Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第4章 Hosted Control Plane のデプロイ

4.1. AWS への Hosted Control Plane のデプロイ
リンクのコピー

ホステッドクラスター は、API エンドポイントとコントロールプレーンが管理クラスターでホストされている OpenShift Container Platform クラスターです。ホステッドクラスターには、コントロールプレーンとそれに対応するデータプレーンが含まれます。オンプレミスで Hosted Control Plane を設定するには、管理クラスターに multicluster engine for Kubernetes Operator をインストールする必要があります。hypershift-addon マネージドクラスターアドオンを使用して既存のマネージドクラスターに HyperShift Operator をデプロイすると、そのクラスターを管理クラスターとして有効にして、ホステッドクラスターの作成を開始できます。hypershift-addon マネージドクラスターアドオンは、local-cluster マネージドクラスターでデフォルトで有効になっています。

ホステッドクラスターは、multicluster engine Operator のコンソールか、Hosted Control Plane のコマンドラインインターフェイス (CLI) である hcp を使用して作成できます。ホステッドクラスターは、マネージドクラスターとして自動的にインポートされます。ただし、この multicluster engine Operator への自動インポート機能を無効にする こともできます。

4.1.1. AWS への Hosted Control Plane のデプロイの準備
リンクのコピー

Amazon Web Services (AWS) に Hosted Control Plane をデプロイする準備をする際には、次の情報を考慮してください。

  • 各ホステッドクラスターに、クラスター全体で一意の名前が必要です。multicluster engine Operator によってホステッドクラスターを管理するには、ホステッドクラスター名を既存のマネージドクラスターと同じにすることはできません。
  • ホステッドクラスター名として clusters を使用しないでください。
  • 管理クラスターとワーカーは、Hosted Control Plane の同じプラットフォーム上で実行してください。
  • ホステッドクラスターは、multicluster engine Operator のマネージドクラスターの namespace には作成できません。

4.1.1.1. 管理クラスターを設定するための前提条件
リンクのコピー

管理クラスターを設定するには、次の前提条件を満たす必要があります。

  • OpenShift Container Platform クラスターに multicluster engine for Kubernetes Operator 2.5 以降がインストールされている。multicluster engine Operator は、Red Hat Advanced Cluster Management (RHACM) をインストールすると、自動的にインストールされます。multicluster engine Operator は、OpenShift Container Platform OperatorHub から Operator として RHACM なしでインストールすることもできます。

  • multicluster engine Operator のマネージド OpenShift Container Platform クラスターが少なくとも 1 つある。multicluster engine Operator バージョン 2.5 以降では、local-cluster が自動的にインポートされます。次のコマンドを実行して、ハブクラスターの状態を確認できます。 

    $ oc get managedclusters local-cluster
    Copy to Clipboard Toggle word wrap
  • aws コマンドラインインターフェイス (CLI) がインストールされている。
  • Hosted Control Plane の CLI である hcp がインストールされている。

4.1.2. Amazon Web Services S3 バケットと S3 OIDC シークレットの作成
リンクのコピー

Amazon Web Services (AWS) でホステッドクラスターを作成して管理するには、S3 バケットと S3 OIDC シークレットを作成する必要があります。

手順

  1. 次のコマンドを実行して、クラスターの OIDC 検出ドキュメントをホストするためのパブリックアクセスを持つ S3 バケットを作成します。 

    $ aws s3api create-bucket --bucket <bucket_name> \
    1 
    
  --create-bucket-configuration LocationConstraint=<region> \
    2 
    
  --region <region>
    3
    Copy to Clipboard Toggle word wrap
    1
    <bucket_name> は、作成する S3 バケットの名前に置き換えます。
    2 3
    us-east-1 リージョン以外のリージョンにバケットを作成するには、この行を追加し、<region> を使用するリージョンに置き換えます。us-east-1 リージョンにバケットを作成するには、この行を省略します。 
    $ aws s3api delete-public-access-block --bucket <bucket_name>
    1
    Copy to Clipboard Toggle word wrap
    1
    <bucket_name> は、作成する S3 バケットの名前に置き換えます。 
    $ echo '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::<bucket_name>/*"
    1 
    
        }
    ]
}' | envsubst > policy.json
    Copy to Clipboard Toggle word wrap
    1
    <bucket_name> は、作成する S3 バケットの名前に置き換えます。 
    $ aws s3api put-bucket-policy --bucket <bucket_name> \
    1 
    
  --policy file://policy.json
    Copy to Clipboard Toggle word wrap
    1
    <bucket_name> は、作成する S3 バケットの名前に置き換えます。
    注記

    Mac コンピューターを使用している場合は、ポリシーを機能させるためにバケット名をエクスポートする必要があります。

  2. HyperShift Operator 用に hypershift-operator-oidc-provider-s3-credentials という名前の OIDC S3 シークレットを作成します。
  3. シークレットを local-cluster namespace に保存します。

  4. 次の表を参照して、シークレットに次のフィールドが含まれていることを確認します。

    Expand
    表4.1 AWS シークレットの必須フィールド
    フィールド名説明

    bucket

    ホステッドクラスターの OIDC 検出ドキュメントをホストするためのパブリックアクセスを備えた S3 バケットが含まれています。

    credentials

    バケットにアクセスできる default プロファイルの認証情報を含むファイルへの参照。デフォルトでは、HyperShift は default プロファイルのみを使用して バケット を操作します。

    region

    S3 バケットのリージョンを指定します。

  5. AWS シークレットを作成するには、次のコマンドを実行します。 

    $ oc create secret generic <secret_name> \
  --from-file=credentials=<path>/.aws/credentials \
  --from-literal=bucket=<s3_bucket> \
  --from-literal=region=<region> \
  -n local-cluster
    Copy to Clipboard Toggle word wrap
    注記

