2.3. OpenShift Cluster Manager を使用した Workload Identity Federation クラスターの作成

手順

1. OpenShift Cluster Manager にログインし、OpenShift Dedicated カードで Create cluster をクリックします。

2. Billing model で、サブスクリプションタイプとインフラストラクチャータイプを設定します。

   重要

   Workload Identity Federation は、Customer Cloud Subscription (CCS) インフラストラクチャータイプでのみサポートされています。

   1. サブスクリプションのタイプを選択します。OpenShift Dedicated サブスクリプションオプションについては、OpenShift Cluster Manager ドキュメントの クラスターのサブスクリプションと登録 を参照してください。
   2. Customer cloud subscription インフラストラクチャータイプを選択します。
   3. Next をクリックします。
3. Run on Google Cloud Platform を選択します。

4. 認証タイプとして Workload Identity Federation を選択します。

   1. 必要な前提条件をすべて読んで完了します。
   2. 必要な前提条件をすべて読んで完了したことを示すチェックボックスをクリックします。

5. 新しい WIF 設定を作成するために、ターミナルウィンドウを開き、次の OCM CLI コマンドを実行します。

   $ ocm gcp create wif-config --name <wif_name> \ 1
     --project <gcp_project_id> \ 2

   1

   <wif_name> は、WIF 設定の名前に置き換えます。

   2

   <gcp_project_id> は、WIF 設定が実装される Google Cloud Platform (GCP) プロジェクトの ID に置き換えます。

6. WIF configuration ドロップダウンリストから設定済みの WIF 設定を選択します。直前のステップで作成した WIF 設定を選択する場合は、まず Refresh をクリックします。
7. Next をクリックします。

8. Details ページで、クラスターの名前を入力し、クラスターの詳細を指定します。

   1. Cluster name フィールドに、クラスターの名前を入力します。

   2. オプション: クラスターを作成すると、openshiftapps.com にプロビジョニングされたクラスターのサブドメインとしてドメイン接頭辞が生成されます。クラスター名が 15 文字以下の場合、その名前がドメイン接頭辞に使用されます。クラスター名が 15 文字を超える場合、ドメイン接頭辞は 15 文字の文字列としてランダムに生成されます。

      サブドメイン接頭辞をカスタマイズするには、Create custom domain prefix チェックボックスをオンにし、Domain prefix フィールドにドメイン接頭辞名を入力します。ドメイン接頭辞は 15 文字を超えてはならず、組織内で一意である必要があり、クラスターの作成後に変更できません。

   3. Version ドロップダウンメニューからクラスターバージョンを選択します。

      注記

      Workload Identity Federation (WIF) は、OpenShift Dedicated バージョン 4.17 以降でのみサポートされています。

   4. Region ドロップダウンメニューからクラウドプロバイダーのリージョンを選択します。
   5. Single zone または Multi-zone 設定を選択します。

   6. オプション: クラスターのインストール時にシールドされた VM を使用するには、Enable Secure Boot for Shielded VMs を選択します。詳細は、Shielded VMs を参照してください。

      重要

      組織でポリシー制約 constraints/compute.requireShieldedVm が有効になっている場合、クラスターを正常に作成するには、Enable Secure Boot support for Shielded VMs を選択する必要があります。GCP 組織ポリシーの制約の詳細は、組織ポリシーの制約 を参照してください。

   7. Enable user workload monitoring を選択したままにして、Red Hat サイト信頼性エンジニアリング (SRE) プラットフォームメトリックから切り離して独自のプロジェクトをモニターします。このオプションはデフォルトで有効になっています。

9. オプション: Advanced Encryption を展開して、暗号化設定を変更します。

   1. カスタム KMS キーを使用するには、Use custom KMS keys を選択します。カスタム KMS キーを使用しない場合は、デフォルト設定 Use default KMS Keys のままにしておきます。

   2. Use Custom KMS keys を選択した場合は、以下を実行します。

      1. Key ring location ドロップダウンメニューからキーリングの場所を選択します。
      2. Key ring ドロップダウンメニューからキーリングを選択します。
      3. Key name ドロップダウンメニューからキー名を選択します。
      4. KMS Service Account を指定します。

