Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

2.4. OCM CLI を使用した Workload Identity Federation クラスターの作成

OpenShift Cluster Manager CLI (ocm) を interactive モードまたは non-interactive モードで使用して、Workload Identity Federation (WIF) を使用して Google Cloud Platform (GCP) クラスター上に OpenShift Dedicated を作成できます。

注記

OpenShift Cluster Manager の Downloads ページから、OpenShift Cluster Manager CLI (ocm) の最新バージョンをダウンロードします。

重要

OpenShift Cluster Manager API コマンドラインインターフェイス (ocm) は、開発者プレビュー機能です。Red Hat 開発者プレビュー機能のサポート範囲の詳細は、開発者プレビューのサポート範囲 を参照してください。

クラスターを作成する前に、まず WIF 設定を作成する必要があります。

注記

既存の非 WIF クラスターを WIF 設定に移行することはサポートされていません。この機能は、新しいクラスターの作成時にのみ有効にできます。

2.4.1. WIF 設定の作成
リンクのコピー

手順

WIF 設定は、auto モードまたは manual モードを使用して作成できます。

auto モードでは、OpenShift Dedicated コンポーネントやその他の IAM リソース用のサービスアカウントを自動的に作成できます。

または、manual モードを使用することもできます。manual モードでは、script.sh ファイル内にコマンドが提供されます。このコマンドを使用して、OpenShift Dedicated コンポーネントやその他の IAM リソース用のサービスアカウントを手動で作成します。

  • 選択したモードに応じて、次のいずれかのコマンドを実行して WIF 設定を作成します。

    • auto モードで WIF 設定を作成するには、次のコマンドを実行します。 

      $ ocm gcp create wif-config --name <wif_name> \
      1 
      
  --project <gcp_project_id> \
      2 
      
  --version <osd_version>
      3 
      
  --federated-project <gcp_project_id>
      4
      Copy to Clipboard Toggle word wrap
      1
      <wif_name> は、WIF 設定の名前に置き換えます。
      2
      <gcp_project_id> は、WIF 設定が実装される Google Cloud Platform (GCP) プロジェクトの ID に置き換えます。
      3
      オプション: <osd_version> は、wif-config のサポートが必要な OpenShift Dedicated バージョンに置き換えます。バージョンを指定しない場合、wif-config は最新の OpenShift Dedicated y-stream バージョンと、その直前のサポート対象の OpenShift Dedicated y-stream バージョン 3 つ (バージョン 4.17 以降) をサポートします。
      4
      オプション: <gcp_project_id> は、ワークロードアイデンティティープールとプロバイダーが作成および管理される専用プロジェクトの ID に置き換えます。--federated-project フラグが指定されていない場合、ワークロードアイデンティティープールとプロバイダーは、--project フラグで指定されたプロジェクト内で作成および管理されます。
      注記

      Google Cloud Platform (GCP) では、専用プロジェクトを使用してワークロードアイデンティティープールとプロバイダーを作成および管理することが推奨されています。専用プロジェクトを使用すると、ワークロードアイデンティティープールとプロバイダーの設定に対する一元的なガバナンスを確立し、すべてのプロジェクトとアプリケーションにわたって均一な属性マッピングと条件を適用し、許可されたアイデンティティープロバイダーだけが WIF で認証できるようにすることが可能です。

      詳細は、専用プロジェクトを使用したワークロードアイデンティティープールとプロバイダーの管理 を参照してください。

      重要

      専用プロジェクトでのワークロードアイデンティティープールとプロバイダーの作成と管理は、WIF 設定の初期作成時にのみ可能です。--federated-project フラグは既存の wif-configs には適用できません。

      出力例

      2024/09/26 13:05:41 Creating workload identity configuration...
2024/09/26 13:05:47 Workload identity pool created with name 2e1kcps6jtgla8818vqs8tbjjls4oeub
2024/09/26 13:05:47 workload identity provider created with name oidc
2024/09/26 13:05:48 IAM service account osd-worker-oeub created
2024/09/26 13:05:49 IAM service account osd-control-plane-oeub created
2024/09/26 13:05:49 IAM service account openshift-gcp-ccm-oeub created
2024/09/26 13:05:50 IAM service account openshift-gcp-pd-csi-driv-oeub created
2024/09/26 13:05:50 IAM service account openshift-image-registry-oeub created
2024/09/26 13:05:51 IAM service account openshift-machine-api-gcp-oeub created
2024/09/26 13:05:51 IAM service account osd-deployer-oeub created
2024/09/26 13:05:52 IAM service account cloud-credential-operator-oeub created
2024/09/26 13:05:52 IAM service account openshift-cloud-network-c-oeub created
2024/09/26 13:05:53 IAM service account openshift-ingress-gcp-oeub created
2024/09/26 13:05:55 Role "osd_deployer_v4.18" updated
      Copy to Clipboard Toggle word wrap