    シークレットの障害復旧バックアップは自動的に有効になりません。障害復旧用に hypershift-operator-oidc-provider-s3-credentials シークレットのバックアップを有効にするラベルを追加するには、次のコマンドを実行します。 

    $ oc label secret hypershift-operator-oidc-provider-s3-credentials \
  -n local-cluster cluster.open-cluster-management.io/backup=true
    Copy to Clipboard Toggle word wrap

4.1.3. ホステッドクラスター用のルーティング可能なパブリックゾーンの作成
リンクのコピー

ホステッドクラスター内のアプリケーションにアクセスするには、ルーティング可能なパブリックゾーンを設定する必要があります。パブリックゾーンが存在する場合は、この手順を省略します。省略しないと、パブリックゾーンによって既存の機能に影響が生じます。

手順

  • DNS レコードのルーティング可能なパブリックゾーンを作成するには、次のコマンドを入力します。 

    $ aws route53 create-hosted-zone \
  --name <basedomain> \
    1 
    
  --caller-reference $(whoami)-$(date --rfc-3339=date)
    Copy to Clipboard Toggle word wrap
    1
    <basedomain> は、ベースドメイン (例: www.example.com) に置き換えます。

4.1.4. AWS IAM ロールと STS 認証情報の作成
リンクのコピー

Amazon Web Services (AWS) でホステッドクラスターを作成する前に、AWS IAM ロールと STS 認証情報を作成する必要があります。

手順

  1. 次のコマンドを実行して、ユーザーの Amazon Resource Name (ARN) を取得します。 

    $ aws sts get-caller-identity --query "Arn" --output text
    Copy to Clipboard Toggle word wrap

    出力例

    arn:aws:iam::1234567890:user/<aws_username>
    Copy to Clipboard Toggle word wrap

    この出力は、次のステップで <arn> の値として使用します。

  2. ロールの信頼関係設定を含む JSON ファイルを作成します。以下の例を参照してください。 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn>"
    1 
    
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
    Copy to Clipboard Toggle word wrap
    1
    <arn> は、前のステップでメモしたユーザーの ARN に置き換えます。

  3. 次のコマンドを実行して、Identity and Access Management (IAM) ロールを作成します。 

    $ aws iam create-role \
  --role-name <name> \
    1 
    
  --assume-role-policy-document file://<file_name>.json \
    2 
    
  --query "Role.Arn"
    Copy to Clipboard Toggle word wrap
    1
    <name> は、ロール名に置き換えます (例: hcp-cli-role)。
    2
    <file_name> は、前のステップで作成した JSON ファイルの名前に置き換えます。

    出力例

    arn:aws:iam::820196288204:role/myrole
    Copy to Clipboard Toggle word wrap

  4. ロールの次の権限ポリシーを含む policy.json という名前の JSON ファイルを作成します。 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateDhcpOptions",
                "ec2:DeleteSubnet",
                "ec2:ReplaceRouteTableAssociation",
                "ec2:DescribeAddresses",
                "ec2:DescribeInstances",
                "ec2:DeleteVpcEndpoints",
                "ec2:CreateNatGateway",
                "ec2:CreateVpc",
                "ec2:DescribeDhcpOptions",
                "ec2:AttachInternetGateway",
                "ec2:DeleteVpcEndpointServiceConfigurations",
                "ec2:DeleteRouteTable",
                "ec2:AssociateRouteTable",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeAvailabilityZones",
                "ec2:CreateRoute",
                "ec2:CreateInternetGateway",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:ModifyVpcAttribute",
                "ec2:DeleteInternetGateway",
                "ec2:DescribeVpcEndpointConnections",
                "ec2:RejectVpcEndpointConnections",
                "ec2:DescribeRouteTables",
                "ec2:ReleaseAddress",
                "ec2:AssociateDhcpOptions",
                "ec2:TerminateInstances",
                "ec2:CreateTags",
                "ec2:DeleteRoute",
                "ec2:CreateRouteTable",
                "ec2:DetachInternetGateway",
                "ec2:DescribeVpcEndpointServiceConfigurations",
                "ec2:DescribeNatGateways",
                "ec2:DisassociateRouteTable",
                "ec2:AllocateAddress",
                "ec2:DescribeSecurityGroups",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeVpcs",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteDhcpOptions",
                "ec2:DeleteNatGateway",
                "ec2:DescribeVpcEndpoints",
                "ec2:DeleteVpc",
                "ec2:CreateSubnet",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ELB",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DeleteLoadBalancer",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetGroups",
                "elasticloadbalancing:DeleteTargetGroup"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:*:iam::*:role/*-worker-role",
            "Condition": {
                "ForAnyValue:StringEqualsIfExists": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Sid": "IAM",
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:DeleteInstanceProfile",
                "iam:GetRole",
                "iam:UpdateAssumeRolePolicy",
                "iam:GetInstanceProfile",
                "iam:TagRole",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:PutRolePolicy",
                "iam:AddRoleToInstanceProfile",
                "iam:CreateOpenIDConnectProvider",
                "iam:ListOpenIDConnectProviders",
                "iam:DeleteRolePolicy",
                "iam:UpdateRole",
                "iam:DeleteOpenIDConnectProvider",
                "iam:GetRolePolicy"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Route53",
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZonesByVPC",
                "route53:CreateHostedZone",
                "route53:ListHostedZones",
                "route53:ChangeResourceRecordSets",
                "route53:ListResourceRecordSets",
                "route53:DeleteHostedZone",
                "route53:AssociateVPCWithHostedZone",
                "route53:ListHostedZonesByName"
            ],
            "Resource": "*"
        },
        {
            "Sid": "S3",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:DeleteBucket"
            ],
            "Resource": "*"
        }
    ]
}
    Copy to Clipboard Toggle word wrap

