Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

설치

OpenShift Container Platform 4.10

OpenShift Container Platform 클러스터 설치 및 구성

초록

이 문서는 OpenShift Container Platform 설치 및 일부 구성 프로세스에 대해 자세히 설명합니다.

1장. OpenShift Container Platform 설치 프로그램 개요

1.1. OpenShift Container Platform 설치 프로그램 개요

OpenShift Container Platform 설치 프로그램에서는 유연성을 제공합니다. 설치 프로그램을 사용하면 설치 프로그램이 프로비저닝하고 클러스터가 유지보수하는 인프라에 클러스터를 배포하거나 준비하고 유지보수하는 인프라에 클러스터를 배포할 수 있습니다.

이 두 가지 기본 유형의 OpenShift Container Platform 클러스터는 종종 설치 관리자 프로비저닝 인프라 클러스터 및 사용자 프로비저닝 인프라 클러스터라고 합니다.

두 유형의 클러스터에는 모두 다음과 같은 특징이 있습니다.

  • 기본적으로 단일 장애 지점이 없는 고가용성 인프라를 사용할 수 있습니다.
  • 관리자는 적용되는 업데이트 및 해당 시기에 관한 제어 권한을 유지합니다.

동일한 설치 프로그램을 사용하여 두 유형의 클러스터를 모두 배포합니다. 설치 프로그램에서 생성된 주요 자산은 부트스트랩, 마스터 및 작업자 머신의 Ignition 구성 파일입니다. 이 세 가지 구성과 올바르게 구성된 인프라를 사용하면 OpenShift Container Platform 클러스터를 시작할 수 있습니다.

OpenShift Container Platform 설치 프로그램은 일련의 대상 및 종속 항목을 사용하여 클러스터 설치를 관리합니다. 설치 프로그램에는 달성해야 할 대상 세트가 있으며 각 대상에는 종속 항목 세트가 있습니다. 각 대상은 고유한 종속 항목에만 관련되므로 여러 대상이 병렬로 수행되도록 설치 프로그램이 작동할 수 있습니다. 궁극적인 목표는 실행 중인 클러스터입니다. 설치 프로그램은 명령을 실행하지 않고 종속 항목을 충족함으로써 명령을 다시 작성하기 위해 명령을 실행하는 대신 기존 구성 요소를 인식하고 사용할 수 있습니다.

다음 다이어그램에서는 설치 대상 및 종속 항목의 서브 세트를 보여줍니다.

그림 1.1. OpenShift Container Platform 설치 대상 및 종속 항목

OpenShift Container Platform 설치 대상 및 종속 항목

설치 후 각 클러스터 머신에서는 RHCOS(Red Hat Enterprise Linux CoreOS)를 운영 체제로 사용합니다. RHCOS는 RHEL(Red Hat Enterprise Linux)의 변경 불가능한 컨테이너 호스트 버전이며 기본적으로 SELinux가 활성화된 RHEL 커널을 제공합니다. 여기에는 Kubernetes 노드 에이전트인 kubelet 및 Kubernetes에 최적화된 CRI-O 컨테이너 런타임이 포함됩니다.

OpenShift Container Platform 4.10 클러스터의 모든 컨트롤 플레인 시스템은 Ignition이라는 중요한 첫 번째 부팅 프로비저닝 도구가 포함된 RHCOS를 사용해야 합니다. 이 도구를 사용하면 클러스터가 머신을 구성할 수 있습니다. 운영 체제 업데이트는 Operator가 클러스터 전체에서 롤아웃한 컨테이너 이미지에 임베드된 Atomic OSTree 리포지토리로 제공됩니다. 실제 운영 체제 변경은 rpm-ostree를 사용하여 각 머신에서 원자 작업으로 수행됩니다. 이러한 기술을 사용하면 OpenShift Container Platform에서 전체 플랫폼을 최신 상태로 유지하는 내부 업그레이드를 통해 클러스터의 다른 애플리케이션을 관리하는 것처럼 운영 체제를 관리할 수 있습니다. 이러한 내부 업데이트는 운영 팀의 부담을 줄일 수 있습니다.

모든 클러스터 머신의 운영 체제로 RHCOS를 사용하는 경우 클러스터가 운영 체제를 포함한 구성 요소 및 머신의 모든 측면을 관리합니다. 그러면 설치 프로그램 및 Machine Config Operator만 머신을 변경할 수 있습니다. 설치 프로그램에서는 Ignition 구성 파일을 사용하여 각 머신의 정확한 상태를 설정하고 Machine Config Operator는 설치 후 새 인증서 또는 키 적용과 같은 머신에 대한 추가 변경을 완료합니다.

1.1.1. 설치 프로세스

OpenShift Container Platform 클러스터를 설치할 때 OpenShift Cluster Manager 사이트의 해당 인프라 공급자 페이지에서 설치 프로그램을 다운로드합니다. 이 사이트에서는 다음을 관리합니다.

  • 계정용 REST API
  • 필수 구성 요소를 얻는 데 사용하는 풀 시크릿인 레지스트리 토큰
  • 사용 지표 수집이 용이하도록 클러스터 ID를 Red Hat 계정에 연결하는 클러스터 등록

OpenShift Container Platform 4.10에서 설치 프로그램은 자산 세트에서 일련의 파일 변환을 수행하는 Go 바이너리 파일입니다. 설치 프로그램과 상호 작용하는 방법은 설치 유형에 따라 다릅니다.

  • 설치 관리자 프로비저닝 인프라가 있는 클러스터의 경우 인프라 부트스트랩 및 프로비저닝을 직접 수행하는 대신 설치 프로그램에 위임합니다. 설치 프로그램은 클러스터를 지원하는 데 필요한 모든 네트워킹, 머신 및 운영 체제를 생성합니다.
  • 클러스터의 인프라를 프로비저닝하고 관리하는 경우 부트스트랩 머신, 네트워킹, 부하 분산, 스토리지 및 개별 클러스터 머신을 포함한 모든 클러스터 인프라 및 리소스를 제공해야 합니다.

설치하는 동안 install-config.yaml이라는 설치 구성 파일, Kubernetes 매니페스트 및 머신 유형에 맞는 Ignition 구성 파일의 세 가지 파일 세트를 사용합니다.

중요

설치 중에 기본 RHCOS 운영 체제를 제어하는 Kubernetes 및 Ignition 구성 파일을 수정할 수 있습니다. 그러나 이러한 오브젝트를 수정한 내용이 적합한지 확인할 수 있는 유효성 검사는 없습니다. 이러한 오브젝트를 수정하면 클러스터가 작동하지 않을 수 있습니다. 이 위험 때문에 문서화된 절차를 따르거나 Red Hat 지원 부서에서 지시하지 않는 한 Kubernetes 및 Ignition 구성 파일 수정은 지원되지 않습니다.

설치 구성 파일은 Kubernetes 매니페스트로 변환된 다음 매니페스트가 Ignition 구성 파일로 래핑됩니다. 설치 프로그램은 이러한 Ignition 구성 파일을 사용하여 클러스터를 생성합니다.

설치 프로그램을 실행할 때 설치 구성 파일이 모두 제거되므로 다시 사용하려는 모든 구성 파일을 백업하십시오.

중요

설치 중에 설정한 매개변수는 수정할 수 없지만 설치 후에는 많은 클러스터 속성을 수정할 수 있습니다.

설치 관리자가 프로비저닝한 인프라를 사용하는 설치 프로세스

기본 설치 유형에서는 설치 관리자 프로비저닝 인프라를 사용합니다. 기본적으로 설치 프로그램은 설치 마법사 역할을 하여 자체적으로 결정할 수 없는 값을 입력하라는 메시지를 표시하고 나머지 매개변수에 대한 적절한 기본값을 제공합니다. 고급 인프라 시나리오를 지원하도록 설치 프로세스를 사용자 정의할 수도 있습니다. 설치 프로그램은 클러스터의 기본 인프라를 프로비저닝합니다.

표준 클러스터 또는 사용자 정의된 클러스터를 설치할 수 있습니다. 표준 클러스터에서는 클러스터를 설치하는 데 필요한 최소 세부 정보를 제공합니다. 사용자 지정 클러스터를 사용하면 컨트롤 플레인에서 사용하는 머신 수, 클러스터가 배포하는 가상 머신 유형 또는 Kubernetes 서비스 네트워크의 CIDR 범위와 같은 플랫폼에 대한 세부 정보를 지정할 수 있습니다.

가능하면 이 기능을 사용하여 클러스터 인프라를 프로비저닝 및 유지보수하지 않아도 됩니다. 다른 모든 환경에서는 설치 프로그램을 사용하여 클러스터 인프라를 프로비저닝하는 데 필요한 자산을 생성합니다.

OpenShift Container Platform은 설치 프로그램에서 프로비저닝한 인프라 클러스터를 통해 운영 체제 자체를 포함하여 클러스터의 모든 측면을 관리합니다. 각 머신은 결합하는 클러스터에서 호스팅되는 리소스를 참조하는 구성으로 부팅됩니다. 이 구성을 사용하면 업데이트가 적용될 때 클러스터가 자체적으로 관리될 수 있습니다.

사용자 프로비저닝 인프라를 사용하는 설치 프로세스

제공하는 인프라에 OpenShift Container Platform도 설치할 수 있습니다. 설치 프로그램을 사용하여 클러스터 인프라를 프로비저닝하고 클러스터 인프라를 생성한 다음 제공한 인프라에 클러스터를 배포하는 데 필요한 자산을 생성합니다.

설치 프로그램이 프로비저닝한 인프라를 사용하지 않는 경우 다음을 포함하여 클러스터 자원을 직접 관리하고 유지보수해야 합니다.

  • 클러스터를 구성하는 컨트롤 플레인 및 컴퓨팅 머신의 기본 인프라
  • 로드 밸런서
  • DNS 레코드 및 필수 서브넷을 포함한 클러스터 네트워킹
  • 클러스터 인프라 및 애플리케이션용 스토리지

클러스터가 사용자 프로비저닝 인프라를 사용하는 경우 RHEL 컴퓨팅 머신을 클러스터에 추가할 수 있습니다.

설치 프로세스 세부사항

클러스터의 각 머신에는 프로비저닝 시 클러스터에 대한 정보가 필요하므로 OpenShift Container Platform은 초기 구성 중에 임시 부트스트랩 머신을 사용하여 필요한 정보를 영구 컨트롤 플레인에 제공합니다. 클러스터 생성 방법을 설명하는 Ignition 구성 파일을 사용하여 부팅됩니다. 부트스트랩 시스템은 컨트롤 플레인을 구성하는 컨트롤 플레인 시스템을 생성합니다. 그런 다음 컨트롤 플레인 시스템에서는 작업자 머신이라고도 하는 컴퓨팅 머신을 만듭니다. 다음 그림은 이 프로세스를 보여줍니다.

그림 1.2. 부트스트랩, 컨트롤 플레인 및 컴퓨팅 시스템 생성

부트스트랩 생성

클러스터 머신이 초기화되면 부트스트랩 머신이 손상됩니다. 모든 클러스터에서는 부트스트랩 프로세스를 사용하여 클러스터를 초기화하지만, 클러스터의 인프라를 프로비저닝하는 경우 많은 단계를 수동으로 완료해야 합니다.

중요
  • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
  • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

클러스터 부트스트랩에는 다음 단계가 포함됩니다.

  1. 부트스트랩 머신이 부팅되고 컨트롤 플레인 머신을 부팅하는 데 필요한 원격 리소스 호스팅이 시작됩니다. (인프라를 프로비저닝할 경우 수동 조작 필요)
  2. 부트스트랩 머신은 단일 노드 etcd 클러스터와 임시 Kubernetes 컨트롤 플레인을 시작합니다.
  3. 컨트롤 플레인 머신은 부트스트랩 머신에서 원격 리소스를 가져오고 부팅을 완료합니다. (인프라를 프로비저닝할 경우 수동 조작 필요)
  4. 임시 컨트롤 플레인은 프로덕션 컨트롤러 플레인을 프로덕션 컨트롤 플레인 머신에 예약합니다.
  5. CVO(Cluster Version Operator)가 온라인 상태가 되어 etcd Operator를 설치합니다. etcd Operator는 모든 컨트롤 플레인 노드에서 etcd를 확장합니다.
  6. 임시 컨트롤 플레인이 종료되고 제어를 프로덕션 컨트롤 플레인에 전달합니다.
  7. 부트스트랩 머신은 OpenShift Container Platform 구성 요소를 프로덕션 컨트롤 플레인에 주입합니다.
  8. 설치 프로그램이 부트스트랩 머신을 종료합니다. (인프라를 프로비저닝할 경우 수동 조작 필요)
  9. 컨트롤 플레인이 컴퓨팅 노드를 설정합니다.
  10. 컨트롤 플레인은 일련의 Operator 형태로 추가 서비스를 설치합니다.

이 부트스트랩 프로세스의 결과는 OpenShift Container Platform 클러스터가 실행 중인 것입니다. 그런 다음 클러스터는 지원되는 환경에서 컴퓨팅 머신 생성을 포함하여 일상적인 작업에 필요한 나머지 구성 요소를 다운로드하고 구성합니다.

1.1.2. 설치 후 노드 상태 확인

OpenShift Container Platform 설치는 다음과 같은 설치 상태 점검에 성공하면 완료됩니다.

  • 프로비저닝 호스트는 OpenShift Container Platform 웹 콘솔에 액세스할 수 있습니다.
  • 모든 컨트롤 플레인 노드가 준비되었습니다.
  • 모든 클러스터 Operator를 사용할 수 있습니다.
참고

설치가 완료되면 작업자 노드를 담당하는 특정 클러스터 Operator가 모든 작업자 노드를 지속적으로 프로비저닝하려고 합니다. 모든 작업자 노드가 READY 로 보고하는 데 다소 시간이 걸릴 수 있습니다. 베어 메탈에 설치하는 경우 작업자 노드의 문제를 해결하기 전에 최소 60분 정도 기다립니다. 다른 모든 플랫폼에 설치하는 경우 작업자 노드의 문제를 해결하기 전에 최소 40분 동안 기다립니다. 작업자 노드를 담당하는 클러스터 Operator의 DEGRADED 상태는 노드 상태가 아닌 Operator의 자체 리소스에 따라 다릅니다.

설치가 완료되면 다음 단계를 사용하여 클러스터의 노드 상태를 계속 모니터링할 수 있습니다.

사전 요구 사항

  • 설치 프로그램이 터미널에서 성공적으로 확인됩니다.

절차

  1. 모든 작업자 노드의 상태를 표시합니다. 

    $ oc get nodes

    출력 예

    NAME                           STATUS   ROLES    AGE   VERSION
example-compute1.example.com   Ready    worker   13m   v1.21.6+bb8d50a
example-compute2.example.com   Ready    worker   13m   v1.21.6+bb8d50a
example-compute4.example.com   Ready    worker   14m   v1.21.6+bb8d50a
example-control1.example.com   Ready    master   52m   v1.21.6+bb8d50a
example-control2.example.com   Ready    master   55m   v1.21.6+bb8d50a
example-control3.example.com   Ready    master   55m   v1.21.6+bb8d50a

  2. 모든 작업자 머신 노드의 단계를 표시합니다. 

    $ oc get machines -A

    출력 예

    NAMESPACE               NAME                           PHASE         TYPE   REGION   ZONE   AGE
openshift-machine-api   example-zbbt6-master-0         Running                              95m
openshift-machine-api   example-zbbt6-master-1         Running                              95m
openshift-machine-api   example-zbbt6-master-2         Running                              95m
openshift-machine-api   example-zbbt6-worker-0-25bhp   Running                              49m
openshift-machine-api   example-zbbt6-worker-0-8b4c2   Running                              49m
openshift-machine-api   example-zbbt6-worker-0-jkbqt   Running                              49m
openshift-machine-api   example-zbbt6-worker-0-qrl5b   Running                              49m

추가 리소스

설치 범위

OpenShift Container Platform 설치 프로그램의 범위는 의도적으로 한정됩니다. 단순성과 성공을 보장하도록 설계되었습니다. 설치가 완료된 후 많은 추가 구성 작업을 완료할 수 있습니다.

추가 리소스

1.2. OpenShift Container Platform 클러스터에서 지원되는 플랫폼

OpenShift Container Platform 4.10에서는 다음 플랫폼에서 설치 관리자 프로비저닝 인프라를 사용하는 클러스터를 설치할 수 있습니다.

  • AWS(Amazon Web Services)
  • GCP(Google Cloud Platform)
  • Microsoft Azure
  • Microsoft Azure Stack Hub

  • RHOSP(Red Hat OpenStack Platform) 버전 16.1 및 16.2

  • IBM Cloud
  • RHV(Red Hat Virtualization)
  • VMware vSphere
  • AWS의 VMware Cloud (VMC)
  • Alibaba Cloud
  • 베어 메탈

이러한 클러스터의 경우, 설치 프로세스를 실행하는 컴퓨터를 포함한 모든 머신은 플랫폼 컨테이너의 이미지를 가져오고 원격 분석 데이터를 Red Hat에 제공하기 위해 인터넷에 직접 액세스할 수 있어야 합니다.

중요

설치 후 다음 변경 사항은 지원되지 않습니다.

  • 클라우드 공급자 플랫폼 혼합
  • 클러스터가 설치된 플랫폼과 다른 플랫폼의 영구 스토리지 프레임워크 사용과 같은 클라우드 공급자 구성 요소 혼합

OpenShift Container Platform 4.10에서는 다음 플랫폼에서 사용자 프로비저닝 인프라를 사용하는 클러스터를 설치할 수 있습니다.

  • AWS
  • Azure
  • Azure Stack Hub
  • GCP
  • RHOSP 버전 16.1 및 16.2
  • RHV
  • VMware vSphere
  • AWS의 VMware Cloud
  • 베어 메탈
  • IBM Z 또는 LinuxONE
  • IBM Power

플랫폼의 지원 케이스에 따라 사용자 프로비저닝 인프라에 설치하면 전체 인터넷 액세스가 가능한 머신을 실행하거나 클러스터를 프록시 뒤에 배치하거나 제한된 네트워크 설치를 수행할 수 있습니다. 제한된 네트워크 설치에서는 클러스터를 설치하는 데 필요한 이미지를 다운로드하여 미러 레지스트리에 배치한 다음 해당 데이터를 사용하여 클러스터를 설치할 수 있습니다. vSphere 또는 베어 메탈 인프라에서 제한된 네트워크 설치로 플랫폼 컨테이너의 이미지를 가져오려면 인터넷에 액세스해야 하지만, 클러스터 컴퓨터는 인터넷에 직접 액세스할 필요가 없습니다.

다른 플랫폼의 통합 테스트에 대한 자세한 내용은 OpenShift Container Platform 4.x 통합 테스트 페이지를 참조하십시오.

추가 리소스

2장. 클러스터 설치 방법 선택 및 사용자를 위한 준비

OpenShift Container Platform을 설치하기 전에 실행할 종류의 설치 프로세스를 결정하고 사용자를 위해 클러스터를 준비하는 데 필요한 모든 리소스가 있는지 확인합니다.

2.1. 클러스터 설치 유형 선택

OpenShift Container Platform 클러스터를 설치하기 전에 실행할 최상의 설치 지침을 선택해야 합니다. 최상의 옵션을 선택하기 위해 다음 질문에 대한 답변을 고려하십시오.

2.1.1. OpenShift Container Platform 클러스터를 직접 설치 및 관리하시겠습니까?

OpenShift Container Platform을 직접 설치하고 관리하려면 다음 플랫폼에 설치할 수 있습니다.

  • Alibaba Cloud
  • x86_64 인스턴스의 AWS(Amazon Web Services)
  • arm64 인스턴스의 AWS(Amazon Web Services)
  • Microsoft Azure
  • Microsoft Azure Stack Hub
  • GCP(Google Cloud Platform)
  • Red Hat OpenStack Platform (RHOSP)
  • RHV(Red Hat Virtualization)
  • IBM Cloud VPC
  • IBM Z 및 LinuxONE
  • IBM Z 및 LinuxONE for Red Hat Enterprise Linux (RHEL) KVM
  • IBM Power
  • VMware vSphere
  • AWS의 VMware Cloud (VMC)
  • 베어 메탈 또는 기타 플랫폼과 무관한 인프라

온프레미스 하드웨어 및 클라우드 호스팅 서비스에 모두 OpenShift Container Platform 4 클러스터를 배포할 수 있지만 클러스터의 모든 머신은 동일한 데이터 센터 또는 클라우드 호스팅 서비스에 있어야 합니다.

OpenShift Container Platform을 사용하지만 클러스터를 직접 관리하지 않기 위해 여러 관리 서비스 옵션이 있습니다. Red Hat에서 완전히 관리하는 클러스터를 원하는 경우 OpenShift Dedicated 또는 OpenShift Online를 사용할 수 있습니다. Azure, AWS, IBM Cloud VPC 또는 Google Cloud에서 OpenShift를 관리형 서비스로 사용할 수도 있습니다. 관리 서비스에 대한 자세한 내용은 OpenShift 제품 페이지를 참조하십시오.

2.1.2. OpenShift Container Platform 3을 사용한 적이 있으며 OpenShift Container Platform 4를 사용하고 싶으신가요?

OpenShift Container Platform 3을 사용했으며 OpenShift Container Platform 4를 시도하려면 OpenShift Container Platform 4가 어떻게 다른지 이해해야 합니다. OpenShift Container Platform 4는 Kubernetes 애플리케이션과 플랫폼이 실행되는 운영 체제인 RHCOS(Red Hat Enterprise Linux CoreOS)를 함께 원활하게 패키지, 배포, 관리하는 Operator를 만듭니다. OpenShift Container Platform을 설치하기 위해 머신을 배포하고 운영 체제를 구성하는 대신 RHCOS 운영 체제는 OpenShift Container Platform 클러스터의 통합된 부분입니다. 클러스터 머신의 운영 체제를 OpenShift Container Platform의 설치 프로세스의 일부로 배포합니다. OpenShift Container Platform 3 및 OpenShift Container Platform 4 비교를 참조하십시오.

OpenShift Container Platform 클러스터 설치 프로세스의 일부로 머신을 프로비저닝해야 하므로 OpenShift Container Platform 3 클러스터를 OpenShift Container Platform 4로 업그레이드할 수 없습니다. 대신 새로운 OpenShift Container Platform 4 클러스터를 생성하고 OpenShift Container Platform 3 워크로드를 마이그레이션해야 합니다. 마이그레이션에 대한 자세한 내용은 OpenShift 마이그레이션 모범 사례를 참조하십시오. OpenShift Container Platform 4로 마이그레이션해야 하므로 모든 유형의 프로덕션 클러스터 설치 프로세스를 사용하여 새 클러스터를 생성할 수 있습니다.

2.1.3. 클러스터에서 기존 구성 요소를 사용하시겠습니까?

운영 체제는 OpenShift Container Platform에 통합되므로 OpenShift Container Platform용 설치 프로그램이 모든 인프라를 가동하도록 하는 것이 더 쉬워집니다. 이는 설치 관리자가 프로비저닝한 인프라 설치라고 합니다. 이 유형의 설치에서는 클러스터에 일부 기존 인프라를 제공할 수 있지만, 설치 프로그램은 클러스터가 처음에 필요한 모든 머신을 배포합니다.

AWS에서 클러스터 또는 해당 기본 머신에 사용자 지정을 지정하지 않고 설치 관리자가 프로비저닝한 인프라 클러스터를 배포할 수 있습니다.AWS, Azure ,Azure,Azure Stack Hub,GCP 또는 VMC. https://access.redhat.com/documentation/en-us/openshift_container_platform/4.10/html-single/installing/#installing-alibaba-default 이러한 설치 방법은 프로덕션이 가능한 OpenShift Container Platform 클러스터를 배포하는 가장 빠른 방법입니다.

클러스터 머신의 인스턴스 유형과 같이 설치 관리자가 프로비저닝한 인프라 클러스터에 대한 기본 구성을 수행해야 하는 경우, AWS , AWS ,Azure,GCP 또는AWSVMC에 대한 설치를 사용자 지정할 수 있습니다. https://access.redhat.com/documentation/en-us/openshift_container_platform/4.10/html-single/installing/#installing-alibaba-customizations

설치 관리자 프로비저닝 인프라 설치의 경우 기존 AWS의 VPC, Azure의 vNet 또는 GCP의 VPC를 사용할 수 있습니다. AWS, Azure, GCP, 또는 AWS의 VMC에서 클러스터가 사용자 환경의 기존 IP 주소 할당과 공존하고 기존 MTU 및 VXLAN 구성과 통합할 수 있으므로 네트워킹 인프라의 부분을 재사용할 수도 있습니다. 이러한 클라우드에 기존 계정과 인증 정보가 있는 경우 다시 사용할 수 있지만 계정을 수정하여 OpenShift Container Platform 클러스터를 설치하는 데 필요한 권한이 있어야 할 수 있습니다.

설치 관리자 프로비저닝 인프라 방법을 사용하여 하드웨어에 RHOSP ,Kuryr, RHOSP on SR-IOV,RHV,vSphere, 베어 메탈 의 적절한 머신 인스턴스를 생성할 수 있습니다. 또한 vSphere,AWS의 VMC 에서 도 설치 중에 추가 네트워크 매개변수를 사용자 지정할 수 있습니다.

광범위한 클라우드 인프라를 재사용하려면 사용자가 프로비저닝한 인프라 설치를 완료할 수 있습니다. 이러한 설치를 통해 설치 프로세스 중에 클러스터에 필요한 머신을 수동으로 배포합니다. AWS, Azure ,Azure Stack Hub,GCP 또는 VMC에서 사용자가 프로비저닝한 인프라 설치를 수행하는 경우, 제공된 템플릿을 사용하여 모든 필수 구성 요소를 유지할 수 있습니다. GCP에서 공유 VPC 를 재사용할 수도 있습니다. 그렇지 않으면 공급자와 무관한 설치 방법을 사용하여 다른 클라우드에 클러스터를 배포할 수 있습니다.

기존 하드웨어에서 사용자가 프로비저닝한 인프라 설치를 완료할 수도 있습니다. RHOSP , RHOSP on SR-IOV,RHV,IBM Z 또는 LinuxONE,IBM Z 또는 LinuxONE with RHEL KVM,IBM Power 또는 vSphere 를 사용하는 경우 특정 설치 지침을 사용하여 클러스터를 배포합니다. 기타 지원되는 하드웨어를 사용하는 경우 베어 메탈 설치 절차를 따르십시오. RHOSP,vSphere,VMC on AWS베어 메탈 과 같은 일부 플랫폼의 경우 설치 중에 추가 네트워크 매개변수를 사용자 지정할 수도 있습니다.

2.1.4. 클러스터에 추가 보안이 필요하십니까?

사용자가 프로비저닝한 설치 메서드를 사용하는 경우 클러스터에 대한 프록시를 구성할 수 있습니다. 지침은 각 설치 절차에 포함됩니다.

퍼블릭 클라우드의 클러스터가 외부에서 끝점을 노출하지 못하도록 하려면 AWS, Azure 또는 GCP에 설치 관리자가 프로비저닝한 인프라가 있는 프라이빗 클러스터를 배포할 수 있습니다.

연결이 끊긴 또는 제한된 네트워크 클러스터와 같은 인터넷에 대한 액세스가 제한된 클러스터를 설치해야 하는 경우 설치 패키지를 미러링하고 여기에서 클러스터를 설치할 수 있습니다. AWS, GCP, IBM Z 또는 LinuxONE, IBM Z 또는 LinuxONE with RHEL KVM, IBM Power, vSphere, AWS의 VMC, 또는 베어 메탈의 제한된 네트워크에 사용자가 프로비저닝한 인프라 설치는 상세한 지침을 따르십시오. AWS, GCP, AWS의 VMC, RHOSP, RHV, vSphere에 대한 자세한 지침에 따라 설치 관리자 프로비저닝 인프라를 사용하여 클러스터를 제한된 네트워크에 설치할 수도 있습니다.

AWS GovCloud 리전,AWS China 리전 또는 Azure 정부 리전에 클러스터를 배포해야 하는 경우 설치 관리자가 프로비저닝한 인프라 설치 중에 해당 사용자 지정 리전을 구성할 수 있습니다.

설치 중에 FIPS 검증 / 진행 중인 모듈 암호화 라이브러리를 사용하도록 클러스터 머신을 구성할 수도 있습니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

2.2. 설치 후 사용자용 클러스터 준비

사용자가 클러스터에 액세스하기 전에 클러스터를 설치하는 데는 일부 구성이 필요하지 않습니다. 클러스터를 구성하는 Operator를 사용자 정의하여 클러스터 자체를 사용자 정의하고 ID 공급자와 같은 다른 필수 시스템과 클러스터를 통합할 수 있습니다.

프로덕션 클러스터의 경우 다음과 같은 통합을 구성해야 합니다.

2.3. 워크로드를 위한 클러스터 준비

워크로드 요구 사항에 따라 애플리케이션 배포를 시작하기 전에 추가 단계를 수행해야 할 수 있습니다. 예를 들어 애플리케이션 빌드 전략을 지원하기 위해 인프라를 준비한 후 대기 시간이 짧은 워크로드를 프로비저닝하거나 중요한 워크로드를 보호해야 할 수 있습니다. 애플리케이션 워크로드에 대한 모니터링을 구성할 수도 있습니다.

2.4. 다른 플랫폼에 지원되는 설치 방법

다른 플랫폼에서 다른 유형의 설치를 수행할 수 있습니다.

참고

다음 표에 표시된 대로 모든 플랫폼에서 모든 설치 옵션이 지원되는 것은 아닙니다.

표 2.1. 설치 프로그램에서 제공하는 인프라 옵션
 AlibabaAWS (x86_64)AWS (arm64)AzureAzure Stack HubGCPRHOSPRHOSP on SR-IOVRHV베어 메탈vSphereVMCIBM Cloud VPCIBM ZIBM Power

기본

X

X

X

X

X

X

  

X

X

X

X

X

  

사용자 정의

X

X

X

X

X

X

X

X

X

 

X

X

X

  

네트워크 사용자 지정

X

X

X

X

X

X

X

   

X

X

X

  

제한된 네트워크

 

X

   

X

X

 

X

 

X

X

   

프라이빗 클러스터

 

X

X

X

 

X

         

기존 가상 사설망

 

X

X

X

 

X

         

정부 리전

 

X

 

X

           

시크릿 리전

 

X

             

중국 리전

 

X

             
표 2.2. 사용자가 제공하는 인프라 옵션
 AlibabaAWSAzureAzure Stack HubGCPRHOSPRHOSP on SR-IOVRHVBare metal (x86_64)Bare metal (arm64)vSphereVMCIBM Cloud VPCIBM ZIBM Z with RHEL KVMIBM Power플랫폼에 구애받지 않음

사용자 지정

 

X

X

X

X

X

X

X

X

X

X

X

 

X

X

X

X

네트워크 사용자 지정

     

X

  

X

X

X

X

     

제한된 네트워크

 

X

  

X

   

X

 

X

X

 

X

X

X

 

클러스터 프로젝트 외부에서 호스팅되는 공유 VPC

    

X

            

3장. 연결 해제된 설치 미러링

3.1. 연결 해제된 설치 미러링 정보

미러 레지스트리를 사용하여 클러스터가 외부 콘텐츠에 대한 조직의 제어 조건을 충족하는 컨테이너 이미지만 사용하도록 할 수 있습니다. 제한된 네트워크에서 프로비저닝된 인프라에 클러스터를 설치하기 전에 필요한 컨테이너 이미지를 해당 환경에 미러링해야 합니다. 컨테이너 이미지를 미러링하려면 미러링을 위한 레지스트리가 있어야 합니다.

3.1.1. 미러 레지스트리 생성

Red Hat Quay와 같은 컨테이너 이미지 레지스트리가 이미 있는 경우 이를 미러 레지스트리로 사용할 수 있습니다. 레지스트리가 없는 경우 Red Hat OpenShift용 미러 레지스트리를 사용하여 미러 레지스트리를 생성할 수 있습니다.

3.1.2. 연결 해제된 설치를 위한 이미지 미러링

다음 절차 중 하나를 사용하여 OpenShift Container Platform 이미지 저장소를 미러 레지스트리에 미러링할 수 있습니다.

3.2. Red Hat OpenShift의 미러 레지스트리를 사용하여 미러 레지스트리 생성

Red Hat OpenShift의 미러 레지스트리는 연결이 끊긴 설치에 필요한 OpenShift Container Platform 컨테이너 이미지를 미러링하기 위한 대상으로 사용할 수 있는 작고 간소화된 컨테이너 레지스트리입니다.

Red Hat Quay와 같은 컨테이너 이미지 레지스트리가 이미 있는 경우 이 섹션을 건너뛰고 OpenShift Container Platform 이미지 리포지토리 미러링으로 바로 이동할 수 있습니다.

3.2.1. 사전 요구 사항

  • OpenShift Container Platform 서브스크립션
  • Podman 3.3 및 OpenSSL이 설치된 RHEL(Red Hat Enterprise Linux) 8
  • DNS 서버를 통해 확인해야 하는 Red Hat Quay 서비스의 정규화된 도메인 이름
  • 대상 호스트에서 암호 없이 사용할 수 있는 sudo 액세스 권한
  • 대상 호스트의 키 기반 SSH 연결 로컬 설치를 위해 SSH 키가 자동으로 생성됩니다. 원격 호스트의 경우 자체 SSH 키를 생성해야 합니다.
  • 2개 이상의 vCPU
  • 8GB RAM.

  • OpenShift Container Platform 4.10 릴리스 이미지용 약 12GB 또는 OpenShift Container Platform 4.10 릴리스 이미지 및 OpenShift Container Platform 4.10 Red Hat Operator 이미지의 경우 약 358GB입니다. 스트림당 최대 1TB 또는 그 이상이 권장됩니다.

    중요

    이러한 요구 사항은 릴리스 이미지 및 Operator 이미지만을 사용한 로컬 테스트 결과를 기반으로 합니다. 스토리지 요구 사항은 조직의 요구에 따라 다를 수 있습니다. 예를 들어 여러 z-streams를 미러링할 때 더 많은 공간이 필요할 수 있습니다. 표준 Red Hat Quay 기능을 사용하여 불필요한 이미지를 제거하고 공간을 확보할 수 있습니다.

3.2.2. Red Hat OpenShift 배포를 위한 미러 레지스트리

OpenShift Container Platform의 연결이 끊긴 배포의 경우 클러스터 설치를 수행하려면 컨테이너 레지스트리가 필요합니다. 이러한 클러스터에서 프로덕션 레벨 레지스트리 서비스를 실행하려면 첫 번째 클러스터를 설치하기 위해 별도의 레지스트리 배포를 생성해야 합니다. Red Hat OpenShift의 미러 레지스트리 는 이러한 요구 사항이 있으며 모든 OpenShift 서브스크립션에 포함되어 있습니다. OpenShift 콘솔 다운로드 페이지에서 다운로드할 수 있습니다.

Red Hat OpenShift의 미러 레지스트리를 사용하면 mirror-registry CLI(명령줄 인터페이스) 툴을 사용하여 Red Hat Quay의 소규모 버전과 필요한 구성 요소를 설치할 수 있습니다. Red Hat OpenShift의 미러 레지스트리는 사전 구성된 로컬 스토리지 및 로컬 데이터베이스와 함께 자동으로 배포됩니다. 또한 단일 입력 세트로 자동 생성된 사용자 자격 증명 및 액세스 권한이 포함되며, 추가 구성 옵션 없이 시작할 수 있습니다.

Red Hat OpenShift의 미러 레지스트리 는 사전 결정된 네트워크 구성을 제공하고 배포에 성공하면 배포된 구성 요소의 자격 증명 및 액세스 URL을 보고합니다. FQDN(정규화된 도메인 이름) 서비스, 수퍼유저 이름 및 암호, 사용자 지정 TLS 인증서와 같은 제한된 선택적 구성 입력 세트도 제공됩니다. 이를 통해 제한된 네트워크 환경에서 OpenShift Container Platform을 실행할 때 모든 OpenShift Container Platform 릴리스 콘텐츠의 오프라인 미러를 쉽게 생성할 수 있도록 컨테이너 레지스트리가 제공됩니다.

Red Hat OpenShift의 미러 레지스트리 는 릴리스 이미지 또는 Red Hat Operator 이미지와 같이 연결이 끊긴 OpenShift Container Platform 클러스터를 설치하는 데 필요한 이미지를 호스팅하도록 제한됩니다. RHEL(Red Hat Enterprise Linux) 머신의 로컬 스토리지를 사용하며 RHEL에서 지원하는 스토리지는 Red Hat OpenShift의 미러 레지스트리에서 지원합니다. 고객이 빌드한 콘텐츠는 Red Hat OpenShift의 미러 레지스트리에서 호스팅해서는 안 됩니다.

Red Hat Quay와 달리 Red Hat OpenShift의 미러 레지스트리는 고가용성 레지스트리가 아니며 로컬 파일 시스템 스토리지만 지원됩니다. 클러스터 플릿을 업데이트할 때 여러 클러스터가 단일 장애 지점을 생성할 수 있기 때문에 클러스터가 여러 개 있는 경우 Red Hat OpenShift 미러 레지스트리를 사용하지 않는 것이 좋습니다. Red Hat OpenShift의 미러 레지스트리를 활용하여 OpenShift Container Platform 콘텐츠를 다른 클러스터에 제공할 수 있는 Red Hat Quay와 같은 프로덕션 수준의 고가용성 레지스트리를 호스팅할 수 있는 클러스터를 설치하는 것이 좋습니다.

설치 환경에서 다른 컨테이너 레지스트리를 이미 사용할 수 있는 경우 Red Hat OpenShift에 미러 레지스트리를 사용하는 것이 선택 사항입니다.

3.2.3. Red Hat OpenShift의 미러 레지스트리를 사용하여 로컬 호스트에서 미러링

다음 절차에서는 mirror-registry 설치 프로그램 도구를 사용하여 로컬 호스트에 Red Hat OpenShift의 미러 레지스트리를 설치하는 방법을 설명합니다. 이렇게 하면 OpenShift Container Platform 이미지의 미러를 저장하기 위해 포트 443에서 실행되는 로컬 호스트 레지스트리를 생성할 수 있습니다.

참고

mirror-registry CLI 툴을 사용하여 Red Hat OpenShift 미러 레지스트리를 설치하면 시스템에 몇 가지 변경 사항이 적용됩니다. 설치 후 설치 파일, 로컬 스토리지 및 구성 번들이 있는 /etc/quay-install 디렉터리가 생성됩니다. 배포 대상이 로컬 호스트인 경우 신뢰할 수 있는 SSH 키가 생성되고, 컨테이너 런타임이 영구적인지 확인하기 위해 호스트 시스템의 systemd 파일이 설정됩니다. 또한 init라는 초기 사용자는 자동으로 생성된 암호를 사용하여 생성됩니다. 모든 액세스 인증 정보는 설치 루틴이 끝나면 출력됩니다.

절차

  1. OpenShift 콘솔 다운로드 페이지에 있는 Red Hat OpenShift용 미러 레지스트리의 최신 버전의 mirror-registry.tar.gz 패키지를 다운로드합니다.

  2. mirror-registry 툴을 사용하여 현재 사용자 계정으로 로컬 호스트에 Red Hat OpenShift의 미러 레지스트리를 설치합니다. 사용 가능한 플래그의 전체 목록은 "Red Hat OpenShift 플래그의 미러 레지스트리"를 참조하십시오. 

    $ sudo ./mirror-registry install \
  --quayHostname <host_example_com> \
  --quayRoot <example_directory_name>

  3. 설치 중에 생성된 사용자 이름과 암호를 사용하여 다음 명령을 실행하여 레지스트리에 로그인합니다. 

    $ podman login --authfile pull-secret.txt \
  -u init \
  -p <password> \
  <host_example_com>:8443> \
  --tls-verify=false 1
    1
    생성된 rootCA 인증서를 신뢰하도록 시스템을 구성하여 --tls-verify=false 실행을 방지할 수 있습니다. 자세한 내용은 "SSL을 사용하여 Red Hat Quay에 대한 연결 보호" 및 "인증 기관을 신뢰하도록 시스템 구성"을 참조하십시오.
    참고

    설치 후 https://<host.example.com>:8443 에서 UI에 액세스하여 로그인할 수도 있습니다.

  4. 로그인 후 OpenShift Container Platform 이미지를 미러링할 수 있습니다. 필요에 따라 이 문서의 "OpenShift Container Platform 이미지 리포지토리 미러링" 또는 "연결이 끊긴 클러스터에 사용할 Operator 카탈로그 미러링" 섹션을 참조하십시오.

    참고

    스토리지 계층 문제로 인해 Red Hat OpenShift의 미러 레지스트리에 저장된 이미지에 문제가 있는 경우 OpenShift Container Platform 이미지를 다시 미러링하거나 더 안정적인 스토리지에 미러 레지스트리를 다시 설치할 수 있습니다.

3.2.4. Red Hat OpenShift의 미러 레지스트리를 사용하여 원격 호스트에서 미러링

다음 절차에서는 mirror-registry 툴을 사용하여 원격 호스트에 Red Hat OpenShift 미러 레지스트리를 설치하는 방법을 설명합니다. 이렇게 하면 사용자가 OpenShift Container Platform 이미지의 미러를 저장할 레지스트리를 생성할 수 있습니다.

참고

mirror-registry CLI 툴을 사용하여 Red Hat OpenShift 미러 레지스트리를 설치하면 시스템에 몇 가지 변경 사항이 적용됩니다. 설치 후 설치 파일, 로컬 스토리지 및 구성 번들이 있는 /etc/quay-install 디렉터리가 생성됩니다. 배포 대상이 로컬 호스트인 경우 신뢰할 수 있는 SSH 키가 생성되고, 컨테이너 런타임이 영구적인지 확인하기 위해 호스트 시스템의 systemd 파일이 설정됩니다. 또한 init라는 초기 사용자는 자동으로 생성된 암호를 사용하여 생성됩니다. 모든 액세스 인증 정보는 설치 루틴이 끝나면 출력됩니다.

절차

  1. OpenShift 콘솔 다운로드 페이지에 있는 Red Hat OpenShift용 미러 레지스트리의 최신 버전의 mirror-registry.tar.gz 패키지를 다운로드합니다.

  2. mirror-registry 툴을 사용하여 현재 사용자 계정으로 로컬 호스트에 Red Hat OpenShift의 미러 레지스트리를 설치합니다. 사용 가능한 플래그의 전체 목록은 "Red Hat OpenShift 플래그의 미러 레지스트리"를 참조하십시오. 

    $ sudo ./mirror-registry install -v \
  --targetHostname <host_example_com> \
  --targetUsername <example_user> \
  -k ~/.ssh/my_ssh_key \
  --quayHostname <host_example_com> \
  --quayRoot <example_directory_name>

  3. 다음 명령을 실행하여 설치 중에 생성된 사용자 이름과 암호를 사용하여 미러 레지스트리에 로그인합니다. 

    $ podman login --authfile pull-secret.txt \
  -u init \
  -p <password> \
  <host_example_com>:8443> \
  --tls-verify=false 1
    1
    생성된 rootCA 인증서를 신뢰하도록 시스템을 구성하여 --tls-verify=false 실행을 방지할 수 있습니다. 자세한 내용은 "SSL을 사용하여 Red Hat Quay에 대한 연결 보호" 및 "인증 기관을 신뢰하도록 시스템 구성"을 참조하십시오.
    참고

    설치 후 https://<host.example.com>:8443 에서 UI에 액세스하여 로그인할 수도 있습니다.

  4. 로그인 후 OpenShift Container Platform 이미지를 미러링할 수 있습니다. 필요에 따라 이 문서의 "OpenShift Container Platform 이미지 리포지토리 미러링" 또는 "연결이 끊긴 클러스터에 사용할 Operator 카탈로그 미러링" 섹션을 참조하십시오.

    참고

    스토리지 계층 문제로 인해 Red Hat OpenShift의 미러 레지스트리에 저장된 이미지에 문제가 있는 경우 OpenShift Container Platform 이미지를 다시 미러링하거나 더 안정적인 스토리지에 미러 레지스트리를 다시 설치할 수 있습니다.

3.2.5. Red Hat OpenShift의 미러 레지스트리 업그레이드

  • 다음 명령을 실행하여 로컬 호스트에서 Red Hat OpenShift의 미러 레지스트리 를 업그레이드할 수 있습니다. 

    $ sudo ./mirror-registry upgrade
    참고
    • ./mirror-registry upgrade 플래그를 사용하여 Red Hat OpenShift의 미러 레지스트리 를 업그레이드하는 사용자는 미러 레지스트리를 만들 때 사용되는 것과 동일한 인증 정보를 포함해야 합니다. 예를 들어 --quayHostname <host_example_com>--quayRoot <example_directory_name>을 사용하여 Red Hat OpenShift의 미러 레지스트리 를 설치한 경우 미러 레지스트리를 올바르게 업그레이드하려면 해당 문자열을 포함해야 합니다.

3.2.6. Red Hat OpenShift의 미러 레지스트리 설치 제거

  • 다음 명령을 실행하여 로컬 호스트에서 Red Hat OpenShift의 미러 레지스트리 를 설치 제거할 수 있습니다. 

    $ sudo ./mirror-registry uninstall -v \
  --quayRoot <example_directory_name>
    참고
    • Red Hat OpenShift의 미러 레지스트리를 삭제하면 삭제하기 전에 사용자에게 메시지를 표시합니다. --autoApprove를 사용하여 이 프롬프트를 건너뛸 수 있습니다.
    • --quayRoot 플래그를 사용하여 Red Hat OpenShift의 미러 레지스트리 를 설치하는 사용자는 제거할 때 --quayRoot 플래그를 포함해야 합니다. 예를 들어 --quayRoot example_directory_name을 사용하여 Red Hat OpenShift의 미러 레지스트리 를 설치한 경우 미러 레지스트리를 올바르게 제거하려면 해당 문자열을 포함해야 합니다.

3.2.7. Red Hat OpenShift 플래그의 미러 레지스트리

다음 플래그는 Red Hat OpenShift의 미러 레지스트리에 사용할 수 있습니다.

플래그설명

--autoApprove

대화형 프롬프트를 비활성화하는 부울 값입니다. true 로 설정하면 미러 레지스트리를 제거할 때 quayRoot 디렉터리가 자동으로 삭제됩니다. 지정되지 않은 경우 기본값은 false 입니다.

--initPassword

Quay 설치 중에 생성된 init 사용자의 암호입니다. 8자 이상이어야 하며 공백을 포함하지 않아야 합니다.

--initUser string

초기 사용자의 사용자 이름을 표시합니다. 지정되지 않은 경우 기본값은 init 입니다.

--quayHostname

클라이언트가 레지스트리에 연결하는 데 사용할 미러 레지스트리의 정규화된 도메인 이름입니다. Quay config.yamlSERVER_HOSTNAME 과 동일합니다. DNS로 확인해야 합니다. 지정되지 않은 경우 기본값은 <targetHostname>:8443입니다. [1]

--quayRoot, -r

rootCA.key,rootCA.pem, rootCA.srl 인증서를 포함하여 컨테이너 이미지 계층 및 구성 데이터가 저장되는 디렉터리입니다. OpenShift Container Platform 4.10 릴리스 이미지 또는 OpenShift Container Platform 4.10 릴리스 이미지 및 OpenShift Container Platform 4.10 Red Hat Operator 이미지의 경우 약 12GB가 필요합니다. 지정되지 않은 경우 기본값은 /etc/quay-install 입니다.

--SSH-key,-k

SSH ID 키의 경로입니다. 지정되지 않은 경우 기본값은 ~/.ssh/quay_installer 입니다.

--sslCert

SSL/TLS 공개 키 / 인증서의 경로입니다. 기본값은 {quayRoot}/quay-config 이며 지정되지 않은 경우 자동으로 생성됩니다.

--sslCheckSkip

config.yaml 파일의 SERVER_HOSTNAME 에 대해 인증서 호스트 이름의 검사를 건너뜁니다. [2]

--sslKey

HTTPS 통신에 사용되는 SSL/TLS 개인 키의 경로입니다. 기본값은 {quayRoot}/quay-config 이며 지정되지 않은 경우 자동으로 생성됩니다.

--targetHostname, -H

Quay를 설치할 대상의 호스트 이름입니다. 지정되지 않은 경우 기본값은 $HOST (예: 로컬 호스트)입니다.

--targetUsername, -u

SSH에 사용할 대상 호스트의 사용자입니다. 기본값은 $USER 입니다. 예를 들어 지정되지 않은 경우 현재 사용자입니다.

--verbose, -v

디버그 로그 및 Ansible 플레이북 출력을 표시합니다.

--version

Red Hat OpenShift의 미러 레지스트리 버전을 보여줍니다.

  1. 시스템의 공용 DNS 이름이 로컬 호스트 이름과 다른 경우 --quayHostname을 수정해야 합니다.
  2. --sslCheckSkip은 미러 레지스트리가 프록시 뒤에 설정되고 노출된 호스트 이름이 내부 Quay 호스트 이름과 다른 경우 사용됩니다. 설치하는 동안 제공된 Quay 호스트 이름에 대해 인증서의 유효성을 검사하는 것을 원하지 않을 때 사용할 수도 있습니다.

3.2.8. Red Hat OpenShift 릴리스 노트의 미러 레지스트리

Red Hat OpenShift의 미러 레지스트리는 연결이 끊긴 설치에 필요한 OpenShift Container Platform 컨테이너 이미지를 미러링하기 위한 대상으로 사용할 수 있는 작고 간소화된 컨테이너 레지스트리입니다.

이 릴리스 노트에서는 OpenShift Container Platform에서 Red Hat Openshift의 미러 레지스트리 개발을 추적합니다.

Red Hat OpenShift의 미러 레지스트리 개요는 Red Hat OpenShift용 미러 레지스트리를 사용하여 미러 레지스트리 만들기를 참조하십시오.

3.2.8.1. Red Hat OpenShift 1.2.1의 미러 레지스트리

Red Hat OpenShift의 미러 레지스트리 는 이제 Red Hat Quay 3.7.2에서 사용할 수 있습니다.

Red Hat OpenShift의 미러 레지스트리에 다음 권고를 사용할 수 있습니다.

3.2.8.2. Red Hat OpenShift 1.2.0의 미러 레지스트리

Red Hat OpenShift의 미러 레지스트리 는 이제 Red Hat Quay 3.7.1에서 사용할 수 있습니다.

Red Hat OpenShift의 미러 레지스트리에 다음 권고를 사용할 수 있습니다.

3.2.8.2.1. 버그 수정
  • 이전에는 Quay Pod Operator 내에서 실행 중인 모든 구성 요소와 작업자의 로그 수준이 DEBUG 로 설정되었습니다. 그 결과 불필요한 공간을 소비한 대규모 트래픽 로그가 생성되었습니다. 이번 업데이트를 통해 로그 수준은 기본적으로 WARN 으로 설정되어 문제 시나리오를 유발하는 동안 트래픽 정보가 줄어듭니다. (PROJQUAY-3504)
3.2.8.3. Red Hat OpenShift 1.1.0의 미러 레지스트리

Red Hat OpenShift의 미러 레지스트리에 다음 권고를 사용할 수 있습니다.

RHBA-2022:0956 - Red Hat OpenShift 1.1.0의 미러 레지스트리

3.2.8.3.1. 새로운 기능

  • 새 명령 mirror-registry 업그레이드 가 추가되었습니다. 이 명령은 구성 또는 데이터를 방해하지 않고 모든 컨테이너 이미지를 업그레이드합니다.

    참고

    이전에 quayRoot 가 default 이외의 다른 값으로 설정된 경우 업그레이드 명령으로 전달해야 합니다.

3.2.8.3.2. 버그 수정
  • 이전에는 quayHostname 또는 targetHostname 이 없는 경우 로컬 호스트 이름이 기본값이 되지 않았습니다. 이번 업데이트를 통해 이제 quayHostnametargetHostname 이 누락된 경우 로컬 호스트 이름으로 설정됩니다. (PROJQUAY-3079)
  • 이전 버전에서는 ./mirror-registry --version 명령으로 알 수 없는 플래그 오류를 반환했습니다. 이제 ./mirror-registry --version 을 실행하면 Red Hat OpenShift의 현재 미러 레지스트리 버전이 반환됩니다. (PROJQUAY-3086)
  • 이전에는 설치 중에 암호를 설정할 수 없었습니다(예: ./mirror-registry install --initUser <user_name> --initPassword <password> --verbose ). 이번 업데이트를 통해 사용자는 설치 중에 암호를 설정할 수 있습니다. (PROJQUAY-3149)
  • 이전에는 Red Hat OpenShift의 미러 레지스트리 가 제거된 경우 Pod를 다시 생성하지 않았습니다. 이제 Pod가 삭제되면 다시 생성됩니다. (PROJQUAY-3261)

추가 리소스

3.3. 연결 해제된 설치를 위한 이미지 미러링

클러스터가 외부 콘텐츠에 대한 조직의 제어를 충족하는 컨테이너 이미지만 사용하도록 할 수 있습니다. 제한된 네트워크에서 프로비저닝된 인프라에 클러스터를 설치하기 전에 필요한 컨테이너 이미지를 해당 환경에 미러링해야 합니다. 컨테이너 이미지를 미러링하려면 미러링을 위한 레지스트리가 있어야 합니다.

중요

필요한 컨테이너 이미지를 얻으려면 인터넷에 액세스해야 합니다. 이 절차에서는 네트워크와 인터넷에 모두 액세스할 수 있는 미러 호스트에 미러 레지스트리를 배치합니다. 미러 호스트에 액세스할 수 없는 경우 연결이 끊긴 클러스터에 사용할 Operator 카탈로그를 미러링하여 네트워크 경계를 이동할 수 있는 장치에 이미지를 복사합니다.

3.3.1. 사전 요구 사항

Red Hat Quay에 대한 사용 권한이 있는 경우, 개념 증명 목적으로 또는 Quay Operator를 사용하여 Red Hat Quay 배포에 대한 설명서를 참조하십시오. 레지스트리를 선택 및 설치하는데 추가 지원이 필요한 경우 영업 담당자 또는 Red Hat 지원팀에 문의하십시오.

  • 컨테이너 이미지 레지스트리에 대한 기존 솔루션이 없는 경우 OpenShift Container Platform 구독자에게 Red Hat OpenShift의 미러 레지스트리가 제공됩니다. Red Hat OpenShift의 미러 레지스트리 는 서브스크립션에 포함되어 있으며 연결이 끊긴 설치에서 OpenShift Container Platform의 필요한 컨테이너 이미지를 미러링하는 데 사용할 수 있는 소규모 컨테이너 레지스트리입니다.

3.3.2. 미러 레지스트리 정보

OpenShift Container Platform 설치 및 후속 제품 업데이트에 Red Hat Quay, JFrog Artifactory, Sonatype Nexus Repository 또는 Harbor와 같은 컨테이너 미러 레지스트리에 필요한 이미지를 미러링할 수 있습니다. 대규모 컨테이너 레지스트리에 액세스할 수 없는 경우 OpenShift Container Platform 서브스크립션에 포함된 소규모 컨테이너 레지스트리인 Red Hat OpenShift에 미러 레지스트리를 사용할 수 있습니다.

Docker v2-2, Red Hat OpenShift의 미러 레지스트리, Artifactory, Sonatype Nexus Repository 또는 Harbor와 같은 Docker v2-2를 지원하는 모든 컨테이너 레지스트리를 사용할 수 있습니다. 선택한 레지스트리에 관계없이 인터넷상의 Red Hat 호스팅 사이트의 콘텐츠를 격리된 이미지 레지스트리로 미러링하는 절차는 동일합니다. 콘텐츠를 미러링한 후 미러 레지스트리에서 이 콘텐츠를 검색하도록 각 클러스터를 설정합니다.

중요

OpenShift Container Platform 클러스터의 내부 레지스트리는 미러링 프로세스 중에 필요한 태그 없이 푸시를 지원하지 않기 때문에 대상 레지스트리로 사용할 수 없습니다.

Red Hat OpenShift의 미러 레지스트리가 아닌 컨테이너 레지스트리를 선택하는 경우 프로비저닝하는 클러스터의 모든 시스템에서 액세스할 수 있어야 합니다. 레지스트리에 연결할 수 없는 경우 설치, 업데이트 또는 워크로드 재배치와 같은 일반 작업이 실패할 수 있습니다. 따라서 고가용성 방식으로 미러 레지스트리를 실행해야하며 미러 레지스트리는 최소한 OpenShift Container Platform 클러스터의 프로덕션 환경의 가용성조건에 일치해야 합니다.

미러 레지스트리를 OpenShift Container Platform 이미지로 채우면 다음 두 가지 시나리오를 수행할 수 있습니다. 호스트가 인터넷과 미러 레지스트리에 모두 액세스할 수 있지만 클러스터 노드에 액세스 할 수 없는 경우 해당 머신의 콘텐츠를 직접 미러링할 수 있습니다. 이 프로세스를 connected mirroring(미러링 연결)이라고 합니다. 그러한 호스트가 없는 경우 이미지를 파일 시스템에 미러링한 다음 해당 호스트 또는 이동식 미디어를 제한된 환경에 배치해야 합니다. 이 프로세스를 미러링 연결 해제라고 합니다.

미러링된 레지스트리의 경우 가져온 이미지의 소스를 보려면 CRI-O 로그의 Trying to access 로그 항목을 검토해야 합니다. 노드에서 crictl images 명령을 사용하는 등의 이미지 가져오기 소스를 보는 다른 방법은 미러링되지 않은 이미지 이름을 표시합니다.

참고

Red Hat은 OpenShift Container Platform에서 타사 레지스트리를 테스트하지 않습니다.

추가 정보

이미지 소스를 보려면 CRI-O 로그를 확인하는 방법에 대한 자세한 내용은 이미지 가져오기 소스 보기를 참조하십시오.

3.3.3. 미러 호스트 준비

미러 단계를 수행하기 전에 호스트는 콘텐츠를 검색하고 원격 위치로 푸시할 준비가 되어 있어야 합니다.

3.3.3.1. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

3.3.4. 이미지를 미러링할 수 있는 인증 정보 설정

Red Hat에서 미러로 이미지를 미러링할 수 있는 컨테이너 이미지 레지스트리 인증 정보 파일을 생성합니다.

주의

클러스터를 설치할 때 이 이미지 레지스트리 인증 정보 파일을 풀 시크릿(pull secret)으로 사용하지 마십시오. 클러스터를 설치할 때 이 파일을 지정하면 클러스터의 모든 시스템에 미러 레지스트리에 대한 쓰기 권한이 부여됩니다.

주의

이 프로세스에서는 미러 레지스트리의 컨테이너 이미지 레지스트리에 대한 쓰기 권한이 있어야 하며 인증 정보를 레지스트리 풀 시크릿에 추가해야 합니다.

사전 요구 사항

  • 네트워크가 제한된 환경에서 사용하도록 미러 레지스트리가 설정되어 있습니다.
  • 미러 레지스트리에서 이미지를 미러링할 이미지 저장소 위치를 확인했습니다.
  • 이미지를 해당 이미지 저장소에 업로드할 수 있는 미러 레지스트리 계정을 제공하고 있습니다.

프로세스

설치 호스트에서 다음 단계를 수행합니다.

  1. Red Hat OpenShift Cluster Manager에서 registry.redhat.io 풀 시크릿을 다운로드합니다.

  2. 풀 시크릿을 JSON 형식으로 복사합니다. 

    $ cat ./pull-secret | jq . > <path>/<pull_secret_file_in_json> 1
    1
    풀 시크릿을 저장할 폴더의 경로와 생성한 JSON 파일의 이름을 지정합니다.

