必須 providerサービスレベル DNS ゾーンを管理する DNS プロバイダー。
必須
domain-filterサービスレベルドメイン。
必須
credentialsすべての外部 DNS タイプをサポートする認証情報ファイル。
AWS キーを使用する場合はオプション
aws-access-key-id認証情報アクセスキー ID。
AWS DNS サービスを使用する場合はオプション
aws-secret-access-key認証情報アクセスキーのシークレット。
AWS DNS サービスを使用する場合はオプション
AWS シークレットを作成するには、次のコマンドを実行します。
$ oc create secret generic <secret_name> --from-literal=provider=aws --from-literal=domain-filter=<domain_name> --from-file=credentials=<path_to_aws_credentials_file> -n local-cluster
注記シークレットの障害復旧バックアップは自動的に有効になりません。障害復旧のためにシークレットをバックアップするには、次のコマンドを入力して
hypershift-Operator-external-dns-credentialsを追加します。$ oc label secret hypershift-operator-external-dns-credentials -n local-cluster cluster.open-cluster-management.io/backup=""
4.1.6.3. パブリック DNS ホストゾーンの作成
パブリック DNS ホストゾーンは、パブリックホステッドクラスターを作成するために、External DNS Operator によって使用されます。
外部 DNS ドメインフィルターとして使用するパブリック DNS ホストゾーンを作成できます。AWS Route 53 管理コンソールで次の手順を実行します。
手順
- Route 53 管理コンソールで、Create hosted zone をクリックします。
- Hosted zone configuration ページでドメイン名を入力し、タイプとして Publish hosted zone が選択されていることを確認し、Create hosted zone をクリックします。
- ゾーンが作成されたら、Records タブの Value/Route traffic to 列の値をメモします。
- メインドメインで、DNS 要求を委任ゾーンにリダイレクトするための NS レコードを作成します。Value フィールドに、前の手順でメモした値を入力します。
- Create records をクリックします。
次の例のように、新しいサブゾーンにテストエントリーを作成し、
digコマンドでテストして、DNS ホストゾーンが機能していることを確認します。$ dig +short test.user-dest-public.aws.kerberos.com
出力例
192.168.1.1
LoadBalancerおよびRouteサービスのホスト名を設定するホステッドクラスターを作成するには、次のコマンドを入力します。$ hcp create cluster aws --name=<hosted_cluster_name> --endpoint-access=PublicAndPrivate --external-dns-domain=<public_hosted_zone> ... 1- 1
<public_hosted_zone>は、作成したパブリックホストゾーンに置き換えます。
ホステッドクラスターの
servicesブロックの例platform: aws: endpointAccess: PublicAndPrivate ... services: - service: APIServer servicePublishingStrategy: route: hostname: api-example.service-provider-domain.com type: Route - service: OAuthServer servicePublishingStrategy: route: hostname: oauth-example.service-provider-domain.com type: Route - service: Konnectivity servicePublishingStrategy: type: Route - service: Ignition servicePublishingStrategy: type: Route
Control Plane Operator は、Services と Routes リソースを作成し、external-dns.alpha.kubernetes.io/hostname のアノテーションを付けます。Services と Routes の場合、Control Plane Operator は、サービスエンドポイントの servicePublishingStrategy フィールドの hostname パラメーターの値を使用します。DNS レコードを作成するには、external-dns デプロイメントなどのメカニズムを使用できます。
サービスレベルの DNS 間接化をパブリックサービスにのみ設定できます。プライベートサービスは hypershift.local プライベートゾーンを使用するため、hostname を設定できません。
次の表は、サービスとエンドポイントの組み合わせに対して hostname を設定することが有効な場合を示しています。
| サービス | Public |
|---|---|
| PublicAndPrivate | Private |
|
| Y |
| Y | N |
|
| Y |
| Y | N |
|
| Y |
| N | N |
|
| Y |
| N | N |
4.1.6.4. AWS 上で外部 DNS を使用してホステッドクラスターを作成する
Amazon Web Services (AWS) で PublicAndPrivate または Public 公開ストラテジーを使用してホステッドクラスターを作成するには、管理クラスターで次のアーティファクトが設定されている必要があります。
- パブリック DNS ホストゾーン
- External DNS Operator
- HyperShift Operator
ホステッドクラスターは、hcp コマンドラインインターフェイス (CLI) を使用してデプロイできます。
手順
管理クラスターにアクセスするには、次のコマンドを入力します。
$ export KUBECONFIG=<path_to_management_cluster_kubeconfig>
