2.3. AWS でのクラスターの作成

手順

1. OpenShift Cluster Manager にログインします。
2. Overview ページで、Red Hat OpenShift Dedicated カードの Create cluster を選択します。

3. Billing model セクションで、サブスクリプションのタイプおよびインフラストラクチャーのタイプを設定します。

   1. サブスクリプションのタイプを選択します。OpenShift Dedicated サブスクリプションオプションは、OpenShift Cluster Manager ドキュメントの クラスターのサブスクリプションと登録 を参照してください。

      注記

      利用可能なサブスクリプションタイプは、OpenShift Dedicated のサブスクリプションおよびリソースクォータに応じて異なります。詳細は、営業担当者または Red Hat サポートにお問い合わせください。

   2. 所有する既存のクラウドプロバイダーアカウントに OpenShift Dedicated をデプロイするには、インフラストラクチャータイプとして Customer Cloud Subscription を 選択するか、Red Hat クラウド プロバイダーアカウントに OpenShift Dedicated をデプロイするには、インフラストラクチャータイプとして Red Hat クラウドアカウントを選択してください。
   3. Next をクリックします。

4. Run on Amazon Web Services を選択します。AWS アカウントでクラスターをプロビジョニングする場合は、次のサブステップを実行します。

   1. 記載されている Prerequisites (前提条件) を確認して完了します。
   2. チェックボックスを選択して、すべての前提条件を読み、完了したことを確認します。

   3. AWS アカウントの詳細を入力してください。

      1. AWS アカウント ID を入力します。

      2. AWS IAM ユーザーアカウントの AWS アクセスキー ID および AWS シークレットアクセスキー を入力します。

         注記

         AWS でこれらの認証情報を取り消すと、これらの認証情報を使用して作成されたクラスターへのアクセスが失われます。

      3. オプション: Bypass AWS Service Control Policy (SCP) checks を選択して、SCP チェックを無効にできます。

         注記

         AWS SCP によっては、必要なパーミッションがある場合でもインストールに失敗することがあります。SCP チェックを無効にすると、インストールを続行できます。チェックを回避した場合でも、SCP は実行され続ける。

5. Next をクリックしてクラウドプロバイダーアカウントを検証し、Cluster details ページに移動します。

6. クラスターの詳細 ページで、クラスターの名前を入力し、クラスターの詳細を指定します。

   1. Cluster name を追加します。

   2. オプション: クラスターを作成すると、openshiftapps.com にプロビジョニングされたクラスターのサブドメインとしてドメイン接頭辞が生成されます。クラスター名が 15 文字以下の場合、ドメインプレフィックスにはその名前が使用されます。クラスター名が 15 文字を超えると、ドメイン接頭辞が 15 文字の文字列にランダムに生成されます。

      サブドメインをカスタマイズするには、Create customize domain prefix チェックボックスをオンにし、Domain prefix フィールドにドメイン接頭辞名を入力します。ドメイン接頭辞は 15 文字を超えてはならず、組織内で一意である必要があり、クラスターの作成後に変更できません。

   3. Version ドロップダウンメニューからクラスターバージョンを選択します。
   4. Region ドロップダウンメニューからクラウドプロバイダーのリージョンを選択します。
   5. Single zone または Multi-zone 設定を選択します。
   6. Enable user workload monitoring を選択したままにして、Red Hat サイト信頼性エンジニアリング (SRE) プラットフォームメトリックから切り離して独自のプロジェクトをモニターします。このオプションはデフォルトで有効になっています。

   7. オプション: Advanced Encryption を展開して、暗号化設定を変更します。

      1. デフォルトの AWS KMS キーを使用するには、デフォルト設定の Use default KMS Keys をそのまま使用します。または、カスタム KMS キーを使用するには、Use Custom KMS keys を選択します。

         1. Use Custom KMS keys を選択した場合は、Key ARN フィールドに AWS Key Management Service (KMS) カスタムキーの Amazon Resource Name (ARN) ARN を入力します。このキーを使用して、クラスター内のすべてのコントロールプレーン、インフラストラクチャー、ワーカーノードのルートボリューム、および永続ボリュームを暗号化します。

      2. オプション: クラスターで FIPS 検証を必須にする場合は、Enable FIPS cryptography を選択します。

         注記

         FIPS 暗号化を有効にする を選択すると、デフォルトで 追加の etcd 暗号化が 有効になり、この機能を無効にすることはできません。Enable FIPS cryptography を選択しなくても、Enable additional etcd encryption は選択できます。

