4.2. AWS でのクラスターの作成
Customer Cloud Subscription (CCS) 請求モデルを使用すると、所有している既存の Amazon Web Services (AWS) アカウントに OpenShift Dedicated クラスターを作成できます。
Red Hat cloud account インフラストラクチャータイプを選択して、Red Hat が所有するクラウドプロバイダーアカウントに OpenShift Dedicated をデプロイすることもできます。
CCS モデルを使用して OpenShift Dedicated を AWS アカウントにデプロイして管理するには、次の前提条件を満たしてください。
前提条件
- OpenShift Dedicated で使用する AWS アカウントを設定している。
- AWS アカウントにサービスをデプロイしていない。
- 必要なクラスターサイズをサポートするために必要な AWS アカウントのクォータおよび制限を設定している。
-
AdministratorAccess
ポリシーが割り当てられたosdCcsAdmin
AWS Identity and Access Management (IAM) ユーザーがある。 - AWS 組織にサービスコントロールポリシー (SCP) を設定している。詳細は、Minimum required service control policy (SCP)を参照。
- AWS の Business Support またはそれ以上のサービスを用意することを検討してください。
- クラスター全体のプロキシーを設定する場合は、クラスターがインストールされている VPC からプロキシーにアクセスできることを確認している。プロキシーは VPC のプライベートサブネットからもアクセスできる必要があります。
手順
- OpenShift Cluster Manager にログインします。
- Overview ページで、Red Hat OpenShift Dedicated カードの Create cluster を選択します。
Billing model セクションで、サブスクリプションのタイプおよびインフラストラクチャーのタイプを設定します。
サブスクリプションのタイプを選択します。OpenShift Dedicated サブスクリプションオプションについては、OpenShift Cluster Manager ドキュメントの クラスターのサブスクリプションと登録 を参照してください。
注記利用可能なサブスクリプションタイプは、OpenShift Dedicated のサブスクリプションおよびリソースクォータによって異なります。詳細は、営業担当者または Red Hat サポートにお問い合わせください。
- お客様が所有する既存のクラウドプロバイダーアカウントに OpenShift Dedicated をデプロイするには、Customer Cloud Subscription インフラストラクチャータイプを選択します。または、Red Hat が所有するクラウドプロバイダーアカウントに OpenShift Dedicated をデプロイするには、Red Hat cloud account インフラストラクチャータイプを選択します。
- Next をクリックします。
Run on Amazon Web Services を選択します。AWS アカウントでクラスターをプロビジョニングする場合は、次のサブステップを実行します。
- 記載されている Prerequisites (前提条件) を確認して完了します。
- チェックボックスを選択して、すべての前提条件を読み、完了したことを確認します。
AWS アカウントの詳細を指定します。
- AWS アカウント ID を入力します。
AWS IAM ユーザーアカウントのAWS アクセスキー ID および AWS シークレットアクセスキー を入力します。
注記AWS でこれらの認証情報を取り消すと、これらの認証情報を使用して作成されたクラスターへのアクセスが失われます。
オプション: Bypass AWS Service Control Policy (SCP) checks を選択して、SCP チェックを無効にすることができます。
注記AWS SCP によっては、必要なパーミッションがある場合でもインストールに失敗することがあります。SCP チェックを無効にすると、インストールを続行できます。チェックがバイパスされた場合でも SCP が有効になります。
- Next をクリックしてクラウドプロバイダーアカウントを検証し、Cluster details ページに移動します。
Cluster details ページで、クラスターの名前を指定し、クラスターの詳細を指定します。
- Cluster name を追加します。
オプション: クラスターを作成すると、
openshiftapps.com
にプロビジョニングされたクラスターのサブドメインとしてドメイン接頭辞が生成されます。クラスター名が 15 文字以下の場合、その名前がドメイン接頭辞に使用されます。クラスター名が 15 文字を超える場合、ドメイン接頭辞は 15 文字の文字列にランダムに生成されます。サブドメインをカスタマイズするには、Create customize domain prefix チェックボックスをオンにし、Domain prefix フィールドにドメイン接頭辞名を入力します。ドメイン接頭辞は 15 文字を超えてはならず、組織内で一意である必要があり、クラスターの作成後に変更できません。
- Version ドロップダウンメニューからクラスターバージョンを選択します。
- Region ドロップダウンメニューからクラウドプロバイダーのリージョンを選択します。
- Single zone または Multi-zone 設定を選択します。
- Enable user workload monitoring を選択したままにして、Red Hat サイト信頼性エンジニアリング (SRE) プラットフォームメトリックから切り離して独自のプロジェクトをモニターします。このオプションはデフォルトで有効になっています。
オプション: Advanced Encryption を展開して、暗号化設定を変更します。