次のコマンドを入力して、External DNS Operator が実行されていることを確認します。
$ oc get pod -n hypershift -lapp=external-dns
出力例
NAME READY STATUS RESTARTS AGE external-dns-7c89788c69-rn8gp 1/1 Running 0 40s
外部 DNS を使用してホストされたクラスターを作成するには、次のコマンドを入力します。
$ hcp create cluster aws \ --role-arn <arn_role> \ 1 --instance-type <instance_type> \ 2 --region <region> \ 3 --auto-repair \ --generate-ssh \ --name <hosted_cluster_name> \ 4 --namespace clusters \ --base-domain <service_consumer_domain> \ 5 --node-pool-replicas <node_replica_count> \ 6 --pull-secret <path_to_your_pull_secret> \ 7 --release-image quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \ 8 --external-dns-domain=<service_provider_domain> \ 9 --endpoint-access=PublicAndPrivate 10 --sts-creds <path_to_sts_credential_file> 11- 1
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。 - 2
- インスタンスタイプを指定します (例:
m6i.xlarge)。 - 3
- AWS リージョンを指定します (例:
us-east-1)。 - 4
- ホストされたクラスター名を指定します (例:
my-external-aws)。 - 5
- サービスコンシューマーが所有するパブリックホストゾーンを指定します (例:
service-consumer-domain.com)。 - 6
- ノードのレプリカ数を指定します (例:
2)。 - 7
- プルシークレットファイルへのパスを指定します。
- 8
- 使用するサポート対象の OpenShift Container Platform バージョンを指定します (例:
4.17.0-multi)。 - 9
- サービスプロバイダーが所有するパブリックホストゾーンを指定します (例:
service-provider-domain.com)。 - 10
PublicAndPrivateとして設定します。外部 DNS は、PublicまたはPublicAndPrivate設定でのみ使用できます。- 11
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。
4.1.7. AWS 上でのホステッドクラスターの作成
hcp コマンドラインインターフェイス (CLI) を使用して、Amazon Web Services (AWS) 上にホステッドクラスターを作成できます。
Amazon Web Services (AWS) 上の Hosted Control Plane では、デフォルトで AMD64 ホステッドクラスターを使用します。ただし、Hosted Control Plane を ARM64 ホステッドクラスターで実行することもできます。詳細は、「ARM64 アーキテクチャーでのホステッドクラスターの実行」を参照してください。
ノードプールとホステッドクラスターの互換性のある組み合わせは、次の表を参照してください。
| ホステッドクラスター | ノードプール |
|---|---|
| AMD64 | AMD64 または ARM64 |
| ARM64 | ARM64 または AMD64 |
前提条件
-
Hosted Control Plane の CLI である
hcpを設定した。 -
local-clusterマネージドクラスターを管理クラスターとして有効にした。 - AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。
手順
AWS 上にホステッドクラスターを作成するには、次のコマンドを実行します。
$ hcp create cluster aws \ --name <hosted_cluster_name> \1 --infra-id <infra_id> \2 --base-domain <basedomain> \3 --sts-creds <path_to_sts_credential_file> \4 --pull-secret <path_to_pull_secret> \5 --region <region> \6 --generate-ssh \ --node-pool-replicas <node_pool_replica_count> \7 --namespace <hosted_cluster_namespace> \8 --role-arn <role_name> \9 --render-into <file_name>.yaml 10- 1
- ホステッドクラスターの名前を指定します (例:
example)。 - 2
- インフラストラクチャー名を指定します。
<hosted_cluster_name>と<infra_id>には同じ値を指定する必要があります。そうしないと、multicluster engine for Kubernetes Operator のコンソールに、クラスターが正しく表示されない可能性があります。 - 3
- ベースドメインを指定します (例:
example.com)。 - 4
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。 - 5
- プルシークレットへのパスを指定します (例:
/user/name/pullsecret)。 - 6
- AWS リージョン名を指定します (例:
us-east-1)。 - 7
- ノードプールのレプリカ数を指定します (例:
3)。 - 8
- デフォルトでは、
HostedClusterとNodePoolのすべてのカスタムリソースがclustersnamespace に作成されます。--namespace <namespace>パラメーターを使用すると、特定の namespace にHostedClusterおよびNodePoolカスタムリソースを作成できます。 - 9
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。 - 10