    파일의 내용은 다음 예와 유사합니다. 

    {
  "auths": {
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}

  3. 미러 레지스트리에 대한 base64로 인코딩된 사용자 이름 및 암호 또는 토큰을 생성합니다. 

    $ echo -n '<user_name>:<password>' | base64 -w0 1
BGVtbYk3ZHAtqXs=
    1
    <user_name><password>의 경우 레지스트리에 설정한 사용자 이름 및 암호를 지정합니다.

  4. JSON 파일을 편집하고 레지스트리를 설명하는 섹션을 추가합니다. 

      "auths": {
    "<mirror_registry>": { 1
      "auth": "<credentials>", 2
      "email": "you@example.com"
  },
    1
    <mirror_registry>의 경우 미러 레지스트리가 콘텐츠를 제공하는데 사용하는 레지스트리 도메인 이름 및 포트 (선택 사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:5000
    2
    <credentials>의 경우 미러 레지스트리에 대해 base64로 인코딩된 사용자 이름 및 암호를 지정합니다.

    파일은 다음 예제와 유사합니다. 

    {
  "auths": {
    "registry.example.com": {
      "auth": "BGVtbYk3ZHAtqXs=",
      "email": "you@example.com"
    },
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}

3.3.5. OpenShift Container Platform 이미지 저장소 미러링

클러스터 설치 또는 업그레이드 중에 사용할 OpenShift Container Platform 이미지 저장소를 레지스트리에 미러링합니다.

사전 요구 사항

  • 미러 호스트가 인터넷에 액세스할 수 있습니다.
  • 네트워크가 제한된 환경에서 사용할 미러 레지스트리를 설정하고 설정한 인증서 및 인증 정보에 액세스할 수 있습니다.
  • Red Hat OpenShift Cluster Manager에서 풀 시크릿을 다운로드하여 미러 저장소에 대한 인증을 포함하도록 수정했습니다.
  • 자체 서명된 인증서를 사용하는 경우 인증서에 주체 대체 이름을 지정했습니다.

절차

미러 호스트에서 다음 단계를 완료합니다.

  1. OpenShift Container Platform 다운로드 페이지를 확인하여 설치할 OpenShift Container Platform 버전을 확인하고 Repository Tags 페이지에서 해당 태그를 지정합니다.

  2. 필요한 환경 변수를 설정합니다.

    1. 릴리스 버전을 내보냅니다. 

      $ OCP_RELEASE=<release_version>

      <release_version>에 대해 설치할 OpenShift Container Platform 버전에 해당하는 태그를 지정합니다 (예: 4.5.4).

    2. 로컬 레지스트리 이름 및 호스트 포트를 내보냅니다. 

      $ LOCAL_REGISTRY='<local_registry_host_name>:<local_registry_host_port>'

      <local_registry_host_name>의 경우 미러 저장소의 레지스트리 도메인 이름을 지정하고 <local_registry_host_port>의 경우 콘텐츠를 제공하는데 사용되는 포트를 지정합니다.

    3. 로컬 저장소 이름을 내보냅니다. 

      $ LOCAL_REPOSITORY='<local_repository_name>'

      <local_repository_name>의 경우 레지스트리에 작성할 저장소 이름 (예: ocp4/openshift4)을 지정합니다.

    4. 미러링할 저장소 이름을 내보냅니다. 

      $ PRODUCT_REPO='openshift-release-dev'

      프로덕션 환경의 릴리스의 경우 openshift-release-dev를 지정해야 합니다.

    5. 레지스트리 풀 시크릿의 경로를 내보냅니다. 

      $ LOCAL_SECRET_JSON='<path_to_pull_secret>'

      생성한 미러 레지스트리에 대한 풀 시크릿의 절대 경로 및 파일 이름을 <path_to_pull_secret>에 지정합니다.

    6. 릴리스 미러를 내보냅니다. 

      $ RELEASE_NAME="ocp-release"

      프로덕션 환경의 릴리스의 경우 ocp-release를 지정해야 합니다.

    7. 서버의 아키텍처 유형 (예: x86_64)을 내보냅니다. 

      $ ARCHITECTURE=<server_architecture>

    8. 미러링된 이미지를 호스트할 디렉터리의 경로를 내보냅니다. 

      $ REMOVABLE_MEDIA_PATH=<path> 1
      1
      초기 슬래시 (/) 문자를 포함하여 전체 경로를 지정합니다.

  3. 미러 레지스트리에 버전 이미지를 미러링합니다.

    • 미러 호스트가 인터넷에 액세스할 수 없는 경우 다음 작업을 수행합니다.

      1. 이동식 미디어를 인터넷에 연결된 시스템에 연결합니다.

      2. 미러링할 이미지 및 설정 매니페스트를 확인합니다. 

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON}  \
     --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \
     --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
     --to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE} --dry-run
      3. 이전 명령의 출력에서 전체 imageContentSources 섹션을 기록합니다. 미러에 대한 정보는 미러링된 저장소에 고유하며 설치 중에 imageContentSources 섹션을 install-config.yaml 파일에 추가해야 합니다.

      4. 이동식 미디어의 디렉터리에 이미지를 미러링합니다. 

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON} --to-dir=${REMOVABLE_MEDIA_PATH}/mirror quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE}

      5. 미디어를 네트워크가 제한된 환경으로 가져와서 이미지를 로컬 컨테이너 레지스트리에 업로드합니다. 

        $ oc image mirror -a ${LOCAL_SECRET_JSON} --from-dir=${REMOVABLE_MEDIA_PATH}/mirror "file://openshift/release:${OCP_RELEASE}*" ${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} 1
        1
        REMOVABLE_MEDIA_PATH의 경우 이미지를 미러링 할 때 지정한 것과 동일한 경로를 사용해야 합니다.

    • 로컬 컨테이너 레지스트리가 미러 호스트에 연결된 경우 다음 작업을 수행합니다.

      1. 다음 명령을 사용하여 릴리스 이미지를 로컬 레지스트리에 직접 푸시합니다. 

        $ oc adm release mirror -a ${LOCAL_SECRET_JSON}  \
     --from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \
     --to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
     --to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}

        이 명령은 요약된 릴리스 정보를 가져오며, 명령 출력에는 클러스터를 설치할 때 필요한 imageContentSources 데이터가 포함됩니다.

      2. 이전 명령의 출력에서 전체 imageContentSources 섹션을 기록합니다. 미러에 대한 정보는 미러링된 저장소에 고유하며 설치 중에 imageContentSources 섹션을 install-config.yaml 파일에 추가해야 합니다.

        참고

        미러링 프로세스 중에 이미지 이름이 Quay.io에 패치되고 podman 이미지는 부트스트랩 가상 머신의 레지스트리에 Quay.io를 표시합니다.

  4. 미러링된 콘텐츠를 기반으로 설치 프로그램을 생성하려면 콘텐츠를 추출하여 릴리스 배포에 고정합니다.

    • 미러 호스트가 인터넷에 액세스할 수 없는 경우 다음 명령을 실행합니다. 

      $ oc adm release extract -a ${LOCAL_SECRET_JSON} --command=openshift-install "${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}"

    • 로컬 컨테이너 레지스트리가 미러 호스트에 연결된 경우 다음 명령을 실행합니다. 

      $ oc adm release extract -a ${LOCAL_SECRET_JSON} --command=openshift-install "${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}"
      중요

      선택한 OpenShift Container Platform 버전에 올바른 이미지를 사용하려면 미러링된 콘텐츠에서 설치 프로그램을 배포해야 합니다.

      인터넷이 연결된 컴퓨터에서 이 단계를 수행해야 합니다.

      연결이 끊긴 환경에 있는 경우 --image 플래그를 must-gather의 일부로 사용하여 페이로드 이미지를 가리킵니다.

  5. 설치 프로그램에서 제공하는 인프라를 사용하는 클러스터의 경우 다음 명령을 실행합니다. 

    $ openshift-install

3.3.6. 연결이 끊긴 환경의 Cluster Samples Operator

연결이 끊긴 환경에서는 Cluster Samples Operator를 구성하기 위해 클러스터를 설치한 후 추가 단계를 수행해야 합니다. 준비 과정에서 다음 정보를 검토합니다.

3.3.6.1. 미러링을 위한 Cluster Samples Operator 지원

설치 프로세스 중에 OpenShift Container Platform은 openshift-cluster-samples-operator 네임스페이스에 imagestreamtag-to-image라는 구성 맵을 생성합니다. imagestreamtag-to-image 구성 맵에는 각 이미지 스트림 태그에 대한 이미지 채우기 항목이 포함되어 있습니다.

구성 맵의 데이터 필드에 있는 각 항목의 키 형식은 <image_stream_name>_<image_stream_tag_name>입니다.

OpenShift Container Platform의 연결이 끊긴 설치 프로세스 중에 Cluster Samples Operator의 상태가 Removed로 설정됩니다. Managed로 변경하려면 샘플이 설치됩니다.

참고

네트워크 제한 또는 중단된 환경에서 샘플을 사용하려면 네트워크 외부의 서비스에 액세스해야 할 수 있습니다. 일부 예제 서비스에는 GitHub, Maven Central, npm, RubyGems, PyPi 등이 있습니다. 클러스터 샘플 Operator의 오브젝트가 필요한 서비스에 도달할 수 있도록 하는 추가 단계가 있을 수 있습니다.

이 구성 맵을 사용하여 이미지 스트림을 가져오려면 이미지를 미러링해야 하는 이미지 참조로 사용할 수 있습니다.

  • Cluster Samples Operator가 Removed로 설정된 경우 미러링된 레지스트리를 생성하거나 사용할 기존 미러링된 레지스트리를 확인할 수 있습니다.
  • 새 구성 맵을 가이드로 사용하여 미러링된 레지스트리에 샘플을 미러링합니다.
  • Cluster Samples Operator 구성 개체의 skippedImagestreams 필드에 미러링되지 않은 이미지 스트림을 추가합니다.
  • Cluster Samples Operator 구성 개체의 samplesRegistry 를 미러링된 레지스트리로 설정합니다.
  • 그런 다음 Cluster Samples Operator를 Managed로 설정하여 미러링된 이미지 스트림을 설치합니다.

3.3.7. 연결이 끊긴 클러스터와 함께 사용할 Operator 카탈로그 미러링

oc adm catalog mirror 명령을 사용하여 Red Hat 제공 카탈로그 또는 사용자 정의 카탈로그의 Operator 콘텐츠를 컨테이너 이미지 레지스트리에 미러링할 수 있습니다. 대상 레지스트리는 Docker v2-2를 지원해야 합니다. 제한된 네트워크에 있는 클러스터의 경우 이 레지스트리는 제한된 네트워크 클러스터 설치 중 생성된 미러 레지스트리와 같이 클러스터에 네트워크 액세스 권한이 있는 레지스트리일 수 있습니다.

oc adm catalog mirror 명령은 또한 Red Hat 제공 인덱스 이미지이든 자체 사용자 정의 빌드 인덱스 이미지이든 미러링 프로세스 중에 지정하는 인덱스 이미지를 대상 레지스트리에 자동으로 미러링합니다. 그러면 미러링된 인덱스 이미지를 사용하여 OLM(Operator Lifecycle Manager)이 OpenShift Container Platform 클러스터에 미러링된 카탈로그를 로드할 수 있는 카탈로그 소스를 생성할 수 있습니다.

추가 리소스

3.3.7.1. 사전 요구 사항

연결이 끊긴 클러스터에 사용할 Operator 카탈로그를 미러링하려면 다음과 같은 사전 요구 사항이 있습니다.

  • 워크스테이션에서 무제한 네트워크 액세스가 가능합니다.
  • podman 버전이 1.9.3 이상입니다.

  • 기본 카탈로그를 필터링하거나 정리하고 선택적으로 Operator 서브 세트만 미러링하려면 다음 섹션을 참조하십시오.

  • Red Hat 제공 카탈로그를 미러링하려면 무제한 네트워크 액세스 권한이 있는 워크스테이션에서 다음 명령을 실행하여 registry.redhat.io로 인증합니다. 

    $ podman login registry.redhat.io
  • Docker v2-2 를 지원하는 미러 레지스트리에 액세스합니다.
  • 미러 레지스트리에서 미러링된 Operator 콘텐츠를 저장하는 데 사용할 네임스페이스를 결정합니다. 예를 들어 olm-mirror 네임스페이스를 생성할 수 있습니다.
  • 미러 레지스트리가 인터넷에 액세스할 수 없는 경우 이동식 미디어를 무제한 네트워크 액세스 권한이 있는 워크스테이션에 연결합니다.

  • registry.redhat.io 를 포함하여 프라이빗 레지스트리로 작업하는 경우 REG_CREDS 환경 변수를 이후 단계에서 사용할 레지스트리 자격 증명의 파일 경로로 설정합니다. 예를 들어 podman CLI의 경우: 

    $ REG_CREDS=${XDG_RUNTIME_DIR}/containers/auth.json
3.3.7.2. 카탈로그 콘텐츠 추출 및 미러링

oc adm catalog mirror 명령은 인덱스 이미지의 콘텐츠를 추출하여 미러링에 필요한 매니페스트를 생성합니다. 명령의 기본 동작은 매니페스트를 생성한 다음 인덱스 이미지 자체뿐만 아니라 인덱스 이미지의 모든 이미지 콘텐츠를 미러 레지스트리에 자동으로 미러링합니다.

또는 미러 레지스트리가 완전히 연결이 끊긴 호스트 또는 에어갭(Airgap) 호스트에 있는 경우 먼저 콘텐츠를 이동식 미디어로 미러링하고 미디어를 연결이 끊긴 환경으로 이동한 다음 미디어에서 레지스트리로 해당 콘텐츠를 미러링할 수 있습니다.

3.3.7.2.1. 동일한 네트워크의 레지스트리에 카탈로그 콘텐츠 미러링

미러 레지스트리가 무제한 네트워크 액세스 권한이 있는 워크스테이션과 동일한 네트워크에 배치된 경우 워크스테이션에서 다음 작업을 수행합니다.

절차

  1. 미러 레지스트리에 인증이 필요한 경우 다음 명령을 실행하여 레지스트리에 로그인합니다. 

    $ podman login <mirror_registry>

  2. 다음 명령을 실행하여 콘텐츠를 미러 레지스트리에 추출하고 미러링합니다. 

    $ oc adm catalog mirror \
    <index_image> \ 1
    <mirror_registry>:<port>/<namespace> \ 2
    [-a ${REG_CREDS}] \ 3
    [--insecure] \ 4
    [--index-filter-by-os='<platform>/<arch>'] \ 5
    [--manifests-only] 6
    1
    미러링할 카탈로그의 인덱스 이미지를 지정합니다. 예를 들어 이전에 생성한 정리된 인덱스 이미지 또는 registry.redhat.io/redhat/redhat-operator-index:v4.10 등 기본 카탈로그의 소스 인덱스 이미지 중 하나일 수 있습니다.
    2
    Operator 콘텐츠를 미러링할 대상 레지스트리 및 네임스페이스의 정규화된 도메인 이름(FQDN)을 지정합니다. 여기서 <namespace>는 레지스트리의 기존 네임스페이스입니다. 예를 들어 미러링된 콘텐츠를 모두 내보내기 위해 olm-mirror 네임스페이스를 생성할 수 있습니다.
    3
    선택 사항: 필요한 경우 레지스트리 자격 증명 파일의 위치를 지정합니다. registry.redhat.io 에는 {REG_CREDS} 가 필요합니다.
    4
    선택 사항: 대상 레지스트리에 대한 트러스트를 구성하지 않으려면 --insecure 플래그를 추가합니다.
    5
    선택 사항: 여러 변형이 있을 때 선택할 수 있는 인덱스 이미지의 플랫폼 및 아키텍처를 지정합니다. 이미지는 '<platform>/<arch>[/<variant>]’로 전달됩니다. 이는 인덱스에서 참조하는 이미지에는 적용되지 않습니다. 유효한 값은 linux/amd64, linux/ppc64le, linux/s390x, .*입니다.
    6
    선택 사항: 미러링에 필요한 매니페스트만 생성하고 실제로 이미지 콘텐츠를 레지스트리에 미러링하지 않습니다. 이 선택 사항은 미러링할 항목을 검토하는 데 유용할 수 있으며 패키지의 서브 세트만 필요한 경우 매핑 목록을 변경할 수 있습니다. 그런 다음 oc image mirror 명령과 함께 mapping.txt 파일을 사용하여 이후 단계에서 수정된 이미지 목록을 미러링할 수 있습니다. 이 플래그는 카탈로그에서 콘텐츠의 고급 선택적 미러링에만 사용됩니다. 이전에 인덱스 이미지를 정리하기 위해 사용한 경우 opm index prune 명령은 대부분의 카탈로그 관리 사용 사례에 적합합니다.

    출력 예

    src image has index label for database path: /database/index.db
using database path mapping: /database/index.db:/tmp/153048078
wrote database to /tmp/153048078 1
...
wrote mirroring manifests to manifests-redhat-operator-index-1614211642 2

    1
    명령으로 생성된 임시 index.db 데이터베이스용 디렉터리입니다.
    2
    생성된 매니페스트 디렉터리 이름을 기록합니다. 이 디렉터리는 후속 절차에서 참조됩니다.
    참고

    Red Hat Quay는 중첩된 리포지토리를 지원하지 않습니다. 결과적으로 oc adm catalog mirror 명령을 실행하면 401 무단 오류와 함께 실패합니다. 이 문제를 해결하려면 oc adm catalog mirror 명령을 실행하여 중첩된 리포지토리 생성을 비활성화할 때 --max-components=2 옵션을 사용할 수 있습니다. 이 해결 방법에 대한 자세한 내용은 Quay 레지스트리 지식베이스 솔루션에서 catalog mirror 명령을 사용하는 동안 발생하는 무단 오류를 참조하십시오.

추가 리소스

3.3.7.2.2. Airgapped 레지스트리에 카탈로그 콘텐츠 미러링

미러 레지스트리가 완전히 연결이 끊겼거나 에어그래시된 호스트에 있는 경우 다음 작업을 수행합니다.

절차

  1. 무제한 네트워크 액세스 권한이 있는 워크스테이션에서 다음 명령을 실행하여 콘텐츠를 로컬 파일에 미러링합니다. 

    $ oc adm catalog mirror \
    <index_image> \ 1
    file:///local/index \ 2
    -a ${REG_CREDS} \ 3
    --insecure \ 4
    --index-filter-by-os='<platform>/<arch>' 5
    1
    미러링할 카탈로그의 인덱스 이미지를 지정합니다. 예를 들어 이전에 생성한 정리된 인덱스 이미지 또는 registry.redhat.io/redhat/redhat-operator-index:v4.10 등 기본 카탈로그의 소스 인덱스 이미지 중 하나일 수 있습니다.
    2
    현재 디렉터리의 로컬 파일에 미러링할 내용을 지정합니다.
    3
    선택 사항: 필요한 경우 레지스트리 자격 증명 파일의 위치를 지정합니다.
    4
    선택 사항: 대상 레지스트리에 대한 트러스트를 구성하지 않으려면 --insecure 플래그를 추가합니다.
    5
    선택 사항: 여러 변형이 있을 때 선택할 수 있는 인덱스 이미지의 플랫폼 및 아키텍처를 지정합니다. 이미지는 '<platform>/<arch>[/<variant>]' 로 지정됩니다. 이는 인덱스에서 참조하는 이미지에는 적용되지 않습니다. 유효한 값은 linux/amd64, linux/ppc64le, linux/s390x, .*입니다.

    출력 예

    ...
info: Mirroring completed in 5.93s (5.915MB/s)
wrote mirroring manifests to manifests-my-index-1614985528 1

To upload local images to a registry, run:

	oc adm catalog mirror file://local/index/myrepo/my-index:v1 REGISTRY/REPOSITORY 2

    1
    생성된 매니페스트 디렉터리 이름을 기록합니다. 이 디렉터리는 후속 절차에서 참조됩니다.
    2
    제공된 인덱스 이미지를 기반으로 확장된 file:// 경로를 기록합니다. 이 경로는 후속 단계에서 참조됩니다.

    이 명령은 현재 디렉터리에 v2/ 디렉터리를 생성합니다.

  2. v2/ 디렉터리를 이동식 미디어에 복사합니다.
  3. 물리적으로 미디어를 제거하고 연결이 끊긴 환경의 호스트에 연결하여 미러 레지스트리에 액세스할 수 있습니다.

  4. 미러 레지스트리에 인증이 필요한 경우 연결이 끊긴 환경의 호스트에서 다음 명령을 실행하여 레지스트리에 로그인합니다. 

    $ podman login <mirror_registry>

  5. v2/ 디렉터리가 포함된 상위 디렉터리에서 다음 명령을 실행하여 로컬 파일에서 미러 레지스트리로 이미지를 업로드합니다. 

    $ oc adm catalog mirror \
    file://local/index/<repo>/<index_image>:<tag> \ 1
    <mirror_registry>:<port>/<namespace> \ 2
    -a ${REG_CREDS} \ 3
    --insecure \ 4
    --index-filter-by-os='<platform>/<arch>' 5
    1
    이전 명령 출력의 file:// 경로를 지정합니다.
    2
    Operator 콘텐츠를 미러링할 대상 레지스트리 및 네임스페이스의 정규화된 도메인 이름(FQDN)을 지정합니다. 여기서 <namespace>는 레지스트리의 기존 네임스페이스입니다. 예를 들어 미러링된 콘텐츠를 모두 내보내기 위해 olm-mirror 네임스페이스를 생성할 수 있습니다.
    3
    선택 사항: 필요한 경우 레지스트리 자격 증명 파일의 위치를 지정합니다.
    4
    선택 사항: 대상 레지스트리에 대한 트러스트를 구성하지 않으려면 --insecure 플래그를 추가합니다.
    5
    선택 사항: 여러 변형이 있을 때 선택할 수 있는 인덱스 이미지의 플랫폼 및 아키텍처를 지정합니다. 이미지는 '<platform>/<arch>[/<variant>]' 로 지정됩니다. 이는 인덱스에서 참조하는 이미지에는 적용되지 않습니다. 유효한 값은 linux/amd64, linux/ppc64le, linux/s390x, .*입니다.
    참고

    Red Hat Quay는 중첩된 리포지토리를 지원하지 않습니다. 결과적으로 oc adm catalog mirror 명령을 실행하면 401 무단 오류와 함께 실패합니다. 이 문제를 해결하려면 oc adm catalog mirror 명령을 실행하여 중첩된 리포지토리 생성을 비활성화할 때 --max-components=2 옵션을 사용할 수 있습니다. 이 해결 방법에 대한 자세한 내용은 Quay 레지스트리 지식베이스 솔루션에서 catalog mirror 명령을 사용하는 동안 발생하는 무단 오류를 참조하십시오.

  6. oc adm catalog mirror 명령을 다시 실행합니다. 새로 미러링된 인덱스 이미지를 소스로 사용하고 이전 단계에서 사용한 것과 동일한 미러 레지스트리 네임스페이스를 대상으로 사용합니다. 

    $ oc adm catalog mirror \
    <mirror_registry>:<port>/<index_image> \
    <mirror_registry>:<port>/<namespace> \
    --manifests-only \1
    [-a ${REG_CREDS}] \
    [--insecure]
    1
    이 단계에서는 명령이 미러링된 모든 콘텐츠를 다시 복사하지 않도록 --manifests-only 플래그가 필요합니다.
    중요

    이전 단계에서 생성된 imageContentSourcePolicy.yaml 파일의 이미지 매핑은 로컬 경로에서 유효한 미러 위치로 업데이트해야 하므로 이 단계가 필요합니다. 이렇게 하지 않으면 이후 단계에서 ImageContentSourcePolicy 개체를 생성할 때 오류가 발생합니다.

카탈로그를 미러링한 후 나머지 클러스터 설치를 계속할 수 있습니다. 클러스터 설치가 성공적으로 완료되면 ImageContentSourcePolicyCatalogSource 오브젝트를 생성하려면 이 절차의 매니페스트 디렉터리를 지정해야 합니다. 이러한 오브젝트는 OperatorHub에서 Operator를 설치하는 데 필요합니다.

추가 리소스

3.3.7.3. 생성된 매니페스트

Operator 카탈로그 콘텐츠를 미러 레지스트리에 미러링하면 현재 디렉터리에 매니페스트 디렉터리가 생성됩니다.

동일한 네트워크의 레지스트리에 콘텐츠를 미러링한 경우 디렉터리 이름은 다음 패턴을 사용합니다. 

manifests-<index_image_name>-<random_number>

이전 섹션에서 연결이 끊긴 호스트의 레지스트리에 콘텐츠를 미러링한 경우 디렉터리 이름은 다음 패턴을 사용합니다. 

manifests-index/<namespace>/<index_image_name>-<random_number>
참고

매니페스트 디렉터리 이름은 후속 절차에서 참조됩니다.

매니페스트 디렉터리에는 다음 파일이 포함되어 있으며, 이 중 일부는 추가 수정이 필요할 수 있습니다.

  • catalogSource.yaml 파일은 인덱스 이미지 태그 및 기타 관련 메타데이터로 미리 채워진 CatalogSource 오브젝트에 대한 기본 정의입니다. 이 파일은 있는 그대로 사용하거나 카탈로그 소스를 클러스터에 추가하도록 수정할 수 있습니다.

    중요

    콘텐츠를 로컬 파일에 미러링한 경우 metadata.name 필드에서 .name 필드에서 백슬래시(/) 문자를 제거하려면 catalogSource.yaml 파일을 수정해야 합니다. 그러지 않으면 오브젝트 생성을 시도할 때 "잘못된 리소스 이름" 오류로 인해 실패합니다.

  • imageContentSourcePolicy.yaml 파일은 Operator 매니페스트에 저장된 이미지 참조와 미러링된 레지스트리 간에 변환하도록 노드를 구성할 수 있는 ImageContentSourcePolicy 오브젝트를 정의합니다.

    참고

    클러스터에서 ImageContentSourcePolicy 오브젝트를 사용하여 저장소 미러링을 구성하는 경우 미러링된 레지스트리에 대한 글로벌 풀 시크릿만 사용할 수 있습니다. 프로젝트에 풀 시크릿을 추가할 수 없습니다.

  • mapping.txt 파일에는 모든 소스 이미지와 대상 레지스트리에서 매핑할 위치가 포함되어 있습니다. 이 파일은 oc image mirror 명령과 호환되며 미러링 구성을 추가로 사용자 정의하는 데 사용할 수 있습니다.

    중요

    미러링 프로세스 중에 --manifests-only 플래그를 사용한 후 미러링할 패키지의 서브 세트를 추가로 트리밍하려면 mapping.txt 파일을 수정하고 oc image mirror 명령으로 파일을 사용하는 방법에 대한 OpenShift Container Platform 4.7 설명서의 패키지 매니페스트 형식 카탈로그 이미지 미러링 절차의 단계를 참조하십시오.

3.3.7.4. 설치 후 요구 사항

카탈로그를 미러링한 후 나머지 클러스터 설치를 계속할 수 있습니다. 클러스터 설치가 성공적으로 완료되면 ImageContentSourcePolicyCatalogSource 오브젝트를 생성하려면 이 절차의 매니페스트 디렉터리를 지정해야 합니다. 이러한 오브젝트는 OperatorHub에서 Operator를 채우고 설치하는 데 필요합니다.

추가 리소스

3.3.8. 다음 단계

3.3.9. 추가 리소스

3.4. oc-mirror 플러그인을 사용하여 연결이 끊긴 설치의 이미지 미러링

클러스터가 외부 콘텐츠에 대한 조직의 제어를 충족하는 컨테이너 이미지만 사용하도록 할 수 있습니다. 제한된 네트워크에서 프로비저닝된 인프라에 클러스터를 설치하기 전에 필요한 컨테이너 이미지를 해당 환경에 미러링해야 합니다. 컨테이너 이미지를 미러링하려면 미러링을 위한 레지스트리가 있어야 합니다.

oc-mirror OpenShift CLI(oc) 플러그인을 사용하여 완전히 또는 부분적으로 연결이 끊긴 환경의 미러 레지스트리에 이미지를 미러링할 수 있습니다.

중요

oc-mirror 플러그인을 사용하여 연결이 끊긴 환경의 이미지를 미러링하는 것은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

다음 단계에서는 oc-mirror 플러그인을 사용하여 이미지를 미러 레지스트리에 미러링하는 방법에 대한 고급 워크플로를 간략하게 설명합니다.

  1. 이미지 세트 구성 파일을 생성합니다.
  2. 미러 레지스트리에 설정된 이미지를 미러링합니다.
  3. oc-mirror에서 생성된 ImageContentSourcePolicyCatalogSource 리소스를 클러스터에 설치합니다.
  4. 필요에 따라 미러 레지스트리를 업데이트하려면 이 단계를 반복합니다.

3.4.1. oc-mirror 플러그인 정보

oc-mirror OpenShift CLI(oc) 플러그인을 사용하여 필요한 모든 OpenShift Container Platform 콘텐츠 및 기타 이미지를 단일 툴을 사용하여 미러 레지스트리에 미러링할 수 있습니다. 다음과 같은 기능을 제공합니다.

  • OpenShift Container Platform 릴리스, Operator, helm 차트 및 기타 이미지를 미러링하는 중앙 집중식 방법을 제공합니다.
  • OpenShift Container Platform 및 Operator의 업데이트 경로를 유지 관리합니다.
  • 선언적 이미지 세트 구성 파일을 사용하여 클러스터에 필요한 OpenShift Container Platform 릴리스, Operator 및 이미지만 포함합니다.
  • 증분 미러링을 수행하여 향후 이미지 세트의 크기를 줄입니다.

oc-mirror 플러그인을 사용하는 경우 이미지 세트 구성 파일에서 미러링할 콘텐츠를 지정합니다. 이 YAML 파일에서는 클러스터에 필요한 OpenShift Container Platform 릴리스와 Operator만 포함하도록 구성을 미세 조정할 수 있습니다. 이렇게 하면 다운로드 및 전송에 필요한 데이터 양이 줄어듭니다. oc-mirror 플러그인은 임의의 helm charts 및 추가 컨테이너 이미지를 미러링하여 사용자가 워크로드를 미러 레지스트리에 원활하게 동기화하도록 지원할 수 있습니다.

oc-mirror 플러그인을 처음 실행하는 경우 연결이 끊긴 클러스터 설치를 수행하는 데 필요한 콘텐츠로 미러 레지스트리를 채웁니다. 연결이 끊긴 클러스터가 업데이트를 계속 받으려면 미러 레지스트리를 계속 업데이트해야 합니다. 미러 레지스트리를 업데이트하려면 처음 실행할 때와 동일한 구성을 사용하여 oc-mirror 플러그인을 실행합니다. oc-mirror 플러그인은 스토리지 백엔드의 메타데이터를 참조하며 툴을 마지막으로 실행한 이후 릴리스된 항목을 다운로드합니다. 이는 OpenShift Container Platform 및 Operator의 업데이트 경로를 제공하고 필요에 따라 종속성 확인을 수행합니다.

중요

oc-mirror CLI 플러그인을 사용하여 미러 레지스트리를 채우는 경우 oc-mirror 툴을 사용하여 미러 레지스트리에 대한 추가 업데이트를 수행해야 합니다.

3.4.2. 미러 레지스트리 정보

OpenShift Container Platform 설치 및 후속 제품 업데이트에 필요한 이미지를 Red Hat Quay와 같은 Docker v2-2 를 지원하는 컨테이너 미러 레지스트리에 미러링할 수 있습니다. 대규모 컨테이너 레지스트리에 액세스할 수 없는 경우 OpenShift Container Platform 서브스크립션에 포함된 소규모 컨테이너 레지스트리인 Red Hat OpenShift에 미러 레지스트리를 사용할 수 있습니다.

선택한 레지스트리에 관계없이 인터넷상의 Red Hat 호스팅 사이트의 콘텐츠를 격리된 이미지 레지스트리로 미러링하는 절차는 동일합니다. 콘텐츠를 미러링한 후 미러 레지스트리에서 이 콘텐츠를 검색하도록 각 클러스터를 설정합니다.

중요

OpenShift Container Platform 클러스터의 내부 레지스트리는 미러링 프로세스 중에 필요한 태그 없이 푸시를 지원하지 않기 때문에 대상 레지스트리로 사용할 수 없습니다.

Red Hat OpenShift의 미러 레지스트리가 아닌 컨테이너 레지스트리를 선택하는 경우 프로비저닝하는 클러스터의 모든 시스템에서 액세스할 수 있어야 합니다. 레지스트리에 연결할 수 없는 경우 설치, 업데이트 또는 워크로드 재배치와 같은 일반 작업이 실패할 수 있습니다. 따라서 고가용성 방식으로 미러 레지스트리를 실행해야하며 미러 레지스트리는 최소한 OpenShift Container Platform 클러스터의 프로덕션 환경의 가용성조건에 일치해야 합니다.

미러 레지스트리를 OpenShift Container Platform 이미지로 채우면 다음 두 가지 시나리오를 수행할 수 있습니다. 호스트가 인터넷과 미러 레지스트리에 모두 액세스할 수 있지만 클러스터 노드에 액세스 할 수 없는 경우 해당 머신의 콘텐츠를 직접 미러링할 수 있습니다. 이 프로세스를 connected mirroring(미러링 연결)이라고 합니다. 그러한 호스트가 없는 경우 이미지를 파일 시스템에 미러링한 다음 해당 호스트 또는 이동식 미디어를 제한된 환경에 배치해야 합니다. 이 프로세스를 미러링 연결 해제라고 합니다.

미러링된 레지스트리의 경우 가져온 이미지의 소스를 보려면 CRI-O 로그의 Trying to access 로그 항목을 검토해야 합니다. 노드에서 crictl images 명령을 사용하는 등의 이미지 가져오기 소스를 보는 다른 방법은 미러링되지 않은 이미지 이름을 표시합니다.

참고

Red Hat은 OpenShift Container Platform에서 타사 레지스트리를 테스트하지 않습니다.

추가 리소스

3.4.3. 사전 요구 사항

  • Red Hat Quay와 같이 OpenShift Container Platform 클러스터를 호스팅할 위치에 Docker v2-2 를 지원하는 컨테이너 이미지 레지스트리가 있어야 합니다.

    참고

    Red Hat Quay를 사용하는 경우 oc-mirror 플러그인에서 버전 3.6 이상을 사용해야 합니다. Red Hat Quay에 대한 사용 권한이 있는 경우, 개념 증명 목적으로 또는 Quay Operator를 사용하여 Red Hat Quay 배포에 대한 설명서를 참조하십시오. 레지스트리를 선택 및 설치하는 데 추가 지원이 필요한 경우 영업 담당자 또는 Red Hat 지원팀에 문의하십시오.

    컨테이너 이미지 레지스트리에 대한 기존 솔루션이 없는 경우 OpenShift Container Platform 구독자에게 Red Hat OpenShift의 미러 레지스트리가 제공됩니다. Red Hat OpenShift의 미러 레지스트리 는 서브스크립션에 포함되어 있으며 연결이 끊긴 설치에서 OpenShift Container Platform의 필요한 컨테이너 이미지를 미러링하는 데 사용할 수 있는 소규모 컨테이너 레지스트리입니다.

3.4.4. 미러 호스트 준비

oc-mirror 플러그인을 사용하여 이미지를 미러링하려면 먼저 플러그인을 설치하고 컨테이너 이미지 레지스트리 인증 정보 파일을 작성하여 Red Hat에서 미러로 미러링할 수 있도록 해야 합니다.

3.4.4.1. oc-mirror OpenShift CLI 플러그인 설치

oc-mirror OpenShift CLI 플러그인을 사용하여 레지스트리 이미지를 미러링하려면 플러그인을 설치해야 합니다. 완전히 연결이 끊긴 환경에서 이미지 세트를 미러링하는 경우 인터넷 액세스 권한이 있는 호스트에 oc-mirror 플러그인을 설치하고 미러 레지스트리에 액세스할 수 있는 연결이 끊긴 환경의 호스트를 설치해야 합니다.

사전 요구 사항

  • OpenShift CLI(oc)가 설치되어 있습니다.

절차

  1. oc-mirror CLI 플러그인을 다운로드합니다.

    1. OpenShift Cluster Manager다운로드 페이지로 이동합니다.
    2. OpenShift 연결 설치 툴 섹션에서 OpenShift Client(oc) 미러 플러그인 다운로드를 클릭하고 파일을 저장합니다.

  2. 아카이브를 추출합니다. 

    $ tar xvzf oc-mirror.tar.gz

  3. 필요한 경우 플러그인 파일을 실행 가능하게 업데이트합니다. 

    $ chmod +x oc-mirror
    참고

    oc-mirror 파일의 이름을 바꾸지 마십시오.

  4. 파일을 PATH 에 배치하여 oc-mirror CLI 플러그인을 설치합니다(예: /usr/local/bin ): 

    $ sudo mv oc-mirror /usr/local/bin/.

검증

  • oc mirror help 를 실행하여 플러그인이 성공적으로 설치되었는지 확인합니다. 

    $ oc mirror help

추가 리소스

3.4.4.2. 이미지를 미러링할 수 있는 인증 정보 설정

Red Hat에서 미러로 이미지를 미러링할 수 있는 컨테이너 이미지 레지스트리 인증 정보 파일을 생성합니다.

주의

클러스터를 설치할 때 이 이미지 레지스트리 인증 정보 파일을 풀 시크릿(pull secret)으로 사용하지 마십시오. 클러스터를 설치할 때 이 파일을 지정하면 클러스터의 모든 시스템에 미러 레지스트리에 대한 쓰기 권한이 부여됩니다.

주의

이 프로세스에서는 미러 레지스트리의 컨테이너 이미지 레지스트리에 대한 쓰기 권한이 있어야 하며 인증 정보를 레지스트리 풀 시크릿에 추가해야 합니다.

사전 요구 사항

  • 네트워크가 제한된 환경에서 사용하도록 미러 레지스트리가 설정되어 있습니다.
  • 미러 레지스트리에서 이미지를 미러링할 이미지 저장소 위치를 확인했습니다.
  • 이미지를 해당 이미지 저장소에 업로드할 수 있는 미러 레지스트리 계정을 제공하고 있습니다.

프로세스

설치 호스트에서 다음 단계를 수행합니다.

  1. Red Hat OpenShift Cluster Manager에서 registry.redhat.io 풀 시크릿을 다운로드합니다.

  2. 풀 시크릿을 JSON 형식으로 복사합니다. 

    $ cat ./pull-secret | jq . > <path>/<pull_secret_file_in_json> 1
    1
    풀 시크릿을 저장할 폴더의 경로와 생성한 JSON 파일의 이름을 지정합니다.

  3. 파일을 ~/.docker/config.json 또는 $XDG_RUNTIME_DIR/containers/auth.json 으로 저장합니다.

    파일의 내용은 다음 예와 유사합니다. 

    {
  "auths": {
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}

  4. 미러 레지스트리에 대한 base64로 인코딩된 사용자 이름 및 암호 또는 토큰을 생성합니다. 

    $ echo -n '<user_name>:<password>' | base64 -w0 1
BGVtbYk3ZHAtqXs=
    1
    <user_name><password>의 경우 레지스트리에 설정한 사용자 이름 및 암호를 지정합니다.

  5. JSON 파일을 편집하고 레지스트리를 설명하는 섹션을 추가합니다. 

      "auths": {
    "<mirror_registry>": { 1
      "auth": "<credentials>", 2
      "email": "you@example.com"
  },
    1
    <mirror_registry>의 경우 미러 레지스트리가 콘텐츠를 제공하는데 사용하는 레지스트리 도메인 이름 및 포트 (선택 사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:5000
    2
    <credentials>의 경우 미러 레지스트리에 대해 base64로 인코딩된 사용자 이름 및 암호를 지정합니다.

    파일은 다음 예제와 유사합니다. 

    {
  "auths": {
    "registry.example.com": {
      "auth": "BGVtbYk3ZHAtqXs=",
      "email": "you@example.com"
    },
    "cloud.openshift.com": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "quay.io": {
      "auth": "b3BlbnNo...",
      "email": "you@example.com"
    },
    "registry.connect.redhat.com": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    },
    "registry.redhat.io": {
      "auth": "NTE3Njg5Nj...",
      "email": "you@example.com"
    }
  }
}

3.4.5. 이미지 세트 구성 생성

oc-mirror 플러그인을 사용하여 이미지 세트를 미러링하려면 먼저 이미지 세트 구성 파일을 생성해야 합니다. 이 이미지 세트 구성 파일은 oc-mirror 플러그인의 다른 구성 설정과 함께 미러링할 OpenShift Container Platform 릴리스, Operator 및 기타 이미지를 정의합니다.

이미지 세트 구성 파일에 스토리지 백엔드를 지정해야 합니다. 이 스토리지 백엔드는 로컬 디렉터리 또는 Docker v2-2 를 지원하는 레지스트리일 수 있습니다. oc-mirror 플러그인은 이미지 세트 생성 중에 이 스토리지 백엔드에 메타데이터를 저장합니다.

중요

oc-mirror 플러그인에서 생성된 메타데이터를 삭제하거나 수정하지 마십시오. 동일한 미러 레지스트리에 대해 oc-mirror 플러그인을 실행할 때마다 동일한 스토리지 백엔드를 사용해야 합니다.

절차

  1. 필요한 구성 세부 사항을 지정하는 ImageSetConfiguration 리소스를 생성합니다.

    ImageSetConfiguration 파일 예

    apiVersion: mirror.openshift.io/v1alpha1
kind: ImageSetConfiguration
archiveSize: 4 1
mirror:
 ocp:
   channels:
     - name: stable-4.9 2
 operators:
   - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.9 3
storageConfig: 4
 registry:
   imageURL: example.com/example/oc-mirror 5

    1
    이미지 세트 내의 각 파일의 최대 크기(GiB)입니다.
    2
    OpenShift Container Platform 이미지를 검색할 채널입니다.
    3
    OpenShift Container Platform 이미지를 검색하는 Operator 카탈로그입니다.
    4
    이미지 세트 메타데이터를 저장할 백엔드 위치입니다. 이 위치는 레지스트리 또는 로컬 디렉터리일 수 있습니다. storageConfig 값을 지정해야 합니다.
    5
    스토리지 백엔드의 레지스트리 URL입니다.

    이 예에서는 registry.redhat.io/redhat/redhat-operator-index:v4.9 Operator 카탈로그의 stable-4.9 채널에서 이미지를 가져와서 example.com/example/oc-mirror 레지스트리에 이미지 세트 메타데이터를 저장합니다.

  2. 파일을 imageset-config.yaml 으로 저장합니다. 이 파일은 콘텐츠를 미러링할 때 oc mirror 명령에 필요합니다.

추가 리소스

3.4.6. 미러 레지스트리로 이미지 세트 미러링

oc-mirror CLI 플러그인을 사용하여 부분적으로 연결이 끊긴 환경 또는 완전히 연결이 끊긴 환경에서 미러 레지스트리에 이미지를 미러링할 수 있습니다.

이 절차에서는 이미 미러 레지스트리가 설정되어 있다고 가정합니다.

3.4.6.1. 부분적으로 연결이 끊긴 환경에서 이미지 세트 미러링

부분적으로 연결이 끊긴 환경에서는 대상 미러 레지스트리에 직접 설정된 이미지를 미러링할 수 있습니다.

3.4.6.1.1. 미러에서 미러로 미러링

oc-mirror 플러그인을 사용하여 이미지 세트 생성 중에 액세스할 수 있는 대상 미러 레지스트리에 직접 이미지 세트를 미러링할 수 있습니다.

중요

이미지 세트 구성 파일에 지정된 구성에 따라 oc-mirror를 사용하여 대상 미러 레지스트리로 미러링하기 전에 여러 수백 기가바이트의 데이터를 디스크로 다운로드할 수 있습니다.

미러 레지스트리를 채울 때 초기 이미지 세트 다운로드는 종종 가장 큰 것입니다. 명령을 마지막으로 실행한 이후 변경된 이미지만 다운로드하므로 oc-mirror 플러그인을 다시 실행하면 생성된 이미지 세트가 생성되는 경우가 많습니다.

이미지 세트 구성 파일에서 스토리지 백엔드를 지정해야 합니다. 이 스토리지 백엔드는 로컬 디렉터리 또는 Docker v2 레지스트리일 수 있습니다. oc-mirror 플러그인은 이미지 세트 생성 중에 이 스토리지 백엔드에 메타데이터를 저장합니다.

중요

oc-mirror 플러그인에서 생성된 메타데이터를 삭제하거나 수정하지 마십시오. 동일한 미러 레지스트리에 대해 oc-mirror 플러그인을 실행할 때마다 동일한 스토리지 백엔드를 사용해야 합니다.

사전 요구 사항

  • 필요한 컨테이너 이미지를 얻으려면 인터넷에 액세스할 수 있습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.
  • oc-mirror CLI 플러그인이 설치되어 있습니다.
  • 이미지 세트 구성 파일을 생성했습니다.

절차

  • oc mirror 명령을 실행하여 지정된 이미지 세트 구성의 이미지를 지정된 레지스트리로 미러링합니다. 

    $ oc mirror --config=./imageset-config.yaml \ 1
  docker://registry.example:5000              2
    1
    생성된 이미지 세트 구성 파일을 전달합니다. 이 절차에서는 imageset-config.yaml 이라는 이름을 가정합니다.
    2
    이미지 세트 파일을 미러링할 레지스트리를 지정합니다. 레지스트리는 docker:// 로 시작해야 합니다. 미러 레지스트리에 최상위 네임스페이스를 지정하는 경우 후속 실행 시 동일한 네임스페이스를 사용해야 합니다.

검증

  1. 생성된 oc-mirror-workspace/ 디렉터리로 이동합니다.
  2. results 디렉터리로 이동합니다(예: results-1639608409/ ).
  3. ImageContentSourcePolicyCatalogSource 리소스에 YAML 파일이 있는지 확인합니다.

다음 단계

  • ImageContentSourcePolicyCatalogSource 리소스를 클러스터에 설치합니다.
3.4.6.2. 완전히 연결이 끊긴 환경에서 이미지 세트 미러링

완전히 연결이 끊긴 환경에서 이미지 세트를 미러링하려면 먼저 이미지 세트를 디스크로 미러링 한 다음 디스크의 이미지 세트 파일을 미러에 미러링해야 합니다.

3.4.6.2.1. 미러에서 디스크로 미러링

oc-mirror 플러그인을 사용하여 이미지 세트를 생성하고 내용을 디스크에 저장할 수 있습니다. 그런 다음 생성된 이미지 세트를 연결이 끊긴 환경으로 전송하고 대상 레지스트리에 미러링할 수 있습니다.

중요

이미지 세트 구성 파일에 지정된 구성에 따라 oc-mirror를 사용하여 이미지를 미러링하는 경우 수백 기가바이트의 데이터를 디스크에 다운로드할 수 있습니다.

미러 레지스트리를 채울 때 초기 이미지 세트 다운로드는 종종 가장 큰 것입니다. 명령을 마지막으로 실행한 이후 변경된 이미지만 다운로드하므로 oc-mirror 플러그인을 다시 실행하면 생성된 이미지 세트가 생성되는 경우가 많습니다.

이미지 세트 구성 파일에서 스토리지 백엔드를 지정해야 합니다. 이 스토리지 백엔드는 로컬 디렉터리 또는 docker v2 레지스트리일 수 있습니다. oc-mirror 플러그인은 이미지 세트 생성 중에 이 스토리지 백엔드에 메타데이터를 저장합니다.

중요

oc-mirror 플러그인에서 생성된 메타데이터를 삭제하거나 수정하지 마십시오. 동일한 미러 레지스트리에 대해 oc-mirror 플러그인을 실행할 때마다 동일한 스토리지 백엔드를 사용해야 합니다.

사전 요구 사항

  • 필요한 컨테이너 이미지를 얻으려면 인터넷에 액세스할 수 있습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.
  • oc-mirror CLI 플러그인이 설치되어 있습니다.
  • 이미지 세트 구성 파일을 생성했습니다.

절차

  • oc mirror 명령을 실행하여 지정된 이미지 세트 구성의 이미지를 디스크로 미러링합니다. 

    $ oc mirror --config=./imageset-config.yaml \ 1
  file://<path_to_output_directory>          2
    1
    생성된 이미지 세트 구성 파일을 전달합니다. 이 절차에서는 imageset-config.yaml 이라는 이름을 가정합니다.
    2
    이미지 세트 파일을 출력할 대상 디렉터리를 지정합니다. 대상 디렉터리 경로는 file:// 로 시작해야 합니다.

검증

  1. 출력 디렉터리로 이동합니다. 

    $ cd <path_to_output_directory>

  2. 이미지 세트 .tar 파일이 생성되었는지 확인합니다. 

    $ ls

    출력 예

    mirror_seq1_000000.tar

다음 단계

  • 이미지 세트 .tar 파일을 연결이 끊긴 환경으로 전송합니다.
3.4.6.2.2. 미러링하여 미러링

oc-mirror 플러그인을 사용하여 생성된 이미지 세트의 콘텐츠를 대상 미러 레지스트리로 미러링할 수 있습니다.

사전 요구 사항

  • 연결이 끊긴 환경에 OpenShift CLI(oc)를 설치했습니다.
  • 연결이 끊긴 환경에 oc-mirror CLI 플러그인을 설치했습니다.
  • oc mirror 명령을 사용하여 이미지 세트 파일을 생성했습니다.
  • 이미지 세트 파일을 연결이 끊긴 환경으로 전송했습니다.

절차

  • oc mirror 명령을 실행하여 디스크에서 이미지 세트 파일을 처리하고 콘텐츠를 대상 미러 레지스트리에 미러링합니다. 

    $ oc mirror --from=./mirror_seq1_000000.tar \ 1
  docker://registry.example:5000              2
    1
    이 예제에서 mirror_seq1_000000.tar 라는 이미지 세트 .tar 파일을 전달합니다. 이미지 세트 구성 파일에 archiveSize 값이 지정된 경우 이미지 세트가 여러 .tar 파일로 분할될 수 있습니다. 이 경우 이미지 세트 .tar 파일이 포함된 디렉토리에 전달할 수 있습니다.
    2
    이미지 세트 파일을 미러링할 레지스트리를 지정합니다. 레지스트리는 docker:// 로 시작해야 합니다. 미러 레지스트리에 최상위 네임스페이스를 지정하는 경우 후속 실행 시 동일한 네임스페이스를 사용해야 합니다.

    이 명령은 이미지 세트로 미러 레지스트리를 업데이트하고 ImageContentSourcePolicyCatalogSource 리소스를 생성합니다.

검증

  1. 생성된 oc-mirror-workspace/ 디렉터리로 이동합니다.
  2. results 디렉터리로 이동합니다(예: results-1639608409/ ).
  3. ImageContentSourcePolicyCatalogSource 리소스에 YAML 파일이 있는지 확인합니다.

다음 단계

  • ImageContentSourcePolicyCatalogSource 리소스를 클러스터에 설치합니다.

3.4.7. 클러스터에 ImageContentSourcePolicy 및 CatalogSource 리소스 설치

이미지를 미러 레지스트리로 미러링한 후 생성된 ImageContentSourcePolicyCatalogSource 리소스를 클러스터에 설치해야 합니다.

ImageContentSourcePolicy 리소스는 미러 레지스트리를 소스 레지스트리와 연결하고 온라인 레지스트리에서 미러 레지스트리로 이미지 가져오기 요청을 리디렉션합니다. CatalogSource 리소스는 OLM(Operator Lifecycle Manager)에서 미러 레지스트리에서 사용 가능한 Operator에 대한 정보를 검색하는 데 사용됩니다.

사전 요구 사항

  • 연결이 끊긴 환경에서 레지스트리 미러로 이미지를 미러링했습니다.
  • cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.

절차

  1. cluster-admin 역할의 사용자로 OpenShift CLI에 로그인합니다.

  2. results 디렉터리의 YAML 파일을 클러스터에 적용합니다. 

    $ oc apply -f ./oc-mirror-workspace/results-1639608409/

검증

  1. ImageContentSourcePolicy 리소스가 성공적으로 설치되었는지 확인합니다. 

    $ oc get imagecontentsourcepolicy --all-namespaces

  2. CatalogSource 리소스가 성공적으로 설치되었는지 확인합니다. 

    $ oc get catalogsource --all-namespaces

3.4.8. 미러 레지스트리 업데이트

미러 레지스트리에 전체 이미지 세트를 게시한 후 oc-mirror 플러그인을 사용하여 업데이트된 이미지로 미러 레지스트리를 업데이트할 수 있습니다.

oc-mirror 플러그인을 다시 실행하면 이전 실행 이후 신규 및 업데이트된 이미지만 포함하는 이미지 세트가 생성됩니다.

참고

동일한 미러 레지스트리에 대해 oc-mirror의 초기 실행과 동일한 스토리지 백엔드를 사용해야 합니다. oc-mirror 플러그인에서 생성된 메타데이터를 삭제하거나 수정하지 마십시오.

이전 이미지 세트가 생성된 이후 차이점만 가져오기 때문에 생성된 이미지 세트가 초기 이미지 세트보다 더 작고 빠르게 처리할 수 있습니다.

중요

생성된 이미지 세트는 순차적이며 대상 미러 레지스트리에 순서대로 동기화해야 합니다.

사전 요구 사항

  • oc-mirror 플러그인을 사용하여 초기 이미지 세트를 미러 레지스트리로 미러링했습니다.
  • oc-mirror 플러그인의 초기 실행에 사용된 스토리지 백엔드에 액세스할 수 있습니다.

절차

  1. 초기 이미지 세트를 생성하고 미러 레지스트리에 미러링하는 데 사용한 것과 동일한 단계를 따릅니다. 자세한 내용은 부분적으로 연결이 끊긴 환경에서 이미지 세트 미러링 또는 완전히 연결이 끊긴 환경에서 이미지 세트 미러링을 참조하십시오.

    중요
    • 비차적 이미지 세트만 생성 및 미러링되도록 동일한 스토리지 백엔드를 제공해야 합니다.
    • 초기 이미지 세트 생성 중에 미러 레지스트리에 대한 최상위 네임스페이스를 지정한 경우 동일한 미러 레지스트리에 대해 oc-mirror 플러그인을 실행할 때마다 이 동일한 네임스페이스를 사용해야 합니다.
  2. ImageContentSourcePolicyCatalogSource 리소스를 클러스터에 설치합니다.

추가 리소스

3.4.9. 이미지 세트 구성 매개변수

oc-mirror 플러그인에는 미러링할 이미지를 정의하는 이미지 세트 구성 파일이 필요합니다. 다음 표에는 ImageSetConfiguration 리소스에 사용 가능한 매개변수가 나열되어 있습니다.

표 3.1. ImageSetConfiguration 매개변수
매개변수설명

apiVersion

ImageSetConfiguration 콘텐츠의 API 버전입니다.

문자열. 예: mirror.openshift.io/v1alpha1.

archiveSize

이미지 세트 내의 각 아카이브 파일의 최대 크기(GiB)입니다.

정수. 예: 4

mirror

이미지 세트의 구성입니다.

개체

mirror.additionalImages

이미지 세트의 추가 이미지 구성입니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

additionalImages:
  - name: registry.redhat.io/ubi8/ubi:latest

mirror.additionalImages.name

미러링할 이미지의 태그입니다.

문자열. 예: registry.redhat.io/ubi8/ubi:latest

mirror.helm

이미지 세트의 helm 구성입니다. oc-mirror 플러그인은 렌더링 시 사용자 입력이 필요하지 않은 helm 차트만 지원합니다.

개체

mirror.helm.local

미러링할 로컬 helm 차트입니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

local:
  - name: podinfo
    path: /test/podinfo-5.0.0.tar.gz

mirror.helm.local.name

미러링할 로컬 helm 차트의 이름입니다.

문자열. 예: podinfo.

mirror.helm.local.path

미러링할 로컬 helm 차트의 경로입니다.

문자열. 예: /test/podinfo-5.0.0.tar.gz.

mirror.helm.repos

미러링할 원격 helm 리포지토리입니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

repos:
  - name: podinfo
    url: https://example.github.io/podinfo
    charts:
      - name: podinfo
        version: 5.0.0

mirror.helm.repos.name

미러링할 helm 저장소 이름입니다.

문자열. 예: podinfo.

mirror.helm.repos.url

미러링할 helm 리포지토리의 URL입니다.

문자열. 예: https://example.github.io/podinfo.

mirror.helm.repos.charts

미러링할 원격 helm 차트입니다.

개체의 배열입니다.

mirror.helm.repos.charts.name

미러링할 helm 차트의 이름입니다.

문자열. 예: podinfo.

mirror.helm.repos.charts.version

미러링할 이름이 helm 차트의 버전입니다.

문자열. 예: 5.0.0.

mirror.ocp

이미지 세트의 플랫폼 구성입니다.

개체

mirror.ocp.channels

이미지 세트의 플랫폼 채널 구성입니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

channels:
  - name: stable-4.7
  - name: stable-4.6
    versions:
      - '4.6.36'

mirror.ocp.channels.name

릴리스 채널의 이름입니다.

문자열. 예: stable-4.9 또는 okd.

mirror.ocp.channels.versions

이름이 지정된 채널 내 릴리스 버전 목록입니다.

문자열. 예: 4.9.6

mirror.operators

이미지 세트의 Operator 구성

개체의 배열입니다. 예를 들면 다음과 같습니다. 

operators:
  - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.9
    headsOnly: false
    packages:
      - name: elasticsearch-operator
        startingVersion: '2.4.0'

mirror.operators.catalog

이미지 세트에 포함할 Operator 카탈로그입니다.

문자열. 예: registry.redhat.io/redhat/redhat-operator-index:v4.9.

mirror.operators.headsOnly

채널 HEAD와 전체 채널 간에 토글합니다. mirror.operators.packages 와 함께 사용할 수 없습니다.

부울

mirror.operators.packages

Operator 패키지 구성입니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

operators:
  - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.8
    headsOnly: false
    packages:
      - name: elasticsearch-operator
        startingVersion: '5.2.3-31'

mirror.operators.packages.name

이미지 세트에 포함할 Operator 패키지 이름

문자열. 예: elasticsearch-operator.

mirror.operators.packages.startingVersion

미러링할 Operator 패키지의 시작 버전입니다. Operator의 모든 버전은 startingVersion 값과 참조된 버전이 포함된 각 채널의 HEAD 버전 간에 미러링됩니다.

문자열. 예: 5.2.3-31.

mirror.operators.packages.channels

Operator 패키지 채널 구성입니다.

개체

mirror.operators.packages.channels.name

이미지 세트에 포함할 Operator 채널 이름은 패키지 내에서 고유합니다.

문자열. 예: fast 또는 stable-v4.9.

mirror.operators.packages.channels.startingVersion

미러링할 Operator 채널의 시작 버전입니다. Operator의 모든 버전은 startingVersion 값과 지정된 채널의 HEAD 버전 간에 미러링됩니다.

문자열. 예: 5.2.3-31

storageConfig

이미지 세트의 백엔드 구성입니다.

개체

storageConfig.local

이미지 세트의 로컬 백엔드 구성입니다.

개체

storageConfig.local.path

이미지 세트 메타데이터를 포함할 디렉터리의 경로입니다.

문자열. 예: ./path/to/dir/.

storageConfig.registry

이미지 세트의 레지스트리 백엔드 구성입니다.

개체

storageConfig.registry.imageURL

백엔드 레지스트리 URI입니다. URI에 네임스페이스 참조를 선택적으로 포함할 수 있습니다.

