Red Hat SummitROSA GovCloud の使用を開始する
GovCloud を使用したクラスターおよびアカウントの設定
概要
第1章 AWS GovCloud での Red Hat OpenShift Service on AWS の classic アーキテクチャーの開始
このサービスは、連邦機関および政府機関、または政府の契約をサポートする商用機関と連邦情報セキュリティーモードアナリティクス(FISMA)による使用、またはプロポーザル(RFP)のプレボーングの要求(RFI)のプレビッドステージの要求などで使用されます。
AWS GovCloud の Red Hat OpenShift Service on AWS の classic アーキテクチャーには、以下の要件があります。
- Red Hat OpenShift Service on AWS の従来のアーキテクチャー FedRAMP は、既存の VPC にのみデプロイできます。VPC の設定手順は、AWS PrivateLink ユースケースの Amazon VPC アーキテクチャーの作成 を参照し てください。
- AWS GovCloud での Red Hat OpenShift Service on AWS の classic アーキテクチャーは、AWS STS 認証情報メソッドの使用のみをサポートします。
- AWS GovCloud の Red Hat OpenShift Service on AWS の classic アーキテクチャーは、プロセス暗号化ライブラリーで FIPS (Federal Information Processing Standards)検証済みモジュールのみを使用します。
AWS GovCloud の Red Hat OpenShift Service on AWS の classic アーキテクチャーには、商用リージョンに Red Hat Service on AWS の classic アーキテクチャークラスターの既存の Red Hat アカウントがすでにある場合でも、FedRAMP で使用するために別の Red Hat アカウントが必要です。
- クラスターの作成、変更、または削除を行う必要のある各ユーザーには、独自の Red Hat FedRAMP アカウントが必要です。
- 既存のクラスターにアクセスするために、そのクラスターにアクセスするには、Red Hat FedRAMP アカウントは必要ありません。
- Red Hat FedRAMP アカウントを使用して、複数の AWS GovCloud アカウントにデプロイすることができます。
1.1. Red Hat FedRAMP アカウントのサインアップ
AWS GovCloud で Red Hat OpenShift Service on AWS の classic アーキテクチャーにアクセスするには、Red Hat FedRAMP アカウントにサインアップする必要があります。
手順
- https://console.redhat.com/openshift/create/rosa/govcloud に移動します。
- アクセスリクエストフォームに入力します。
Submit をクリックしてサインアップします。
送信確認 が表示されます。
Red Hat のご確認済みサポートチームは、以下の情報について電子メールでご連絡します。
- 組織名、管理者名、姓、および管理者 の 電子メールを含める管理者 の詳細。
次の 2 つのオプションのいずれかから FedRAMP Hybrid Cloud Console への ユーザー認証 オプション。
承認されたデバイス でマルチファクター認証(MFA)を設定する必要がある、Red Hat 管理対象 Keycloak インスタンスのローカルグループ。
注記現在受け入れられているデバイス YubiKEY 5C NFC FIPS のみ。
OpenID Connect (OIDC)を介して統合された、顧客管理のアイデンティティープロバイダー(IdP) です。ここでは、以下を提供する必要があります。
- Discovery Endpoint: IdP の OIDC 検出 URL (通常は /.well-known/openid-configurationで終わる)。これにより、Keycloak は IdP の設定の大部分を自動的にフェッチできます。
- クライアント ID およびシークレット: Keycloak が顧客の IdP で認証できるようにする認証情報。
- Email domain (s): 承認されたメールドメインのリスト。これらのドメインのいずれかからのメールアドレスを持つユーザーのみがログインできます。
重要なクレーム: アクセスを付与するために IdP からのユーザーのトークンに存在する必要がある特定のキーと値のペア(例: rh-approved": "true")。
この設定では、FIPS 140-2 で検証された MFA を実装する責任を負うことになります。
第2章 Red Hat OpenShift Service on AWS の classic アーキテクチャー AWS GovCloud アカウントの管理
FedRAMP アカウントにアクセスできたら、必要に応じて認証情報を管理できます。
2.1. Red Hat FedRAMP アカウントのパスワードを変更する
FedRAMP アカウントのパスワードを変更するには、Red Hat FedRAMP アカウントにアクセスできる必要があります。
手順
- https://sso.openshiftusgov.com/realms/redhat-external/account に移動します。
- 現在のユーザー名とパスワードを使用してログインします。
- Account Security という中間ボックスで、Signing In をクリックします。
- Basic 認証 の下で Password を選択します。
Update をクリックして、以下の要件を満たすパスワードを選択します。
- fifteen (15)の最小文字数
- 少なくとも 1 (1)の大文字
- 少なくとも 1 (1)の小文字
- 少なくとも 1 つの(1)番号
- 少なくとも 1 つの(1)特殊文字(例:~ ! @ # $ % ^ & *()_ + = - ' [ ] / ? > <)
- パスワードを確認します。
- Submit をクリックします。
2.2. サポートチケットの作成
サポートチケットを開くには、以下を完了してください。
手順
- アカウントを作成する必要がある場合は、fedramp-css@openshiftusgov.com までお問い合わせください。
- アクセスを付与したら、https://redhatgov.servicenowservices.com/css に移動します。
- ケースの作成 をクリックして、必要な情報を完了します。
- Submit をクリックします。
第3章 AWS GovCloud での Red Hat OpenShift Service on AWS classic アーキテクチャークラスターのインストール
AWS GovCloud で Red Hat OpenShift Service on AWS classic アーキテクチャークラスターをインストールするには、以下を行う必要があります。
- AWS GovCloud にアクセスするための要件を満たします。
AWS GovCloud での Red Hat OpenShift Service on AWS の classic アーキテクチャーの使用開始 の手順を実行し ます。
- AWS GovCloud での Red Hat OpenShift Service on AWS の classic アーキテクチャーへのアクセスの準備
- Red Hat FedRAMP アカウントにサインアップします。