  5. 次のコマンドを実行して、policy.json ファイルをロールに割り当てます。 

    $ aws iam put-role-policy \
  --role-name <role_name> \
    1 
    
  --policy-name <policy_name> \
    2 
    
  --policy-document file://policy.json
    3
    Copy to Clipboard Toggle word wrap
    1
    <role_name> は、ロールの名前に置き換えます。
    2
    <policy_name> は、ポリシー名に置き換えます。
    3
    policy.json ファイルには、ロールの権限ポリシーを含めます。

  6. 次のコマンドを実行して、sts-creds.json という名前の JSON ファイル内の STS 認証情報を取得します。 

    $ aws sts get-session-token --output json > sts-creds.json
    Copy to Clipboard Toggle word wrap

    sts-creds.json ファイルの例

    {
    "Credentials": {
        "AccessKeyId": "<access_key_id",
        "SecretAccessKey": "<secret_access_key>”,
        "SessionToken": "<session_token>",
        "Expiration": "<time_stamp>"
    }
}
    Copy to Clipboard Toggle word wrap

4.1.6. AWS 上の Hosted Control Plane 用の外部 DNS を有効にする
リンクのコピー

Hosted Control Plane では、コントロールプレーンとデータプレーンが分離されています。DNS は、次の 2 つの独立した領域で設定できます。

  • ホステッドクラスター (*.apps.service-consumer-domain.com などのドメイン) 内のワークロードの Ingress。
  • サービスプロバイダーのドメイン *.service-provider-domain.com を介した API または OAuth エンドポイントなど、管理クラスター内のサービスエンドポイントの Ingress。

hostedCluster.spec.dns の入力は、ホステッドクラスター内のワークロードの Ingress を管理します。hostedCluster.spec.services.servicePublishingStrategy.route.hostname の入力は、管理クラスター内のサービスエンドポイントの Ingress を決定します。

外部 DNS は、LoadBalancer または Route の公開タイプを指定し、その公開タイプのホスト名を提供するホステッドクラスター Services の名前レコードを作成します。Private または PublicAndPrivate エンドポイントアクセスタイプを持つホステッドクラスターの場合、APIServer サービスと OAuth サービスのみがホスト名をサポートします。Private ホステッドクラスターの場合、DNS レコードが VPC 内の Virtual Private Cloud (VPC) エンドポイントのプライベート IP アドレスに解決されます。

Hosted Control Plane は、次のサービスを公開します。

  • APIServer
  • OIDC

これらのサービスは、HostedCluster 仕様の servicePublishingStrategy フィールドを使用して公開できます。デフォルトでは、servicePublishingStrategyLoadBalancer および Route タイプの場合、次のいずれかの方法でサービスを公開できます。

  • LoadBalancer タイプの Service のステータスにあるロードバランサーのホスト名を使用する方法
  • Route リソースの status.host フィールドを使用する方法

ただし、マネージドサービスのコンテキストで Hosted Control Plane をデプロイすると、これらの方法によって、基盤となる管理クラスターの Ingress サブドメインが公開され、管理クラスターのライフサイクルと障害復旧のオプションが制限される可能性があります。

DNS 間接化が LoadBalancer および Route 公開タイプに階層化されている場合、マネージドサービスオペレーターは、サービスレベルドメインを使用してすべてのパブリックホステッドクラスターサービスを公開できます。このアーキテクチャーでは、DNS 名を新しい LoadBalancer または Route に再マッピングできますが、管理クラスターの Ingress ドメインは公開されません。Hosted Control Plane は、外部 DNS を使用して間接層を実現します。

管理クラスターの hypershift namespace に HyperShift Operator と一緒に external-dns をデプロイできます。外部 DNS は、external-dns.alpha.kubernetes.io/hostname アノテーションを持つ Services または Routes を監視します。このアノテーションは、A レコードなどの Service、または CNAME レコードなどの Route を参照する DNS レコードを作成するために使用されます。

外部 DNS はクラウド環境でのみ使用できます。その他の環境では、DNS とサービスを手動で設定する必要があります。

外部 DNS の詳細は、外部 DNS を参照してください。

4.1.6.1. 前提条件
リンクのコピー

Amazon Web Services (AWS) で Hosted Control Plane の外部 DNS を設定する前に、次の前提条件を満たす必要があります。

  • 外部パブリックドメインを作成した。
  • AWS Route53 管理コンソールにアクセスできる。
  • Hosted Control Plane 用に AWS PrivateLink を有効にした。

4.1.6.2. Hosted Control Plane の外部 DNS の設定
リンクのコピー

Hosted Control Plane は、外部 DNS またはサービスレベル DNS を使用してプロビジョニングできます。

  1. HyperShift Operator 用の Amazon Web Services (AWS) 認証情報シークレットを作成し、local-cluster namespace で hypershift-operator-external-dns-credentials という名前を付けます。