문자열. 예: quay.io/myuser/imageset:metadata.

storageConfig.registry.skipTLS

필요한 경우 참조된 백엔드 레지스트리의 TLS 확인을 건너뜁니다.

부울. 기본값은 false입니다.

3.4.10. 이미지 세트 구성 예

다음 ImageSetConfiguration 파일 예제에서는 다양한 미러링 사용 사례에 대한 구성을 보여줍니다.

사용 사례: 임의의 이미지 및 helm 차트 포함

다음 ImageSetConfiguration 파일은 레지스트리 스토리지 백엔드를 사용하며 helm 차트 및 추가 Red Hat UBI(Universal Base Image)를 포함합니다.

ImageSetConfiguration 파일 예

apiVersion: mirror.openshift.io/v1alpha1
kind: ImageSetConfiguration
archiveSize: 4
storageConfig:
 registry:
   imageURL: example.com/example/oc-mirror
   skipTLS: false
mirror:
 ocp:
   channels:
     - name: stable-4.9
 operators:
   - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.9
 helm:
   repos:
     - name: redhat-helm-charts
       url: https://raw.githubusercontent.com/redhat-developer/redhat-helm-charts/master
       charts:
         - name: ibm-mongodb-enterprise-helm
           version: 0.2.0
 additionalImages:
   - name: registry.redhat.io/ubi8/ubi:latest

사용 사례: 특정 Operator 버전 포함

다음 ImageSetConfiguration 파일은 로컬 스토리지 백엔드를 사용하며 3.67.0 이상 버전에서 시작되는 Kubernetes Operator용 Red Hat Advanced Cluster Security만 포함합니다.

ImageSetConfiguration 파일 예

apiVersion: mirror.openshift.io/v1alpha1
kind: ImageSetConfiguration
storageConfig:
  local:
    path: /home/user/metadata
mirror:
  operators:
    - catalog: registry.redhat.io/redhat/redhat-operator-index:v4.9
      headsOnly: false
      packages:
        - name: rhacs-operator
          channels:
          - name: latest
          startingVersion: 3.67.0

4장. RuntimeClass에 설치

4.1. EgressIP Cloud에 설치 준비

중요

OpenShift Container Platform의 vGPU Cloud는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

4.1.1. 사전 요구 사항

4.1.2. rhcos Cloud에 OpenShift Container Platform을 설치하기 위한 요구사항

RuntimeClass Cloud에 OpenShift Container Platform을 설치하기 전에 도메인을 구성하고 등록하고, 설치에 대한 RAM(리소스 액세스 관리) 사용자를 생성하고, 설치에 지원되는 RuntimeClass Cloud 데이터 센터 지역 및 영역을 검토해야 합니다.

4.1.3. RuntimeClass 클라우드 도메인 등록 및 구성

OpenShift Container Platform을 설치하려면 사용하는 DomainMapping Cloud 계정에 전용 공개 호스팅 영역이 있어야 합니다. 도메인에 대한 권한도 이 영역에 있어야 합니다. 이 서비스는 클러스터와 외부 연결에 필요한 클러스터 DNS 확인 및 이름 조회 기능을 제공합니다.

프로세스

  1. 도메인 또는 하위 도메인과 등록 기관을 식별합니다. 기존 도메인 및 등록 기관을 이전하거나 vGPU Cloud 또는 다른 소스를 통해 새 도메인을 구입할 수 있습니다.

    참고

    SriovIBNetwork Cloud를 통해 새 도메인을 구입하는 경우 관련 DNS 변경 사항이 전파되는 데 시간이 걸립니다. octets Cloud를 통한 도메인 구매에 대한 자세한 내용은 vGPU Cloud 도메인을 참조하십시오.

  2. 기존 도메인 및 등록 기관을 사용하는 경우 해당 DNS를 rhcos Cloud로 마이그레이션합니다. octets Cloud 설명서에서 도메인 이름 전송을 참조하십시오.

  3. 도메인에 맞게 DNS를 구성합니다. 여기에는 다음이 포함됩니다.

  4. 하위 도메인을 사용하는 경우 회사의 절차에 따라 상위 도메인에 위임 레코드를 추가합니다.

4.1.4. 지원되는 RuntimeClass 리전

OpenShift Container Platform 클러스터를 RuntimeClass 리전 및 영역 설명서에 나열된 리전에 배포할 수 있습니다.

4.1.5. 다음 단계

4.2. 필요한 RuntimeClass 클라우드 리소스 생성

OpenShift Container Platform을 설치하기 전에 RuntimeClass Cloud 콘솔을 사용하여 OpenShift Container Platform을 yourtekton Cloud에 설치할 수 있는 충분한 권한이 있는 RAM(Resource Access Management) 사용자를 만들어야 합니다. 또한 이 사용자는 새 RAM 사용자를 생성할 수 있는 권한이 있어야 합니다. ccoctl 툴을 구성하고 사용하여 필요한 권한으로 OpenShift Container Platform 구성 요소에 대한 새 인증 정보를 생성할 수도 있습니다.

중요

OpenShift Container Platform의 vGPU Cloud는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

4.2.1. 필요한 RAM 사용자 생성

충분한 권한이 있는 설치에 사용할 RAM(Cloud Resource Access Management) 사용자가 있어야 합니다. RuntimeClass Cloud Resource Access Management 콘솔을 사용하여 새 사용자를 생성하거나 기존 사용자를 수정할 수 있습니다. 나중에 이 사용자의 권한을 기반으로 OpenShift Container Platform에서 인증 정보를 생성합니다.

RAM 사용자를 구성할 때 다음 요구 사항을 고려해야 합니다.

  • 사용자에게 RuntimeClass Cloud AccessKey ID 및 AccessKey 시크릿 쌍이 있어야 합니다.

    • 새 사용자의 경우 사용자를 생성할 때 액세스 모드에 대해 Open API Access 를 선택할 수 있습니다. 이 모드에서는 필요한 AccessKey 쌍을 생성합니다.

    • 기존 사용자의 경우 AccessKey 쌍을 추가하거나 해당 사용자의 AccessKey 쌍을 가져올 수 있습니다.

      참고

      생성된 AccessKey 시크릿은 한 번만 표시됩니다. API 호출에 AccessKey 쌍이 필요하므로 AccessKey 쌍을 즉시 저장해야 합니다.

  • 로컬 컴퓨터의 ~/.alibabacloud/credentials 파일에 AccessKey ID와 보안을 추가합니다. 콘솔에 로그인하면 이 파일이 자동으로 생성됩니다. CCO(Cloud Credential Operator) 유틸리티 ccoutil은 Credential Request 오브젝트를 처리할 때 이러한 인증 정보를 사용합니다.

    예를 들면 다음과 같습니다. 

    [default]                          # Default client
type = access_key                  # Certification type: access_key
access_key_id = LTAI5t8cefXKmt                # Key 1
access_key_secret = wYx56mszAN4Uunfh            # Secret
    1
    여기에 AccessKeyID 및 AccessKeySecret을 추가합니다.

  • RAM 사용자에게는 OpenShift Container Platform 클러스터를 생성할 수 있는 충분한 권한이 계정에 충분한 권한이 있는지 확인하려면 AdministratorAccess 정책이 있어야 합니다. 이 정책은 모든 NetNamespace Cloud 리소스를 관리할 수 있는 권한을 부여합니다.

    AdministratorAccess 정책을 RAM 사용자에게 연결하면 해당 사용자에게 모든 RuntimeClass Cloud 서비스 및 리소스에 대한 전체 액세스 권한이 부여됩니다. 전체 액세스 권한이 있는 사용자를 생성하지 않으려면 설치를 위해 RAM 사용자에게 추가할 수 있는 다음 작업으로 사용자 지정 정책을 생성합니다. 이러한 작업은 OpenShift Container Platform을 설치하기에 충분합니다.

    작은 정보

    다음 JSON 코드를 copy 및 paste the following JSON code to create a custom poicy를 사용하여 JSON 코드를 복사하여 붙여넣을 수 있습니다. 사용자 지정 정책 생성에 대한 자세한 내용은 RuntimeClass Cloud 설명서에서 사용자 지정 정책 만들기를 참조하십시오.

    예 4.1. 사용자 정의 정책 JSON 파일의 예

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "tag:ListTagResources",
        "tag:UntagResources"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DeleteVpc",
        "vpc:DescribeVSwitches",
        "vpc:DeleteVSwitch",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeNatGateways",
        "vpc:ReleaseEipAddress",
        "vpc:DeleteNatGateway",
        "vpc:DescribeSnatTableEntries",
        "vpc:CreateSnatEntry",
        "vpc:AssociateEipAddress",
        "vpc:ListTagResources",
        "vpc:TagResources",
        "vpc:DescribeVSwitchAttributes",
        "vpc:CreateVSwitch",
        "vpc:CreateNatGateway",
        "vpc:DescribeRouteTableList",
        "vpc:CreateVpc",
        "vpc:AllocateEipAddress",
        "vpc:ListEnhanhcedNatGatewayAvailableZones"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:ModifyInstanceAttribute",
        "ecs:DescribeSecurityGroups",
        "ecs:DeleteSecurityGroup",
        "ecs:DescribeSecurityGroupReferences",
        "ecs:DescribeSecurityGroupAttribute",
        "ecs:RevokeSecurityGroup",
        "ecs:DescribeInstances",
        "ecs:DeleteInstances",
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeInstanceRamRole",
        "ecs:DescribeUserData",
        "ecs:DescribeDisks",
        "ecs:ListTagResources",
        "ecs:AuthorizeSecurityGroup",
        "ecs:RunInstances",
        "ecs:TagResources",
        "ecs:ModifySecurityGroupPolicy",
        "ecs:CreateSecurityGroup",
        "ecs:DescribeAvailableResource",
        "ecs:DescribeRegions",
        "ecs:AttachInstanceRamRole"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "pvtz:DescribeRegions",
        "pvtz:DescribeZones",
        "pvtz:DeleteZone",
        "pvtz:DeleteZoneRecord",
        "pvtz:BindZoneVpc",
        "pvtz:DescribeZoneRecords",
        "pvtz:AddZoneRecord",
        "pvtz:SetZoneRecordStatus",
        "pvtz:DescribeZoneInfo",
        "pvtz:DescribeSyncEcsHostTask",
        "pvtz:AddZone"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "slb:DescribeLoadBalancers",
        "slb:SetLoadBalancerDeleteProtection",
        "slb:DeleteLoadBalancer",
        "slb:SetLoadBalancerModificationProtection",
        "slb:DescribeLoadBalancerAttribute",
        "slb:AddBackendServers",
        "slb:DescribeLoadBalancerTCPListenerAttribute",
        "slb:SetLoadBalancerTCPListenerAttribute",
        "slb:StartLoadBalancerListener",
        "slb:CreateLoadBalancerTCPListener",
        "slb:ListTagResources",
        "slb:TagResources",
        "slb:CreateLoadBalancer"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ram:ListResourceGroups",
        "ram:DeleteResourceGroup",
        "ram:ListPolicyAttachments",
        "ram:DetachPolicy",
        "ram:GetResourceGroup",
        "ram:CreateResourceGroup",
        "ram:DeleteRole",
        "ram:GetPolicy",
        "ram:DeletePolicy",
        "ram:ListPoliciesForRole",
        "ram:CreateRole",
        "ram:AttachPolicyToRole",
        "ram:GetRole",
        "ram:CreatePolicy",
        "ram:CreateUser",
        "ram:DetachPolicyFromRole",
        "ram:CreatePolicyVersion",
        "ram:DetachPolicyFromUser",
        "ram:ListPoliciesForUser",
        "ram:AttachPolicyToUser",
        "ram:CreateUser",
        "ram:GetUser",
        "ram:DeleteUser",
        "ram:CreateAccessKey",
        "ram:ListAccessKeys",
        "ram:DeleteAccessKey",
        "ram:ListUsers",
        "ram:ListPolicyVersions"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:DeleteBucket",
        "oss:DeleteBucketTagging",
        "oss:GetBucketTagging",
        "oss:GetBucketCors",
        "oss:GetBucketPolicy",
        "oss:GetBucketLifecycle",
        "oss:GetBucketReferer",
        "oss:GetBucketTransferAcceleration",
        "oss:GetBucketLog",
        "oss:GetBucketWebSite",
        "oss:GetBucketInfo",
        "oss:PutBucketTagging",
        "oss:PutBucket",
        "oss:OpenOssService",
        "oss:ListBuckets",
        "oss:GetService",
        "oss:PutBucketACL",
        "oss:GetBucketLogging",
        "oss:ListObjects",
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "alidns:DescribeDomainRecords",
        "alidns:DeleteDomainRecord",
        "alidns:DescribeDomains",
        "alidns:DescribeDomainRecordInfo",
        "alidns:AddDomainRecord",
        "alidns:SetDomainRecordStatus"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "bssapi:CreateInstance",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:PassRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "acs:Service": "ecs.aliyuncs.com"
        }
      }
    }
  ]
}

RAM 사용자를 만들고 권한을 부여하는 방법에 대한 자세한 내용은 RAM 사용자 생성RAM 사용자에게 권한 부여 를 참조하십시오.

4.2.2. Cloud Credential Operator 유틸리티 구성

CCO(Cloud Credential Operator)가 작동 중인 경우 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하려면 CCO 유틸리티(ccoctl) 바이너리를 추출하고 준비합니다.

클러스터 내 구성 요소에 대해 장기적 RAM AccessKeys (AK)를 제공하는 RAM 사용자와 정책을 할당하려면 OpenShift Container Platform Cloud Credential Operator (Ccoctl) 유틸리티 (ccoctl) 바이너리를 추출 및 준비합니다.

참고

ccoctl은 Linux 환경에서 실행해야 하는 Linux 바이너리입니다.

절차

  1. OpenShift Container Platform 릴리스 이미지를 가져옵니다. 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  2. OpenShift Container Platform 릴리스 이미지에서 CCO 컨테이너 이미지를 가져옵니다. 

    $ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE)
    참고

    $RELEASE_IMAGE 의 아키텍처가 ccoctl 툴을 사용할 환경의 아키텍처와 일치하는지 확인합니다.

  3. OpenShift Container Platform 릴리스 이미지 내의 CCO 컨테이너 이미지에서 ccoctl 바이너리를 추출합니다. 

    $ oc image extract $CCO_IMAGE --file="/usr/bin/ccoctl" -a ~/.pull-secret

  4. ccoctl을 실행 가능하게 하려면 권한을 변경합니다. 

    $ chmod 775 ccoctl

검증

  • ccoctl을 사용할 준비가 되었는지 확인하려면 도움말 파일을 표시합니다. 

    $ ccoctl --help

    ccoctl --help 의 출력:

    OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  alibabacloud Manage credentials objects for alibaba cloud
  aws          Manage credentials objects for AWS cloud
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

4.2.3. 다음 단계

  • 다음 방법 중 하나를 사용하여 OpenShift Container Platform 설치 프로그램에서 프로비저닝한 RuntimeClass Cloud 인프라에 클러스터를 설치합니다.

4.3. vGPU Cloud에 빠르게 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 기본 구성 옵션을 사용하는 클러스터를 rhcos Cloud에 설치할 수 있습니다.

중요

OpenShift Container Platform의 vGPU Cloud는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

4.3.1. 사전 요구 사항

4.3.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager 에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

4.3.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

4.3.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

4.3.5. 설치 구성 파일 만들기

vGPU Cloud에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 alibabacloud를 지정합니다.
      3. 클러스터를 배포할 리전을 지정합니다.
      4. 클러스터를 배포할 기본 도메인을 지정합니다. 모든 DNS 레코드는 이 기본 도메인의 하위 도메인이 되므로 클러스터 이름을 포함합니다.
      5. 클러스터에 대한 설명이 포함된 이름을 지정합니다.
      6. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.

  2. RuntimeClass 클라우드에 클러스터를 설치하려면 CCO(Cloud Credential Operator)가 수동 모드에서 작동해야 합니다. install-config.yaml 파일을 수정하여 credentialsMode 매개변수를 Manual 로 설정합니다.

    credentialsModeManual로 설정된 install-config.yaml 구성 파일의 예

    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 1
compute:
- architecture: amd64
  hyperthreading: Enabled
 ...

    1
    이 행을 추가하여 credentialsModeManual로 설정합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

4.3.6. 필요한 설치 매니페스트 생성

클러스터가 머신을 구성하는 데 필요한 Kubernetes 매니페스트 및 Ignition 구성 파일을 생성해야 합니다.

절차

  1. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.

4.3.7. ccoctl 툴을 사용하여 OpenShift Container Platform 구성 요소의 인증 정보 생성

OpenShift Container Platform Cloud Credential Operator (CCO) 유틸리티를 사용하여 각 클러스터 내 구성 요소에 대해 RuntimeClass Cloud RAM 사용자 및 정책 생성을 자동화할 수 있습니다.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 & lt;path_to_ccoctl_output_dir >을 사용하여 이 디렉터리를 참조합니다.

사전 요구 사항

다음이 있어야 합니다.

  • ccoctl 바이너리를 추출하여 준비합니다.
  • OpenShift Container Platform 클러스터를 생성할 수 있는 충분한 권한이 있는 RAM 사용자가 생성되어 있어야 합니다.
  • 해당 RAM 사용자의 AccessKeyID (access_key_id) 및 AccessKeySecret (access_key_secret)을 로컬 컴퓨터의 ~/.alibabacloud/credentials 파일에 추가했습니다.

절차

  1. OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다. 

    $ oc adm release extract \
--credentials-requests \
--cloud=alibabacloud \
--to=<path_to_directory_with_list_of_credentials_requests>/credrequests quay.io/<path_to>/ocp-release:<version>
    참고

    이 명령을 실행하는 데 시간이 다소 걸릴 수 있습니다.

  2. ccoctl 툴을 사용하여 redrequests 디렉터리의 모든 CredentialsRequest 오브젝트를 처리합니다.

    1. 툴을 사용하려면 다음 명령을 실행합니다. 

      $ ccoctl alibabacloud create-ram-users \
--name <name> \
--region=<alibaba_region> \
--credentials-requests-dir=<path_to_directory_with_list_of_credentials_requests>/credrequests \
--output-dir=<path_to_ccoctl_output_dir>

      다음과 같습니다.

      • <name>은 추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름입니다.
      • <alibaba_region>은 클라우드 리소스가 생성될 Alibaba Cloud 지역입니다.
      • <path_to_directory_with_list_of_credentials_requests>/credrequestsCredentialsRequest 개체의 파일이 포함된 디렉터리입니다.
      • <path_to_ccoctl_output_dir>은 생성된 구성 요소 인증 정보 시크릿을 배치할 디렉터리입니다.
      참고

      클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

      출력 예

      2022/02/11 16:18:26 Created RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:27 Ready for creating new ram policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy
2022/02/11 16:18:27 RAM policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has created
2022/02/11 16:18:28 Policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has attached on user user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Created access keys for RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Saved credentials configuration to: user1-alicloud/manifests/openshift-machine-api-alibabacloud-credentials-credentials.yaml
...

      참고

      RAM 사용자는 두 개의 AccessKey를 동시에 가질 수 있습니다. ccoctl alibabacloud create-ram-users를 두 번 이상 실행하면 이전에 생성된 매니페스트 시크릿이 오래되어 새로 생성된 시크릿을 다시 적용해야 합니다.

    2. OpenShift Container Platform 시크릿이 생성되었는지 확인합니다. 

      $ ls <path_to_ccoctl_output_dir>/manifests

      출력 예:

      openshift-cluster-csi-drivers-alibaba-disk-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-alibabacloud-credentials-credentials.yaml

      Alibaba Cloud를 쿼리하여 RAM 사용자 및 정책의 생성 여부를 확인할 수 있습니다. 자세한 내용은 RAM 사용자 및 정책을 나열에 대한 Alibaba Cloud 문서를 참조하십시오.

  3. 생성된 자격 증명 파일을 대상 매니페스트 디렉터리에 복사합니다. 

    $ cp ./<path_to_ccoctl_output_dir>/manifests/*credentials.yaml ./<path_to_installation>dir>/manifests/

    다음과 같습니다.

    <path_to_ccoctl_output_dir>
    ccoctl alibabacloud create-ram-users 명령으로 생성된 디렉터리를 지정합니다.
    <path_to_installation>dir>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.

4.3.8. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

4.3.9. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

4.3.10. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

4.3.11. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

4.3.12. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager 에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

4.3.13. 다음 단계

4.4. 사용자 지정으로 vGPU Cloud에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 설치 프로그램이 vGPU Cloud에 프로비저닝하는 인프라에 사용자 지정 클러스터를 설치할 수 있습니다. 설치를 사용자 지정하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

참고

OpenShift Container Platform 설치 구성의 범위는 의도적으로 한정됩니다. 단순성과 성공을 보장하도록 설계되었습니다. 설치가 완료된 후 많은 추가 OpenShift Container Platform 구성 작업을 완료할 수 있습니다.

중요

OpenShift Container Platform의 vGPU Cloud는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

4.4.1. 사전 요구 사항

4.4.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager 에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

4.4.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

4.4.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.
4.4.4.1. 설치 구성 파일 만들기

vGPU Cloud에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 alibabacloud를 지정합니다.
      3. 클러스터를 배포할 리전을 지정합니다.
      4. 클러스터를 배포할 기본 도메인을 지정합니다. 모든 DNS 레코드는 이 기본 도메인의 하위 도메인이 되므로 클러스터 이름을 포함합니다.
      5. 클러스터에 대한 설명이 포함된 이름을 지정합니다.
      6. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.

  2. RuntimeClass 클라우드에 클러스터를 설치하려면 CCO(Cloud Credential Operator)가 수동 모드에서 작동해야 합니다. install-config.yaml 파일을 수정하여 credentialsMode 매개변수를 Manual 로 설정합니다.

    credentialsModeManual로 설정된 install-config.yaml 구성 파일의 예

    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 1
compute:
- architecture: amd64
  hyperthreading: Enabled
 ...

    1
    이 행을 추가하여 credentialsModeManual로 설정합니다.
  3. 필요에 따라 "설치 구성 매개변수" 섹션에서 사용 가능한 매개변수를 설정합니다.

  4. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

4.4.4.2. 필요한 설치 매니페스트 생성

클러스터가 머신을 구성하는 데 필요한 Kubernetes 매니페스트 및 Ignition 구성 파일을 생성해야 합니다.

절차

  1. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.
4.4.4.3. ccoctl 툴을 사용하여 OpenShift Container Platform 구성 요소의 인증 정보 생성

OpenShift Container Platform Cloud Credential Operator (CCO) 유틸리티를 사용하여 각 클러스터 내 구성 요소에 대해 RuntimeClass Cloud RAM 사용자 및 정책 생성을 자동화할 수 있습니다.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 & lt;path_to_ccoctl_output_dir >을 사용하여 이 디렉터리를 참조합니다.

사전 요구 사항

다음이 있어야 합니다.

  • ccoctl 바이너리를 추출하여 준비합니다.
  • OpenShift Container Platform 클러스터를 생성할 수 있는 충분한 권한이 있는 RAM 사용자가 생성되어 있어야 합니다.
  • 해당 RAM 사용자의 AccessKeyID (access_key_id) 및 AccessKeySecret (access_key_secret)을 로컬 컴퓨터의 ~/.alibabacloud/credentials 파일에 추가했습니다.

절차

  1. OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다. 

    $ oc adm release extract \
--credentials-requests \
--cloud=alibabacloud \
--to=<path_to_directory_with_list_of_credentials_requests>/credrequests quay.io/<path_to>/ocp-release:<version>
    참고

    이 명령을 실행하는 데 시간이 다소 걸릴 수 있습니다.

  2. ccoctl 툴을 사용하여 redrequests 디렉터리의 모든 CredentialsRequest 오브젝트를 처리합니다.

    1. 툴을 사용하려면 다음 명령을 실행합니다. 

      $ ccoctl alibabacloud create-ram-users \
--name <name> \
--region=<alibaba_region> \
--credentials-requests-dir=<path_to_directory_with_list_of_credentials_requests>/credrequests \
--output-dir=<path_to_ccoctl_output_dir>

      다음과 같습니다.

      • <name>은 추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름입니다.
      • <alibaba_region>은 클라우드 리소스가 생성될 Alibaba Cloud 지역입니다.
      • <path_to_directory_with_list_of_credentials_requests>/credrequestsCredentialsRequest 개체의 파일이 포함된 디렉터리입니다.
      • <path_to_ccoctl_output_dir>은 생성된 구성 요소 인증 정보 시크릿을 배치할 디렉터리입니다.
      참고

      클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

      출력 예

      2022/02/11 16:18:26 Created RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:27 Ready for creating new ram policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy
2022/02/11 16:18:27 RAM policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has created
2022/02/11 16:18:28 Policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has attached on user user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Created access keys for RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Saved credentials configuration to: user1-alicloud/manifests/openshift-machine-api-alibabacloud-credentials-credentials.yaml
...

      참고

      RAM 사용자는 두 개의 AccessKey를 동시에 가질 수 있습니다. ccoctl alibabacloud create-ram-users를 두 번 이상 실행하면 이전에 생성된 매니페스트 시크릿이 오래되어 새로 생성된 시크릿을 다시 적용해야 합니다.

    2. OpenShift Container Platform 시크릿이 생성되었는지 확인합니다. 

      $ ls <path_to_ccoctl_output_dir>/manifests

      출력 예:

      openshift-cluster-csi-drivers-alibaba-disk-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-alibabacloud-credentials-credentials.yaml

      Alibaba Cloud를 쿼리하여 RAM 사용자 및 정책의 생성 여부를 확인할 수 있습니다. 자세한 내용은 RAM 사용자 및 정책을 나열에 대한 Alibaba Cloud 문서를 참조하십시오.

  3. 생성된 자격 증명 파일을 대상 매니페스트 디렉터리에 복사합니다. 

    $ cp ./<path_to_ccoctl_output_dir>/manifests/*credentials.yaml ./<path_to_installation>dir>/manifests/

    다음과 같습니다.

    <path_to_ccoctl_output_dir>
    ccoctl alibabacloud create-ram-users 명령으로 생성된 디렉터리를 지정합니다.
    <path_to_installation>dir>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.
4.4.4.4. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

4.4.4.4.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.1. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
4.4.4.4.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 4.2. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

4.4.4.4.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.3. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere or {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere or {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 기본값은 External입니다.

이 필드를 Internal 로 설정하는 것은 클라우드 이외의 플랫폼과 IBM Cloud VPC에서 지원되지 않습니다.

중요

필드 값을 Internal 로 설정하면 클러스터가 작동하지 않습니다. 자세한 내용은 BZ#1953035를 참조하십시오.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
4.4.4.4.4. 추가Replicas Cloud 구성 매개변수

추가Replicas Cloud 구성 매개변수는 다음 표에 설명되어 있습니다. alibabacloud 매개변수는 rhcos Cloud에 설치할 때 사용되는 구성입니다. defaultMachinePlatform 매개변수는 자체 플랫폼 구성을 정의하지 않는 머신 풀용 machine pool에 설치할 때 사용되는 기본 구성입니다.

표 4.4. 선택 사항 store Cloud 매개변수
매개변수설명

platform.alibabacloud.region

필수.Cluster를 생성할 Cloud 리전입니다.

문자열.

platform.alibabacloud.resourceGroupID

클러스터가 설치될 기존 리소스 그룹의 ID입니다. 비어있는 경우 설치 프로그램은 클러스터에 대한 새 리소스 그룹을 생성합니다.

문자열.

platform.alibabacloud.tags

클러스터에 대해 생성된 모든 NetNamespace Cloud 리소스에 적용되는 추가 키와 값입니다.

오브젝트.

platform.alibabacloud.vpcID

클러스터를 설치해야 하는 기존 VPC의 ID입니다. 비어있는 경우 설치 프로그램은 클러스터에 대한 새 VPC를 생성합니다.

문자열.

platform.alibabacloud.vswitchIDs

클러스터 리소스가 생성될 기존 VSwitch의 ID 목록입니다. 기존 VSwitch는 기존 VPC를 사용하는 경우에만 사용할 수 있습니다. 비어 있는 경우 설치 프로그램이 클러스터에 대한 새 VSwitch를 생성합니다.

문자열 목록.

platform.alibabacloud.defaultMachinePlatform.imageID

컴퓨팅 머신의 경우 RWO 인스턴스를 생성하는 데 사용해야 하는 이미지 ID입니다. 설정된 경우 이미지 ID는 클러스터와 동일한 리전에 속해야 합니다.

문자열.

platform.alibabacloud.defaultMachinePlatform.instanceType

컴퓨팅 머신의 경우 vGPU Cloud에 설치할 때 사용되는 구성입니다.

문자열. 예를 들면 ecs.g6.large 입니다.

platform.alibabacloud.defaultMachinePlatform.systemDiskCategory

컴퓨팅 시스템의 경우 시스템 디스크의 범주입니다.

문자열(예: "", cloud_efficiency,cloud_essd ).

platform.alibabacloud.defaultMachinePlatform.systemDiskSize

컴퓨팅 시스템의 경우 시스템 디스크 크기(GB)입니다. 최소는 120 입니다.

정수.

platform.alibabacloud.defaultMachinePlatform.zones

컴퓨팅 시스템의 경우 사용할 수 있는 가용성 영역 목록입니다.

문자열.

platform.alibabacloud.privateZoneID

클러스터의 내부 API에 대한 DNS 레코드를 추가할 기존 프라이빗 영역의 ID입니다. 기존 프라이빗 영역은 기존 VPC를 사용하는 경우에만 사용할 수 있습니다. 프라이빗 영역은 서브넷이 포함된 VPC와 연결되어 있어야 합니다. 설치 프로그램이 사용자를 대신하여 프라이빗 영역을 생성하도록 프라이빗 영역을 설정되지 않은 상태로 둡니다.

문자열.

4.4.4.5. vGPU Cloud에 대한 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다. 

apiVersion: v1
baseDomain: alicloud-dev.devcluster.openshift.com
credentialsMode: Manual
compute:
- architecture: amd64
  hyperthreading: Enabled
  name: worker
  platform: {}
  replicas: 3
controlPlane:
  architecture: amd64
  hyperthreading: Enabled
  name: master
  platform: {}
  replicas: 3
metadata:
  creationTimestamp: null
  name: test-cluster 1
 networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  alibabacloud:
    defaultMachinePlatform: 2
      instanceType: ecs.g6.xlarge
      systemDiskCategory: cloud_efficiency
      systemDiskSize: 200
    region: ap-southeast-1 3
    resourceGroupID: rg-acfnw6j3hyai 4
publish: External
pullSecret: '{"auths": {"cloud.openshift.com": {"auth": ... }' 5
sshKey: |
  ssh-rsa AAAA... 6
1
필수 항목입니다. 설치 프로그램에서 클러스터 이름을 입력하라는 메시지를 표시합니다.
2
선택 사항: 자체 플랫폼 구성을 정의하지 않는 머신 풀에 대한 매개변수를 지정합니다.
3
필수 항목입니다. 설치 프로그램에서 클러스터를 배포할 리전을 묻는 메시지를 표시합니다.
4
선택 사항: 클러스터를 설치해야 하는 기존 리소스 그룹을 지정합니다.
5
필수 항목입니다. 설치 프로그램에서 가져오기 시크릿을 묻는 메시지를 표시합니다.
6
선택 사항: 설치 프로그램에서 클러스터의 시스템에 액세스하는 데 사용하는 SSH 키 값을 입력하라는 메시지를 표시합니다.
4.4.4.6. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

4.4.5. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

4.4.6. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

4.4.7. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

4.4.8. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

4.4.9. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager 에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

  • Telemetry 서비스에 대한 자세한 내용은 원격 상태 모니터링 정보를 참조하십시오.
  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.
  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

4.4.10. 다음 단계

4.5. 네트워크 사용자 지정이 포함된 RuntimeClass Cloud에 클러스터 설치

OpenShift Container Platform 4.10에서는 사용자 지정 네트워크 구성 옵션을 사용하여 RuntimeClass Cloud에 클러스터를 설치할 수 있습니다. 네트워크 구성을 사용자 지정할 경우, 클러스터가 사용자 환경의 기존 IP 주소 할당과 공존하고 기존 MTU 및 VXLAN 구성과 통합될 수 있습니다.

설치 과정에서 네트워크 구성 매개변수를 대부분 설정해야 하며, 실행 중인 클러스터에서는 kubeProxy 구성 매개변수만 수정할 수 있습니다.

중요

OpenShift Container Platform의 vGPU Cloud는 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 https://access.redhat.com/support/offerings/techpreview/를 참조하십시오.

4.5.1. 사전 요구 사항

4.5.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager 에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

4.5.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

4.5.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

4.5.5. 네트워크 구성 단계

OpenShift Container Platform을 설치하기 전에 네트워크 구성을 사용자 지정할 수 있습니다.

1 단계

매니페스트 파일을 생성하기 전에 install-config.yaml 파일에서 다음 네트워크 관련 필드를 사용자 지정할 수 있습니다.

  • networking.networkType
  • networking.clusterNetwork
  • networking.serviceNetwork

  • networking.machineNetwork

    이러한 필드에 대한 자세한 내용은 설치 구성 매개 변수에서 참조하십시오.

    참고

    기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

2 단계
openshift-install create manifests 를 실행하여 매니페스트 파일을 생성한 후 수정할 필드로 사용자 지정된 Cluster Network Operator 매니페스트를 정의할 수 있습니다. 매니페스트를 사용하여 고급 네트워크 구성을 지정할 수 있습니다.

install-config.yaml 파일에서 1 단계에 지정된 값을 2 단계에서 재정의할 수 없습니다. 그러나 2 단계에서 클러스터 네트워크 공급자를 추가로 사용자 지정할 수 있습니다.

4.5.5.1. 설치 구성 파일 만들기

설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구 수행을 원하는 프로덕션 환경 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스에 사용할 SSH 키를 지정하십시오.

      2. 클러스터를 설명할 수 있는 이름을 입력합니다.
      3. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
  2. install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 “설치 구성 매개변수” 섹션에서 확인할 수 있습니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

4.5.5.2. 필요한 설치 매니페스트 생성

클러스터가 머신을 구성하는 데 필요한 Kubernetes 매니페스트 및 Ignition 구성 파일을 생성해야 합니다.

절차

  1. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.
참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 & lt;path_to_ccoctl_output_dir >을 사용하여 이 디렉터리를 참조합니다.

사전 요구 사항

다음이 있어야 합니다.

  • ccoctl 바이너리를 추출하여 준비합니다.

절차

  1. OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다.

    참고

    이 명령을 실행하는 데 시간이 다소 걸릴 수 있습니다.

4.5.5.3. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

4.5.5.3.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.5. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
4.5.5.3.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 4.6. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

4.5.5.3.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.7. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere or {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere or {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 기본값은 External입니다.

이 필드를 Internal 로 설정하는 것은 클라우드 이외의 플랫폼과 IBM Cloud VPC에서 지원되지 않습니다.

중요

필드 값을 Internal 로 설정하면 클러스터가 작동하지 않습니다. 자세한 내용은 BZ#1953035를 참조하십시오.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
4.5.5.4. vGPU Cloud에 대한 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다. 

apiVersion: v1
baseDomain: alicloud-dev.devcluster.openshift.com
credentialsMode: Manual
compute:
- architecture: amd64
  hyperthreading: Enabled
  name: worker
  platform: {}
  replicas: 3
controlPlane:
  architecture: amd64
  hyperthreading: Enabled
  name: master
  platform: {}
  replicas: 3
metadata:
  creationTimestamp: null
  name: test-cluster 1
 networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  alibabacloud:
    defaultMachinePlatform: 2
      instanceType: ecs.g6.xlarge
      systemDiskCategory: cloud_efficiency
      systemDiskSize: 200
    region: ap-southeast-1 3
    resourceGroupID: rg-acfnw6j3hyai 4
publish: External
pullSecret: '{"auths": {"cloud.openshift.com": {"auth": ... }' 5
sshKey: |
  ssh-rsa AAAA... 6
1
필수 항목입니다. 설치 프로그램에서 클러스터 이름을 입력하라는 메시지를 표시합니다.
2
선택 사항: 자체 플랫폼 구성을 정의하지 않는 머신 풀에 대한 매개변수를 지정합니다.
3
필수 항목입니다. 설치 프로그램에서 클러스터를 배포할 리전을 묻는 메시지를 표시합니다.
4
선택 사항: 클러스터를 설치해야 하는 기존 리소스 그룹을 지정합니다.
5
필수 항목입니다. 설치 프로그램에서 가져오기 시크릿을 묻는 메시지를 표시합니다.
6
선택 사항: 설치 프로그램에서 클러스터의 시스템에 액세스하는 데 사용하는 SSH 키 값을 입력하라는 메시지를 표시합니다.
4.5.5.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

4.5.6. CNO(Cluster Network Operator) 구성

클러스터 네트워크의 구성은 CNO(Cluster Network Operator) 구성의 일부로 지정되며 cluster라는 이름의 CR(사용자 정의 리소스) 오브젝트에 저장됩니다. CR은 operator.openshift.io API 그룹에서 Network API의 필드를 지정합니다.

CNO 구성은 Network.config.openshift.io API 그룹의 Network API에서 클러스터 설치 중에 다음 필드를 상속하며 이러한 필드는 변경할 수 없습니다.

clusterNetwork
Pod IP 주소가 할당되는 IP 주소 풀입니다.
serviceNetwork
서비스를 위한 IP 주소 풀입니다.
defaultNetwork.type
OpenShift SDN 또는 OVN-Kubernetes와 같은 클러스터 네트워크 공급자입니다.

cluster라는 CNO 오브젝트에서 defaultNetwork 오브젝트의 필드를 설정하여 클러스터의 클러스터 네트워크 공급자 구성을 지정할 수 있습니다.

4.5.6.1. CNO(Cluster Network Operator) 구성 오브젝트

CNO(Cluster Network Operator)의 필드는 다음 표에 설명되어 있습니다.

표 4.8. CNO(Cluster Network Operator) 구성 오브젝트
필드유형설명

metadata.name

string

CNO 개체 이름입니다. 이 이름은 항상 cluster입니다.

spec.clusterNetwork

array

Pod IP 주소가 할당되는 IP 주소 블록과 클러스터의 각 개별 노드에 할당된 서브넷 접두사 길이를 지정하는 목록입니다. 예를 들면 다음과 같습니다. 

spec:
  clusterNetwork:
  - cidr: 10.128.0.0/19
    hostPrefix: 23
  - cidr: 10.128.32.0/19
    hostPrefix: 23

매니페스트를 생성하기 전에 install-config.yaml 파일에서만 이 필드를 사용자 지정할 수 있습니다. 값은 매니페스트 파일에서 읽기 전용입니다.

spec.serviceNetwork

array

서비스의 IP 주소 블록입니다. OpenShift SDN 및 OVN-Kubernetes CNI(Container Network Interface) 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다. 예를 들면 다음과 같습니다. 

spec:
  serviceNetwork:
  - 172.30.0.0/14

매니페스트를 생성하기 전에 install-config.yaml 파일에서만 이 필드를 사용자 지정할 수 있습니다. 값은 매니페스트 파일에서 읽기 전용입니다.

spec.defaultNetwork

object

클러스터 네트워크의 CNI(Container Network Interface) 클러스터 네트워크 공급자를 구성합니다.

spec.kubeProxyConfig

object

이 개체의 필드는 kube-proxy 구성을 지정합니다. OVN-Kubernetes 클러스터 네트워크 공급자를 사용하는 경우 kube-proxy 구성이 적용되지 않습니다.

defaultNetwork 오브젝트 구성

defaultNetwork 오브젝트의 값은 다음 표에 정의되어 있습니다.

표 4.9. defaultNetwork 오브젝트
필드유형설명

type

string

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 클러스터 네트워크 공급자가 설치 중에 선택됩니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

참고

OpenShift Container Platform은 기본적으로 OpenShift SDN CNI(Container Network Interface) 클러스터 네트워크 공급자를 사용합니다.

openshiftSDNConfig

object

이 오브젝트는 OpenShift SDN 클러스터 네트워크 공급자에만 유효합니다.

ovnKubernetesConfig

object

이 오브젝트는 OVN-Kubernetes 클러스터 네트워크 공급자에만 유효합니다.

OpenShift SDN CNI 네트워크 공급자에 대한 구성

다음 표에서는 OpenShift SDN Container Network Interface (CNI) 클러스터 네트워크 공급자의 구성 필드를 설명합니다.

표 4.10. openshiftSDNConfig 오브젝트
필드유형설명

mode

string

OpenShift SDN의 네트워크 격리 모드를 구성합니다. 기본값은 NetworkPolicy입니다.

MultitenantSubnet 값은 OpenShift Container Platform 3.x 버전과의 역호환할 수 있지만 권장되지는 않습니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

mtu

integer

VXLAN 오버레이 네트워크의 최대 전송 단위(MTU)입니다. 이는 기본 네트워크 인터페이스의 MTU를 기준으로 자동 탐지됩니다. 일반적으로 감지된 MTU를 재정의할 필요는 없습니다.

자동 감지 값이 예상 밖인 경우 노드의 기본 네트워크 인터페이스의 MTU가 올바른지 확인합니다. 이 옵션을 사용하여 노드의 기본 네트워크 인터페이스의 MTU 값을 변경할 수 없습니다.

클러스터에 다른 노드에 대한 다른 MTU 값이 필요한 경우 이 값을 클러스터의 가장 낮은 MTU 값보다 50 미만으로 설정해야 합니다. 예를 들어 클러스터의 일부 노드에는 9001의 MTU가 있고 일부에는 1500의 MTU가 있는 경우 이 값을 1450으로 설정해야 합니다.

클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

vxlanPort

integer

모든 VXLAN 패킷에 사용할 포트입니다. 기본값은 4789입니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

기존 노드가 다른 VXLAN 네트워크에 속하는 가상 환경에서 실행 중인 경우에는 기본값을 변경해야 할 수도 있습니다. 예를 들어 VMware NSX-T 위에서 OpenShift SDN 오버레이를 실행할 때 두 SDN이 동일한 기본 VXLAN 포트 번호를 사용하므로 VXLAN의 대체 포트를 선택해야 합니다.

AWS(Amazon Web Services)에서는 포트 9000과 포트 9999 사이에서 VXLAN의 대체 포트를 선택할 수 있습니다.

OpenShift SDN 구성 예

defaultNetwork:
  type: OpenShiftSDN
  openshiftSDNConfig:
    mode: NetworkPolicy
    mtu: 1450
    vxlanPort: 4789

OVN-Kubernetes CNI 클러스터 네트워크 공급자에 대한 구성

다음 표에서는 OVN-Kubernetes CNI 클러스터 네트워크 공급자의 구성 필드를 설명합니다.

표 4.11. ovnKubernetesConfig object
필드유형설명

mtu

integer

Geneve(Generic Network Virtualization Encapsulation) 오버레이 네트워크의 MTU(최대 전송 단위)입니다. 이는 기본 네트워크 인터페이스의 MTU를 기준으로 자동 탐지됩니다. 일반적으로 감지된 MTU를 재정의할 필요는 없습니다.

자동 감지 값이 예상 밖인 경우 노드의 기본 네트워크 인터페이스의 MTU가 올바른지 확인합니다. 이 옵션을 사용하여 노드의 기본 네트워크 인터페이스의 MTU 값을 변경할 수 없습니다.

클러스터에 다른 노드에 대한 다른 MTU 값이 필요한 경우, 이 값을 클러스터의 가장 낮은 MTU 값보다 100 미만으로 설정해야 합니다. 예를 들어, 클러스터의 일부 노드에 9001의 MTU가 있고 일부에는 1500의 MTU가 있는 경우 이 값을 1400으로 설정해야 합니다.

genevePort

integer

모든 Geneve 패킷에 사용할 포트입니다. 기본값은 6081입니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

ipsecConfig

object

IPsec 암호화를 활성화하려면 빈 오브젝트를 지정합니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

policyAuditConfig

object

네트워크 정책 감사 로깅을 사용자 정의할 구성 오브젝트를 지정합니다. 설정되지 않으면 기본값 감사 로그 설정이 사용됩니다.

gatewayConfig

object

선택 사항: 송신 트래픽이 노드 게이트웨이로 전송되는 방법을 사용자 정의할 구성 오브젝트를 지정합니다.

참고
While migrating egress traffic, you can expect some disruption to workloads and service traffic until the Cluster Network Operator (CNO) successfully rolls out the changes.
표 4.12. policyAuditConfig 오브젝트
필드유형설명

rateLimit

integer

노드당 1초마다 생성할 최대 메시지 수입니다. 기본값은 초당 20 개의 메시지입니다.

maxFileSize

integer

감사 로그의 최대 크기(바이트)입니다. 기본값은 50000000 또는 50MB입니다.

대상

string

다음 추가 감사 로그 대상 중 하나입니다.

libc
호스트에서 journald 프로세스의 libc syslog() 함수입니다.
udp:<host>:<port>
syslog 서버입니다. <host>:<port>를 syslog 서버의 호스트 및 포트로 바꿉니다.
unix:<file>
<file>로 지정된 Unix Domain Socket 파일입니다.
null
감사 로그를 추가 대상으로 보내지 마십시오.

syslogFacility

string

RFC5424에 정의된 kern과 같은 syslog 기능입니다. 기본값은 local0입니다.

표 4.13. gatewayConfig object
필드유형설명

routingViaHost

boolean

Pod에서 호스트 네트워킹 스택으로 송신 트래픽을 보내려면 이 필드를 true 로 설정합니다. 커널 라우팅 테이블에 수동으로 구성된 경로를 사용하는 고도의 전문 설치 및 애플리케이션의 경우 송신 트래픽을 호스트 네트워킹 스택으로 라우팅해야 할 수 있습니다. 기본적으로 송신 트래픽은 클러스터를 종료하기 위해 OVN에서 처리되며 커널 라우팅 테이블의 특수 경로의 영향을 받지 않습니다. 기본값은 false입니다.

이 필드는 Open vSwitch 하드웨어 오프로드 기능과 상호 작용합니다. 이 필드를 true 로 설정하면 송신 트래픽이 호스트 네트워킹 스택에서 처리되므로 오프로드의 성능 이점이 제공되지 않습니다.

IPSec가 활성화된 OVN-Kubernetes 구성의 예

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
    ipsecConfig: {}

kubeProxyConfig 오브젝트 구성

kubeProxyConfig 오브젝트의 값은 다음 표에 정의되어 있습니다.

표 4.14. kubeProxyConfig object
필드유형설명

iptablesSyncPeriod

string

iptables 규칙의 새로 고침 간격입니다. 기본값은 30s입니다. 유효 접미사로 s, m, h가 있으며, 자세한 설명은 Go time 패키지 문서를 참조하십시오.

참고

OpenShift Container Platform 4.3 이상에서는 성능이 개선되어 더 이상 iptablesSyncPeriod 매개변수를 조정할 필요가 없습니다.

proxyArguments.iptables-min-sync-period

array

iptables 규칙을 새로 고치기 전 최소 기간입니다. 이 필드를 통해 새로 고침 간격이 너무 짧지 않도록 조정할 수 있습니다. 유효 접미사로 s, m, h가 있으며, 자세한 설명은 Go time 패키지를 참조하십시오. 기본값은 다음과 같습니다. 

kubeProxyConfig:
  proxyArguments:
    iptables-min-sync-period:
    - 0s

4.5.7. 고급 네트워크 구성 지정

클러스터 네트워크 제공자의 고급 네트워크 구성을 사용하여 클러스터를 기존 네트워크 환경에 통합할 수 있습니다. 클러스터를 설치하기 전에만 고급 네트워크 구성을 지정할 수 있습니다.

중요

설치 프로그램에서 생성한 OpenShift Container Platform 매니페스트 파일을 수정하여 네트워크 구성을 사용자 정의하는 것은 지원되지 않습니다. 다음 절차에서와 같이 생성한 매니페스트 파일을 적용할 수 있습니다.

사전 요구 사항

  • install-config.yaml 파일을 생성하고 수정 작업을 완료했습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>는 클러스터의 install-config.yaml 파일이 포함된 디렉터리의 이름을 지정합니다.

  2. <installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:

  3. 다음과 같이 cluster-network-03-config.yml 파일에서 클러스터의 고급 네트워크 구성을 지정합니다.

    OpenShift SDN 네트워크 공급자에 대한 다른 VXLAN 포트 지정

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    openshiftSDNConfig:
      vxlanPort: 4800

    OVN-Kubernetes 네트워크 공급자의 IPsec 활성화

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      ipsecConfig: {}

  4. 선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 Ignition 구성 파일을 생성할 때 manifests/ 디렉터리를 사용합니다.

4.5.8. OVN-Kubernetes로 하이브리드 네트워킹 구성

OVN-Kubernetes에서 하이브리드 네트워킹을 사용하도록 클러스터를 구성할 수 있습니다. 이를 통해 다양한 노드 네트워킹 구성을 지원하는 하이브리드 클러스터를 사용할 수 있습니다. 예를 들어 클러스터에서 Linux 및 Windows 노드를 모두 실행하려면 이 작업이 필요합니다.

중요

클러스터를 설치하는 동안 OVN-Kubernetes를 사용하여 하이브리드 네트워킹을 구성해야 합니다. 설치 프로세스 후에는 하이브리드 네트워킹으로 전환할 수 없습니다.

사전 요구 사항

  • install-config.yaml 파일에 networking.networkType매개변수의 OVNKubernetes가 정의되어 있어야 합니다. 자세한 내용은 선택한 클라우드 공급자에서 OpenShift Container Platform 네트워크 사용자 정의 설정에 필요한 설치 문서를 참조하십시오.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    클러스터의 install-config.yaml 파일이 포함된 디렉토리의 이름을 지정합니다.

  2. <installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다. 

    $ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
EOF

    다음과 같습니다.

    <installation_directory>
    클러스터의 manifests/ 디렉터리가 포함된 디렉터리 이름을 지정합니다.

  3. 편집기에서 cluster-network-03-config.yml 파일을 열고 다음 예와 같이 하이브리드 네트워킹을 사용하여 OVN-Kubernetes를 구성합니다.

    하이브리드 네트워킹 구성 지정

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      hybridOverlayConfig:
        hybridClusterNetwork: 1
        - cidr: 10.132.0.0/14
          hostPrefix: 23
        hybridOverlayVXLANPort: 9898 2

    1
    추가 오버레이 네트워크의 노드에 사용되는 CIDR 구성을 지정합니다. hybridClusterNetwork CIDR은 clusterNetwork CIDR과 중복될 수 없습니다.
    2
    추가 오버레이 네트워크에 대한 사용자 정의 VXLAN 포트를 지정합니다. 이는 vSphere에 설치된 클러스터에서 Windows 노드를 실행해야 하며 다른 클라우드 공급자에 대해 구성해서는 안 됩니다. 사용자 정의 포트는 기본 4789 포트를 제외한 모든 오픈 포트일 수 있습니다. 이 요구 사항에 대한 자세한 내용은 호스트 간의 포드 투 포트 연결 중단에 대한 Microsoft 문서를 참조하십시오.
    참고

    Windows Server LTSC(Long-Term Servicing Channel): Windows Server 2019는 사용자 지정 hybridOverlayVXLANPort 값이 있는 클러스터에서 지원되지 않습니다. 이 Windows 서버 버전은 사용자 지정 VXLAN 포트를 선택하는 것을 지원하지 않기 때문입니다.

  4. cluster-network-03-config.yml 파일을 저장하고 텍스트 편집기를 종료합니다.오.
  5. 선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 클러스터를 생성할 때 manifests/ 디렉터리를 삭제합니다.

4.5.9. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 다음을 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

4.5.10. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

4.5.11. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

4.5.12. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

4.5.13. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager 에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

  • Telemetry 서비스에 대한 자세한 내용은 원격 상태 모니터링 정보를 참조하십시오.
  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.
  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

4.5.14. 다음 단계

4.6. vGPU Cloud에서 클러스터 설치 제거

vGPU Cloud에 배포한 클러스터를 제거할 수 있습니다.

4.6.1. 설치 관리자가 프로비저닝한 인프라를 사용하는 클러스터 제거

클라우드에서 설치 관리자 프로비저닝 인프라를 사용하는 클러스터를 제거할 수 있습니다.

참고

설치 제거 후 특히 UPI(User Provisioned Infrastructure) 클러스터에서 제거되지 않은 리소스에 대해 클라우드 공급자를 확인합니다. 설치 관리자가 생성하지 않았거나 설치 프로그램이 액세스할 수 없는 리소스가 있을 수 있습니다.

사전 요구 사항

  • 클러스터를 배포하는 데 사용한 설치 프로그램의 사본을 준비합니다.
  • 클러스터를 만들 때 설치 프로그램에 의해 생성된 파일을 준비합니다.

프로세스

  1. 클러스터를 설치하는 데 사용한 컴퓨터에 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행합니다. 

    $ ./openshift-install destroy cluster \
--dir <installation_directory> --log-level info 1 2
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
    2
    다른 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    클러스터의 클러스터 정의 파일이 포함되어 있는 디렉터리를 지정해야 합니다. 설치 프로그램이 클러스터를 삭제하려면 이 디렉터리에 있는 metadata.json 파일이 필요합니다.

  1. 선택사항: <installation_directory> 디렉터리와 OpenShift Container Platform 설치 프로그램을 삭제합니다.

5장. AWS에 설치

5.1. AWS에 설치할 준비

5.1.1. 사전 요구 사항

5.1.2. AWS에 OpenShift Container Platform을 설치하기 위한 요구사항

AWS(Amazon Web Services)에 OpenShift Container Platform을 설치하려면 먼저 AWS 계정을 생성해야 합니다. 계정, 계정 제한, 계정 권한, IAM 사용자 설정 및 지원되는 AWS 리전 구성에 대한 자세한 내용은 AWS 계정 구성을 참조하십시오.

사용자의 환경에서 클라우드 ID 및 액세스 관리(IAM) API에 액세스할 수 없거나 kube-system 네임스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않으려면 CCO(Cloud Credential Operator)가 Amazon Web Services Security를 사용하도록 구성하는 등 다른 옵션에 대해 AWS용 IAM 수동 생성을 참조하십시오.

5.1.3. AWS에 OpenShift Container Platform을 설치할 방법 선택

설치 관리자 프로비저닝 또는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 설치할 수 있습니다. 기본 설치 유형은 설치 프로그램이 클러스터의 기본 인프라를 프로비저닝하는 설치 관리자 프로비저닝 인프라를 사용합니다. 제공하는 인프라에 OpenShift Container Platform도 설치할 수 있습니다. 설치 프로그램에서 프로비저닝한 인프라를 사용하지 않는 경우 클러스터 리소스를 직접 관리하고 유지보수해야 합니다.

설치 관리자 프로비저닝 및 사용자 프로비저닝 설치 프로세스에 대한 자세한 내용은 설치 프로세스를 참조하십시오.

5.1.3.1. 설치 관리자 프로비저닝 인프라를 사용하여 클러스터 설치

다음 방법 중 하나를 사용하여 OpenShift Container Platform 설치 프로그램에서 프로비저닝한 AWS 인프라에 컨테이너를 설치할 수 있습니다.

  • AWS에서 클러스터 빠른 설치: OpenShift Container Platform 설치 프로그램에서 프로비저닝한 AWS 인프라에 OpenShift Container Platform을 설치할 수 있습니다. 기본 구성 옵션을 사용하여 빠르게 클러스터를 설치할 수 있습니다.
  • AWS에 사용자 지정 클러스터 설치: 설치 프로그램이 프로비저닝하는 AWS 인프라에 사용자 지정 클러스터를 설치할 수 있습니다. 설치 프로그램을 통해 설치 단계에서 일부 사용자 지정을 적용할 수 있습니다. 다른 많은 사용자 정의 옵션은 설치 후사용할 수 있습니다.
  • 네트워크 사용자 지정으로 AWS에 클러스터 설치: 설치 중에 OpenShift Container Platform 네트워크 구성을 사용자 지정할 수 있으므로 클러스터가 기존 IP 주소 할당과 공존하고 네트워크 요구 사항을 준수할 수 있습니다.
  • 제한된 네트워크의 AWS에 클러스터 설치: 설치 릴리스 콘텐츠의 내부 미러를 사용하여 설치 프로그램 프로비저닝 인프라에 있는 AWS에 OpenShift Container Platform을 설치할 수 있습니다. 이 방법을 사용하여 소프트웨어 구성 요소를 받기 위해 활성 인터넷 연결이 필요하지 않은 클러스터를 설치할 수 있습니다.
  • 기존 VPC에 클러스터 설치: 기존 AWS VPC(Virtual Private Cloud)에 OpenShift Container Platform을 설치할 수 있습니다. 새 계정 또는 인프라를 생성할 때 제한과 같이 회사의 지침에 따라 설정되는 제약 조건이 있는 경우 이 설치 방법을 사용할 수 있습니다.
  • 기존 VPC에 프라이빗 클러스터 설치: 개인 AWS VPC에 프라이빗 클러스터를 설치할 수 있습니다. 이 방법을 사용하여 인터넷에 표시되지 않는 내부 네트워크에 OpenShift Container Platform을 배포할 수 있습니다.
  • AWS에 있는 클러스터를 정부 또는 시크릿 리전에 설치: OpenShift Container Platform은 연방, 주, 지역 수준의 정부 기관은 물론 클라우드에서 중요한 워크로드를 실행해야 하는 미국 정부 기관, 계약자, 교육 기관 및 기타 미국 고객을 위해 설계된 AWS 리전에 배포할 수 있습니다.
5.1.3.2. 사용자 프로비저닝 인프라를 사용하여 클러스터 설치

다음 방법 중 하나를 사용하여 프로비저닝하는 AWS 인프라에 클러스터를 설치할 수 있습니다.

  • 사용자가 제공하는 AWS 인프라에 클러스터 설치: 사용자가 제공하는 AWS 인프라에 OpenShift Container Platform을 설치할 수 있습니다. 제공된 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 설치에 필요한 각 구성 요소를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.
  • 사용자 프로비저닝 인프라가 있는 제한된 네트워크의 AWS에 클러스터 설치: 설치 릴리스 콘텐츠의 내부 미러를 사용하여 사용자가 제공하는 AWS에 OpenShift Container Platform을 설치할 수 있습니다. 이 방법을 사용하여 소프트웨어 구성 요소를 받기 위해 활성 인터넷 연결이 필요하지 않은 클러스터를 설치할 수 있습니다. 이 설치 방법을 사용하여 클러스터가 외부 콘텐츠에 대해 조직의 제어 조건을 충족하는 컨테이너 이미지만 사용하도록 할 수 있습니다. 미러링된 콘텐츠를 사용하여 OpenShift Container Platform 클러스터를 설치할 수는 있지만 AWS API를 사용하려면 여전히 클러스터에 인터넷 액세스가 필요합니다.

5.1.4. 다음 단계

5.2. AWS 계정 구성

OpenShift Container Platform을 설치하려면 먼저 AWS(Amazon Web Services) 계정을 구성해야 합니다.

5.2.1. 경로 53 구성

OpenShift Container Platform을 설치하려면 사용하는 AWS(Amazon Web Services) 계정에 Route 53 서비스의 전용 공개 호스팅 영역이 있어야 합니다. 도메인에 대한 권한도 이 영역에 있어야 합니다. Route 53 서비스는 클러스터와의 외부 연결에 필요한 클러스터 DNS 확인 및 이름 조회 기능을 제공합니다.

프로세스

  1. 도메인 또는 하위 도메인과 등록 기관을 식별합니다. 기존 도메인 및 등록 기관을 이전하거나 AWS 또는 다른 소스를 통해 새 도메인을 구입할 수 있습니다.