   3. オプション: クラスターで FIPS 検証を必須にする場合は、Enable FIPS cryptography を選択します。

      注記

      Enable FIPS cryptography を選択すると、Enable additional etcd encryption がデフォルトで有効になり、無効にできなくなります。Enable FIPS cryptography を選択しなくても、Enable additional etcd encryption は選択できます。

   4. オプション:etcd キー値の暗号化が必要な場合には、Enable additional etcd encryption を選択します。このオプションを使用すると、etcd キーの値は暗号化されますが、キーは暗号化されません。このオプションは、デフォルトで OpenShift Dedicated クラスターの etcd ボリュームを暗号化するコントロールプレーンのストレージ暗号化に追加されます。

      注記

      etcd のキー値の etcd 暗号化を有効にすると、約 20% のパフォーマンスのオーバーヘッドが発生します。このオーバーヘッドは、etcd ボリュームを暗号化するデフォルトのコントロールプレーンのストレージ暗号化に加えて、この 2 つ目の暗号化レイヤーの導入により生じます。お客様のユースケースで特に etcd 暗号化が必要な場合にのみ、暗号化を有効にすることを検討してください。

10. Next をクリックします。
11. Machine pool ページで、Compute node instance type および Compute node count を選択します。利用可能なノードの数およびタイプは、OpenShift Dedicated のサブスクリプションによって異なります。複数のアベイラビリティーゾーンを使用している場合、コンピュートノード数はゾーンごとに設定されます。

12. オプション: Add node labels を展開してラベルをノードに追加します。さらにノードラベルを追加するには、Add additional label をクリックします。

    重要

    このステップのラベルは、Google Cloud ではなく Kubernetes 内のラベルを指しています。Kubernetes のラベルの詳細は、ラベルとセレクター を参照してください。

13. Next をクリックします。
14. Cluster privacy ダイアログボックスで、Public または Private を選択し、クラスターのパブリックまたはプライベート API エンドポイントおよびアプリケーションルートを使用します。Private を選択した場合は、Use Private Service Connect がデフォルトで選択され、無効にすることはできません。Private Service Connect (PSC) は、Google Cloud のセキュリティー強化ネットワーク機能です。

15. オプション: クラスターを既存の GCP Virtual Private Cloud (VPC) にインストールするには、以下を実行します。

    1. Install to an existing VPC を選択します。

       重要

       Private Service Connect は、既存の VPC へのインストール でのみサポートされています。

    2. 既存の VPC にインストールし、クラスターの HTTP または HTTPS プロキシーを有効にする場合は、Configure a cluster-wide proxy を参照してください。

       重要

       クラスターのクラスター全体のプロキシーを設定するには、まず Cloud ネットワークアドレス変換 (NAT) と Cloud ルーターを作成する必要があります。詳細は、関連情報 セクションを参照してください。

16. デフォルトのアプリケーション Ingress 設定を受け入れます。または、独自のカスタム設定を作成するには、Custom Settings を選択します。

    1. オプション: ルートセレクターを指定します。
    2. オプション: 除外する namespace を指定します。
    3. namespace の所有権ポリシーを選択します。

    4. ワイルドカードポリシーを選択します。

       カスタムアプリケーションの Ingress 設定の詳細は、各設定に用意されている情報アイコンをクリックしてください。

17. Next をクリックします。

18. オプション: クラスターを GCP 共有の VPC にインストールするには、次の手順に従います。

    重要

    ホストプロジェクトの VPC 所有者は、クラスターをインストールする前に、Google Cloud コンソールでプロジェクトをホストプロジェクトとして有効にし、Computer Network Administrator、Compute Security Administrator、および DNS Administrator ロールを次のサービスアカウントに追加する必要があります。

    • osd-deployer
    • osd-control-plane
    • openshift-machine-api-gcp

    これを行わないと、クラスターが "Installation Waiting" 状態になります。これが発生した場合は、ホストプロジェクトの VPC 所有者に連絡して、上記のサービスアカウントにロールを割り当てる必要があります。ホストプロジェクトの VPC オーナーが 30 日以内に上記の権限を付与しないと、クラスターの作成が失敗します。詳細は、Enable a host project と Provision Shared VPC を参照してください。

