Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.3. カスタム VPC の使用について

OpenShift Container Platform 4.17 では、既存の IBM® Virtual Private Cloud (VPC) のサブネットにクラスターをデプロイできます。OpenShift Container Platform を既存の VPC にデプロイすると、新規アカウントの制限を回避したり、会社のガイドラインによる運用上の制約をより容易に遵守することが可能になる場合があります。VPC を作成するために必要なインフラストラクチャーの作成パーミッションを取得できない場合は、このインストールオプションを使用します。

インストールプログラムは既存のサブネットにある他のコンポーネントを認識できないため、サブネットの CIDR などを選択できません。クラスターをインストールするサブネットのネットワークを設定する必要があります。

9.3.1. VPC を使用するための要件

クラスターをインストールする前に、既存の VPC およびそのサブネットを適切に設定する必要があります。インストールプログラムでは、次のコンポーネントは作成されません。

  • NAT ゲートウェイ
  • サブネット
  • ルートテーブル
  • VPC ネットワーク

インストールプログラムには、以下の機能はありません。

  • 使用するクラスターのネットワーク範囲を細分化します。
  • サブネットのルートテーブルを設定します。
  • DHCP などの VPC オプションの設定
注記

インストールプログラムでは、クラウド提供の DNS サーバーを使用する必要があります。カスタム DNS サーバーの使用はサポートされていないため、インストールが失敗します。

9.3.2. VPC 検証

VPC とすべてのサブネットは、既存のリソースグループ内にある必要があります。クラスターは既存の VPC にデプロイされます。

インストールの一環として、install-config.yaml ファイルで以下を指定します。

  • VPC とサブネットを含む既存のリソースグループの名前 (networkResourceGroupName)
  • 既存の VPC の名前 (vpcName)
  • コントロールプレーンマシンおよびコンピュートマシン用に作成したサブネット (controlPlaneSubnets および computeSubnets)
注記

追加の installer-provisioned クラスターリソースは、別のリソースグループ (resourceGroupName) にデプロイされます。クラスターをインストールする前に、このリソースグループを指定できます。定義されていない場合は、クラスターに新しいリソースグループが作成されます。

指定するサブネットが適切であることを確認するには、インストールプログラムが以下を確認します。

  • 指定したサブネットがすべて存在します。

  • リージョン内の各アベイラビリティーゾーンに、以下を指定します。

    • コントロールプレーンマシンの 1 つのサブネット。
    • コンピュートマシン用に 1 つのサブネット。
  • 指定したマシン CIDR にはコンピュートマシンおよびコントロールプレーンマシンのサブネットが含まれます。
注記

サブネット ID はサポートされていません。

9.3.3. クラスター間の分離

OpenShift Container Platform を既存のネットワークにデプロイする場合、クラスターサービスの分離の規模は以下の方法で縮小されます。

  • 複数の OpenShift Container Platform クラスターを同じ VPC にインストールできます。
  • ICMP Ingress はネットワーク全体で許可されます。
  • TCP ポート 22 Ingress (SSH) はネットワーク全体に対して許可されます。
  • コントロールプレーンの TCP 6443 Ingress (Kubernetes API) はネットワーク全体に対して許可されます。
  • コントロールプレーンの TCP 22623 Ingress (MCS) はネットワーク全体に対して許可されます。

9.3.4. エンドポイントゲートウェイのトラフィックの許可

IBM Cloud® Virtual Private エンドポイントを使用する場合は、エンドポイントゲートウェイとの間のトラフィックを許可するように Virtual Private Cloud (VPC) を設定する必要があります。

VPC のデフォルトのセキュリティーグループは、エンドポイントゲートウェイへのすべての送信トラフィックを許可するように設定されています。したがって、VPC とエンドポイントゲートウェイ間のトラフィックを許可する最も簡単な方法は、ポート 443 で受信トラフィックを許可するようにデフォルトのセキュリティーグループを変更することです。

注記

新しいセキュリティーグループを設定する場合は、受信トラフィックと送信トラフィックの両方を許可するようにセキュリティーグループを設定する必要があります。

前提条件

  • IBM Cloud® コマンドラインインターフェイスユーティリティー (ibmcloud) がインストールされている。

手順

  1. 次のコマンドを実行して、デフォルトのセキュリティーグループの識別子を取得します。

    Copy to Clipboard Toggle word wrap 
    $ DEFAULT_SG=$(ibmcloud is vpc <your_vpc_name> --output JSON | jq -r '.default_security_group.id')

  2. 次のコマンドを実行して、ポート 443 で受信トラフィックを許可するルールを追加します。

    Copy to Clipboard Toggle word wrap 
    $ ibmcloud is security-group-rule-add $DEFAULT_SG inbound tcp --remote 0.0.0.0/0 --port-min 443 --port-max 443
注記

エンドポイントゲートウェイがこのセキュリティーグループを使用するように設定されていることを確認してください。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat, Inc.