    참고

    AWS를 통해 새 도메인을 구입하는 경우 관련 DNS 변경사항이 전파되는 데 시간이 걸립니다. AWS를 통한 도메인 구입에 대한 자세한 내용은 AWS 문서에서 Amazon Route 53을 사용하여 도메인 이름 등록을 참조하십시오.

  2. 기존 도메인과 등록 기관을 사용하는 경우에는 해당 DNS를 AWS로 마이그레이션합니다. AWS 문서의 Amazon Route 53을 기존 도메인의 DNS 서비스로 지정을 참조하십시오.

  3. 도메인 또는 하위 도메인의 공개 호스팅 영역을 생성합니다. AWS 문서의 공개 호스팅 영역 생성을 참조하십시오.

    적절한 루트 도메인(예: openshiftcorp.com) 또는 하위 도메인(예: clusters.openshiftcorp.com)을 사용합니다.

  4. 호스팅 영역 레코드에서 권한이 있는 새 이름 서버를 추출합니다. AWS 문서의 공개 호스팅 영역의 이름 서버 가져오기를 참조하십시오.
  5. 도메인에서 사용하는 AWS Route 53 이름 서버의 등록 기관 레코드를 업데이트합니다. 예를 들어 도메인을 다른 계정의 Route 53 서비스에 등록한 경우 AWS 문서의 이름 서버 또는 글루 레코드 추가 또는 변경 항목을 참조하십시오.
  6. 하위 도메인을 사용하는 경우 해당 위임 레코드를 상위 도메인에 추가합니다. 이렇게 하면 Amazon Route 53에 하위 도메인에 대한 책임이 부여됩니다. 상위 도메인의 DNS 공급자에 의해 요약된 위임 프로세스를 따릅니다. 상위 수준 프로세스의 예는 AWS 문서에서 상위 도메인을 마이그레이션하지 않고 Amazon Route 53을 DNS 서비스로 사용하여 하위 도메인 생성을 참조하십시오.
5.2.1.1. AWS Route 53에 대한 Ingress Operator 엔드 포인트 구성

Amazon Web Services (AWS) GovCloud (US) US-West 또는 US-East 리전에 설치하는 경우 Ingress Operator는 Route53 및 태그 지정 API 클라이언트에 us-gov-west-1 리전을 사용합니다.

Ingress Operator는 'us-gov-east-1' 문자열을 포함하는 태그 지정 사용자 지정 엔드 포인트가 구성된 경우 https://tagging.us-gov-west-1.amazonaws.com 을 태그 지정 API 엔드 포인트로 사용합니다.

AWS GovCloud (US) 엔드 포인트에 대한 자세한 내용은 GovCloud (US)에 대한 AWS 설명서에서 Service Endpoints를 참조하십시오.

중요

us-gov-east-1 리전에 설치할 때 AWS GovCloud에서 연결 해제된 개인 설치는 지원되지 않습니다.

Route 53 구성의 예

platform:
  aws:
    region: us-gov-west-1
    serviceEndpoints:
    - name: ec2
      url: https://ec2.us-gov-west-1.amazonaws.com
    - name: elasticloadbalancing
      url: https://elasticloadbalancing.us-gov-west-1.amazonaws.com
    - name: route53
      url: https://route53.us-gov.amazonaws.com 1
    - name: tagging
      url: https://tagging.us-gov-west-1.amazonaws.com 2

1
Route 53의 기본값은 두 AWS GovCloud (US) 리전 모두에서 https://route53.us-gov.amazonaws.com입니다.
2
미국 서부 (US-West) 지역에만 태그 지정을 위한 엔드 포인트가 있습니다. 클러스터가 다른 지역에 있는 경우 이 매개 변수를 생략하십시오.

5.2.2. AWS 계정 제한

OpenShift Container Platform 클러스터는 여러 AWS(Amazon Web Services) 구성 요소를 사용하며 기본 서비스 제한이 OpenShift Container Platform 클러스터 설치하는 데 영향을 미칩니다. 특정 클러스터 구성을 사용하거나 특정 AWS 리전에 클러스터를 배포하거나 사용자 계정에서 여러 클러스터를 실행하는 경우 AWS 계정의 추가 리소스를 요청해야 할 수 있습니다.

다음 표에는 해당 제한이 OpenShift Container Platform 클러스터를 설치하고 실행하는 데 영향을 미칠 수 있는 AWS 구성 요소가 요약되어 있습니다.

구성 요소기본적으로 사용 가능한 클러스터 수기본 AWS 제한설명

인스턴스 제한

변동 가능

변동 가능

기본적으로 각 클러스터는 다음 인스턴스를 생성합니다.

  • 설치 후 제거되는 하나의 부트스트랩 시스템
  • 컨트롤 플레인 노드 세 개
  • 작업자 노드 세 개

이러한 인스턴스 유형 수는 새 계정의 기본 제한 내에 있습니다. 더 많은 작업자 노드를 배포하거나 자동 크기 조정을 활성화하거나 대규모 워크로드를 배포하거나 다른 인스턴스 유형을 사용하려면 계정 제한을 검토하여 클러스터가 필요한 시스템을 배포할 수 있는지 확인합니다.

대부분의 리전에서 작업자 시스템은 m6i.large 인스턴스를 사용하고 부트스트랩 및 컨트롤 플레인 시스템은 m6i.xlarge 인스턴스를 사용합니다. 이러한 인스턴스 유형을 지원하지 않는 모든 리전을 포함한 일부 리전에서는 m5.largem5.xlarge 인스턴스를 대신 사용합니다.

탄력적 IP(EIP)

0 ~1

계정 당 EIP 5개

설치 프로그램은 클러스터를 고가용성 구성으로 프로비저닝하기 위해 각각의 리전 내 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 만듭니다. 프라이빗 서브넷마다 NAT 게이트웨이가 필요하며 NAT 게이트웨이마다 개별 탄력적 IP가 필요합니다. 각 리전의 가용성 영역 수를 판별하려면 AWS 영역 지도를 검토합니다. 기본 고가용성을 활용하려면 세 개 이상의 가용성 영역이 있는 리전에 클러스터를 설치합니다. 여섯 개 이상의 가용성 영역이 있는 리전에 클러스터를 설치하려면 EIP 제한을 늘려야 합니다.

중요

us-east-1 리젼을 사용하려면 계정의 EIP 제한을 늘려야 합니다.

가상 사설 클라우드(VPC)

5

리전당 VPC 5개

각 클러스터마다 자체 VPC를 생성합니다.

탄력적 로드 밸런싱(ELB/NLB)

3

리전당 20개

기본적으로 각 클러스터는 마스터 API 서버용 내부 및 외부 네트워크 로드 밸런서를 생성하고 라우터용 단일 클래식 탄력적 로드 밸런서를 생성합니다. LoadBalancer 유형으로 Kubernetes Service 개체를 더 배포하면 추가 로드 밸런서가 생성됩니다.

NAT 게이트웨이

5

가용성 영역당 5개

클러스터는 각 가용성 영역에 하나의 NAT 게이트웨이를 배포합니다.

탄력적 네트워크 인터페이스(ENI)

12개 이상

리전당 350개

기본 설치는 21개의 ENI와 함께 리전 내 각 가용성 영역마다 하나의 ENI를 생성합니다. 예를 들어 us-east-1 리전에는 여섯 개의 가용성 영역이 있으므로 해당 영역에 배포되는 클러스터는 27개의 ENI를 사용합니다. 각 리전의 가용성 영역 수를 판별하려면 AWS 영역 지도를 검토합니다.

클러스터 사용 및 배포된 워크로드에 의해 생성되는 추가 시스템 및 탄력적 로드 밸런서마다 추가 ENI가 생성됩니다.

VPC 게이트웨이

20

계정당 20개

각 클러스터는 S3 액세스를 위한 단일 VPC 게이트웨이를 생성합니다.

S3 버킷

99

계정당 버킷 100개

설치 프로세스에서 임시 버킷을 생성하고 각 클러스터의 레지스트리 구성 요소가 버킷을 생성하므로 AWS 계정당 OpenShift Container Platform 클러스터를 99개만 생성할 수 있습니다.

보안 그룹

250

계정당 2,500개

클러스터마다 10개의 개별 보안 그룹을 생성합니다.

5.2.3. IAM 사용자에게 필요한 AWS 권한

참고

기본 클러스터 리소스를 삭제하려면 IAM 사용자에게 us-east-1 리전에 권한 tag:GetResources 가 있어야 합니다. AWS API 요구 사항의 일부로 OpenShift Container Platform 설치 프로그램은 이 리전에서 다양한 작업을 수행합니다.

AWS(Amazon Web Services)에서 생성되는 IAM 사용자에게 AdministratorAccess 정책을 연결하면 해당 사용자에게 필요한 모든 권한이 부여됩니다. OpenShift Container Platform 클러스터의 모든 구성 요소를 배포하려면 IAM 사용자에게 다음과 같은 권한이 필요합니다.

예 5.1. 설치에 필요한 EC2 권한

  • ec2:AuthorizeSecurityGroupEgress
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:CopyImage
  • ec2:CreateNetworkInterface
  • ec2:AttachNetworkInterface
  • ec2:CreateSecurityGroup
  • ec2:CreateTags
  • ec2:CreateVolume
  • ec2:DeleteSecurityGroup
  • ec2:DeleteSnapshot
  • ec2:DeleteTags
  • ec2:DeregisterImage
  • ec2:DescribeAccountAttributes
  • ec2:DescribeAddresses
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeDhcpOptions
  • ec2:DescribeImages
  • ec2:DescribeInstanceAttribute
  • ec2:DescribeInstanceCreditSpecifications
  • ec2:DescribeInstances
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInternetGateways
  • ec2:DescribeKeyPairs
  • ec2:DescribeNatGateways
  • ec2:DescribeNetworkAcls
  • ec2:DescribeNetworkInterfaces
  • ec2:DescribePrefixLists
  • ec2:DescribeRegions
  • ec2:DescribeRouteTables
  • ec2:DescribeSecurityGroups
  • ec2:DescribeSubnets
  • ec2:DescribeTags
  • ec2:DescribeVolumes
  • ec2:DescribeVpcAttribute
  • ec2:DescribeVpcClassicLink
  • ec2:DescribeVpcClassicLinkDnsSupport
  • ec2:DescribeVpcEndpoints
  • ec2:DescribeVpcs
  • ec2:GetEbsDefaultKmsKeyId
  • ec2:ModifyInstanceAttribute
  • ec2:ModifyNetworkInterfaceAttribute
  • ec2:RevokeSecurityGroupEgress
  • ec2:RevokeSecurityGroupIngress
  • ec2:RunInstances
  • ec2:TerminateInstances

예 5.2. 설치 과정에서 네트워크 리소스를 생성하는 데 필요한 권한

  • ec2:AllocateAddress
  • ec2:AssociateAddress
  • ec2:AssociateDhcpOptions
  • ec2:AssociateRouteTable
  • ec2:AttachInternetGateway
  • ec2:CreateDhcpOptions
  • ec2:CreateInternetGateway
  • ec2:CreateNatGateway
  • ec2:CreateRoute
  • ec2:CreateRouteTable
  • ec2:CreateSubnet
  • ec2:CreateVpc
  • ec2:CreateVpcEndpoint
  • ec2:ModifySubnetAttribute
  • ec2:ModifyVpcAttribute
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 생성하기 위해 계정에 이러한 권한이 필요하지 않습니다.

예 5.3. 설치에 필요한 ELB(Elastic Load Balancing 권한)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer
  • elasticloadbalancing:AttachLoadBalancerToSubnets
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:DescribeInstanceHealth
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener

예 5.4. 설치에 필요한 Elastic Load Balancing 권한(ELBv2)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateListener
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterTargets
  • elasticloadbalancing:DescribeListeners
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTargetGroupAttributes
  • elasticloadbalancing:DescribeTargetHealth
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:ModifyTargetGroup
  • elasticloadbalancing:ModifyTargetGroupAttributes
  • elasticloadbalancing:RegisterTargets

예 5.5. 설치에 필요한 IAM 권한

  • iam:AddRoleToInstanceProfile
  • iam:CreateInstanceProfile
  • iam:CreateRole
  • iam:DeleteInstanceProfile
  • iam:DeleteRole
  • iam:DeleteRolePolicy
  • iam:GetInstanceProfile
  • iam:GetRole
  • iam:GetRolePolicy
  • iam:GetUser
  • iam:ListInstanceProfilesForRole
  • iam:ListRoles
  • iam:ListUsers
  • iam:PassRole
  • iam:PutRolePolicy
  • iam:RemoveRoleFromInstanceProfile
  • iam:SimulatePrincipalPolicy
  • iam:TagRole
참고

AWS 계정에서 탄력적 로드 밸런서 (ELB)를 생성하지 않은 경우 IAM 사용자에게 iam:CreateServiceLinkedRole 권한이 필요합니다.

예 5.6. 설치에 필요한 Route 53 권한

  • route53:ChangeResourceRecordSets
  • route53:ChangeTagsForResource
  • route53:CreateHostedZone
  • route53:DeleteHostedZone
  • route53:GetChange
  • route53:GetHostedZone
  • route53:ListHostedZones
  • route53:ListHostedZonesByName
  • route53:ListResourceRecordSets
  • route53:ListTagsForResource
  • route53:UpdateHostedZoneComment

예 5.7. 설치에 필요한 S3 권한

  • s3:CreateBucket
  • s3:DeleteBucket
  • s3:GetAccelerateConfiguration
  • s3:GetBucketAcl
  • s3:GetBucketCors
  • s3:GetBucketLocation
  • s3:GetBucketLogging
  • s3:GetBucketObjectLockConfiguration
  • s3:GetBucketReplication
  • s3:GetBucketRequestPayment
  • s3:GetBucketTagging
  • s3:GetBucketVersioning
  • s3:GetBucketWebsite
  • s3:GetEncryptionConfiguration
  • s3:GetLifecycleConfiguration
  • s3:GetReplicationConfiguration
  • s3:ListBucket
  • s3:PutBucketAcl
  • s3:PutBucketTagging
  • s3:PutEncryptionConfiguration

예 5.8. 클러스터 Operator에 필요한 S3 권한

  • s3:DeleteObject
  • s3:GetObject
  • s3:GetObjectAcl
  • s3:GetObjectTagging
  • s3:GetObjectVersion
  • s3:PutObject
  • s3:PutObjectAcl
  • s3:PutObjectTagging

예 5.9. 기본 클러스터 리소스를 삭제하는 데 필요한 권한

  • autoscaling:DescribeAutoScalingGroups
  • ec2:DeleteNetworkInterface
  • ec2:DeleteVolume
  • elasticloadbalancing:DeleteTargetGroup
  • elasticloadbalancing:DescribeTargetGroups
  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:ListAttachedRolePolicies
  • iam:ListInstanceProfiles
  • iam:ListRolePolicies
  • iam:ListUserPolicies
  • s3:DeleteObject
  • s3:ListBucketVersions
  • tag:GetResources

예 5.10. 네트워크 리소스를 삭제하는 데 필요한 권한

  • ec2:DeleteDhcpOptions
  • ec2:DeleteInternetGateway
  • ec2:DeleteNatGateway
  • ec2:DeleteRoute
  • ec2:DeleteRouteTable
  • ec2:DeleteSubnet
  • ec2:DeleteVpc
  • ec2:DeleteVpcEndpoints
  • ec2:DetachInternetGateway
  • ec2:DisassociateRouteTable
  • ec2:ReleaseAddress
  • ec2:ReplaceRouteTableAssociation
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 삭제하기 위해 계정에 이러한 권한이 필요하지 않습니다. 대신 사용자 계정에는 네트워크 리소스를 삭제하기 위한 tag:UntagResources 권한만 필요합니다.

예 5.11. 공유 인스턴스 역할이 있는 클러스터를 삭제하는 데 필요한 권한

  • iam:UntagRole

예 5.12. 매니페스트를 생성하는 데 필요한 추가 IAM 및 S3 권한

  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:DeleteUserPolicy
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • iam:PutUserPolicy
  • iam:TagUser
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • s3:PutBucketPublicAccessBlock
  • s3:GetBucketPublicAccessBlock
  • s3:PutLifecycleConfiguration
  • s3:HeadBucket
  • s3:ListBucketMultipartUploads
  • s3:AbortMultipartUpload
참고

Mint 모드로 클라우드 공급자 인증 정보를 관리하는 경우 IAM 사용자에게 iam:CreateAccessKeyiam:CreateUser 권한도 필요합니다.

예 5.13. 인스턴스에 대한 선택적 권한 및 설치에 대한 할당량 검사

  • ec2:DescribeInstanceTypeOfferings
  • servicequotas:ListAWSDefaultServiceQuotas

5.2.4. IAM 사용자 생성

각 AWS(Amazon Web Services) 계정에는 계정을 생성하는 데 사용한 이메일 주소를 기반으로 하는 루트 사용자 계정이 포함되어 있습니다. 이 계정은 권한이 높은 계정이므로 초기 계정 및 결제 구성, 초기 사용자 집합 생성 및 계정 보안 용도로만 사용하는 것이 좋습니다.

OpenShift Container Platform을 설치하기 전에 보조 IAM 관리자를 생성합니다. AWS 문서의 AWS 계정에서 IAM 사용자 생성 프로시저를 완료하면 다음 옵션을 설정합니다.

프로세스

  1. IAM 사용자 이름을 지정하고 Programmatic access를 선택합니다.

  2. AdministratorAccess 정책을 연결하여 클러스터를 생성할 수 있는 충분한 권한이 계정에 있는지 확인합니다. 이 정책은 각 OpenShift Container Platform 구성 요소에 자격 증명을 부여하는 기능을 클러스터에 제공합니다. 클러스터는 필요한 자격 증명만 구성 요소에 부여합니다.

    참고

    필요한 모든 AWS 권한을 부여하는 정책을 생성하여 사용자에게 연결할 수는 있지만 바람직한 옵션은 아닙니다. 클러스터는 개별 구성 요소에 추가 자격 증명을 부여할 수 없으므로 모든 구성 요소가 동일한 자격 증명을 사용합니다.

  3. 선택사항: 태그를 첨부하여 사용자에게 메타데이터를 추가합니다.
  4. 지정한 사용자 이름에 AdministratorAccess 정책이 부여되었는지 확인합니다.

  5. 액세스 키 ID 및 시크릿 액세스 키 값을 기록합니다. 설치 프로그램을 실행하도록 로컬 시스템을 구성할 때 이 값을 사용해야 합니다.

    중요

    다단계 인증 장치를 사용하여 AWS에 인증하는 동안 생성한 임시 세션 토큰은 클러스터를 배포할 때 사용할 수 없습니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 자격 증명을 계속 사용하여 AWS 리소스를 생성하므로 키 기반의 장기 자격 증명을 사용해야 합니다.

추가 리소스

  • 설치하기 전에 수동 모드로 CCO(Cloud Credential Operator)를 설정하는 단계는 AWS의 IAM 수동 생성을 참조하십시오. 클라우드 ID 및 액세스 관리(IAM) API에 연결할 수 없는 환경에서 이 모드를 사용하거나 관리자 수준 인증 정보 시크릿을 클러스터 kube-system 프로젝트에 저장하지 않도록 합니다.

5.2.5. IAM 역할에 필요한 AWS 권한

설치 프로그램에서 생성된 시스템의 인스턴스 프로파일에 적용되는 고유한 IAM 역할을 정의하는 옵션이 있습니다. install-config.yaml 파일에서 controlPlane.platform.aws.iamRolecompute.platform.aws.iamRole 필드를 정의하여 기존 IAM 역할을 지정할 수 있습니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다.

컨트롤 플레인 및 컴퓨팅 시스템에는 다음과 같은 IAM 역할 권한이 필요합니다.

예 5.14. 컨트롤 플레인 인스턴스 프로파일에 필요한 IAM 역할 권한

  • sts:AssumeRole
  • ec2:AttachVolume
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:CreateSecurityGroup
  • ec2:CreateTags
  • ec2:CreateVolume
  • ec2:DeleteSecurityGroup
  • ec2:DeleteVolume
  • ec2:Describe*
  • ec2:DetachVolume
  • ec2:ModifyInstanceAttribute
  • ec2:ModifyVolume
  • ec2:RevokeSecurityGroupIngress
  • elasticloadbalancing:AddTags
  • elasticloadbalancing:AttachLoadBalancerToSubnets
  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer
  • elasticloadbalancing:CreateListener
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerPolicy
  • elasticloadbalancing:CreateLoadBalancerListeners
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:DeleteListener
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeleteLoadBalancerListeners
  • elasticloadbalancing:DeleteTargetGroup
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:DeregisterTargets
  • elasticloadbalancing:Describe*
  • elasticloadbalancing:DetachLoadBalancerFromSubnets
  • elasticloadbalancing:ModifyListener
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:ModifyTargetGroup
  • elasticloadbalancing:ModifyTargetGroupAttributes
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:RegisterTargets
  • elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer
  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener
  • kms:DescribeKey

예 5.15. 컴퓨팅 인스턴스 프로파일에 필요한 IAM 역할 권한

  • sts:AssumeRole
  • ec2:DescribeInstances
  • ec2:DescribeRegions

5.2.6. 지원되는 AWS 리전

OpenShift Container Platform 클러스터를 배포할 수 있는 리전은 다음과 같습니다.

참고

기본 클러스터 리소스를 삭제하려면 IAM 사용자에게 us-east-1 리전에 권한 tag:GetResources 가 있어야 합니다. AWS API 요구 사항의 일부로 OpenShift Container Platform 설치 프로그램은 이 리전에서 다양한 작업을 수행합니다.

5.2.6.1. AWS 공용 리전

지원되는 AWS 공용 리전은 다음과 같습니다.

  • af-south-1 (케이프타운)
  • ap-east-1 (홍콩)
  • ap-northeast-1 (도쿄)
  • ap-northeast-2 (서울)
  • ap-northeast-3 (오사카)
  • ap-south-1 (뭄바이)
  • ap-southeast-1 (싱가포르)
  • ap-southeast-2 (시드니)
  • ca-central-1 (센트럴)
  • eu-central-1 (프랑크푸르트)
  • eu-north-1 (스톡홀름)
  • eu-south-1 (밀라노)
  • eu-west-1 (아일랜드)
  • eu-west-2 (런던)
  • eu-west-3 (파리)
  • me-south-1 (바레인)
  • sa-east-1 (상파울루)
  • us-east-1 (버지니아 북부)
  • us-east-2 (오하이오)
  • us-west-1 (캘리포니아 북부)
  • us-west-2 (오레곤)
5.2.6.2. AWS GovCloud 리전

다음 AWS GovCloud 리전이 지원됩니다.

  • us-gov-west-1
  • us-gov-east-1
5.2.6.3. AWS C2S Secret 리전

us-iso-east-1 리전이 지원됩니다.

5.2.6.4. AWS 중국 리전

다음 AWS 중국 리전이 지원됩니다.

  • cn-north-1( 베이징)
  • cn-northwest-1 (닝샤)

5.2.7. 다음 단계

5.3. AWS의 IAM 수동 생성

클라우드 ID 및 액세스 관리(IAM) API에 연결할 수 없는 환경에서 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않는 것을 선호하는 경우 클러스터를 설치하기 전에 CCO(Cloud Credential Operator)를 수동 모드로 설정할 수 있습니다.

5.3.1. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안

CCO(Cloud Credential Operator)는 클라우드 공급자 인증 정보를 Kubernetes CRD(사용자 지정 리소스 정의)로 관리합니다. install-config.yaml 파일에서 credentialsMode 매개변수의 다른 값을 설정하여 조직의 보안 요구 사항에 맞게 CCO를 구성할 수 있습니다.

클러스터 kube-system 프로젝트에 관리자 수준 인증 정보 시크릿을 저장하지 않으려면 OpenShift Container Platform을 설치할 때 다음 옵션 중 하나를 선택할 수 있습니다.

  • Amazon Web Services 보안 토큰 서비스 사용:

    CCO 유틸리티 (ccoctl)를 사용하여 Amazon Web Services Security Token Service (AWS STS)를 사용하도록 클러스터를 구성할 수 있습니다. CCO 유틸리티를 사용하여 STS의 클러스터를 구성할 때 단기적이고 제한된 권한 보안 인증 정보를 제공하는 IAM 역할을 구성 요소에 할당합니다.

    참고

    이 인증 정보 전략은 새 OpenShift Container Platform 클러스터에 대해서만 지원되며 설치 중에 구성해야 합니다. 이 기능을 사용하기 위해 다른 인증 정보 전략을 사용하는 기존 클러스터를 재구성할 수 없습니다.

  • 클라우드 인증 정보를 수동으로 관리:

    CCO의 credentialsMode 매개변수를 수동으로 클라우드 인증 정보를 관리하도록 Manual로 설정할 수 있습니다. 수동 모드를 사용하면 각 클러스터 구성 요소에는 클러스터에 관리자 수준 인증 정보를 저장하지 않고 필요한 권한만 보유할 수 있습니다. 환경이 클라우드 공급자 공용 IAM 끝점에 연결되지 않은 경우 이 모드를 사용할 수도 있습니다. 그러나 업그레이드할 때마다 새 릴리스 이미지로 권한을 수동으로 조정해야 합니다. 또한 요청하는 모든 구성 요소에 대한 인증 정보를 수동으로 제공해야 합니다.

  • mint 모드를 사용하여 OpenShift Container Platform을 설치한 후 관리자 수준 인증 정보 시크릿 제거:

    credentialsMode 매개변수가 Mint로 설정된 CCO를 사용하는 경우 OpenShift Container Platform을 설치한 후 관리자 수준 인증 정보를 제거하거나 순환할 수 있습니다. Mint 모드는 CCO의 기본 구성입니다. 이 옵션을 사용하려면 설치 중에 관리자 수준 인증 정보가 있어야 합니다. 관리자 수준 인증 정보는 설치 중에 일부 권한이 부여된 다른 인증 정보를 Mint하는 데 사용됩니다. 원래 인증 정보 시크릿은 클러스터에 영구적으로 저장되지 않습니다.

참고

z-stream 외 업그레이드 이전에는 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 복원해야 합니다. 인증 정보가 없으면 업그레이드가 차단될 수 있습니다.

추가 리소스

5.3.2. 수동으로 IAM 생성

Cloud Credential Operator (CCO)는 클라우드 아이덴티티 및 액세스 관리 (IAM) API에 연결할 수 없는 환경에서 설치하기 전에 수동 모드로 전환할 수 있습니다. 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않도록 합니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 install-config.yaml 파일을 생성합니다. 

    $ openshift-install create install-config --dir <installation_directory>

    여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.

  2. install-config.yaml 구성 파일을 편집하여 credentialsMode 매개 변수가 Manual로 설정되도록 합니다.

    install-config.yaml 설정 파일 예

    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 1
compute:
- architecture: amd64
  hyperthreading: Enabled
...

    1
    이 행은 credentialsMode 매개변수를 Manual로 설정하기 위해 추가됩니다.

  3. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.

  4. 설치 프로그램이 포함된 디렉터리에서 openshift-install 바이너리가 다음을 사용하도록 빌드된 OpenShift Container Platform 릴리스 이미지에 대한 세부 정보를 가져옵니다. 

    $ openshift-install version

    출력 예

    release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64

  5. 배포중인 클라우드를 대상으로하는이 릴리스 이미지에서 모든 CredentialsRequest 개체를 찾습니다. 

    $ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 --credentials-requests --cloud=aws

    이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.

    샘플 CredentialsRequest 개체

    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: cloud-credential-operator-iam-ro
  namespace: openshift-cloud-credential-operator
spec:
  secretRef:
    name: cloud-credential-operator-iam-ro-creds
    namespace: openshift-cloud-credential-operator
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"

  6. 이전에 생성한 openshift-install 매니페스트 디렉터리에 시크릿 YAML 파일을 만듭니다. 시크릿은 각 CredentialsRequest 오브젝트의 spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다. 시크릿 데이터의 형식은 클라우드 공급자마다 다릅니다.

    중요

    릴리스 이미지에는 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능에 대한 CredentialsRequest 오브젝트가 포함되어 있습니다. 이러한 오브젝트는 release.openshift.io/feature-gate: TechPreviewNoUpgrade 주석을 사용하여 확인할 수 있습니다.

    • 이러한 기능을 사용하지 않는 경우 해당 오브젝트에 대한 보안을 생성하지 마십시오. 사용하지 않는 기술 프리뷰 기능에 대한 시크릿을 생성하면 설치에 실패할 수 있습니다.
    • 이러한 기능을 사용하는 경우 해당 오브젝트에 대한 보안을 생성해야 합니다.

    • TechPreviewNoUpgrade 주석을 사용하여 CredentialsRequest 오브젝트를 찾으려면 다음 명령을 실행합니다. 

      $ grep "release.openshift.io/feature-gate" *

      출력 예

      0000_30_capi-operator_00_credentials-request.yaml:  release.openshift.io/feature-gate: TechPreviewNoUpgrade

  7. 설치 프로그램이 포함된 디렉터리에서 클러스터 생성을 진행합니다. 

    $ openshift-install create cluster --dir <installation_directory>
    중요

    수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업그레이드하기 전에 CCO가 업그레이드 가능한 상태인지 확인해야 합니다.

참고 자료

5.3.3. 관리자 인증 정보 루트 시크릿 형식

각 클라우드 공급자는 규칙에 따라 kube-system 네임 스페이스의 인증 정보 루트 시크릿을 사용하며, 이를 통해 모든 인증 정보 요청을 충족하고 해당 암호를 만드는 데 사용됩니다. 이 작업은 mint 모드를 사용하여 새 인증 정보를 생성하거나 패스스루 모드를 사용하여 인증 정보 루트 시크릿을 복사하여 수행됩니다.

시크릿의 형식은 클라우드에 따라 다르며 각 CredentialsRequest 시크릿에도 사용됩니다.

Amazon Web Services (AWS) 시크릿 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: kube-system
  name: aws-creds
stringData:
  aws_access_key_id: <AccessKeyID>
  aws_secret_access_key: <SecretAccessKey>

5.3.4. Mint 모드

Mint 모드는 이를 지원하는 플랫폼의 OpenShift Container Platform의 기본 CCO(Cloud Credential Operator) 인증 정보 모드입니다. 이 모드에서 CCO는 제공된 관리자 수준 클라우드 인증 정보를 사용하여 클러스터를 실행합니다. Mint 모드는 AWS 및 GCP에서 지원됩니다.

mint 모드에서 admin 인증 정보가 kube-system 네임 스페이스에 저장된 다음 CCO에서 클러스터의 CredentialsRequest 오브젝트를 처리하고 각각에 대해 특정 권한이 있는 사용자를 만드는 데 사용됩니다.

mint 모드의 장점은 다음과 같습니다.

  • 각 클러스터 구성 요소에는 필요한 권한만 있습니다.
  • 추가 인증 정보 또는 권한을 포함한 클라우드 인증 정보에 대해 지속적인 자동 조정이 이루어집니다. 이는 업그레이드에 필요할 수 있습니다.

한 가지 단점은 mint 모드에 클러스터 kube-system 시크릿에 대한 admin 인증 정보 저장소가 필요하다는 것입니다.

5.3.5. 관리자 수준 인증 정보를 제거하거나 교체하는 Mint 모드

현재 이 모드는 AWS 및 GCP에서만 지원됩니다.

이 모드에서 사용자는 일반 Mint 모드와 마찬가지로 관리자 수준 인증 정보를 사용하여 OpenShift Container Platform을 설치합니다. 그러나 이 프로세스에서는 설치 후 클러스터에서 관리자 수준 인증 정보 시크릿을 제거합니다.

관리자는 모든 CredentialsRequest 오브젝트에 필요한 사용 권한이 있고 따라서 내용을 변경해야 하는 경우가 아니면 관리자 수준의 자격 증명이 필요 없음을 확인하기 위해 Cloud Credential Operator가 읽기 전용 자격 증명을 스스로 요청하도록 할 수 있습니다. 연결된 인증 정보를 제거한 후 원하는 경우 기본 클라우드에서 삭제하거나 비활성화할 수 있습니다.

참고

z-stream 외 업그레이드 이전에는 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 복원해야 합니다. 인증 정보가 없으면 업그레이드가 차단될 수 있습니다.

관리자 수준 인증 정보는 클러스터에 영구적으로 저장되지 않습니다.

이러한 단계를 따르려면 짧은 기간 동안 클러스터의 관리자 수준 인증 정보가 필요합니다. 또한 각 업그레이드에 대해 관리자 수준 인증 정보로 시크릿을 수동으로 복원해야 합니다.

5.3.6. 다음 단계

5.4. AWS에 빠르게 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 기본 구성 옵션을 사용하는 클러스터를 AWS(Amazon Web Services)에 설치할 수 있습니다.

5.4.1. 사전 요구 사항

  • OpenShift Container Platform 설치 및 업데이트 프로세스에 대한 세부 사항을 검토합니다.
  • 클러스터 설치 방법 선택 및 사용자를 위한 준비에 대한 문서를 읽습니다.

  • 클러스터를 호스팅할 AWS 계정을 구성했습니다.

    중요

    컴퓨터에 AWS 프로필이 저장되어 있는 경우 다단계 인증 장치를 사용하는 동안 생성한 임시 세션 토큰을 해당 프로필이 사용해서는 안 됩니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 자격 증명을 계속 사용하여 AWS 리소스를 생성하므로 키 기반의 장기 자격 증명을 사용해야 합니다. 적절한 키를 생성하려면 AWS 문서의 IAM 사용자의 액세스 키 관리를 참조하십시오. 설치 프로그램을 실행할 때 키를 제공할 수 있습니다.

  • 방화벽을 사용하는 경우 클러스터가 액세스해야 하는 사이트를 허용하도록 방화벽을 구성해야 합니다.
  • 사용자의 환경에서 클라우드 ID 및 액세스 관리(IAM) API에 액세스할 수 없거나 kube-system 네임스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않으려면 IAM 인증 정보 수동 생성 및 유지 관리를 참조하십시오. 수동 모드는 클라우드 IAM API에 연결할 수 없는 환경에서도 사용할 수 있습니다.

5.4.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.4.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.4.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.4.5. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    중요

    비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    화면에 나타나는 지시에 따라 필요한 값을 입력합니다.

    1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

      참고

      설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

    2. 대상 플랫폼으로 aws를 선택합니다.

    3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.

      참고

      AWS 액세스 키 ID와 시크릿 액세스 키는 설치 호스트에 있는 현재 사용자의 홈 디렉터리에서 ~/.aws/credentials에 저장됩니다. 내보낸 프로필의 인증 정보가 파일에 없으면 설치 프로그램에서 인증 정보에 대한 메시지를 표시합니다. 설치 프로그램에 사용자가 제공하는 인증 정보는 파일에 저장됩니다.

    4. 클러스터를 배포할 AWS 리전을 선택합니다.
    5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
    6. 클러스터를 설명할 수 있는 이름을 입력합니다.
    7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

추가 리소스

5.4.6. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.4.7. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.4.8. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.4.9. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.4.10. 다음 단계

5.5. 사용자 지정으로 AWS에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 설치 프로그램이 AWS(Amazon Web Services)에 프로비저닝하는 인프라에 사용자 지정 클러스터를 설치할 수 있습니다. 설치를 사용자 지정하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

참고

OpenShift Container Platform 설치 구성의 범위는 의도적으로 한정됩니다. 단순성과 성공을 보장하도록 설계되었습니다. 설치가 완료된 후 많은 추가 OpenShift Container Platform 구성 작업을 완료할 수 있습니다.

5.5.1. 사전 요구 사항

5.5.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.5.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.5.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.5.5. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 AWS를 선택합니다.
      3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
  2. install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 “설치 구성 매개변수” 섹션에서 확인할 수 있습니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

5.5.5.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.5.5.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.1. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.5.5.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.2. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.5.5.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.3. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.5.5.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.4. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.5.5.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.5.5.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.16. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

예 5.17. arm64 아키텍처 기반 머신 유형

인스턴스 유형부트스트랩컨트롤 플레인Compute

m6g.large

x

 

x

m6g.xlarge

 

x

x

m6g.2xlarge

 

x

x

m6g.4xlarge

 

x

x

m6g.8xlarge

 

x

x

m6g.12xlarge

 

x

x

m6g.16xlarge

 

x

x

c6g.large

x

  

c6g.xlarge

  

x

c6g.2xlarge

 

x

x

c6g.4xlarge

 

x

x

c6g.8xlarge

 

x

x

c6g.12xlarge

 

x

x

c6g.16xlarge

 

x

x

5.5.5.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    amiID: ami-96c6f8f7 12
    serviceEndpoints: 13
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
fips: false 14
sshKey: ssh-ed25519 AAAA... 15
pullSecret: '{"auths": ...}' 16
1 10 11 16
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
13
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
14
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

15
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

5.5.5.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.5.6. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.5.7. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.5.8. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.5.9. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.5.10. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.5.11. 다음 단계

5.6. 네트워크 사용자 지정으 AWS에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 사용자 지정 네트워크 구성 옵션으로 AWS(Amazon Web Services)에 클러스터를 설치할 수 있습니다. 네트워크 구성을 사용자 지정할 경우, 클러스터가 사용자 환경의 기존 IP 주소 할당과 공존하고 기존 MTU 및 VXLAN 구성과 통합될 수 있습니다.

설치 과정에서 네트워크 구성 매개변수를 대부분 설정해야 하며, 실행 중인 클러스터에서는 kubeProxy 구성 매개변수만 수정할 수 있습니다.

5.6.1. 사전 요구 사항

5.6.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.6.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.6.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.6.5. 네트워크 구성 단계

OpenShift Container Platform을 설치하기 전에 네트워크 구성을 사용자 지정할 수 있습니다.

1 단계

매니페스트 파일을 생성하기 전에 install-config.yaml 파일에서 다음 네트워크 관련 필드를 사용자 지정할 수 있습니다.

  • networking.networkType
  • networking.clusterNetwork
  • networking.serviceNetwork

  • networking.machineNetwork

    이러한 필드에 대한 자세한 내용은 설치 구성 매개 변수에서 참조하십시오.

    참고

    기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

2 단계
openshift-install create manifests 를 실행하여 매니페스트 파일을 생성한 후 수정할 필드로 사용자 지정된 Cluster Network Operator 매니페스트를 정의할 수 있습니다. 매니페스트를 사용하여 고급 네트워크 구성을 지정할 수 있습니다.

install-config.yaml 파일에서 1 단계에 지정된 값을 2 단계에서 재정의할 수 없습니다. 그러나 2 단계에서 클러스터 네트워크 공급자를 추가로 사용자 지정할 수 있습니다.

5.6.6. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 AWS를 선택합니다.
      3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
  2. install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 “설치 구성 매개변수” 섹션에서 확인할 수 있습니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

5.6.6.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.6.6.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.5. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.6.6.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.6. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.6.6.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.7. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.6.6.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.8. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.6.6.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.6.6.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.18. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

예 5.19. arm64 아키텍처 기반 머신 유형

인스턴스 유형부트스트랩컨트롤 플레인Compute

m6g.large

x

 

x

m6g.xlarge

 

x

x

m6g.2xlarge

 

x

x

m6g.4xlarge

 

x

x

m6g.8xlarge

 

x

x

m6g.12xlarge

 

x

x

m6g.16xlarge

 

x

x

c6g.large

x

  

c6g.xlarge

  

x

c6g.2xlarge

 

x

x

c6g.4xlarge

 

x

x

c6g.8xlarge

 

x

x

c6g.12xlarge

 

x

x

c6g.16xlarge

 

x

x

5.6.6.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 10
networking: 11
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 12
    userTags:
      adminContact: jdoe
      costCenter: 7536
    amiID: ami-96c6f8f7 13
    serviceEndpoints: 14
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
fips: false 15
sshKey: ssh-ed25519 AAAA... 16
pullSecret: '{"auths": ...}' 17
1 10 12 17
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7 11
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
13
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
14
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
15
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

16
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

5.6.6.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.6.7. CNO(Cluster Network Operator) 구성

클러스터 네트워크의 구성은 CNO(Cluster Network Operator) 구성의 일부로 지정되며 cluster라는 이름의 CR(사용자 정의 리소스) 오브젝트에 저장됩니다. CR은 operator.openshift.io API 그룹에서 Network API의 필드를 지정합니다.

CNO 구성은 Network.config.openshift.io API 그룹의 Network API에서 클러스터 설치 중에 다음 필드를 상속하며 이러한 필드는 변경할 수 없습니다.

clusterNetwork
Pod IP 주소가 할당되는 IP 주소 풀입니다.
serviceNetwork
서비스를 위한 IP 주소 풀입니다.
defaultNetwork.type
OpenShift SDN 또는 OVN-Kubernetes와 같은 클러스터 네트워크 공급자입니다.

cluster라는 CNO 오브젝트에서 defaultNetwork 오브젝트의 필드를 설정하여 클러스터의 클러스터 네트워크 공급자 구성을 지정할 수 있습니다.

5.6.7.1. CNO(Cluster Network Operator) 구성 오브젝트

CNO(Cluster Network Operator)의 필드는 다음 표에 설명되어 있습니다.

표 5.9. CNO(Cluster Network Operator) 구성 오브젝트
필드유형설명

metadata.name

string

CNO 개체 이름입니다. 이 이름은 항상 cluster입니다.

spec.clusterNetwork

array

Pod IP 주소가 할당되는 IP 주소 블록과 클러스터의 각 개별 노드에 할당된 서브넷 접두사 길이를 지정하는 목록입니다. 예를 들면 다음과 같습니다. 

spec:
  clusterNetwork:
  - cidr: 10.128.0.0/19
    hostPrefix: 23
  - cidr: 10.128.32.0/19
    hostPrefix: 23

매니페스트를 생성하기 전에 install-config.yaml 파일에서만 이 필드를 사용자 지정할 수 있습니다. 값은 매니페스트 파일에서 읽기 전용입니다.

spec.serviceNetwork

array

서비스의 IP 주소 블록입니다. OpenShift SDN 및 OVN-Kubernetes CNI(Container Network Interface) 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다. 예를 들면 다음과 같습니다. 

spec:
  serviceNetwork:
  - 172.30.0.0/14

매니페스트를 생성하기 전에 install-config.yaml 파일에서만 이 필드를 사용자 지정할 수 있습니다. 값은 매니페스트 파일에서 읽기 전용입니다.

spec.defaultNetwork

object

클러스터 네트워크의 CNI(Container Network Interface) 클러스터 네트워크 공급자를 구성합니다.

spec.kubeProxyConfig

object

이 개체의 필드는 kube-proxy 구성을 지정합니다. OVN-Kubernetes 클러스터 네트워크 공급자를 사용하는 경우 kube-proxy 구성이 적용되지 않습니다.

defaultNetwork 오브젝트 구성

defaultNetwork 오브젝트의 값은 다음 표에 정의되어 있습니다.

표 5.10. defaultNetwork 오브젝트
필드유형설명

type

string

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 클러스터 네트워크 공급자가 설치 중에 선택됩니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

참고

OpenShift Container Platform은 기본적으로 OpenShift SDN CNI(Container Network Interface) 클러스터 네트워크 공급자를 사용합니다.

openshiftSDNConfig

object

이 오브젝트는 OpenShift SDN 클러스터 네트워크 공급자에만 유효합니다.

ovnKubernetesConfig

object

이 오브젝트는 OVN-Kubernetes 클러스터 네트워크 공급자에만 유효합니다.

OpenShift SDN CNI 네트워크 공급자에 대한 구성

다음 표에서는 OpenShift SDN Container Network Interface (CNI) 클러스터 네트워크 공급자의 구성 필드를 설명합니다.

표 5.11. openshiftSDNConfig 오브젝트
필드유형설명

mode

string

OpenShift SDN의 네트워크 격리 모드를 구성합니다. 기본값은 NetworkPolicy입니다.

MultitenantSubnet 값은 OpenShift Container Platform 3.x 버전과의 역호환할 수 있지만 권장되지는 않습니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

mtu

integer

VXLAN 오버레이 네트워크의 최대 전송 단위(MTU)입니다. 이는 기본 네트워크 인터페이스의 MTU를 기준으로 자동 탐지됩니다. 일반적으로 감지된 MTU를 재정의할 필요는 없습니다.

자동 감지 값이 예상 밖인 경우 노드의 기본 네트워크 인터페이스의 MTU가 올바른지 확인합니다. 이 옵션을 사용하여 노드의 기본 네트워크 인터페이스의 MTU 값을 변경할 수 없습니다.

클러스터에 다른 노드에 대한 다른 MTU 값이 필요한 경우 이 값을 클러스터의 가장 낮은 MTU 값보다 50 미만으로 설정해야 합니다. 예를 들어 클러스터의 일부 노드에는 9001의 MTU가 있고 일부에는 1500의 MTU가 있는 경우 이 값을 1450으로 설정해야 합니다.

클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

vxlanPort

integer

모든 VXLAN 패킷에 사용할 포트입니다. 기본값은 4789입니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

기존 노드가 다른 VXLAN 네트워크에 속하는 가상 환경에서 실행 중인 경우에는 기본값을 변경해야 할 수도 있습니다. 예를 들어 VMware NSX-T 위에서 OpenShift SDN 오버레이를 실행할 때 두 SDN이 동일한 기본 VXLAN 포트 번호를 사용하므로 VXLAN의 대체 포트를 선택해야 합니다.

AWS(Amazon Web Services)에서는 포트 9000과 포트 9999 사이에서 VXLAN의 대체 포트를 선택할 수 있습니다.

OpenShift SDN 구성 예

defaultNetwork:
  type: OpenShiftSDN
  openshiftSDNConfig:
    mode: NetworkPolicy
    mtu: 1450
    vxlanPort: 4789

OVN-Kubernetes CNI 클러스터 네트워크 공급자에 대한 구성

다음 표에서는 OVN-Kubernetes CNI 클러스터 네트워크 공급자의 구성 필드를 설명합니다.

표 5.12. ovnKubernetesConfig object
필드유형설명

mtu

integer

Geneve(Generic Network Virtualization Encapsulation) 오버레이 네트워크의 MTU(최대 전송 단위)입니다. 이는 기본 네트워크 인터페이스의 MTU를 기준으로 자동 탐지됩니다. 일반적으로 감지된 MTU를 재정의할 필요는 없습니다.

자동 감지 값이 예상 밖인 경우 노드의 기본 네트워크 인터페이스의 MTU가 올바른지 확인합니다. 이 옵션을 사용하여 노드의 기본 네트워크 인터페이스의 MTU 값을 변경할 수 없습니다.

클러스터에 다른 노드에 대한 다른 MTU 값이 필요한 경우, 이 값을 클러스터의 가장 낮은 MTU 값보다 100 미만으로 설정해야 합니다. 예를 들어, 클러스터의 일부 노드에 9001의 MTU가 있고 일부에는 1500의 MTU가 있는 경우 이 값을 1400으로 설정해야 합니다.

genevePort

integer

모든 Geneve 패킷에 사용할 포트입니다. 기본값은 6081입니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

ipsecConfig

object

IPsec 암호화를 활성화하려면 빈 오브젝트를 지정합니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.

policyAuditConfig

object

네트워크 정책 감사 로깅을 사용자 정의할 구성 오브젝트를 지정합니다. 설정되지 않으면 기본값 감사 로그 설정이 사용됩니다.

gatewayConfig

object

선택 사항: 송신 트래픽이 노드 게이트웨이로 전송되는 방법을 사용자 정의할 구성 오브젝트를 지정합니다.

참고
While migrating egress traffic, you can expect some disruption to workloads and service traffic until the Cluster Network Operator (CNO) successfully rolls out the changes.
표 5.13. policyAuditConfig 오브젝트
필드유형설명

rateLimit

integer

노드당 1초마다 생성할 최대 메시지 수입니다. 기본값은 초당 20 개의 메시지입니다.

maxFileSize

integer

감사 로그의 최대 크기(바이트)입니다. 기본값은 50000000 또는 50MB입니다.

대상

string

다음 추가 감사 로그 대상 중 하나입니다.

libc
호스트에서 journald 프로세스의 libc syslog() 함수입니다.
udp:<host>:<port>
syslog 서버입니다. <host>:<port>를 syslog 서버의 호스트 및 포트로 바꿉니다.
unix:<file>
<file>로 지정된 Unix Domain Socket 파일입니다.
null
감사 로그를 추가 대상으로 보내지 마십시오.

syslogFacility

string

RFC5424에 정의된 kern과 같은 syslog 기능입니다. 기본값은 local0입니다.

표 5.14. gatewayConfig 오브젝트
필드유형설명

routingViaHost

boolean

Pod에서 호스트 네트워킹 스택으로 송신 트래픽을 보내려면 이 필드를 true로 설정합니다. 커널 라우팅 테이블에 수동으로 구성된 경로를 사용하는 고도의 전문 설치 및 애플리케이션의 경우 송신 트래픽을 호스트 네트워킹 스택으로 라우팅해야 할 수 있습니다. 기본적으로 송신 트래픽은 클러스터를 종료하기 위해 OVN에서 처리되며 커널 라우팅 테이블의 특수 경로의 영향을 받지 않습니다. 기본값은 false입니다.

이 필드는 Open vSwitch 하드웨어 오프로드 기능과 상호 작용합니다. 이 필드를 true 로 설정하면 송신 트래픽이 호스트 네트워킹 스택에서 처리되므로 오프로드의 성능 이점이 제공되지 않습니다.

IPSec가 활성화된 OVN-Kubernetes 구성의 예

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
    ipsecConfig: {}

kubeProxyConfig 오브젝트 구성

kubeProxyConfig 오브젝트의 값은 다음 표에 정의되어 있습니다.

표 5.15. kubeProxyConfig object
필드유형설명

iptablesSyncPeriod

string

iptables 규칙의 새로 고침 간격입니다. 기본값은 30s입니다. 유효 접미사로 s, m, h가 있으며, 자세한 설명은 Go time 패키지 문서를 참조하십시오.

참고

OpenShift Container Platform 4.3 이상에서는 성능이 개선되어 더 이상 iptablesSyncPeriod 매개변수를 조정할 필요가 없습니다.

proxyArguments.iptables-min-sync-period

array

iptables 규칙을 새로 고치기 전 최소 기간입니다. 이 필드를 통해 새로 고침 간격이 너무 짧지 않도록 조정할 수 있습니다. 유효 접미사로 s, m, h가 있으며, 자세한 설명은 Go time 패키지를 참조하십시오. 기본값은 다음과 같습니다. 

kubeProxyConfig:
  proxyArguments:
    iptables-min-sync-period:
    - 0s

5.6.8. 고급 네트워크 구성 지정

클러스터 네트워크 제공자의 고급 네트워크 구성을 사용하여 클러스터를 기존 네트워크 환경에 통합할 수 있습니다. 클러스터를 설치하기 전에만 고급 네트워크 구성을 지정할 수 있습니다.

중요

설치 프로그램에서 생성한 OpenShift Container Platform 매니페스트 파일을 수정하여 네트워크 구성을 사용자 정의하는 것은 지원되지 않습니다. 다음 절차에서와 같이 생성한 매니페스트 파일을 적용할 수 있습니다.

사전 요구 사항

  • install-config.yaml 파일을 생성하고 수정 작업을 완료했습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>는 클러스터의 install-config.yaml 파일이 포함된 디렉터리의 이름을 지정합니다.

  2. <installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다. 

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:

  3. 다음과 같이 cluster-network-03-config.yml 파일에서 클러스터의 고급 네트워크 구성을 지정합니다.

    OpenShift SDN 네트워크 공급자에 대한 다른 VXLAN 포트 지정

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    openshiftSDNConfig:
      vxlanPort: 4800

    OVN-Kubernetes 네트워크 공급자의 IPsec 활성화

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      ipsecConfig: {}

  4. 선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 Ignition 구성 파일을 생성할 때 manifests/ 디렉터리를 사용합니다.
참고

AWS에서 NLB (Network Load Balancer)를 사용하는 방법에 대한 자세한 내용은 Network Load Balancer를 사용하여 AWS에서 Ingress 클러스터 트래픽 구성을 참조하십시오.

5.6.9. 새 AWS 클러스터에서 Ingress 컨트롤러 네트워크 로드 밸런서 생성

새 클러스터에서 AWS NLB(Network Load Balancer)가 지원하는 Ingress 컨트롤러를 생성할 수 있습니다.

사전 요구 사항

  • install-config.yaml 파일을 생성하고 수정합니다.

프로세스

새 클러스터에서 AWS NLB가 지원하는 Ingress 컨트롤러를 생성합니다.

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>는 클러스터의 install-config.yaml 파일이 포함된 디렉터리의 이름을 지정합니다.

  2. <installation_directory>/manifests/ 디렉터리에 cluster-ingress-default-ingresscontroller.yaml이라는 이름으로 파일을 만듭니다. 

    $ touch <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml 1
    1
    <installation_directory>는 클러스터의 manifests / 디렉터리가 포함된 디렉터리 이름을 지정합니다.

    파일이 생성되면 다음과 같이 여러 네트워크 구성 파일이 manifests/ 디렉토리에 나타납니다. 

    $ ls <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml

    출력 예

    cluster-ingress-default-ingresscontroller.yaml

  3. 편집기에서 cluster-ingress-default-ingresscontroller.yaml 파일을 열고 원하는 운영자 구성을 설명하는 CR(사용자 정의 리소스)을 입력합니다. 

    apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  creationTimestamp: null
  name: default
  namespace: openshift-ingress-operator
spec:
  endpointPublishingStrategy:
    loadBalancer:
      scope: External
      providerParameters:
        type: AWS
        aws:
          type: NLB
    type: LoadBalancerService
  4. cluster-ingress-default-ingresscontroller.yaml 파일을 저장하고 텍스트 편집기를 종료합니다.
  5. 선택 사항: manifests / cluster-ingress-default-ingresscontroller.yaml 파일을 백업합니다. 설치 프로그램은 클러스터를 생성할 때 manifests/ 디렉터리를 삭제합니다.

5.6.10. OVN-Kubernetes로 하이브리드 네트워킹 구성

OVN-Kubernetes에서 하이브리드 네트워킹을 사용하도록 클러스터를 구성할 수 있습니다. 이를 통해 다양한 노드 네트워킹 구성을 지원하는 하이브리드 클러스터를 사용할 수 있습니다. 예를 들어 클러스터에서 Linux 및 Windows 노드를 모두 실행하려면 이 작업이 필요합니다.

중요

클러스터를 설치하는 동안 OVN-Kubernetes를 사용하여 하이브리드 네트워킹을 구성해야 합니다. 설치 프로세스 후에는 하이브리드 네트워킹으로 전환할 수 없습니다.

사전 요구 사항

  • install-config.yaml 파일에 networking.networkType매개변수의 OVNKubernetes가 정의되어 있어야 합니다. 자세한 내용은 선택한 클라우드 공급자에서 OpenShift Container Platform 네트워크 사용자 정의 설정에 필요한 설치 문서를 참조하십시오.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    클러스터의 install-config.yaml 파일이 포함된 디렉토리의 이름을 지정합니다.

  2. <installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다. 

    $ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
EOF

    다음과 같습니다.

    <installation_directory>
    클러스터의 manifests/ 디렉터리가 포함된 디렉터리 이름을 지정합니다.

  3. 편집기에서 cluster-network-03-config.yml 파일을 열고 다음 예와 같이 하이브리드 네트워킹을 사용하여 OVN-Kubernetes를 구성합니다.

    하이브리드 네트워킹 구성 지정

    apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      hybridOverlayConfig:
        hybridClusterNetwork: 1
        - cidr: 10.132.0.0/14
          hostPrefix: 23
        hybridOverlayVXLANPort: 9898 2

    1
    추가 오버레이 네트워크의 노드에 사용되는 CIDR 구성을 지정합니다. hybridClusterNetwork CIDR은 clusterNetwork CIDR과 중복될 수 없습니다.
    2
    추가 오버레이 네트워크에 대한 사용자 정의 VXLAN 포트를 지정합니다. 이는 vSphere에 설치된 클러스터에서 Windows 노드를 실행해야 하며 다른 클라우드 공급자에 대해 구성해서는 안 됩니다. 사용자 정의 포트는 기본 4789 포트를 제외한 모든 오픈 포트일 수 있습니다. 이 요구 사항에 대한 자세한 내용은 호스트 간의 포드 투 포트 연결 중단에 대한 Microsoft 문서를 참조하십시오.
    참고

    Windows Server LTSC(Long-Term Servicing Channel): Windows Server 2019는 사용자 지정 hybridOverlayVXLANPort 값이 있는 클러스터에서 지원되지 않습니다. 이 Windows 서버 버전은 사용자 지정 VXLAN 포트를 선택하는 것을 지원하지 않기 때문입니다.

  4. cluster-network-03-config.yml 파일을 저장하고 텍스트 편집기를 종료합니다.오.
  5. 선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 클러스터를 생성할 때 manifests/ 디렉터리를 삭제합니다.
참고

동일한 클러스터에서 Linux 및 Windows 노드를 사용하는 방법에 대한 자세한 내용은 Windows 컨테이너 워크로드 이해를 참조하십시오.

5.6.11. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.6.12. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.6.13. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.6.14. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.6.15. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.6.16. 다음 단계

5.7. 제한된 네트워크에서 AWS에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 기존 Amazon VPC(Virtual Private Cloud)에 설치 릴리스 콘텐츠의 내부 미러를 생성하여 제한된 네트워크의 AWS(Amazon Web Services)에 클러스터를 설치할 수 있습니다.

5.7.1. 사전 요구 사항

  • OpenShift Container Platform 설치 및 업데이트 프로세스에 대한 세부 사항을 검토합니다.
  • 클러스터 설치 방법 선택 및 사용자를 위한 준비에 대한 문서를 읽습니다.

  • 레지스트리에 연결이 끊긴 설치 이미지를 미러링하고 사용 중인 OpenShift Container Platform 버전의 imageContentSources 데이터를 가져옵니다.

    중요

    미러 호스트에 설치 미디어가 있으므로 해당 컴퓨터를 사용하여 모든 설치 단계를 완료하십시오.

  • AWS에 기존 VPC가 있습니다. 설치 관리자 프로비저닝 인프라를 사용하여 제한된 네트워크에 설치할 때 설치 관리자 프로비저닝 VPC를 사용할 수 없습니다. 다음 요구사항 중 하나를 충족하는 사용자 프로비저닝 VPC를 사용해야 합니다.

    • 미러 레지스트리 정보가 있습니다.
    • 방화벽 규칙 또는 피어링 연결이 다른 위치에서 호스팅되는 미러 레지스트리에 액세스할 수 있습니다.

  • 클러스터를 호스팅할 AWS 계정을 구성했습니다.

    중요

    컴퓨터에 AWS 프로필이 저장되어 있는 경우 다단계 인증 장치를 사용하는 동안 생성한 임시 세션 토큰을 해당 프로필이 사용해서는 안 됩니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 자격 증명을 계속 사용하여 AWS 리소스를 생성하므로 키 기반의 장기 자격 증명을 사용해야 합니다. 적절한 키를 생성하려면 AWS 문서의 IAM 사용자의 액세스 키 관리를 참조하십시오. 설치 프로그램을 실행할 때 키를 제공할 수 있습니다.

  • AWS CLI를 다운로드하여 컴퓨터에 설치했습니다. AWS 문서의 번들 설치 관리자를 사용하여 AWS CLI 설치(Linux, macOS 또는 Unix)를 참조하십시오.

  • 방화벽을 사용하며 Telemetry 서비스를 사용할 예정인 경우 클러스터가 액세스해야 하는 사이트를 허용하도록 방화벽을 구성해야 합니다.

    참고

    프록시를 구성하는 경우 해당 사이트 목록도 검토해야 합니다.