    1. Install into GCP Shared VPC を選択します。
    2. Host project ID を指定します。指定したホストプロジェクト ID が間違っていると、クラスターの作成が失敗します。

    3. クラスターを既存の GCP VPC にインストールする場合、Virtual Private Cloud (VPC) サブネット設定 を指定して、Next を選択します。Cloud ネットワークアドレス変換 (NAT) と Cloud ルーターを作成しておく必要があります。Cloud NAT と Google VPC の詳細は、関連情報 を参照してください。

       注記

       クラスターを共有 VPC にインストールする場合、VPC 名とサブネットはホストプロジェクトから共有されます。

19. Next をクリックします。

20. クラスター全体のプロキシーを設定することを選択した場合は、Cluster-wide proxy ページでプロキシー設定の詳細を指定します。

    1. 次のフィールドの少なくとも 1 つに値を入力します。

       • 有効な HTTP proxy URL を指定します。
       • 有効な HTTPS proxy URL を指定します。
       • Additional trust bundle フィールドに、PEM でエンコードされた X.509 証明書バンドルを指定します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。TLS 検査プロキシーを使用する場合は、プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルからの認証局によって署名されない限り、追加の信頼バンドルファイルが必要です。この要件は、プロキシーが透過的であるか、http-proxy および https-proxy 引数を使用して明示的な設定を必要とするかに関係なく適用されます。

    2. Next をクリックします。

       OpenShift Dedicated でのプロキシーの設定に関する詳細は、クラスター全体のプロキシーの設定 を参照してください。

21. CIDR ranges ダイアログで、カスタムの Classless Inter-Domain Routing (CIDR) 範囲を設定するか、提供されるデフォルトを使用します。

    重要

    CIDR 設定は後で変更することはできません。続行する前に、ネットワーク管理者と選択内容を確認してください。

    クラスターのプライバシーが Private に設定されている場合は、クラウドプロバイダーでプライベート接続を設定するまでクラスターにアクセスできません。

22. Cluster update strategy ページで、更新設定を行います。

    1. クラスターの更新方法を選択します。

       • 各更新を個別にスケジュールする場合は、Individual updates を選択します。以下はデフォルトのオプションになります。

       • Recurring updates を選択して、更新が利用可能な場合に、希望の曜日と開始時刻にクラスターを更新します。

         注記

         OpenShift Dedicated の更新ライフサイクルのドキュメントでライフサイクルの終了日を確認できます。詳細は、OpenShift Dedicated 更新ライフサイクル を参照してください。

    2. クラスターの更新方法に基づいて管理者の承認を提供します。

       • 個別の更新: 承認が必要な更新バージョンを選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。
       • 定期的な更新: クラスターの定期的な更新を選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。OpenShift Cluster Manager が、管理者承認なしでマイナーバージョンのスケジュールされた y-stream 更新を開始することはありません。
    3. 繰り返し更新を選択した場合は、ドロップダウンメニューから希望の曜日およびアップグレード開始時刻 (UTC) を選択します。
    4. オプション: クラスターアップグレード時の ノードのドレイン (解放) の猶予期間を設定できます。デフォルトで 1 時間 の猶予期間が設定されています。

    5. Next をクリックします。

       注記

       クラスターのセキュリティーまたは安定性に大きく影響する重大なセキュリティー問題がある場合、Red Hat サイト信頼性エンジニアリング (SRE) は、影響を受けない最新の z ストリームバージョンへの自動更新をスケジュールする場合があります。更新は、お客様に通知された後、48 時間以内に適用されます。重大な影響を及ぼすセキュリティー評価の説明は、Red Hat セキュリティー評価について を参照してください。

23. 選択の概要を確認し、Create cluster をクリックしてクラスターのインストールを開始します。インストールが完了するまで約 30 - 40 分かかります。

24. オプション: Overview タブで、Delete Protection: Disabled のすぐ下にある Enable を選択して、削除保護機能を有効にできます。これにより、クラスターが削除されなくなります。削除保護を無効にするには、Disable を選択します。デフォルトでは、クラスターは削除保護機能が無効になった状態で作成されます。

    検証

    • クラスターの Overview ページで、インストールの進捗をモニターできます。同じページでインストールのログを表示できます。そのページの Details セクションの Status が Ready として表示されると、クラスターは準備が完了した状態になります。