デフォルトの AWS KMS キーを使用するには、デフォルト設定の Use default KMS Keys をそのまま使用します。または、カスタム KMS キーを使用するには、Use Custom KMS keys を選択します。
- Use Custom KMS keys を選択した場合は、Key ARN フィールドに AWS Key Management Service (KMS) カスタムキーの Amazon Resource Name (ARN) ARN を入力します。このキーは、クラスター内のすべてのコントロールプレーン、インフラストラクチャー、ワーカーノードのルートボリューム、および永続ボリュームを暗号化するために使用されます。
オプション: クラスターで FIPS 検証を必須にする場合は、Enable FIPS cryptography を選択します。
注記Enable FIPS cryptography を選択すると、Enable additional etcd encryption がデフォルトで有効になり、無効にできなくなります。Enable FIPS cryptography を選択しなくても、Enable additional etcd encryption は選択できます。
オプション:etcd キー値の暗号化が必要な場合には、Enable additional etcd encryption を選択します。このオプションを使用すると、etcd キーの値は暗号化されますが、キーは暗号化されません。このオプションは、デフォルトで OpenShift Dedicated クラスターの etcd ボリュームを暗号化するコントロールプレーンのストレージ暗号化に追加されます。
注記etcd のキー値の etcd 暗号化を有効にすると、約 20% のパフォーマンスのオーバーヘッドが発生します。このオーバーヘッドは、etcd ボリュームを暗号化するデフォルトのコントロールプレーンのストレージ暗号化に加えて、この 2 つ目の暗号化レイヤーの導入により生じます。お客様のユースケースで特に etcd 暗号化が必要な場合にのみ、暗号化を有効にすることを検討してください。
- Next をクリックします。
- Default machine pool ページで、ドロップダウンメニューから Compute node instance type を選択します。
オプション: 自動スケーリングを有効にするには、Enable autoscaling チェックボックスを選択します。
- 自動スケーリング設定を変更するには、Edit cluster autoscaling settings をクリックします。
- 必要な変更を行ったら、Close をクリックします。
- 最小および最大のノード数を選択します。利用可能なプラス記号とマイナス記号を使用するか、数値入力フィールドに必要なノード数を入力することで、ノード数を選択できます。
ドロップダウンメニューから Compute node count を選択します。
注記クラスターの作成後に、クラスター内のコンピュートノード数を変更できますが、マシンプールのコンピュートノードインスタンスのタイプを変更することはできません。利用可能なノード数および種類は、OpenShift Dedicated のサブスクリプションによって異なります。
Instance Metadata Service (IMDS) タイプを設定します。IMDSv1 と IMDSv2 の両方のタイプを使用するか、EC2 インスタンスで IMDSv2 のみを使用するように要求します。実行中のインスタンスからインスタンスメタデータにアクセスするには、以下の 2 つの方法があります。
- Instance Metadata Service バージョン 1 (IMDSv1) - リクエスト/レスポンスメソッド
Instance Metadata Service バージョン 2 (IMDSv2) - セッション指向のメソッド
重要クラスターの作成後に Instance Metadata Service の設定を変更することはできません。
注記IMDSv2 はセッション指向のリクエストを使用します。セッション指向のリクエストでは、セッション期間を定義するセッショントークンを作成します。セッション期間は最小 1 秒、最大 6 時間です。指定された期間中は、後続のリクエストに同じセッショントークンを使用できます。指定された期間が経過した後は、今後のリクエストに使用する新しいセッショントークンを作成する必要があります。
IMDS の詳細は、AWS ドキュメントの Instance metadata and user data を参照してください。
- オプション: Edit node labels を展開してラベルをノードに追加します。Add label をクリックしてさらにノードラベルを追加し、Next を選択します。
Network configuration ページで Public または Private を選択し、クラスターのパブリックまたはプライベート API エンドポイントおよびアプリケーションルートを使用します。
重要プライベート API エンドポイントを使用している場合、クラウドプロバイダーアカウントのネットワーク設定を更新するまでクラスターにはアクセスできません。
オプション: クラスターを既存の AWS Virtual Private Cloud (VPC) にインストールするには、以下を実行します。
- Install to an existing VPC を選択します。
既存の VPC にインストールし、プライベート API エンドポイントを使用することを選択した場合は、Use a PrivateLink を選択します。このオプションを選択した場合に、AWS PrivateLink エンドポイントのみを使用した Red Hat Site Reliability Engineering (SRE) によるクラスターへの接続が可能になります。
注記Use a PrivateLink オプションは、クラスターの作成後に変更できません。
- 既存の VPC にインストールし、クラスターの HTTP または HTTPS プロキシーを有効にする場合は、Configure a cluster-wide proxy を参照してください。