3.1. AWS GovCloud での Red Hat OpenShift Service on AWS の classic アーキテクチャークラスターのデプロイ準備
Red Hat OpenShift Service on AWS の classic アーキテクチャークラスターを AWS GovCloud にデプロイするには、Red Hat FedRAMP アカウントにログインする必要があります。
前提条件
- AWS CLI が GovCloud を使用するように設定している。
- 政府の地域にログインしている。
手順
- https://console.openshiftusgov.com/openshift/token に移動します。
- トークンと共に画面が表示される Red Hat FedRAMP アカウントの認証情報を使用してログインします。
- 次のステップのためにトークンをコピーします。
端末で以下を行います。
rosa loginを実行して、コピーしたトークンを貼り付けてサービスにログインします。rosa login --govcloud --token=<TOKEN>
$ rosa login --govcloud --token=<TOKEN>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記AWS CLI 設定によっては、政府リージョンを--
region us-gov-west-1などのコマンド文字列の最後に追加する必要がある場合があります。rosa whoamiを実行して、すべての情報が正しく AWS Gov リージョンを使用し、OCM API がhttps://api.openshiftusgov.com”であることを確認します。rosa whoami
$ rosa whoamiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- Red Hat OpenShift Service on AWS の classic アーキテクチャーがデプロイされる VPC を作成する必要があります。VPC の設定手順は、AWS PrivateLink のユースケースの Amazon VPC アーキテクチャー を 参照してください。
3.2. AWS PrivateLink クラスターの作成
ROSA コマンドラインインターフェイス(CLI) (rosa)を使用して、AWS PrivateLink クラスターを作成できます。
AWS PrivateLink は既存の VPC でのみサポートされます。
前提条件
- 利用可能な AWS サービスクォータがある。
- AWS コンソールで Red Hat OpenShift Service on AWS の classic アーキテクチャーサービスを有効にしている。
- インストールホストに、最新の ROSA CLI をインストールして設定している。
- GovCloud では、GovCloud の Red Hat OpenShift Service on AWS classic アーキテクチャーを有効にする商用アカウント内であるため、リンクされた商用アカウントの AWS Console で Red Hat OpenShift Service on AWS の classic アーキテクチャーサービスを有効にしました。詳細は、ROSA の有効化 および AWS の前提条件の設定 を参照し てください。
- Private Marketplace の場合は、AWS コンソールで Red Hat OpenShift Service on AWS の classic アーキテクチャーサービスを有効にしている。詳細は、AWS Marketplace lists for ROSA を参照 してください。
手順
クラスターの作成には最長で 40 分かかる場合があります。
AWS PrivateLink を使用すると、1 つのアベイラビリティーゾーン (Single-AZ) または複数のアベイラビリティーゾーン (Multi-AZ) でクラスターを作成できます。いずれの場合も、マシンのクラスレスのドメイン内ルーティング (CIDR) は、仮想プライベートクラウドの CIDR と一致させる必要があります。詳細は、独自の VPC を使用するための要件 および VPC 検証 を参照してください。
重要ファイアウォールを使用する場合は、Red Hat OpenShift Service on AWS クラシックアーキテクチャーが機能するために必要なサイトにアクセスできるように設定する必要があります。
詳細は、AWS PrivateLink ファイアウォールの前提条件セクションを参照してください。
注記クラスター名が 15 文字を超える場合、
*.openshiftapps.comにプロビジョニングされたクラスターのサブドメインとして自動生成されたドメイン接頭辞が含まれます。サブドメインをカスタマイズするには、
--domain-prefixフラグを使用します。ドメイン接頭辞は 15 文字を超えてはならず、一意である必要があり、クラスターの作成後に変更できません。Single-AZ クラスターを作成するには、以下を実行します。
rosa create cluster --private-link --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id>
$ rosa create cluster --private-link --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Multi-AZ クラスターを作成するには、以下を実行します。
rosa create cluster --private-link --multi-az --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id1>,<private-subnet-id2>,<private-subnet-id3>
$ rosa create cluster --private-link --multi-az --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id1>,<private-subnet-id2>,<private-subnet-id3>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
次のコマンドを入力してクラスターのステータスを確認します。クラスターの作成時に、出力の
Stateフィールドはpendingからinstallingに移行し、最終的にreadyに移行します。rosa describe cluster --cluster=<cluster_name>
$ rosa describe cluster --cluster=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記インストールが失敗した場合や、40 分後に
Stateフィールドがreadyに変わらない場合は、インストールのトラブルシューティングに関するドキュメントで詳細を確認してください。以下のコマンドを実行して、OpenShift インストーラーのログでクラスターの進捗を追跡します。
rosa logs install --cluster=<cluster_name> --watch
$ rosa logs install --cluster=<cluster_name> --watchCopy to Clipboard Copied! Toggle word wrap Toggle overflow
Legal Notice
Copyright © 2025 Red Hat
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}