      3. オプション: etcd キー値の暗号化が必要な場合は、Enable additional etcd encryption を選択します。このオプションを使用すると、etcd キーの値は暗号化されますが、キーは暗号化されません。このオプションは、デフォルトで OpenShift Dedicated クラスターの etcd ボリュームを暗号化するコントロールプレーンのストレージ暗号化に追加されます。

         注記

         etcd 内のキー値に対して etcd 暗号化を有効にすると、ワークロードのパフォーマンスオーバーヘッドが約 20% 増加します。ワークロードの増加は、etcd ボリュームを暗号化するデフォルトの制御プレーンストレージ暗号化に加えて、この第 2 の暗号化レイヤーを導入したことによるものです。お客様のユースケースで特に etcd 暗号化が必要な場合にのみ、暗号化を有効にすることを検討してください。

   8. Next をクリックします。
7. Default machine pool ページで、ドロップダウンメニューから Compute node instance type を選択します。

8. オプション: 自動スケーリングを有効にするには、Enable autoscaling チェックボックスを選択します。

   1. 自動スケーリング設定を変更するには、Edit cluster autoscaling settings をクリックします。
   2. 変更を加えたら、閉じる をクリックしてください。
   3. 最小および最大のノード数を選択します。利用可能なプラス記号とマイナス記号を使用するか、数値入力フィールドにノード数を入力することで、ノード数を選択します。

9. ドロップダウンメニューから Compute node count を選択します。

   注記

   クラスターを作成した後、クラスター内のコンピュートノードの数は変更できますが、マシンプール内のコンピュートノードのインスタンスタイプは変更できません。利用可能なノード数および種類は、OpenShift Dedicated のサブスクリプションに応じて異なります。

10. Instance Metadata Service (IMDS) タイプを設定します。IMDSv1 と IMDSv2 の両方のタイプを使用するか、EC2 インスタンスで IMDSv2 のみを使用するように要求します。実行中のインスタンスからインスタンスメタデータにアクセスするには、以下の 2 つの方法があります。

    • Instance Metadata Service バージョン 1 (IMDSv1) - リクエスト/レスポンスメソッド

    • Instance Metadata Service バージョン 2 (IMDSv2) - セッション指向のメソッド

      重要

      クラスターを作成した後は、インスタンスメタデータサービスの設定を変更することはできません。

      注記

      IMDSv2 はセッション指向のリクエストを使用します。セッション指向のリクエストでは、セッション期間を定義するセッショントークンを作成します。セッション期間は最小 1 秒、最大 6 時間です。指定された期間中は、同じセッショントークンを以降のリクエストにも使用できます。指定された期間が経過した後は、今後のリクエストに使用する新しいセッショントークンを作成する必要があります。

      IMDS の詳細は、AWS ドキュメントの Instance metadata and user data を参照してください。

11. オプション: Edit node labels を展開してラベルをノードに追加します。Add label をクリックしてさらにノードラベルを追加し、Next を選択します。

12. Network configuration ページで Public または Private を選択し、クラスターのパブリックまたはプライベート API エンドポイントおよびアプリケーションルートを使用します。

    重要

    プライベート API エンドポイントを使用している場合は、クラウドプロバイダーアカウントのネットワーク設定を更新するまでクラスターにアクセスできません。

13. オプション: クラスターを既存の AWS Virtual Private Cloud (VPC) にインストールするには、以下を実行します。

    注記

    別のクラスター用にインストーラーによって自動的に作成された VPC に新しい OpenShift Dedicated クラスターをインストールすることはサポートされていません。

    1. Install into an existing VPC を選択します。

    2. 既存の VPC にインストールし、プライベート API エンドポイントを使用することを選択した場合は、Use a PrivateLink を選択します。このオプションを選択した場合に、AWS PrivateLink エンドポイントのみを使用した Red Hat Site Reliability Engineering (SRE) によるクラスターへの接続が可能になります。

       注記

       クラスターを作成した後は、プライベートリンクを使用する オプションを変更することはできません。

    3. 既存の VPC にインストールし、クラスターの HTTP または HTTPS プロキシーを有効にする場合は、Configure a cluster-wide proxy を参照してください。

14. 既存の AWS VPC にクラスターをインストールすることを選択した場合は、Virtual Private Cloud (VPC) サブネットの設定を 入力し、[次へ] を選択します。Cloud ネットワークアドレス変換 (NAT) と Cloud ルーターを作成しておく必要があります。Cloud NAT と Google VPC は、「関連情報」のセクションを参照してください。

