ホーム
製品
OpenShift sandboxed containers
1.6
ユーザーガイド
3.2. Azure へのワークロードのデプロイ

3.2. Azure へのワークロードのデプロイ

OpenShift Container Platform Web コンソールまたはコマンドラインインターフェイス (CLI) を使用して、Microsoft Azure クラウドコンピューティングサービスに OpenShift sandboxed containers ワークロードをデプロイできます。

デプロイメントワークフロー

Azure アクセスキーのシークレットを作成します。
Azure インスタンスのサイズやその他のパラメーターを定義する config map を作成します。
SSH キーシークレットを作成します。
KataConfig カスタムリソースを作成します。
オプション: ノードごとのピア Pod 仮想マシン制限を変更します。
kata-remote ランタイムクラスを使用するようにワークロードオブジェクトを設定します。

3.2.2. Web コンソールを使用したワークロードのデプロイ
リンクのコピー

Web コンソールを使用して、OpenShift Sandboxed Containers のワークロードをデプロイできます。

OpenShift Container Platform クラスターに Secret オブジェクトを作成する必要があります。シークレットには、Pod 仮想マシン (VM) イメージとピア Pod インスタンスを作成するためのクラウドプロバイダーの認証情報が保存されます。デフォルトでは、OpenShift Sandboxed Containers Operator はクラスターの作成に使用される認証情報に基づいてシークレットを作成します。ただし、異なる認証情報を使用するシークレットを手動で作成することはできます。

前提条件

Azure CLI ツールをインストールして設定している。

手順

Azure サブスクリプション ID を取得します。

AZURE_SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv) && echo "AZURE_SUBSCRIPTION_ID: \"$AZURE_SUBSCRIPTION_ID\""

$ AZURE_SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv) && echo "AZURE_SUBSCRIPTION_ID: \"$AZURE_SUBSCRIPTION_ID\""

Copy to Clipboard

Toggle word wrap

RBAC コンテンツを生成します。これにより、クライアント ID、クライアントシークレット、およびテナント ID が生成されます。

az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$AZURE_SUBSCRIPTION_ID --query "{ client_id: appId, client_secret: password, tenant_id: tenant }

$ az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$AZURE_SUBSCRIPTION_ID --query "{ client_id: appId, client_secret: password, tenant_id: tenant }

Copy to Clipboard

Toggle word wrap

出力例:

{
  "client_id": `AZURE_CLIENT_ID`,
  "client_secret": `AZURE_CLIENT_SECRET`,
  "tenant_id": `AZURE_TENANT_ID`
}

{
  "client_id": `AZURE_CLIENT_ID`,
  "client_secret": `AZURE_CLIENT_SECRET`,
  "tenant_id": `AZURE_TENANT_ID`
}

Copy to Clipboard

Toggle word wrap

secret オブジェクトで使用する RBAC 出力を記録します。
OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
OpenShift sandboxed containers Operator タイルをクリックします。
右上隅のインポートアイコン (+) をクリックします。

Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

apiVersion: v1
kind: Secret
metadata:
  name: peer-pods-secret
  namespace: openshift-sandboxed-containers-operator
type: Opaque
stringData:
  AZURE_CLIENT_ID: "<azure_client_id>" 
  AZURE_CLIENT_SECRET: "<azure_client_secret>" 
  AZURE_TENANT_ID: "<azure_tenant_id>" 
  AZURE_SUBSCRIPTION_ID: "<azure_subscription_id>"

apiVersion: v1
kind: Secret
metadata:
  name: peer-pods-secret
  namespace: openshift-sandboxed-containers-operator
type: Opaque
stringData:
  AZURE_CLIENT_ID: "<azure_client_id>"


  AZURE_CLIENT_SECRET: "<azure_client_secret>"


  AZURE_TENANT_ID: "<azure_tenant_id>"


  AZURE_SUBSCRIPTION_ID: "<azure_subscription_id>"

Copy to Clipboard

Toggle word wrap

1: AZURE_CLIENT_ID 値を指定します。
2: AZURE_CLIENT_SECRET 値を指定します。
3: AZURE_TENANT_ID 値を指定します。
4: AZURE_SUBSCRIPTION_ID 値を指定します。

Save をクリックして変更を適用します。

注記

ピア Pod シークレットを更新する場合は、peerpodconfig-ctrl-caa-daemon DaemonSet を再起動して変更を適用する必要があります。

シークレットを更新したら、Save をクリックして変更を適用します。次に、以下のコマンドを実行して cloud-api-adaptor Pod を再起動します。

oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

$ oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

Copy to Clipboard

Toggle word wrap

デーモンセットを再起動すると、ピア Pod が再作成されます。既存の Pod は更新されません。

検証

Workloads Secrets に移動して、シークレットを表示します。

3.2.2.2. config map の作成
リンクのコピー

クラウドプロバイダーの OpenShift Container Platform クラスターに config map を作成する必要があります。

手順

Azure インスタンスから以下の値を取得します。

Azure VNet 名を取得し、記録します。

AZURE_VNET_NAME=$(az network vnet list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Name:name}" --output tsv)

$ AZURE_VNET_NAME=$(az network vnet list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Name:name}" --output tsv)

