ホーム
製品
Red Hat OpenShift Service on AWS
4
ROSA GovCloud の使用を開始する

ROSA GovCloud の使用を開始する

Red Hat OpenShift Service on AWS 4

GovCloud を使用したクラスターおよびアカウントの設定

Red Hat OpenShift Documentation Team

概要

本書では、Red Hat OpenShift Service on AWS (ROSA) GovCloud の使用を開始する方法を説明します。

第1章 AWS GovCloud での Red Hat OpenShift Service on AWS の使用開始
リンクのコピー

このサービスは、連邦機関および政府機関、または政府の契約をサポートする商用機関と連邦情報セキュリティーモードアナリティクス(FISMA)による使用、またはプロポーザル(RFP)のプレボーングの要求(RFI)のプレビッドステージの要求などで使用されます。

AWS GovCloud の Red Hat OpenShift Service on AWS には、以下の要件があります。

Red Hat OpenShift Service on AWS FedRAMP は、既存の VPC にのみデプロイできます。VPC の設定手順は、AWS PrivateLink ユースケースの Amazon VPC アーキテクチャーの作成を参照してください。
AWS GovCloud の Red Hat OpenShift Service on AWS は、AWS STS 認証情報方法の使用のみをサポートします。
Red Hat OpenShift Service on AWS の AWS GovCloud は、プロセス暗号化ライブラリーで FIPS (Federal Information Processing Standards)検証済みモジュールのみを使用します。
AWS GovCloud の Red Hat OpenShift Service on AWS では、商用リージョンに Red Hat Service on AWS クラスター用の既存の Red Hat アカウントがすでにある場合でも、FedRAMP で使用するために別の Red Hat アカウントが必要です。
- クラスターの作成、変更、または削除を行う必要のある各ユーザーには、独自の Red Hat FedRAMP アカウントが必要です。
- 既存のクラスターにアクセスするために、そのクラスターにアクセスするには、Red Hat FedRAMP アカウントは必要ありません。
Red Hat FedRAMP アカウントを使用して、複数の AWS GovCloud アカウントにデプロイすることができます。

1.1. Red Hat FedRAMP アカウントのサインアップ
リンクのコピー

AWS GovCloud で Red Hat OpenShift Service on AWS にアクセスするには、Red Hat FedRAMP アカウントにサインアップする必要があります。

手順

https://console.redhat.com/openshift/create/rosa/govcloud に移動します。
アクセスリクエストフォームに入力します。
Submit をクリックしてサインアップします。
送信確認 が表示されます。

Red Hat のご確認済みサポートチームは、以下の情報について電子メールでご連絡します。

組織名、管理者名、姓、および管理者 の 電子メールを含める管理者 の詳細。
次の 2 つのオプションのいずれかから FedRAMP Hybrid Cloud Console への ユーザー認証 オプション。
- 承認されたデバイス でマルチファクター認証(MFA)を設定する必要がある、Red Hat 管理対象 Keycloak インスタンスのローカルグループ。
  注記
  現在受け入れられているデバイス YubiKEY 5C NFC FIPS のみ。
- OpenID Connect (OIDC)を介して統合された、顧客管理のアイデンティティープロバイダー(IdP) です。ここでは、以下を提供する必要があります。
  - Discovery Endpoint: IdP の OIDC 検出 URL （通常は /.well-known/openid-configurationで終わる）。これにより、Keycloak は IdP の設定の大部分を自動的にフェッチできます。
  - クライアント ID およびシークレット： Keycloak が顧客の IdP で認証できるようにする認証情報。
  - Email domain (s): 承認されたメールドメインのリスト。これらのドメインのいずれかからのメールアドレスを持つユーザーのみがログインできます。
  - 重要なクレーム： アクセスを付与するために IdP からのユーザーのトークンに存在する必要がある特定のキーと値のペア（例： rh-approved": "true"）。
    この設定では、FIPS 140-2 で検証された MFA を実装する責任を負うことになります。