  2. 次の表を参照して、シークレットに必須フィールドが含まれていることを確認してください。

    Expand
    表4.3 AWS シークレットの必須フィールド
    フィールド名説明任意または必須

    provider

    サービスレベル DNS ゾーンを管理する DNS プロバイダー。

    必須

    domain-filter

    サービスレベルドメイン。

    必須

    credentials

    すべての外部 DNS タイプをサポートする認証情報ファイル。

    AWS キーを使用する場合はオプション

    aws-access-key-id

    認証情報アクセスキー ID。

    AWS DNS サービスを使用する場合はオプション

    aws-secret-access-key

    認証情報アクセスキーのシークレット。

    AWS DNS サービスを使用する場合はオプション

  3. AWS シークレットを作成するには、次のコマンドを実行します。 

    $ oc create secret generic <secret_name> \
  --from-literal=provider=aws \
  --from-literal=domain-filter=<domain_name> \
  --from-file=credentials=<path_to_aws_credentials_file> -n local-cluster
    Copy to Clipboard Toggle word wrap
    注記

    シークレットの障害復旧バックアップは自動的に有効になりません。障害復旧のためにシークレットをバックアップするには、次のコマンドを入力して hypershift-operator-external-dns-credentials を追加します。 

    $ oc label secret hypershift-operator-external-dns-credentials \
  -n local-cluster \
  cluster.open-cluster-management.io/backup=""
    Copy to Clipboard Toggle word wrap

4.1.6.3. パブリック DNS ホストゾーンの作成
リンクのコピー

パブリック DNS ホストゾーンは、パブリックホステッドクラスターを作成するために、External DNS Operator によって使用されます。

外部 DNS ドメインフィルターとして使用するパブリック DNS ホストゾーンを作成できます。AWS Route 53 管理コンソールで次の手順を実行します。

手順

  1. Route 53 管理コンソールで、Create hosted zone をクリックします。
  2. Hosted zone configuration ページでドメイン名を入力し、タイプとして Public hosted zone が選択されていることを確認し、Create hosted zone をクリックします。
  3. ゾーンが作成されたら、Records タブの Value/Route traffic to 列の値をメモします。
  4. メインドメインで、DNS 要求を委任ゾーンにリダイレクトするための NS レコードを作成します。Value フィールドに、前の手順でメモした値を入力します。
  5. Create records をクリックします。

  6. 次の例のように、新しいサブゾーンにテストエントリーを作成し、dig コマンドでテストして、DNS ホストゾーンが機能していることを確認します。 

    $ dig +short test.user-dest-public.aws.kerberos.com
    Copy to Clipboard Toggle word wrap

    出力例

    192.168.1.1
    Copy to Clipboard Toggle word wrap

  7. LoadBalancer および Route サービスのホスト名を設定するホステッドクラスターを作成するには、次のコマンドを入力します。 

    $ hcp create cluster aws --name=<hosted_cluster_name> \
  --endpoint-access=PublicAndPrivate \
  --external-dns-domain=<public_hosted_zone> ...
    1
    Copy to Clipboard Toggle word wrap
    1
    <public_hosted_zone> は、作成したパブリックホストゾーンに置き換えます。

    ホステッドクラスターの services ブロックの例

      platform:
    aws:
      endpointAccess: PublicAndPrivate
...
  services:
  - service: APIServer
    servicePublishingStrategy:
      route:
        hostname: api-example.service-provider-domain.com
      type: Route
  - service: OAuthServer
    servicePublishingStrategy:
      route:
        hostname: oauth-example.service-provider-domain.com
      type: Route
  - service: Konnectivity
    servicePublishingStrategy:
      type: Route
  - service: Ignition
    servicePublishingStrategy:
      type: Route
    Copy to Clipboard Toggle word wrap

Control Plane Operator は、ServicesRoutes リソースを作成し、external-dns.alpha.kubernetes.io/hostname のアノテーションを付けます。ServicesRoutes の場合、Control Plane Operator は、サービスエンドポイントの servicePublishingStrategy フィールドの hostname パラメーターの値を使用します。DNS レコードを作成するには、external-dns デプロイメントなどのメカニズムを使用できます。

サービスレベルの DNS 間接化をパブリックサービスにのみ設定できます。プライベートサービスは hypershift.local プライベートゾーンを使用するため、hostname を設定できません。

次の表は、サービスとエンドポイントの組み合わせに対して hostname を設定することが有効な場合を示しています。

Expand
表4.4 hostname を設定するためのサービスとエンドポイントの組み合わせ
サービスPublicPublicAndPrivatePrivate

APIServer

Y

Y

N

OAuthServer

Y

Y

N

Konnectivity

Y

N

N

Ignition

Y

N

N

4.1.6.4. AWS 上で外部 DNS を使用してホステッドクラスターを作成する
リンクのコピー

Amazon Web Services (AWS) で PublicAndPrivate または Public 公開ストラテジーを使用してホステッドクラスターを作成するには、管理クラスターで次のアーティファクトが設定されている必要があります。

  • パブリック DNS ホストゾーン
  • External DNS Operator
  • HyperShift Operator

ホステッドクラスターは、hcp コマンドラインインターフェイス (CLI) を使用してデプロイできます。

手順

  1. 管理クラスターにアクセスするには、次のコマンドを入力します。 

    $ export KUBECONFIG=<path_to_management_cluster_kubeconfig>
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを入力して、External DNS Operator が実行されていることを確認します。 

    $ oc get pod -n hypershift -lapp=external-dns
    Copy to Clipboard Toggle word wrap

    出力例

    NAME                            READY   STATUS    RESTARTS   AGE
external-dns-7c89788c69-rn8gp   1/1     Running   0          40s
    Copy to Clipboard Toggle word wrap

