3.2. Web コンソールを使用した OpenShift Sandboxed Containers のデプロイ

手順

1. Web コンソールで、Operators OperatorHub に移動します。
2. Filter by keyword フィールドに OpenShift sandboxed containers と入力します。
3. OpenShift sandboxed containers Operator タイルを選択し、Install をクリックします。
4. Install Operator ページで、利用可能な Update Channel オプションの一覧から stable を選択します。

5. Installed Namespace で Operator recommended Namespace が選択されていることを確認します。これにより、Operator が必須の openshift-sandboxed-containers-operator namespace にインストールされます。この namespace がまだ存在しない場合は、自動的に作成されます。

   注記

   OpenShift Sandboxed Containers Operator を openshift-sandboxed-containers-operator 以外の namespace にインストールしようとすると、インストールに失敗します。

6. Approval Strategy で Automatic が選択されていることを確認します。Automatic がデフォルト値であり、新しい z-stream リリースが利用可能になると、OpenShift Sandboxed Containers への自動更新が有効になります。
7. Install をクリックします。
8. Operator Installed Operator に移動して、Operator がインストールされていることを確認します。

手順

1. OpenShift Container Platform クラスターにログインし、インスタンス ID を取得します。

   $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' \
     -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

   Copy to Clipboard

2. AWS リージョンを取得します。

   $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}')

   Copy to Clipboard

3. セキュリティーグループ ID を取得し、配列に保存します。

   $ AWS_SG_IDS=($(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} \
     --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' \
     --output text --region $AWS_REGION))

   Copy to Clipboard

4. 各セキュリティーグループ ID について、ピア Pod シムが kata-agent 通信にアクセスできるように承認し、ピア Pod トンネルを設定します。

   $ for AWS_SG_ID in "${AWS_SG_IDS[@]}"; do \
     aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 15150 --source-group $AWS_SG_ID --region $AWS_REGION \
     aws ec2 authorize-security-group-ingress --group-id $AWS_SG_ID --protocol tcp --port 9000 --source-group $AWS_SG_ID --region $AWS_REGION \
   done

   Copy to Clipboard

手順

1. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
2. OpenShift sandboxed containers Operator タイルをクリックします。
3. 右上隅のインポートアイコン (+) をクリックします。

4. Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

   apiVersion: v1
   kind: Secret
   metadata:
     name: peer-pods-secret
     namespace: openshift-sandboxed-containers-operator
   type: Opaque
   stringData:
     AWS_ACCESS_KEY_ID: "<aws_access_key>" 

   1

   
     AWS_SECRET_ACCESS_KEY: "<aws_secret_access_key>" 

   2

   Copy to Clipboard

   1

   AWS_ACCESS_KEY_ID 値を指定します。

   2

   AWS_SECRET_ACCESS_KEY 値を指定します。

5. Save をクリックして変更を適用します。
6. Workloads Secrets に移動して、ピア Pod シークレットを確認します。

手順

1. AWS インスタンスから以下の値を取得します。

   1. インスタンス ID を取得して記録します。

      $ INSTANCE_ID=$(oc get nodes -l 'node-role.kubernetes.io/worker' -o jsonpath='{.items[0].spec.providerID}' | sed 's#[^ ]*/##g')

      Copy to Clipboard

      これは、シークレットオブジェクトの他の値を取得するために使用されます。

   2. AWS リージョンを取得して記録します。

      $ AWS_REGION=$(oc get infrastructure/cluster -o jsonpath='{.status.platformStatus.aws.region}') && echo "AWS_REGION: \"$AWS_REGION\""

      Copy to Clipboard

   3. AWS サブネット ID を取得して記録します。

      $ AWS_SUBNET_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SubnetId' --region ${AWS_REGION} --output text) && echo "AWS_SUBNET_ID: \"$AWS_SUBNET_ID\""

      Copy to Clipboard

   4. AWS VPC ID を取得して記録します。

      $ AWS_VPC_ID=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].VpcId' --region ${AWS_REGION} --output text) && echo "AWS_VPC_ID: \"$AWS_VPC_ID\""

      Copy to Clipboard

   5. AWS セキュリティーグループ ID を取得して記録します。

      $ AWS_SG_IDS=$(aws ec2 describe-instances --instance-ids ${INSTANCE_ID} --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' --region  $AWS_REGION --output json | jq -r '.[][][]' | paste -sd ",") && echo "AWS_SG_IDS: \"$AWS_SG_IDS\""

      Copy to Clipboard
2. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
3. Operator のリストから OpenShift Sandboxed Containers Operator を選択します。
4. 右上隅にあるインポートアイコン (+) をクリックします。

5. Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: peer-pods-cm
     namespace: openshift-sandboxed-containers-operator
   data:
     CLOUD_PROVIDER: "aws"
     VXLAN_PORT: "9000"
     PODVM_INSTANCE_TYPE: "t3.medium" 

   1

   
     PODVM_INSTANCE_TYPES: "t2.small,t2.medium,t3.large" 

   2

   
     PROXY_TIMEOUT: "5m"
     PODVM_AMI_ID: "<podvm_ami_id>" 

   3

   
     AWS_REGION: "<aws_region>" 

   4

   
     AWS_SUBNET_ID: "<aws_subnet_id>" 

   5

   
     AWS_VPC_ID: "<aws_vpc_id>" 

   6

   
     AWS_SG_IDS: "<aws_sg_ids>" 

   7

   
     PEERPODS_LIMIT_PER_NODE: "10" 

   8

   
     TAGS: "key1=value1,key2=value2" 

   9

   
     DISABLECVM: "true"

   Copy to Clipboard

   1

   ワークロードでタイプが定義されていない場合に使用されるデフォルトのインスタンスタイプを定義します。

   2

   Pod の作成時に指定できるすべてのインスタンスタイプを一覧表示します。これにより、メモリーと CPU をあまり必要としないワークロードには小さいインスタンスタイプを定義したり、ワークロードが大きい場合は大きいインスタンスタイプを定義したりすることができます。

   3

   オプション: デフォルトでは、この値は、クラスターの認証情報に基づく AMI ID を使用して KataConfig CR を実行するときに入力されます。独自の AMI を作成する場合は、正しい AMI ID を指定します。

   4

   取得した AWS_REGION 値を指定します。

   5

   取得した AWS_SUBNET_ID 値を指定します。

   6

   取得した AWS_VPC_ID 値を指定します。

   7

   取得した AWS_SG_IDS 値を指定します。

   8

   ノードごとに作成できるピア Pod の最大数を指定します。デフォルト値は 10 です。

   9

   Pod 仮想マシンインスタンスの key:value ペアとしてカスタムタグを設定して、ピア Pod のコストを追跡したり、異なるクラスター内のピア Pod を識別したりできます。

6. Save をクリックして変更を適用します。
7. 新しい config map を表示するには、Workloads ConfigMaps に移動します。

手順

1. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
2. Operator のリストから OpenShift Sandboxed Containers Operator を選択します。
3. 右上隅にあるインポートアイコン (+) をクリックします。

4. Import YAML ウィンドウに、次の YAML マニフェストを貼り付けます。

   apiVersion: v1
   kind: Pod
   metadata:
     name: pod-manifest
     annotations:
       io.katacontainers.config.hypervisor.image: "<custom_image_id>" 

   1

   
   spec:
     runtimeClassName: kata-remote 

   2

   
     containers:
     - name: <example_container> 

   3

   
       image: registry.access.redhat.com/ubi9/ubi:9.3
       command: ["sleep", "36000"]

   Copy to Clipboard
5. Save をクリックして変更を適用します。

手順

1. カスタムポリシーを含む policy.rego ファイルを作成します。次の例では、デモ用に exec と log を有効にした、設定可能なすべての API を示しています。

   package agent_policy
   
   import future.keywords.in
   import input
   
   default CopyFileRequest := false
   default CreateContainerRequest := false
   default CreateSandboxRequest := true
   default DestroySandboxRequest := true
   default ExecProcessRequest := true  # Enabled to allow exec API
   default GetOOMEventRequest := true
   default GuestDetailsRequest := true
   default OnlineCPUMemRequest := true
   default PullImageRequest := true
   default ReadStreamRequest := true   # Enabled to allow log API
   default RemoveContainerRequest := true
   default RemoveStaleVirtiofsShareMountsRequest := true
   default SignalProcessRequest := true
   default StartContainerRequest := true
   default StatsContainerRequest := true
   default TtyWinResizeRequest := true
   default UpdateEphemeralMountsRequest := true
   default UpdateInterfaceRequest := true
   default UpdateRoutesRequest := true
   default WaitProcessRequest := true
   default WriteStreamRequest := false

   Copy to Clipboard

   このポリシーは、exec (ExecProcessRequest) および log (ReadStreamRequest) API を有効にします。必要に応じて、true または false の値を調整してポリシーをさらにカスタマイズします。

2. 次のコマンドを実行して、policy.rego ファイルを Base64 でエンコードされた文字列に変換します。

   $ base64 -w0 policy.rego

   Copy to Clipboard

   yaml ファイルで使用するために出力を保存します。

3. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
4. Operator のリストから OpenShift Sandboxed Containers Operator を選択します。
5. 右上隅にあるインポートアイコン (+) をクリックします。

6. Import YAML ウィンドウで、次の YAML マニフェストを貼り付け、Base64 でエンコードされたポリシーを追加します。

   apiVersion: v1
   kind: Pod
   metadata:
     name: <pod_name>
     annotations:
       io.katacontainers.config.agent.policy: <base64_encoded_policy>
   spec:
     runtimeClassName: kata-remote
     containers:
     - name: <container_name>
       image: registry.access.redhat.com/ubi9/ubi:latest
       command:
       - sleep
       - "36000"
       securityContext:
         privileged: false
         seccompProfile:
           type: RuntimeDefault

   Copy to Clipboard
7. Save をクリックして変更を適用します。

手順

1. OpenShift Container Platform Web コンソールで、Operators Installed Operators に移動します。
2. OpenShift sandboxed containers Operator を選択します。
3. KataConfig タブで、Create KataConfig をクリックします。

4. 以下の詳細を入力します。

   • Name: オプション: デフォルト名は example-kataconfig です。
   • Labels: オプション: 関連する識別属性を KataConfig リソースに入力します。各ラベルはキーと値のペアを表します。
   • enablePeerPods: パブリッククラウド、IBM Z®、および IBM® LinuxONE デプロイメントの場合に選択します。

   • kataConfigPoolSelector。オプション: 選択したノードに kata-remote をインストールするには、選択したノードのラベルに一致する式を追加します。

     1. kataConfigPoolSelector エリアを展開します。
     2. kataConfigPoolSelector エリアで、matchExpressions を展開します。これは、ラベルセレクターの要件のリストです。
     3. Add matchExpressions をクリックします。
     4. Key フィールドに、セレクターの適用先のラベルキーを入力します。
     5. Operator フィールドに、キーとラベル値の関係を入力します。有効な演算子は、In、NotIn、Exists、DoesNotExist です。
     6. Values エリアを展開し、Add value をクリックします。
     7. Value フィールドで、true または false を key ラベル値として入力します。
   • logLevel: ランタイムクラスが kata-remote のノードに対して取得されるログデータのレベルを定義します。

5. Create をクリックします。KataConfig CR が作成され、ワーカーノードに kata-remote ランタイムクラスをインストールします。

   インストールを確認する前に、kata-remote のインストールが完了し、ワーカーノードが再起動するまで待ちます。

検証

1. KataConfig タブで、KataConfig CR をクリックして詳細を表示します。

2. YAML タブをクリックして status スタンザを表示します。

   status スタンザには、conditions および kataNodes キーが含まれています。status.kataNodes の値はノード配列であり、各ノードには kata-remote インストールの特定の状態にあるノードがリストされます。更新があるたびにメッセージが表示されます。

3. Reload をクリックして、YAML を更新します。

   status.kataNodes 配列内のすべてのワーカーに、値 installed と、理由が指定されていない conditions.InProgress: False が表示される場合、kata-remote はクラスターにインストールされています。

手順

1. Workloads ConfigMaps に移動します。
2. プロバイダー config map をクリックすると、詳細が表示されます。
3. YAML タブをクリックします。

4. YAML ファイルの status スタンザを確認します。

   PODVM_AMI_ID パラメーターが入力されている場合は、Pod 仮想マシンイメージが正常に作成されています。

トラブルシューティング

1. 次のコマンドを実行してイベントログを取得します。

   $ oc get events -n openshift-sandboxed-containers-operator --field-selector involvedObject.name=osc-podvm-image-creation

   Copy to Clipboard

2. 次のコマンドを実行して、ジョブログを取得します。

   $ oc logs -n openshift-sandboxed-containers-operator jobs/osc-podvm-image-creation

   Copy to Clipboard

手順

1. OpenShift Container Platform Web コンソールで、Workloads workload type (例: Pods) に移動します。
2. ワークロードタイプページで、オブジェクトをクリックして詳細を表示します。
3. YAML タブをクリックします。

4. 次の例のように、各 Pod テンプレート化されたワークロードオブジェクトのマニフェストに spec.runtimeClassName: kata-remote を追加します。

   apiVersion: v1
   kind: <object>
   # ...
   spec:
     runtimeClassName: kata-remote
   # ...

   Copy to Clipboard

5. 手動で定義されたインスタンスタイプまたは自動インスタンスタイプを使用するには、Pod テンプレートオブジェクトにアノテーションを追加します。

   • 手動で定義されたインスタンスタイプを使用するには、次のアノテーションを追加します。

     apiVersion: v1
     kind: <object>
     metadata:
       annotations:
         io.katacontainers.config.hypervisor.machine_type: "t3.medium" 

     1

     
     # ...

     Copy to Clipboard

     1 1

     config map で定義したインスタンスタイプを指定します。

   • 自動インスタンスタイプを使用するには、次のアノテーションを追加します。

     apiVersion: v1
     kind: <Pod>
     metadata:
       annotations:
         io.katacontainers.config.hypervisor.default_vcpus: <vcpus>
         io.katacontainers.config.hypervisor.default_memory: <memory>
     # ...

     Copy to Clipboard

     ワークロードが使用できるメモリーの量を定義します。ワークロードは、使用可能なメモリーの量に基づいて自動インスタンスタイプで実行されます。

6. Save をクリックして変更を適用します。

   OpenShift Container Platform はワークロードオブジェクトを作成し、スケジュールを開始します。