- EC2 インスタンスを共有テナントハードウェア上で実行するか、シングルテナントハードウェア上で実行するかを指定する場合は、このフィールドを含めます。
--render-intoフラグを含めると、Kubernetes リソースが、このフィールドで指定した YAML ファイルにレンダリングされます。この場合、次のステップに進み、YAML ファイルを編集します。
前のコマンドに
--render-intoフラグを含めた場合は、指定した YAML ファイルを編集します。YAML ファイルのNodePool仕様を編集して、EC2 インスタンスを共有ハードウェア上で実行するか、シングルテナントハードウェア上で実行するかを指定します。次に例を示します。サンプル YAML ファイル
apiVersion: hypershift.openshift.io/v1beta1 kind: NodePool metadata: name: <nodepool_name> 1 spec: platform: aws: placement: tenancy: "default" 2
検証
ホステッドクラスターのステータスを確認し、
AVAILABLEの値がTrueであることを確認します。以下のコマンドを実行します。$ oc get hostedclusters -n <hosted_cluster_namespace>
次のコマンドを実行して、ノードプールのリストを取得します。
$ oc get nodepools --namespace <hosted_cluster_namespace>
4.1.7.1. kubeadmin 認証情報を使用して AWS 上のホステッドクラスターにアクセスする
Amazon Web Services (AWS) にホステッドクラスターを作成した後、kubeconfig ファイル、アクセスシークレット、および kubeadmin 認証情報を取得して、ホステッドクラスターにアクセスできます。
ホステッドクラスターのリソースとアクセスシークレットは、ホステッドクラスターの namespace に格納されます。Hosted Control Plane は、Hosted Control Plane の namespace で実行されます。
シークレット名の形式は次のとおりです。
-
kubeconfigシークレット:<hosted_cluster_namespace>-<name>-admin-kubeconfig。たとえば、clusters-hypershift-demo-admin-kubeconfigです。 -
kubeadminパスワードシークレット:<hosted_cluster_namespace>-<name>-kubeadmin-password。たとえば、clusters-hypershift-demo-kubeadmin-passwordです。
kubeadmin パスワードシークレットは、Base64 でエンコードされています。kubeconfig シークレットには、Base64 でエンコードされた kubeconfig 設定が含まれています。Base64 でエンコードされた kubeconfig 設定をデコードし、<hosted_cluster_name>.kubeconfig ファイルに保存する必要があります。
手順
デコードされた
kubeconfig設定を含む<hosted_cluster_name>.kubeconfigファイルを使用して、ホステッドクラスターにアクセスします。以下のコマンドを入力します。$ oc --kubeconfig <hosted_cluster_name>.kubeconfig get nodes
API サーバーまたはホステッドクラスターのコンソールにログインするには、
kubeadminパスワードシークレットをデコードする必要があります。
4.1.7.2. hcp CLI を使用して AWS 上のホステッドクラスターにアクセスする
hcp コマンドラインインターフェイス (CLI) を使用して、ホステッドクラスターにアクセスできます。
手順
次のコマンドを入力して、
kubeconfigファイルを生成します。$ hcp create kubeconfig --namespace <hosted_cluster_namespace> --name <hosted_cluster_name> > <hosted_cluster_name>.kubeconfig
kubeconfigファイルを保存したら、次のコマンドを入力してホステッドクラスターにアクセスします。$ oc --kubeconfig <hosted_cluster_name>.kubeconfig get nodes
4.1.8. AWS 上の複数のゾーンにホステッドクラスターを作成する
hcp コマンドラインインターフェイス (CLI) を使用して、Amazon Web Services (AWS) 上の複数のゾーンにホステッドクラスターを作成できます。
前提条件
- AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。
手順
次のコマンドを実行して、AWS 上の複数のゾーンにホステッドクラスターを作成します。
$ hcp create cluster aws \ --name <hosted_cluster_name> \1 --node-pool-replicas=<node_pool_replica_count> \2 --base-domain <basedomain> \3 --pull-secret <path_to_pull_secret> \4 --role-arn <arn_role> \5 --region <region> \6 --zones <zones> \7 --sts-creds <path_to_sts_credential_file> 8
- 1
- ホステッドクラスターの名前を指定します (例:
example)。 - 2
- ノードプールのレプリカ数を指定します (例:
2)。 - 3
- ベースドメインを指定します (例:
example.com)。 - 4
- プルシークレットへのパスを指定します (例:
/user/name/pullsecret)。 - 5
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。 - 6
- AWS リージョン名を指定します (例:
us-east-1)。 - 7
- AWS リージョン内のアベイラビリティーゾーンを指定します (例:
us-east-1a、us-east-1b)。 - 8
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。
指定したゾーンごとに、次のインフラストラクチャーが作成されます。
- パブリックサブネット
- プライベートサブネット
- NAT ゲートウェイ
- プライベートルートテーブル
パブリックルートテーブルはパブリックサブネット間で共有されます。