  3. 外部 DNS を使用してホステッドクラスターを作成するには、次のコマンドを入力します。 

    $ hcp create cluster aws \
    --role-arn <arn_role> \
    1 
    
    --instance-type <instance_type> \
    2 
    
    --region <region> \
    3 
    
    --auto-repair \
    --generate-ssh \
    --name <hosted_cluster_name> \
    4 
    
    --namespace clusters \
    --base-domain <service_consumer_domain> \
    5 
    
    --node-pool-replicas <node_replica_count> \
    6 
    
    --pull-secret <path_to_your_pull_secret> \
    7 
    
    --release-image quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \
    8 
    
    --external-dns-domain=<service_provider_domain> \
    9 
    
    --endpoint-access=PublicAndPrivate
    10 
    
    --sts-creds <path_to_sts_credential_file>
    11
    Copy to Clipboard Toggle word wrap
    1
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。
    2
    インスタンスタイプを指定します (例: m6i.xlarge)
    3
    AWS リージョンを指定します (例: us-east-1)。
    4
    ホステッドクラスター名を指定します (例: my-external-aws)
    5
    サービスコンシューマーが所有するパブリックホストゾーンを指定します (例: service-consumer-domain.com)。
    6
    ノードのレプリカ数を指定します (例: 2)
    7
    プルシークレットファイルへのパスを指定します。
    8
    使用するサポート対象の OpenShift Container Platform バージョンを指定します (例: 4.18.0-multi)。
    9
    サービスプロバイダーが所有するパブリックホストゾーンを指定します (例: service-provider-domain.com)。
    10
    PublicAndPrivate として設定します。外部 DNS は、Public または PublicAndPrivate 設定でのみ使用できます。
    11
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。

4.1.7. AWS 上でのホステッドクラスターの作成
リンクのコピー

hcp コマンドラインインターフェイス (CLI) を使用して、Amazon Web Services (AWS) 上にホステッドクラスターを作成できます。

Amazon Web Services (AWS) 上の Hosted Control Plane では、デフォルトで AMD64 ホステッドクラスターを使用します。ただし、Hosted Control Plane を ARM64 ホステッドクラスターで実行することもできます。詳細は、「ARM64 アーキテクチャーでのホステッドクラスターの実行」を参照してください。

ノードプールとホステッドクラスターの互換性のある組み合わせは、次の表を参照してください。

Expand
表4.5 ノードプールとホステッドクラスターの互換性のあるアーキテクチャー
ホステッドクラスターノードプール

AMD64

AMD64 または ARM64

ARM64

ARM64 または AMD64

前提条件

  • Hosted Control Plane の CLI である hcp を設定した。
  • local-cluster マネージドクラスターを管理クラスターとして有効にした。
  • AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。

手順

  1. AWS 上にホステッドクラスターを作成するには、次のコマンドを実行します。 

    $ hcp create cluster aws \
    --name <hosted_cluster_name> \
    1 
    
    --infra-id <infra_id> \
    2 
    
    --base-domain <basedomain> \
    3 
    
    --sts-creds <path_to_sts_credential_file> \
    4 
    
    --pull-secret <path_to_pull_secret> \
    5 
    
    --region <region> \
    6 
    
    --generate-ssh \
    --node-pool-replicas <node_pool_replica_count> \
    7 
    
    --namespace <hosted_cluster_namespace> \
    8 
    
    --role-arn <role_name> \
    9 
    
    --render-into <file_name>.yaml
    10
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    インフラストラクチャー名を指定します。<hosted_cluster_name><infra_id> には同じ値を指定する必要があります。そうしないと、multicluster engine for Kubernetes Operator のコンソールに、クラスターが正しく表示されない可能性があります。
    3
    ベースドメインを指定します (例: example.com)。
    4
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。
    5
    プルシークレットへのパスを指定します (例: /user/name/pullsecret)。
    6
    AWS リージョン名を指定します (例: us-east-1)。
    7
    ノードプールのレプリカ数を指定します (例: 3)。
    8
    デフォルトでは、HostedClusterNodePool のすべてのカスタムリソースが clusters namespace に作成されます。--namespace <namespace> パラメーターを使用すると、特定の namespace に HostedCluster および NodePool カスタムリソースを作成できます。
    9
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。
    10
    EC2 インスタンスを共有テナントハードウェア上で実行するか、シングルテナントハードウェア上で実行するかを指定する場合は、このフィールドを含めます。--render-into フラグを含めると、Kubernetes リソースが、このフィールドで指定した YAML ファイルにレンダリングされます。この場合、次のステップに進み、YAML ファイルを編集します。

  2. 前のコマンドに --render-into フラグを含めた場合は、指定した YAML ファイルを編集します。YAML ファイルの NodePool 仕様を編集して、EC2 インスタンスを共有ハードウェア上で実行するか、シングルテナントハードウェア上で実行するかを指定します。次に例を示します。

    サンプル YAML ファイル

    apiVersion: hypershift.openshift.io/v1beta1
kind: NodePool
metadata:
  name: <nodepool_name>
    1 
    
spec:
  platform:
    aws:
      placement:
        tenancy: "default"
    2
    Copy to Clipboard Toggle word wrap

    1
    NodePool リソースの名前を指定します。
    2
    テナンシーの有効な値 ("default""dedicated"、または "host") を指定します。ノードプールインスタンスを共有ハードウェア上で実行する場合は、"default" を使用します。各ノードプールインスタンスをシングルテナントハードウェア上で実行する場合は、"dedicated" を使用します。事前に割り当てられた専用ホスト上でノードプールインスタンスを実行する場合は、"host" を使用します。

検証

  1. ホステッドクラスターのステータスを確認し、AVAILABLE の値が True であることを確認します。以下のコマンドを実行します。 

    $ oc get hostedclusters -n <hosted_cluster_namespace>
    Copy to Clipboard Toggle word wrap