  • 사용자의 환경에서 클라우드 ID 및 액세스 관리(IAM) API에 액세스할 수 없거나 kube-system 네임스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않으려면 IAM 인증 정보 수동 생성 및 유지 관리를 참조하십시오.

5.7.2. 네트워크가 제한된 환경에서의 설치 정보

OpenShift Container Platform 4.10에서는 소프트웨어 구성 요소를 받기 위해 인터넷에 연결되어 있지 않은 설치를 수행할 수 있습니다. 제한된 네트워크 설치는 클러스터를 설치하는 클라우드 플랫폼에 따라 설치 관리자 프로비저닝 인프라 또는 사용자 프로비저닝 인프라를 사용하여 완료할 수 있습니다.

클라우드 플랫폼에 제한된 네트워크 설치를 수행하는 방법을 선택해도 클라우드 API에 액세스는 가능해야 합니다. Amazon Web Service의 IAM 서비스와 같은 일부 클라우드 기능에는 인터넷 액세스가 필요할 수 있습니다. 사용 중인 네트워크에 따라 베어메탈 하드웨어 또는 VMware vSphere에 설치하기 위해 필요한 인터넷 액세스가 줄어들 수 있습니다.

제한된 네트워크 설치를 완료하려면 OpenShift Container Platform 레지스트리의 내용을 미러링하고 설치 미디어를 포함할 레지스트리를 생성해야 합니다. 인터넷과 폐쇄 네트워크에 모두 액세스하거나 제한 사항을 따르는 다른 방법을 통해 미러 호스트에 레지스트리를 생성할 수 있습니다.

5.7.2.1. 추가 제한

제한된 네트워크의 클러스터에는 다음과 같은 추가 제한이 있습니다.

  • ClusterVersion 상태에 사용 가능한 업데이트를 검색할 수 없음 오류가 포함되어 있습니다.
  • 기본적으로 필요한 이미지 스트림 태그에 액세스할 수 없기 때문에 개발자 카탈로그의 내용을 사용할 수 없습니다.

5.7.3. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.7.3.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성 및 VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC의 VPC 네트워킹 구성 요소 및 경로 테이블 을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.7.3.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.7.3.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.7.3.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.7.4. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하는 데 필요한 이미지를 받으려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.7.5. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.7.6. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다. 제한된 네트워크 설치의 경우, 해당 파일은 미러 호스트에 있습니다.
  • 미러 레지스트리 작성 중에 생성된 imageContentSources 값이 있어야 합니다.
  • 미러 레지스트리에 대한 인증서의 내용을 가져옵니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 AWS를 선택합니다.
      3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.

  2. install-config.yaml 파일을 편집하여 제한된 네트워크에서 설치에 필요한 추가 정보를 제공합니다.

    1. 레지스트리의 인증 정보를 포함하도록 pullSecret 값을 업데이트합니다. 

      pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'

      <mirror_host_name>의 경우 미러 레지스트리의 인증서에 지정한 레지스트리 도메인 이름을 지정하고 <credentials>의 경우 미러 레지스트리에 base64로 인코딩된 사용자 이름 및 암호를 지정합니다.

    2. additionalTrustBundle 매개변수와 값을 추가합니다. 

      additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----

      값은 미러 레지스트리에 사용한 인증서 파일의 내용이어야 합니다. 인증서 파일은 신뢰할 수 있는 기존 인증 기관 또는 미러 레지스트리에 대해 생성한 자체 서명 인증서일 수 있습니다.

    3. 클러스터를 설치할 VPC의 서브넷을 정의합니다. 

      subnets:
- subnet-1
- subnet-2
- subnet-3

    4. 다음 YAML 발췌 내용과 유사한 이미지 콘텐츠 리소스를 추가합니다. 

      imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.example.com/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.example.com/ocp/release

      이러한 값에 대해서는 미러 레지스트리 생성 중에 기록한 imageContentSources 를 사용하십시오.

  3. 필요한 install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 Installation configuration parameters 섹션에서 확인할 수 있습니다.

  4. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

5.7.6.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.7.6.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.16. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.7.6.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.17. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.7.6.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.18. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.7.6.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.19. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.7.6.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.7.6.3. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13
    serviceEndpoints: 14
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 15
fips: false 16
sshKey: ssh-ed25519 AAAA... 17
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 18
additionalTrustBundle: | 19
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 20
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
1 10 11
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
13
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
14
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
15
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
16
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

17
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

18
<local_registry>는 미러 레지스트리가 해당 내용을 제공하는 데 사용하는 레지스트리 도메인 이름과 포트(선택사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:5000. <credentials>는 미러 레지스트리의 base64 인코딩 사용자 이름과 암호를 지정합니다.
19
미러 레지스트리에 사용한 인증서 파일의 내용을 제공하십시오.
20
명령 출력에서 imageContentSources 섹션을 제공하여 리포지토리를 미러링하십시오.
5.7.6.4. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.7.7. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.7.8. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.7.9. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.7.10. 기본 OperatorHub 소스 비활성화

Red Hat 및 커뮤니티 프로젝트에서 제공하는 콘텐츠를 소싱하는 Operator 카탈로그는 OpenShift Container Platform을 설치하는 동안 기본적으로 OperatorHub용으로 구성됩니다. 제한된 네트워크 환경에서는 클러스터 관리자로서 기본 카탈로그를 비활성화해야 합니다.

프로세스

  • OperatorHub 오브젝트에 disableAllDefaultSources: true를 추가하여 기본 카탈로그의 소스를 비활성화합니다. 

    $ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'
작은 정보

또는 웹 콘솔을 사용하여 카탈로그 소스를 관리할 수 있습니다. 관리클러스터 설정구성OperatorHub 페이지에서 개별 소스를 생성, 삭제, 비활성화, 활성화할 수 있는 소스 탭을 클릭합니다.

5.7.11. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.7.12. 다음 단계

5.8. AWS의 클러스터를 기존 VPC에 설치

OpenShift Container Platform 버전 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 클러스터를 설치할 수 있습니다. 설치 프로그램이 나머지 필수 인프라를 프로비저닝하며, 이후에 추가로 사용자 지정할 수 있습니다. 설치를 사용자 지정하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

5.8.1. 사전 요구 사항

5.8.2. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.8.2.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • 클러스터가 사용하는 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 생성합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷을 한 개만 포함할 수 있습니다. 이 유형의 구성의 예는 AWS 문서의 퍼블릭 및 프라이빗 서브넷(NAT)이 있는 VPC 를 참조하십시오.

    각 서브넷 ID를 기록합니다. 설치를 완료하려면 install-config.yaml 파일의 platform 섹션에 이러한 값을 입력해야 합니다. AWS 문서의 서브넷 ID 찾기 단원을 참조하십시오.

  • VPC의 CIDR 블록에는 클러스터 시스템의 IP 주소 풀인 Networking.MachineCIDR 범위가 포함되어야 합니다. 서브넷 CIDR 블록은 사용자가 지정하는 시스템 CIDR에 속해야 합니다.

  • VPC에는 공용 인터넷 게이트웨이가 연결되어 있어야 합니다. 각 가용성 영역의 경우:

    • 공용 서브넷에는 인터넷 게이트웨이로의 경로가 필요합니다.
    • 공용 서브넷에는 EIP 주소가 있는 NAT 게이트웨이가 필요합니다.
    • 사설 서브넷에는 공용 서브넷의 NAT 게이트웨이 경로가 필요합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.8.2.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.8.2.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.8.2.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.8.3. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.8.4. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.8.5. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.8.6. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.
  • 서브스크립션 수준에서 서비스 권한을 확보합니다.

절차

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 AWS를 선택합니다.
      3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
  2. install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 “설치 구성 매개변수” 섹션에서 확인할 수 있습니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

5.8.6.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.8.6.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.20. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.8.6.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.21. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.8.6.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.22. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.8.6.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.23. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.8.6.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.8.6.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.20. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

예 5.21. arm64 아키텍처 기반 머신 유형

인스턴스 유형부트스트랩컨트롤 플레인Compute

m6g.large

x

 

x

m6g.xlarge

 

x

x

m6g.2xlarge

 

x

x

m6g.4xlarge

 

x

x

m6g.8xlarge

 

x

x

m6g.12xlarge

 

x

x

m6g.16xlarge

 

x

x

c6g.large

x

  

c6g.xlarge

  

x

c6g.2xlarge

 

x

x

c6g.4xlarge

 

x

x

c6g.8xlarge

 

x

x

c6g.12xlarge

 

x

x

c6g.16xlarge

 

x

x

5.8.6.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13
    serviceEndpoints: 14
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 15
fips: false 16
sshKey: ssh-ed25519 AAAA... 17
pullSecret: '{"auths": ...}' 18
1 10 11 18
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
13
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
14
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
15
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
16
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

17
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

5.8.6.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.8.7. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.8.8. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.8.9. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.8.10. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.8.11. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.8.12. 다음 단계

5.9. AWS에 개인 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 프라이빗 클러스터를 AWS(Amazon Web Services)의 기존 VPC에 설치할 수 있습니다. 설치 프로그램이 나머지 필수 인프라를 프로비저닝하며, 이후에 추가로 사용자 지정할 수 있습니다. 설치를 사용자 지정하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

5.9.1. 사전 요구 사항

5.9.2. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.

  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

5.9.2.1. AWS의 개인 클러스터

AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.

클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • 퍼블릭 서브넷
  • 공용 인그레스를 지원하는 공용 로드 밸런서
  • 클러스터의 baseDomain과 일치하는 공용 Route 53 영역

설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.

5.9.2.1.1. 제한

프라이빗 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.

  • 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
  • 공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에 kubernetes.io/cluster/<cluster-infra-id>: shared 태그를 지정해야 합니다.

5.9.3. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.9.3.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.9.3.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.9.3.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.9.3.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.9.4. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.9.5. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.9.6. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.9.7. 수동으로 설치 구성 파일 만들기

내부 네트워크에서만 액세스할 수 있고 인터넷에 표시되지 않는 프라이빗 OpenShift Container Platform 클러스터 설치의 경우 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다. 

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

    참고

    일부 플랫폼 유형의 경우 ./openshift-install create install-config --dir <installation_directory>를 실행하여 install-config.yaml 파일을 생성할 수 있습니다. 프롬프트에서 클러스터 구성에 대한 세부 정보를 제공할 수 있습니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

5.9.7.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.9.7.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.24. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.9.7.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.25. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.9.7.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.26. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64arm64 입니다. 인스턴스 가용성에 대한 정보는 설치 설명서의 다른 플랫폼에 대해 지원되는 설치 방법을 참조하십시오.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.9.7.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.27. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.9.7.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.9.7.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.22. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

예 5.23. arm64 아키텍처 기반 머신 유형

인스턴스 유형부트스트랩컨트롤 플레인Compute

m6g.large

x

 

x

m6g.xlarge

 

x

x

m6g.2xlarge

 

x

x

m6g.4xlarge

 

x

x

m6g.8xlarge

 

x

x

m6g.12xlarge

 

x

x

m6g.16xlarge

 

x

x

c6g.large

x

  

c6g.xlarge

  

x

c6g.2xlarge

 

x

x

c6g.4xlarge

 

x

x

c6g.8xlarge

 

x

x

c6g.12xlarge

 

x

x

c6g.16xlarge

 

x

x

5.9.7.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13
    serviceEndpoints: 14
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 15
fips: false 16
sshKey: ssh-ed25519 AAAA... 17
publish: Internal 18
pullSecret: '{"auths": ...}' 19
1 10 11 19
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
13
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
14
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
15
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
16
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

17
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

18
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.
5.9.7.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.9.8. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 다음을 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

5.9.9. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.9.10. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.9.11. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.9.12. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.9.13. 다음 단계

5.10. 자세한 내용은 정부 리전에 AWS의 클러스터 설치를 참조하십시오.

OpenShift Container Platform 버전 4.10에서는 정부 리전에 AWS(Amazon Web Services)의 클러스터를 설치할 수 있습니다. 리전을 구성하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

5.10.1. 사전 요구 사항

5.10.2. AWS 정부 리전

OpenShift Container Platform은 AWS GovCloud (US) 리전에 클러스터 배포를 지원합니다.

다음 AWS GovCloud 파티션이 지원됩니다.

  • us-gov-east-1
  • us-gov-west-1

5.10.3. 설치 요구사항

클러스터를 설치하려면 먼저 다음을 수행해야 합니다.

  • 클러스터를 호스팅할 기존 프라이빗 AWS VPC 및 서브넷을 제공합니다.

    퍼블릭 영역은 AWS GovCloud의 Route 53에서 지원되지 않습니다. 따라서 AWS 정부 리전에 배포할 때 클러스터는 프라이빗이어야 합니다.

  • 수동으로 설치 구성 파일 (install-config.yaml)을 생성합니다.

5.10.4. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

참고

퍼블릭 영역은 AWS GovCloud 리전의 Route 53에서 지원되지 않습니다. 따라서 AWS GovCloud 리전에 배포된 경우 클러스터는 프라이빗이어야 합니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.

  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

5.10.4.1. AWS의 개인 클러스터

AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.

클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • 퍼블릭 서브넷
  • 공용 인그레스를 지원하는 공용 로드 밸런서
  • 클러스터의 baseDomain과 일치하는 공용 Route 53 영역

설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.

5.10.4.1.1. 제한

프라이빗 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.

  • 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
  • 공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에 kubernetes.io/cluster/<cluster-infra-id>: shared 태그를 지정해야 합니다.

5.10.5. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.10.5.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.10.5.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.10.5.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.10.5.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.10.6. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.10.7. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.10.8. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.10.9. 수동으로 설치 구성 파일 만들기

클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다. 

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

5.10.9.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.10.9.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.28. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.10.9.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.29. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.10.9.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.30. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.10.9.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.31. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.10.9.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.10.9.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.24. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

5.10.9.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 수동으로 생성한 설치 구성 파일에 매개변수 값을 입력하기 위한 리소스로 사용합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-gov-west-1a
      - us-gov-west-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-gov-west-1c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-gov-west-1 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13
    serviceEndpoints: 14
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 15
fips: false 16
sshKey: ssh-ed25519 AAAA... 17
publish: Internal 18
pullSecret: '{"auths": ...}' 19
1 10 11 19
필수 항목입니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
13
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
14
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
15
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
16
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

17
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

18
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.
5.10.9.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.10.10. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.10.11. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.10.12. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.10.13. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.10.14. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.10.15. 다음 단계

5.11. AWS의 클러스터를 상위 시크릿 리전에 설치

OpenShift Container Platform 버전 4.10에서는 AWS(Amazon Web Services)의 클러스터를 C2S(Commercial Cloud Services) 상위 시크릿 리전에 설치할 수 있습니다. 리전을 구성하려면 클러스터를 설치하기 전에 install config.yaml 파일에서 매개변수를 수정합니다.

5.11.1. 사전 요구 사항

5.11.2. AWS 최상위 시크릿 리전

OpenShift Container Platform은 AWS Commercial Cloud Services (C2S) Top Secret Region 에 클러스터 배포를 지원합니다.

C2S 최상위 시크릿 리전에는 선택할 게시된 Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지(AMI)가 없으므로 해당 리전에 속하는 사용자 지정 AMI를 업로드해야 합니다.

다음 AWS 최상위 시크릿 리전 파티션이 지원됩니다.

  • us-iso-east-1
참고

AWS 최상위 시크릿 리전에서 지원되는 최대 MTU는 AWS 상용과 동일하지 않습니다. 설치 중에 MTU 구성에 대한 자세한 내용은 네트워크 사용자 지정을 사용하여 AWS에 클러스터 설치Cluster Network Operator 구성 오브젝트 섹션을 참조하십시오.

5.11.3. 설치 요구사항

Red Hat은 AWS 최상위 시크릿 리전의 RHCOS(Red Hat Enterprise Linux CoreOS) Amzaon 머신 이미지를 게시하지 않습니다.

클러스터를 설치하려면 먼저 다음을 수행해야 합니다.

  • 사용자 지정 RHCOS AMI를 업로드합니다.
  • 수동으로 설치 구성 파일 (install-config.yaml)을 생성합니다.
  • 설치 구성 파일에서 AWS 리전 및 관련 사용자 지정 AMI를 지정합니다.

OpenShift Container Platform 설치 프로그램을 사용하여 설치 구성 파일을 생성할 수 없습니다. 설치 프로그램에서 RHCOS AMI에 대한 기본 지원 없이 AWS 리전을 나열하지 않습니다.

중요

AWS API에는 사용자 정의 CA 신뢰 번들이 필요하므로 install-config.yaml 파일의 additionalTrustBundle 필드에 사용자 정의 CA 인증서도 정의해야 합니다. 설치 프로그램이 AWS API에 액세스할 수 있도록 하려면 설치 프로그램을 실행하는 머신에 CA 인증서를 정의해야 합니다. 머신의 신뢰 저장소에 CA 번들을 추가하고 AWS_CA_BUNDLE 환경 변수를 사용하거나 AWS 구성 파일의 ca_bundle 필드에 CA 번들을 정의해야 합니다.

5.11.4. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

참고

퍼블릭 영역은 AWS 최상위 시크릿 리전의 Route 53에서 지원되지 않습니다. 따라서 클러스터가 AWS 최상위 시크릿 리전에 배포된 경우 프라이빗으로 설정되어야 합니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.

  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

5.11.4.1. AWS의 개인 클러스터

AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.

클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • 퍼블릭 서브넷
  • 공용 인그레스를 지원하는 공용 로드 밸런서
  • 클러스터의 baseDomain과 일치하는 공용 Route 53 영역

설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.

5.11.4.1.1. 제한

프라이빗 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.

  • 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
  • 공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에 kubernetes.io/cluster/<cluster-infra-id>: shared 태그를 지정해야 합니다.

5.11.5. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.11.5.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

  • 상위 시크릿 리전의 클러스터는 EC2 및 ELB 끝점의 공용 IP 주소에 연결할 수 없습니다. VPC 엔드포인트를 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 엔드포인트의 이름을 다음과 같이 지정합니다.

    • elasticloadbalancing.<region>.c2s.ic.gov
    • ec2.<region>.c2s.ic.gov
    • s3.<region>.c2s.ic.gov

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.11.5.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.11.5.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.11.5.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.11.6. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.11.7. AWS에서 사용자 지정 RHCOS AMI 업로드

사용자 지정 Amazon Web Services (AWS) 리전에 배포하는 경우 해당 리전에 속하는 사용자 지정 Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지 (AMI)를 업로드해야 합니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • 필요한 IAM 서비스 역할로 Amazon S3 버킷을 생성했습니다.
  • RHCOS VMDK 파일을 Amazon S3에 업로드했습니다. RHCOS VMDK 파일은 설치하는 OpenShift Container Platform 버전과 같거나 그 이하의 버전이어야 합니다.
  • AWS CLI를 다운로드하여 컴퓨터에 설치했습니다. Install the AWS CLI Using the Bundled Installer를 참조하십시오.

프로세스

  1. AWS 프로필을 환경 변수로 내보냅니다. 

    $ export AWS_PROFILE=<aws_profile> 1

  2. 사용자 지정 AMI와 연결할 리전을 환경 변수로 내보냅니다. 

    $ export AWS_DEFAULT_REGION=<aws_region> 1

  3. Amazon S3에 업로드한 RHCOS 버전을 환경 변수로 내보냅니다. 

    $ export RHCOS_VERSION=<version> 1
    1 1 1
    4.10.0 과 같은 RHCOS VMDK 버전.

  4. Amazon S3 버킷 이름을 환경 변수로 내보냅니다. 

    $ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>

  5. container.json 파일을 만들고 RHCOS VMDK 파일을 정의합니다. 

    $ cat <<EOF > containers.json
{
   "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
   "Format": "vmdk",
   "UserBucket": {
      "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
      "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
   }
}
EOF

  6. RHCOS 디스크를 Amazon EBS 스냅샷으로 가져옵니다. 

    $ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
     --description "<description>" \ 1
     --disk-container "file://<file_path>/containers.json" 2
    1
    가져온 RHCOS 디스크에 대한 설명 (예: rhcos-$ {RHCOS_VERSION} -x86_64-aws.x86_64)입니다.
    2
    RHCOS 디스크를 설명하는 JSON 파일의 파일 경로입니다. JSON 파일에는 Amazon S3 버킷 이름과 키가 포함되어 있어야합니다.

  7. 이미지 가져 오기 상태를 확인합니다. 

    $ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

    출력 예

    {
    "ImportSnapshotTasks": [
        {
            "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
            "ImportTaskId": "import-snap-fh6i8uil",
            "SnapshotTaskDetail": {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "DiskImageSize": 819056640.0,
                "Format": "VMDK",
                "SnapshotId": "snap-06331325870076318",
                "Status": "completed",
                "UserBucket": {
                    "S3Bucket": "external-images",
                    "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                }
            }
        }
    ]
}

    SnapshotId를 복사하여 이미지를 등록합니다.

  8. RHCOS 스냅 샷에서 사용자 지정 RHCOS AMI를 생성합니다. 

    $ aws ec2 register-image \
   --region ${AWS_DEFAULT_REGION} \
   --architecture x86_64 \ 1
   --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
   --ena-support \
   --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
   --virtualization-type hvm \
   --root-device-name '/dev/xvda' \
   --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4
    1
    x86_64, s390x 또는 ppc64le과 같은 RHCOS VMDK 아키텍처 유형입니다.
    2
    가져온 스냅샷의 Description입니다.
    3
    RHCOS AMI의 이름입니다.
    4
    가져온 스냅샷의 SnapshotID입니다.

이러한 API에 대한 자세한 내용은 importing snapshotscreating EBS-backed AMIs에서 참조하십시오.

5.11.8. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.11.9. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.11.10. 수동으로 설치 구성 파일 만들기

클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 사용자 정의 RHCOS AMI를 업로드했습니다.
  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다. 

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

5.11.10.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.11.10.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.32. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.11.10.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.33. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.11.10.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.34. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.11.10.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.35. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

중요

ARM 기반 AWS 인스턴스에서 실행할 때 AWS Graviton 프로세서를 사용할 수 있는 리전을 입력해야 합니다. AWS 문서의 글로벌 가용성 맵을 참조하십시오.

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형(예: m6i.xlarge ). 다음 지원되는 AWS 머신 유형 표를 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다. 사용 가능한 AMI ID는 AWS 인프라의 RHCOS AMI를 참조하십시오.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

5.11.10.2. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.25. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

5.11.10.3. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 수동으로 생성한 설치 구성 파일에 매개변수 값을 입력하기 위한 리소스로 사용합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-iso-east-1a
      - us-iso-east-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-iso-east-1a
      - us-iso-east-1b
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-iso-east-1 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13 14
    serviceEndpoints: 15
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 16
fips: false 17
sshKey: ssh-ed25519 AAAA... 18
publish: Internal 19
pullSecret: '{"auths": ...}' 20
additionalTrustBundle: | 21
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
1 10 11 13 20
필수 항목입니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
14
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
15
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
16
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
17
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

18
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

19
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.
21
사용자 정의 CA 인증서입니다. 이는 AWS API에 사용자 정의 CA 신뢰 번들이 필요하기 때문에 AWS C2S Top Secret Region에 배포할 때 필요합니다.
5.11.10.4. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.11.11. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.11.12. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.11.13. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.11.14. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.11.15. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.11.16. 다음 단계

5.12. AWS 중국 리전에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 다음 AWS(Amazon Web Services) 중국 리전에 클러스터를 설치할 수 있습니다.

  • cn-north-1( 베이징)
  • cn-northwest-1 (닝샤)

5.12.1. 사전 요구 사항

중요

컴퓨터에 AWS 프로필이 저장되어 있는 경우 다단계 인증 장치를 사용하는 동안 생성한 임시 세션 토큰을 해당 프로필이 사용해서는 안 됩니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 자격 증명을 계속 사용하여 AWS 리소스를 생성하므로 장기 자격 증명을 사용해야 합니다. 적절한 키를 생성하려면 AWS 문서의 IAM 사용자의 액세스 키 관리를 참조하십시오. 설치 프로그램을 실행할 때 키를 제공할 수 있습니다.

5.12.2. 설치 요구사항

Red Hat은 AWS 중국 리전의 RHCOS(Red Hat Enterprise Linux CoreOS) Amazon 머신 이미지(AMI)를 게시하지 않습니다.

클러스터를 설치하려면 먼저 다음을 수행해야 합니다.

  • 사용자 지정 RHCOS AMI를 업로드합니다.
  • 수동으로 설치 구성 파일 (install-config.yaml)을 생성합니다.
  • 설치 구성 파일에서 AWS 리전 및 관련 사용자 지정 AMI를 지정합니다.

OpenShift Container Platform 설치 프로그램을 사용하여 설치 구성 파일을 생성할 수 없습니다. 설치 프로그램에서 RHCOS AMI에 대한 기본 지원 없이 AWS 리전을 나열하지 않습니다.

5.12.3. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.12.4. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.

  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 예를 들어, 이 시스템은 클라우드 네트워크의 배스천 호스트가 될 수 있습니다.

참고

AWS 중국 리전은 VPC와 네트워크 간의 VPN 연결을 지원하지 않습니다. 베이징 및 닝샤 리전의 Amazon VPC 서비스에 대한 자세한 내용은 AWS 중국 리전 설명서의 Amazon Virtual Private Cloud를 참조하십시오.

5.12.4.1. AWS의 개인 클러스터

AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.

클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • 퍼블릭 서브넷
  • 공용 인그레스를 지원하는 공용 로드 밸런서
  • 클러스터의 baseDomain과 일치하는 공용 Route 53 영역

설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.

5.12.4.1.1. 제한

프라이빗 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.

  • 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
  • 공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에 kubernetes.io/cluster/<cluster-infra-id>: shared 태그를 지정해야 합니다.

5.12.5. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.10에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

5.12.5.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC를 생성 및 관리하는 방법에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

  • ec2.<region>.amazonaws.com.cn
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

5.12.5.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

5.12.5.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

5.12.5.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

5.12.6. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

5.12.7. AWS에서 사용자 지정 RHCOS AMI 업로드

사용자 지정 Amazon Web Services (AWS) 리전에 배포하는 경우 해당 리전에 속하는 사용자 지정 Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지 (AMI)를 업로드해야 합니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • 필요한 IAM 서비스 역할로 Amazon S3 버킷을 생성했습니다.
  • RHCOS VMDK 파일을 Amazon S3에 업로드했습니다. RHCOS VMDK 파일은 설치하는 OpenShift Container Platform 버전과 같거나 그 이하의 버전이어야 합니다.
  • AWS CLI를 다운로드하여 컴퓨터에 설치했습니다. Install the AWS CLI Using the Bundled Installer를 참조하십시오.

프로세스

  1. AWS 프로필을 환경 변수로 내보냅니다. 

    $ export AWS_PROFILE=<aws_profile> 1
    1
    beijingadmin과 같이 AWS 인증 정보를 보유하는 AWS 프로필 이름입니다.

  2. 사용자 지정 AMI와 연결할 리전을 환경 변수로 내보냅니다. 

    $ export AWS_DEFAULT_REGION=<aws_region> 1
    1
    cn-north-1과 같은 AWS 리전.

  3. Amazon S3에 업로드한 RHCOS 버전을 환경 변수로 내보냅니다. 

    $ export RHCOS_VERSION=<version> 1
    1
    4.10.0 과 같은 RHCOS VMDK 버전.

  4. Amazon S3 버킷 이름을 환경 변수로 내보냅니다. 

    $ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>

  5. container.json 파일을 만들고 RHCOS VMDK 파일을 정의합니다. 

    $ cat <<EOF > containers.json
{
   "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
   "Format": "vmdk",
   "UserBucket": {
      "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
      "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
   }
}
EOF

  6. RHCOS 디스크를 Amazon EBS 스냅샷으로 가져옵니다. 

    $ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
     --description "<description>" \ 1
     --disk-container "file://<file_path>/containers.json" 2
    1
    가져온 RHCOS 디스크에 대한 설명 (예: rhcos-$ {RHCOS_VERSION} -x86_64-aws.x86_64)입니다.
    2
    RHCOS 디스크를 설명하는 JSON 파일의 파일 경로입니다. JSON 파일에는 Amazon S3 버킷 이름과 키가 포함되어 있어야합니다.

  7. 이미지 가져 오기 상태를 확인합니다. 

    $ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

    출력 예

    {
    "ImportSnapshotTasks": [
        {
            "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
            "ImportTaskId": "import-snap-fh6i8uil",
            "SnapshotTaskDetail": {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "DiskImageSize": 819056640.0,
                "Format": "VMDK",
                "SnapshotId": "snap-06331325870076318",
                "Status": "completed",
                "UserBucket": {
                    "S3Bucket": "external-images",
                    "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                }
            }
        }
    ]
}

    SnapshotId를 복사하여 이미지를 등록합니다.

  8. RHCOS 스냅 샷에서 사용자 지정 RHCOS AMI를 생성합니다. 

    $ aws ec2 register-image \
   --region ${AWS_DEFAULT_REGION} \
   --architecture x86_64 \ 1
   --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
   --ena-support \
   --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
   --virtualization-type hvm \
   --root-device-name '/dev/xvda' \
   --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4
    1
    x86_64, s390x 또는 ppc64le과 같은 RHCOS VMDK 아키텍처 유형입니다.
    2
    가져온 스냅샷의 Description입니다.
    3
    RHCOS AMI의 이름입니다.
    4
    가져온 스냅샷의 SnapshotID입니다.

이러한 API에 대한 자세한 내용은 importing snapshotscreating EBS-backed AMIs에서 참조하십시오.

5.12.8. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.12.9. 수동으로 설치 구성 파일 만들기

클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 사용자 정의 RHCOS AMI를 업로드했습니다.
  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다. 

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

5.12.9.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

5.12.9.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.36. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: alibabacloud,aws,baremetal,azure,ibmcloud,openstack,ovirt,vsphere, {}입니다. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다. 

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
5.12.9.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 5.37. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 제공자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다. 

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다. 

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

5.12.9.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 5.38. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

cgroupsV2

클러스터의 특정 노드에서 Linux 제어 그룹 버전 2 (cgroups v2)를 활성화합니다. cgroups v2를 활성화하는 OpenShift Container Platform 프로세스는 모든 cgroup 버전 1 컨트롤러 및 계층을 비활성화합니다. OpenShift Container Platform cgroups 버전 2 기능은 개발자 프리뷰에 있으며 현재 Red Hat에서 지원하지 않습니다.

true

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 다양한 아키텍처가 있는 클러스터는 지원되지 않습니다. 모든 풀은 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

, aws, aws ,azure,gcp,ibmcloud,openstack,ovirt,vsphere, {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.

Mint, Passthrough, Manual 또는 빈 문자열 ("").

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 기본값은 External입니다.

이 필드를 Internal 로 설정하는 것은 클라우드 이외의 플랫폼과 IBM Cloud VPC에서 지원되지 않습니다.

중요

필드 값을 Internal 로 설정하면 클러스터가 작동하지 않습니다. 자세한 내용은 BZ#1953035를 참조하십시오.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다. 

sshKey:
  <key1>
  <key2>
  <key3>
5.12.9.2. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 수동으로 생성한 설치 구성 파일에 매개변수 값을 입력하기 위한 리소스로 사용합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - cn-north-1a
      - cn-north-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m6i.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - cn-north-1a
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: cn-north-1 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13 14
    serviceEndpoints: 15
      - name: ec2
        url: https://vpce-id.ec2.cn-north-1.vpce.amazonaws.com.cn
    hostedZone: Z3URY6TWQ91KVV 16
fips: false 17
sshKey: ssh-ed25519 AAAA... 18
publish: Internal 19
pullSecret: '{"auths": ...}' 20
1 10 11 13 20
필수 항목입니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Red Hat OperatorCloud Credential Operator를 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 현재 두 섹션이 모두 단일 시스템 풀을 정의하지만 향후 출시되는 OpenShift Container Platform 버전은 설치 과정에서 여러 컴퓨팅 풀 정의를 지원할 수 있습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
14
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
15
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
16
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
17
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

18
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

19
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.
5.12.9.3. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.12.9.4. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.26. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

5.12.9.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com.cn,elasticloadbalancing.<region>.amazonaws.com, s3.<region>.amazonaws.com 끝점을 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.12.10. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

5.12.11. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.12.12. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.12.13. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

5.12.14. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.
  • Telemetry 서비스에 대한 자세한 내용은 원격 상태 모니터링 정보를 참조하십시오.

5.12.15. 다음 단계

5.13. CloudFormation 템플릿을 사용하여 사용자 프로비저닝 인프라에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 사용자가 제공하는 인프라를 사용하는 클러스터를 AWS(Amazon Web Services)에 설치할 수 있습니다.

이 인프라를 생성하는 한 가지 방법은 제공된 CloudFormation 템플릿을 사용하는 것입니다. 템플릿을 수정하여 인프라를 사용자 지정하거나 포함된 정보를 사용하여 회사 정책에 따라 AWS 개체를 생성할 수 있습니다.

중요

사용자가 프로비저닝한 인프라 설치를 수행하는 단계는 예시용으로만 제공됩니다. 사용자가 제공하는 인프라를 사용하여 클러스터를 설치하려면 클라우드 공급자 및 OpenShift Container Platform 설치 프로세스에 대한 정보가 필요합니다. 안내된 단계를 수행하거나 자체 모델링에 유용한 몇 가지 CloudFormation 템플릿이 제공됩니다. 여러 다른 방법을 통해 필요한 리소스를 자유롭게 생성할 수도 있습니다. 템플릿은 예시일 뿐입니다.

5.13.1. 사전 요구 사항

5.13.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.13.3. 사용자 프로비저닝 인프라를 포함한 클러스터의 시스템 요구사항

사용자 프로비저닝 인프라가 포함된 클러스터의 경우, 필요한 모든 시스템을 배포해야 합니다.

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포해야 하는 요구 사항에 대해 설명합니다.

5.13.3.1. 클러스터 설치에 필요한 시스템

최소 OpenShift Container Platform 클러스터에 다음과 같은 호스트가 필요합니다.

표 5.39. 최소 필수 호스트
호스트설명

임시 부트스트랩 시스템 한 개

컨트롤 플레인 시스템 세 개에 OpenShift Container Platform 클러스터를 배포하기 위한 부트스트랩 시스템이 클러스터에 필요합니다. 클러스터를 설치한 후 부트스트랩 시스템을 제거할 수 있습니다.

컨트롤 플레인 시스템 세 개

컨트롤 플레인 시스템은 컨트롤 플레인을 구성하는 Kubernetes 및 OpenShift Container Platform 서비스를 실행합니다.

두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함).

OpenShift Container Platform 사용자가 요청한 워크로드는 컴퓨팅 머신에서 실행됩니다.

중요

클러스터의 고가용성을 유지하려면 이러한 클러스터 시스템에 대해 별도의 물리적 호스트를 사용하십시오.

부트스트랩, 컨트롤 플레인 시스템은 운영 체제로 RHCOS (Red Hat Enterprise Linux CoreOS)를 사용해야 합니다. 그러나 컴퓨팅 머신은 RHCOS(Red Hat Enterprise Linux CoreOS), RHEL(Red Hat Enterprise Linux) 8.4 또는 RHEL 8.5 중에서 선택할 수 있습니다.

RHCOS는 RHEL 8(Red Hat Enterprise Linux)을 기반으로하며 모든 하드웨어 인증 및 요구사항을 모두 이어받습니다. Red Hat Enterprise Linux 기술 기능 및 제한을 참조하십시오.

5.13.3.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.13.3.3. 인증서 서명 요청 관리

사용자가 프로비저닝하는 인프라를 사용하는 경우 자동 시스템 관리 기능으로 인해 클러스터의 액세스가 제한되므로 설치한 후 클러스터 인증서 서명 요청(CSR)을 승인하는 메커니즘을 제공해야 합니다. kube-controller-manager는 kubelet 클라이언트 CSR만 승인합니다. machine-approver는 올바른 시스템에서 발행한 요청인지 확인할 수 없기 때문에 kubelet 자격 증명을 사용하여 요청하는 서비스 인증서의 유효성을 보장할 수 없습니다. kubelet 서빙 인증서 요청의 유효성을 확인하고 요청을 승인하는 방법을 결정하여 구현해야 합니다.

5.13.3.4. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.27. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

예 5.28. arm64 아키텍처 기반 머신 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

m6g.large

x

 

x

m6g.xlarge

 

x

x

m6g.2xlarge

 

x

x

m6g.4xlarge

 

x

x

m6g.8xlarge

 

x

x

m6g.12xlarge

 

x

x

m6g.16xlarge

 

x

x

c6g.large

x

  

c6g.xlarge

  

x

c6g.2xlarge

 

x

x

c6g.4xlarge

 

x

x

c6g.8xlarge

 

x

x

c6g.12xlarge

 

x

x

c6g.16xlarge

 

x

x

5.13.4. 필수 AWS 인프라 구성 요소

AWS(Amazon Web Services)의 사용자 프로비저닝 인프라에 OpenShift Container Platform을 설치하려면 시스템과 지원 인프라를 모두 수동으로 생성해야 합니다.

다른 플랫폼의 통합 테스트에 대한 자세한 내용은 OpenShift Container Platform 4.x 통합 테스트 페이지를 참조하십시오.

제공된 CloudFormation 템플릿을 사용하면 다음 구성 요소를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

  • AWS 가상 사설 클라우드(VPC)
  • 네트워킹 및 로드 밸런싱 구성 요소
  • 보안 그룹 및 역할
  • OpenShift Container Platform 부트스트랩 노드
  • OpenShift Container Platform 컨트롤 플레인 노드
  • OpenShift Container Platform 컴퓨팅 노드

대안으로, 구성 요소를 수동으로 생성하거나 클러스터 요구 사항을 충족하는 기존 인프라를 재사용할 수 있습니다. 구성 요소의 상호 관계에 대한 자세한 내용은 CloudFormation 템플릿을 검토하십시오.

5.13.4.1. 기타 인프라 구성 요소
  • A VPC
  • DNS 항목
  • 로드 밸런서(클래식 또는 네트워크) 및 리스너
  • 공개 및 개인 Route 53 영역
  • 보안 그룹
  • IAM 역할
  • S3 버킷

연결이 끊긴 환경에서 작업하거나 프록시를 사용하는 경우 EC2 및 ELB 끝점의 공용 IP 주소에 연결할 수 없습니다. 이러한 끝점에 연결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 다음 끝점을 생성합니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

필수 DNS 및 로드 밸런싱 구성 요소

DNS 및 로드 밸런서 구성은 공개 호스팅 영역을 사용해야 하며 클러스터 인프라를 프로비저닝하는 경우 설치 프로그램이 사용하는 것과 유사한 개인 호스팅 영역을 사용할 수 있습니다. 로드 밸런서로 확인되는 DNS 항목을 생성해야 합니다. api.<cluster_name>.<domain>에 대한 항목은 외부 로드 밸런서를 가리켜야 하고 api-int.<cluster_name>.<domain>에 대한 항목은 내부 로드 밸런서를 가리켜야 합니다.

클러스터에는 또한 Kubernetes API 및 해당 확장에 필요한 포트 6443 및 새 시스템의 Ignition 구성 파일에 필요한 포트 22623용 로드 밸런서와 리스너가 필요합니다. 대상은 컨트롤 플레인 노드가 됩니다. 포트 6443은 클러스터 외부의 클라이언트와 클러스터 내부의 노드에서 모두 액세스할 수 있어야 합니다. 포트 22623은 클러스터 내부 노드에서 액세스할 수 있어야 합니다.

구성 요소AWS 유형설명

DNS

AWS::Route53::HostedZone

내부 DNS의 호스팅 영역입니다.

etcd 레코드 세트

AWS::Route53::RecordSet

컨트롤 플레인 시스템의 etcd 등록 레코드입니다.

공용 로드 밸런서

AWS::ElasticLoadBalancingV2::LoadBalancer

퍼블릭 서브넷의 로드 밸런서입니다.

외부 API 서버 레코드

AWS::Route53::RecordSetGroup

외부 API 서버의 별칭 레코드입니다.

외부 리스너

AWS::ElasticLoadBalancingV2::Listener

외부 로드 밸런서용 포트 6443의 리스너입니다.

외부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

외부 로드 밸런서의 대상 그룹입니다.

프라이빗 로드 밸런서

AWS::ElasticLoadBalancingV2::LoadBalancer

프라이빗 서브넷의 로드 밸런서입니다.

내부 API 서버 레코드

AWS::Route53::RecordSetGroup

내부 API 서버의 별칭 레코드입니다.

내부 리스너

AWS::ElasticLoadBalancingV2::Listener

내부 로드 밸런서용 포트 22623의 리스너입니다.

내부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

내부 로드 밸런서의 대상 그룹입니다.

내부 리스너

AWS::ElasticLoadBalancingV2::Listener

내부 로드 밸런서용 포트 6443의 리스너입니다.

내부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

내부 로드 밸런서의 대상 그룹입니다.

보안 그룹

컨트롤 플레인 및 작업자 시스템에는 다음 포트에 대한 액세스 권한이 필요합니다.

그룹유형IP 프로토콜포트 범위

MasterSecurityGroup

AWS::EC2::SecurityGroup

icmp

0

tcp

22

tcp

6443

tcp

22623

WorkerSecurityGroup

AWS::EC2::SecurityGroup

icmp

0

tcp

22

BootstrapSecurityGroup

AWS::EC2::SecurityGroup

tcp

22

tcp

19531

컨트롤 플레인 인그레스

컨트롤 플레인 시스템에는 다음과 같은 인그레스 그룹이 필요합니다. 각 인그레스 그룹은 AWS::EC2::SecurityGroupIngress 리소스입니다.

인그레스 그룹설명IP 프로토콜포트 범위

MasterIngressEtcd

etcd

tcp

2379- 2380

MasterIngressVxlan

Vxlan 패킷

udp

4789

MasterIngressWorkerVxlan

Vxlan 패킷

udp

4789

MasterIngressInternal

내부 클러스터 통신 및 Kubernetes 프록시 메트릭

tcp

9000 - 9999

MasterIngressWorkerInternal

내부 클러스터 통신

tcp

9000 - 9999

MasterIngressKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250 - 10259

MasterIngressWorkerKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250 - 10259

MasterIngressIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

MasterIngressWorkerIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

MasterIngressGeneve

Geneve 패킷

udp

6081

MasterIngressWorkerGeneve

Geneve 패킷

udp

6081

MasterIngressIpsecIke

IPsec IKE 패킷

udp

500

MasterIngressWorkerIpsecIke

IPsec IKE 패킷

udp

500

MasterIngressIpsecNat

IPsec NAT-T 패킷

udp

4500

MasterIngressWorkerIpsecNat

IPsec NAT-T 패킷

udp

4500

MasterIngressIpsecEsp

IPsec ESP 패킷

50

All

MasterIngressWorkerIpsecEsp

IPsec ESP 패킷

50

All

MasterIngressInternalUDP

내부 클러스터 통신

udp

9000 - 9999

MasterIngressWorkerInternalUDP

내부 클러스터 통신

udp

9000 - 9999

MasterIngressIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

MasterIngressWorkerIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

작업자 인그레스

작업자 시스템에는 다음과 같은 인그레스 그룹이 필요합니다. 각 인그레스 그룹은 AWS::EC2::SecurityGroupIngress 리소스입니다.

인그레스 그룹설명IP 프로토콜포트 범위

WorkerIngressVxlan

Vxlan 패킷

udp

4789

WorkerIngressWorkerVxlan

Vxlan 패킷

udp

4789

WorkerIngressInternal

내부 클러스터 통신

tcp

9000 - 9999

WorkerIngressWorkerInternal

내부 클러스터 통신

tcp

9000 - 9999

WorkerIngressKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250

WorkerIngressWorkerKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250

WorkerIngressIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

WorkerIngressWorkerIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

WorkerIngressGeneve

Geneve 패킷

udp

6081

WorkerIngressMasterGeneve

Geneve 패킷

udp

6081

WorkerIngressIpsecIke

IPsec IKE 패킷

udp

500

WorkerIngressMasterIpsecIke

IPsec IKE 패킷

udp

500

WorkerIngressIpsecNat

IPsec NAT-T 패킷

udp

4500

WorkerIngressMasterIpsecNat

IPsec NAT-T 패킷

udp

4500

WorkerIngressIpsecEsp

IPsec ESP 패킷

50

All

WorkerIngressMasterIpsecEsp

IPsec ESP 패킷

50

All

WorkerIngressInternalUDP

내부 클러스터 통신

udp

9000 - 9999

WorkerIngressMasterInternalUDP

내부 클러스터 통신

udp

9000 - 9999

WorkerIngressIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

WorkerIngressMasterIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

역할 및 인스턴스 프로필

AWS에서 시스템 권한을 부여해야 합니다. 제공된 CloudFormation 템플릿은 다음 AWS::IAM::Role 오브젝트에 대한 허용 권한을 머신에 부여하며 각 역할 세트의 AWS::IAM::InstanceProfile을 제공합니다. 템플릿을 사용하지 않는 경우 다음과 같은 광범위한 권한 또는 다음과 같은 개별 권한을 시스템에 부여할 수 있습니다.

역할효과동작리소스 이름

Master

허용

ec2:*

*

허용

elasticloadbalancing:*

*

허용

iam:PassRole

*

허용

s3:GetObject

*

Worker

허용

ec2:Describe*

*

부트스트랩

허용

ec2:Describe*

*

허용

ec2:AttachVolume

*

허용

ec2:DetachVolume

*

5.13.4.2. 클러스터 시스템

다음 시스템의 AWS:: EC2:: Instance 개체가 필요합니다.

  • 부트스트랩 시스템. 이 시스템은 설치 중에 필요하지만 클러스터가 배포된 후 제거할 수 있습니다.
  • 컨트롤 플레인 시스템 세 개 컨트롤 플레인 시스템은 머신 세트에 의해 관리되지 않습니다.
  • 컴퓨팅 시스템. 설치 중에 두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함)을 생성해야 합니다. 이러한 시스템은 머신 세트에 의해 관리되지 않습니다.
5.13.4.3. IAM 사용자에게 필요한 AWS 권한
참고

기본 클러스터 리소스를 삭제하려면 IAM 사용자에게 us-east-1 리전에 권한 tag:GetResources 가 있어야 합니다. AWS API 요구 사항의 일부로 OpenShift Container Platform 설치 프로그램은 이 리전에서 다양한 작업을 수행합니다.

AWS(Amazon Web Services)에서 생성되는 IAM 사용자에게 AdministratorAccess 정책을 연결하면 해당 사용자에게 필요한 모든 권한이 부여됩니다. OpenShift Container Platform 클러스터의 모든 구성 요소를 배포하려면 IAM 사용자에게 다음과 같은 권한이 필요합니다.

예 5.29. 설치에 필요한 EC2 권한

  • ec2:AuthorizeSecurityGroupEgress
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:CopyImage
  • ec2:CreateNetworkInterface
  • ec2:AttachNetworkInterface
  • ec2:CreateSecurityGroup
  • ec2:CreateTags
  • ec2:CreateVolume
  • ec2:DeleteSecurityGroup
  • ec2:DeleteSnapshot
  • ec2:DeleteTags
  • ec2:DeregisterImage
  • ec2:DescribeAccountAttributes
  • ec2:DescribeAddresses
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeDhcpOptions
  • ec2:DescribeImages
  • ec2:DescribeInstanceAttribute
  • ec2:DescribeInstanceCreditSpecifications
  • ec2:DescribeInstances
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInternetGateways
  • ec2:DescribeKeyPairs
  • ec2:DescribeNatGateways
  • ec2:DescribeNetworkAcls
  • ec2:DescribeNetworkInterfaces
  • ec2:DescribePrefixLists
  • ec2:DescribeRegions
  • ec2:DescribeRouteTables
  • ec2:DescribeSecurityGroups
  • ec2:DescribeSubnets
  • ec2:DescribeTags
  • ec2:DescribeVolumes
  • ec2:DescribeVpcAttribute
  • ec2:DescribeVpcClassicLink
  • ec2:DescribeVpcClassicLinkDnsSupport
  • ec2:DescribeVpcEndpoints
  • ec2:DescribeVpcs
  • ec2:GetEbsDefaultKmsKeyId
  • ec2:ModifyInstanceAttribute
  • ec2:ModifyNetworkInterfaceAttribute
  • ec2:RevokeSecurityGroupEgress
  • ec2:RevokeSecurityGroupIngress
  • ec2:RunInstances
  • ec2:TerminateInstances

예 5.30. 설치 과정에서 네트워크 리소스를 생성하는 데 필요한 권한

  • ec2:AllocateAddress
  • ec2:AssociateAddress
  • ec2:AssociateDhcpOptions
  • ec2:AssociateRouteTable
  • ec2:AttachInternetGateway
  • ec2:CreateDhcpOptions
  • ec2:CreateInternetGateway
  • ec2:CreateNatGateway
  • ec2:CreateRoute
  • ec2:CreateRouteTable
  • ec2:CreateSubnet
  • ec2:CreateVpc
  • ec2:CreateVpcEndpoint
  • ec2:ModifySubnetAttribute
  • ec2:ModifyVpcAttribute
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 생성하기 위해 계정에 이러한 권한이 필요하지 않습니다.

예 5.31. 설치에 필요한 ELB(Elastic Load Balancing 권한)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer
  • elasticloadbalancing:AttachLoadBalancerToSubnets
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:DescribeInstanceHealth
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener

예 5.32. 설치에 필요한 Elastic Load Balancing 권한(ELBv2)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateListener
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterTargets
  • elasticloadbalancing:DescribeListeners
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTargetGroupAttributes
  • elasticloadbalancing:DescribeTargetHealth
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:ModifyTargetGroup
  • elasticloadbalancing:ModifyTargetGroupAttributes
  • elasticloadbalancing:RegisterTargets

예 5.33. 설치에 필요한 IAM 권한

  • iam:AddRoleToInstanceProfile
  • iam:CreateInstanceProfile
  • iam:CreateRole
  • iam:DeleteInstanceProfile
  • iam:DeleteRole
  • iam:DeleteRolePolicy
  • iam:GetInstanceProfile
  • iam:GetRole
  • iam:GetRolePolicy
  • iam:GetUser
  • iam:ListInstanceProfilesForRole
  • iam:ListRoles
  • iam:ListUsers
  • iam:PassRole
  • iam:PutRolePolicy
  • iam:RemoveRoleFromInstanceProfile
  • iam:SimulatePrincipalPolicy
  • iam:TagRole
참고

AWS 계정에서 탄력적 로드 밸런서 (ELB)를 생성하지 않은 경우 IAM 사용자에게 iam:CreateServiceLinkedRole 권한이 필요합니다.

예 5.34. 설치에 필요한 Route 53 권한

  • route53:ChangeResourceRecordSets
  • route53:ChangeTagsForResource
  • route53:CreateHostedZone
  • route53:DeleteHostedZone
  • route53:GetChange
  • route53:GetHostedZone
  • route53:ListHostedZones
  • route53:ListHostedZonesByName
  • route53:ListResourceRecordSets
  • route53:ListTagsForResource
  • route53:UpdateHostedZoneComment

예 5.35. 설치에 필요한 S3 권한

  • s3:CreateBucket
  • s3:DeleteBucket
  • s3:GetAccelerateConfiguration
  • s3:GetBucketAcl
  • s3:GetBucketCors
  • s3:GetBucketLocation
  • s3:GetBucketLogging
  • s3:GetBucketObjectLockConfiguration
  • s3:GetBucketReplication
  • s3:GetBucketRequestPayment
  • s3:GetBucketTagging
  • s3:GetBucketVersioning
  • s3:GetBucketWebsite
  • s3:GetEncryptionConfiguration
  • s3:GetLifecycleConfiguration
  • s3:GetReplicationConfiguration
  • s3:ListBucket
  • s3:PutBucketAcl
  • s3:PutBucketTagging
  • s3:PutEncryptionConfiguration

예 5.36. 클러스터 Operator에 필요한 S3 권한

  • s3:DeleteObject
  • s3:GetObject
  • s3:GetObjectAcl
  • s3:GetObjectTagging
  • s3:GetObjectVersion
  • s3:PutObject
  • s3:PutObjectAcl
  • s3:PutObjectTagging

예 5.37. 기본 클러스터 리소스를 삭제하는 데 필요한 권한

  • autoscaling:DescribeAutoScalingGroups
  • ec2:DeleteNetworkInterface
  • ec2:DeleteVolume
  • elasticloadbalancing:DeleteTargetGroup
  • elasticloadbalancing:DescribeTargetGroups
  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:ListAttachedRolePolicies
  • iam:ListInstanceProfiles
  • iam:ListRolePolicies
  • iam:ListUserPolicies
  • s3:DeleteObject
  • s3:ListBucketVersions
  • tag:GetResources

예 5.38. 네트워크 리소스를 삭제하는 데 필요한 권한

  • ec2:DeleteDhcpOptions
  • ec2:DeleteInternetGateway
  • ec2:DeleteNatGateway
  • ec2:DeleteRoute
  • ec2:DeleteRouteTable
  • ec2:DeleteSubnet
  • ec2:DeleteVpc
  • ec2:DeleteVpcEndpoints
  • ec2:DetachInternetGateway
  • ec2:DisassociateRouteTable
  • ec2:ReleaseAddress
  • ec2:ReplaceRouteTableAssociation
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 삭제하기 위해 계정에 이러한 권한이 필요하지 않습니다. 대신 사용자 계정에는 네트워크 리소스를 삭제하기 위한 tag:UntagResources 권한만 필요합니다.

예 5.39. 공유 인스턴스 역할이 있는 클러스터를 삭제하는 데 필요한 권한

  • iam:UntagRole

예 5.40. 매니페스트를 생성하는 데 필요한 추가 IAM 및 S3 권한

  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:DeleteUserPolicy
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • iam:PutUserPolicy
  • iam:TagUser
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • s3:PutBucketPublicAccessBlock
  • s3:GetBucketPublicAccessBlock
  • s3:PutLifecycleConfiguration
  • s3:HeadBucket
  • s3:ListBucketMultipartUploads
  • s3:AbortMultipartUpload
참고

Mint 모드로 클라우드 공급자 인증 정보를 관리하는 경우 IAM 사용자에게 iam:CreateAccessKeyiam:CreateUser 권한도 필요합니다.

예 5.41. 인스턴스에 대한 선택적 권한 및 설치에 대한 할당량 검사

  • ec2:DescribeInstanceTypeOfferings
  • servicequotas:ListAWSDefaultServiceQuotas

5.13.5. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

5.13.6. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다. 프로비저닝하는 인프라에 클러스터를 설치하는 경우 설치 프로그램에 키를 제공해야 합니다.

5.13.7. AWS용 설치 파일 생성

사용자 프로비저닝 인프라를 사용하는 OpenShift Container Platform을 AWS(Amazon Web Services)에 설치하려면 설치 프로그램에서 클러스터를 배포하는 데 필요한 파일을 생성하고 클러스터가 사용할 시스템만을 생성하도록 파일을 수정해야 합니다. install-config.yaml 파일, Kubernetes 매니페스트 및 Ignition 구성 파일을 생성하고 사용자 지정합니다. 또한 설치 준비 단계에서 별도의 var 파티션을 먼저 설정할 수 있는 옵션이 있습니다.

5.13.7.1. 선택 사항: 별도의 /var 파티션 만들기

OpenShift Container Platform의 디스크 파티션 설정은 설치 프로그램에 맡기는 것이 좋습니다. 그러나 확장하려는 파일 시스템의 일부에 별도의 파티션을 생성해야 하는 경우가 있습니다.

OpenShift 컨테이너 플랫폼은 /var 파티션 또는 /var의 하위 디렉터리 중 하나에 스토리지를 연결하는 단일 파티션의 추가를 지원합니다. 예를 들면 다음과 같습니다.

  • /var/lib/containers: 시스템에 더 많은 이미지와 컨테이너가 추가됨에 따라 확장될 수 있는 컨테이너 관련 콘텐츠를 보관합니다.
  • /var/lib/etcd: etcd 스토리지의 성능 최적화와 같은 목적으로 별도로 보관할 데이터를 보관합니다.
  • /var: 감사 등의 목적에 맞게 별도로 분리하여 보관해야 하는 데이터를 보관합니다.

/var 디렉터리의 콘텐츠를 별도로 저장하면 필요에 따라 해당 영역에 대한 스토리지 확장을 보다 용이하게 하고 나중에 OpenShift Container Platform을 다시 설치하여 해당 데이터를 그대로 보존할 수 있습니다. 이 방법을 사용하면 모든 컨테이너를 다시 가져올 필요가 없으며 시스템을 업데이트할 때 대용량 로그 파일을 복사할 필요도 없습니다.

RHCOS(Red Hat Enterprise Linux CoreOS)를 새로 설치하기 전에 /var 가 있어야 하므로 다음 절차에서는 OpenShift Container Platform 설치의 openshift-install 준비 단계 중에 삽입되는 머신 구성 매니페스트를 생성하여 별도의 /var 파티션을 설정합니다.

중요

이 절차에서 별도의 /var 파티션을 생성하기 위해 단계에 따라 이 섹션의 뒷부분에서 설명한 대로 Kubernetes 매니페스트 및 Ignition 구성 파일을 다시 생성할 필요가 없습니다.

프로세스

  1. OpenShift Container Platform 설치 파일을 저장할 디렉터리를 만듭니다. 

    $ mkdir $HOME/clusterconfig

  2. openshift-install을 실행하여 manifestopenshift 하위 디렉터리에 파일 세트를 만듭니다. 프롬프트가 표시되면 시스템 질문에 대답합니다. 

    $ openshift-install create manifests --dir $HOME/clusterconfig

    출력 예

    ? SSH Public Key ...
INFO Credentials loaded from the "myprofile" profile in file "/home/myuser/.aws/credentials"
INFO Consuming Install Config from target directory
INFO Manifests created in: $HOME/clusterconfig/manifests and $HOME/clusterconfig/openshift

  3. 선택 사항: 설치 프로그램이 clusterconfig/openshift 디렉터리에 매니페스트를 생성했는지 확인합니다. 

    $ ls $HOME/clusterconfig/openshift/

    출력 예

    99_kubeadmin-password-secret.yaml
99_openshift-cluster-api_master-machines-0.yaml
99_openshift-cluster-api_master-machines-1.yaml
99_openshift-cluster-api_master-machines-2.yaml
...

  4. 추가 파티션을 구성하는 Butane 구성을 생성합니다. 예를 들어 $HOME/clusterconfig/98-var-partition.bu 파일의 이름을 지정하고, 디스크 장치 이름을 worker 시스템의 스토리지 장치 이름으로 변경하고 스토리지 크기를 적절하게 설정합니다. 이 예에서는 /var 디렉터리를 별도의 파티션에 배치합니다. 

    variant: openshift
version: 4.10.0
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker
  name: 98-var-partition
storage:
  disks:
  - device: /dev/<device_name> 1
    partitions:
    - label: var
      start_mib: <partition_start_offset> 2
      size_mib: <partition_size> 3
  filesystems:
    - device: /dev/disk/by-partlabel/var
      path: /var
      format: xfs
      mount_options: [defaults, prjquota] 4
      with_mount_unit: true
    1
    파티션을 설정해야하는 디스크 저장 장치 이름입니다.
    2
    데이터 파티션을 부트 디스크에 추가할 때 최소 25000MiB(메비 바이트)가 권장됩니다. 루트 파일 시스템은 지정된 오프셋까지 사용 가능한 모든 공간을 채우기 위해 자동으로 크기가 조정됩니다. 값이 지정되지 않거나 지정된 값이 권장 최소값보다 작으면 생성되는 루트 파일 시스템의 크기가 너무 작아지고 RHCOS를 나중에 다시 설치할 때 데이터 파티션의 첫 번째 부분을 덮어 쓸 수 있습니다.
    3
    데이터 파티션의 크기(MB)입니다.
    4
    컨테이너 스토리지에 사용되는 파일 시스템에 대해 prjquota 마운트 옵션을 활성화해야 합니다.
    참고

    별도의 /var 파티션을 만들 때 다른 인스턴스 유형에 동일한 장치 이름이 없는 경우 작업자 노드에 다른 인스턴스 유형을 사용할 수 없습니다.

  5. Butane 구성에서 매니페스트를 생성하여 clusterconfig/openshift 디렉터리에 저장합니다. 예를 들어 다음 명령을 실행합니다. 

    $ butane $HOME/clusterconfig/98-var-partition.bu -o $HOME/clusterconfig/openshift/98-var-partition.yaml

  6. openshift-install을 다시 실행하여 manifestopenshift 하위 디렉터리의 파일 세트에서 Ignition 구성을 만듭니다. 

    $ openshift-install create ignition-configs --dir $HOME/clusterconfig
$ ls $HOME/clusterconfig/
auth  bootstrap.ign  master.ign  metadata.json  worker.ign

이제 Ignition 구성 파일을 설치 절차에 대한 입력으로 사용하여 RHCOS (Red Hat Enterprise Linux CoreOS) 시스템을 설치할 수 있습니다.

5.13.7.2. 설치 구성 파일 만들기

설치 프로그램이 클러스터를 배포하는 데 필요한 설치 구성 파일을 생성하고 사용자 지정합니다.

사전 요구 사항

  • 사용자가 프로비저닝한 인프라의 OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받으셨습니다.
  • Red Hat에서 게시한 Red Hat Enterprise Linux CoreOS (RHCOS) AMI와 함께 리전에 클러스터를 배포하고 있는지 확인하셨습니다. AWS GovCloud 리전과 같이 사용자 지정 AMI가 필요한 리전에 배포하는 경우 install-config.yaml 파일을 수동으로 생성해야 합니다.

프로세스

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 aws를 선택합니다.

      3. 컴퓨터에 AWS 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.

        참고

        AWS 액세스 키 ID와 시크릿 액세스 키는 설치 호스트에 있는 현재 사용자의 홈 디렉터리에서 ~/.aws/credentials에 저장됩니다. 내보낸 프로필의 인증 정보가 파일에 없으면 설치 프로그램에서 인증 정보에 대한 메시지를 표시합니다. 설치 프로그램에 사용자가 제공하는 인증 정보는 파일에 저장됩니다.

      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.

  2. 선택사항: install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

추가 리소스

5.13.7.3. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.13.7.4. Kubernetes 매니페스트 및 Ignition 설정 파일 생성

일부 클러스터 정의 파일을 수정하고 클러스터 시스템을 수동으로 시작해야 하므로 클러스터가 시스템을 구성하는 데 필요한 Kubernetes 매니페스트 및 Ignition 구성 파일을 사용자가 생성해야 합니다.

설치 구성 파일은 Kubernetes 매니페스트로 변환됩니다. 매니페스트는 나중에 클러스터 머신을 구성하는 데 사용되는 Ignition 구성 파일로 래핑됩니다.

중요
  • OpenShift Container Platform 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
  • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램을 가져오셨습니다.
  • install-config.yaml 설치 구성 파일을 생성하셨습니다.

프로세스

  1. OpenShift Container Platform 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터에 대한 Kubernetes 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>는 사용자가 만든 install-config.yaml 파일이 포함된 설치 디렉터리를 지정합니다.

  2. 컨트롤 플레인 시스템을 정의하는 Kubernetes 매니페스트 파일을 제거합니다. 

    $ rm -f <installation_directory>/openshift/99_openshift-cluster-api_master-machines-*.yaml

    이러한 파일을 제거하면 클러스터가 컨트롤 플레인 시스템을 자동으로 생성하지 못합니다.

  3. 작업자 시스템을 정의하는 Kubernetes 매니페스트 파일을 제거합니다. 

    $ rm -f <installation_directory>/openshift/99_openshift-cluster-api_worker-machineset-*.yaml

    작업자 시스템은 사용자가 직접 생성하고 관리하기 때문에 초기화할 필요가 없습니다.

  4. <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 매니페스트 파일의 mastersSchedulable 매개변수가 false로 설정되어 있는지 확인합니다. 이 설정으로 인해 컨트롤 플레인 머신에서 포드가 예약되지 않습니다.

    1. <installation_directory>/manifests/cluster-scheduler-02-config.yml 파일을 엽니다.
    2. mastersSchedulable 매개변수를 찾아서 값을 False로 설정되어 있는지 확인합니다.
    3. 파일을 저장하고 종료합니다.

  5. 선택사항: Ingress Operator가 사용자 대신 DNS 레코드를 생성하지 못하도록 하려면 <installation_directory>/manifests/cluster-dns-02-config.yml DNS 구성 파일에서 privateZonepublicZone 섹션을 제거합니다. 

    apiVersion: config.openshift.io/v1
kind: DNS
metadata:
  creationTimestamp: null
  name: cluster
spec:
  baseDomain: example.openshift.com
  privateZone: 1
    id: mycluster-100419-private-zone
  publicZone: 2
    id: example.openshift.com
status: {}
    1 2
    이 섹션을 완전히 제거합니다.

    제거한 경우 나중에 인그레스 DNS 레코드를 수동으로 추가해야 합니다.

  6. Ignition 구성 파일을 생성하려면 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행합니다. 

    $ ./openshift-install create ignition-configs --dir <installation_directory> 1
    1
    <installation_directory>는 동일한 설치 디렉터리를 지정합니다.

    설치 디렉터리의 부트스트랩, 컨트롤 플레인 및 컴퓨팅 노드에 대한 Ignition 구성 파일이 생성됩니다. kubeadmin-passwordkubeconfig 파일은 ./<installation_directory>/auth 디렉터리에 생성됩니다. 

    .
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign

5.13.8. 인프라 이름 추출

Ignition 구성 파일에는 AWS(Amazon Web Services)에서 클러스터를 고유하게 식별하는 데 사용할 수 있는 고유한 클러스터 ID가 포함되어 있습니다. 인프라 이름은 OpenShift Container Platform 설치 중에 적절한 AWS 리소스를 찾는 데도 사용됩니다. 제공된 CloudFormation 템플릿에 이 인프라 이름에 대한 참조가 포함되어 있으므로 이름을 추출해야 합니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받으셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • jq CLI를 설치하셨습니다.

프로세스

  • Ignition 구성 파일 메타데이터에서 인프라 이름을 추출하여 확인하려면 다음 명령을 실행하십시오. 

    $ jq -r .infraID <installation_directory>/metadata.json 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    출력 예

    openshift-vw9j6 1

    1
    이 명령의 출력은 클러스터 이름과 임의의 문자열입니다.

5.13.9. AWS에서 VPC 생성

OpenShift Container Platform 클러스터에서 사용할 VPC(Virtual Private Cloud)를 AWS(Amazon Web Services)에서 생성해야 합니다. VPN 및 라우팅 테이블 등 요구사항에 맞게 VPC를 사용자 지정할 수 있습니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 VPC를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "VpcCidr", 1
    "ParameterValue": "10.0.0.0/16" 2
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 3
    "ParameterValue": "1" 4
  },
  {
    "ParameterKey": "SubnetBits", 5
    "ParameterValue": "12" 6
  }
]
    1
    VPC의 CIDR 블록입니다.
    2
    xxxx/16-24 형식으로 CIDR 블록을 지정합니다.
    3
    VPC를 배포할 가용성 영역의 수입니다.
    4
    13 사이의 정수를 지정합니다.
    5
    각 가용성 영역에 있는 각 서브넷의 크기입니다.
    6
    513 사이의 정수를 지정합니다. 여기서 5/27이고 13/19입니다.
  2. 이 항목의 VPC 섹션에 대한 CloudFormation 템플릿섹션에서 템플릿을 복사하여 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 VPC를 설명합니다.

  3. CloudFormation 템플릿을 시작하여 VPC를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-vpc). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f

  4. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    VpcId

    VPC의 ID입니다.

    PublicSubnetIds

    새 퍼블릭 서브넷의 ID입니다.

    PrivateSubnetIds

    새 프라이빗 서브넷의 ID입니다.

5.13.9.1. VPC용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 VPC를 배포할 수 있습니다.

예 5.42. VPC용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Condition: DoAz3
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable
  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT
  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2
  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3
  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]

추가 리소스

  • AWS CloudFormation 콘솔로 이동하여 생성하는 CloudFormation 스택에 대한 세부 정보를 볼 수 있습니다.

5.13.10. AWS에서 네트워킹 및 로드 밸런싱 구성 요소 생성

AWS(Amazon Web Services)에서 OpenShift Container Platform 클러스터가 사용할 수 있는 네트워킹 및 클래식 또는 네트워크 로드 밸런싱을 구성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 클러스터에 필요한 네트워킹 및 로드 밸런싱 구성 요소를 나타냅니다. 템플릿은 호스팅 영역 및 서브넷 태그도 생성합니다.

단일 VPC(Virtual Private Cloud)에서 템플릿을 여러 번 실행할 수 있습니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.

프로세스

  1. 클러스터의 install-config.yaml 파일에서 지정한 Route 53 기본 도메인의 호스팅 영역 ID를 가져옵니다. 다음 명령을 실행하여 호스팅 영역에 대한 세부 정보를 얻을 수 있습니다. 

    $ aws route53 list-hosted-zones-by-name --dns-name <route53_domain> 1
    1
    <route53_domain>은 클러스터의 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인을 지정합니다.

    출력 예

    mycluster.example.com.	False	100
HOSTEDZONES	65F8F38E-2268-B835-E15C-AB55336FCBFA	/hostedzone/Z21IXYZABCZ2A4	mycluster.example.com.	10

    예제 출력에서 호스팅 영역 ID는 Z21IXYZABCZ2A4입니다.

  2. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "ClusterName", 1
    "ParameterValue": "mycluster" 2
  },
  {
    "ParameterKey": "InfrastructureName", 3
    "ParameterValue": "mycluster-<random_string>" 4
  },
  {
    "ParameterKey": "HostedZoneId", 5
    "ParameterValue": "<random_string>" 6
  },
  {
    "ParameterKey": "HostedZoneName", 7
    "ParameterValue": "example.com" 8
  },
  {
    "ParameterKey": "PublicSubnets", 9
    "ParameterValue": "subnet-<random_string>" 10
  },
  {
    "ParameterKey": "PrivateSubnets", 11
    "ParameterValue": "subnet-<random_string>" 12
  },
  {
    "ParameterKey": "VpcId", 13
    "ParameterValue": "vpc-<random_string>" 14
  }
]
    1
    호스트 이름에 사용할 짧은 대표 클러스터 이름입니다.
    2
    클러스터의 install-config.yaml 파일을 생성할 때 사용한 클러스터 이름을 지정합니다.
    3
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    4
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    5
    대상을 등록할 Route 53 공용 영역 ID입니다.
    6
    Route 53 공용 영역 ID를 Z21IXYZABCZ2A4와 유사한 형식으로 지정합니다. 이 값은 AWS 콘솔에서 가져올 수 있습니다.
    7
    대상을 등록할 Route 53 영역입니다.
    8
    클러스터의 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인을 지정합니다. AWS 콘솔에 표시되는 후행 마침표(.)는 포함하지 마십시오.
    9
    VPC용으로 만든 퍼블릭 서브넷입니다.
    10
    VPC에 대한 CloudFormation 템플릿의 출력에서 PublicSubnetIds 값을 지정합니다.
    11
    VPC용으로 만든 프라이빗 서브넷입니다.
    12
    VPC에 대한 CloudFormation 템플릿의 출력에서 PrivateSubnetIds 값을 지정합니다.
    13
    클러스터용으로 만든 VPC입니다.
    14
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.

  3. 이 항목의 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 네트워킹 및 로드 밸런싱 개체를 설명합니다.

    중요

    클러스터를 AWS 정부 또는 시크릿 리전에 배포하는 경우 CNAME 레코드를 사용하여 CloudFormation 템플릿에서 InternalApiServerRecord를 업데이트해야 합니다. ALIAS 유형의 레코드는 AWS 정부 리전에서 지원되지 않습니다.

  4. CloudFormation 템플릿을 시작하여 네트워킹 및 로드 밸런싱 구성 요소를 제공하는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-dns). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::Role 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-dns/cd3e5de0-2fd4-11eb-5cf0-12be5c33a183

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    PrivateHostedZoneId

    프라이빗 DNS의 호스팅 영역 ID입니다.

    ExternalApiLoadBalancerName

    외부 API 로드 밸런서의 전체 이름입니다.

    InternalApiLoadBalancerName

    내부 API 로드 밸런서의 전체 이름입니다.

    ApiServerDnsName

    API 서버의 전체 호스트 이름입니다.

    RegisterNlbIpTargetsLambda

    이러한 로드 밸런서의 IP 대상 등록/등록 취소에 유용한 Lambda ARN입니다.

    ExternalApiTargetGroupArn

    외부 API 대상 그룹의 ARN입니다.

    InternalApiTargetGroupArn

    내부 API 대상 그룹의 ARN입니다.

    InternalServiceTargetGroupArn

    내부 서비스 대상 그룹의 ARN입니다.

5.13.10.1. 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 네트워킹 개체 및 로드 밸런서를 배포할 수 있습니다.

예 5.43. 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Network Elements (Route53 & LBs)

Parameters:
  ClusterName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Cluster name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, representative cluster name to use for host names and other identifying names.
    Type: String
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  HostedZoneId:
    Description: The Route53 public zone ID to register the targets with, such as Z21IXYZABCZ2A4.
    Type: String
  HostedZoneName:
    Description: The Route53 zone to register the targets with, such as example.com. Omit the trailing period.
    Type: String
    Default: "example.com"
  PublicSubnets:
    Description: The internet-facing subnets.
    Type: List<AWS::EC2::Subnet::Id>
  PrivateSubnets:
    Description: The internal subnets.
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - ClusterName
      - InfrastructureName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - PublicSubnets
      - PrivateSubnets
    - Label:
        default: "DNS"
      Parameters:
      - HostedZoneName
      - HostedZoneId
    ParameterLabels:
      ClusterName:
        default: "Cluster Name"
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      PublicSubnets:
        default: "Public Subnets"
      PrivateSubnets:
        default: "Private Subnets"
      HostedZoneName:
        default: "Public Hosted Zone Name"
      HostedZoneId:
        default: "Public Hosted Zone ID"

Resources:
  ExtApiElb:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Join ["-", [!Ref InfrastructureName, "ext"]]
      IpAddressType: ipv4
      Subnets: !Ref PublicSubnets
      Type: network

  IntApiElb:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Join ["-", [!Ref InfrastructureName, "int"]]
      Scheme: internal
      IpAddressType: ipv4
      Subnets: !Ref PrivateSubnets
      Type: network

  IntDns:
    Type: "AWS::Route53::HostedZone"
    Properties:
      HostedZoneConfig:
        Comment: "Managed by CloudFormation"
      Name: !Join [".", [!Ref ClusterName, !Ref HostedZoneName]]
      HostedZoneTags:
      - Key: Name
        Value: !Join ["-", [!Ref InfrastructureName, "int"]]
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "owned"
      VPCs:
      - VPCId: !Ref VpcId
        VPCRegion: !Ref "AWS::Region"

  ExternalApiServerRecord:
    Type: AWS::Route53::RecordSetGroup
    Properties:
      Comment: Alias record for the API server
      HostedZoneId: !Ref HostedZoneId
      RecordSets:
      - Name:
          !Join [
            ".",
            ["api", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt ExtApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt ExtApiElb.DNSName

  InternalApiServerRecord:
    Type: AWS::Route53::RecordSetGroup
    Properties:
      Comment: Alias record for the API server
      HostedZoneId: !Ref IntDns
      RecordSets:
      - Name:
          !Join [
            ".",
            ["api", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt IntApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt IntApiElb.DNSName
      - Name:
          !Join [
            ".",
            ["api-int", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt IntApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt IntApiElb.DNSName

  ExternalApiListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: ExternalApiTargetGroup
      LoadBalancerArn:
        Ref: ExtApiElb
      Port: 6443
      Protocol: TCP

  ExternalApiTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/readyz"
      HealthCheckPort: 6443
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 6443
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  InternalApiListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: InternalApiTargetGroup
      LoadBalancerArn:
        Ref: IntApiElb
      Port: 6443
      Protocol: TCP

  InternalApiTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/readyz"
      HealthCheckPort: 6443
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 6443
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  InternalServiceInternalListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: InternalServiceTargetGroup
      LoadBalancerArn:
        Ref: IntApiElb
      Port: 22623
      Protocol: TCP

  InternalServiceTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/healthz"
      HealthCheckPort: 22623
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 22623
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  RegisterTargetLambdaIamRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Join ["-", [!Ref InfrastructureName, "nlb", "lambda", "role"]]
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "lambda.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "master", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref InternalApiTargetGroup
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref InternalServiceTargetGroup
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref ExternalApiTargetGroup

  RegisterNlbIpTargets:
    Type: "AWS::Lambda::Function"
    Properties:
      Handler: "index.handler"
      Role:
        Fn::GetAtt:
        - "RegisterTargetLambdaIamRole"
        - "Arn"
      Code:
        ZipFile: |
          import json
          import boto3
          import cfnresponse
          def handler(event, context):
            elb = boto3.client('elbv2')
            if event['RequestType'] == 'Delete':
              elb.deregister_targets(TargetGroupArn=event['ResourceProperties']['TargetArn'],Targets=[{'Id': event['ResourceProperties']['TargetIp']}])
            elif event['RequestType'] == 'Create':
              elb.register_targets(TargetGroupArn=event['ResourceProperties']['TargetArn'],Targets=[{'Id': event['ResourceProperties']['TargetIp']}])
            responseData = {}
            cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, event['ResourceProperties']['TargetArn']+event['ResourceProperties']['TargetIp'])
      Runtime: "python3.7"
      Timeout: 120

  RegisterSubnetTagsLambdaIamRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Join ["-", [!Ref InfrastructureName, "subnet-tags-lambda-role"]]
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "lambda.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "subnet-tagging-policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
              [
                "ec2:DeleteTags",
                "ec2:CreateTags"
              ]
            Resource: "arn:aws:ec2:*:*:subnet/*"
          - Effect: "Allow"
            Action:
              [
                "ec2:DescribeSubnets",
                "ec2:DescribeTags"
              ]
            Resource: "*"

  RegisterSubnetTags:
    Type: "AWS::Lambda::Function"
    Properties:
      Handler: "index.handler"
      Role:
        Fn::GetAtt:
        - "RegisterSubnetTagsLambdaIamRole"
        - "Arn"
      Code:
        ZipFile: |
          import json
          import boto3
          import cfnresponse
          def handler(event, context):
            ec2_client = boto3.client('ec2')
            if event['RequestType'] == 'Delete':
              for subnet_id in event['ResourceProperties']['Subnets']:
                ec2_client.delete_tags(Resources=[subnet_id], Tags=[{'Key': 'kubernetes.io/cluster/' + event['ResourceProperties']['InfrastructureName']}]);
            elif event['RequestType'] == 'Create':
              for subnet_id in event['ResourceProperties']['Subnets']:
                ec2_client.create_tags(Resources=[subnet_id], Tags=[{'Key': 'kubernetes.io/cluster/' + event['ResourceProperties']['InfrastructureName'], 'Value': 'shared'}]);
            responseData = {}
            cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, event['ResourceProperties']['InfrastructureName']+event['ResourceProperties']['Subnets'][0])
      Runtime: "python3.7"
      Timeout: 120

  RegisterPublicSubnetTags:
    Type: Custom::SubnetRegister
    Properties:
      ServiceToken: !GetAtt RegisterSubnetTags.Arn
      InfrastructureName: !Ref InfrastructureName
      Subnets: !Ref PublicSubnets

  RegisterPrivateSubnetTags:
    Type: Custom::SubnetRegister
    Properties:
      ServiceToken: !GetAtt RegisterSubnetTags.Arn
      InfrastructureName: !Ref InfrastructureName
      Subnets: !Ref PrivateSubnets

Outputs:
  PrivateHostedZoneId:
    Description: Hosted zone ID for the private DNS, which is required for private records.
    Value: !Ref IntDns
  ExternalApiLoadBalancerName:
    Description: Full name of the external API load balancer.
    Value: !GetAtt ExtApiElb.LoadBalancerFullName
  InternalApiLoadBalancerName:
    Description: Full name of the internal API load balancer.
    Value: !GetAtt IntApiElb.LoadBalancerFullName
  ApiServerDnsName:
    Description: Full hostname of the API server, which is required for the Ignition config files.
    Value: !Join [".", ["api-int", !Ref ClusterName, !Ref HostedZoneName]]
  RegisterNlbIpTargetsLambda:
    Description: Lambda ARN useful to help register or deregister IP targets for these load balancers.
    Value: !GetAtt RegisterNlbIpTargets.Arn
  ExternalApiTargetGroupArn:
    Description: ARN of the external API target group.
    Value: !Ref ExternalApiTargetGroup
  InternalApiTargetGroupArn:
    Description: ARN of the internal API target group.
    Value: !Ref InternalApiTargetGroup
  InternalServiceTargetGroupArn:
    Description: ARN of the internal service target group.
    Value: !Ref InternalServiceTargetGroup
중요

클러스터를 AWS 정부 또는 시크릿 리전에 배포하는 경우 CNAME 레코드를 사용하도록 InternalApiServerRecord를 업데이트해야 합니다. ALIAS 유형의 레코드는 AWS 정부 리전에서 지원되지 않습니다. 예를 들면 다음과 같습니다. 

Type: CNAME
TTL: 10
ResourceRecords:
- !GetAtt IntApiElb.DNSName

추가 리소스

5.13.11. AWS에서 보안 그룹 및 역할 생성

OpenShift Container Platform 클러스터에서 사용할 보안 그룹 및 역할을 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 클러스터에 필요한 보안 그룹 및 역할을 나타냅니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "VpcCidr", 3
    "ParameterValue": "10.0.0.0/16" 4
  },
  {
    "ParameterKey": "PrivateSubnets", 5
    "ParameterValue": "subnet-<random_string>" 6
  },
  {
    "ParameterKey": "VpcId", 7
    "ParameterValue": "vpc-<random_string>" 8
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    VPC의 CIDR 블록입니다.
    4
    xxxx/16-24 양식으로 정의하고 VPC에 사용한 CIDR 블록 매개변수를 지정합니다.
    5
    VPC용으로 만든 프라이빗 서브넷입니다.
    6
    VPC에 대한 CloudFormation 템플릿의 출력에서 PrivateSubnetIds 값을 지정합니다.
    7
    클러스터용으로 만든 VPC입니다.
    8
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.
  2. 이 항목의 보안 개체에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 보안 그룹 및 역할을 설명합니다.

  3. CloudFormation 템플릿을 시작하여 보안 그룹 및 역할을 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-sec). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::RoleAWS::IAM::InstanceProfile 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-sec/03bd4210-2ed7-11eb-6d7a-13fc0b61e9db

  4. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    MasterSecurityGroupId

    마스터 보안 그룹 ID

    WorkerSecurityGroupId

    작업자 보안 그룹 ID

    MasterInstanceProfile

    마스터 IAM 인스턴스 프로필

    WorkerInstanceProfile

    작업자 IAM 인스턴스 프로필

5.13.11.1. 보안 개체의 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 보안 개체를 배포할 수 있습니다.

예 5.44. 보안 개체의 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Security Elements (Security Groups & IAM)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id
  PrivateSubnets:
    Description: The internal subnets.
    Type: List<AWS::EC2::Subnet::Id>

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - VpcCidr
      - PrivateSubnets
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      VpcCidr:
        default: "VPC CIDR"
      PrivateSubnets:
        default: "Private Subnets"

Resources:
  MasterSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Master Security Group
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: 0
        ToPort: 0
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        ToPort: 6443
        FromPort: 6443
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22623
        ToPort: 22623
        CidrIp: !Ref VpcCidr
      VpcId: !Ref VpcId

  WorkerSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Worker Security Group
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: 0
        ToPort: 0
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref VpcCidr
      VpcId: !Ref VpcId

  MasterIngressEtcd:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: etcd
      FromPort: 2379
      ToPort: 2380
      IpProtocol: tcp

  MasterIngressVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  MasterIngressWorkerVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  MasterIngressGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  MasterIngressWorkerGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  MasterIngressIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  MasterIngressIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  MasterIngressIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  MasterIngressWorkerIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  MasterIngressWorkerIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  MasterIngressWorkerIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  MasterIngressInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  MasterIngressWorkerInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  MasterIngressInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  MasterIngressWorkerInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  MasterIngressKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes kubelet, scheduler and controller manager
      FromPort: 10250
      ToPort: 10259
      IpProtocol: tcp

  MasterIngressWorkerKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes kubelet, scheduler and controller manager
      FromPort: 10250
      ToPort: 10259
      IpProtocol: tcp

  MasterIngressIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  MasterIngressWorkerIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  MasterIngressIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  MasterIngressWorkerIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  WorkerIngressVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  WorkerIngressMasterVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  WorkerIngressGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  WorkerIngressMasterGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  WorkerIngressIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  WorkerIngressIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  WorkerIngressIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  WorkerIngressMasterIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  WorkerIngressMasterIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  WorkerIngressMasterIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  WorkerIngressInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  WorkerIngressMasterInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  WorkerIngressInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  WorkerIngressMasterInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  WorkerIngressKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes secure kubelet port
      FromPort: 10250
      ToPort: 10250
      IpProtocol: tcp

  WorkerIngressWorkerKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal Kubernetes communication
      FromPort: 10250
      ToPort: 10250
      IpProtocol: tcp

  WorkerIngressIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  WorkerIngressMasterIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  WorkerIngressIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  WorkerIngressMasterIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  MasterIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "master", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
            - "ec2:AttachVolume"
            - "ec2:AuthorizeSecurityGroupIngress"
            - "ec2:CreateSecurityGroup"
            - "ec2:CreateTags"
            - "ec2:CreateVolume"
            - "ec2:DeleteSecurityGroup"
            - "ec2:DeleteVolume"
            - "ec2:Describe*"
            - "ec2:DetachVolume"
            - "ec2:ModifyInstanceAttribute"
            - "ec2:ModifyVolume"
            - "ec2:RevokeSecurityGroupIngress"
            - "elasticloadbalancing:AddTags"
            - "elasticloadbalancing:AttachLoadBalancerToSubnets"
            - "elasticloadbalancing:ApplySecurityGroupsToLoadBalancer"
            - "elasticloadbalancing:CreateListener"
            - "elasticloadbalancing:CreateLoadBalancer"
            - "elasticloadbalancing:CreateLoadBalancerPolicy"
            - "elasticloadbalancing:CreateLoadBalancerListeners"
            - "elasticloadbalancing:CreateTargetGroup"
            - "elasticloadbalancing:ConfigureHealthCheck"
            - "elasticloadbalancing:DeleteListener"
            - "elasticloadbalancing:DeleteLoadBalancer"
            - "elasticloadbalancing:DeleteLoadBalancerListeners"
            - "elasticloadbalancing:DeleteTargetGroup"
            - "elasticloadbalancing:DeregisterInstancesFromLoadBalancer"
            - "elasticloadbalancing:DeregisterTargets"
            - "elasticloadbalancing:Describe*"
            - "elasticloadbalancing:DetachLoadBalancerFromSubnets"
            - "elasticloadbalancing:ModifyListener"
            - "elasticloadbalancing:ModifyLoadBalancerAttributes"
            - "elasticloadbalancing:ModifyTargetGroup"
            - "elasticloadbalancing:ModifyTargetGroupAttributes"
            - "elasticloadbalancing:RegisterInstancesWithLoadBalancer"
            - "elasticloadbalancing:RegisterTargets"
            - "elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer"
            - "elasticloadbalancing:SetLoadBalancerPoliciesOfListener"
            - "kms:DescribeKey"
            Resource: "*"

  MasterInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Roles:
      - Ref: "MasterIamRole"

  WorkerIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "worker", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
            - "ec2:DescribeInstances"
            - "ec2:DescribeRegions"
            Resource: "*"

  WorkerInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Roles:
      - Ref: "WorkerIamRole"

Outputs:
  MasterSecurityGroupId:
    Description: Master Security Group ID
    Value: !GetAtt MasterSecurityGroup.GroupId

  WorkerSecurityGroupId:
    Description: Worker Security Group ID
    Value: !GetAtt WorkerSecurityGroup.GroupId

  MasterInstanceProfile:
    Description: Master IAM Instance Profile
    Value: !Ref MasterInstanceProfile

  WorkerInstanceProfile:
    Description: Worker IAM Instance Profile
    Value: !Ref WorkerInstanceProfile

추가 리소스

  • AWS CloudFormation 콘솔로 이동하여 생성하는 CloudFormation 스택에 대한 세부 정보를 볼 수 있습니다.

5.13.12. 스트림 메타데이터를 사용하여 RHCOS AMI에 액세스

OpenShift Container Platform에서 스트림 메타데이터는 JSON 형식으로 RHCOS에 대한 표준화된 메타데이터를 제공하고 클러스터에 메타데이터를 삽입합니다. 스트림 메타데이터는 여러 아키텍처를 지원하는 안정적인 형식이며 자동화 유지하기 위해 자체 문서화하도록 설계되었습니다.

openshift-installcoreos print-stream-json 하위 명령을 사용하여 스트림 메타데이터 형식의 부트 이미지에 대한 정보에 액세스할 수 있습니다. 이 명령은 스트림 메타데이터를 스크립트가 가능하고 컴퓨터가 읽을 수 있는 형식으로 인쇄하는 방법을 제공합니다.

사용자 프로비저닝 설치의 경우 openshift-install 바이너리에는 AWS AMI와 같은 OpenShift Container Platform과 함께 사용하기 위해 테스트된 RHCOS 부팅 이미지에 대한 참조가 포함되어 있습니다.

절차

스트림 메타데이터를 구문 분석하려면 다음 방법 중 하나를 사용합니다.

  • Go 프로그램에서는 https://github.com/coreos/stream-metadata-go에서의 공식 stream-metadata-go 라이브러리를 사용합니다. 라이브러리에서 예제 코드를 볼 수도 있습니다.
  • Python 또는 Ruby와 같은 다른 프로그래밍 언어에서 선호하는 프로그래밍 언어의 JSON 라이브러리를 사용합니다.

  • jq와 같은 JSON 데이터를 처리하는 명령줄 유틸리티에서 다음을 수행합니다.

    • AWS 리전의 현재 x86_64 또는 arm64 AMI(예: us-west-1) 를 출력합니다. 

      $ openshift-install coreos print-stream-json | jq -r '.architectures.x86_64.images.aws.regions["us-west-1"].image'

      출력 예

      ami-0d3e625f84626bbda

      이 명령의 출력은 지정된 아키텍처 및 us-west-1 리전의 AWS AMI ID입니다. AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.

5.13.13. AWS 인프라용 RHCOS AMI

Red Hat은 OpenShift Container Platform 노드에 수동으로 지정할 수 있는 다양한 AWS 리전 및 인스턴스 아키텍처에 유효한 RHCOS(Red Hat Enterprise Linux CoreOS) AMI를 제공합니다.

참고

사용자 고유의 AMI를 가져 와서 RHCOS AMI가 게시되지 않은 리전에 설치할 수도 있습니다.

표 5.40. x86_64 RHCOS AMIs
AWS 영역AWS AMI

af-south-1

ami-0f3804f5a2f913dcc

ap-east-1

ami-0de1febb30a83da66

ap-northeast-1

ami-0183df96a3e002687

ap-northeast-2

ami-06b8798cd60242798

ap-northeast-3

ami-00b16b33aa0951016

ap-south-1

ami-007243f8ff78e8294

ap-southeast-1

ami-079dfdacb5ab5a0d1

ap-southeast-2

ami-03882e39cb7785c32

ca-central-1

ami-05cba1f80cc8b1dbe

eu-central-1

ami-073c775bbe9cd434e

eu-north-1

ami-0763e6e75b681acc5

eu-south-1

ami-00d023f19775fb64b

eu-west-1

ami-0033e3f2331a530c4

eu-west-2

ami-00d8a741ebe74f0c4

eu-west-3

ami-09b04e7f60e3374a7

me-south-1

ami-0f8039330b6e54010

sa-east-1

ami-01af22f821b470ad1

us-east-1

ami-0c72f473496a7b1c2

us-east-2

ami-09e637fc5885c13cc

us-gov-east-1

ami-0c3b11bcccf6ec63c

us-gov-west-1

ami-084d95ff443d8bf99

us-west-1

ami-0fa0f6fce7e63dd26

us-west-2

ami-084fb1316cd1ed4cc

표 5.41. arm64 RHCOS AMI
AWS 영역AWS AMI

ap-east

ami-0f8195c36da4edbd7

ap-northeast-1

ami-000a86fa0a0b76144

ap-northeast-2

ami-0f772f5dc2347a954

ap-south-1

ami-02ab23e25b8e8af97

ap-southeast-1

ami-085ae5a7dcbfb056d

ap-southeast-2

ami-085ff9f4e8d4d66e0

ca-central-1

ami-0050cdf32f76ba82c

eu-central-1

ami-092527fcf7c21fe42

eu-north-1

ami-07d673450675ea033

eu-south-1

ami-0f165ac29cc9d27bf

eu-west-1

ami-0e0cd7d2eb949538d

eu-west-2

ami-0790ba70a444fe74d

eu-west-3

ami-0d16af5bd22cc5227

me-south-1

ami-05e1ba911ce321052

sa-east-1

ami-04b124534c7f05cd2

us-east-1

ami-09bbec91849ca85bc

us-east-2

ami-048ac599f7315a0bc

us-west-1

ami-0af1d3b7fa5be2131

us-west-2

ami-0bd3bf54ee678e2a6

5.13.13.1. 게시된 RHCOS AMI가 없는 AWS 리전

Red Hat Enterprise Linux CoreOS (RHCOS) Amazon Machine Image (AMI) 또는 AWS 소프트웨어 개발 키트 (SDK)에 대한 기본 지원없이 Amazon Web Services (AWS) 리전에 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 게시된 AMI를 AWS 리전에서 사용할 수 없는 경우 클러스터를 설치하기 전에 사용자 지정 AMI를 업로드할 수 있습니다.

AWS SDK에서 지원하지 않는 리전에 배포하고 사용자 지정 AMI를 지정하지 않은 경우 설치 프로그램은 us-east-1 AMI를 사용자 계정에 자동으로 복사합니다. 그 다음 설치 프로그램은 기본 또는 사용자 지정 KMS (Key Management Service) 키를 사용하여 암호화 된 EBS 볼륨에서 컨트롤 플레인 시스템을 생성합니다. 이를 통해 AMI는 게 된 RHCOS AMI와 동일한 프로세스 워크 플로를 실행할 수 있습니다.

RHCOS AMI에 대한 기본 지원이 없는 리전은 게시되지 않기 때문에 클러스터 생성 중에 터미널에서 선택할 수 없습니다. 그러나 install-config.yaml 파일에서 사용자 지정 AMI를 구성하여 이 리전에 설치할 수 있습니다.

5.13.13.2. AWS에서 사용자 지정 RHCOS AMI 업로드

사용자 지정 Amazon Web Services (AWS) 리전에 배포하는 경우 해당 리전에 속하는 사용자 지정 Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지 (AMI)를 업로드해야 합니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • 필요한 IAM 서비스 역할로 Amazon S3 버킷을 생성했습니다.
  • RHCOS VMDK 파일을 Amazon S3에 업로드했습니다. RHCOS VMDK 파일은 설치하는 OpenShift Container Platform 버전과 같거나 그 이하의 버전이어야 합니다.
  • AWS CLI를 다운로드하여 컴퓨터에 설치했습니다. Install the AWS CLI Using the Bundled Installer를 참조하십시오.

프로세스

  1. AWS 프로필을 환경 변수로 내보냅니다. 

    $ export AWS_PROFILE=<aws_profile> 1

  2. 사용자 지정 AMI와 연결할 리전을 환경 변수로 내보냅니다. 

    $ export AWS_DEFAULT_REGION=<aws_region> 1

  3. Amazon S3에 업로드한 RHCOS 버전을 환경 변수로 내보냅니다. 

    $ export RHCOS_VERSION=<version> 1
    1 1 1
    4.10.0 과 같은 RHCOS VMDK 버전.

  4. Amazon S3 버킷 이름을 환경 변수로 내보냅니다. 

    $ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>

  5. container.json 파일을 만들고 RHCOS VMDK 파일을 정의합니다. 

    $ cat <<EOF > containers.json
{
   "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
   "Format": "vmdk",
   "UserBucket": {
      "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
      "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
   }
}
EOF

  6. RHCOS 디스크를 Amazon EBS 스냅샷으로 가져옵니다. 

    $ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
     --description "<description>" \ 1
     --disk-container "file://<file_path>/containers.json" 2
    1
    가져온 RHCOS 디스크에 대한 설명 (예: rhcos-$ {RHCOS_VERSION} -x86_64-aws.x86_64)입니다.
    2
    RHCOS 디스크를 설명하는 JSON 파일의 파일 경로입니다. JSON 파일에는 Amazon S3 버킷 이름과 키가 포함되어 있어야합니다.

  7. 이미지 가져 오기 상태를 확인합니다. 

    $ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

    출력 예

    {
    "ImportSnapshotTasks": [
        {
            "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
            "ImportTaskId": "import-snap-fh6i8uil",
            "SnapshotTaskDetail": {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "DiskImageSize": 819056640.0,
                "Format": "VMDK",
                "SnapshotId": "snap-06331325870076318",
                "Status": "completed",
                "UserBucket": {
                    "S3Bucket": "external-images",
                    "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                }
            }
        }
    ]
}

    SnapshotId를 복사하여 이미지를 등록합니다.

  8. RHCOS 스냅 샷에서 사용자 지정 RHCOS AMI를 생성합니다. 

    $ aws ec2 register-image \
   --region ${AWS_DEFAULT_REGION} \
   --architecture x86_64 \ 1
   --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
   --ena-support \
   --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
   --virtualization-type hvm \
   --root-device-name '/dev/xvda' \
   --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4
    1
    x86_64, s390x 또는 ppc64le과 같은 RHCOS VMDK 아키텍처 유형입니다.
    2
    가져온 스냅샷의 Description입니다.
    3
    RHCOS AMI의 이름입니다.
    4
    가져온 스냅샷의 SnapshotID입니다.

이러한 API에 대한 자세한 내용은 importing snapshotscreating EBS-backed AMIs에서 참조하십시오.

5.13.14. AWS에서 부트스트랩 노드 생성

OpenShift Container Platform 클러스터 초기화 과정에서 사용할 부트스트랩 노드를 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 설치에 필요한 부트스트랩 노드를 나타냅니다.

참고

부트스트랩 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.

프로세스

  1. bootstrap.ign Ignition 구성 파일을 클러스터에 제공할 위치를 지정합니다. 이 파일은 설치 디렉터리에 있습니다. 한 가지 방법은 클러스터의 리전에 S3 버킷을 생성하고 여기에 Ignition 구성 파일을 업로드하는 것입니다.

    중요

    제공된 CloudFormation 템플릿은 클러스터의 Ignition 구성 파일이 S3 버킷에서 제공되는 것으로 가정합니다. 다른 위치에서 파일을 제공하려면 템플릿을 수정해야 합니다.

    중요

    AWS SDK와 다른 엔드 포인트가 있는 리전에 배포하거나 자체 사용자 지정 엔드 포인트를 제공하는 경우 s3:// 스키마 대신 사전에 서명된 URL을 S3 버킷에 사용해야 합니다.

    참고

    부트스트랩 Ignition 구성 파일에는 X.509 키와 같은 시크릿이 포함되어 있습니다. 다음 단계는 S3 버킷에 대한 기본 보안을 제공합니다. 추가 보안을 제공하기 위해 OpenShift IAM 사용자와 같은 특정 사용자만 버킷에 포함된 개체에 액세스할 수 있도록 S3 버킷 정책을 활성화할 수 있습니다. S3과 관계없이 부트스트랩 시스템이 도달할 수 있는 모든 주소에서 부트스트랩 Ignition 구성 파일을 제공할 수 있습니다.

    1. 버킷을 만듭니다. 

      $ aws s3 mb s3://<cluster-name>-infra 1
      1
      <cluster-name>-infra는 버킷 이름입니다. install-config.yaml 파일을 생성할 때 <cluster-name>을 클러스터에 지정된 이름으로 교체합니다.

    2. bootstrap.ign Ignition 구성 파일을 버킷에 업로드합니다. 

      $ aws s3 cp <installation_directory>/bootstrap.ign s3://<cluster-name>-infra/bootstrap.ign 1
      1
      <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    3. 파일이 업로드되었는지 확인합니다. 

      $ aws s3 ls s3://<cluster-name>-infra/

      출력 예

      2019-04-03 16:15:16     314878 bootstrap.ign

  2. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "AllowedBootstrapSshCidr", 5
    "ParameterValue": "0.0.0.0/0" 6
  },
  {
    "ParameterKey": "PublicSubnet", 7
    "ParameterValue": "subnet-<random_string>" 8
  },
  {
    "ParameterKey": "MasterSecurityGroupId", 9
    "ParameterValue": "sg-<random_string>" 10
  },
  {
    "ParameterKey": "VpcId", 11
    "ParameterValue": "vpc-<random_string>" 12
  },
  {
    "ParameterKey": "BootstrapIgnitionLocation", 13
    "ParameterValue": "s3://<bucket_name>/bootstrap.ign" 14
  },
  {
    "ParameterKey": "AutoRegisterELB", 15
    "ParameterValue": "yes" 16
  },
  {
    "ParameterKey": "RegisterNlbIpTargetsLambdaArn", 17
    "ParameterValue": "arn:aws:lambda:<region>:<account_number>:function:<dns_stack_name>-RegisterNlbIpTargets-<random_string>" 18
  },
  {
    "ParameterKey": "ExternalApiTargetGroupArn", 19
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Exter-<random_string>" 20
  },
  {
    "ParameterKey": "InternalApiTargetGroupArn", 21
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 22
  },
  {
    "ParameterKey": "InternalServiceTargetGroupArn", 23
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 24
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    부트스트랩 노드에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    부트스트랩 노드에 대한 SSH 액세스를 허용하는 CIDR 블록입니다.
    6
    xxxx/16-24 형식으로 CIDR 블록을 지정합니다.
    7
    부트스트랩 노드를 시작하기 위해 VPC와 연결되는 퍼블릭 서브넷입니다.
    8
    VPC에 대한 CloudFormation 템플릿의 출력에서 PublicSubnetIds 값을 지정합니다.
    9
    마스터 보안 그룹 ID(임시 규칙 등록용)입니다.
    10
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterSecurityGroupId 값을 지정합니다.
    11
    VPC 생성 리소스가 속합니다.
    12
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.
    13
    부트스트랩 Ignition 구성 파일을 가져올 위치입니다.
    14
    S3 버킷과 파일 이름을 s3://<bucket_name>/bootstrap.ign 형식으로 지정합니다.
    15
    네트워크 로드 밸런서(NLB) 등록 여부입니다.
    16
    yes 또는 no를 지정합니다. yes를 지정하는 경우 Lambda ARN(Amazon Resource Name) 값을 제공해야 합니다.
    17
    NLB IP 대상 등록 lambda 그룹의 ARN입니다.
    18
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 RegisterNlbIpTargetsLambda 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    19
    외부 API 로드 밸런서 대상 그룹의 ARN입니다.
    20
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 ExternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    21
    내부 API 로드 밸런서 대상 그룹의 ARN입니다.
    22
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    23
    내부 서비스 로드 밸런서 대상 그룹의 ARN입니다.
    24
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalServiceTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
  3. 이 항목의 부트스트랩 시스템의 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 부트스트랩 시스템을 설명합니다.

  4. CloudFormation 템플릿을 시작하여 부트스트랩 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-bootstrap). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::RoleAWS::IAM::InstanceProfile 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-bootstrap/12944486-2add-11eb-9dee-12dace8e3a83

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    BootstrapInstanceId

    부트스트랩 인스턴스 ID입니다.

    BootstrapPublicIp

    부트스트랩 노드 공용 IP 주소입니다.

    BootstrapPrivateIp

    부트스트랩 노드 개인 IP 주소입니다.

5.13.14.1. 부트스트랩 시스템용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 부트스트랩 시스템을 배포할 수 있습니다.

예 5.45. 부트스트랩 시스템용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Bootstrap (EC2 Instance, Security Groups and IAM)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  AllowedBootstrapSshCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/([0-9]|1[0-9]|2[0-9]|3[0-2]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/0-32.
    Default: 0.0.0.0/0
    Description: CIDR block to allow SSH access to the bootstrap node.
    Type: String
  PublicSubnet:
    Description: The public subnet to launch the bootstrap node into.
    Type: AWS::EC2::Subnet::Id
  MasterSecurityGroupId:
    Description: The master security group ID for registering temporary rules.
    Type: AWS::EC2::SecurityGroup::Id
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id
  BootstrapIgnitionLocation:
    Default: s3://my-s3-bucket/bootstrap.ign
    Description: Ignition config file location.
    Type: String
  AutoRegisterELB:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke NLB registration, which requires a Lambda ARN parameter?
    Type: String
  RegisterNlbIpTargetsLambdaArn:
    Description: ARN for NLB IP target registration lambda.
    Type: String
  ExternalApiTargetGroupArn:
    Description: ARN for external API load balancer target group.
    Type: String
  InternalApiTargetGroupArn:
    Description: ARN for internal API load balancer target group.
    Type: String
  InternalServiceTargetGroupArn:
    Description: ARN for internal service load balancer target group.
    Type: String
  BootstrapInstanceType:
    Description: Instance type for the bootstrap EC2 instance
    Default: "i3.large"
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - RhcosAmi
      - BootstrapIgnitionLocation
      - MasterSecurityGroupId
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - AllowedBootstrapSshCidr
      - PublicSubnet
    - Label:
        default: "Load Balancer Automation"
      Parameters:
      - AutoRegisterELB
      - RegisterNlbIpTargetsLambdaArn
      - ExternalApiTargetGroupArn
      - InternalApiTargetGroupArn
      - InternalServiceTargetGroupArn
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      AllowedBootstrapSshCidr:
        default: "Allowed SSH Source"
      PublicSubnet:
        default: "Public Subnet"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      BootstrapIgnitionLocation:
        default: "Bootstrap Ignition Source"
      MasterSecurityGroupId:
        default: "Master Security Group ID"
      AutoRegisterELB:
        default: "Use Provided ELB Automation"

Conditions:
  DoRegistration: !Equals ["yes", !Ref AutoRegisterELB]

Resources:
  BootstrapIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "bootstrap", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action: "ec2:Describe*"
            Resource: "*"
          - Effect: "Allow"
            Action: "ec2:AttachVolume"
            Resource: "*"
          - Effect: "Allow"
            Action: "ec2:DetachVolume"
            Resource: "*"
          - Effect: "Allow"
            Action: "s3:GetObject"
            Resource: "*"

  BootstrapInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Path: "/"
      Roles:
      - Ref: "BootstrapIamRole"

  BootstrapSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Bootstrap Security Group
      SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref AllowedBootstrapSshCidr
      - IpProtocol: tcp
        ToPort: 19531
        FromPort: 19531
        CidrIp: 0.0.0.0/0
      VpcId: !Ref VpcId

  BootstrapInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      IamInstanceProfile: !Ref BootstrapInstanceProfile
      InstanceType: !Ref BootstrapInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "true"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "BootstrapSecurityGroup"
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "PublicSubnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"replace":{"source":"${S3Loc}"}},"version":"3.1.0"}}'
        - {
          S3Loc: !Ref BootstrapIgnitionLocation
        }

  RegisterBootstrapApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

  RegisterBootstrapInternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

  RegisterBootstrapInternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

Outputs:
  BootstrapInstanceId:
    Description: Bootstrap Instance ID.
    Value: !Ref BootstrapInstance

  BootstrapPublicIp:
    Description: The bootstrap node public IP address.
    Value: !GetAtt BootstrapInstance.PublicIp

  BootstrapPrivateIp:
    Description: The bootstrap node private IP address.
    Value: !GetAtt BootstrapInstance.PrivateIp

추가 리소스

  • AWS CloudFormation 콘솔로 이동하여 생성하는 CloudFormation 스택에 대한 세부 정보를 볼 수 있습니다.
  • AWS 영역의 RHCOS(Red Hat Enterprise Linux CoreOS) AMI에 대한 자세한 내용은 AWS 인프라의 RHCOS AMI를 참조하십시오.

5.13.15. AWS에서 컨트롤 플레인 시스템 생성

클러스터가 사용할 컨트롤 플레인 시스템을 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 컨트롤 플레인 노드를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

중요

CloudFormation 템플릿은 세 개의 컨트롤 플레인 노드를 나타내는 스택을 생성합니다.

참고

컨트롤 플레인 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "AutoRegisterDNS", 5
    "ParameterValue": "yes" 6
  },
  {
    "ParameterKey": "PrivateHostedZoneId", 7
    "ParameterValue": "<random_string>" 8
  },
  {
    "ParameterKey": "PrivateHostedZoneName", 9
    "ParameterValue": "mycluster.example.com" 10
  },
  {
    "ParameterKey": "Master0Subnet", 11
    "ParameterValue": "subnet-<random_string>" 12
  },
  {
    "ParameterKey": "Master1Subnet", 13
    "ParameterValue": "subnet-<random_string>" 14
  },
  {
    "ParameterKey": "Master2Subnet", 15
    "ParameterValue": "subnet-<random_string>" 16
  },
  {
    "ParameterKey": "MasterSecurityGroupId", 17
    "ParameterValue": "sg-<random_string>" 18
  },
  {
    "ParameterKey": "IgnitionLocation", 19
    "ParameterValue": "https://api-int.<cluster_name>.<domain_name>:22623/config/master" 20
  },
  {
    "ParameterKey": "CertificateAuthorities", 21
    "ParameterValue": "data:text/plain;charset=utf-8;base64,ABC...xYz==" 22
  },
  {
    "ParameterKey": "MasterInstanceProfileName", 23
    "ParameterValue": "<roles_stack>-MasterInstanceProfile-<random_string>" 24
  },
  {
    "ParameterKey": "MasterInstanceType", 25
    "ParameterValue": "m6i.xlarge" 26
  },
  {
    "ParameterKey": "AutoRegisterELB", 27
    "ParameterValue": "yes" 28
  },
  {
    "ParameterKey": "RegisterNlbIpTargetsLambdaArn", 29
    "ParameterValue": "arn:aws:lambda:<region>:<account_number>:function:<dns_stack_name>-RegisterNlbIpTargets-<random_string>" 30
  },
  {
    "ParameterKey": "ExternalApiTargetGroupArn", 31
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Exter-<random_string>" 32
  },
  {
    "ParameterKey": "InternalApiTargetGroupArn", 33
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 34
  },
  {
    "ParameterKey": "InternalServiceTargetGroupArn", 35
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 36
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    컨트롤 플레인 시스템에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    DNS etcd 등록을 수행할지 여부입니다.
    6
    yes 또는 no를 지정합니다. yes를 지정하는 경우 호스팅 영역 정보를 제공해야 합니다.
    7
    etcd 대상을 등록할 Route 53 프라이빗 영역 ID입니다.
    8
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateHostedZoneId 값을 지정합니다.
    9
    대상을 등록할 Route 53 영역입니다.
    10
    <cluster_name>.<domain_name>을 지정합니다. 여기서 <domain_name>은 클러스터에 대한 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인입니다. AWS 콘솔에 표시되는 후행 마침표(.)는 포함하지 마십시오.
    11 13 15
    컨트롤 플레인 시스템을 시작하기 위한 서브넷(프라이빗)입니다.
    12 14 16
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateSubnets 값의 서브넷을 지정합니다.
    17
    컨트롤 플레인 노드와 연결할 마스터 보안 그룹 ID입니다.
    18
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterSecurityGroupId 값을 지정합니다.
    19
    컨트롤 플레인 Ignition 구성 파일을 가져올 위치입니다.
    20
    생성된 Ignition 구성 파일 위치(https://api-int.<cluster_name>.<domain_name>:22623/config/master)를 지정합니다.
    21
    사용할 base64로 인코딩 인증 기관 문자열입니다.
    22
    설치 디렉터리에 있는 master.ign 파일에서 값을 지정합니다. 이 값은 data:text/plain;charset=utf-8;base64,ABC…​xYz== 형식의 긴 문자열입니다.
    23
    컨트롤 플레인 노드와 연결할 IAM 프로필입니다.
    24
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterInstanceProfile 매개변수 값을 지정합니다.
    25
    컨트롤 플레인 시스템에 사용할 AWS 인스턴스 유형입니다.
    26
    인스턴스 유형 값은 컨트롤 플레인 시스템의 최소 리소스 요구 사항에 해당합니다.
    27
    네트워크 로드 밸런서(NLB) 등록 여부입니다.
    28
    yes 또는 no를 지정합니다. yes를 지정하는 경우 Lambda ARN(Amazon Resource Name) 값을 제공해야 합니다.
    29
    NLB IP 대상 등록 lambda 그룹의 ARN입니다.
    30
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 RegisterNlbIpTargetsLambda 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    31
    외부 API 로드 밸런서 대상 그룹의 ARN입니다.
    32
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 ExternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    33
    내부 API 로드 밸런서 대상 그룹의 ARN입니다.
    34
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    35
    내부 서비스 로드 밸런서 대상 그룹의 ARN입니다.
    36
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalServiceTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
  2. 이 항목의 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 컨트롤 플레인 시스템을 설명합니다.
  3. MasterInstanceType 값으로 M5 인스턴스 유형을 지정한 경우 CloudFormation 템플릿의 MasterInstanceType.AllowedValues 매개변수에 해당 인스턴스 유형을 추가합니다.

  4. CloudFormation 템플릿을 시작하여 컨트롤 플레인 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-control-plane). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-control-plane/21c7e2b0-2ee2-11eb-c6f6-0aa34627df4b

    참고

    CloudFormation 템플릿은 세 개의 컨트롤 플레인 노드를 나타내는 스택을 생성합니다.

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>
5.13.15.1. 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 컨트롤 플레인 시스템을 배포할 수 있습니다.

예 5.46. 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Node Launch (EC2 master instances)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag nodes for the kubelet cloud provider.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  AutoRegisterDNS:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke DNS etcd registration, which requires Hosted Zone information?
    Type: String
  PrivateHostedZoneId:
    Description: The Route53 private zone ID to register the etcd targets with, such as Z21IXYZABCZ2A4.
    Type: String
  PrivateHostedZoneName:
    Description: The Route53 zone to register the targets with, such as cluster.example.com. Omit the trailing period.
    Type: String
  Master0Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  Master1Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  Master2Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  MasterSecurityGroupId:
    Description: The master security group ID to associate with master nodes.
    Type: AWS::EC2::SecurityGroup::Id
  IgnitionLocation:
    Default: https://api-int.$CLUSTER_NAME.$DOMAIN:22623/config/master
    Description: Ignition config file location.
    Type: String
  CertificateAuthorities:
    Default: data:text/plain;charset=utf-8;base64,ABC...xYz==
    Description: Base64 encoded certificate authority string to use.
    Type: String
  MasterInstanceProfileName:
    Description: IAM profile to associate with master nodes.
    Type: String
  MasterInstanceType:
    Default: m5.xlarge
    Type: String

  AutoRegisterELB:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke NLB registration, which requires a Lambda ARN parameter?
    Type: String
  RegisterNlbIpTargetsLambdaArn:
    Description: ARN for NLB IP target registration lambda. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  ExternalApiTargetGroupArn:
    Description: ARN for external API load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  InternalApiTargetGroupArn:
    Description: ARN for internal API load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  InternalServiceTargetGroupArn:
    Description: ARN for internal service load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - MasterInstanceType
      - RhcosAmi
      - IgnitionLocation
      - CertificateAuthorities
      - MasterSecurityGroupId
      - MasterInstanceProfileName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - AllowedBootstrapSshCidr
      - Master0Subnet
      - Master1Subnet
      - Master2Subnet
    - Label:
        default: "DNS"
      Parameters:
      - AutoRegisterDNS
      - PrivateHostedZoneName
      - PrivateHostedZoneId
    - Label:
        default: "Load Balancer Automation"
      Parameters:
      - AutoRegisterELB
      - RegisterNlbIpTargetsLambdaArn
      - ExternalApiTargetGroupArn
      - InternalApiTargetGroupArn
      - InternalServiceTargetGroupArn
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      Master0Subnet:
        default: "Master-0 Subnet"
      Master1Subnet:
        default: "Master-1 Subnet"
      Master2Subnet:
        default: "Master-2 Subnet"
      MasterInstanceType:
        default: "Master Instance Type"
      MasterInstanceProfileName:
        default: "Master Instance Profile Name"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      BootstrapIgnitionLocation:
        default: "Master Ignition Source"
      CertificateAuthorities:
        default: "Ignition CA String"
      MasterSecurityGroupId:
        default: "Master Security Group ID"
      AutoRegisterDNS:
        default: "Use Provided DNS Automation"
      AutoRegisterELB:
        default: "Use Provided ELB Automation"
      PrivateHostedZoneName:
        default: "Private Hosted Zone Name"
      PrivateHostedZoneId:
        default: "Private Hosted Zone ID"

Conditions:
  DoRegistration: !Equals ["yes", !Ref AutoRegisterELB]
  DoDns: !Equals ["yes", !Ref AutoRegisterDNS]

Resources:
  Master0:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master0Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster0:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  RegisterMaster0InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  RegisterMaster0InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  Master1:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master1Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster1:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  RegisterMaster1InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  RegisterMaster1InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  Master2:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master2Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster2:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  RegisterMaster2InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  RegisterMaster2InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  EtcdSrvRecords:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["_etcd-server-ssl._tcp", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-0", !Ref PrivateHostedZoneName]]],
      ]
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-1", !Ref PrivateHostedZoneName]]],
      ]
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-2", !Ref PrivateHostedZoneName]]],
      ]
      TTL: 60
      Type: SRV

  Etcd0Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-0", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master0.PrivateIp
      TTL: 60
      Type: A

  Etcd1Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-1", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master1.PrivateIp
      TTL: 60
      Type: A

  Etcd2Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-2", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master2.PrivateIp
      TTL: 60
      Type: A

Outputs:
  PrivateIPs:
    Description: The control-plane node private IP addresses.
    Value:
      !Join [
        ",",
        [!GetAtt Master0.PrivateIp, !GetAtt Master1.PrivateIp, !GetAtt Master2.PrivateIp]
      ]

추가 리소스

  • AWS CloudFormation 콘솔로 이동하여 생성하는 CloudFormation 스택에 대한 세부 정보를 볼 수 있습니다.

5.13.16. AWS에서 작업자 노드 생성

클러스터가 사용할 작업자 노드를 AWS(Amazon Web Services)에서 생성할 수 있습니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 작업자 노드를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

중요

CloudFormation 템플릿은 하나의 작업자 노드를 나타내는 스택을 생성합니다. 각 작업자 노드의 스택을 생성해야 합니다.

참고

작업자 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.
  • 컨트롤 플레인 시스템을 생성하셨습니다.

프로세스

  1. CloudFormation 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 만듭니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "Subnet", 5
    "ParameterValue": "subnet-<random_string>" 6
  },
  {
    "ParameterKey": "WorkerSecurityGroupId", 7
    "ParameterValue": "sg-<random_string>" 8
  },
  {
    "ParameterKey": "IgnitionLocation", 9
    "ParameterValue": "https://api-int.<cluster_name>.<domain_name>:22623/config/worker" 10
  },
  {
    "ParameterKey": "CertificateAuthorities", 11
    "ParameterValue": "" 12
  },
  {
    "ParameterKey": "WorkerInstanceProfileName", 13
    "ParameterValue": "" 14
  },
  {
    "ParameterKey": "WorkerInstanceType", 15
    "ParameterValue": "m6i.large" 16
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    작업자 노드에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    작업자 노드를 시작하기 위한 서브넷(프라이빗)입니다.
    6
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateSubnets 값의 서브넷을 지정합니다.
    7
    작업자 노드와 연결할 작업자 보안 그룹 ID입니다.
    8
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 WorkerSecurityGroupId 값을 지정합니다.
    9
    부트스트랩 Ignition 구성 파일을 가져올 위치입니다.
    10
    생성된 Ignition 구성 위치(https://api-int.<cluster_name>.<domain_name>:22623/config/worker)를 지정합니다.
    11
    사용할 base64로 인코딩 인증 기관 문자열입니다.
    12
    설치 디렉터리에 있는 worker.ign 파일에서 값을 지정합니다. 이 값은 data:text/plain;charset=utf-8;base64,ABC…​xYz== 형식의 긴 문자열입니다.
    13
    작업자 노드와 연결할 IAM 프로필입니다.
    14
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 WorkerInstanceProfile 매개변수 값을 지정합니다.
    15
    컴퓨팅 머신에 사용할 AWS 인스턴스 유형입니다.
    16
    인스턴스 유형 값은 컴퓨팅 시스템의 최소 리소스 요구 사항에 해당합니다.
  2. 이 항목의 작업자 시스템에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 네트워킹 개체 및 로드 밸런서를 설명합니다.
  3. WorkerInstanceType 값으로 M5 인스턴스 유형을 지정한 경우 CloudFormation 템플릿의 WorkerInstanceType.AllowedValues 매개변수에 해당 인스턴스 유형을 추가합니다.

  4. CloudFormation 템플릿을 시작하여 작업자 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml \ 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-worker-1). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-worker-1/729ee301-1c2a-11eb-348f-sd9888c65b59

    참고

    CloudFormation 템플릿은 하나의 작업자 노드를 나타내는 스택을 생성합니다.

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

  6. 클러스터에 충분한 작업자 시스템을 생성할 때까지 계속해서 작업자 스택을 생성합니다. 동일한 템플릿 및 매개변수 파일을 참조하고 다른 스택 이름을 지정하여 추가 작업자 스택을 생성할 수 있습니다.

    중요

    작업자 시스템을 두 개 이상 생성해야 하므로 이 CloudFormation 템플릿을 사용하는 스택을 두 개 이상 생성해야 합니다.

5.13.16.1. 작업자 시스템용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 작업자 시스템을 배포할 수 있습니다.

예 5.47. 작업자 시스템용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Node Launch (EC2 worker instance)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag nodes for the kubelet cloud provider.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  WorkerSecurityGroupId:
    Description: The master security group ID to associate with master nodes.
    Type: AWS::EC2::SecurityGroup::Id
  IgnitionLocation:
    Default: https://api-int.$CLUSTER_NAME.$DOMAIN:22623/config/worker
    Description: Ignition config file location.
    Type: String
  CertificateAuthorities:
    Default: data:text/plain;charset=utf-8;base64,ABC...xYz==
    Description: Base64 encoded certificate authority string to use.
    Type: String
  WorkerInstanceProfileName:
    Description: IAM profile to associate with master nodes.
    Type: String
  WorkerInstanceType:
    Default: m5.large
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - WorkerInstanceType
      - RhcosAmi
      - IgnitionLocation
      - CertificateAuthorities
      - WorkerSecurityGroupId
      - WorkerInstanceProfileName
    - Label:
        default: "Network Configuration"
      Parameters:
      - Subnet
    ParameterLabels:
      Subnet:
        default: "Subnet"
      InfrastructureName:
        default: "Infrastructure Name"
      WorkerInstanceType:
        default: "Worker Instance Type"
      WorkerInstanceProfileName:
        default: "Worker Instance Profile Name"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      IgnitionLocation:
        default: "Worker Ignition Source"
      CertificateAuthorities:
        default: "Ignition CA String"
      WorkerSecurityGroupId:
        default: "Worker Security Group ID"

Resources:
  Worker0:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref WorkerInstanceProfileName
      InstanceType: !Ref WorkerInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "WorkerSecurityGroupId"
        SubnetId: !Ref "Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

Outputs:
  PrivateIP:
    Description: The compute node private IP address.
    Value: !GetAtt Worker0.PrivateIp

추가 리소스

  • AWS CloudFormation 콘솔로 이동하여 생성하는 CloudFormation 스택에 대한 세부 정보를 볼 수 있습니다.

5.13.17. 사용자 프로비저닝 인프라로 AWS에서 부트스트랩 시퀀스 초기화

AWS(Amazon Web Services)에서 필요한 인프라를 모두 생성한 후 OpenShift Container Platform 컨트롤 플레인을 초기화하는 부트스트랩 시퀀스를 시작할 수 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.
  • 컨트롤 플레인 시스템을 생성하셨습니다.
  • 작업자 노드를 생성하셨습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 OpenShift Container Platform 컨트롤 플레인을 초기화하는 부트스트랩 프로세스를 시작합니다. 

    $ ./openshift-install wait-for bootstrap-complete --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.

    출력 예

    INFO Waiting up to 20m0s for the Kubernetes API at https://api.mycluster.example.com:6443...
INFO API v1.23.0 up
INFO Waiting up to 30m0s for bootstrapping to complete...
INFO It is now safe to remove the bootstrap resources
INFO Time elapsed: 1s

    FATAL 경고 없이 명령이 종료되면 OpenShift Container Platform 컨트롤 플레인이 초기화된 것입니다.

    참고

    컨트롤 플레인이 초기화된 후 컴퓨팅 노드를 설정하고 Operator 형태로 추가 서비스를 설치합니다.

추가 리소스

  • OpenShift Container Platform 설치가 진행되는 동안 설치, 부트스트랩 및 컨트롤 플레인 로그를 모니터링하는 데 대한 자세한 내용은 설치 진행 상황 모니터링을 참조하십시오.
  • 부트스트랩 프로세스와 관련된 문제 해결에 대한 정보는 부트스트랩 노드 진단 데이터 수집을 참조하십시오.
  • AWS EC2 콘솔을 사용하여 생성된 실행 중인 인스턴스에 대한 세부 정보를 볼 수 있습니다.

5.13.18. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

5.13.19. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.13.20. 머신의 인증서 서명 요청 승인

클러스터에 시스템을 추가하면 추가한 시스템별로 보류 중인 인증서 서명 요청(CSR)이 두 개씩 생성됩니다. 이러한 CSR이 승인되었는지 확인해야 하며, 필요한 경우 이를 직접 승인해야 합니다. 클라이언트 요청을 먼저 승인한 다음 서버 요청을 승인해야 합니다.

사전 요구 사항

  • 클러스터에 시스템을 추가했습니다.

프로세스

  1. 클러스터가 시스템을 인식하는지 확인합니다. 

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  63m  v1.23.0
master-1  Ready     master  63m  v1.23.0
master-2  Ready     master  64m  v1.23.0

    출력에 생성된 모든 시스템이 나열됩니다.

    참고

    이전 출력에는 일부 CSR이 승인될 때까지 컴퓨팅 노드(작업자 노드라고도 함)가 포함되지 않을 수 있습니다.

  2. 보류 중인 CSR을 검토하고 클러스터에 추가한 각 시스템에 대해 Pending 또는 Approved 상태의 클라이언트 및 서버 요청이 표시되는지 확인합니다. 

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
csr-8b2br   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
csr-8vnps   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
...

    예에서는 두 시스템이 클러스터에 참여하고 있습니다. 목록에는 승인된 CSR이 더 많이 나타날 수도 있습니다.

  3. CSR이 승인되지 않은 경우, 추가된 시스템에 대한 모든 보류 중인 CSR이 Pending 상태로 전환된 후 클러스터 시스템의 CSR을 승인합니다.

    참고

    CSR은 교체 주기가 자동으로 만료되므로 클러스터에 시스템을 추가한 후 1시간 이내에 CSR을 승인하십시오. 한 시간 내에 승인하지 않으면 인증서가 교체되고 각 노드에 대해 두 개 이상의 인증서가 표시됩니다. 이러한 인증서를 모두 승인해야 합니다. 클라이언트 CSR이 승인되면 Kubelet은 인증서에 대한 보조 CSR을 생성하므로 수동 승인이 필요합니다. 그러면 Kubelet에서 동일한 매개변수를 사용하여 새 인증서를 요청하는 경우 인증서 갱신 요청은 machine-approver에 의해 자동으로 승인됩니다.

    참고

    베어 메탈 및 기타 사용자 프로비저닝 인프라와 같이 머신 API를 사용하도록 활성화되지 않는 플랫폼에서 실행되는 클러스터의 경우 CSR(Kubelet service Certificate Request)을 자동으로 승인하는 방법을 구현해야 합니다. 요청이 승인되지 않으면 API 서버가 kubelet에 연결될 때 서비스 인증서가 필요하므로 oc exec, oc rsh, oc logs 명령을 성공적으로 수행할 수 없습니다. Kubelet 엔드 포인트에 연결하는 모든 작업을 수행하려면 이 인증서 승인이 필요합니다. 이 방법은 새 CSR을 감시하고 CSR이 system:node 또는 system:admin 그룹의 node-bootstrapper 서비스 계정에 의해 제출되었는지 확인하고 노드의 ID를 확인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오. 

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.

    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오. 

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
      참고

      일부 Operator는 일부 CSR이 승인될 때까지 사용할 수 없습니다.

  4. 이제 클라이언트 요청이 승인되었으므로 클러스터에 추가한 각 머신의 서버 요청을 검토해야 합니다. 

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
...

  5. 나머지 CSR이 승인되지 않고 Pending 상태인 경우 클러스터 머신의 CSR을 승인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오. 

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.

    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오. 

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve

  6. 모든 클라이언트 및 서버 CSR이 승인된 후 머신은 Ready 상태가 됩니다. 다음 명령을 실행하여 확인합니다. 

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  73m  v1.23.0
master-1  Ready     master  73m  v1.23.0
master-2  Ready     master  74m  v1.23.0
worker-0  Ready     worker  11m  v1.23.0
worker-1  Ready     worker  11m  v1.23.0

    참고

    머신이 Ready 상태로 전환하는 데 서버 CSR의 승인 후 몇 분이 걸릴 수 있습니다.

추가 정보

5.13.21. Operator의 초기 설정

컨트롤 플레인이 초기화된 후 일부 Operator를 즉시 구성하여 모두 사용 가능하도록 해야 합니다.

사전 요구 사항

  • 컨트롤 플레인이 초기화되어 있습니다.

프로세스

  1. 클러스터 구성 요소가 온라인 상태인지 확인합니다. 

    $ watch -n5 oc get clusteroperators

    출력 예

    NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.10.0    True        False         False      19m
baremetal                                  4.10.0    True        False         False      37m
cloud-credential                           4.10.0    True        False         False      40m
cluster-autoscaler                         4.10.0    True        False         False      37m
config-operator                            4.10.0    True        False         False      38m
console                                    4.10.0    True        False         False      26m
csi-snapshot-controller                    4.10.0    True        False         False      37m
dns                                        4.10.0    True        False         False      37m
etcd                                       4.10.0    True        False         False      36m
image-registry                             4.10.0    True        False         False      31m
ingress                                    4.10.0    True        False         False      30m
insights                                   4.10.0    True        False         False      31m
kube-apiserver                             4.10.0    True        False         False      26m
kube-controller-manager                    4.10.0    True        False         False      36m
kube-scheduler                             4.10.0    True        False         False      36m
kube-storage-version-migrator              4.10.0    True        False         False      37m
machine-api                                4.10.0    True        False         False      29m
machine-approver                           4.10.0    True        False         False      37m
machine-config                             4.10.0    True        False         False      36m
marketplace                                4.10.0    True        False         False      37m
monitoring                                 4.10.0    True        False         False      29m
network                                    4.10.0    True        False         False      38m
node-tuning                                4.10.0    True        False         False      37m
openshift-apiserver                        4.10.0    True        False         False      32m
openshift-controller-manager               4.10.0    True        False         False      30m
openshift-samples                          4.10.0    True        False         False      32m
operator-lifecycle-manager                 4.10.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.10.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.10.0    True        False         False      32m
service-ca                                 4.10.0    True        False         False      38m
storage                                    4.10.0    True        False         False      37m

  2. 사용할 수 없는 Operator를 구성합니다.
5.13.21.1. 이미지 레지스트리 스토리지 구성

Amazon Web Services는 기본 스토리지를 제공하므로 설치 후 Image Registry Operator를 사용할 수 있습니다. 그러나 Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할 수 없는 경우에는 레지스트리 스토리지를 수동으로 구성해야 합니다.

프로덕션 클러스터에 필요한 영구 볼륨을 구성하는 과정의 지침이 표시됩니다. 해당하는 경우, 프로덕션 환경 외 클러스터에서만 사용할 수 있는 저장 위치로서 빈 디렉터리를 구성하는 과정의 지침이 표시됩니다.

업그레이드 중에 Recreate 롤아웃 전략을 사용하여 이미지 레지스트리의 블록 스토리지 유형 사용을 허용하기 위한 추가 지침이 제공됩니다.

숨겨진 리전에 OpenShift Container Platform을 배포하도록 AWS에서 사용자 프로비저닝 인프라에 대한 레지스트리 스토리지를 구성할 수 있습니다. 자세한 내용은 AWS 사용자 프로비저닝 인프라용 레지스트리 구성을 참조하십시오.

5.13.21.1.1. 사용자 프로비저닝 인프라로 AWS용 레지스트리 스토리지 구성

설치하는 동안 클라우드 자격 증명만으로도 Amazon S3 버킷을 생성할 수 있으며 Registry Operator가 자동으로 스토리지를 구성합니다.

Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할수 없는 경우 다음 프로시저에 따라 S3 버킷을 생성하고 스토리지를 구성할 수 있습니다.

사전 요구 사항

  • AWS에 사용자 프로비저닝된 인프라가 있는 클러스터가 있어야 합니다.

  • Amazon S3 스토리지의 경우 시크릿에는 두 개의 키가 포함되어야 합니다.

    • REGISTRY_STORAGE_S3_ACCESSKEY
    • REGISTRY_STORAGE_S3_SECRETKEY

프로세스

Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할 수 없는 경우 다음 프로시저를 사용합니다.

  1. 1일이 지난 완료되지 않은 다중 파트 업로드를 중단하도록 Bucket Lifecycle Policy를 설정합니다.

  2. configs.imageregistry.operator.openshift.io/cluster에 스토리지 설정을 입력합니다. 

    $ oc edit configs.imageregistry.operator.openshift.io/cluster

    설정 예

    storage:
  s3:
    bucket: <bucket-name>
    region: <region-name>

주의

AWS에서 레지스트리 이미지를 보안을 위해 S3 버킷에 공용 액세스를 차단합니다.

5.13.21.1.2. 프로덕션 환경 외 클러스터에서 이미지 레지스트리의 스토리지 구성

이미지 레지스트리 Operator에 대한 스토리지를 구성해야 합니다. 프로덕션 환경 외 클러스터의 경우, 이미지 레지스트리를 빈 디렉터리로 설정할 수 있습니다. 이렇게 하는 경우 레지스트리를 다시 시작하면 모든 이미지가 손실됩니다.

프로세스

  • 이미지 레지스트리 스토리지를 빈 디렉터리로 설정하려면 다음을 수행하십시오. 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
    주의

    프로덕션 환경 외 클러스터에 대해서만 이 옵션을 구성하십시오.

    Image Registry Operator가 구성 요소를 초기화하기 전에 이 명령을 실행하면 oc patch 명령이 실패하며 다음 오류가 발생합니다. 

    Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found

    몇 분 후에 명령을 다시 실행하십시오.

5.13.22. 부트스트랩 리소스 삭제

클러스터에 대한 초기 Operator 구성을 완료한 후 AWS(Amazon Web Services)에서 부트스트랩 리소스를 제거합니다.

사전 요구 사항

  • 클러스터에 대한 초기 Operator 구성을 완료했습니다.

프로세스

  1. 부트스트랩 리소스를 삭제합니다. CloudFormation 템플릿을 사용한 경우 해당 스택을 삭제합니다.

    • AWS CLI를 사용하여 스택 삭제: 

      $ aws cloudformation delete-stack --stack-name <name> 1
      1
      <name>은 부트스트랩 스택의 이름입니다.
    • AWS CloudFormation 콘솔을 사용하여 스택을 삭제합니다.

5.13.23. 인그레스 DNS 레코드 생성

DNS 영역 구성을 제거한 경우 인그레스 로드 밸런서를 가리키는 DNS 레코드를 수동으로 만듭니다. 와일드카드 레코드 또는 특정 레코드를 만들 수 있습니다. 다음 프로시저에서는 A 레코드를 사용하지만 CNAME 또는 별칭과 같이 필요한 다른 레코드 유형을 사용할 수 있습니다.

사전 요구 사항

프로세스

  1. 생성할 경로를 결정합니다.

    • 와일드카드 레코드를 만들려면 *.apps.<cluster_name>. <domain_name>을 사용합니다. 여기서 <cluster_name>은 클러스터 이름이고 <domain_name>은 OpenShift Container Platform 클러스터의 Route 53 기본 도메인입니다.

    • 특정 레코드를 만들려면 다음 명령의 출력에 표시된 대로 클러스터가 사용하는 각 경로에 대한 레코드를 만들어야 합니다. 

      $ oc get --all-namespaces -o jsonpath='{range .items[*]}{range .status.ingress[*]}{.host}{"\n"}{end}{end}' routes

      출력 예

      oauth-openshift.apps.<cluster_name>.<domain_name>
console-openshift-console.apps.<cluster_name>.<domain_name>
downloads-openshift-console.apps.<cluster_name>.<domain_name>
alertmanager-main-openshift-monitoring.apps.<cluster_name>.<domain_name>
grafana-openshift-monitoring.apps.<cluster_name>.<domain_name>
prometheus-k8s-openshift-monitoring.apps.<cluster_name>.<domain_name>

  2. Ingress Operator 로드 밸런서 상태를 검색하고 EXTERNAL-IP 열에 표시된 외부 IP 주소의 값을 확인합니다. 

    $ oc -n openshift-ingress get service router-default

    출력 예

    NAME             TYPE           CLUSTER-IP      EXTERNAL-IP                            PORT(S)                      AGE
router-default   LoadBalancer   172.30.62.215   ab3...28.us-east-2.elb.amazonaws.com   80:31499/TCP,443:30693/TCP   5m

  3. 로드 밸런서의 호스팅 영역 ID를 찾습니다. 

    $ aws elb describe-load-balancers | jq -r '.LoadBalancerDescriptions[] | select(.DNSName == "<external_ip>").CanonicalHostedZoneNameID' 1
    1
    <external_ip>는 가져온 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다.

    출력 예

    Z3AADJGX6KTTL2

    이 명령의 출력은 로드 밸런서 호스팅 영역 ID입니다.

  4. 클러스터 도메인의 공개 호스팅 영역 ID를 가져옵니다. 

    $ aws route53 list-hosted-zones-by-name \
            --dns-name "<domain_name>" \ 1
            --query 'HostedZones[? Config.PrivateZone != `true` && Name == `<domain_name>.`].Id' 2
            --output text
    1 2
    <domain_name>은 OpenShift Container Platform 클러스터의 Route 53 기본 도메인을 지정합니다.

    출력 예

    /hostedzone/Z3URY6TWQ91KVV

    도메인의 공개 호스팅 영역 ID가 명령 출력에 표시됩니다. 이 예에서는 Z3URY6TWQ91KVV입니다.

  5. 프라이빗 영역에 별칭 레코드를 추가합니다. 

    $ aws route53 change-resource-record-sets --hosted-zone-id "<private_hosted_zone_id>" --change-batch '{ 1
>   "Changes": [
>     {
>       "Action": "CREATE",
>       "ResourceRecordSet": {
>         "Name": "\\052.apps.<cluster_domain>", 2
>         "Type": "A",
>         "AliasTarget":{
>           "HostedZoneId": "<hosted_zone_id>", 3
>           "DNSName": "<external_ip>.", 4
>           "EvaluateTargetHealth": false
>         }
>       }
>     }
>   ]
> }'
    1
    <private_hosted_zone_id>는 DNS 및 로드 밸런싱에 대한 CloudFormation 템플릿 출력의 값을 지정합니다.
    2
    <cluster_domain>은 OpenShift Container Platform 클러스터와 함께 사용하는 도메인 또는 하위 도메인을 지정합니다.
    3
    <hosted_zone_id>는 가져온 로드 밸런서의 공개 호스팅 영역 ID를 지정합니다.
    4
    <external_ip>는 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다. 이 매개변수 값에 후행 마침표(.)을 포함시켜야 합니다.

  6. 퍼블릭 영역에 레코드를 추가합니다. 

    $ aws route53 change-resource-record-sets --hosted-zone-id "<public_hosted_zone_id>"" --change-batch '{ 1
>   "Changes": [
>     {
>       "Action": "CREATE",
>       "ResourceRecordSet": {
>         "Name": "\\052.apps.<cluster_domain>", 2
>         "Type": "A",
>         "AliasTarget":{
>           "HostedZoneId": "<hosted_zone_id>", 3
>           "DNSName": "<external_ip>.", 4
>           "EvaluateTargetHealth": false
>         }
>       }
>     }
>   ]
> }'
    1
    <public_hosted_zone_id>는 도메인의 퍼블릭 호스팅 영역을 지정합니다.
    2
    <cluster_domain>은 OpenShift Container Platform 클러스터와 함께 사용하는 도메인 또는 하위 도메인을 지정합니다.
    3
    <hosted_zone_id>는 가져온 로드 밸런서의 공개 호스팅 영역 ID를 지정합니다.
    4
    <external_ip>는 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다. 이 매개변수 값에 후행 마침표(.)을 포함시켜야 합니다.

5.13.24. 사용자 프로비저닝 인프라에서 AWS 설치 완료

AWS(Amazon Web Service) 사용자 프로비저닝 인프라에서 OpenShift Container Platform 설치를 시작한 후 배포가 완료될 때까지 모니터링합니다.

사전 요구 사항

  • 사용자 프로비저닝 AWS 인프라에서 OpenShift Container Platform 클러스터에 대한 부트스트랩 노드를 제거하셨습니다.
  • oc CLI를 설치했습니다.

프로세스

  • 설치 프로그램이 포함된 디렉터리에서 클러스터 설치를 완료합니다. 

    $ ./openshift-install --dir <installation_directory> wait-for install-complete 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    출력 예

    INFO Waiting up to 40m0s for the cluster at https://api.mycluster.example.com:6443 to initialize...
INFO Waiting up to 10m0s for the openshift-console route to be created...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Fe5en-ymBEc-Wt6NL"
INFO Time elapsed: 1s

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

5.13.25. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.13.26. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.13.27. 추가 리소스

  • AWS CloudFormation 스택에 대한 자세한 내용은 AWS 문서의 스택 작업을 참조하십시오.

5.13.28. 다음 단계

5.14. 사용자 프로비저닝 인프라가 있는 제한된 네트워크에서 AWS에 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 사용자가 제공하는 인프라 및 설치 릴리스 콘텐츠의 내부 미러를 사용하는 AWS(Amazon Web Services)에 클러스터를 설치할 수 있습니다.

중요

미러링된 설치 릴리스 컨텐츠를 사용하여 OpenShift Container Platform 클러스터를 설치할 수는 있지만 AWS API를 사용하려면 여전히 클러스터에 인터넷 액세스가 필요합니다.

이 인프라를 생성하는 한 가지 방법은 제공된 CloudFormation 템플릿을 사용하는 것입니다. 템플릿을 수정하여 인프라를 사용자 지정하거나 포함된 정보를 사용하여 회사 정책에 따라 AWS 개체를 생성할 수 있습니다.

중요

사용자가 프로비저닝한 인프라 설치를 수행하는 단계는 예시용으로만 제공됩니다. 사용자가 제공하는 인프라를 사용하여 클러스터를 설치하려면 클라우드 공급자 및 OpenShift Container Platform 설치 프로세스에 대한 정보가 필요합니다. 안내된 단계를 수행하거나 자체 모델링에 유용한 몇 가지 CloudFormation 템플릿이 제공됩니다. 여러 다른 방법을 통해 필요한 리소스를 자유롭게 생성할 수도 있습니다. 템플릿은 예시일 뿐입니다.

5.14.1. 사전 요구 사항

5.14.2. 네트워크가 제한된 환경에서의 설치 정보

OpenShift Container Platform 4.10에서는 소프트웨어 구성 요소를 받기 위해 인터넷에 연결되어 있지 않은 설치를 수행할 수 있습니다. 제한된 네트워크 설치는 클러스터를 설치하는 클라우드 플랫폼에 따라 설치 관리자 프로비저닝 인프라 또는 사용자 프로비저닝 인프라를 사용하여 완료할 수 있습니다.

클라우드 플랫폼에 제한된 네트워크 설치를 수행하는 방법을 선택해도 클라우드 API에 액세스는 가능해야 합니다. Amazon Web Service의 IAM 서비스와 같은 일부 클라우드 기능에는 인터넷 액세스가 필요할 수 있습니다. 사용 중인 네트워크에 따라 베어메탈 하드웨어 또는 VMware vSphere에 설치하기 위해 필요한 인터넷 액세스가 줄어들 수 있습니다.

제한된 네트워크 설치를 완료하려면 OpenShift Container Platform 레지스트리의 내용을 미러링하고 설치 미디어를 포함할 레지스트리를 생성해야 합니다. 인터넷과 폐쇄 네트워크에 모두 액세스하거나 제한 사항을 따르는 다른 방법을 통해 미러 호스트에 레지스트리를 생성할 수 있습니다.

중요

사용자 프로비저닝 설치의 구성이 복잡하므로 사용자 프로비저닝 인프라를 사용하여 제한된 네트워크 설치를 시도하기 전에 표준 사용자 프로비저닝 인프라 설치를 완료하는 것이 좋습니다. 이 테스트 설치를 완료하면 제한된 네트워크에 설치하는 동안 발생할 수 있는 문제를 보다 쉽게 파악 및 해결할 수 있습니다.

5.14.2.1. 추가 제한

제한된 네트워크의 클러스터에는 다음과 같은 추가 제한이 있습니다.

  • ClusterVersion 상태에 사용 가능한 업데이트를 검색할 수 없음 오류가 포함되어 있습니다.
  • 기본적으로 필요한 이미지 스트림 태그에 액세스할 수 없기 때문에 개발자 카탈로그의 내용을 사용할 수 없습니다.

5.14.3. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하는 데 필요한 이미지를 받으려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

5.14.4. 사용자 프로비저닝 인프라를 포함한 클러스터의 시스템 요구사항

사용자 프로비저닝 인프라가 포함된 클러스터의 경우, 필요한 모든 시스템을 배포해야 합니다.

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포해야 하는 요구 사항에 대해 설명합니다.

5.14.4.1. 클러스터 설치에 필요한 시스템

최소 OpenShift Container Platform 클러스터에 다음과 같은 호스트가 필요합니다.

표 5.42. 최소 필수 호스트
호스트설명

임시 부트스트랩 시스템 한 개

컨트롤 플레인 시스템 세 개에 OpenShift Container Platform 클러스터를 배포하기 위한 부트스트랩 시스템이 클러스터에 필요합니다. 클러스터를 설치한 후 부트스트랩 시스템을 제거할 수 있습니다.

컨트롤 플레인 시스템 세 개

컨트롤 플레인 시스템은 컨트롤 플레인을 구성하는 Kubernetes 및 OpenShift Container Platform 서비스를 실행합니다.

두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함).

OpenShift Container Platform 사용자가 요청한 워크로드는 컴퓨팅 머신에서 실행됩니다.

중요

클러스터의 고가용성을 유지하려면 이러한 클러스터 시스템에 대해 별도의 물리적 호스트를 사용하십시오.

부트스트랩, 컨트롤 플레인 시스템은 운영 체제로 RHCOS (Red Hat Enterprise Linux CoreOS)를 사용해야 합니다. 그러나 컴퓨팅 머신은 RHCOS(Red Hat Enterprise Linux CoreOS), RHEL(Red Hat Enterprise Linux) 8.4 또는 RHEL 8.5 중에서 선택할 수 있습니다.

RHCOS는 RHEL 8(Red Hat Enterprise Linux)을 기반으로하며 모든 하드웨어 인증 및 요구사항을 모두 이어받습니다. Red Hat Enterprise Linux 기술 기능 및 제한을 참조하십시오.

5.14.4.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.4 또는 RHEL 8.5 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
5.14.4.3. 인증서 서명 요청 관리

사용자가 프로비저닝하는 인프라를 사용하는 경우 자동 시스템 관리 기능으로 인해 클러스터의 액세스가 제한되므로 설치한 후 클러스터 인증서 서명 요청(CSR)을 승인하는 메커니즘을 제공해야 합니다. kube-controller-manager는 kubelet 클라이언트 CSR만 승인합니다. machine-approver는 올바른 시스템에서 발행한 요청인지 확인할 수 없기 때문에 kubelet 자격 증명을 사용하여 요청하는 서비스 인증서의 유효성을 보장할 수 없습니다. kubelet 서빙 인증서 요청의 유효성을 확인하고 요청을 승인하는 방법을 결정하여 구현해야 합니다.

5.14.4.4. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 5.48. x86_64 아키텍처를 기반으로 하는 시스템 유형

인스턴스 유형부트스트랩컨트롤 플레인Compute

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.large

  

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.12xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

5.14.5. 필수 AWS 인프라 구성 요소

AWS(Amazon Web Services)의 사용자 프로비저닝 인프라에 OpenShift Container Platform을 설치하려면 시스템과 지원 인프라를 모두 수동으로 생성해야 합니다.

다른 플랫폼의 통합 테스트에 대한 자세한 내용은 OpenShift Container Platform 4.x 통합 테스트 페이지를 참조하십시오.

제공된 CloudFormation 템플릿을 사용하면 다음 구성 요소를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

  • AWS 가상 사설 클라우드(VPC)
  • 네트워킹 및 로드 밸런싱 구성 요소
  • 보안 그룹 및 역할
  • OpenShift Container Platform 부트스트랩 노드
  • OpenShift Container Platform 컨트롤 플레인 노드
  • OpenShift Container Platform 컴퓨팅 노드

대안으로, 구성 요소를 수동으로 생성하거나 클러스터 요구 사항을 충족하는 기존 인프라를 재사용할 수 있습니다. 구성 요소의 상호 관계에 대한 자세한 내용은 CloudFormation 템플릿을 검토하십시오.

5.14.5.1. 기타 인프라 구성 요소
  • A VPC
  • DNS 항목
  • 로드 밸런서(클래식 또는 네트워크) 및 리스너
  • 공개 및 개인 Route 53 영역
  • 보안 그룹
  • IAM 역할
  • S3 버킷

연결이 끊긴 환경에서 작업하거나 프록시를 사용하는 경우 EC2 및 ELB 끝점의 공용 IP 주소에 연결할 수 없습니다. 이러한 끝점에 연결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 다음 끝점을 생성합니다.

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

필수 DNS 및 로드 밸런싱 구성 요소

DNS 및 로드 밸런서 구성은 공개 호스팅 영역을 사용해야 하며 클러스터 인프라를 프로비저닝하는 경우 설치 프로그램이 사용하는 것과 유사한 개인 호스팅 영역을 사용할 수 있습니다. 로드 밸런서로 확인되는 DNS 항목을 생성해야 합니다. api.<cluster_name>.<domain>에 대한 항목은 외부 로드 밸런서를 가리켜야 하고 api-int.<cluster_name>.<domain>에 대한 항목은 내부 로드 밸런서를 가리켜야 합니다.

클러스터에는 또한 Kubernetes API 및 해당 확장에 필요한 포트 6443 및 새 시스템의 Ignition 구성 파일에 필요한 포트 22623용 로드 밸런서와 리스너가 필요합니다. 대상은 컨트롤 플레인 노드가 됩니다. 포트 6443은 클러스터 외부의 클라이언트와 클러스터 내부의 노드에서 모두 액세스할 수 있어야 합니다. 포트 22623은 클러스터 내부 노드에서 액세스할 수 있어야 합니다.

구성 요소AWS 유형설명

DNS

AWS::Route53::HostedZone

내부 DNS의 호스팅 영역입니다.

etcd 레코드 세트

AWS::Route53::RecordSet

컨트롤 플레인 시스템의 etcd 등록 레코드입니다.

공용 로드 밸런서

AWS::ElasticLoadBalancingV2::LoadBalancer

퍼블릭 서브넷의 로드 밸런서입니다.

외부 API 서버 레코드

AWS::Route53::RecordSetGroup

외부 API 서버의 별칭 레코드입니다.

외부 리스너

AWS::ElasticLoadBalancingV2::Listener

외부 로드 밸런서용 포트 6443의 리스너입니다.

외부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

외부 로드 밸런서의 대상 그룹입니다.

프라이빗 로드 밸런서

AWS::ElasticLoadBalancingV2::LoadBalancer

프라이빗 서브넷의 로드 밸런서입니다.

내부 API 서버 레코드

AWS::Route53::RecordSetGroup

내부 API 서버의 별칭 레코드입니다.

내부 리스너

AWS::ElasticLoadBalancingV2::Listener

내부 로드 밸런서용 포트 22623의 리스너입니다.

내부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

내부 로드 밸런서의 대상 그룹입니다.

내부 리스너

AWS::ElasticLoadBalancingV2::Listener

내부 로드 밸런서용 포트 6443의 리스너입니다.

내부 대상 그룹

AWS::ElasticLoadBalancingV2::TargetGroup

내부 로드 밸런서의 대상 그룹입니다.

보안 그룹

컨트롤 플레인 및 작업자 시스템에는 다음 포트에 대한 액세스 권한이 필요합니다.

그룹유형IP 프로토콜포트 범위

MasterSecurityGroup

AWS::EC2::SecurityGroup

icmp

0

tcp

22

tcp

6443

tcp

22623

WorkerSecurityGroup

AWS::EC2::SecurityGroup

icmp

0

tcp

22

BootstrapSecurityGroup

AWS::EC2::SecurityGroup

tcp

22

tcp

19531

컨트롤 플레인 인그레스

컨트롤 플레인 시스템에는 다음과 같은 인그레스 그룹이 필요합니다. 각 인그레스 그룹은 AWS::EC2::SecurityGroupIngress 리소스입니다.

인그레스 그룹설명IP 프로토콜포트 범위

MasterIngressEtcd

etcd

tcp

2379- 2380

MasterIngressVxlan

Vxlan 패킷

udp

4789

MasterIngressWorkerVxlan

Vxlan 패킷

udp

4789

MasterIngressInternal

내부 클러스터 통신 및 Kubernetes 프록시 메트릭

tcp

9000 - 9999

MasterIngressWorkerInternal

내부 클러스터 통신

tcp

9000 - 9999

MasterIngressKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250 - 10259

MasterIngressWorkerKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250 - 10259

MasterIngressIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

MasterIngressWorkerIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

MasterIngressGeneve

Geneve 패킷

udp

6081

MasterIngressWorkerGeneve

Geneve 패킷

udp

6081

MasterIngressIpsecIke

IPsec IKE 패킷

udp

500

MasterIngressWorkerIpsecIke

IPsec IKE 패킷

udp

500

MasterIngressIpsecNat

IPsec NAT-T 패킷

udp

4500

MasterIngressWorkerIpsecNat

IPsec NAT-T 패킷

udp

4500

MasterIngressIpsecEsp

IPsec ESP 패킷

50

All

MasterIngressWorkerIpsecEsp

IPsec ESP 패킷

50

All

MasterIngressInternalUDP

내부 클러스터 통신

udp

9000 - 9999

MasterIngressWorkerInternalUDP

내부 클러스터 통신

udp

9000 - 9999

MasterIngressIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

MasterIngressWorkerIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

작업자 인그레스

작업자 시스템에는 다음과 같은 인그레스 그룹이 필요합니다. 각 인그레스 그룹은 AWS::EC2::SecurityGroupIngress 리소스입니다.

인그레스 그룹설명IP 프로토콜포트 범위

WorkerIngressVxlan

Vxlan 패킷

udp

4789

WorkerIngressWorkerVxlan

Vxlan 패킷

udp

4789

WorkerIngressInternal

내부 클러스터 통신

tcp

9000 - 9999

WorkerIngressWorkerInternal

내부 클러스터 통신

tcp

9000 - 9999

WorkerIngressKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250

WorkerIngressWorkerKube

Kubernetes kubelet, 스케줄러 및 컨트롤러 관리자

tcp

10250

WorkerIngressIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

WorkerIngressWorkerIngressServices

Kubernetes 인그레스 서비스

tcp

30000 - 32767

WorkerIngressGeneve

Geneve 패킷

udp

6081

WorkerIngressMasterGeneve

Geneve 패킷

udp

6081

WorkerIngressIpsecIke

IPsec IKE 패킷

udp

500

WorkerIngressMasterIpsecIke

IPsec IKE 패킷

udp

500

WorkerIngressIpsecNat

IPsec NAT-T 패킷

udp

4500

WorkerIngressMasterIpsecNat

IPsec NAT-T 패킷

udp

4500

WorkerIngressIpsecEsp

IPsec ESP 패킷

50

All

WorkerIngressMasterIpsecEsp

IPsec ESP 패킷

50

All

WorkerIngressInternalUDP

내부 클러스터 통신

udp

9000 - 9999

WorkerIngressMasterInternalUDP

내부 클러스터 통신

udp

9000 - 9999

WorkerIngressIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

WorkerIngressMasterIngressServicesUDP

Kubernetes 인그레스 서비스

udp

30000 - 32767

역할 및 인스턴스 프로필

AWS에서 시스템 권한을 부여해야 합니다. 제공된 CloudFormation 템플릿은 다음 AWS::IAM::Role 오브젝트에 대한 허용 권한을 머신에 부여하며 각 역할 세트의 AWS::IAM::InstanceProfile을 제공합니다. 템플릿을 사용하지 않는 경우 다음과 같은 광범위한 권한 또는 다음과 같은 개별 권한을 시스템에 부여할 수 있습니다.

역할효과동작리소스 이름

Master

허용

ec2:*

*

허용

elasticloadbalancing:*

*

허용

iam:PassRole

*

허용

s3:GetObject

*

Worker

허용

ec2:Describe*

*

부트스트랩

허용

ec2:Describe*

*

허용

ec2:AttachVolume

*

허용

ec2:DetachVolume

*

5.14.5.2. 클러스터 시스템

다음 시스템의 AWS:: EC2:: Instance 개체가 필요합니다.

  • 부트스트랩 시스템. 이 시스템은 설치 중에 필요하지만 클러스터가 배포된 후 제거할 수 있습니다.
  • 컨트롤 플레인 시스템 세 개 컨트롤 플레인 시스템은 머신 세트에 의해 관리되지 않습니다.
  • 컴퓨팅 시스템. 설치 중에 두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함)을 생성해야 합니다. 이러한 시스템은 머신 세트에 의해 관리되지 않습니다.
5.14.5.3. IAM 사용자에게 필요한 AWS 권한
참고

기본 클러스터 리소스를 삭제하려면 IAM 사용자에게 us-east-1 리전에 권한 tag:GetResources 가 있어야 합니다. AWS API 요구 사항의 일부로 OpenShift Container Platform 설치 프로그램은 이 리전에서 다양한 작업을 수행합니다.

AWS(Amazon Web Services)에서 생성되는 IAM 사용자에게 AdministratorAccess 정책을 연결하면 해당 사용자에게 필요한 모든 권한이 부여됩니다. OpenShift Container Platform 클러스터의 모든 구성 요소를 배포하려면 IAM 사용자에게 다음과 같은 권한이 필요합니다.

예 5.49. 설치에 필요한 EC2 권한

  • ec2:AuthorizeSecurityGroupEgress
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:CopyImage
  • ec2:CreateNetworkInterface
  • ec2:AttachNetworkInterface
  • ec2:CreateSecurityGroup
  • ec2:CreateTags
  • ec2:CreateVolume
  • ec2:DeleteSecurityGroup
  • ec2:DeleteSnapshot
  • ec2:DeleteTags
  • ec2:DeregisterImage
  • ec2:DescribeAccountAttributes
  • ec2:DescribeAddresses
  • ec2:DescribeAvailabilityZones
  • ec2:DescribeDhcpOptions
  • ec2:DescribeImages
  • ec2:DescribeInstanceAttribute
  • ec2:DescribeInstanceCreditSpecifications
  • ec2:DescribeInstances
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInternetGateways
  • ec2:DescribeKeyPairs
  • ec2:DescribeNatGateways
  • ec2:DescribeNetworkAcls
  • ec2:DescribeNetworkInterfaces
  • ec2:DescribePrefixLists
  • ec2:DescribeRegions
  • ec2:DescribeRouteTables
  • ec2:DescribeSecurityGroups
  • ec2:DescribeSubnets
  • ec2:DescribeTags
  • ec2:DescribeVolumes
  • ec2:DescribeVpcAttribute
  • ec2:DescribeVpcClassicLink
  • ec2:DescribeVpcClassicLinkDnsSupport
  • ec2:DescribeVpcEndpoints
  • ec2:DescribeVpcs
  • ec2:GetEbsDefaultKmsKeyId
  • ec2:ModifyInstanceAttribute
  • ec2:ModifyNetworkInterfaceAttribute
  • ec2:RevokeSecurityGroupEgress
  • ec2:RevokeSecurityGroupIngress
  • ec2:RunInstances
  • ec2:TerminateInstances

예 5.50. 설치 과정에서 네트워크 리소스를 생성하는 데 필요한 권한

  • ec2:AllocateAddress
  • ec2:AssociateAddress
  • ec2:AssociateDhcpOptions
  • ec2:AssociateRouteTable
  • ec2:AttachInternetGateway
  • ec2:CreateDhcpOptions
  • ec2:CreateInternetGateway
  • ec2:CreateNatGateway
  • ec2:CreateRoute
  • ec2:CreateRouteTable
  • ec2:CreateSubnet
  • ec2:CreateVpc
  • ec2:CreateVpcEndpoint
  • ec2:ModifySubnetAttribute
  • ec2:ModifyVpcAttribute
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 생성하기 위해 계정에 이러한 권한이 필요하지 않습니다.

예 5.51. 설치에 필요한 ELB(Elastic Load Balancing 권한)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer
  • elasticloadbalancing:AttachLoadBalancerToSubnets
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:DescribeInstanceHealth
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener

예 5.52. 설치에 필요한 Elastic Load Balancing 권한(ELBv2)

  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateListener
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DeregisterTargets
  • elasticloadbalancing:DescribeListeners
  • elasticloadbalancing:DescribeLoadBalancerAttributes
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:DescribeTargetGroupAttributes
  • elasticloadbalancing:DescribeTargetHealth
  • elasticloadbalancing:ModifyLoadBalancerAttributes
  • elasticloadbalancing:ModifyTargetGroup
  • elasticloadbalancing:ModifyTargetGroupAttributes
  • elasticloadbalancing:RegisterTargets

예 5.53. 설치에 필요한 IAM 권한

  • iam:AddRoleToInstanceProfile
  • iam:CreateInstanceProfile
  • iam:CreateRole
  • iam:DeleteInstanceProfile
  • iam:DeleteRole
  • iam:DeleteRolePolicy
  • iam:GetInstanceProfile
  • iam:GetRole
  • iam:GetRolePolicy
  • iam:GetUser
  • iam:ListInstanceProfilesForRole
  • iam:ListRoles
  • iam:ListUsers
  • iam:PassRole
  • iam:PutRolePolicy
  • iam:RemoveRoleFromInstanceProfile
  • iam:SimulatePrincipalPolicy
  • iam:TagRole
참고

AWS 계정에서 탄력적 로드 밸런서 (ELB)를 생성하지 않은 경우 IAM 사용자에게 iam:CreateServiceLinkedRole 권한이 필요합니다.

예 5.54. 설치에 필요한 Route 53 권한

  • route53:ChangeResourceRecordSets
  • route53:ChangeTagsForResource
  • route53:CreateHostedZone
  • route53:DeleteHostedZone
  • route53:GetChange
  • route53:GetHostedZone
  • route53:ListHostedZones
  • route53:ListHostedZonesByName
  • route53:ListResourceRecordSets
  • route53:ListTagsForResource
  • route53:UpdateHostedZoneComment

예 5.55. 설치에 필요한 S3 권한

  • s3:CreateBucket
  • s3:DeleteBucket
  • s3:GetAccelerateConfiguration
  • s3:GetBucketAcl
  • s3:GetBucketCors
  • s3:GetBucketLocation
  • s3:GetBucketLogging
  • s3:GetBucketObjectLockConfiguration
  • s3:GetBucketReplication
  • s3:GetBucketRequestPayment
  • s3:GetBucketTagging
  • s3:GetBucketVersioning
  • s3:GetBucketWebsite
  • s3:GetEncryptionConfiguration
  • s3:GetLifecycleConfiguration
  • s3:GetReplicationConfiguration
  • s3:ListBucket
  • s3:PutBucketAcl
  • s3:PutBucketTagging
  • s3:PutEncryptionConfiguration

예 5.56. 클러스터 Operator에 필요한 S3 권한

  • s3:DeleteObject
  • s3:GetObject
  • s3:GetObjectAcl
  • s3:GetObjectTagging
  • s3:GetObjectVersion
  • s3:PutObject
  • s3:PutObjectAcl
  • s3:PutObjectTagging

예 5.57. 기본 클러스터 리소스를 삭제하는 데 필요한 권한

  • autoscaling:DescribeAutoScalingGroups
  • ec2:DeleteNetworkInterface
  • ec2:DeleteVolume
  • elasticloadbalancing:DeleteTargetGroup
  • elasticloadbalancing:DescribeTargetGroups
  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:ListAttachedRolePolicies
  • iam:ListInstanceProfiles
  • iam:ListRolePolicies
  • iam:ListUserPolicies
  • s3:DeleteObject
  • s3:ListBucketVersions
  • tag:GetResources

예 5.58. 네트워크 리소스를 삭제하는 데 필요한 권한

  • ec2:DeleteDhcpOptions
  • ec2:DeleteInternetGateway
  • ec2:DeleteNatGateway
  • ec2:DeleteRoute
  • ec2:DeleteRouteTable
  • ec2:DeleteSubnet
  • ec2:DeleteVpc
  • ec2:DeleteVpcEndpoints
  • ec2:DetachInternetGateway
  • ec2:DisassociateRouteTable
  • ec2:ReleaseAddress
  • ec2:ReplaceRouteTableAssociation
참고

기존 VPC를 사용하는 경우 네트워크 리소스를 삭제하기 위해 계정에 이러한 권한이 필요하지 않습니다. 대신 사용자 계정에는 네트워크 리소스를 삭제하기 위한 tag:UntagResources 권한만 필요합니다.

예 5.59. 공유 인스턴스 역할이 있는 클러스터를 삭제하는 데 필요한 권한

  • iam:UntagRole

예 5.60. 매니페스트를 생성하는 데 필요한 추가 IAM 및 S3 권한

  • iam:DeleteAccessKey
  • iam:DeleteUser
  • iam:DeleteUserPolicy
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • iam:PutUserPolicy
  • iam:TagUser
  • iam:GetUserPolicy
  • iam:ListAccessKeys
  • s3:PutBucketPublicAccessBlock
  • s3:GetBucketPublicAccessBlock
  • s3:PutLifecycleConfiguration
  • s3:HeadBucket
  • s3:ListBucketMultipartUploads
  • s3:AbortMultipartUpload
참고

Mint 모드로 클라우드 공급자 인증 정보를 관리하는 경우 IAM 사용자에게 iam:CreateAccessKeyiam:CreateUser 권한도 필요합니다.

예 5.61. 인스턴스에 대한 선택적 권한 및 설치에 대한 할당량 검사

  • ec2:DescribeInstanceTypeOfferings
  • servicequotas:ListAWSDefaultServiceQuotas

5.14.6. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다. 프로비저닝하는 인프라에 클러스터를 설치하는 경우 설치 프로그램에 키를 제공해야 합니다.

5.14.7. AWS용 설치 파일 생성

사용자 프로비저닝 인프라를 사용하는 OpenShift Container Platform을 AWS(Amazon Web Services)에 설치하려면 설치 프로그램에서 클러스터를 배포하는 데 필요한 파일을 생성하고 클러스터가 사용할 시스템만을 생성하도록 파일을 수정해야 합니다. install-config.yaml 파일, Kubernetes 매니페스트 및 Ignition 구성 파일을 생성하고 사용자 지정합니다. 또한 설치 준비 단계에서 별도의 var 파티션을 먼저 설정할 수 있는 옵션이 있습니다.

5.14.7.1. 선택 사항: 별도의 /var 파티션 만들기

OpenShift Container Platform의 디스크 파티션 설정은 설치 프로그램에 맡기는 것이 좋습니다. 그러나 확장하려는 파일 시스템의 일부에 별도의 파티션을 생성해야 하는 경우가 있습니다.

OpenShift 컨테이너 플랫폼은 /var 파티션 또는 /var의 하위 디렉터리 중 하나에 스토리지를 연결하는 단일 파티션의 추가를 지원합니다. 예를 들면 다음과 같습니다.

  • /var/lib/containers: 시스템에 더 많은 이미지와 컨테이너가 추가됨에 따라 확장될 수 있는 컨테이너 관련 콘텐츠를 보관합니다.
  • /var/lib/etcd: etcd 스토리지의 성능 최적화와 같은 목적으로 별도로 보관할 데이터를 보관합니다.
  • /var: 감사 등의 목적에 맞게 별도로 분리하여 보관해야 하는 데이터를 보관합니다.

/var 디렉터리의 콘텐츠를 별도로 저장하면 필요에 따라 해당 영역에 대한 스토리지 확장을 보다 용이하게 하고 나중에 OpenShift Container Platform을 다시 설치하여 해당 데이터를 그대로 보존할 수 있습니다. 이 방법을 사용하면 모든 컨테이너를 다시 가져올 필요가 없으며 시스템을 업데이트할 때 대용량 로그 파일을 복사할 필요도 없습니다.

RHCOS(Red Hat Enterprise Linux CoreOS)를 새로 설치하기 전에 /var 가 있어야 하므로 다음 절차에서는 OpenShift Container Platform 설치의 openshift-install 준비 단계 중에 삽입되는 머신 구성 매니페스트를 생성하여 별도의 /var 파티션을 설정합니다.

중요

이 절차에서 별도의 /var 파티션을 생성하기 위해 단계에 따라 이 섹션의 뒷부분에서 설명한 대로 Kubernetes 매니페스트 및 Ignition 구성 파일을 다시 생성할 필요가 없습니다.

프로세스

  1. OpenShift Container Platform 설치 파일을 저장할 디렉터리를 만듭니다. 

    $ mkdir $HOME/clusterconfig

  2. openshift-install을 실행하여 manifestopenshift 하위 디렉터리에 파일 세트를 만듭니다. 프롬프트가 표시되면 시스템 질문에 대답합니다. 

    $ openshift-install create manifests --dir $HOME/clusterconfig

    출력 예

    ? SSH Public Key ...
INFO Credentials loaded from the "myprofile" profile in file "/home/myuser/.aws/credentials"
INFO Consuming Install Config from target directory
INFO Manifests created in: $HOME/clusterconfig/manifests and $HOME/clusterconfig/openshift

  3. 선택 사항: 설치 프로그램이 clusterconfig/openshift 디렉터리에 매니페스트를 생성했는지 확인합니다. 

    $ ls $HOME/clusterconfig/openshift/

    출력 예

    99_kubeadmin-password-secret.yaml
99_openshift-cluster-api_master-machines-0.yaml
99_openshift-cluster-api_master-machines-1.yaml
99_openshift-cluster-api_master-machines-2.yaml
...

  4. 추가 파티션을 구성하는 Butane 구성을 생성합니다. 예를 들어 $HOME/clusterconfig/98-var-partition.bu 파일의 이름을 지정하고, 디스크 장치 이름을 worker 시스템의 스토리지 장치 이름으로 변경하고 스토리지 크기를 적절하게 설정합니다. 이 예에서는 /var 디렉터리를 별도의 파티션에 배치합니다. 

    variant: openshift
version: 4.10.0
metadata:
  labels:
    machineconfiguration.openshift.io/role: worker
  name: 98-var-partition
storage:
  disks:
  - device: /dev/<device_name> 1
    partitions:
    - label: var
      start_mib: <partition_start_offset> 2
      size_mib: <partition_size> 3
  filesystems:
    - device: /dev/disk/by-partlabel/var
      path: /var
      format: xfs
      mount_options: [defaults, prjquota] 4
      with_mount_unit: true
    1
    파티션을 설정해야하는 디스크 저장 장치 이름입니다.
    2
    데이터 파티션을 부트 디스크에 추가할 때 최소 25000MiB(메비 바이트)가 권장됩니다. 루트 파일 시스템은 지정된 오프셋까지 사용 가능한 모든 공간을 채우기 위해 자동으로 크기가 조정됩니다. 값이 지정되지 않거나 지정된 값이 권장 최소값보다 작으면 생성되는 루트 파일 시스템의 크기가 너무 작아지고 RHCOS를 나중에 다시 설치할 때 데이터 파티션의 첫 번째 부분을 덮어 쓸 수 있습니다.
    3
    데이터 파티션의 크기(MB)입니다.
    4
    컨테이너 스토리지에 사용되는 파일 시스템에 대해 prjquota 마운트 옵션을 활성화해야 합니다.
    참고

    별도의 /var 파티션을 만들 때 다른 인스턴스 유형에 동일한 장치 이름이 없는 경우 작업자 노드에 다른 인스턴스 유형을 사용할 수 없습니다.

  5. Butane 구성에서 매니페스트를 생성하여 clusterconfig/openshift 디렉터리에 저장합니다. 예를 들어 다음 명령을 실행합니다. 

    $ butane $HOME/clusterconfig/98-var-partition.bu -o $HOME/clusterconfig/openshift/98-var-partition.yaml

  6. openshift-install을 다시 실행하여 manifestopenshift 하위 디렉터리의 파일 세트에서 Ignition 구성을 만듭니다. 

    $ openshift-install create ignition-configs --dir $HOME/clusterconfig
$ ls $HOME/clusterconfig/
auth  bootstrap.ign  master.ign  metadata.json  worker.ign

이제 Ignition 구성 파일을 설치 절차에 대한 입력으로 사용하여 RHCOS (Red Hat Enterprise Linux CoreOS) 시스템을 설치할 수 있습니다.

5.14.7.2. 설치 구성 파일 만들기

설치 프로그램이 클러스터를 배포하는 데 필요한 설치 구성 파일을 생성하고 사용자 지정합니다.

사전 요구 사항

  • 사용자가 프로비저닝한 인프라의 OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받으셨습니다. 제한된 네트워크 설치의 경우, 해당 파일은 미러 호스트에 있습니다.
  • Red Hat에서 게시한 Red Hat Enterprise Linux CoreOS (RHCOS) AMI와 함께 리전에 클러스터를 배포하고 있는지 확인하셨습니다. AWS GovCloud 리전과 같이 사용자 지정 AMI가 필요한 리전에 배포하는 경우 install-config.yaml 파일을 수동으로 생성해야 합니다.

프로세스

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
      중요

      비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 aws를 선택합니다.

      3. 컴퓨터에 AWS 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.

        참고

        AWS 액세스 키 ID와 시크릿 액세스 키는 설치 호스트에 있는 현재 사용자의 홈 디렉터리에서 ~/.aws/credentials에 저장됩니다. 내보낸 프로필의 인증 정보가 파일에 없으면 설치 프로그램에서 인증 정보에 대한 메시지를 표시합니다. 설치 프로그램에 사용자가 제공하는 인증 정보는 파일에 저장됩니다.

      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.
      7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.

  2. install-config.yaml 파일을 편집하여 제한된 네트워크에서 설치에 필요한 추가 정보를 제공합니다.

    1. 레지스트리의 인증 정보를 포함하도록 pullSecret 값을 업데이트합니다. 

      pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}'

      <local_registry>는 미러 레지스트리가 해당 내용을 제공하는 데 사용하는 레지스트리 도메인 이름과 포트(선택사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:5000. <credentials>는 미러 레지스트리의 base64 인코딩 사용자 이름과 암호를 지정합니다.

    2. additionalTrustBundle 매개변수와 값을 추가합니다. 값은 미러 레지스트리에 사용한 인증서 파일의 내용이어야 합니다. 인증서 파일은 신뢰할 수 있는 기존 인증 기관 또는 미러 레지스트리에 대해 생성한 자체 서명 인증서일 수 있습니다. 

      additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----

    3. 이미지 내용 리소스를 추가합니다. 

      imageContentSources:
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev

      명령 출력에서 imageContentSources 섹션을 사용하여 제한된 네트워크로 가져온 매체에서 내용을 미러링할 때 사용한 값 또는 리포지토리를 미러링합니다.

    4. 선택사항: 게시 전략을 Internal로 설정합니다. 

      publish: Internal

      이 옵션을 설정하여 내부 Ingress Controller 및 프라이빗 로드 밸런서를 생성합니다.

  3. 선택사항: install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

추가 리소스

5.14.7.3. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.com, 및 s3.<region>.amazonaws.com 엔드 포인트를 VPC 엔드포인트에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: example.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

5.14.7.4. Kubernetes 매니페스트 및 Ignition 설정 파일 생성

일부 클러스터 정의 파일을 수정하고 클러스터 시스템을 수동으로 시작해야 하므로 클러스터가 시스템을 구성하는 데 필요한 Kubernetes 매니페스트 및 Ignition 구성 파일을 사용자가 생성해야 합니다.

설치 구성 파일은 Kubernetes 매니페스트로 변환됩니다. 매니페스트는 나중에 클러스터 머신을 구성하는 데 사용되는 Ignition 구성 파일로 래핑됩니다.

중요
  • OpenShift Container Platform 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
  • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램을 가져오셨습니다. 제한된 네트워크 설치의 경우, 해당 파일은 미러 호스트에 있습니다.
  • install-config.yaml 설치 구성 파일을 생성하셨습니다.

프로세스

  1. OpenShift Container Platform 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터에 대한 Kubernetes 매니페스트를 생성합니다. 

    $ ./openshift-install create manifests --dir <installation_directory> 1
    1
    <installation_directory>는 사용자가 만든 install-config.yaml 파일이 포함된 설치 디렉터리를 지정합니다.

  2. 컨트롤 플레인 시스템을 정의하는 Kubernetes 매니페스트 파일을 제거합니다. 

    $ rm -f <installation_directory>/openshift/99_openshift-cluster-api_master-machines-*.yaml

    이러한 파일을 제거하면 클러스터가 컨트롤 플레인 시스템을 자동으로 생성하지 못합니다.

  3. 작업자 시스템을 정의하는 Kubernetes 매니페스트 파일을 제거합니다. 

    $ rm -f <installation_directory>/openshift/99_openshift-cluster-api_worker-machineset-*.yaml

    작업자 시스템은 사용자가 직접 생성하고 관리하기 때문에 초기화할 필요가 없습니다.

  4. <installation_directory>/manifests/cluster-scheduler-02-config.yml Kubernetes 매니페스트 파일의 mastersSchedulable 매개변수가 false로 설정되어 있는지 확인합니다. 이 설정으로 인해 컨트롤 플레인 머신에서 포드가 예약되지 않습니다.

