サポートコンソール開発者トライアルの開始お問い合わせ

3.3. 必要なお客様の手順

Customer Cloud Subscription (CCS) モデルを使用すると、Red Hat は OpenShift Dedicated をお客様の Google Cloud Platform (GCP) プロジェクトにデプロイし、管理することができます。Red Hat では、これらのサービスを提供するために複数の前提条件が必要です。

注記

以下に示すこのトピックの要件は、サービスアカウントおよび Workload Identity Federation 認証タイプを使用して作成された Google Cloud Platform (GCP) クラスター上の OpenShift Dedicated に適用されます。サービスアカウント認証タイプにのみ適用される追加要件については、サービスアカウント認証タイプの手順 を参照してください。Workload Identity Federation 認証タイプにのみ適用される追加要件については、Workload Identity Federation 認証タイプの手順 を参照してください。

警告

GCP プロジェクトで OpenShift Dedicated を使用するには、次の GCP 組織ポリシーの制約を設定することはできません。

  • constraints/iam.allowedPolicyMemberDomains (このポリシー制約は、Red Hat の DIRECTORY_CUSTOMER_IDs C02k0l5e8 および C04j7mbwl が許可リストに含まれている場合にのみサポートされます)。このポリシー制約は注意して使用してください。
  • constraints/compute.restrictLoadBalancerCreationForTypes
  • constraints/compute.requireShieldedVm (このポリシー制約は、最初のクラスター作成時に "Enable Secure Boot support for Shielded VMs" を選択してクラスターがインストールされている場合にのみサポートされます)。
  • constraints/compute.vmExternalIpAccess (このポリシー制約はインストール後にのみサポートされます)。

手順

  1. OpenShift Dedicated クラスターをホストする Google Cloud プロジェクトを作成 します。

  2. OpenShift Dedicated クラスターをホストするプロジェクトで以下の必要な API を 有効にします

    表3.1 必要な API サービス
    API サービスコンソールサービス名目的

    Cloud Deployment Manager V2 API

    deploymentmanager.googleapis.com

    インフラストラクチャーリソースの自動デプロイと管理に使用されます。

    Compute Engine API

    compute.googleapis.com

    仮想マシン、ファイアウォール、ネットワーク、永続ディスクボリューム、ロードバランサーの作成と管理に使用されます。

    Cloud Resource Manager API

    cloudresourcemanager.googleapis.com

    プロジェクトの取得、プロジェクトの IAM ポリシーの取得または設定、必要な権限の検証、タグ付けに使用されます。

    Cloud DNS API

    dns.googleapis.com

    DNS ゾーンを作成し、クラスタードメインの DNS レコードを管理するために使用されます。

    IAM Service Account Credentials API

    iamcredentials.googleapis.com

    IAM サービスアカウントの権限を借用するための有効期間が短い認証情報を作成するために使用されます。

    Identity and Access Management (IAM) API

    iam.googleapis.com

    クラスターの IAM 設定を管理するために使用されます。

    Service Management API

    servicemanagement.googleapis.com

    GCP リソースのクォータ情報を取得するために間接的に使用されます。

    Service Usage API

    serviceusage.googleapis.com

    お客様の Google Cloud アカウントで利用可能なサービスを確認するために使用されます。

    Cloud Storage JSON API

    storage-api.googleapis.com

    イメージレジストリー、Ignition、およびクラスターバックアップ (該当する場合) 用の Cloud Storage にアクセスするために使用されます。

    Cloud Storage

    storage-component.googleapis.com

    イメージレジストリー、Ignition、およびクラスターバックアップ (該当する場合) 用の Cloud Storage を管理するために使用されます。

    Organization Policy API

    orgpolicy.googleapis.com

    クラスターの作成や管理に影響を与える可能性のある、お客様の Google Cloud に適用されるガバナンスルールを特定するために使用されます。

    Cloud Identity-Aware Proxy API

    iap.googleapis.com [*]