  2. 次のコマンドを実行して、ノードプールのリストを取得します。 

    $ oc get nodepools --namespace <hosted_cluster_namespace>
    Copy to Clipboard Toggle word wrap

4.1.7.1. AWS でのホステッドクラスターへのアクセス
リンクのコピー

kubeconfig ファイルと kubeadmin 認証情報をリソースから直接取得することで、ホステッドクラスターにアクセスできます。

ホストされたクラスターのアクセスシークレットを理解している。ホステッドクラスター namespace にはホストされたクラスターリソースが含まれており、ホステッドコントロールプレーン namespace ではホステッドコントロールプレーンが実行されます。シークレット名の形式は次のとおりです。

  • kubeconfig シークレット:& lt;hosted-cluster-namespace>-<name>-admin-kubeconfigたとえば、clusters-hypershift-demo-admin-kubeconfig です。
  • kubeadmin パスワードシークレット:& lt;hosted-cluster-namespace>-<name>-kubeadmin-password.たとえば、clusters-hypershift-demo-kubeadmin-password です。

手順

  • kubeconfig シークレットには Base64 でエンコードされた kubeconfig フィールドが含まれており、これをデコードしてファイルに保存し、次のコマンドで使用できます。 

    $ oc --kubeconfig <hosted_cluster_name>.kubeconfig get nodes
    Copy to Clipboard Toggle word wrap

    kubeadmin パスワードシークレットも Base64 でエンコードされます。これをデコードし、そのパスワードを使用して、ホステッドクラスターの API サーバーまたはコンソールにログインできます。

4.1.7.2. kubeadmin 認証情報を使用して AWS 上のホステッドクラスターにアクセスする
リンクのコピー

Amazon Web Services (AWS) にホステッドクラスターを作成した後、kubeconfig ファイル、アクセスシークレット、および kubeadmin 認証情報を取得して、ホステッドクラスターにアクセスできます。

ホステッドクラスターのリソースとアクセスシークレットは、ホステッドクラスターの namespace に格納されます。Hosted Control Plane は、Hosted Control Plane の namespace で実行されます。

シークレット名の形式は次のとおりです。

  • kubeconfig シークレット: <hosted_cluster_namespace>-<name>-admin-kubeconfig。たとえば、clusters-hypershift-demo-admin-kubeconfig です。
  • kubeadmin パスワードシークレット: <hosted_cluster_namespace>-<name>-kubeadmin-password。たとえば、clusters-hypershift-demo-kubeadmin-password です。
注記

kubeadmin パスワードシークレットは、Base64 でエンコードされています。kubeconfig シークレットには、Base64 でエンコードされた kubeconfig 設定が含まれています。Base64 でエンコードされた kubeconfig 設定をデコードし、<hosted_cluster_name>.kubeconfig ファイルに保存する必要があります。

手順

  • デコードされた kubeconfig 設定を含む <hosted_cluster_name>.kubeconfig ファイルを使用して、ホステッドクラスターにアクセスします。以下のコマンドを入力します。 

    $ oc --kubeconfig <hosted_cluster_name>.kubeconfig get nodes
    Copy to Clipboard Toggle word wrap

    API サーバーまたはホステッドクラスターのコンソールにログインするには、kubeadmin パスワードシークレットをデコードする必要があります。

4.1.7.3. hcp CLI を使用して AWS 上のホステッドクラスターにアクセスする
リンクのコピー

hcp コマンドラインインターフェイス (CLI) を使用して、ホステッドクラスターにアクセスできます。

手順

  1. 次のコマンドを入力して、kubeconfig ファイルを生成します。 

    $ hcp create kubeconfig --namespace <hosted_cluster_namespace> \
  --name <hosted_cluster_name> > <hosted_cluster_name>.kubeconfig
    Copy to Clipboard Toggle word wrap

  2. kubeconfig ファイルを保存したら、次のコマンドを入力してホステッドクラスターにアクセスします。 

    $ oc --kubeconfig <hosted_cluster_name>.kubeconfig get nodes
    Copy to Clipboard Toggle word wrap

4.1.8. ホストされたクラスターでのカスタム API サーバー証明書の設定
リンクのコピー

API サーバーのカスタム証明書を設定するには、HostedCluster 設定の spec.configuration.apiServer セクションに証明書の詳細を指定します。

カスタム証明書は、Day-1 または day-2 操作のいずれかで設定できます。ただし、サービス公開ストラテジーは、ホステッドクラスターの作成時に設定した後に不変であるため、設定する予定の Kubernetes API サーバーのホスト名を知っている必要があります。

前提条件

  • 管理クラスターにカスタム証明書が含まれる Kubernetes シークレットを作成している。シークレットには次のキーが含まれます。

    • tls.crt: 証明書
    • tls.key: 秘密鍵
  • HostedCluster 設定にロードバランサーを使用するサービス公開ストラテジーが含まれている場合は、証明書の Subject Alternative Names (SAN)が内部 API エンドポイント(api-int)と競合しないようにしてください。内部 API エンドポイントは、プラットフォームによって自動的に作成され、管理されます。カスタム証明書と内部 API エンドポイントの両方で同じホスト名を使用すると、ルーティングの競合が発生する可能性があります。このルールの唯一の例外は、Private または PublicAndPrivate 設定で AWS をプロバイダーとして使用する場合です。この場合、SAN 競合はプラットフォームによって管理されます。
  • 証明書は外部 API エンドポイントに対して有効である必要があります。
  • 証明書の有効期間は、クラスターの予想されるライフサイクルと一致します。