ゾーンごとに 1 つの NodePool リソースが作成されます。ノードプール名の末尾にはゾーン名が付けられます。ゾーンのプライベートサブネットは spec.platform.aws.subnet.id に設定されます。
4.1.8.1. AWS STS 認証情報を指定してホステッドクラスターを作成する
hcp create cluster aws コマンドを使用してホステッドクラスターを作成する場合は、ホステッドクラスターのインフラストラクチャーリソースを作成する権限を持つ Amazon Web Services (AWS) アカウントの認証情報を指定する必要があります。
インフラストラクチャーリソースの例としては、次のものがあります。
- Virtual Private Cloud (VPC)
- サブネット
- ネットワークアドレス変換 (NAT) ゲートウェイ
次のいずれかの方法で AWS 認証情報を指定できます。
- AWS Security Token Service (STS) 認証情報
- multicluster engine Operator からの AWS クラウドプロバイダーのシークレット
手順
AWS STS 認証情報を指定して AWS 上にホステッドクラスターを作成するには、次のコマンドを入力します。
$ hcp create cluster aws \ --name <hosted_cluster_name> \1 --node-pool-replicas <node_pool_replica_count> \2 --base-domain <basedomain> \3 --pull-secret <path_to_pull_secret> \4 --sts-creds <path_to_sts_credential_file> \5 --region <region> \6 --role-arn <arn_role> 7
- 1
- ホステッドクラスターの名前を指定します (例:
example)。 - 2
- ノードプールのレプリカ数を指定します (例:
2)。 - 3
- ベースドメインを指定します (例:
example.com)。 - 4
- プルシークレットへのパスを指定します (例:
/user/name/pullsecret)。 - 5
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。 - 6
- AWS リージョン名を指定します (例:
us-east-1)。 - 7
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。
4.1.9. ARM64 アーキテクチャーでのホステッドクラスターの実行
Amazon Web Services (AWS) 上の Hosted Control Plane では、デフォルトで AMD64 ホステッドクラスターを使用します。ただし、Hosted Control Plane を ARM64 ホステッドクラスターで実行することもできます。
ノードプールとホステッドクラスターの互換性のある組み合わせは、次の表を参照してください。
| ホステッドクラスター | ノードプール |
|---|---|
| AMD64 | AMD64 または ARM64 |
| ARM64 | ARM64 または AMD64 |
4.1.9.1. ARM64 OpenShift Container Platform クラスターにホステッドクラスターを作成する
デフォルトのリリースイメージをマルチアーキテクチャーリリースイメージでオーバーライドすることで、Amazon Web Services (AWS) の ARM64 OpenShift Container Platform クラスターでホステッドクラスターを実行できます。
マルチアーキテクチャーリリースイメージを使用しない場合、ホステッドクラスターでマルチアーキテクチャーリリースイメージを使用するか、リリースイメージに基づいて NodePool カスタムリソースを更新するまで、ノードプール内のコンピュートノードが作成されず、ノードプールの調整が停止します。
前提条件
- AWS にインストールされた、64 ビット ARM インフラストラクチャーの OpenShift Container Platform クラスターがある。詳細は、Create an OpenShift Container Platform Cluster: AWS (ARM) を参照してください。
- AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成する。詳細は、「AWS IAM ロールと STS 認証情報の作成」を参照してください。
手順
次のコマンドを入力して、ARM64 OpenShift Container Platform クラスターにホステッドクラスターを作成します。
$ hcp create cluster aws \ --name <hosted_cluster_name> \1 --node-pool-replicas <node_pool_replica_count> \2 --base-domain <basedomain> \3 --pull-secret <path_to_pull_secret> \4 --sts-creds <path_to_sts_credential_file> \5 --region <region> \6 --release-image quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \7 --role-arn <role_name> 8
- 1
- ホステッドクラスターの名前を指定します (例:
example)。 - 2
- ノードプールのレプリカ数を指定します (例:
3)。 - 3
- ベースドメインを指定します (例:
example.com)。 - 4
- プルシークレットへのパスを指定します (例:
/user/name/pullsecret)。 - 5
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。 - 6
- AWS リージョン名を指定します (例:
us-east-1)。 - 7
- 使用するサポート対象の OpenShift Container Platform バージョンを指定します (例:
4.17.0-multi)。非接続環境を使用している場合は、<ocp_release_image>をダイジェストイメージに置き換えます。OpenShift Container Platform リリースイメージダイジェストを抽出するには、「OpenShift Container Platform リリースイメージダイジェストの抽出」を参照してください。 - 8