第2章 Red Hat OpenShift Service on AWS GovCloud アカウントの管理
リンクのコピー

FedRAMP アカウントにアクセスできたら、必要に応じて認証情報を管理できます。

2.1. Red Hat FedRAMP アカウントのパスワードを変更する
リンクのコピー

FedRAMP アカウントのパスワードを変更するには、Red Hat FedRAMP アカウントにアクセスできる必要があります。

手順

https://sso.openshiftusgov.com/realms/redhat-external/account に移動します。
現在のユーザー名とパスワードを使用してログインします。
Account Security という中間ボックスで、Signing In をクリックします。
Basic 認証 の下で Password を選択します。
Update をクリックして、以下の要件を満たすパスワードを選択します。
- fifteen (15)の最小文字数
- 少なくとも 1 (1)の大文字
- 少なくとも 1 (1)の小文字
- 少なくとも 1 つの(1)番号
- 少なくとも 1 つの(1)特殊文字（例：~ ! @ # $ % ^ & *（）_ + = - ' [ ] / ? > <）
パスワードを確認します。
Submit をクリックします。

2.2. サポートチケットの作成
リンクのコピー

サポートチケットを開くには、以下を完了してください。

手順

アカウントを作成する必要がある場合は、fedramp-css@openshiftusgov.com までお問い合わせください。
アクセスを付与したら、https://redhatgov.servicenowservices.com/css に移動します。
ケースの作成 をクリックして、必要な情報を完了します。
Submit をクリックします。

第3章 AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのインストール
リンクのコピー

AWS GovCloud で Red Hat OpenShift Service on AWS クラスターをインストールするには、以下を行う必要があります。

AWS GovCloud にアクセスするための要件を満たします。
AWS GovCloud での Red Hat OpenShift Service on AWS のスタートガイドの手順を実行します。
- AWS GovCloud での Red Hat OpenShift Service on AWS へのアクセスの準備
- Red Hat FedRAMP アカウントにサインアップします。

3.1. AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのデプロイの準備
リンクのコピー

Red Hat OpenShift Service on AWS クラスターを AWS GovCloud にデプロイするには、Red Hat FedRAMP アカウントにログインする必要があります。

前提条件

AWS CLI が GovCloud を使用するように設定している。
政府の地域にログインしている。

手順

https://console.openshiftusgov.com/openshift/token に移動します。
トークンと共に画面が表示される Red Hat FedRAMP アカウントの認証情報を使用してログインします。
次のステップのためにトークンをコピーします。

端末で以下を行います。

rosa login を実行して、コピーしたトークンを貼り付けてサービスにログインします。
```
$ rosa login --govcloud --token=<TOKEN>
```
注記
AWS CLI 設定によっては、政府リージョンを-- region us-gov-west-1 などのコマンド文字列の最後に追加する必要がある場合があります。

rosa whoami を実行して、すべての情報が正しく AWS Gov リージョンを使用し、OCM API がhttps://api.openshiftusgov.com”であることを確認します。

$ rosa whoami

出力例

AWS ARN:                                 arn:aws-us-gov:iam::00000000000:user/rosa-gov-user
AWS Account ID:                       00000000000
AWS Default Region:                 us-gov-east-1
OCM API:                                   https://api.openshiftusgov.com
OCM Account Email:                  rosa-gov-user@redhat.com
OCM Account ID:                       3ZXXXXXXXXXXXXXXXXXXXXXXXXX
OCM Account Name:                 Rosa Gov
OCM Account Username:          rosa-gov-user
OCM Organization External ID:  rosa-gov-user
OCM Organization ID:                3ZXXXXXXXXXXXXXXXXXXXXXXXXX
OCM Organization Name:          rosa-gov-user

Red Hat OpenShift Service on AWS がデプロイされる VPC を作成する必要があります。VPC の設定手順は、AWS PrivateLink のユースケースの Amazon VPC アーキテクチャーを参照してください。

3.2. AWS PrivateLink クラスターの作成
リンクのコピー

ROSA コマンドラインインターフェイス(CLI) (rosa)を使用して、AWS PrivateLink クラスターを作成できます。

注記

AWS PrivateLink は既存の VPC でのみサポートされます。

前提条件

利用可能な AWS サービスクォータがある。
AWS コンソールで Red Hat OpenShift Service on AWS サービスを有効にしている。
インストールホストに、最新の ROSA CLI をインストールして設定している。
GovCloud の場合、リンクされた商用アカウントの AWS Console で Red Hat OpenShift Service on AWS サービスを有効にしている。これは、Red Hat OpenShift Service on AWS を GovCloud 用に有効にする商用アカウント内であるためです。詳細は、ROSA の有効化および AWS の前提条件の設定を参照してください。
Private Marketplace で AWS コンソールで Red Hat OpenShift Service on AWS サービスを有効にしている。詳細は、AWS Marketplace lists for ROSA を参照してください。

