2.3. 必要なお客様の手順

Customer Cloud Subscription (CCS) モデルを使用すると、Red Hat は OpenShift Dedicated をお客様の Google Cloud Platform (GCP) プロジェクトにデプロイし、管理することができます。Red Hat では、これらのサービスを提供するために複数の前提条件が必要です。

注記

以下に示すこのトピックの要件は、サービスアカウントおよび Workload Identity Federation 認証タイプを使用して作成された Google Cloud Platform (GCP) クラスター上の OpenShift Dedicated に適用されます。サービスアカウント認証タイプにのみ適用される追加要件は、サービスアカウント認証タイプの手順 を参照してください。Workload Identity Federation 認証タイプにのみ適用される追加要件は、Workload Identity Federation 認証タイプの手順 を参照してください。

前提条件

GCP プロジェクトで OpenShift Dedicated を使用する前に、随時、次の組織ポリシー制約が正しく設定されていることを確認してください。

constraints/iam.allowedPolicyMemberDomains
- このポリシー制約は、Red Hat の Directory Customer ID の C02k0l5e8 および C04j7mbwl が許可リストに含まれている場合にのみサポートされます。
constraints/compute.restrictLoadBalancerCreationForTypes
- このポリシー制約は、GCP Private Service Connect (PSC) を使用してプライベートクラスターを作成する場合にのみサポートされます。INTERNAL_TCP_UDP ロードバランサータイプが許可リストに含まれているか、拒否リストから除外されていることを確認する必要があります。
  重要
  GCP Private Service Connect (PSC) を使用してプライベートクラスターを作成する場合、EXTERNAL_NETWORK_TCP_UDP ロードバランサータイプは必須ではありませんが、このロードバランサータイプを制約により禁止すると、クラスターは外部からアクセス可能なロードバランサーを作成できなくなります。
constraints/compute.requireShieldedVm
- このポリシー制約は、最初のクラスター作成時に Enable Secure Boot support for Shielded VMs を選択してクラスターが作成された場合にのみサポートされます。
constraints/compute.vmExternalIpAccess
- このポリシー制約は、GCP Private Service Connect (PSC) を使用してプライベートクラスターを作成する場合にのみサポートされます。他のすべてのクラスタータイプの場合、このポリシー制約はクラスターの作成後にのみサポートされます。
constraints/compute.trustedImageProjects ポリシー
- このポリシー制約は、プロジェクト redhat-marketplace-public、rhel-cloud、rhcos-cloud が許可リストに含まれている場合にのみサポートされます。このポリシー制約が有効になっていて、これらのプロジェクトが許可リストに含まれていない場合、クラスターの作成は失敗します。

手順

OpenShift Dedicated クラスターをホストする Google Cloud プロジェクトを作成します。

OpenShift Dedicated クラスターをホストするプロジェクトで以下の必要な API を有効にします。

表2.1 必要な API サービス
API サービス	コンソールサービス名	目的
Cloud Deployment Manager V2 API	`deploymentmanager.googleapis.com`	インフラストラクチャーリソースの自動デプロイと管理に使用されます。
Compute Engine API	`compute.googleapis.com`	仮想マシン、ファイアウォール、ネットワーク、永続ディスクボリューム、ロードバランサーの作成と管理に使用されます。
Cloud Resource Manager API	`cloudresourcemanager.googleapis.com`	プロジェクトの取得、プロジェクトの IAM ポリシーの取得または設定、必要な権限の検証、タグ付けに使用されます。
Cloud DNS API	`dns.googleapis.com`	DNS ゾーンを作成し、クラスタードメインの DNS レコードを管理するために使用されます。
IAM Service Account Credentials API	`iamcredentials.googleapis.com`	IAM サービスアカウントの権限を借用するための有効期間が短い認証情報を作成するために使用されます。
Identity and Access Management (IAM) API	`iam.googleapis.com`	クラスターの IAM 設定を管理するために使用されます。
Service Management API	`servicemanagement.googleapis.com`	GCP リソースのクォータ情報を取得するために間接的に使用されます。
Service Usage API	`serviceusage.googleapis.com`	お客様の Google Cloud アカウントで利用可能なサービスを確認するために使用されます。
Cloud Storage JSON API	`storage-api.googleapis.com`	イメージレジストリー、Ignition、およびクラスターバックアップ (該当する場合) 用の Cloud Storage にアクセスするために使用されます。
Cloud Storage	`storage-component.googleapis.com`	イメージレジストリー、Ignition、およびクラスターバックアップ (該当する場合) 用の Cloud Storage を管理するために使用されます。
Organization Policy API	`orgpolicy.googleapis.com`	クラスターの作成や管理に影響を与える可能性のある、お客様の Google Cloud に適用されるガバナンスルールを特定するために使用されます。
Cloud Identity-Aware Proxy API	`iap.googleapis.com` ^[*]	緊急時に、アクセスできないクラスターノードのトラブルシューティングを行うために使用されます。この API は、Private Service Connect を使用してデプロイされたクラスターに必要です。