    • manual モードで WIF 設定を作成するには、次のコマンドを実行します。 

      $ ocm gcp create wif-config --name <wif_name> \
      1 
      
  --project <gcp_project_id> \
      2 
      
  --mode=manual
      Copy to Clipboard Toggle word wrap
      1
      <wif_name> は、WIF 設定の名前に置き換えます。
      2
      <gcp_project_id> は、WIF 設定が実装される Google Cloud Platform (GCP) プロジェクトの ID に置き換えます。

      WIF を設定すると、次のサービスアカウント、ロール、およびグループが作成されます。

      Expand
      表2.1 WIF 設定のサービスアカウント、グループ、およびロール
      サービスアカウント/グループGCP の事前定義ロールと Red Hat のカスタムロール

      osd-deployer

      osd_deployer_v4.18

      osd-control-plane

      • compute.instanceAdmin
      • compute.networkAdmin
      • compute.securityAdmin
      • compute.storageAdmin

      osd-worker

      • compute.storageAdmin
      • compute.viewer

      cloud-credential-operator-gcp-ro-creds

      cloud_credential_operator_gcp_ro_creds_v4

      openshift-cloud-network-config-controller-gcp

      openshift_cloud_network_config_controller_gcp_v4

      openshift-gcp-ccm

      openshift_gcp_ccm_v4

      openshift-gcp-pd-csi-driver-operator

      • compute.storageAdmin
      • iam.serviceAccountUser
      • resourcemanager.tagUser
      • openshift_gcp_pd_csi_driver_operator_v4

      openshift-image-registry-gcp

      openshift_image_registry_gcs_v4

      openshift-ingress-gcp

      openshift_ingress_gcp_v4

      openshift-machine-api-gcp

      openshift_machine_api_gcp_v4

      SRE グループ経由のアクセス: sd-sre-platform-gcp-access

      sre_managed_support

WIF 設定ロールと、ロールに割り当てられている権限の詳細は、managed-cluster-config を参照してください。

2.4.2. WIF クラスターの作成
リンクのコピー

手順

WIF クラスターは、interactive モードまたは non-interactive モードを使用して作成できます。

interactive モードでは、クラスターの作成中にクラスター属性がプロンプトとして自動的に表示されます。指定された要件に基づいて、表示されるフィールドにプロンプトの値を入力します。

non-interactive モードでは、コマンド内の特定パラメーターの値を指定します。

  • 選択したモードに応じて、次のコマンドのいずれかを実行して、WIF 設定を使用して GCP 上に OpenShift Dedicated クラスターを作成します。

    • interactive モードでクラスターを作成するには、次のコマンドを実行します。 

      $ ocm create cluster --interactive
      1
      Copy to Clipboard Toggle word wrap
      1
      interactive モードでは、インタラクティブプロンプトで設定オプションを指定できます。

    • non-interactive モードでクラスターを作成するには、次のコマンドを実行します。

      注記

      次の例は、オプションおよび必須のパラメーターで構成されており、non-interactive モードのコマンドとは異なる場合があります。オプションと記載されていないパラメーターは必須です。これらのパラメーターやその他のパラメーターの詳細を確認するには、ターミナルウィンドウで ocm create cluster --help flag コマンドを実行してください。 