Copy to Clipboard

Toggle word wrap

この値は、Azure サブネット ID を取得するために使用されます。

Azure サブネット ID を取得して記録します。

AZURE_SUBNET_ID=$(az network vnet subnet list --resource-group ${AZURE_RESOURCE_GROUP} --vnet-name $AZURE_VNET_NAME --query "[].{Id:id} | [? contains(Id, 'worker')]" --output tsv) && echo "AZURE_SUBNET_ID: \"$AZURE_SUBNET_ID\""

$ AZURE_SUBNET_ID=$(az network vnet subnet list --resource-group ${AZURE_RESOURCE_GROUP} --vnet-name $AZURE_VNET_NAME --query "[].{Id:id} | [? contains(Id, 'worker')]" --output tsv) && echo "AZURE_SUBNET_ID: \"$AZURE_SUBNET_ID\""

Copy to Clipboard

Toggle word wrap

Azure ネットワークセキュリティーグループ (NSG) ID を取得して記録します。

AZURE_NSG_ID=$(az network nsg list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Id:id}" --output tsv) && echo "AZURE_NSG_ID: \"$AZURE_NSG_ID\""

$ AZURE_NSG_ID=$(az network nsg list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Id:id}" --output tsv) && echo "AZURE_NSG_ID: \"$AZURE_NSG_ID\""

Copy to Clipboard

Toggle word wrap

Azure リソースグループを取得して記録します。

AZURE_RESOURCE_GROUP=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.azure.resourceGroupName}') && echo "AZURE_RESOURCE_GROUP: \"$AZURE_RESOURCE_GROUP\""

$ AZURE_RESOURCE_GROUP=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.azure.resourceGroupName}') && echo "AZURE_RESOURCE_GROUP: \"$AZURE_RESOURCE_GROUP\""

Copy to Clipboard

Toggle word wrap

Azure リージョンを取得して記録します。

AZURE_REGION=$(az group show --resource-group ${AZURE_RESOURCE_GROUP} --query "{Location:location}" --output tsv) && echo "AZURE_REGION: \"$AZURE_REGION\""

$ AZURE_REGION=$(az group show --resource-group ${AZURE_RESOURCE_GROUP} --query "{Location:location}" --output tsv) && echo "AZURE_REGION: \"$AZURE_REGION\""

Copy to Clipboard

Toggle word wrap

OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
Operator のリストから OpenShift Sandboxed Containers Operator を選択します。
右上隅にあるインポートアイコン (+) をクリックします。
Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: peer-pods-cm
  namespace: openshift-sandboxed-containers-operator
data:
  CLOUD_PROVIDER: "azure"
  VXLAN_PORT: "9000"
  AZURE_INSTANCE_SIZE: "Standard_B2als_v2" 
  AZURE_INSTANCE_SIZES: "Standard_B2als_v2,Standard_D2as_v5,Standard_D4as_v5,Standard_D2ads_v5" 
  AZURE_SUBNET_ID: "<azure_subnet_id>" 
  AZURE_NSG_ID: "<azure_nsg_id>" 
  PROXY_TIMEOUT: "5m"
  DISABLECVM: "true"
  AZURE_IMAGE_ID: "<azure_image_id>" 
  AZURE_REGION: "<azure_region>" 
  AZURE_RESOURCE_GROUP: "<azure_resource_group>" 
```
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: peer-pods-cm
  namespace: openshift-sandboxed-containers-operator
data:
  CLOUD_PROVIDER: "azure"
  VXLAN_PORT: "9000"
  AZURE_INSTANCE_SIZE: "Standard_B2als_v2" 
```
1
```
  AZURE_INSTANCE_SIZES: "Standard_B2als_v2,Standard_D2as_v5,Standard_D4as_v5,Standard_D2ads_v5" 
```
2
```
  AZURE_SUBNET_ID: "<azure_subnet_id>" 
```
3
```
  AZURE_NSG_ID: "<azure_nsg_id>" 
```
4
```
  PROXY_TIMEOUT: "5m"
  DISABLECVM: "true"
  AZURE_IMAGE_ID: "<azure_image_id>" 
```
5
```
  AZURE_REGION: "<azure_region>" 
```
6
```
  AZURE_RESOURCE_GROUP: "<azure_resource_group>" 
```
7
Copy to Clipboard Toggle word wrap
1
ワークロードでタイプが定義されていない場合に使用されるデフォルトのインスタンスサイズを定義します。
2
Pod の作成時に指定できるすべてのインスタンスサイズを一覧表示します。これにより、メモリーと CPU をあまり必要としないワークロードには小さいインスタンスサイズを定義したり、ワークロードが大きい場合は大きいインスタンスサイズを定義したりすることができます。
3
取得した AZURE_SUBNET_ID 値を指定します。
4
取得した AZURE_NSG_ID 値を指定します。
5
オプション: デフォルトでは、この値は、クラスターの認証情報に基づく Azure イメージ ID を使用して KataConfig CR を実行するときに入力されます。独自の Azure イメージを作成する場合は、正しいイメージ ID を指定します。
6
取得した AZURE_REGION 値を指定します。
7
取得した AZURE_RESOURCE_GROUP 値を指定します。
Save をクリックして変更を適用します。
クラウドプロバイダー用の config map が作成されます。

注記

ピア Pod config map を更新する場合、変更を適用するために peerpodconfig-ctrl-caa-daemon デーモンセットを再起動する必要があります。

config map を更新したら、Save をクリックして変更を適用します。次に、以下のコマンドを実行して cloud-api-adaptor Pod を再起動します。

oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

$ oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

Copy to Clipboard

Toggle word wrap

daemonset を再起動すると、ピア Pod が再作成されます。既存の Pod は更新されません。

検証

新しい config map を表示するには、Workloads ConfigMaps に移動します。

3.2.2.3. SSH キーシークレットの作成
リンクのコピー

Azure の SSH キー secret オブジェクトを作成する必要があります。

手順

OpenShift Container Platform クラスターにログインします。
次のコマンドを実行して、SSH キーペアを生成します。
```
ssh-keygen -f ./id_rsa -N ""
```
```
$ ssh-keygen -f ./id_rsa -N ""
```
Copy to Clipboard Toggle word wrap
OpenShift Container Platform Web コンソールで、Workloads Secrets に移動します。
Secrets ページで、openshift-sandboxed-containers-operator プロジェクトにいることを確認します。
Create をクリックし、Key/value secret を選択します。
Secret name フィールドに ssh-key-secret と入力します。
Key フィールドに id_rsa.pub と入力します。
Value フィールドに、公開 SSH 鍵を貼り付けます。
Create をクリックします。
SSH キーシークレットが作成されます。
作成した SSH 鍵を削除します。
```
shred -remove id_rsa.pub id_rsa
```
```
$ shred -remove id_rsa.pub id_rsa
```
Copy to Clipboard Toggle word wrap

3.2.2.4. KataConfig カスタムリソースの作成
リンクのコピー

ワーカーノードに kata-remote を RuntimeClass としてインストールするには、KataConfig カスタムリソース (CR) を作成する必要があります。

kata-remote ランタイムクラスは、デフォルトですべてのワーカーノードにインストールされます。kata-remote を特定のノードにのみインストールする場合は、それらのノードにラベルを追加し、KataConfig CR でラベルを定義できます。

OpenShift Sandboxed Containers は、kata-remote をプライマリーランタイムとしてではなく、クラスター上の セカンダリーオプション のランタイムとしてインストールします。

重要

KataConfig CR を作成すると、ワーカーノードが自動的に再起動します。再起動には 10 分から 60 分以上かかる場合があります。次の要因により再起動時間が長くなる可能性があります。

より多くのワーカーノードを持つ大規模な OpenShift Container Platform デプロイメント。
BIOS および診断ユーティリティーが有効である。
SSD ではなくハードディスクドライブにデプロイしている。
仮想ノードではなく、ベアメタルなどの物理ノードにデプロイしている。
CPU とネットワークが遅い。

前提条件

cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

手順

OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
OpenShift sandboxed containers Operator を選択します。
KataConfig タブで、Create KataConfig をクリックします。
以下の詳細を入力します。
- Name: オプション: デフォルト名は example-kataconfig です。
- Labels: オプション: 関連する識別属性を KataConfig リソースに入力します。各ラベルはキーと値のペアを表します。
- enablePeerPods: パブリッククラウド、IBM Z®、および IBM® LinuxONE デプロイメントの場合に選択します。
- kataConfigPoolSelector。オプション: 選択したノードに kata-remote をインストールするには、選択したノードのラベルに一致する式を追加します。
  1. kataConfigPoolSelector エリアを展開します。
  2. kataConfigPoolSelector エリアで、matchExpressions を展開します。これは、ラベルセレクターの要件のリストです。
  3. Add matchExpressions をクリックします。
  4. Key フィールドに、セレクターの適用先のラベルキーを入力します。
  5. Operator フィールドに、キーとラベル値の関係を入力します。有効な演算子は、In、NotIn、Exists、DoesNotExist です。
  6. Values エリアを展開し、Add value をクリックします。
  7. Value フィールドで、true または false を key ラベル値として入力します。
- logLevel: ランタイムクラスが kata-remote のノードに対して取得されるログデータのレベルを定義します。
Create をクリックします。KataConfig CR が作成され、ワーカーノードに kata-remote ランタイムクラスをインストールします。
インストールを確認する前に、kata-remote のインストールが完了し、ワーカーノードが再起動するまで待ちます。

検証

KataConfig タブで、KataConfig CR をクリックして詳細を表示します。
YAML タブをクリックして status スタンザを表示します。
status スタンザには、conditions および kataNodes キーが含まれています。status.kataNodes の値はノード配列であり、各ノードには kata-remote インストールの特定の状態にあるノードがリストされます。更新があるたびにメッセージが表示されます。
Reload をクリックして、YAML を更新します。
status.kataNodes 配列内のすべてのワーカーに、値 installed と、理由が指定されていない conditions.InProgress: False が表示される場合、kata-remote はクラスターにインストールされています。

詳細は、KataConfig ステータスメッセージを参照してください。

3.2.2.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

kata-remote がクラスターにインストールされると、OpenShift sandboxed containers Operator は、ピア Pod の作成に使用される Pod 仮想マシンイメージを作成します。イメージがクラウドインスタンス上に作成されるため、このプロセスには時間がかかる場合があります。クラウドプロバイダー用に作成した config map を確認し、Pod 仮想マシンイメージが正常に作成されたことを確認できます。

手順

Workloads ConfigMaps に移動します。
プロバイダー config map をクリックすると、詳細が表示されます。
YAML タブをクリックします。
YAML ファイルの status スタンザを確認します。
AZURE_IMAGE_ID パラメーターが入力されている場合は、Pod 仮想マシンイメージが正常に作成されています。

トラブルシューティング

次のコマンドを実行してイベントログを取得します。

oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

$ oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、ジョブログを取得します。

oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

$ oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

Copy to Clipboard

Toggle word wrap

問題を解決できない場合は、Red Hat サポートケースを送信し、両方のログの出力を添付してください。

3.2.2.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

peerpodConfig カスタムリソース (CR) を編集することで、ノードあたりのピア Pod 仮想マシン (VM) の制限を変更できます。

手順

次のコマンドを実行して、現在の制限を確認します。

oc get peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
-o jsonpath='{.spec.limit}{"\n"}'

$ oc get peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
-o jsonpath='{.spec.limit}{"\n"}'

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、peerpodConfig CR の limit 属性を変更します。

oc patch peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
--type merge --patch '{"spec":{"limit":"<value>"}}'

$ oc patch peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
--type merge --patch '{"spec":{"limit":"<value>"}}'

Copy to Clipboard

Toggle word wrap

1: <value> は、定義する制限に置き換えます。

3.2.2.6. ワークロードオブジェクトの設定
リンクのコピー

次の Pod テンプレートされたオブジェクトのランタイムクラスとして kata-remote を設定して、OpenShift Sandboxed Containers のワークロードをデプロイします。

Pod オブジェクト
ReplicaSet オブジェクト
ReplicationController オブジェクト
StatefulSet オブジェクト
Deployment オブジェクト
DeploymentConfig オブジェクト

重要

ワークロードを openshift-sandboxed-containers-operator namespace にデプロイしないでください。これらのリソース専用の namespace を作成します。

YAML ファイルにアノテーションを追加することで、config map で定義したデフォルトのインスタンスサイズを使用してワークロードをデプロイするかどうかを定義できます。

インスタンスサイズを手動で定義しない場合は、使用可能なメモリーに基づいて自動インスタンスサイズを使用するようにアノテーションを追加できます。

前提条件

プロバイダーのシークレットオブジェクトを作成している。
プロバイダーの config map を作成している。
KataConfig カスタムリソース (CR) を作成している。

手順

OpenShift Container Platform Web コンソールで、Workloads workload type (例: Pods) に移動します。
ワークロードタイプページで、オブジェクトをクリックして詳細を表示します。
YAML タブをクリックします。
次の例のように、各 Pod テンプレート化されたワークロードオブジェクトのマニフェストに spec.runtimeClassName: kata-remote を追加します。
```
apiVersion: v1
kind: <object>
# ...
spec:
  runtimeClassName: kata-remote
# ...
```
```
apiVersion: v1
kind: <object>
# ...
spec:
  runtimeClassName: kata-remote
# ...
```
Copy to Clipboard Toggle word wrap
手動で定義されたインスタンスサイズまたは自動インスタンスサイズを使用するには、Pod テンプレートオブジェクトにアノテーションを追加します。
- 手動で定義されたインスタンスサイズを使用するには、次のアノテーションを追加します。
  apiVersion: v1 kind: <object> metadata: annotations: io.katacontainers.config.hypervisor.machine_type: Standard_B2als_v2
  1
  # ...
  Copy to Clipboard Toggle word wrap
  1
  config map で定義したインスタンスサイズを指定します。
- 自動インスタンスサイズを使用するには、次のアノテーションを追加します。
  apiVersion: v1 kind: <Pod> metadata: annotations: io.katacontainers.config.hypervisor.default_vcpus: <vcpus> io.katacontainers.config.hypervisor.default_memory: <memory> # ...
  Copy to Clipboard Toggle word wrap
  ワークロードが使用できるメモリーの量を定義します。ワークロードは、使用可能なメモリーの量に基づいて自動インスタンスサイズで実行されます。
Save をクリックして変更を適用します。
OpenShift Container Platform はワークロードオブジェクトを作成し、スケジュールを開始します。

検証

Pod テンプレートオブジェクトの spec.runtimeClassName フィールドを検査します。値が kata-remote の場合、ワークロードはピア Pod を使用して OpenShift Sandboxed Containers で実行されています。

3.2.3. コマンドラインを使用したワークロードの展開
リンクのコピー

コマンドラインを使用して、OpenShift Sandboxed Containers のワークロードをデプロイできます。

3.2.3.1. シークレットの作成
リンクのコピー

前提条件

Azure CLI ツールをインストールして設定している。

手順

Azure サブスクリプション ID を取得します。

AZURE_SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv) && echo "AZURE_SUBSCRIPTION_ID: \"$AZURE_SUBSCRIPTION_ID\""

$ AZURE_SUBSCRIPTION_ID=$(az account list --query "[?isDefault].id" -o tsv) && echo "AZURE_SUBSCRIPTION_ID: \"$AZURE_SUBSCRIPTION_ID\""

Copy to Clipboard

Toggle word wrap

RBAC コンテンツを生成します。これにより、クライアント ID、クライアントシークレット、およびテナント ID が生成されます。

az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$AZURE_SUBSCRIPTION_ID --query "{ client_id: appId, client_secret: password, tenant_id: tenant }

$ az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$AZURE_SUBSCRIPTION_ID --query "{ client_id: appId, client_secret: password, tenant_id: tenant }

Copy to Clipboard

Toggle word wrap

出力例:

{
  "client_id": `AZURE_CLIENT_ID`,
  "client_secret": `AZURE_CLIENT_SECRET`,
  "tenant_id": `AZURE_TENANT_ID`
}