2.3.1. サービスアカウント認証タイプの手順

必要なお客様の手順 に記載されている必要なお客様手順の他に、認証タイプとしてサービスアカウントを使用して Google Cloud Platform (GCP) 上に OpenShift Dedicated クラスターを作成するときに実行する必要がある作業があります。

手順

Red Hat が必要なアクションを実行できるようにするには、GCP プロジェクトに osd-ccs-admin IAM サービスアカウントユーザーを作成する必要があります。

以下のロールをサービスアカウントに付与する必要があります。

表2.2 必要なロール
ロール	コンソールロール名
Compute Admin	`roles/compute.admin`
DNS Administrator	`roles/dns.admin`
Organization Policy Viewer	`roles/orgpolicy.policyViewer`
Service Management Administrator	`roles/servicemanagement.admin`
Service Usage Admin	`roles/serviceusage.serviceUsageAdmin`
Storage Admin	`roles/storage.admin`
Compute Load Balancer Admin	`roles/compute.loadBalancerAdmin`
Role Viewer	`roles/viewer`
Role Administrator	`roles/iam.roleAdmin`
Security Admin	`roles/iam.securityAdmin`
Service Account Key Admin	`roles/iam.serviceAccountKeyAdmin`
Service Account Admin	`roles/iam.serviceAccountAdmin`
Service Account User	`roles/iam.serviceAccountUser`

osd-ccs-admin IAM サービスアカウントのサービスアカウントキーを作成します。キーは osServiceAccount.json という名前のファイルにエクスポートします。この JSON ファイルは、クラスターの作成時に Red Hat OpenShift Cluster Manager にアップロードされます。

2.3.2. Workload Identity Federation 認証タイプの手順

必要なお客様の手順 に記載されている必要なお客様手順の他に、認証タイプとして Workload Identity Federation を使用して Google Cloud Platform (GCP) 上に OpenShift Dedicated クラスターを作成するときに実行する必要がある作業があります。

手順

Workload Identity Federation 認証タイプを実装するユーザーのサービスアカウントに次のロールを割り当てます。

表2.3 必要なロール
ロール	コンソールロール名	ロールの目的
Role Administrator	`roles/iam.roleAdmin`	カスタムロールを作成するために、OCM CLI の GCP クライアントで必要です。
Service Account Admin	`roles/iam.serviceAccountAdmin`	OSD デプロイヤー、サポート、および Operator が必要とするサービスアカウントを事前に作成するために必要です。
Workload Identity Pool Admin	`roles/iam.workloadIdentityPoolAdmin`	ワークロードアイデンティティープールを作成して設定するために必要です。
Project IAM Admin	`roles/resourcemanager.projectIamAdmin`	サービスアカウントにロールを割り当て、クラウドリソースに対する操作を実行するために必要な権限をそのロールに付与するために必要です。

OpenShift Cluster Manager API コマンドラインインターフェイス (ocm) をインストールします。
重要
OpenShift Cluster Manager API コマンドラインインターフェイス (ocm) は、開発者プレビュー機能です。Red Hat 開発者プレビュー機能のサポート範囲の詳細は、開発者プレビューのサポート範囲を参照してください。
Red Hat OpenShift Cluster Manager アカウントに対して認証するには、次のいずれかのコマンドを実行します。
1. システムが Web ベースのブラウザーをサポートしている場合は、Red Hat シングルサインオン (SSO) 認可コードコマンドを実行し、セキュアに認証します。
  構文
```
$ ocm login --use-auth-code
```
  このコマンドを実行すると、Red Hat SSO ログインにリダイレクトされます。Red Hat のログインまたはメールでログインします。
2. コンテナー、リモートホスト、および Web ブラウザーのないその他の環境で作業している場合は、安全な認証のために Red Hat シングルサインオン (SSO) デバイスコードコマンドを実行します。
  構文
```
$ ocm login --use-device-code
```
  このコマンドを実行すると、Red Hat SSO ログインにリダイレクトされ、ログインコードが提供されます。
  アカウントを切り替えるには、https://sso.redhat.com からログアウトし、端末で ocm logout コマンドを実行してから再度ログインを試みます。
gcloud CLI をインストールします。
Application Default Credentials (ADC) を使用して gcloud CLI を認証します。

2.3. 必要なお客様の手順

2.3.1. サービスアカウント認証タイプの手順

2.3.2. Workload Identity Federation 認証タイプの手順

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links