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。
次のコマンドを実行して、ホステッドクラスターに
NodePoolオブジェクトを追加します。$ hcp create nodepool aws \ --cluster-name <hosted_cluster_name> \1 --name <nodepool_name> \2 --node-count <node_pool_replica_count> 3
4.1.9.2. AWS ホステッドクラスターに ARM または AMD の NodePool オブジェクトを作成する
同じ Hosted Control Plane から、64 ビット ARM および AMD の NodePool オブジェクトであるアプリケーションワークロードをスケジュールできます。NodePool 仕様で arch フィールドを定義し、NodePool オブジェクトに必要なプロセッサーアーキテクチャーを設定できます。arch フィールドの有効な値は次のとおりです。
-
arm64 -
amd64
前提条件
-
HostedClusterカスタムリソースで使用するマルチアーキテクチャーイメージがある。マルチアーキテクチャーのナイトリーイメージ を利用できます。
手順
次のコマンドを実行して、AWS でホステッドクラスターに ARM または AMD の
NodePoolオブジェクトを追加します。$ hcp create nodepool aws \ --cluster-name <hosted_cluster_name> \1 --name <node_pool_name> \2 --node-count <node_pool_replica_count> \3 --arch <architecture> 4
4.1.10. AWS でのプライベートホステッドクラスターの作成
local-cluster をホスティングクラスターとして有効にした後、Amazon Web Services (AWS) にホステッドクラスターまたはプライベートホステッドクラスターをデプロイできます。
デフォルトでは、ホステッドクラスターはパブリック DNS と管理クラスターのデフォルトルーターを介してパブリックにアクセスできます。
AWS 上のプライベートクラスターの場合、ホステッドクラスターとの通信は、すべて AWS PrivateLink を介して行われます。
前提条件
- AWS PrivateLink を有効にした。詳細は、「AWS PrivateLink の有効化」を参照してください。
- AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。詳細は、「AWS IAM ロールと STS 認証情報の作成」および「Identity and Access Management (IAM) 権限」を参照してください。
- AWS に踏み台インスタンス を設定した。
手順
次のコマンドを入力して、AWS 上にプライベートホステッドクラスターを作成します。
$ hcp create cluster aws \ --name <hosted_cluster_name> \1 --node-pool-replicas=<node_pool_replica_count> \2 --base-domain <basedomain> \3 --pull-secret <path_to_pull_secret> \4 --sts-creds <path_to_sts_credential_file> \5 --region <region> \6 --endpoint-access Private \7 --role-arn <role_name> 8
- 1
- ホステッドクラスターの名前を指定します (例:
example)。 - 2
- ノードプールのレプリカ数を指定します (例:
3)。 - 3
- ベースドメインを指定します (例:
example.com)。 - 4
- プルシークレットへのパスを指定します (例:
/user/name/pullsecret)。 - 5
- AWS STS 認証情報ファイルへのパスを指定します (例:
/home/user/sts-creds/sts-creds.json)。 - 6
- AWS リージョン名を指定します (例:
us-east-1)。 - 7
- クラスターがパブリックかプライベートかを定義します。
- 8
- Amazon Resource Name (ARN) を指定します (例:
arn:aws:iam::820196288204:role/myrole)。ARN ロールの詳細は、「Identity and Access Management (IAM) 権限」を参照してください。
ホステッドクラスターの次の API エンドポイントは、プライベート DNS ゾーンを通じてアクセスできます。
-
api.<hosted_cluster_name>.hypershift.local -
*.apps.<hosted_cluster_name>.hypershift.local
4.1.10.1. AWS 上のプライベート管理クラスターへのアクセス
関連情報
コマンドラインインターフェイス (CLI) を使用して、プライベート管理クラスターにアクセスできます。
手順
次のコマンドを入力して、ノードのプライベート IP を確認します。
$ aws ec2 describe-instances --filter="Name=tag:kubernetes.io/cluster/<infra_id>,Values=owned" | jq '.Reservations[] | .Instances[] | select(.PublicDnsName=="") | .PrivateIpAddress'
次のコマンドを入力して、ホステッドクラスターの
kubeconfigファイルを作成し、ノードにコピーします。$ hcp create kubeconfig > <hosted_cluster_kubeconfig>
踏み台経由でノードの 1 つに SSH 接続するために、次のコマンドを入力します。
$ ssh -o ProxyCommand="ssh ec2-user@<bastion_ip> -W %h:%p" core@<node_ip>
SSH シェルから、次のコマンドを入力して、
kubeconfigファイルの内容をノード上のファイルにコピーします。$ mv <path_to_kubeconfig_file> <new_file_name>
次のコマンドを入力して、
kubeconfigファイルをエクスポートします。$ export KUBECONFIG=<path_to_kubeconfig_file>
次のコマンドを入力して、ホステッドクラスターのステータスを確認します。
$ oc get clusteroperators clusterversion