クラスターを既存の AWS VPC にインストールする場合、Virtual Private Cloud (VPC) サブネット設定 を指定して、Next を選択します。Cloud ネットワークアドレス変換 (NAT) と Cloud ルーターを作成しておく必要があります。Cloud NAT と Google VPC については、「関連情報」のセクションを参照してください。
注記クラスターをインストールするアベイラビリティーゾーンごとに、VPC がパブリックおよびプライベートサブネットで設定されるようにする必要があります。PrivateLink を使用する場合には、プライベートサブネットのみが必要になります。
オプション: 追加のセキュリティーグループ を展開し、デフォルトで作成されるマシンプール内のノードに適用する追加のカスタムセキュリティーグループを選択します。すでにセキュリティーグループを作成し、このクラスター用に選択した VPC にそのグループを関連付けている必要があります。クラスターを作成した後は、デフォルトのマシンプールにセキュリティーグループを追加または編集することはできません。
デフォルトでは、指定したセキュリティーグループはすべてのノードタイプに追加されます。ノードタイプごとに異なるセキュリティーグループを適用するには、Apply the same security groups to all node types チェックボックスをオフにします。
詳細は、関連情報 の セキュリティーグループ の要件を参照してください。
デフォルトのアプリケーション Ingress 設定を受け入れます。または、独自のカスタム設定を作成するには、Custom Settings を選択します。
- オプション: ルートセレクターを指定します。
- オプション: 除外する namespace を指定します。
- namespace の所有権ポリシーを選択します。
ワイルドカードポリシーを選択します。
カスタムアプリケーションの Ingress 設定の詳細は、各設定に用意されている情報アイコンをクリックしてください。
クラスター全体のプロキシーを設定することを選択した場合は、Cluster-wide proxy ページでプロキシー設定の詳細を指定します。
次のフィールドの少なくとも 1 つに値を入力します。
- 有効な HTTP proxy URL を指定します。
- 有効な HTTPS proxy URL を指定します。
-
Additional trust bundle フィールドに、PEM でエンコードされた X.509 証明書バンドルを指定します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。TLS 検査プロキシーを使用する場合は、プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルからの認証局によって署名されない限り、追加の信頼バンドルファイルが必要です。この要件は、プロキシーが透過的であるか、
http-proxy
およびhttps-proxy
引数を使用して明示的な設定を必要とするかに関係なく適用されます。
Next をクリックします。
OpenShift Dedicated でのプロキシーの設定に関する詳細は、クラスター全体のプロキシーの設定 を参照してください。
CIDR ranges ダイアログで、カスタムの Classless Inter-Domain Routing (CIDR) 範囲を設定するか、提供されるデフォルトを使用します。
注記VPC にインストールする場合、Machine CIDR 範囲は VPC サブネットに一致する必要があります。
重要CIDR 設定は後で変更することはできません。続行する前に、ネットワーク管理者と選択内容を確認してください。
Cluster update strategy ページで、更新設定を行います。
クラスターの更新方法を選択します。
- 各更新を個別にスケジュールする場合は、Individual updates を選択します。以下はデフォルトのオプションになります。
Recurring updates を選択して、更新が利用可能な場合に、希望の曜日と開始時刻にクラスターを更新します。
注記OpenShift Dedicated の更新ライフサイクルのドキュメントでライフサイクルの終了日を確認できます。詳細は、OpenShift Dedicated 更新ライフサイクル を参照してください。
- 繰り返し更新を選択した場合は、ドロップダウンメニューから希望の曜日およびアップグレード開始時刻 (UTC) を選択します。
- オプション: クラスターアップグレード時の ノードのドレイン (解放) の猶予期間を設定できます。デフォルトで 1 時間 の猶予期間が設定されています。
Next をクリックします。
注記クラスターのセキュリティーまたは安定性に大きく影響する重大なセキュリティー問題が発生した場合、Red Hat Site Reliability Engineer (SRE) が、影響を受けない最新の z-stream バージョンへの自動更新をスケジュールすることがあります。更新は、お客様に通知された後、48 時間以内に適用されます。重大な影響を及ぼすセキュリティー評価の説明は、Red Hat セキュリティー評価について を参照してください。
- 選択の概要を確認し、Create cluster をクリックしてクラスターのインストールを開始します。インストールが完了するまで約 30 - 40 分かかります。
- オプション: Overview タブで、Delete Protection: Disabled のすぐ下にある Enable を選択して、削除保護機能を有効にできます。これにより、クラスターが削除されなくなります。削除保護を無効にするには、Disable を選択します。デフォルトでは、クラスターは削除保護機能が無効になった状態で作成されます。
検証
- クラスターの Overview ページで、インストールの進捗をモニターできます。同じページでインストールのログを表示できます。そのページの Details セクションの Status が Ready として表示されると、クラスターは準備が完了した状態になります。