      $ ocm create cluster <cluster_name> \
      1 
      
--provider=gcp \
      2 
      
--ccs=true \
      3 
      
--wif-config <wif_name> \
      4 
      
--region <gcp_region> \
      5 
      
--subscription-type=marketplace-gcp \
      6 
      
--marketplace-gcp-terms=true \
      7 
      
--version <version> \
      8 
      
--multi-az=true  \
      9 
      
--enable-autoscaling=true \
      10 
      
--min-replicas=3 \
      11 
      
--max-replicas=6 \
      12 
      
--secure-boot-for-shielded-vms=true
      13
      Copy to Clipboard Toggle word wrap
      1
      <cluster_name> は、クラスターの名前に置き換えます。
      2
      値を gcp に設定します。
      3
      値を true に設定します。
      4
      <wif_name> は、WIF 設定の名前に置き換えます。
      5
      <gcp_region> は、新しいクラスターをデプロイする Google Cloud Platform (GCP) リージョンに置き換えます。
      6
      オプション: クラスターのサブスクリプション請求モデル。
      7
      オプション: subscription-type パラメーターに marketplace-gcp の値を指定した場合、marketplace-gcp-termstrue である必要があります。
      8
      オプション: 必要な OpenShift Dedicated バージョン。
      9
      オプション: 複数のデータセンターにデプロイします。
      10
      オプション: コンピュートノードの自動スケーリングを有効にします。
      11
      オプション: コンピュートノードの最小数。
      12
      オプション: コンピュートノードの最大数。
      13
      オプション: セキュアブートにより、Google Cloud Platform で Shielded 仮想マシンを使用できるようになります。
重要

OpenShift Dedicated バージョンが指定されている場合、バージョンも割り当てられた WIF 設定でサポートされる必要があります。割り当てられた WIF 設定でサポートされていないバージョンが指定されている場合、クラスターの作成に失敗します。作成に失敗した場合に、割り当てられた WIF 設定を任意のバージョンに更新するか、--version <osd_version> フィールドに任意のバージョンを指定して新しい WIF 設定を作成します。

重要

インストール中にクラスターのデプロイメントが失敗すると、インストールプロセス中に作成された特定のリソースが Google Cloud Platform (GCP) アカウントから自動的に削除されません。GCP アカウントからこれらのリソースを削除するには、障害が発生したクラスターを削除する必要があります。

2.4.3. WIF クラスターのリスト表示
リンクのコピー

WIF 認証タイプを使用してデプロイされたすべての OpenShift Dedicated クラスターをリスト表示するには、次のコマンドを実行します。 

$ ocm list clusters --parameter search="gcp.authentication.wif_config_id != ''"
Copy to Clipboard Toggle word wrap

特定の wif-config を使用してデプロイされたすべての OpenShift Dedicated クラスターをリスト表示するには、次のコマンドを実行します。 

$ ocm list clusters --parameter search="gcp.authentication.wif_config_id = '<wif_config_id>'"
1
Copy to Clipboard Toggle word wrap
1
<wif_config_id> を WIF 設定の ID に置き換えます。

2.4.4. WIF 設定の更新
リンクのコピー

注記

WIF 設定の更新は、y-stream の更新にのみ適用されます。バージョンセマンティクスに関する詳細を含む更新プロセスの概要は、The Ultimate Guide to OpenShift Release and Upgrade Process for Cluster Administrators を参照してください。

WIF 対応の OpenShift Dedicated クラスターを新しいバージョンに更新する前に、wif-config もそのバージョンにアップグレードする必要があります。クラスターバージョンの更新を試みる前に wif-config バージョンをアップグレードしないと、クラスターバージョンのアップグレードが失敗します。

次のコマンドを実行すると、wif-config を特定の OpenShift Dedicated バージョンに更新できます。 

ocm gcp update wif-config <wif_name> \
1 

--version <version>
2
Copy to Clipboard Toggle word wrap
1
<wif_name> は、更新する WIF 設定の名前に置き換えます。
2
オプション: <version> は、クラスターの更新先の OpenShift Dedicated y-stream バージョンに置き換えます。バージョンを指定しない場合、wif-config は最新の OpenShift Dedicated y-stream バージョンと、その直前のサポート対象の OpenShift Dedicated y-stream バージョン 3 つ (バージョン 4.17 以降) をサポートするように更新されます。

2.4.5. WIF 設定の検証
リンクのコピー

ocm gcp verify wif-config コマンドを実行すると、WIF 設定に関連付けられたリソースの設定が正しいことを確認できます。誤った設定が見つかった場合、出力には誤った設定の詳細が提供され、WIF 設定を更新するよう推奨されます。

検証を行うには、検証対象の WIF 設定の名前と ID が必要です。アクティブな WIF 設定の名前と ID を取得するには、次のコマンドを実行します。 

$ ocm gcp list wif-configs
Copy to Clipboard Toggle word wrap

検証対象の WIF 設定が正しく設定されているかどうかを確認するには、次のコマンドを実行します。 

$ ocm gcp verify wif-config <wif_config_name>|<wif_config_id>
1
Copy to Clipboard Toggle word wrap
1
<wif_config_name><wif_config_id> を、それぞれ WIF 設定の名前と ID に置き換えます。

出力例

Error: verification failed with error: missing role 'compute.storageAdmin'.
Running 'ocm gcp update wif-config' may fix errors related to cloud resource misconfiguration.
exit status 1.
Copy to Clipboard Toggle word wrap

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat