3.2. Web コンソールを使用した OpenShift Sandboxed Containers のデプロイ

手順

1. Web コンソールで、Operators OperatorHub に移動します。
2. Filter by keyword フィールドに OpenShift sandboxed containers と入力します。
3. OpenShift sandboxed containers Operator タイルを選択し、Install をクリックします。
4. Install Operator ページで、利用可能な Update Channel オプションの一覧から stable を選択します。

5. Installed Namespace で Operator recommend Namespace が選択されていることを確認します。これにより、Operator が必須の openshift-sandboxed-containers-operator namespace にインストールされます。この namespace がまだ存在しない場合は、自動的に作成されます。

   注記

   OpenShift Sandboxed Containers Operator を openshift-sandboxed-containers-operator 以外の namespace にインストールしようとすると、インストールに失敗します。

6. Approval Strategy で Automatic が選択されていることを確認します。Automatic がデフォルト値であり、新しい z-stream リリースが利用可能になると、OpenShift Sandboxed Containers への自動更新が有効になります。
7. Install をクリックします。
8. Operator Installed Operator に移動して、Operator がインストールされていることを確認します。

手順

1. OpenShift Container Platform クラスターにログインし、インスタンス ID を取得します。

   $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' \
     -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

2. AWS リージョンを取得します。

   $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}')

3. セキュリティーグループ ID を取得し、配列に保存します。

   $ AWS_SG_IDS=($(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} \
     --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' \
     --output text --region $AWS_REGION))

4. 各セキュリティーグループ ID について、ピア Pod シムが kata-agent 通信にアクセスできるように承認し、ピア Pod トンネルを設定します。

   $ for AWS_SG_ID in "${AWS_SG_IDS[@]}"; do \
     aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 15150 --source-group $AWS_SG_ID --region $AWS_REGION \
     aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 9000 --source-group $AWS_SG_ID --region $AWS_REGION \
   done

手順

1. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
2. OpenShift sandboxed containers Operator タイルをクリックします。
3. 右上隅のインポートアイコン (+) をクリックします。

4. Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

   apiVersion: v1
   kind: Secret
   metadata:
     name: peer-pods-secret
     namespace: openshift-sandboxed-containers-operator
   type: Opaque
   stringData:
     AWS_ACCESS_KEY_ID: "<aws_access_key>" 1
     AWS_SECRET_ACCESS_KEY: "<aws_secret_access_key>" 2

   1

   AWS_ACCESS_KEY_ID 値を指定します。

   2

   AWS_SECRET_ACCESS_KEY 値を指定します。

5. Save をクリックして変更を適用します。
6. Workloads Secrets に移動して、ピア Pod シークレットを確認します。

手順

1. AWS インスタンスから以下の値を取得します。

   1. インスタンス ID を取得して記録します。

      $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

      これは、シークレットオブジェクトの他の値を取得するために使用されます。

   2. AWS リージョンを取得して記録します。

      $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}') && echo "AWS_REGION: \"$AWS_REGION\""

   3. AWS サブネット ID を取得して記録します。

      $ AWS_SUBNET_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SubnetId' --region ${AWS_REGION} --output text) && echo "AWS_SUBNET_ID: \"$AWS_SUBNET_ID\""

   4. AWS VPC ID を取得して記録します。

      $ AWS_VPC_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].VpcId' --region ${AWS_REGION} --output text) && echo "AWS_VPC_ID: \"$AWS_VPC_ID\""

   5. AWS セキュリティーグループ ID を取得して記録します。

      $ AWS_SG_IDS=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' --region  $AWS_REGION --output json | jq -r '.[][][]' | paste -sd ",") && echo "AWS_SG_IDS: \"$AWS_SG_IDS\""

2. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
3. Operator のリストから OpenShift Sandboxed Containers Operator を選択します。
4. 右上隅にあるインポートアイコン (+) をクリックします。

5. Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: peer-pods-cm
     namespace: openshift-sandboxed-containers-operator
   data:
     CLOUD_PROVIDER: "aws"
     VXLAN_PORT: "9000"
     PODVM_INSTANCE_TYPE: "t3.medium" 1
     PODVM_INSTANCE_TYPES: "t2.small,t2.medium,t3.large" 2
     PROXY_TIMEOUT: "5m"
     PODVM_AMI_ID: "<podvm_ami_id>" 3
     AWS_REGION: "<aws_region>" 4
     AWS_SUBNET_ID: "<aws_subnet_id>" 5
     AWS_VPC_ID: "<aws_vpc_id>" 6
     AWS_SG_IDS: "<aws_sg_ids>" 7
     DISABLECVM: "true"

   1

   ワークロードでタイプが定義されていない場合に使用されるデフォルトのインスタンスタイプを定義します。

   2

   Pod の作成時に指定できるすべてのインスタンスタイプを一覧表示します。これにより、メモリーと CPU をあまり必要としないワークロードには小さいインスタンスタイプを定義したり、ワークロードが大きい場合は大きいインスタンスタイプを定義したりすることができます。

   3

   オプション: デフォルトでは、この値は、クラスターの認証情報に基づく AMI ID を使用して KataConfig CR を実行するときに入力されます。独自の AMI を作成する場合は、正しい AMI ID を指定します。

   4

   取得した AWS_REGION 値を指定します。

   5

   取得した AWS_SUBNET_ID 値を指定します。

   6

   取得した AWS_VPC_ID 値を指定します。

   7

   取得した AWS_SG_IDS 値を指定します。

6. Save をクリックして変更を適用します。
7. 新しい config map を表示するには、Workloads ConfigMaps に移動します。

手順

1. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
2. OpenShift sandboxed containers Operator を選択します。
3. KataConfig タブで、Create KataConfig をクリックします。

4. 以下の詳細を入力します。

   • Name: オプション: デフォルト名は example-kataconfig です。
   • Labels: オプション: 関連する識別属性を KataConfig リソースに入力します。各ラベルはキーと値のペアを表します。
   • enablePeerPods: パブリッククラウド、IBM Z®、および IBM® LinuxONE デプロイメントの場合に選択します。

   • kataConfigPoolSelector。オプション: 選択したノードに kata-remote をインストールするには、選択したノードのラベルに一致する式を追加します。

     1. kataConfigPoolSelector エリアを展開します。
     2. kataConfigPoolSelector エリアで、matchExpressions を展開します。これは、ラベルセレクターの要件のリストです。
     3. Add matchExpressions をクリックします。
     4. Key フィールドに、セレクターの適用先のラベルキーを入力します。
     5. Operator フィールドに、キーとラベル値の関係を入力します。有効な演算子は、In、NotIn、Exists、DoesNotExist です。
     6. Values エリアを展開し、Add value をクリックします。
     7. Value フィールドで、true または false を key ラベル値として入力します。
   • logLevel: ランタイムクラスが kata-remote のノードに対して取得されるログデータのレベルを定義します。

5. Create をクリックします。KataConfig CR が作成され、ワーカーノードに kata-remote ランタイムクラスをインストールします。

   インストールを確認する前に、kata-remote のインストールが完了し、ワーカーノードが再起動するまで待ちます。

検証

1. KataConfig タブで、KataConfig CR をクリックして詳細を表示します。

2. YAML タブをクリックして status スタンザを表示します。

   status スタンザには、conditions および kataNodes キーが含まれています。status.kataNodes の値はノード配列であり、各ノードには kata-remote インストールの特定の状態にあるノードがリストされます。更新があるたびにメッセージが表示されます。

3. Reload をクリックして、YAML を更新します。

   status.kataNodes 配列内のすべてのワーカーに、値 installed と、理由が指定されていない conditions.InProgress: False が表示される場合、kata-remote はクラスターにインストールされています。

手順

1. Workloads ConfigMaps に移動します。
2. プロバイダー config map をクリックすると、詳細が表示されます。
3. YAML タブをクリックします。

4. YAML ファイルの status スタンザを確認します。

   PODVM_AMI_ID パラメーターが入力されている場合は、Pod 仮想マシンイメージが正常に作成されています。

トラブルシューティング

1. 次のコマンドを実行してイベントログを取得します。

   $ oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

2. 次のコマンドを実行して、ジョブログを取得します。

   $ oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

手順

1. OpenShift Container Platform Web コンソールで、Workloads workload type (例: Pods) に移動します。
2. ワークロードタイプページで、オブジェクトをクリックして詳細を表示します。
3. YAML タブをクリックします。

4. 次の例のように、各 Pod テンプレート化されたワークロードオブジェクトのマニフェストに spec.runtimeClassName: kata-remote を追加します。

   apiVersion: v1
   kind: <object>
   # ...
   spec:
     runtimeClassName: kata-remote
   # ...

5. 手動で定義されたインスタンスタイプまたは自動インスタンスタイプを使用するには、Pod テンプレートオブジェクトにアノテーションを追加します。

   • 手動で定義されたインスタンスタイプを使用するには、次のアノテーションを追加します。

     apiVersion: v1
     kind: <object>
     metadata:
       annotations:
         io.katacontainers.config.hypervisor.machine_type: "t3.medium" 1
     # ...

     1

     config map で定義したインスタンスタイプを指定します。

   • 自動インスタンスタイプを使用するには、次のアノテーションを追加します。

     apiVersion: v1
     kind: <Pod>
     metadata:
       annotations:
         io.katacontainers.config.hypervisor.default_vcpus: <vcpus>
         io.katacontainers.config.hypervisor.default_memory: <memory>
     # ...

     ワークロードが使用できるメモリーの量を定義します。ワークロードは、使用可能なメモリーの量に基づいて自動インスタンスタイプで実行されます。

6. Save をクリックして変更を適用します。

   OpenShift Container Platform はワークロードオブジェクトを作成し、スケジュールを開始します。