{
  "client_id": `AZURE_CLIENT_ID`,
  "client_secret": `AZURE_CLIENT_SECRET`,
  "tenant_id": `AZURE_TENANT_ID`
}

Copy to Clipboard

Toggle word wrap

secret オブジェクトで使用する RBAC 出力を記録します。

次の例に従って peer-pods-secret.yaml マニフェストファイルを作成します。

apiVersion: v1
kind: Secret
metadata:
  name: peer-pods-secret
  namespace: openshift-sandboxed-containers-operator
type: Opaque
stringData:
  AZURE_CLIENT_ID: "<azure_client_id>" 
  AZURE_CLIENT_SECRET: "<azure_client_secret>" 
  AZURE_TENANT_ID: "<azure_tenant_id>" 
  AZURE_SUBSCRIPTION_ID: "<azure_subscription_id>"

apiVersion: v1
kind: Secret
metadata:
  name: peer-pods-secret
  namespace: openshift-sandboxed-containers-operator
type: Opaque
stringData:
  AZURE_CLIENT_ID: "<azure_client_id>"


  AZURE_CLIENT_SECRET: "<azure_client_secret>"


  AZURE_TENANT_ID: "<azure_tenant_id>"


  AZURE_SUBSCRIPTION_ID: "<azure_subscription_id>"

Copy to Clipboard

Toggle word wrap

1: AZURE_CLIENT_ID 値を指定します。
2: AZURE_CLIENT_SECRET 値を指定します。
3: AZURE_TENANT_ID 値を指定します。
4: AZURE_SUBSCRIPTION_ID 値を指定します。

マニフェストを適用して secret オブジェクトを作成します。
```
oc apply -f peer-pods-secret.yaml
```
```
$ oc apply -f peer-pods-secret.yaml
```
Copy to Clipboard Toggle word wrap

注記

ピア Pod シークレットを更新する場合は、peerpodconfig-ctrl-caa-daemon DaemonSet を再起動して変更を適用する必要があります。

シークレットを更新したら、マニフェストを適用します。次に、以下のコマンドを実行して cloud-api-adaptor Pod を再起動します。

oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

$ oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

Copy to Clipboard

Toggle word wrap

デーモンセットを再起動すると、ピア Pod が再作成されます。既存の Pod は更新されません。

3.2.3.2. config map の作成
リンクのコピー

クラウドプロバイダーの OpenShift Container Platform クラスターに config map を作成する必要があります。

手順

Azure インスタンスから以下の値を取得します。

Azure VNet 名を取得し、記録します。

AZURE_VNET_NAME=$(az network vnet list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Name:name}" --output tsv)

$ AZURE_VNET_NAME=$(az network vnet list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Name:name}" --output tsv)

Copy to Clipboard

Toggle word wrap

この値は、Azure サブネット ID を取得するために使用されます。

Azure サブネット ID を取得して記録します。

AZURE_SUBNET_ID=$(az network vnet subnet list --resource-group ${AZURE_RESOURCE_GROUP} --vnet-name $AZURE_VNET_NAME --query "[].{Id:id} | [? contains(Id, 'worker')]" --output tsv) && echo "AZURE_SUBNET_ID: \"$AZURE_SUBNET_ID\""

$ AZURE_SUBNET_ID=$(az network vnet subnet list --resource-group ${AZURE_RESOURCE_GROUP} --vnet-name $AZURE_VNET_NAME --query "[].{Id:id} | [? contains(Id, 'worker')]" --output tsv) && echo "AZURE_SUBNET_ID: \"$AZURE_SUBNET_ID\""

Copy to Clipboard

Toggle word wrap

Azure ネットワークセキュリティーグループ (NSG) ID を取得して記録します。

AZURE_NSG_ID=$(az network nsg list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Id:id}" --output tsv) && echo "AZURE_NSG_ID: \"$AZURE_NSG_ID\""

$ AZURE_NSG_ID=$(az network nsg list --resource-group ${AZURE_RESOURCE_GROUP} --query "[].{Id:id}" --output tsv) && echo "AZURE_NSG_ID: \"$AZURE_NSG_ID\""

Copy to Clipboard

Toggle word wrap

Azure リソースグループを取得して記録します。

AZURE_RESOURCE_GROUP=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.azure.resourceGroupName}') && echo "AZURE_RESOURCE_GROUP: \"$AZURE_RESOURCE_GROUP\""

$ AZURE_RESOURCE_GROUP=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.azure.resourceGroupName}') && echo "AZURE_RESOURCE_GROUP: \"$AZURE_RESOURCE_GROUP\""

Copy to Clipboard

Toggle word wrap

Azure リージョンを取得して記録します。

AZURE_REGION=$(az group show --resource-group ${AZURE_RESOURCE_GROUP} --query "{Location:location}" --output tsv) && echo "AZURE_REGION: \"$AZURE_REGION\""

$ AZURE_REGION=$(az group show --resource-group ${AZURE_RESOURCE_GROUP} --query "{Location:location}" --output tsv) && echo "AZURE_REGION: \"$AZURE_REGION\""

Copy to Clipboard

Toggle word wrap

以下の例に従って peer-pods-cm.yaml マニフェストを作成します。
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: peer-pods-cm
  namespace: openshift-sandboxed-containers-operator
data:
  CLOUD_PROVIDER: "azure"
  VXLAN_PORT: "9000"
  AZURE_INSTANCE_SIZE: "Standard_B2als_v2" 
  AZURE_INSTANCE_SIZES: "Standard_B2als_v2,Standard_D2as_v5,Standard_D4as_v5,Standard_D2ads_v5" 
  AZURE_SUBNET_ID: "<azure_subnet_id>" 
  AZURE_NSG_ID: "<azure_nsg_id>" 
  PROXY_TIMEOUT: "5m"
  DISABLECVM: "true"
  AZURE_IMAGE_ID: "<azure_image_id>" 
  AZURE_REGION: "<azure_region>" 
  AZURE_RESOURCE_GROUP: "<azure_resource_group>" 
```
```
apiVersion: v1
kind: ConfigMap
metadata:
  name: peer-pods-cm
  namespace: openshift-sandboxed-containers-operator
data:
  CLOUD_PROVIDER: "azure"
  VXLAN_PORT: "9000"
  AZURE_INSTANCE_SIZE: "Standard_B2als_v2" 
```
1
```
  AZURE_INSTANCE_SIZES: "Standard_B2als_v2,Standard_D2as_v5,Standard_D4as_v5,Standard_D2ads_v5" 
```
2
```
  AZURE_SUBNET_ID: "<azure_subnet_id>" 
```
3
```
  AZURE_NSG_ID: "<azure_nsg_id>" 
```
4
```
  PROXY_TIMEOUT: "5m"
  DISABLECVM: "true"
  AZURE_IMAGE_ID: "<azure_image_id>" 
```
5
```
  AZURE_REGION: "<azure_region>" 
```
6
```
  AZURE_RESOURCE_GROUP: "<azure_resource_group>" 
```
7
Copy to Clipboard Toggle word wrap
1
ワークロードでタイプが定義されていない場合に使用されるデフォルトのインスタンスサイズを定義します。
2
Pod の作成時に指定できるすべてのインスタンスサイズを一覧表示します。これにより、メモリーと CPU をあまり必要としないワークロードには小さいインスタンスサイズを定義したり、ワークロードが大きい場合は大きいインスタンスサイズを定義したりすることができます。
3
取得した AZURE_SUBNET_ID 値を指定します。
4
取得した AZURE_NSG_ID 値を指定します。
5
オプション: デフォルトでは、この値は、クラスターの認証情報に基づく Azure イメージ ID を使用して KataConfig CR を実行するときに入力されます。独自の Azure イメージを作成する場合は、正しいイメージ ID を指定します。
6
取得した AZURE_REGION 値を指定します。
7
取得した AZURE_RESOURCE_GROUP 値を指定します。
マニフェストを適用して config map を作成します。
```
oc apply -f peer-pods-cm.yaml
```
```
$ oc apply -f peer-pods-cm.yaml
```
Copy to Clipboard Toggle word wrap
クラウドプロバイダー用の config map が作成されます。

注記

ピア Pod config map を更新する場合、変更を適用するために peerpodconfig-ctrl-caa-daemon デーモンセットを再起動する必要があります。

config map を更新した後、マニフェストを適用します。次に、以下のコマンドを実行して cloud-api-adaptor Pod を再起動します。

oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

$ oc set env ds/peerpodconfig-ctrl-caa-daemon -n openshift-sandboxed-containers-operator REBOOT="$(date)"

Copy to Clipboard

Toggle word wrap

daemonset を再起動すると、ピア Pod が再作成されます。既存の Pod は更新されません。

3.2.3.3. SSH キーシークレットの作成
リンクのコピー

Azure の SSH キー secret オブジェクトを作成する必要があります。

手順

OpenShift Container Platform クラスターにログインします。
次のコマンドを実行して、SSH キーペアを生成します。
```
ssh-keygen -f ./id_rsa -N ""
```
```
$ ssh-keygen -f ./id_rsa -N ""
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行して Secret オブジェクトを作成します。

oc create secret generic ssh-key-secret \
    -n openshift-sandboxed-containers-operator \
    --from-file=id_rsa.pub=./id_rsa.pub \
    --from-file=id_rsa=./id_rsa

$ oc create secret generic ssh-key-secret \
    -n openshift-sandboxed-containers-operator \
    --from-file=id_rsa.pub=./id_rsa.pub \
    --from-file=id_rsa=./id_rsa

Copy to Clipboard

Toggle word wrap

SSH キーシークレットが作成されます。

作成した SSH 鍵を削除します。
```
shred -remove id_rsa.pub id_rsa
```
```
$ shred -remove id_rsa.pub id_rsa
```
Copy to Clipboard Toggle word wrap

3.2.3.4. KataConfig カスタムリソースの作成
リンクのコピー

ワーカーノードに kata-remote をランタイムクラスとしてインストールするには、KataConfig カスタムリソース (CR) を作成する必要があります。

KataConfig CR を作成すると、OpenShift Sandboxed Containers Operator がトリガーされ、以下が実行されます。

デフォルト設定で kata-remote という名前の RuntimeClass CR を作成します。これにより、RuntimeClassName フィールドの CR を参照して、kata-remote をランタイムとして使用するようにワークロードを設定できるようになります。この CR は、ランタイムのリソースオーバーヘッドも指定します。

重要

KataConfig CR を作成すると、ワーカーノードが自動的に再起動します。再起動には 10 分から 60 分以上かかる場合があります。再起動時間を妨げる要因は次のとおりです。

より多くのワーカーノードを持つ大規模な OpenShift Container Platform デプロイメント。
BIOS および診断ユーティリティーが有効である。
SSD ではなくハードディスクドライブにデプロイしている。
仮想ノードではなく、ベアメタルなどの物理ノードにデプロイしている。
CPU とネットワークが遅い。

前提条件

cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。

手順

次の例に従って cluster-kataconfig.yaml マニフェストファイルを作成します。

apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: cluster-kataconfig
spec:
  enablePeerPods: true
  logLevel: info

apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: cluster-kataconfig
spec:
  enablePeerPods: true
  logLevel: info

Copy to Clipboard

Toggle word wrap

オプション: 選択したノードに kata-remote をインストールするには、次の例に従ってノードラベルを指定します。

apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: cluster-kataconfig
spec:
  kataConfigPoolSelector:
    matchLabels:
      <label_key>: '<label_value>' 
# ...

apiVersion: kataconfiguration.openshift.io/v1
kind: KataConfig
metadata:
  name: cluster-kataconfig
spec:
  kataConfigPoolSelector:
    matchLabels:
      <label_key>: '<label_value>'


# ...

Copy to Clipboard

Toggle word wrap

1: 選択したノードのラベルを指定します。

KataConfig CR を作成します。
```
oc create -f cluster-kataconfig.yaml
```
```
$ oc create -f cluster-kataconfig.yaml
```
Copy to Clipboard Toggle word wrap
新しい KataConfig CR が作成され、ワーカーノードに kata-remote がランタイムクラスとしてインストールされます。
インストールを確認する前に、kata-remote のインストールが完了し、ワーカーノードが再起動するまで待ちます。

検証

次のコマンドを実行して、インストールの進行状況を監視します。
```
watch "oc describe kataconfig | sed -n /^Status:/,/^Events/p"
```
```
$ watch "oc describe kataconfig | sed -n /^Status:/,/^Events/p"
```
Copy to Clipboard Toggle word wrap
kataNodes の下にあるすべてのワーカーのステータスが installed で、理由を指定せずに InProgress の条件が False の場合、kata はクラスターにインストールされます。

詳細は、KataConfig ステータスメッセージを参照してください。

3.2.3.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

手順

ピア Pod 用に作成した config map を取得します。

oc get configmap peer-pods-cm -n openshift-sandboxed-containers-operator -o yaml

$ oc get configmap peer-pods-cm -n openshift-sandboxed-containers-operator -o yaml

Copy to Clipboard

Toggle word wrap

YAML ファイルの status スタンザを確認します。
AZURE_IMAGE_ID パラメーターが入力されている場合は、Pod 仮想マシンイメージが正常に作成されています。

トラブルシューティング

次のコマンドを実行してイベントログを取得します。

oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

$ oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、ジョブログを取得します。

oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

$ oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

Copy to Clipboard

Toggle word wrap

問題を解決できない場合は、Red Hat サポートケースを送信し、両方のログの出力を添付してください。

3.2.3.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

peerpodConfig カスタムリソース (CR) を編集することで、ノードあたりのピア Pod 仮想マシン (VM) の制限を変更できます。

手順

次のコマンドを実行して、現在の制限を確認します。

oc get peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
-o jsonpath='{.spec.limit}{"\n"}'

$ oc get peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
-o jsonpath='{.spec.limit}{"\n"}'

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、peerpodConfig CR の limit 属性を変更します。

oc patch peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
--type merge --patch '{"spec":{"limit":"<value>"}}'

$ oc patch peerpodconfig peerpodconfig-openshift -n openshift-sandboxed-containers-operator \
--type merge --patch '{"spec":{"limit":"<value>"}}'

Copy to Clipboard

Toggle word wrap

1: <value> は、定義する制限に置き換えます。

3.2.3.6. ワークロードオブジェクトの設定
リンクのコピー

Pod オブジェクト
ReplicaSet オブジェクト
ReplicationController オブジェクト
StatefulSet オブジェクト
Deployment オブジェクト
DeploymentConfig オブジェクト

重要

ワークロードを openshift-sandboxed-containers-operator namespace にデプロイしないでください。これらのリソース専用の namespace を作成します。

前提条件

プロバイダーのシークレットオブジェクトを作成している。
プロバイダーの config map を作成している。
KataConfig カスタムリソース (CR) を作成している。

手順

次の例のように、各 Pod テンプレート化されたワークロードオブジェクトのマニフェストに spec.runtimeClassName: kata-remote を追加します。
```
apiVersion: v1
kind: <object>
# ...
spec:
  runtimeClassName: kata-remote
# ...
```
```
apiVersion: v1
kind: <object>
# ...
spec:
  runtimeClassName: kata-remote
# ...
```
Copy to Clipboard Toggle word wrap
手動で定義されたインスタンスサイズまたは自動インスタンスサイズを使用するには、Pod テンプレートオブジェクトにアノテーションを追加します。
- 手動で定義されたインスタンスサイズを使用するには、次のアノテーションを追加します。
  apiVersion: v1 kind: <object> metadata: annotations: io.katacontainers.config.hypervisor.machine_type: Standard_B2als_v2
  1
  # ...
  Copy to Clipboard Toggle word wrap
  1
  config map で定義したインスタンスサイズを指定します。
- 自動インスタンスサイズを使用するには、次のアノテーションを追加します。
  apiVersion: v1 kind: <Pod> metadata: annotations: io.katacontainers.config.hypervisor.default_vcpus: <vcpus> io.katacontainers.config.hypervisor.default_memory: <memory> # ...
  Copy to Clipboard Toggle word wrap
  ワークロードが使用できるメモリーの量を定義します。ワークロードは、使用可能なメモリーの量に基づいて自動インスタンスサイズで実行されます。
次のコマンドを実行して、変更をワークロードオブジェクトに適用します。
```
oc apply -f <object.yaml>
```
```
$ oc apply -f <object.yaml>
```
Copy to Clipboard Toggle word wrap
OpenShift Container Platform はワークロードオブジェクトを作成し、スケジュールを開始します。

検証

Pod テンプレートオブジェクトの spec.runtimeClassName フィールドを検査します。値が kata-remote の場合、ワークロードはピア Pod を使用して OpenShift Sandboxed Containers で実行されています。

トップに戻る

3.2. Azure へのワークロードのデプロイ

3.2.1. 環境の準備
リンクのコピー

3.2.1.1. リソース要件
リンクのコピー

3.2.1.2. OpenShift Sandboxed Containers Operator のインストール
リンクのコピー

3.2.1.2.1. Web コンソールを使用した Operator のインストール
リンクのコピー

3.2.1.2.2. CLI を使用した Operator のインストール
リンクのコピー

3.2.2. Web コンソールを使用したワークロードのデプロイ
リンクのコピー

3.2.2.1. シークレットの作成
リンクのコピー

3.2.2.2. config map の作成
リンクのコピー

3.2.2.3. SSH キーシークレットの作成
リンクのコピー

3.2.2.4. KataConfig カスタムリソースの作成
リンクのコピー

3.2.2.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

3.2.2.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

3.2.2.6. ワークロードオブジェクトの設定
リンクのコピー

3.2.3. コマンドラインを使用したワークロードの展開
リンクのコピー

3.2.3.1. シークレットの作成
リンクのコピー

3.2.3.2. config map の作成
リンクのコピー

3.2.3.3. SSH キーシークレットの作成
リンクのコピー

3.2.3.4. KataConfig カスタムリソースの作成
リンクのコピー

3.2.3.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

3.2.3.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

3.2.3.6. ワークロードオブジェクトの設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.2. Azure へのワークロードのデプロイ

3.2.1. 環境の準備リンクのコピーリンクがクリップボードにコピーされました!

3.2.1.1. リソース要件リンクのコピーリンクがクリップボードにコピーされました!

3.2.1.2. OpenShift Sandboxed Containers Operator のインストールリンクのコピーリンクがクリップボードにコピーされました!

3.2.1.2.1. Web コンソールを使用した Operator のインストールリンクのコピーリンクがクリップボードにコピーされました!

3.2.1.2.2. CLI を使用した Operator のインストールリンクのコピーリンクがクリップボードにコピーされました!

3.2.2. Web コンソールを使用したワークロードのデプロイリンクのコピーリンクがクリップボードにコピーされました!

3.2.2.1. シークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.2. config map の作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.3. SSH キーシークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.4. KataConfig カスタムリソースの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.4.1. オプション: Pod 仮想マシンイメージの検証リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更リンクのコピーリンクがクリップボードにコピーされました!

3.2.2.6. ワークロードオブジェクトの設定リンクのコピーリンクがクリップボードにコピーされました!

3.2.3. コマンドラインを使用したワークロードの展開リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.1. シークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.2. config map の作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.3. SSH キーシークレットの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.4. KataConfig カスタムリソースの作成リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.4.1. オプション: Pod 仮想マシンイメージの検証リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更リンクのコピーリンクがクリップボードにコピーされました!

3.2.3.6. ワークロードオブジェクトの設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.2.1. 環境の準備
リンクのコピー

3.2.1.1. リソース要件
リンクのコピー

3.2.1.2. OpenShift Sandboxed Containers Operator のインストール
リンクのコピー

3.2.1.2.1. Web コンソールを使用した Operator のインストール
リンクのコピー

3.2.1.2.2. CLI を使用した Operator のインストール
リンクのコピー

3.2.2. Web コンソールを使用したワークロードのデプロイ
リンクのコピー

3.2.2.1. シークレットの作成
リンクのコピー

3.2.2.2. config map の作成
リンクのコピー

3.2.2.3. SSH キーシークレットの作成
リンクのコピー

3.2.2.4. KataConfig カスタムリソースの作成
リンクのコピー

3.2.2.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

3.2.2.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

3.2.2.6. ワークロードオブジェクトの設定
リンクのコピー

3.2.3. コマンドラインを使用したワークロードの展開
リンクのコピー

3.2.3.1. シークレットの作成
リンクのコピー

3.2.3.2. config map の作成
リンクのコピー

3.2.3.3. SSH キーシークレットの作成
リンクのコピー

3.2.3.4. KataConfig カスタムリソースの作成
リンクのコピー

3.2.3.4.1. オプション: Pod 仮想マシンイメージの検証
リンクのコピー

3.2.3.5. オプション: ノードあたりのピア Pod 仮想マシン数の変更
リンクのコピー

3.2.3.6. ワークロードオブジェクトの設定
リンクのコピー