手順

クラスターの作成には最長で 40 分かかる場合があります。

AWS PrivateLink を使用すると、1 つのアベイラビリティーゾーン (Single-AZ) または複数のアベイラビリティーゾーン (Multi-AZ) でクラスターを作成できます。いずれの場合も、マシンのクラスレスのドメイン内ルーティング (CIDR) は、仮想プライベートクラウドの CIDR と一致させる必要があります。詳細は、独自の VPC を使用するための要件および VPC 検証を参照してください。
重要
ファイアウォールを使用する場合は、Red Hat OpenShift Service on AWS が機能するために必要なサイトにアクセスできるように設定する必要があります。
詳細は、AWS PrivateLink ファイアウォールの前提条件セクションを参照してください。
注記
クラスター名が 15 文字を超える場合、*.openshiftapps.com にプロビジョニングされたクラスターのサブドメインとして自動生成されたドメイン接頭辞が含まれます。
サブドメインをカスタマイズするには、--domain-prefix フラグを使用します。ドメイン接頭辞は 15 文字を超えてはならず、一意である必要があり、クラスターの作成後に変更できません。
- Single-AZ クラスターを作成するには、以下を実行します。
  $ rosa create cluster --private-link --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id>
- Multi-AZ クラスターを作成するには、以下を実行します。
  $ rosa create cluster --private-link --multi-az --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id1>,<private-subnet-id2>,<private-subnet-id3>
次のコマンドを入力してクラスターのステータスを確認します。クラスターの作成時に、出力の State フィールドは pending から installing に移行し、最終的に ready に移行します。
```
$ rosa describe cluster --cluster=<cluster_name>
```
注記
インストールが失敗した場合や、40 分後に State フィールドが ready に変わらない場合は、インストールのトラブルシューティングに関するドキュメントで詳細を確認してください。
以下のコマンドを実行して、OpenShift インストーラーのログでクラスターの進捗を追跡します。
```
$ rosa logs install --cluster=<cluster_name> --watch
```

Legal Notice
リンクのコピー

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of the OpenJS Foundation.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

ROSA GovCloud の使用を開始する

GovCloud を使用したクラスターおよびアカウントの設定

第1章 AWS GovCloud での Red Hat OpenShift Service on AWS の使用開始
リンクのコピー

1.1. Red Hat FedRAMP アカウントのサインアップ
リンクのコピー

第2章 Red Hat OpenShift Service on AWS GovCloud アカウントの管理
リンクのコピー

2.1. Red Hat FedRAMP アカウントのパスワードを変更する
リンクのコピー

2.2. サポートチケットの作成
リンクのコピー

第3章 AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのインストール
リンクのコピー

3.1. AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのデプロイの準備
リンクのコピー

3.2. AWS PrivateLink クラスターの作成
リンクのコピー

Legal Notice
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

ROSA GovCloud の使用を開始する

GovCloud を使用したクラスターおよびアカウントの設定

第1章 AWS GovCloud での Red Hat OpenShift Service on AWS の使用開始リンクのコピーリンクがクリップボードにコピーされました!

1.1. Red Hat FedRAMP アカウントのサインアップリンクのコピーリンクがクリップボードにコピーされました!

第2章 Red Hat OpenShift Service on AWS GovCloud アカウントの管理リンクのコピーリンクがクリップボードにコピーされました!

2.1. Red Hat FedRAMP アカウントのパスワードを変更するリンクのコピーリンクがクリップボードにコピーされました!

2.2. サポートチケットの作成リンクのコピーリンクがクリップボードにコピーされました!

第3章 AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのインストールリンクのコピーリンクがクリップボードにコピーされました!

3.1. AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのデプロイの準備リンクのコピーリンクがクリップボードにコピーされました!

3.2. AWS PrivateLink クラスターの作成リンクのコピーリンクがクリップボードにコピーされました!

Legal Notice リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章 AWS GovCloud での Red Hat OpenShift Service on AWS の使用開始
リンクのコピー

1.1. Red Hat FedRAMP アカウントのサインアップ
リンクのコピー

第2章 Red Hat OpenShift Service on AWS GovCloud アカウントの管理
リンクのコピー

2.1. Red Hat FedRAMP アカウントのパスワードを変更する
リンクのコピー

2.2. サポートチケットの作成
リンクのコピー

第3章 AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのインストール
リンクのコピー

3.1. AWS GovCloud での Red Hat OpenShift Service on AWS クラスターのデプロイの準備
リンクのコピー

3.2. AWS PrivateLink クラスターの作成
リンクのコピー

Legal Notice
リンクのコピー