手順

  1. 次のコマンドを入力して、カスタム証明書でシークレットを作成します。 

    $ oc create secret tls sample-hosted-kas-custom-cert \
  --cert=path/to/cert.crt \
  --key=path/to/key.key \
  -n <hosted_cluster_namespace>
    Copy to Clipboard Toggle word wrap

  2. 以下の例のように、カスタム証明書の詳細を使用して HostedCluster 設定を更新します。 

    spec:
  configuration:
    apiServer:
      servingCerts:
        namedCertificates:
        - names:
    1 
    
          - api-custom-cert-sample-hosted.sample-hosted.example.com
          servingCertificate:
    2 
    
            name: sample-hosted-kas-custom-cert
    Copy to Clipboard Toggle word wrap
    1
    証明書が有効な DNS 名のリスト。
    2
    カスタム証明書を含むシークレットの名前。

  3. 次のコマンドを入力して、HostedCluster 設定に変更を適用します。 

    $ oc apply -f <hosted_cluster_config>.yaml
    Copy to Clipboard Toggle word wrap

検証

  • API サーバー Pod をチェックして、新しい証明書がマウントされていることを確認します。
  • カスタムドメイン名を使用して、API サーバーへの接続をテストします。
  • ブラウザーで証明書の詳細を確認するか、openssl などのツールを使用して確認します。

4.1.9. AWS 上の複数のゾーンにホステッドクラスターを作成する
リンクのコピー

hcp コマンドラインインターフェイス (CLI) を使用して、Amazon Web Services (AWS) 上の複数のゾーンにホステッドクラスターを作成できます。

前提条件

  • AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。

手順

  • 次のコマンドを実行して、AWS 上の複数のゾーンにホステッドクラスターを作成します。 

    $ hcp create cluster aws \
  --name <hosted_cluster_name> \
    1 
    
  --node-pool-replicas=<node_pool_replica_count> \
    2 
    
  --base-domain <basedomain> \
    3 
    
  --pull-secret <path_to_pull_secret> \
    4 
    
  --role-arn <arn_role> \
    5 
    
  --region <region> \
    6 
    
  --zones <zones> \
    7 
    
  --sts-creds <path_to_sts_credential_file>
    8
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    ノードプールのレプリカ数を指定します (例: 2)。
    3
    ベースドメインを指定します (例: example.com)。
    4
    プルシークレットへのパスを指定します (例: /user/name/pullsecret)。
    5
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。
    6
    AWS リージョン名を指定します (例: us-east-1)。
    7
    AWS リージョン内のアベイラビリティーゾーンを指定します (例: us-east-1aus-east-1b)。
    8
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。

指定したゾーンごとに、次のインフラストラクチャーが作成されます。

  • パブリックサブネット
  • プライベートサブネット
  • NAT ゲートウェイ
  • プライベートルートテーブル

パブリックルートテーブルはパブリックサブネット間で共有されます。

ゾーンごとに 1 つの NodePool リソースが作成されます。ノードプール名の末尾にはゾーン名が付けられます。ゾーンのプライベートサブネットは spec.platform.aws.subnet.id に設定されます。

4.1.9.1. AWS STS 認証情報を指定してホステッドクラスターを作成する
リンクのコピー

hcp create cluster aws コマンドを使用してホステッドクラスターを作成する場合は、ホステッドクラスターのインフラストラクチャーリソースを作成する権限を持つ Amazon Web Services (AWS) アカウントの認証情報を指定する必要があります。

インフラストラクチャーリソースの例としては、次のものがあります。

  • Virtual Private Cloud (VPC)
  • サブネット
  • ネットワークアドレス変換 (NAT) ゲートウェイ

次のいずれかの方法で AWS 認証情報を指定できます。

  • AWS Security Token Service (STS) 認証情報
  • multicluster engine Operator からの AWS クラウドプロバイダーのシークレット

手順

  • AWS STS 認証情報を指定して AWS 上にホステッドクラスターを作成するには、次のコマンドを入力します。 

    $ hcp create cluster aws \
  --name <hosted_cluster_name> \
    1 
    
  --node-pool-replicas <node_pool_replica_count> \
    2 
    
  --base-domain <basedomain> \
    3 
    
  --pull-secret <path_to_pull_secret> \
    4 
    
  --sts-creds <path_to_sts_credential_file> \
    5 
    
  --region <region> \
    6 
    
  --role-arn <arn_role>
    7
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    ノードプールのレプリカ数を指定します (例: 2)。
    3
    ベースドメインを指定します (例: example.com)。
    4
    プルシークレットへのパスを指定します (例: /user/name/pullsecret)。
    5
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。
    6
    AWS リージョン名を指定します (例: us-east-1)。
    7
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。

4.1.10. ARM64 アーキテクチャーでのホステッドクラスターの実行
リンクのコピー

Amazon Web Services (AWS) 上の Hosted Control Plane では、デフォルトで AMD64 ホステッドクラスターを使用します。ただし、Hosted Control Plane を ARM64 ホステッドクラスターで実行することもできます。

ノードプールとホステッドクラスターの互換性のある組み合わせは、次の表を参照してください。

Expand
表4.6 ノードプールとホステッドクラスターの互換性のあるアーキテクチャー
ホステッドクラスターノードプール

AMD64

AMD64 または ARM64

ARM64

ARM64 または AMD64

4.1.10.1. ARM64 OpenShift Container Platform クラスターにホステッドクラスターを作成する
リンクのコピー

デフォルトのリリースイメージをマルチアーキテクチャーリリースイメージでオーバーライドすることで、Amazon Web Services (AWS) の ARM64 OpenShift Container Platform クラスターでホステッドクラスターを実行できます。