    注記

    クラスターをインストールする各アベイラビリティーゾーンごとに、パブリックサブネットとプライベートサブネットを VPC に設定してください。PrivateLink を使用する場合は、プライベートサブネットのみが必要です。

    1. オプション: [追加のセキュリティーグループ] を展開し、デフォルトのマシンプール内のノードに適用する追加のカスタムセキュリティーグループを選択します。すでにセキュリティーグループを作成し、このクラスター用に選択した VPC にそのグループを関連付けている必要があります。クラスターの作成後に、デフォルトのマシンプールにセキュリティーグループを追加または編集することはできません。

       デフォルトでは、指定したセキュリティーグループはすべてのノードタイプに追加されます。ノードタイプごとに異なるセキュリティーグループを適用するには、Apply the same security groups to all node types チェックボックスをオフにします。

       詳細は、関連情報 の セキュリティーグループ の要件を参照してください。

15. デフォルトのアプリケーション Ingress 設定を受け入れます。または、独自のカスタム設定を作成するには、Custom Settings を選択します。

    1. オプション: ルートセレクターを指定します。
    2. オプション: 除外する名前空間を指定します。
    3. namespace の所有権ポリシーを選択します。

    4. ワイルドカードポリシーを選択します。

       カスタムアプリケーションの Ingress 設定に関する詳細は、各設定の情報アイコンをクリックしてください。

16. クラスター全体のプロキシーを設定することを選択した場合は、クラスター全体のプロキシーの ページでプロキシーの設定詳細を入力してください。

    1. 次のフィールドの少なくとも 1 つに値を入力します。

       • 有効な HTTP proxy URL を指定します。
       • 有効な HTTPS proxy URL を指定します。
       • 追加のトラストバンドル フィールドに、PEM エンコードされた X.509 証明書バンドルを指定します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。TLS 検査プロキシーを使用する場合は、Red Hat Enterprise Linux CoreOS (RHCOS) トラストバンドルに含まれる認証局によって署名されたプロキシー用のアイデンティティー証明書がない限り、追加のトラストバンドルファイルが必要になります。この要件は、プロキシーが透過的であるか、http-proxy 引数および https-proxy 引数を使用して明示的な設定を必要とするかに関係なく適用されます。

    2. Next をクリックします。

       OpenShift Dedicated でのプロキシーの設定に関する詳細は、クラスター全体のプロキシーの設定 を参照してください。

17. CIDR 範囲 ダイアログで、カスタムの Classless Inter-Domain Routing (CIDR) 範囲を設定するか、指定のデフォルト値を使用します。

    注記

    VPC にインストールする場合は、Machine CIDR 範囲を VPC サブネットに一致させる必要があります。

    重要

    CIDR の設定は変更できません。続行する前に、ネットワーク管理者と選択内容を確認してください。

18. Cluster update strategy ページで、更新設定を行います。

    1. クラスターの更新方法を選択します。

       • 各更新を個別にスケジュールする場合は、Individual updates を選択します。以下はデフォルトのオプションになります。

       • Recurring updates を選択して、更新が利用可能な場合に、希望の曜日と開始時刻にクラスターを更新します。

         注記

         OpenShift Dedicated の更新ライフサイクルのドキュメントでライフサイクルの終了日を確認できます。詳細は、OpenShift Dedicated 更新ライフサイクル を参照してください。

    2. 繰り返し更新を選択した場合は、ドロップダウンメニューから希望の曜日およびアップグレード開始時刻 (UTC) を選択します。
    3. オプション: クラスターのアップグレード時における ノード drain (Pod の退避) の猶予期間を設定できます。デフォルトでは、1 時間の 猶予期間が設けられています。

    4. Next をクリックします。

       注記

       クラスターのセキュリティーまたは安定性に大きく影響する重大なセキュリティー問題が発生した場合は、Red Hat Site Reliability Engineering (SRE) が、影響を受けない最新の z-stream バージョンへの自動更新をスケジュールすることがあります。お客様への通知を受け取ってから 48 時間以内に、アップデートが適用されます。重大な影響を及ぼすセキュリティー評価の説明は、Red Hat セキュリティー評価について を参照してください。

19. 選択の概要を確認し、Create cluster をクリックしてクラスターのインストールを開始します。インストールが完了するまで約 30 - 40 分かかります。
20. オプション: [概要] タブで、[削除保護: 無効 ] に移動して [有効にする] を選択することで、削除保護機能を有効にできます。この機能は、クラスターの削除に対する保護を提供します。削除保護を無効にするには、Disable を選択します。デフォルトでは、クラスターは削除保護機能が無効になった状態で作成されます。