    緊急時に、アクセスできないクラスターノードのトラブルシューティングを行うために使用されます。

    この API は、Private Service Connect を使用してデプロイされたクラスターに必要です。

3.3.1. サービスアカウント認証タイプの手順

必要なお客様の手順 に記載されている必要なお客様手順の他に、認証タイプとしてサービスアカウントを使用して Google Cloud Platform (GCP) 上に OpenShift Dedicated クラスターを作成するときに実行する必要がある作業があります。

手順

  1. Red Hat が必要なアクションを実行できるようにするには、GCP プロジェクトに osd-ccs-admin IAM サービスアカウント ユーザーを作成する必要があります。

    以下のロールを サービスアカウントに付与する 必要があります。

    表3.2 必要なロール
    ロールコンソールロール名

    Compute Admin

    roles/compute.admin

    DNS Administrator

    roles/dns.admin

    Organization Policy Viewer

    roles/orgpolicy.policyViewer

    Service Management Administrator

    roles/servicemanagement.admin

    Service Usage Admin

    roles/serviceusage.serviceUsageAdmin

    Storage Admin

    roles/storage.admin

    Compute Load Balancer Admin

    roles/compute.loadBalancerAdmin

    Role Viewer

    roles/viewer

    Role Administrator

    roles/iam.roleAdmin

    Security Admin

    roles/iam.securityAdmin

    Service Account Key Admin

    roles/iam.serviceAccountKeyAdmin

    Service Account Admin

    roles/iam.serviceAccountAdmin

    Service Account User

    roles/iam.serviceAccountUser

  2. osd-ccs-admin IAM サービスアカウントの サービスアカウントキー を作成します。キーは osServiceAccount.json という名前のファイルにエクスポートします。この JSON ファイルは、クラスターの作成時に Red Hat OpenShift Cluster Manager にアップロードされます。

3.3.2. Workload Identity Federation 認証タイプの手順

必要なお客様の手順 に記載されている必要なお客様手順の他に、認証タイプとして Workload Identity Federation を使用して Google Cloud Platform (GCP) 上に OpenShift Dedicated クラスターを作成するときに実行する必要がある作業があります。

手順

  1. Workload Identity Federation 認証タイプを実装するユーザーの サービスアカウント に次のロールを割り当てます。

    表3.3 必要なロール
    ロールコンソールロール名ロールの目的

    Role Administrator

    roles/iam.roleAdmin

    カスタムロールを作成するために、OCM CLI の GCP クライアントで必要です。

    Service Account Admin

    roles/iam.serviceAccountAdmin

    OSD デプロイヤー、サポート、および Operator が必要とするサービスアカウントを事前に作成するために必要です。

    Workload Identity Pool Admin

    roles/iam.workloadIdentityPoolAdmin

    ワークロードアイデンティティープールを作成して設定するために必要です。

    Project IAM Admin

    roles/resourcemanager.projectIamAdmin

    サービスアカウントにロールを割り当て、クラウドリソースに対する操作を実行するために必要な権限をそのロールに付与するために必要です。

  2. OpenShift Cluster Manager API コマンドラインインターフェイス (ocm) をインストールします。

    OCM CLI を使用するには、Red Hat OpenShift Cluster Manager アカウントに対して認証する必要があります。これは、OpenShift Cluster Manager API トークンを使用して行います。

    トークンは こちら で取得できます。

  3. Red Hat OpenShift Cluster Manager アカウントに対して認証するには、次のコマンドを実行します。 

    $ ocm login --token <token> 1
    1
    <token> は、OpenShift Cluster Manager API トークンに置き換えます。
    重要

    OpenShift Cluster Manager API コマンドラインインターフェイス (ocm) は、テクノロジープレビュー機能です。Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

  4. gcloud CLI をインストールします。
  5. Application Default Credentials (ADC) を使用して gcloud CLI を認証します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.