マルチアーキテクチャーリリースイメージを使用しない場合、ホステッドクラスターでマルチアーキテクチャーリリースイメージを使用するか、リリースイメージに基づいて NodePool カスタムリソースを更新するまで、ノードプール内のコンピュートノードが作成されず、ノードプールのリコンシリエーションが停止します。

前提条件

  • AWS にインストールされた、64 ビット ARM インフラストラクチャーの OpenShift Container Platform クラスターがある。詳細は、Create an OpenShift Container Platform Cluster: AWS (ARM) を参照してください。
  • AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成する。詳細は、「AWS IAM ロールと STS 認証情報の作成」を参照してください。

手順

  • 次のコマンドを入力して、ARM64 OpenShift Container Platform クラスターにホステッドクラスターを作成します。 

    $ hcp create cluster aws \
  --name <hosted_cluster_name> \
    1 
    
  --node-pool-replicas <node_pool_replica_count> \
    2 
    
  --base-domain <basedomain> \
    3 
    
  --pull-secret <path_to_pull_secret> \
    4 
    
  --sts-creds <path_to_sts_credential_file> \
    5 
    
  --region <region> \
    6 
    
  --release-image quay.io/openshift-release-dev/ocp-release:<ocp_release_image> \
    7 
    
  --role-arn <role_name>
    8
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    ノードプールのレプリカ数を指定します (例: 3)。
    3
    ベースドメインを指定します (例: example.com)。
    4
    プルシークレットへのパスを指定します (例: /user/name/pullsecret)。
    5
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。
    6
    AWS リージョン名を指定します (例: us-east-1)。
    7
    使用するサポート対象の OpenShift Container Platform バージョンを指定します (例: 4.18.0-multi)。非接続環境を使用している場合は、<ocp_release_image> をダイジェストイメージに置き換えます。OpenShift Container Platform リリースイメージダイジェストを抽出するには、「OpenShift Container Platform リリースイメージダイジェストの抽出」を参照してください。
    8
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。

4.1.10.2. AWS ホステッドクラスターに ARM または AMD の NodePool オブジェクトを作成する
リンクのコピー

同じ Hosted Control Plane から、64 ビット ARM および AMD の NodePool オブジェクトであるアプリケーションワークロードをスケジュールできます。NodePool 仕様で arch フィールドを定義し、NodePool オブジェクトに必要なプロセッサーアーキテクチャーを設定できます。arch フィールドの有効な値は次のとおりです。

  • arm64
  • amd64

前提条件

手順

  • 次のコマンドを実行して、AWS でホステッドクラスターに ARM または AMD の NodePool オブジェクトを追加します。 

    $ hcp create nodepool aws \
  --cluster-name <hosted_cluster_name> \
    1 
    
  --name <node_pool_name> \
    2 
    
  --node-count <node_pool_replica_count> \
    3 
    
  --arch <architecture>
    4
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    ノードプール名を指定します。
    3
    ノードプールのレプリカ数を指定します (例: 3)。
    4
    アーキテクチャータイプを指定します (例: arm64amd64)。--arch フラグに値を指定しない場合は、デフォルトで amd64 値が使用されます。

4.1.11. AWS でのプライベートホステッドクラスターの作成
リンクのコピー

local-cluster をホスティングクラスターとして有効にした後、Amazon Web Services (AWS) にホステッドクラスターまたはプライベートホステッドクラスターをデプロイできます。

デフォルトでは、ホステッドクラスターはパブリック DNS と管理クラスターのデフォルトルーターを介してパブリックにアクセスできます。

AWS 上のプライベートクラスターの場合、ホステッドクラスターとの通信は、すべて AWS PrivateLink を介して行われます。

前提条件

  • AWS PrivateLink を有効にした。詳細は、「AWS PrivateLink の有効化」を参照してください。
  • AWS Identity and Access Management (IAM) ロールと AWS Security Token Service (STS) 認証情報を作成した。詳細は、「AWS IAM ロールと STS 認証情報の作成」および「Identity and Access Management (IAM) 権限」を参照してください。
  • AWS に踏み台インスタンス を設定した。

手順

  • 次のコマンドを入力して、AWS 上にプライベートホステッドクラスターを作成します。 

    $ hcp create cluster aws \
  --name <hosted_cluster_name> \
    1 
    
  --node-pool-replicas=<node_pool_replica_count> \
    2 
    
  --base-domain <basedomain> \
    3 
    
  --pull-secret <path_to_pull_secret> \
    4 
    
  --sts-creds <path_to_sts_credential_file> \
    5 
    
  --region <region> \
    6 
    
  --endpoint-access Private \
    7 
    
  --role-arn <role_name>
    8
    Copy to Clipboard Toggle word wrap
    1
    ホステッドクラスターの名前を指定します (例: example)。
    2
    ノードプールのレプリカ数を指定します (例: 3)。
    3
    ベースドメインを指定します (例: example.com)。
    4
    プルシークレットへのパスを指定します (例: /user/name/pullsecret)。
    5
    AWS STS 認証情報ファイルへのパスを指定します (例: /home/user/sts-creds/sts-creds.json)。
    6
    AWS リージョン名を指定します (例: us-east-1)。
    7
    クラスターがパブリックかプライベートかを定義します。
    8
    Amazon Resource Name (ARN) を指定します (例: arn:aws:iam::820196288204:role/myrole)。ARN ロールの詳細は、「Identity and Access Management (IAM) 権限」を参照してください。

    ホステッドクラスターの次の API エンドポイントは、プライベート DNS ゾーンを通じてアクセスできます。

  • api.<hosted_cluster_name>.hypershift.local
  • *.apps.<hosted_cluster_name>.hypershift.local
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat