Google Cloud を使用した OpenShift Data Foundation のデプロイおよび管理

手順

1. OpenShift Web コンソールにログインします。
2. Operators → OperatorHub をクリックします。
3. スクロールするか、OpenShift Data Foundation を Filter by keyword ボックスに入力し、OpenShift Data Foundation Operator を検索します。
4. Install をクリックします。

5. Install Operator ページで、以下のオプションを設定します。

   1. Channel を stable-4.13 として更新します。
   2. Installation Mode オプションに A specific namespace on the cluster を選択します。
   3. Installed Namespace に Operator recommended namespace openshift-storage を選択します。namespace openshift-storage が存在しない場合は、Operator のインストール時に作成されます。

   4. 承認ストラテジー を Automatic または Manual として選択します。

      Automatic (自動) 更新を選択すると、Operator Lifecycle Manager (OLM) は介入なしに、Operator の実行中のインスタンスを自動的にアップグレードします。

      Manual 更新を選択すると、OLM は更新要求を作成します。クラスター管理者は、Operator を新しいバージョンに更新できるように更新要求を手動で承認する必要があります。

   5. Console プラグイン に Enable オプションが選択されていることを確認します。
   6. Install をクリックします。

手順

1. Vault で Key/Value (KV) バックエンドパスを有効にします。

   Vault KV シークレットエンジン API の場合は、バージョン 1 です。

   $ vault secrets enable -path=odf kv

   Copy to Clipboard Toggle word wrap

   Vault KV シークレットエンジン API の場合は、バージョン 2 を使用します。

   $ vault secrets enable -path=odf kv-v2

   Copy to Clipboard Toggle word wrap

2. シークレットに対して書き込み操作または削除操作を実行するようにユーザーを制限するポリシーを作成します。

   echo '
   path "odf/*" {
     capabilities = ["create", "read", "update", "delete", "list"]
   }
   path "sys/mounts" {
   capabilities = ["read"]
   }'| vault policy write odf -

   Copy to Clipboard Toggle word wrap

3. 上記のポリシーに一致するトークンを作成します。

   $ vault token create -policy=odf -format json

   Copy to Clipboard Toggle word wrap

手順

1. サービスアカウントを作成します。

   $ oc -n openshift-storage create serviceaccount <serviceaccount_name>

   Copy to Clipboard Toggle word wrap

   ここで、<serviceaccount_name> はサービスアカウントの名前を指定します。

   以下に例を示します。

   $ oc -n openshift-storage create serviceaccount odf-vault-auth

   Copy to Clipboard Toggle word wrap

2. clusterrolebindings と clusterroles を作成します。

   $ oc -n openshift-storage create clusterrolebinding vault-tokenreview-binding --clusterrole=system:auth-delegator --serviceaccount=openshift-storage:_<serviceaccount_name>_

   Copy to Clipboard Toggle word wrap

   以下に例を示します。

   $ oc -n openshift-storage create clusterrolebinding vault-tokenreview-binding --clusterrole=system:auth-delegator --serviceaccount=openshift-storage:odf-vault-auth

   Copy to Clipboard Toggle word wrap

3. serviceaccount トークンおよび CA 証明書のシークレットを作成します。

   $ cat <<EOF | oc create -f -
   apiVersion: v1
   kind: Secret
   metadata:
     name: odf-vault-auth-token
     namespace: openshift-storage
     annotations:
       kubernetes.io/service-account.name: <serviceaccount_name>
   type: kubernetes.io/service-account-token
   data: {}
   EOF

   Copy to Clipboard Toggle word wrap

   ここで、<serviceaccount_name> は、前の手順で作成したサービスアカウントです。

4. シークレットからトークンと CA 証明書を取得します。

   $ SA_JWT_TOKEN=$(oc -n openshift-storage get secret odf-vault-auth-token -o jsonpath="{.data['token']}" | base64 --decode; echo)
   $ SA_CA_CRT=$(oc -n openshift-storage get secret odf-vault-auth-token -o jsonpath="{.data['ca\.crt']}" | base64 --decode; echo)

   Copy to Clipboard Toggle word wrap

5. OCP クラスターエンドポイントを取得します。

   $ OCP_HOST=$(oc config view --minify --flatten -o jsonpath="{.clusters[0].cluster.server}")

   Copy to Clipboard Toggle word wrap

6. サービスアカウントの発行者を取得します。

   $ oc proxy &
   $ proxy_pid=$!
   $ issuer="$( curl --silent http://127.0.0.1:8001/.well-known/openid-configuration | jq -r .issuer)"
   $ kill $proxy_pid

   Copy to Clipboard Toggle word wrap

7. 前の手順で収集した情報を使用して、Vault で Kubernetes 認証方法を設定します。

   $ vault auth enable kubernetes

   Copy to Clipboard Toggle word wrap

   $ vault write auth/kubernetes/config \
             token_reviewer_jwt="$SA_JWT_TOKEN" \
             kubernetes_host="$OCP_HOST" \
             kubernetes_ca_cert="$SA_CA_CRT" \
             issuer="$issuer"

   Copy to Clipboard Toggle word wrap
   重要

   発行者が空の場合は Vault で Kubernetes 認証方法を設定します。

   $ vault write auth/kubernetes/config \
             token_reviewer_jwt="$SA_JWT_TOKEN" \
             kubernetes_host="$OCP_HOST" \
             kubernetes_ca_cert="$SA_CA_CRT"

   Copy to Clipboard Toggle word wrap

8. Vault で Key/Value (KV) バックエンドパスを有効にします。

   Vault KV シークレットエンジン API の場合は、バージョン 1 を使用します。

   $ vault secrets enable -path=odf kv

   Copy to Clipboard Toggle word wrap

   Vault KV シークレットエンジン API の場合は、バージョン 2 を使用します。

   $ vault secrets enable -path=odf kv-v2

   Copy to Clipboard Toggle word wrap

9. シークレットに対して write または delete 操作を実行するようにユーザーを制限するポリシーを作成します。

   echo '
   path "odf/*" {
     capabilities = ["create", "read", "update", "delete", "list"]
   }
   path "sys/mounts" {
   capabilities = ["read"]
   }'| vault policy write odf -

   Copy to Clipboard Toggle word wrap

10. ロールを作成します。

    $ vault write auth/kubernetes/role/odf-rook-ceph-op \
            bound_service_account_names=rook-ceph-system,rook-ceph-osd,noobaa \
            bound_service_account_namespaces=openshift-storage \
            policies=odf \
            ttl=1440h

    Copy to Clipboard Toggle word wrap

    ロール odf-rook-ceph-op は、後でストレージシステムの作成中に KMS 接続の詳細を設定するときに使用されます。

    $ vault write auth/kubernetes/role/odf-rook-ceph-osd \
            bound_service_account_names=rook-ceph-osd \
            bound_service_account_namespaces=openshift-storage \
            policies=odf \
            ttl=1440h

    Copy to Clipboard Toggle word wrap

手順

1. OpenShift Web コンソールで、Operators → Installed Operators をクリックし、インストールされた Operator を表示します。

   選択された Project が openshift-storage であることを確認します。

2. OpenShift Data Foundation Operator をクリックした後、Create StorageSystem をクリックします。

3. Backing storage ページで、以下を選択します。

   1. Deployment type オプションで Full Deployment を選択します。
   2. Use an existing StorageClass オプションを選択します。

   3. Storage Class を選択します。

      デフォルトでは、standard に設定されています。ただし、パフォーマンスを向上させるために SSD ベースのディスクを使用するようにストレージクラスを作成している場合は、ストレージクラスを選択する必要があります。

   4. Next をクリックします。

4. Capacity and nodes ページで、必要な情報を提供します。

   1. ドロップダウンリストから Requested Capacity の値を選択します。デフォルトで、これは 2 TiB に設定されます。

      注記

      初期ストレージ容量を選択すると、クラスターの拡張は、選択された使用可能な容量を使用してのみ実行されます (raw ストレージの 3 倍)。

   2. Select Nodes セクションで、少なくとも 3 つの利用可能なノードを選択します。

   3. オプション: 選択したノードを OpenShift Data Foundation 専用にする場合は、Taint nodes チェックボックスを選択します。

      複数のアベイラビリティーゾーンを持つクラウドプラットフォームの場合は、ノードが異なる場所/アベイラビリティーゾーンに分散されていることを確認します。

      選択したノードが集約された 30 CPU および 72 GiB の RAM の OpenShift Data Foundation クラスターの要件と一致しない場合は、最小クラスターがデプロイされます。ノードの最小要件については、プランニング ガイドの リソース要件 セクションを参照してください。

   4. Next をクリックします。

5. オプション: Security and network ページで、要件に応じて以下を設定します。

   1. 暗号化を有効にするには、Enable data encryption for block and file storage を選択します。

      1. 暗号化レベルのいずれかまたは両方を選択します。

         • クラスター全体の暗号化

           クラスター全体を暗号化します (ブロックおよびファイル)。

         • StorageClass の暗号化

           暗号化対応のストレージクラスを使用して、暗号化された永続ボリューム (ブロックのみ) を作成します。

      2. オプション: Connect to an external key management service チェックボックスを選択します。これはクラスター全体の暗号化の場合はオプションになります。

         1. Key Management Service Provider ドロップダウンリストから、Vault または Thales CipherTrust Manager (using KMIP) を選択します。Vault を選択した場合は、次の手順に進みます。Thales CipherTrust Manager (using KMIP) を選択した場合は、手順 iii に進みます。

         2. Authentication Method を選択します。

            トークン認証方式の使用

            • Vault ('https://<hostname or ip>') サーバーの一意の Connection Name、ホストの Address、Port 番号および Token を入力します。

            • Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

              • OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
              • オプション: TLS Server Name および Vault Enterprise Namespace を入力します。
              • PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA Certificate、Client Certificate、および Client Private Key を指定します。
              • Save をクリックして、手順 iv に進みます。

            Kubernetes 認証方式の使用

            • Vault ('https://<hostname or ip>') サーバーの一意の Connection Name、ホストの Address、Port 番号、および Role 名を入力します。

            • Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

              • OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
              • 該当する場合は、TLS Server Name および Authentication Path を入力します。
              • PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA Certificate、Client Certificate、および Client Private Key を指定します。
              • Save をクリックして、手順 iv に進みます。

         3. Thales CipherTrust Manager (using KMIP) を KMS プロバイダーとして使用するには、次の手順に従います。

            1. プロジェクト内のキー管理サービスの一意の Connection Name を入力します。

            2. Address および Port セクションで、Thales CipherTrust Manager の IP と、KMIP インターフェイスが有効になっているポートを入力します。以下に例を示します。

               • Address: 123.34.3.2
               • Port: 5696
            3. Client Certificate、CA certificate、および Client Private Key をアップロードします。
            4. StorageClass 暗号化が有効になっている場合は、上記で生成された暗号化および復号化に使用する一意の識別子を入力します。
            5. TLS Server フィールドはオプションであり、KMIP エンドポイントの DNS エントリーがない場合に使用します。たとえば、kmip_all_<port>.ciphertrustmanager.local などです。
         4. Network を選択します。
         5. Next をクリックします。

   2. 転送中の暗号化を有効にするには、In-transit encryption を選択します。

      1. Network を選択します。
      2. Next をクリックします。

6. Review and create ページで、設定の詳細を確認します。

   設定を変更するには、Back をクリックします。

7. Create StorageSystem をクリックします。

手順

1. OpenShift Web コンソールにログインします。
2. Operators → OperatorHub をクリックします。
3. スクロールするか、OpenShift Data Foundation を Filter by keyword ボックスに入力し、OpenShift Data Foundation Operator を検索します。
4. Install をクリックします。

5. Install Operator ページで、以下のオプションを設定します。

   1. Channel を stable-4.13 として更新します。
   2. Installation Mode オプションに A specific namespace on the cluster を選択します。
   3. Installed Namespace に Operator recommended namespace openshift-storage を選択します。namespace openshift-storage が存在しない場合は、Operator のインストール時に作成されます。

   4. 承認ストラテジー を Automatic または Manual として選択します。

      Automatic (自動) 更新を選択すると、Operator Lifecycle Manager (OLM) は介入なしに、Operator の実行中のインスタンスを自動的にアップグレードします。

      Manual 更新を選択すると、OLM は更新要求を作成します。クラスター管理者は、Operator を新しいバージョンに更新できるように更新要求を手動で承認する必要があります。

   5. Console プラグイン に Enable オプションが選択されていることを確認します。
   6. Install をクリックします。

手順

1. OpenShift Web コンソールで、Operators → Installed Operators をクリックし、インストールされた Operator を表示します。

   選択された Project が openshift-storage であることを確認します。

2. OpenShift Data Foundation Operator をクリックした後、Create StorageSystem をクリックします。

3. Backing storage ページで、以下を選択します。

   1. Deployment type の Multicloud Object Gateway を選択します。
   2. Use an existing StorageClass オプションを選択します。
   3. Next をクリックします。

4. オプション: Connect to an external key management service チェックボックスを選択します。これはクラスター全体の暗号化の場合はオプションになります。

   1. Key Management Service Provider ドロップダウンリストから、Vault または Thales CipherTrust Manager (using KMIP) を選択します。Vault を選択した場合は、次の手順に進みます。Thales CipherTrust Manager (using KMIP) を選択した場合は、手順 iii に進みます。

   2. Authentication Method を選択します。

      トークン認証方式の使用

      • Vault ('https://<hostname or ip>') サーバーの一意の Connection Name、ホストの Address、Port 番号および Token を入力します。

      • Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

        • OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
        • オプション: TLS Server Name および Vault Enterprise Namespace を入力します。
        • PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA Certificate、Client Certificate、および Client Private Key を指定します。
        • Save をクリックして、手順 iv に進みます。

      Kubernetes 認証方式の使用

      • Vault ('https://<hostname or ip>') サーバーの一意の Connection Name、ホストの Address、Port 番号、および Role 名を入力します。

      • Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

        • OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
        • 該当する場合は、TLS Server Name および Authentication Path を入力します。
        • PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA Certificate、Client Certificate、および Client Private Key を指定します。
        • Save をクリックして、手順 iv に進みます。

   3. Thales CipherTrust Manager (using KMIP) を KMS プロバイダーとして使用するには、次の手順に従います。

      1. プロジェクト内のキー管理サービスの一意の Connection Name を入力します。

      2. Address および Port セクションで、Thales CipherTrust Manager の IP と、KMIP インターフェイスが有効になっているポートを入力します。以下に例を示します。

         • Address: 123.34.3.2
         • Port: 5696
      3. Client Certificate、CA certificate、および Client Private Key をアップロードします。
      4. StorageClass 暗号化が有効になっている場合は、上記で生成された暗号化および復号化に使用する一意の識別子を入力します。
      5. TLS Server フィールドはオプションであり、KMIP エンドポイントの DNS エントリーがない場合に使用します。たとえば、kmip_all_<port>.ciphertrustmanager.local などです。
   4. Network を選択します。
   5. Next をクリックします。

5. Review and create ページで、設定の詳細を確認します。

   設定を変更するには、Back をクリックします。

6. Create StorageSystem をクリックします。

手順

1. Storage → StorageClasses をクリックします。
2. Create Storage Class をクリックします。
3. ストレージクラスの Name および Description を入力します。

4. Reclaim Policy は、デフォルトオプションとして Delete に設定されています。この設定を使用します。

   回収ポリシーをストレージクラスで Retain に変更すると、永続ボリューム要求 (PVC) を削除した後でも、永続ボリューム (PV) はReleased状態のままになります。

5. ボリュームバインディングモードは、デフォルトオプションとしてWaitForConsumerに設定されています。

   Immediate オプションを選択すると、PVC の作成時に PV がすぐに作成されます。

6. 永続ボリュームをプロビジョニングするためのプラグインとして、RBD または CephFS Provisioner を選択します。

7. 一覧から既存の ストレージプール を選択するか、新規プールを作成します。

   注記

   双方向レプリケーションデータ保護ポリシーは、デフォルト以外の RBD プールでのみサポートされます。追加のプールを作成することで双方向レプリケーションを使用できます。replica 2 プールのデータの可用性と整合性に関する考慮事項は、ナレッジベースのカスタマーソリューション記事 を参照してください。

   新規プールの作成

   1. Create New Pool をクリックします。
   2. Pool name を入力します。
   3. Data Protection Policy として 2-way-Replication または 3-way-Replication を選択します。

   4. データを圧縮する必要がある場合は、Enable compression を選択します。

      圧縮を有効にするとアプリケーションのパフォーマンスに影響がある可能性があり、書き込まれるデータがすでに圧縮または暗号化されている場合は効果的ではない可能性があります。圧縮を有効にする前に書き込まれたデータは圧縮されません。

   5. Create をクリックして新規ストレージプールを作成します。
   6. プールの作成後に Finish をクリックします。

8. オプション: Enable Encryption のチェックボックスを選択します。
9. Create をクリックしてストレージクラスを作成します。

手順

1. OpenShift Web コンソールで、Storage → Storage Classes に移動します。
2. Create Storage Class をクリックします。
3. ストレージクラスの Name および Description を入力します。
4. Reclaim Policy について Delete または Retain のいずれかを選択します。デフォルトでは、Delete が選択されます。
5. Immediate または WaitForFirstConsumer を Volume binding モード として選択します。WaitForConsumer はデフォルトオプションとして設定されます。
6. 永続ボリュームをプロビジョニングするために使用されるプラグインである RBD Provisioner openshift-storage.rbd.csi.ceph.com を選択します。
7. ボリュームデータが保存される Storage Pool をリストから選択するか、新規プールを作成します。

8. Enable encryption チェックボックスを選択します。KMS 接続の詳細を設定するオプションは 2 つあります。

   • 既存の KMS 接続の選択: ドロップダウンリストから既存の KMS 接続を選択します。このリストは、csi-kms-connection-details ConfigMap で利用可能な接続の詳細から設定されます。

     1. ドロップダウンから Provider を選択します。
     2. リストから特定のプロバイダーの Key service を選択します。

   • Create new KMS connection: これは、vaulttoken と Thales CipherTrust Manager (using KMIP) にのみ適用されます。

     1. Key Management Service Provider を選択します。

     2. Key Management Service Provider として Vault が選択されている場合は、次の手順に従います。

        1. Vault サーバーの一意の 接続名、ホスト アドレス、ポート番号および トークン を入力します。

        2. Advanced Settings をデプロイメントして、Vault 設定に基づいて追加の設定および証明書の詳細を入力します。

           1. OpenShift Data Foundation 専用かつ特有のキーと値のシークレットパスを Backend Path に入力します。
           2. オプション: TLS Server Name および Vault Enterprise Namespace を入力します。
           3. PEM でエンコードされた、該当の証明書ファイルをアップロードし、CA Certificate、Client Certificate、および Client Private Key を指定します。
           4. Save をクリックします。

     3. Key Management Service Provider として Thales CipherTrust Manager (using KMIP) が選択されている場合は、次の手順に従います。

        1. 一意の Connection Name を入力します。
        2. Address および Port セクションで、Thales CipherTrust Manager の IP と、KMIP インターフェイスが有効になっているポートを入力します。たとえば、Address: 123.34.3.2、Port: 5696 などです。
        3. Client Certificate、CA certificate、および Client Private Key をアップロードします。
        4. 上記で生成された暗号化および復号化に使用する鍵の Unique Identifier を入力します。
        5. TLS Server フィールドはオプションであり、KMIP エンドポイントの DNS エントリーがない場合に使用します。たとえば、kmip_all_<port>.ciphertrustmanager.local などです。
     4. Save をクリックします。
     5. Create をクリックします。

9. HashiCorp Vault 設定により、バックエンドパスによって使用されるキー/値 (KV) シークレットエンジン API バージョンの自動検出が許可されない場合は、ConfigMap を編集して vaultBackend パラメーターを追加します。

   注記

   vaultBackend は、バックエンドパスに関連付けられた KV シークレットエンジン API のバージョンを指定するために configmap に追加されるオプションのパラメーターです。値がバックエンドパスに設定されている KV シークレットエンジン API バージョンと一致していることを確認します。一致しない場合には、永続ボリューム要求 (PVC) の作成時に失敗する可能性があります。

   1. 新規に作成されたストレージクラスによって使用されている encryptionKMSID を特定します。

      1. OpenShift Web コンソールで、Storage → Storage Classes に移動します。
      2. Storage class 名 → YAML タブをクリックします。

      3. ストレージクラスによって使用されている encryptionKMSID を取得します。

         以下に例を示します。

         encryptionKMSID: 1-vault

         Copy to Clipboard Toggle word wrap
   2. OpenShift Web コンソールで Workloads → ConfigMaps に移動します。
   3. KMS 接続の詳細を表示するには、csi-kms-connection-details をクリックします。

   4. ConfigMap を編集します。

      1. アクションメニュー (⋮) → Edit ConfigMap をクリックします。

      2. 以前に特定した encryptionKMSID に設定されるバックエンドに応じて、vaultBackend パラメーターを追加します。

         KV シークレットエンジン API バージョン 1 の場合は kv を、KV シークレットエンジン API バージョン 2 の場合は kv-v2 を、それぞれ割り当てることができます。

         以下に例を示します。

          kind: ConfigMap
          apiVersion: v1
          metadata:
            name: csi-kms-connection-details
          [...]
          data:
            1-vault: |-
              {
                "encryptionKMSType": "vaulttokens",
                "kmsServiceName": "1-vault",
                [...]
                "vaultBackend": "kv-v2"
              }
            2-vault: |-
              {
                "encryptionKMSType": "vaulttenantsa",
                [...]
                "vaultBackend": "kv"
              }

         Copy to Clipboard Toggle word wrap
      3. 保存をクリックします。

手順

1. 使用するイメージレジストリーの Persistent Volume Claim(永続ボリューム要求、PVC) を作成します。

   1. OpenShift Web コンソールで、Storage → Persistent Volume Claims をクリックします。
   2. Project を openshift-image-registry に設定します。

   3. Create Persistent Volume Claim をクリックします。

      1. 上記で取得した利用可能なストレージクラスリストから、プロビジョナー openshift-storage.cephfs.csi.ceph.com で Storage Class を指定します。
      2. Persistent Volume Claim(永続ボリューム要求、PVC) の Name を指定します (例: ocs4registry)。
      3. Shared Access (RWX) の Access Mode を指定します。
      4. 100 GB 以上の Size を指定します。

      5. Create をクリックします。

         新規 Persistent Volume Claim(永続ボリューム要求、PVC) のステータスが Bound としてリスト表示されるまで待機します。

2. クラスターのイメージレジストリーを、新規の Persistent Volume Claim(永続ボリューム要求、PVC) を使用するように設定します。

   1. Administration → Custom Resource Definitions をクリックします。
   2. imageregistry.operator.openshift.io グループに関連付けられた Config カスタムリソース定義をクリックします。
   3. Instances タブをクリックします。
   4. クラスターインスタンスの横にある Action メニュー (⋮) → Edit Config をクリックします。

   5. イメージレジストリーの新規 Persistent Volume Claim(永続ボリューム要求、PVC) を追加します。

      1. 以下を spec: の下に追加し、必要に応じて既存の storage: セクションを置き換えます。

           storage:
             pvc:
               claim: <new-pvc-name>

         Copy to Clipboard Toggle word wrap

         以下に例を示します。

           storage:
             pvc:
               claim: ocs4registry

         Copy to Clipboard Toggle word wrap
      2. Save をクリックします。

3. 新しい設定が使用されていることを確認します。

   1. Workloads → Pods をクリックします。
   2. Project を openshift-image-registry に設定します。
   3. 新規 image-registry-* Pod が Running のステータスと共に表示され、以前の image-registry-* Pod が終了していることを確認します。
   4. 新規の image-registry-* Pod をクリックし、Pod の詳細を表示します。
   5. Volumes までスクロールダウンし、registry-storage ボリュームに新規 Persistent Volume Claim (永続ボリューム要求、PVC) に一致する Type があることを確認します (例: ocs4registry)。

手順

1. OpenShift Web コンソールで、Workloads → Config Maps に移動します。
2. Project ドロップダウンを openshift-monitoring に設定します。
3. Create Config Map をクリックします。

4. 以下の例を使用して新規の cluster-monitoring-config Config Map を定義します。

   山括弧 (<, >) 内の内容を独自の値に置き換えます (例: retention: 24h または storage: 40Gi)。

   storageClassName、をプロビジョナー openshift-storage.rbd.csi.ceph.com を使用する storageclass に置き換えます。以下の例では、storageclass の名前は ocs-storagecluster-ceph-rbd です。

   cluster-monitoring-config Config Map の例

   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: cluster-monitoring-config
     namespace: openshift-monitoring
   data:
     config.yaml: |
         prometheusK8s:
           retention: <time to retain monitoring files, e.g. 24h>
           volumeClaimTemplate:
             metadata:
               name: ocs-prometheus-claim
             spec:
               storageClassName: ocs-storagecluster-ceph-rbd
               resources:
                 requests:
                   storage: <size of claim, e.g. 40Gi>
         alertmanagerMain:
           volumeClaimTemplate:
             metadata:
               name: ocs-alertmanager-claim
             spec:
               storageClassName: ocs-storagecluster-ceph-rbd
               resources:
                 requests:
                   storage: <size of claim, e.g. 40Gi>

   Copy to Clipboard Toggle word wrap

5. Create をクリックして、Config Map を保存し、作成します。

検証手順

1. Persistent Volume Claim (永続ボリューム要求、PVC) が Pod にバインドされていることを確認します。

   1. Storage → Persistent Volume Claims に移動します。
   2. Project ドロップダウンを openshift-monitoring に設定します。

   3. 5 つの Persistent Volume Claim(永続ボリューム要求、PVC) が Bound (バインド) の状態で表示され、3 つの alertmanager-main-* Pod および 2 つの prometheus-k8s-* Pod に割り当てられていることを確認します。

      図7.1 作成済みのバインドされているストレージのモニタリング

      

      View larger image

      

2. 新規の alertmanager-main-* Pod が Running 状態で表示されることを確認します。

   1. Workloads → Pods に移動します。
   2. 新規の alertmanager-main-* Pod をクリックし、Pod の詳細を表示します。

   3. Volumes にスクロールダウンし、ボリュームに新規 Persistent Volume Claim(永続ボリューム要求、PVC) のいずれかに一致する Type ocs-alertmanager-claim があることを確認します (例: ocs-alertmanager-claim-alertmanager-main-0)。

      図7.2 alertmanager-main-* Pod に割り当てられた Persistent Volume Claim(永続ボリューム要求、PVC)

      

      View larger image

      

3. 新規 prometheus-k8s-* Pod が Running 状態で表示されることを確認します。

   1. 新規 prometheus-k8s-* Pod をクリックし、Pod の詳細を表示します。

   2. Volumes までスクロールダウンし、ボリュームに新規の Persistent Volume Claim (永続ボリューム要求、PVC) のいずれかに一致する Type ocs-prometheus-claim があることを確認します (例: ocs-prometheus-claim-prometheus-k8s-0)。

      図7.3 prometheus-k8s-* Pod に割り当てられた Persistent Volume Claim(永続ボリューム要求、PVC)

      

      View larger image

      

手順

1. OpenShift Web Console で、Compute → Nodes をクリックし、テイントする必要のあるノードを選択します。
2. Details ページで、Edit taints をクリックします。
3. Key <node.openshift.ocs.io/storage>、Value <true>、および Effect<Noschedule> フィールドに値を入力します。
4. Save をクリックします。

手順

1. OpenShift Web コンソールにログインします。
2. Operators → Installed Operators をクリックします。
3. OpenShift Data Foundation Operator をクリックします。

4. Storage Systems タブをクリックします。

   1. ストレージシステム名の右側にある Action Menu (⋮) をクリックし、オプションメニューを拡張します。
   2. オプションメニューから Add Capacity を選択します。

   3. Storage Class を選択します。新しいストレージデバイスのプロビジョニングに使用するストレージクラスを選択します。

      HDD を使用するデフォルトのストレージクラスを使用している場合は、ストレージクラスを standard に設定します。ただし、パフォーマンスを向上させるために SSD ベースのディスクを使用するようにストレージクラスを作成している場合は、ストレージクラスを選択する必要があります。

      Raw Capacity フィールドには、ストレージクラスの作成時に設定されるサイズが表示されます。OpenShift Data Foundation はレプリカ数 3 を使用するため、消費されるストレージの合計量はこの量の 3 倍になります。

   4. Add をクリックします。
5. ステータスを確認するには、Storage → Data Foundation に移動し、Status カードの Storage System に緑色のチェックマークが表示されていることを確認します。

手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Backing Store タブをクリックします。
3. Create Backing Store をクリックします。

4. Create New Backing Store ページで、以下を実行します。

   1. Backing Store Name を入力します。
   2. Provider を選択します。
   3. Region を選択します。
   4. Endpoint を入力します。これは任意です。

   5. ドロップダウンリストから Secret を選択するか、独自のシークレットを作成します。オプションで、Switch to Credentials ビューを選択すると、必要なシークレットを入力できます。

      OCP シークレットの作成に関する詳細は、Openshift Container Platform ドキュメントのCreating the secretを参照してください。

      バッキングストアごとに異なるシークレットが必要です。特定のバッキングストアのシークレット作成についての詳細は 「MCG コマンドラインインターフェイスを使用したハイブリッドまたはマルチクラウドのストレージリソースの追加」 を参照して、YAML を使用したストレージリソースの追加についての手順を実行します。

      注記

      このメニューは、Google Cloud およびローカル PVC 以外のすべてのプロバイダーに関連します。

   6. Target bucket を入力します。ターゲットバケットは、リモートクラウドサービスでホストされるコンテナーストレージです。MCG に対してシステム用にこのバケットを使用できることを通知する接続を作成できます。
5. Create Backing Store をクリックします。

検証手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Backing Store タブをクリックして、すべてのバッキングストアを表示します。

手順

1. MCG コマンドラインインターフェイスから、以下のコマンドを実行します。

   注記

   このコマンドは、openshift-storage namespace 内から実行する必要があります。

   noobaa backingstore create s3-compatible rgw-resource --access-key=<RGW ACCESS KEY> --secret-key=<RGW SECRET KEY> --target-bucket=<bucket-name> --endpoint=<RGW endpoint> -n openshift-storage

   Copy to Clipboard Toggle word wrap

   1. <RGW ACCESS KEY> および <RGW SECRET KEY> を取得するには、RGW ユーザーシークレット名を使用して以下のコマンドを実行します。

      oc get secret <RGW USER SECRET NAME> -o yaml -n openshift-storage

      Copy to Clipboard Toggle word wrap
   2. Base64 からアクセスキー ID とアクセスキーをデコードし、それらのキーを保持します。
   3. <RGW USER ACCESS KEY> と <RGW USER SECRET ACCESS KEY> を、直前の手順でデコードした適切なデータに置き換えます。
   4. <bucket-name> を既存の RGW バケット名に置き換えます。この引数は、MCG に対して、バッキングストア、およびその後のデータストレージおよび管理のためのターゲットバケットとして使用するバケットについて指示します。

   5. <RGW endpoint> を取得するには、RADOS Object Gateway S3 エンドポイントへのアクセス を参照してください。

      出力は次のようになります。

      INFO[0001] ✅ Exists: NooBaa "noobaa"
      INFO[0002] ✅ Created: BackingStore "rgw-resource"
      INFO[0002] ✅ Created: Secret "backing-store-secret-rgw-resource"

      Copy to Clipboard Toggle word wrap

1. CephObjectStore ユーザーを作成します。これにより、RGW 認証情報が含まれるシークレットも作成されます。

   apiVersion: ceph.rook.io/v1
   kind: CephObjectStoreUser
   metadata:
     name: <RGW-Username>
     namespace: openshift-storage
   spec:
     store: ocs-storagecluster-cephobjectstore
     displayName: "<Display-name>"

   Copy to Clipboard Toggle word wrap
   1. <RGW-Username> と <Display-name> を、一意のユーザー名および表示名に置き換えます。

2. 以下の YAML を S3 と互換性のあるバッキングストアについて適用します。

   apiVersion: noobaa.io/v1alpha1
   kind: BackingStore
   metadata:
     finalizers:
     - noobaa.io/finalizer
     labels:
       app: noobaa
     name: <backingstore-name>
     namespace: openshift-storage
   spec:
     s3Compatible:
       endpoint: <RGW endpoint>
       secret:
         name: <backingstore-secret-name>
         namespace: openshift-storage
       signatureVersion: v4
       targetBucket: <RGW-bucket-name>
     type: s3-compatible

   Copy to Clipboard Toggle word wrap
   1. <backingstore-secret-name> を、直前の手順で CephObjectStore で作成したシークレットの名前に置き換えます。
   2. <bucket-name> を既存の RGW バケット名に置き換えます。この引数は、MCG に対して、バッキングストア、およびその後のデータストレージおよび管理のためのターゲットバケットとして使用するバケットについて指示します。
   3. <RGW endpoint> を取得するには、RADOS Object Gateway S3 エンドポイントへのアクセス を参照してください。

手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Storage Systems タブでストレージシステムを選択し、Overview → Object タブをクリックします。
3. Multicloud Object Gateway のリンクをクリックします。

1. 以下に強調表示されているように左側にある Resources タブを選択します。設定するリストから、Add Cloud Resource を選択します。

   

   View larger image

   

2. Add new connection を選択します。

   

   View larger image

   

3. 関連するネイティブクラウドプロバイダーまたは S3 互換オプションを選択し、詳細を入力します。

   

   View larger image

   

4. 新規に作成された接続を選択し、これを既存バケットにマップします。

   

   View larger image

   
5. これらの手順を繰り返して、必要な数のバッキングストアを作成します。

手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Bucket Class タブをクリックします。
3. Create Bucket Class をクリックします。

4. Create new Bucket Class ページで、以下を実行します。

   1. バケットクラスターイプを選択し、バケットクラス名を入力します。

      1. BucketClass タイプを選択します。以下のいずれかのオプションを選択します。

         • Standard: データは Multicloud Object Gateway (MCG) に使用され、重複排除、圧縮、および暗号化されます。

         • Namespace: データは、重複排除、圧縮、または暗号化を実行せずに NamespaceStores に保存されます。

           デフォルトでは、Standard が選択されます。

      2. Bucket Class Name 名を入力します。
      3. Next をクリックします。

   2. Placement Policy で Tier 1 - Policy Type を選択し、Next をクリックします。要件に応じて、いずれかのオプションを選択できます。

      • Spread により、選択したリソース全体にデータを分散できます。
      • Mirror により、選択したリソース全体でデータを完全に複製できます。
      • Add Tier をクリックし、別のポリシー階層を追加します。

   3. Tier 1 - Policy Type で Spread を選択した場合は、利用可能なリストから 1 つ以上の Backing Store リソースを選択してから、Next をクリックします。また、新しいバッキングストアの作成 することも可能です。

      注記

      直前の手順で Policy Type に Mirror を選択する場合は、2 つ以上のバッキングストアを選択する必要があります。

   4. Bucket Class 設定を確認し、確認します。
   5. Create Bucket Class をクリックします。

検証手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Bucket Class タブをクリックし、新しい Bucket Class を検索します。

手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Bucket Class タブをクリックします。
3. 編集する Bucket クラスの横にあるアクションメニュー (⋮) をクリックします。
4. Edit Bucket Class をクリックします。
5. YAML ファイルにリダイレクトされ、このファイルで必要な変更を加え、Save をクリックします。

手順

1. OpenShift Web コンソールで、Storage → Data Foundation をクリックします。
2. Bucket Class タブをクリックします。

3. 編集する Bucket クラスの横にあるアクションメニュー (⋮) をクリックします。

   

   View larger image

   
4. Edit Bucket Class Resources をクリックします。

5. Edit Bucket Class Resources ページで、バッキングストアをバケットクラスに追加するか、バケットクラスからバッキングストアを削除してバケットクラスリソースを編集します。1 つまたは 2 つの層を使用して作成されたバケットクラスリソースや、異なる配置ポリシーが指定されたバケットクラスリソースを編集することもできます。

   • バッキングストアをバケットクラスに追加するには、バッキングストアの名前を選択します。

   • バケットクラスからバッキングストアを削除するには、バッキングストアの名前を消去します。

     

     View larger image

     
6. Save をクリックします。