    1. <installation_directory>/manifests/cluster-scheduler-02-config.yml 파일을 엽니다.
    2. mastersSchedulable 매개변수를 찾아서 값을 False로 설정되어 있는지 확인합니다.
    3. 파일을 저장하고 종료합니다.

  5. 선택사항: Ingress Operator가 사용자 대신 DNS 레코드를 생성하지 못하도록 하려면 <installation_directory>/manifests/cluster-dns-02-config.yml DNS 구성 파일에서 privateZonepublicZone 섹션을 제거합니다. 

    apiVersion: config.openshift.io/v1
kind: DNS
metadata:
  creationTimestamp: null
  name: cluster
spec:
  baseDomain: example.openshift.com
  privateZone: 1
    id: mycluster-100419-private-zone
  publicZone: 2
    id: example.openshift.com
status: {}
    1 2
    이 섹션을 완전히 제거합니다.

    제거한 경우 나중에 인그레스 DNS 레코드를 수동으로 추가해야 합니다.

  6. Ignition 구성 파일을 생성하려면 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행합니다. 

    $ ./openshift-install create ignition-configs --dir <installation_directory> 1
    1
    <installation_directory>는 동일한 설치 디렉터리를 지정합니다.

    설치 디렉터리의 부트스트랩, 컨트롤 플레인 및 컴퓨팅 노드에 대한 Ignition 구성 파일이 생성됩니다. kubeadmin-passwordkubeconfig 파일은 ./<installation_directory>/auth 디렉터리에 생성됩니다. 

    .
├── auth
│   ├── kubeadmin-password
│   └── kubeconfig
├── bootstrap.ign
├── master.ign
├── metadata.json
└── worker.ign

5.14.8. 인프라 이름 추출

Ignition 구성 파일에는 AWS(Amazon Web Services)에서 클러스터를 고유하게 식별하는 데 사용할 수 있는 고유한 클러스터 ID가 포함되어 있습니다. 인프라 이름은 OpenShift Container Platform 설치 중에 적절한 AWS 리소스를 찾는 데도 사용됩니다. 제공된 CloudFormation 템플릿에 이 인프라 이름에 대한 참조가 포함되어 있으므로 이름을 추출해야 합니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받으셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • jq CLI를 설치하셨습니다.

프로세스

  • Ignition 구성 파일 메타데이터에서 인프라 이름을 추출하여 확인하려면 다음 명령을 실행하십시오. 

    $ jq -r .infraID <installation_directory>/metadata.json 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    출력 예

    openshift-vw9j6 1

    1
    이 명령의 출력은 클러스터 이름과 임의의 문자열입니다.

5.14.9. AWS에서 VPC 생성

OpenShift Container Platform 클러스터에서 사용할 VPC(Virtual Private Cloud)를 AWS(Amazon Web Services)에서 생성해야 합니다. VPN 및 라우팅 테이블 등 요구사항에 맞게 VPC를 사용자 지정할 수 있습니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 VPC를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "VpcCidr", 1
    "ParameterValue": "10.0.0.0/16" 2
  },
  {
    "ParameterKey": "AvailabilityZoneCount", 3
    "ParameterValue": "1" 4
  },
  {
    "ParameterKey": "SubnetBits", 5
    "ParameterValue": "12" 6
  }
]
    1
    VPC의 CIDR 블록입니다.
    2
    xxxx/16-24 형식으로 CIDR 블록을 지정합니다.
    3
    VPC를 배포할 가용성 영역의 수입니다.
    4
    13 사이의 정수를 지정합니다.
    5
    각 가용성 영역에 있는 각 서브넷의 크기입니다.
    6
    513 사이의 정수를 지정합니다. 여기서 5/27이고 13/19입니다.
  2. 이 항목의 VPC 섹션에 대한 CloudFormation 템플릿섹션에서 템플릿을 복사하여 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 VPC를 설명합니다.

  3. CloudFormation 템플릿을 시작하여 VPC를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-vpc). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-vpc/dbedae40-2fd3-11eb-820e-12a48460849f

  4. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    VpcId

    VPC의 ID입니다.

    PublicSubnetIds

    새 퍼블릭 서브넷의 ID입니다.

    PrivateSubnetIds

    새 프라이빗 서브넷의 ID입니다.

5.14.9.1. VPC용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 VPC를 배포할 수 있습니다.

예 5.62. VPC용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for Best Practice VPC with 1-3 AZs

Parameters:
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  AvailabilityZoneCount:
    ConstraintDescription: "The number of availability zones. (Min: 1, Max: 3)"
    MinValue: 1
    MaxValue: 3
    Default: 1
    Description: "How many AZs to create VPC subnets for. (Min: 1, Max: 3)"
    Type: Number
  SubnetBits:
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/19-27.
    MinValue: 5
    MaxValue: 13
    Default: 12
    Description: "Size of each subnet to create within the availability zones. (Min: 5 = /27, Max: 13 = /19)"
    Type: Number

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcCidr
      - SubnetBits
    - Label:
        default: "Availability Zones"
      Parameters:
      - AvailabilityZoneCount
    ParameterLabels:
      AvailabilityZoneCount:
        default: "Availability Zone Count"
      VpcCidr:
        default: "VPC CIDR"
      SubnetBits:
        default: "Bits Per Subnet"

Conditions:
  DoAz3: !Equals [3, !Ref AvailabilityZoneCount]
  DoAz2: !Or [!Equals [2, !Ref AvailabilityZoneCount], Condition: DoAz3]

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      EnableDnsSupport: "true"
      EnableDnsHostnames: "true"
      CidrBlock: !Ref VpcCidr
  PublicSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [0, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [1, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PublicSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [2, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
  GatewayToInternet:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
  PublicRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PublicRoute:
    Type: "AWS::EC2::Route"
    DependsOn: GatewayToInternet
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway
  PublicSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable
  PublicSubnetRouteTableAssociation3:
    Condition: DoAz3
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PublicSubnet3
      RouteTableId: !Ref PublicRouteTable
  PrivateSubnet:
    Type: "AWS::EC2::Subnet"
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [3, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 0
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable:
    Type: "AWS::EC2::RouteTable"
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable
  NAT:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP
        - AllocationId
      SubnetId: !Ref PublicSubnet
  EIP:
    Type: "AWS::EC2::EIP"
    Properties:
      Domain: vpc
  Route:
    Type: "AWS::EC2::Route"
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT
  PrivateSubnet2:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [4, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 1
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable2:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz2
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation2:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz2
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable2
  NAT2:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz2
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP2
        - AllocationId
      SubnetId: !Ref PublicSubnet2
  EIP2:
    Type: "AWS::EC2::EIP"
    Condition: DoAz2
    Properties:
      Domain: vpc
  Route2:
    Type: "AWS::EC2::Route"
    Condition: DoAz2
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable2
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT2
  PrivateSubnet3:
    Type: "AWS::EC2::Subnet"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
      CidrBlock: !Select [5, !Cidr [!Ref VpcCidr, 6, !Ref SubnetBits]]
      AvailabilityZone: !Select
      - 2
      - Fn::GetAZs: !Ref "AWS::Region"
  PrivateRouteTable3:
    Type: "AWS::EC2::RouteTable"
    Condition: DoAz3
    Properties:
      VpcId: !Ref VPC
  PrivateSubnetRouteTableAssociation3:
    Type: "AWS::EC2::SubnetRouteTableAssociation"
    Condition: DoAz3
    Properties:
      SubnetId: !Ref PrivateSubnet3
      RouteTableId: !Ref PrivateRouteTable3
  NAT3:
    DependsOn:
    - GatewayToInternet
    Type: "AWS::EC2::NatGateway"
    Condition: DoAz3
    Properties:
      AllocationId:
        "Fn::GetAtt":
        - EIP3
        - AllocationId
      SubnetId: !Ref PublicSubnet3
  EIP3:
    Type: "AWS::EC2::EIP"
    Condition: DoAz3
    Properties:
      Domain: vpc
  Route3:
    Type: "AWS::EC2::Route"
    Condition: DoAz3
    Properties:
      RouteTableId:
        Ref: PrivateRouteTable3
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: NAT3
  S3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: '*'
          Action:
          - '*'
          Resource:
          - '*'
      RouteTableIds:
      - !Ref PublicRouteTable
      - !Ref PrivateRouteTable
      - !If [DoAz2, !Ref PrivateRouteTable2, !Ref "AWS::NoValue"]
      - !If [DoAz3, !Ref PrivateRouteTable3, !Ref "AWS::NoValue"]
      ServiceName: !Join
      - ''
      - - com.amazonaws.
        - !Ref 'AWS::Region'
        - .s3
      VpcId: !Ref VPC

Outputs:
  VpcId:
    Description: ID of the new VPC.
    Value: !Ref VPC
  PublicSubnetIds:
    Description: Subnet IDs of the public subnets.
    Value:
      !Join [
        ",",
        [!Ref PublicSubnet, !If [DoAz2, !Ref PublicSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PublicSubnet3, !Ref "AWS::NoValue"]]
      ]
  PrivateSubnetIds:
    Description: Subnet IDs of the private subnets.
    Value:
      !Join [
        ",",
        [!Ref PrivateSubnet, !If [DoAz2, !Ref PrivateSubnet2, !Ref "AWS::NoValue"], !If [DoAz3, !Ref PrivateSubnet3, !Ref "AWS::NoValue"]]
      ]

5.14.10. AWS에서 네트워킹 및 로드 밸런싱 구성 요소 생성

AWS(Amazon Web Services)에서 OpenShift Container Platform 클러스터가 사용할 수 있는 네트워킹 및 클래식 또는 네트워크 로드 밸런싱을 구성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 클러스터에 필요한 네트워킹 및 로드 밸런싱 구성 요소를 나타냅니다. 템플릿은 호스팅 영역 및 서브넷 태그도 생성합니다.

단일 VPC(Virtual Private Cloud)에서 템플릿을 여러 번 실행할 수 있습니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.

프로세스

  1. 클러스터의 install-config.yaml 파일에서 지정한 Route 53 기본 도메인의 호스팅 영역 ID를 가져옵니다. 다음 명령을 실행하여 호스팅 영역에 대한 세부 정보를 얻을 수 있습니다. 

    $ aws route53 list-hosted-zones-by-name --dns-name <route53_domain> 1
    1
    <route53_domain>은 클러스터의 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인을 지정합니다.

    출력 예

    mycluster.example.com.	False	100
HOSTEDZONES	65F8F38E-2268-B835-E15C-AB55336FCBFA	/hostedzone/Z21IXYZABCZ2A4	mycluster.example.com.	10

    예제 출력에서 호스팅 영역 ID는 Z21IXYZABCZ2A4입니다.

  2. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "ClusterName", 1
    "ParameterValue": "mycluster" 2
  },
  {
    "ParameterKey": "InfrastructureName", 3
    "ParameterValue": "mycluster-<random_string>" 4
  },
  {
    "ParameterKey": "HostedZoneId", 5
    "ParameterValue": "<random_string>" 6
  },
  {
    "ParameterKey": "HostedZoneName", 7
    "ParameterValue": "example.com" 8
  },
  {
    "ParameterKey": "PublicSubnets", 9
    "ParameterValue": "subnet-<random_string>" 10
  },
  {
    "ParameterKey": "PrivateSubnets", 11
    "ParameterValue": "subnet-<random_string>" 12
  },
  {
    "ParameterKey": "VpcId", 13
    "ParameterValue": "vpc-<random_string>" 14
  }
]
    1
    호스트 이름에 사용할 짧은 대표 클러스터 이름입니다.
    2
    클러스터의 install-config.yaml 파일을 생성할 때 사용한 클러스터 이름을 지정합니다.
    3
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    4
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    5
    대상을 등록할 Route 53 공용 영역 ID입니다.
    6
    Route 53 공용 영역 ID를 Z21IXYZABCZ2A4와 유사한 형식으로 지정합니다. 이 값은 AWS 콘솔에서 가져올 수 있습니다.
    7
    대상을 등록할 Route 53 영역입니다.
    8
    클러스터의 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인을 지정합니다. AWS 콘솔에 표시되는 후행 마침표(.)는 포함하지 마십시오.
    9
    VPC용으로 만든 퍼블릭 서브넷입니다.
    10
    VPC에 대한 CloudFormation 템플릿의 출력에서 PublicSubnetIds 값을 지정합니다.
    11
    VPC용으로 만든 프라이빗 서브넷입니다.
    12
    VPC에 대한 CloudFormation 템플릿의 출력에서 PrivateSubnetIds 값을 지정합니다.
    13
    클러스터용으로 만든 VPC입니다.
    14
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.

  3. 이 항목의 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 네트워킹 및 로드 밸런싱 개체를 설명합니다.

    중요

    클러스터를 AWS 정부 또는 시크릿 리전에 배포하는 경우 CNAME 레코드를 사용하여 CloudFormation 템플릿에서 InternalApiServerRecord를 업데이트해야 합니다. ALIAS 유형의 레코드는 AWS 정부 리전에서 지원되지 않습니다.

  4. CloudFormation 템플릿을 시작하여 네트워킹 및 로드 밸런싱 구성 요소를 제공하는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-dns). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::Role 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-dns/cd3e5de0-2fd4-11eb-5cf0-12be5c33a183

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    PrivateHostedZoneId

    프라이빗 DNS의 호스팅 영역 ID입니다.

    ExternalApiLoadBalancerName

    외부 API 로드 밸런서의 전체 이름입니다.

    InternalApiLoadBalancerName

    내부 API 로드 밸런서의 전체 이름입니다.

    ApiServerDnsName

    API 서버의 전체 호스트 이름입니다.

    RegisterNlbIpTargetsLambda

    이러한 로드 밸런서의 IP 대상 등록/등록 취소에 유용한 Lambda ARN입니다.

    ExternalApiTargetGroupArn

    외부 API 대상 그룹의 ARN입니다.

    InternalApiTargetGroupArn

    내부 API 대상 그룹의 ARN입니다.

    InternalServiceTargetGroupArn

    내부 서비스 대상 그룹의 ARN입니다.

5.14.10.1. 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 네트워킹 개체 및 로드 밸런서를 배포할 수 있습니다.

예 5.63. 네트워크 및 로드 밸런서에 대한 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Network Elements (Route53 & LBs)

Parameters:
  ClusterName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Cluster name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, representative cluster name to use for host names and other identifying names.
    Type: String
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  HostedZoneId:
    Description: The Route53 public zone ID to register the targets with, such as Z21IXYZABCZ2A4.
    Type: String
  HostedZoneName:
    Description: The Route53 zone to register the targets with, such as example.com. Omit the trailing period.
    Type: String
    Default: "example.com"
  PublicSubnets:
    Description: The internet-facing subnets.
    Type: List<AWS::EC2::Subnet::Id>
  PrivateSubnets:
    Description: The internal subnets.
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - ClusterName
      - InfrastructureName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - PublicSubnets
      - PrivateSubnets
    - Label:
        default: "DNS"
      Parameters:
      - HostedZoneName
      - HostedZoneId
    ParameterLabels:
      ClusterName:
        default: "Cluster Name"
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      PublicSubnets:
        default: "Public Subnets"
      PrivateSubnets:
        default: "Private Subnets"
      HostedZoneName:
        default: "Public Hosted Zone Name"
      HostedZoneId:
        default: "Public Hosted Zone ID"

Resources:
  ExtApiElb:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Join ["-", [!Ref InfrastructureName, "ext"]]
      IpAddressType: ipv4
      Subnets: !Ref PublicSubnets
      Type: network

  IntApiElb:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Join ["-", [!Ref InfrastructureName, "int"]]
      Scheme: internal
      IpAddressType: ipv4
      Subnets: !Ref PrivateSubnets
      Type: network

  IntDns:
    Type: "AWS::Route53::HostedZone"
    Properties:
      HostedZoneConfig:
        Comment: "Managed by CloudFormation"
      Name: !Join [".", [!Ref ClusterName, !Ref HostedZoneName]]
      HostedZoneTags:
      - Key: Name
        Value: !Join ["-", [!Ref InfrastructureName, "int"]]
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "owned"
      VPCs:
      - VPCId: !Ref VpcId
        VPCRegion: !Ref "AWS::Region"

  ExternalApiServerRecord:
    Type: AWS::Route53::RecordSetGroup
    Properties:
      Comment: Alias record for the API server
      HostedZoneId: !Ref HostedZoneId
      RecordSets:
      - Name:
          !Join [
            ".",
            ["api", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt ExtApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt ExtApiElb.DNSName

  InternalApiServerRecord:
    Type: AWS::Route53::RecordSetGroup
    Properties:
      Comment: Alias record for the API server
      HostedZoneId: !Ref IntDns
      RecordSets:
      - Name:
          !Join [
            ".",
            ["api", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt IntApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt IntApiElb.DNSName
      - Name:
          !Join [
            ".",
            ["api-int", !Ref ClusterName, !Join ["", [!Ref HostedZoneName, "."]]],
          ]
        Type: A
        AliasTarget:
          HostedZoneId: !GetAtt IntApiElb.CanonicalHostedZoneID
          DNSName: !GetAtt IntApiElb.DNSName

  ExternalApiListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: ExternalApiTargetGroup
      LoadBalancerArn:
        Ref: ExtApiElb
      Port: 6443
      Protocol: TCP

  ExternalApiTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/readyz"
      HealthCheckPort: 6443
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 6443
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  InternalApiListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: InternalApiTargetGroup
      LoadBalancerArn:
        Ref: IntApiElb
      Port: 6443
      Protocol: TCP

  InternalApiTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/readyz"
      HealthCheckPort: 6443
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 6443
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  InternalServiceInternalListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
      - Type: forward
        TargetGroupArn:
          Ref: InternalServiceTargetGroup
      LoadBalancerArn:
        Ref: IntApiElb
      Port: 22623
      Protocol: TCP

  InternalServiceTargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckIntervalSeconds: 10
      HealthCheckPath: "/healthz"
      HealthCheckPort: 22623
      HealthCheckProtocol: HTTPS
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 2
      Port: 22623
      Protocol: TCP
      TargetType: ip
      VpcId:
        Ref: VpcId
      TargetGroupAttributes:
      - Key: deregistration_delay.timeout_seconds
        Value: 60

  RegisterTargetLambdaIamRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Join ["-", [!Ref InfrastructureName, "nlb", "lambda", "role"]]
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "lambda.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "master", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref InternalApiTargetGroup
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref InternalServiceTargetGroup
          - Effect: "Allow"
            Action:
              [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:DeregisterTargets",
              ]
            Resource: !Ref ExternalApiTargetGroup

  RegisterNlbIpTargets:
    Type: "AWS::Lambda::Function"
    Properties:
      Handler: "index.handler"
      Role:
        Fn::GetAtt:
        - "RegisterTargetLambdaIamRole"
        - "Arn"
      Code:
        ZipFile: |
          import json
          import boto3
          import cfnresponse
          def handler(event, context):
            elb = boto3.client('elbv2')
            if event['RequestType'] == 'Delete':
              elb.deregister_targets(TargetGroupArn=event['ResourceProperties']['TargetArn'],Targets=[{'Id': event['ResourceProperties']['TargetIp']}])
            elif event['RequestType'] == 'Create':
              elb.register_targets(TargetGroupArn=event['ResourceProperties']['TargetArn'],Targets=[{'Id': event['ResourceProperties']['TargetIp']}])
            responseData = {}
            cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, event['ResourceProperties']['TargetArn']+event['ResourceProperties']['TargetIp'])
      Runtime: "python3.7"
      Timeout: 120

  RegisterSubnetTagsLambdaIamRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Join ["-", [!Ref InfrastructureName, "subnet-tags-lambda-role"]]
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "lambda.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "subnet-tagging-policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
              [
                "ec2:DeleteTags",
                "ec2:CreateTags"
              ]
            Resource: "arn:aws:ec2:*:*:subnet/*"
          - Effect: "Allow"
            Action:
              [
                "ec2:DescribeSubnets",
                "ec2:DescribeTags"
              ]
            Resource: "*"

  RegisterSubnetTags:
    Type: "AWS::Lambda::Function"
    Properties:
      Handler: "index.handler"
      Role:
        Fn::GetAtt:
        - "RegisterSubnetTagsLambdaIamRole"
        - "Arn"
      Code:
        ZipFile: |
          import json
          import boto3
          import cfnresponse
          def handler(event, context):
            ec2_client = boto3.client('ec2')
            if event['RequestType'] == 'Delete':
              for subnet_id in event['ResourceProperties']['Subnets']:
                ec2_client.delete_tags(Resources=[subnet_id], Tags=[{'Key': 'kubernetes.io/cluster/' + event['ResourceProperties']['InfrastructureName']}]);
            elif event['RequestType'] == 'Create':
              for subnet_id in event['ResourceProperties']['Subnets']:
                ec2_client.create_tags(Resources=[subnet_id], Tags=[{'Key': 'kubernetes.io/cluster/' + event['ResourceProperties']['InfrastructureName'], 'Value': 'shared'}]);
            responseData = {}
            cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, event['ResourceProperties']['InfrastructureName']+event['ResourceProperties']['Subnets'][0])
      Runtime: "python3.7"
      Timeout: 120

  RegisterPublicSubnetTags:
    Type: Custom::SubnetRegister
    Properties:
      ServiceToken: !GetAtt RegisterSubnetTags.Arn
      InfrastructureName: !Ref InfrastructureName
      Subnets: !Ref PublicSubnets

  RegisterPrivateSubnetTags:
    Type: Custom::SubnetRegister
    Properties:
      ServiceToken: !GetAtt RegisterSubnetTags.Arn
      InfrastructureName: !Ref InfrastructureName
      Subnets: !Ref PrivateSubnets

Outputs:
  PrivateHostedZoneId:
    Description: Hosted zone ID for the private DNS, which is required for private records.
    Value: !Ref IntDns
  ExternalApiLoadBalancerName:
    Description: Full name of the external API load balancer.
    Value: !GetAtt ExtApiElb.LoadBalancerFullName
  InternalApiLoadBalancerName:
    Description: Full name of the internal API load balancer.
    Value: !GetAtt IntApiElb.LoadBalancerFullName
  ApiServerDnsName:
    Description: Full hostname of the API server, which is required for the Ignition config files.
    Value: !Join [".", ["api-int", !Ref ClusterName, !Ref HostedZoneName]]
  RegisterNlbIpTargetsLambda:
    Description: Lambda ARN useful to help register or deregister IP targets for these load balancers.
    Value: !GetAtt RegisterNlbIpTargets.Arn
  ExternalApiTargetGroupArn:
    Description: ARN of the external API target group.
    Value: !Ref ExternalApiTargetGroup
  InternalApiTargetGroupArn:
    Description: ARN of the internal API target group.
    Value: !Ref InternalApiTargetGroup
  InternalServiceTargetGroupArn:
    Description: ARN of the internal service target group.
    Value: !Ref InternalServiceTargetGroup
중요

클러스터를 AWS 정부 또는 시크릿 리전에 배포하는 경우 CNAME 레코드를 사용하도록 InternalApiServerRecord를 업데이트해야 합니다. ALIAS 유형의 레코드는 AWS 정부 리전에서 지원되지 않습니다. 예를 들면 다음과 같습니다. 

Type: CNAME
TTL: 10
ResourceRecords:
- !GetAtt IntApiElb.DNSName

추가 리소스

5.14.11. AWS에서 보안 그룹 및 역할 생성

OpenShift Container Platform 클러스터에서 사용할 보안 그룹 및 역할을 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 클러스터에 필요한 보안 그룹 및 역할을 나타냅니다.

참고

AWS 인프라를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "VpcCidr", 3
    "ParameterValue": "10.0.0.0/16" 4
  },
  {
    "ParameterKey": "PrivateSubnets", 5
    "ParameterValue": "subnet-<random_string>" 6
  },
  {
    "ParameterKey": "VpcId", 7
    "ParameterValue": "vpc-<random_string>" 8
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    VPC의 CIDR 블록입니다.
    4
    xxxx/16-24 양식으로 정의하고 VPC에 사용한 CIDR 블록 매개변수를 지정합니다.
    5
    VPC용으로 만든 프라이빗 서브넷입니다.
    6
    VPC에 대한 CloudFormation 템플릿의 출력에서 PrivateSubnetIds 값을 지정합니다.
    7
    클러스터용으로 만든 VPC입니다.
    8
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.
  2. 이 항목의 보안 개체에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 컴퓨터에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 보안 그룹 및 역할을 설명합니다.

  3. CloudFormation 템플릿을 시작하여 보안 그룹 및 역할을 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-sec). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::RoleAWS::IAM::InstanceProfile 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-sec/03bd4210-2ed7-11eb-6d7a-13fc0b61e9db

  4. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    MasterSecurityGroupId

    마스터 보안 그룹 ID

    WorkerSecurityGroupId

    작업자 보안 그룹 ID

    MasterInstanceProfile

    마스터 IAM 인스턴스 프로필

    WorkerInstanceProfile

    작업자 IAM 인스턴스 프로필

5.14.11.1. 보안 개체의 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 보안 개체를 배포할 수 있습니다.

예 5.64. 보안 개체의 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Security Elements (Security Groups & IAM)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  VpcCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(1[6-9]|2[0-4]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/16-24.
    Default: 10.0.0.0/16
    Description: CIDR block for VPC.
    Type: String
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id
  PrivateSubnets:
    Description: The internal subnets.
    Type: List<AWS::EC2::Subnet::Id>

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - VpcCidr
      - PrivateSubnets
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      VpcCidr:
        default: "VPC CIDR"
      PrivateSubnets:
        default: "Private Subnets"

Resources:
  MasterSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Master Security Group
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: 0
        ToPort: 0
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        ToPort: 6443
        FromPort: 6443
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22623
        ToPort: 22623
        CidrIp: !Ref VpcCidr
      VpcId: !Ref VpcId

  WorkerSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Worker Security Group
      SecurityGroupIngress:
      - IpProtocol: icmp
        FromPort: 0
        ToPort: 0
        CidrIp: !Ref VpcCidr
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref VpcCidr
      VpcId: !Ref VpcId

  MasterIngressEtcd:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: etcd
      FromPort: 2379
      ToPort: 2380
      IpProtocol: tcp

  MasterIngressVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  MasterIngressWorkerVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  MasterIngressGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  MasterIngressWorkerGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  MasterIngressIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  MasterIngressIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  MasterIngressIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  MasterIngressWorkerIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  MasterIngressWorkerIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  MasterIngressWorkerIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  MasterIngressInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  MasterIngressWorkerInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  MasterIngressInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  MasterIngressWorkerInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  MasterIngressKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes kubelet, scheduler and controller manager
      FromPort: 10250
      ToPort: 10259
      IpProtocol: tcp

  MasterIngressWorkerKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes kubelet, scheduler and controller manager
      FromPort: 10250
      ToPort: 10259
      IpProtocol: tcp

  MasterIngressIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  MasterIngressWorkerIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  MasterIngressIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  MasterIngressWorkerIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt MasterSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  WorkerIngressVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  WorkerIngressMasterVxlan:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Vxlan packets
      FromPort: 4789
      ToPort: 4789
      IpProtocol: udp

  WorkerIngressGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  WorkerIngressMasterGeneve:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Geneve packets
      FromPort: 6081
      ToPort: 6081
      IpProtocol: udp

  WorkerIngressIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  WorkerIngressIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  WorkerIngressIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  WorkerIngressMasterIpsecIke:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec IKE packets
      FromPort: 500
      ToPort: 500
      IpProtocol: udp

  WorkerIngressMasterIpsecNat:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec NAT-T packets
      FromPort: 4500
      ToPort: 4500
      IpProtocol: udp

  WorkerIngressMasterIpsecEsp:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: IPsec ESP packets
      IpProtocol: 50

  WorkerIngressInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  WorkerIngressMasterInternal:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: tcp

  WorkerIngressInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  WorkerIngressMasterInternalUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal cluster communication
      FromPort: 9000
      ToPort: 9999
      IpProtocol: udp

  WorkerIngressKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes secure kubelet port
      FromPort: 10250
      ToPort: 10250
      IpProtocol: tcp

  WorkerIngressWorkerKube:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Internal Kubernetes communication
      FromPort: 10250
      ToPort: 10250
      IpProtocol: tcp

  WorkerIngressIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  WorkerIngressMasterIngressServices:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: tcp

  WorkerIngressIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt WorkerSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  WorkerIngressMasterIngressServicesUDP:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !GetAtt WorkerSecurityGroup.GroupId
      SourceSecurityGroupId: !GetAtt MasterSecurityGroup.GroupId
      Description: Kubernetes ingress services
      FromPort: 30000
      ToPort: 32767
      IpProtocol: udp

  MasterIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "master", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
            - "ec2:AttachVolume"
            - "ec2:AuthorizeSecurityGroupIngress"
            - "ec2:CreateSecurityGroup"
            - "ec2:CreateTags"
            - "ec2:CreateVolume"
            - "ec2:DeleteSecurityGroup"
            - "ec2:DeleteVolume"
            - "ec2:Describe*"
            - "ec2:DetachVolume"
            - "ec2:ModifyInstanceAttribute"
            - "ec2:ModifyVolume"
            - "ec2:RevokeSecurityGroupIngress"
            - "elasticloadbalancing:AddTags"
            - "elasticloadbalancing:AttachLoadBalancerToSubnets"
            - "elasticloadbalancing:ApplySecurityGroupsToLoadBalancer"
            - "elasticloadbalancing:CreateListener"
            - "elasticloadbalancing:CreateLoadBalancer"
            - "elasticloadbalancing:CreateLoadBalancerPolicy"
            - "elasticloadbalancing:CreateLoadBalancerListeners"
            - "elasticloadbalancing:CreateTargetGroup"
            - "elasticloadbalancing:ConfigureHealthCheck"
            - "elasticloadbalancing:DeleteListener"
            - "elasticloadbalancing:DeleteLoadBalancer"
            - "elasticloadbalancing:DeleteLoadBalancerListeners"
            - "elasticloadbalancing:DeleteTargetGroup"
            - "elasticloadbalancing:DeregisterInstancesFromLoadBalancer"
            - "elasticloadbalancing:DeregisterTargets"
            - "elasticloadbalancing:Describe*"
            - "elasticloadbalancing:DetachLoadBalancerFromSubnets"
            - "elasticloadbalancing:ModifyListener"
            - "elasticloadbalancing:ModifyLoadBalancerAttributes"
            - "elasticloadbalancing:ModifyTargetGroup"
            - "elasticloadbalancing:ModifyTargetGroupAttributes"
            - "elasticloadbalancing:RegisterInstancesWithLoadBalancer"
            - "elasticloadbalancing:RegisterTargets"
            - "elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer"
            - "elasticloadbalancing:SetLoadBalancerPoliciesOfListener"
            - "kms:DescribeKey"
            Resource: "*"

  MasterInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Roles:
      - Ref: "MasterIamRole"

  WorkerIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "worker", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action:
            - "ec2:DescribeInstances"
            - "ec2:DescribeRegions"
            Resource: "*"

  WorkerInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Roles:
      - Ref: "WorkerIamRole"

Outputs:
  MasterSecurityGroupId:
    Description: Master Security Group ID
    Value: !GetAtt MasterSecurityGroup.GroupId

  WorkerSecurityGroupId:
    Description: Worker Security Group ID
    Value: !GetAtt WorkerSecurityGroup.GroupId

  MasterInstanceProfile:
    Description: Master IAM Instance Profile
    Value: !Ref MasterInstanceProfile

  WorkerInstanceProfile:
    Description: Worker IAM Instance Profile
    Value: !Ref WorkerInstanceProfile

5.14.12. 스트림 메타데이터를 사용하여 RHCOS AMI에 액세스

OpenShift Container Platform에서 스트림 메타데이터는 JSON 형식으로 RHCOS에 대한 표준화된 메타데이터를 제공하고 클러스터에 메타데이터를 삽입합니다. 스트림 메타데이터는 여러 아키텍처를 지원하는 안정적인 형식이며 자동화 유지하기 위해 자체 문서화하도록 설계되었습니다.

openshift-installcoreos print-stream-json 하위 명령을 사용하여 스트림 메타데이터 형식의 부트 이미지에 대한 정보에 액세스할 수 있습니다. 이 명령은 스트림 메타데이터를 스크립트가 가능하고 컴퓨터가 읽을 수 있는 형식으로 인쇄하는 방법을 제공합니다.

사용자 프로비저닝 설치의 경우 openshift-install 바이너리에는 AWS AMI와 같은 OpenShift Container Platform과 함께 사용하기 위해 테스트된 RHCOS 부팅 이미지에 대한 참조가 포함되어 있습니다.

절차

스트림 메타데이터를 구문 분석하려면 다음 방법 중 하나를 사용합니다.

  • Go 프로그램에서는 https://github.com/coreos/stream-metadata-go에서의 공식 stream-metadata-go 라이브러리를 사용합니다. 라이브러리에서 예제 코드를 볼 수도 있습니다.
  • Python 또는 Ruby와 같은 다른 프로그래밍 언어에서 선호하는 프로그래밍 언어의 JSON 라이브러리를 사용합니다.

  • jq와 같은 JSON 데이터를 처리하는 명령줄 유틸리티에서 다음을 수행합니다.

    • AWS 리전의 현재 x86_64 또는 arm64 AMI(예: us-west-1) 를 출력합니다. 

      $ openshift-install coreos print-stream-json | jq -r '.architectures.x86_64.images.aws.regions["us-west-1"].image'

      출력 예

      ami-0d3e625f84626bbda

      이 명령의 출력은 지정된 아키텍처 및 us-west-1 리전의 AWS AMI ID입니다. AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.

5.14.13. AWS 인프라용 RHCOS AMI

Red Hat은 OpenShift Container Platform 노드에 수동으로 지정할 수 있는 다양한 AWS 리전 및 인스턴스 아키텍처에 유효한 RHCOS(Red Hat Enterprise Linux CoreOS) AMI를 제공합니다.

참고

사용자 고유의 AMI를 가져 와서 RHCOS AMI가 게시되지 않은 리전에 설치할 수도 있습니다.

표 5.43. x86_64 RHCOS AMIs
AWS 영역AWS AMI

af-south-1

ami-0f3804f5a2f913dcc

ap-east-1

ami-0de1febb30a83da66

ap-northeast-1

ami-0183df96a3e002687

ap-northeast-2

ami-06b8798cd60242798

ap-northeast-3

ami-00b16b33aa0951016

ap-south-1

ami-007243f8ff78e8294

ap-southeast-1

ami-079dfdacb5ab5a0d1

ap-southeast-2

ami-03882e39cb7785c32

ca-central-1

ami-05cba1f80cc8b1dbe

eu-central-1

ami-073c775bbe9cd434e

eu-north-1

ami-0763e6e75b681acc5

eu-south-1

ami-00d023f19775fb64b

eu-west-1

ami-0033e3f2331a530c4

eu-west-2

ami-00d8a741ebe74f0c4

eu-west-3

ami-09b04e7f60e3374a7

me-south-1

ami-0f8039330b6e54010

sa-east-1

ami-01af22f821b470ad1

us-east-1

ami-0c72f473496a7b1c2

us-east-2

ami-09e637fc5885c13cc

us-gov-east-1

ami-0c3b11bcccf6ec63c

us-gov-west-1

ami-084d95ff443d8bf99

us-west-1

ami-0fa0f6fce7e63dd26

us-west-2

ami-084fb1316cd1ed4cc

표 5.44. arm64 RHCOS AMI
AWS 영역AWS AMI

ap-east

ami-0f8195c36da4edbd7

ap-northeast-1

ami-000a86fa0a0b76144

ap-northeast-2

ami-0f772f5dc2347a954

ap-south-1

ami-02ab23e25b8e8af97

ap-southeast-1

ami-085ae5a7dcbfb056d

ap-southeast-2

ami-085ff9f4e8d4d66e0

ca-central-1

ami-0050cdf32f76ba82c

eu-central-1

ami-092527fcf7c21fe42

eu-north-1

ami-07d673450675ea033

eu-south-1

ami-0f165ac29cc9d27bf

eu-west-1

ami-0e0cd7d2eb949538d

eu-west-2

ami-0790ba70a444fe74d

eu-west-3

ami-0d16af5bd22cc5227

me-south-1

ami-05e1ba911ce321052

sa-east-1

ami-04b124534c7f05cd2

us-east-1

ami-09bbec91849ca85bc

us-east-2

ami-048ac599f7315a0bc

us-west-1

ami-0af1d3b7fa5be2131

us-west-2

ami-0bd3bf54ee678e2a6

5.14.14. AWS에서 부트스트랩 노드 생성

OpenShift Container Platform 클러스터 초기화 과정에서 사용할 부트스트랩 노드를 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 AWS 리소스 스택을 생성할 수 있습니다. 스택은 OpenShift Container Platform 설치에 필요한 부트스트랩 노드를 나타냅니다.

참고

부트스트랩 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.

프로세스

  1. bootstrap.ign Ignition 구성 파일을 클러스터에 제공할 위치를 지정합니다. 이 파일은 설치 디렉터리에 있습니다. 한 가지 방법은 클러스터의 리전에 S3 버킷을 생성하고 여기에 Ignition 구성 파일을 업로드하는 것입니다.

    중요

    제공된 CloudFormation 템플릿은 클러스터의 Ignition 구성 파일이 S3 버킷에서 제공되는 것으로 가정합니다. 다른 위치에서 파일을 제공하려면 템플릿을 수정해야 합니다.

    중요

    AWS SDK와 다른 엔드 포인트가 있는 리전에 배포하거나 자체 사용자 지정 엔드 포인트를 제공하는 경우 s3:// 스키마 대신 사전에 서명된 URL을 S3 버킷에 사용해야 합니다.

    참고

    부트스트랩 Ignition 구성 파일에는 X.509 키와 같은 시크릿이 포함되어 있습니다. 다음 단계는 S3 버킷에 대한 기본 보안을 제공합니다. 추가 보안을 제공하기 위해 OpenShift IAM 사용자와 같은 특정 사용자만 버킷에 포함된 개체에 액세스할 수 있도록 S3 버킷 정책을 활성화할 수 있습니다. S3과 관계없이 부트스트랩 시스템이 도달할 수 있는 모든 주소에서 부트스트랩 Ignition 구성 파일을 제공할 수 있습니다.

    1. 버킷을 만듭니다. 

      $ aws s3 mb s3://<cluster-name>-infra 1
      1
      <cluster-name>-infra는 버킷 이름입니다. install-config.yaml 파일을 생성할 때 <cluster-name>을 클러스터에 지정된 이름으로 교체합니다.

    2. bootstrap.ign Ignition 구성 파일을 버킷에 업로드합니다. 

      $ aws s3 cp <installation_directory>/bootstrap.ign s3://<cluster-name>-infra/bootstrap.ign 1
      1
      <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    3. 파일이 업로드되었는지 확인합니다. 

      $ aws s3 ls s3://<cluster-name>-infra/

      출력 예

      2019-04-03 16:15:16     314878 bootstrap.ign

  2. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "AllowedBootstrapSshCidr", 5
    "ParameterValue": "0.0.0.0/0" 6
  },
  {
    "ParameterKey": "PublicSubnet", 7
    "ParameterValue": "subnet-<random_string>" 8
  },
  {
    "ParameterKey": "MasterSecurityGroupId", 9
    "ParameterValue": "sg-<random_string>" 10
  },
  {
    "ParameterKey": "VpcId", 11
    "ParameterValue": "vpc-<random_string>" 12
  },
  {
    "ParameterKey": "BootstrapIgnitionLocation", 13
    "ParameterValue": "s3://<bucket_name>/bootstrap.ign" 14
  },
  {
    "ParameterKey": "AutoRegisterELB", 15
    "ParameterValue": "yes" 16
  },
  {
    "ParameterKey": "RegisterNlbIpTargetsLambdaArn", 17
    "ParameterValue": "arn:aws:lambda:<region>:<account_number>:function:<dns_stack_name>-RegisterNlbIpTargets-<random_string>" 18
  },
  {
    "ParameterKey": "ExternalApiTargetGroupArn", 19
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Exter-<random_string>" 20
  },
  {
    "ParameterKey": "InternalApiTargetGroupArn", 21
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 22
  },
  {
    "ParameterKey": "InternalServiceTargetGroupArn", 23
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 24
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    부트스트랩 노드에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    부트스트랩 노드에 대한 SSH 액세스를 허용하는 CIDR 블록입니다.
    6
    xxxx/16-24 형식으로 CIDR 블록을 지정합니다.
    7
    부트스트랩 노드를 시작하기 위해 VPC와 연결되는 퍼블릭 서브넷입니다.
    8
    VPC에 대한 CloudFormation 템플릿의 출력에서 PublicSubnetIds 값을 지정합니다.
    9
    마스터 보안 그룹 ID(임시 규칙 등록용)입니다.
    10
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterSecurityGroupId 값을 지정합니다.
    11
    VPC 생성 리소스가 속합니다.
    12
    VPC에 대한 CloudFormation 템플릿의 출력에서 VpcId 값을 지정합니다.
    13
    부트스트랩 Ignition 구성 파일을 가져올 위치입니다.
    14
    S3 버킷과 파일 이름을 s3://<bucket_name>/bootstrap.ign 형식으로 지정합니다.
    15
    네트워크 로드 밸런서(NLB) 등록 여부입니다.
    16
    yes 또는 no를 지정합니다. yes를 지정하는 경우 Lambda ARN(Amazon Resource Name) 값을 제공해야 합니다.
    17
    NLB IP 대상 등록 lambda 그룹의 ARN입니다.
    18
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 RegisterNlbIpTargetsLambda 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    19
    외부 API 로드 밸런서 대상 그룹의 ARN입니다.
    20
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 ExternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    21
    내부 API 로드 밸런서 대상 그룹의 ARN입니다.
    22
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    23
    내부 서비스 로드 밸런서 대상 그룹의 ARN입니다.
    24
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalServiceTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
  3. 이 항목의 부트스트랩 시스템의 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 부트스트랩 시스템을 설명합니다.

  4. CloudFormation 템플릿을 시작하여 부트스트랩 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
     --capabilities CAPABILITY_NAMED_IAM 4
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-bootstrap). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.
    4
    제공된 템플릿에서 일부 AWS::IAM::RoleAWS::IAM::InstanceProfile 리소스를 생성하므로 CAPABILITY_NAMED_IAM 기능을 명시적으로 선언해야 합니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-bootstrap/12944486-2add-11eb-9dee-12dace8e3a83

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

    StackStatusCREATE_COMPLETE이 표시된 후 다음 매개변수의 출력 값이 표시됩니다. 클러스터를 생성하기 위해 실행하는 다른 CloudFormation 템플릿에 이러한 매개변수 값을 제공해야 합니다.

    BootstrapInstanceId

    부트스트랩 인스턴스 ID입니다.

    BootstrapPublicIp

    부트스트랩 노드 공용 IP 주소입니다.

    BootstrapPrivateIp

    부트스트랩 노드 개인 IP 주소입니다.

5.14.14.1. 부트스트랩 시스템용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 부트스트랩 시스템을 배포할 수 있습니다.

예 5.65. 부트스트랩 시스템용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Bootstrap (EC2 Instance, Security Groups and IAM)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag cloud resources and identify items owned or used by the cluster.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  AllowedBootstrapSshCidr:
    AllowedPattern: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/([0-9]|1[0-9]|2[0-9]|3[0-2]))$
    ConstraintDescription: CIDR block parameter must be in the form x.x.x.x/0-32.
    Default: 0.0.0.0/0
    Description: CIDR block to allow SSH access to the bootstrap node.
    Type: String
  PublicSubnet:
    Description: The public subnet to launch the bootstrap node into.
    Type: AWS::EC2::Subnet::Id
  MasterSecurityGroupId:
    Description: The master security group ID for registering temporary rules.
    Type: AWS::EC2::SecurityGroup::Id
  VpcId:
    Description: The VPC-scoped resources will belong to this VPC.
    Type: AWS::EC2::VPC::Id
  BootstrapIgnitionLocation:
    Default: s3://my-s3-bucket/bootstrap.ign
    Description: Ignition config file location.
    Type: String
  AutoRegisterELB:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke NLB registration, which requires a Lambda ARN parameter?
    Type: String
  RegisterNlbIpTargetsLambdaArn:
    Description: ARN for NLB IP target registration lambda.
    Type: String
  ExternalApiTargetGroupArn:
    Description: ARN for external API load balancer target group.
    Type: String
  InternalApiTargetGroupArn:
    Description: ARN for internal API load balancer target group.
    Type: String
  InternalServiceTargetGroupArn:
    Description: ARN for internal service load balancer target group.
    Type: String
  BootstrapInstanceType:
    Description: Instance type for the bootstrap EC2 instance
    Default: "i3.large"
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - RhcosAmi
      - BootstrapIgnitionLocation
      - MasterSecurityGroupId
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - AllowedBootstrapSshCidr
      - PublicSubnet
    - Label:
        default: "Load Balancer Automation"
      Parameters:
      - AutoRegisterELB
      - RegisterNlbIpTargetsLambdaArn
      - ExternalApiTargetGroupArn
      - InternalApiTargetGroupArn
      - InternalServiceTargetGroupArn
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      AllowedBootstrapSshCidr:
        default: "Allowed SSH Source"
      PublicSubnet:
        default: "Public Subnet"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      BootstrapIgnitionLocation:
        default: "Bootstrap Ignition Source"
      MasterSecurityGroupId:
        default: "Master Security Group ID"
      AutoRegisterELB:
        default: "Use Provided ELB Automation"

Conditions:
  DoRegistration: !Equals ["yes", !Ref AutoRegisterELB]

Resources:
  BootstrapIamRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
        - Effect: "Allow"
          Principal:
            Service:
            - "ec2.amazonaws.com"
          Action:
          - "sts:AssumeRole"
      Path: "/"
      Policies:
      - PolicyName: !Join ["-", [!Ref InfrastructureName, "bootstrap", "policy"]]
        PolicyDocument:
          Version: "2012-10-17"
          Statement:
          - Effect: "Allow"
            Action: "ec2:Describe*"
            Resource: "*"
          - Effect: "Allow"
            Action: "ec2:AttachVolume"
            Resource: "*"
          - Effect: "Allow"
            Action: "ec2:DetachVolume"
            Resource: "*"
          - Effect: "Allow"
            Action: "s3:GetObject"
            Resource: "*"

  BootstrapInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties:
      Path: "/"
      Roles:
      - Ref: "BootstrapIamRole"

  BootstrapSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: Cluster Bootstrap Security Group
      SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort: 22
        ToPort: 22
        CidrIp: !Ref AllowedBootstrapSshCidr
      - IpProtocol: tcp
        ToPort: 19531
        FromPort: 19531
        CidrIp: 0.0.0.0/0
      VpcId: !Ref VpcId

  BootstrapInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      IamInstanceProfile: !Ref BootstrapInstanceProfile
      InstanceType: !Ref BootstrapInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "true"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "BootstrapSecurityGroup"
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "PublicSubnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"replace":{"source":"${S3Loc}"}},"version":"3.1.0"}}'
        - {
          S3Loc: !Ref BootstrapIgnitionLocation
        }

  RegisterBootstrapApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

  RegisterBootstrapInternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

  RegisterBootstrapInternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt BootstrapInstance.PrivateIp

Outputs:
  BootstrapInstanceId:
    Description: Bootstrap Instance ID.
    Value: !Ref BootstrapInstance

  BootstrapPublicIp:
    Description: The bootstrap node public IP address.
    Value: !GetAtt BootstrapInstance.PublicIp

  BootstrapPrivateIp:
    Description: The bootstrap node private IP address.
    Value: !GetAtt BootstrapInstance.PrivateIp

추가 리소스

  • AWS 영역의 RHCOS(Red Hat Enterprise Linux CoreOS) AMI에 대한 자세한 내용은 AWS 인프라의 RHCOS AMI를 참조하십시오.

5.14.15. AWS에서 컨트롤 플레인 시스템 생성

클러스터가 사용할 컨트롤 플레인 시스템을 AWS(Amazon Web Services)에서 생성해야 합니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 컨트롤 플레인 노드를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

중요

CloudFormation 템플릿은 세 개의 컨트롤 플레인 노드를 나타내는 스택을 생성합니다.

참고

컨트롤 플레인 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.

프로세스

  1. 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 생성합니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "AutoRegisterDNS", 5
    "ParameterValue": "yes" 6
  },
  {
    "ParameterKey": "PrivateHostedZoneId", 7
    "ParameterValue": "<random_string>" 8
  },
  {
    "ParameterKey": "PrivateHostedZoneName", 9
    "ParameterValue": "mycluster.example.com" 10
  },
  {
    "ParameterKey": "Master0Subnet", 11
    "ParameterValue": "subnet-<random_string>" 12
  },
  {
    "ParameterKey": "Master1Subnet", 13
    "ParameterValue": "subnet-<random_string>" 14
  },
  {
    "ParameterKey": "Master2Subnet", 15
    "ParameterValue": "subnet-<random_string>" 16
  },
  {
    "ParameterKey": "MasterSecurityGroupId", 17
    "ParameterValue": "sg-<random_string>" 18
  },
  {
    "ParameterKey": "IgnitionLocation", 19
    "ParameterValue": "https://api-int.<cluster_name>.<domain_name>:22623/config/master" 20
  },
  {
    "ParameterKey": "CertificateAuthorities", 21
    "ParameterValue": "data:text/plain;charset=utf-8;base64,ABC...xYz==" 22
  },
  {
    "ParameterKey": "MasterInstanceProfileName", 23
    "ParameterValue": "<roles_stack>-MasterInstanceProfile-<random_string>" 24
  },
  {
    "ParameterKey": "MasterInstanceType", 25
    "ParameterValue": "m6i.xlarge" 26
  },
  {
    "ParameterKey": "AutoRegisterELB", 27
    "ParameterValue": "yes" 28
  },
  {
    "ParameterKey": "RegisterNlbIpTargetsLambdaArn", 29
    "ParameterValue": "arn:aws:lambda:<region>:<account_number>:function:<dns_stack_name>-RegisterNlbIpTargets-<random_string>" 30
  },
  {
    "ParameterKey": "ExternalApiTargetGroupArn", 31
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Exter-<random_string>" 32
  },
  {
    "ParameterKey": "InternalApiTargetGroupArn", 33
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 34
  },
  {
    "ParameterKey": "InternalServiceTargetGroupArn", 35
    "ParameterValue": "arn:aws:elasticloadbalancing:<region>:<account_number>:targetgroup/<dns_stack_name>-Inter-<random_string>" 36
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    컨트롤 플레인 시스템에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    DNS etcd 등록을 수행할지 여부입니다.
    6
    yes 또는 no를 지정합니다. yes를 지정하는 경우 호스팅 영역 정보를 제공해야 합니다.
    7
    etcd 대상을 등록할 Route 53 프라이빗 영역 ID입니다.
    8
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateHostedZoneId 값을 지정합니다.
    9
    대상을 등록할 Route 53 영역입니다.
    10
    <cluster_name>.<domain_name>을 지정합니다. 여기서 <domain_name>은 클러스터에 대한 install-config.yaml 파일을 생성할 때 사용한 Route 53 기본 도메인입니다. AWS 콘솔에 표시되는 후행 마침표(.)는 포함하지 마십시오.
    11 13 15
    컨트롤 플레인 시스템을 시작하기 위한 서브넷(프라이빗)입니다.
    12 14 16
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateSubnets 값의 서브넷을 지정합니다.
    17
    컨트롤 플레인 노드와 연결할 마스터 보안 그룹 ID입니다.
    18
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterSecurityGroupId 값을 지정합니다.
    19
    컨트롤 플레인 Ignition 구성 파일을 가져올 위치입니다.
    20
    생성된 Ignition 구성 파일 위치(https://api-int.<cluster_name>.<domain_name>:22623/config/master)를 지정합니다.
    21
    사용할 base64로 인코딩 인증 기관 문자열입니다.
    22
    설치 디렉터리에 있는 master.ign 파일에서 값을 지정합니다. 이 값은 data:text/plain;charset=utf-8;base64,ABC…​xYz== 형식의 긴 문자열입니다.
    23
    컨트롤 플레인 노드와 연결할 IAM 프로필입니다.
    24
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 MasterInstanceProfile 매개변수 값을 지정합니다.
    25
    컨트롤 플레인 시스템에 사용할 AWS 인스턴스 유형입니다.
    26
    인스턴스 유형 값은 컨트롤 플레인 시스템의 최소 리소스 요구 사항에 해당합니다.
    27
    네트워크 로드 밸런서(NLB) 등록 여부입니다.
    28
    yes 또는 no를 지정합니다. yes를 지정하는 경우 Lambda ARN(Amazon Resource Name) 값을 제공해야 합니다.
    29
    NLB IP 대상 등록 lambda 그룹의 ARN입니다.
    30
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 RegisterNlbIpTargetsLambda 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    31
    외부 API 로드 밸런서 대상 그룹의 ARN입니다.
    32
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 ExternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    33
    내부 API 로드 밸런서 대상 그룹의 ARN입니다.
    34
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalApiTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
    35
    내부 서비스 로드 밸런서 대상 그룹의 ARN입니다.
    36
    DNS 및 로드 밸런싱의 CloudFormation 템플릿 출력에서 InternalServiceTargetGroupArn 값을 지정합니다. 클러스터를 AWS GovCloud 리전에 배포하는 경우 arn:aws-us-gov를 사용합니다.
  2. 이 항목의 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 컨트롤 플레인 시스템을 설명합니다.
  3. MasterInstanceType 값으로 M5 인스턴스 유형을 지정한 경우 CloudFormation 템플릿의 MasterInstanceType.AllowedValues 매개변수에 해당 인스턴스 유형을 추가합니다.

  4. CloudFormation 템플릿을 시작하여 컨트롤 플레인 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-control-plane). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-control-plane/21c7e2b0-2ee2-11eb-c6f6-0aa34627df4b

    참고

    CloudFormation 템플릿은 세 개의 컨트롤 플레인 노드를 나타내는 스택을 생성합니다.

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>
5.14.15.1. 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 컨트롤 플레인 시스템을 배포할 수 있습니다.

예 5.66. 컨트롤 플레인 시스템에 대한 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Node Launch (EC2 master instances)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag nodes for the kubelet cloud provider.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  AutoRegisterDNS:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke DNS etcd registration, which requires Hosted Zone information?
    Type: String
  PrivateHostedZoneId:
    Description: The Route53 private zone ID to register the etcd targets with, such as Z21IXYZABCZ2A4.
    Type: String
  PrivateHostedZoneName:
    Description: The Route53 zone to register the targets with, such as cluster.example.com. Omit the trailing period.
    Type: String
  Master0Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  Master1Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  Master2Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  MasterSecurityGroupId:
    Description: The master security group ID to associate with master nodes.
    Type: AWS::EC2::SecurityGroup::Id
  IgnitionLocation:
    Default: https://api-int.$CLUSTER_NAME.$DOMAIN:22623/config/master
    Description: Ignition config file location.
    Type: String
  CertificateAuthorities:
    Default: data:text/plain;charset=utf-8;base64,ABC...xYz==
    Description: Base64 encoded certificate authority string to use.
    Type: String
  MasterInstanceProfileName:
    Description: IAM profile to associate with master nodes.
    Type: String
  MasterInstanceType:
    Default: m5.xlarge
    Type: String

  AutoRegisterELB:
    Default: "yes"
    AllowedValues:
    - "yes"
    - "no"
    Description: Do you want to invoke NLB registration, which requires a Lambda ARN parameter?
    Type: String
  RegisterNlbIpTargetsLambdaArn:
    Description: ARN for NLB IP target registration lambda. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  ExternalApiTargetGroupArn:
    Description: ARN for external API load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  InternalApiTargetGroupArn:
    Description: ARN for internal API load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String
  InternalServiceTargetGroupArn:
    Description: ARN for internal service load balancer target group. Supply the value from the cluster infrastructure or select "no" for AutoRegisterELB.
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - MasterInstanceType
      - RhcosAmi
      - IgnitionLocation
      - CertificateAuthorities
      - MasterSecurityGroupId
      - MasterInstanceProfileName
    - Label:
        default: "Network Configuration"
      Parameters:
      - VpcId
      - AllowedBootstrapSshCidr
      - Master0Subnet
      - Master1Subnet
      - Master2Subnet
    - Label:
        default: "DNS"
      Parameters:
      - AutoRegisterDNS
      - PrivateHostedZoneName
      - PrivateHostedZoneId
    - Label:
        default: "Load Balancer Automation"
      Parameters:
      - AutoRegisterELB
      - RegisterNlbIpTargetsLambdaArn
      - ExternalApiTargetGroupArn
      - InternalApiTargetGroupArn
      - InternalServiceTargetGroupArn
    ParameterLabels:
      InfrastructureName:
        default: "Infrastructure Name"
      VpcId:
        default: "VPC ID"
      Master0Subnet:
        default: "Master-0 Subnet"
      Master1Subnet:
        default: "Master-1 Subnet"
      Master2Subnet:
        default: "Master-2 Subnet"
      MasterInstanceType:
        default: "Master Instance Type"
      MasterInstanceProfileName:
        default: "Master Instance Profile Name"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      BootstrapIgnitionLocation:
        default: "Master Ignition Source"
      CertificateAuthorities:
        default: "Ignition CA String"
      MasterSecurityGroupId:
        default: "Master Security Group ID"
      AutoRegisterDNS:
        default: "Use Provided DNS Automation"
      AutoRegisterELB:
        default: "Use Provided ELB Automation"
      PrivateHostedZoneName:
        default: "Private Hosted Zone Name"
      PrivateHostedZoneId:
        default: "Private Hosted Zone ID"

Conditions:
  DoRegistration: !Equals ["yes", !Ref AutoRegisterELB]
  DoDns: !Equals ["yes", !Ref AutoRegisterDNS]

Resources:
  Master0:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master0Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster0:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  RegisterMaster0InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  RegisterMaster0InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master0.PrivateIp

  Master1:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master1Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster1:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  RegisterMaster1InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  RegisterMaster1InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master1.PrivateIp

  Master2:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref MasterInstanceProfileName
      InstanceType: !Ref MasterInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "MasterSecurityGroupId"
        SubnetId: !Ref "Master2Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

  RegisterMaster2:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref ExternalApiTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  RegisterMaster2InternalApiTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalApiTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  RegisterMaster2InternalServiceTarget:
    Condition: DoRegistration
    Type: Custom::NLBRegister
    Properties:
      ServiceToken: !Ref RegisterNlbIpTargetsLambdaArn
      TargetArn: !Ref InternalServiceTargetGroupArn
      TargetIp: !GetAtt Master2.PrivateIp

  EtcdSrvRecords:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["_etcd-server-ssl._tcp", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-0", !Ref PrivateHostedZoneName]]],
      ]
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-1", !Ref PrivateHostedZoneName]]],
      ]
      - !Join [
        " ",
        ["0 10 2380", !Join [".", ["etcd-2", !Ref PrivateHostedZoneName]]],
      ]
      TTL: 60
      Type: SRV

  Etcd0Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-0", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master0.PrivateIp
      TTL: 60
      Type: A

  Etcd1Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-1", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master1.PrivateIp
      TTL: 60
      Type: A

  Etcd2Record:
    Condition: DoDns
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref PrivateHostedZoneId
      Name: !Join [".", ["etcd-2", !Ref PrivateHostedZoneName]]
      ResourceRecords:
      - !GetAtt Master2.PrivateIp
      TTL: 60
      Type: A

Outputs:
  PrivateIPs:
    Description: The control-plane node private IP addresses.
    Value:
      !Join [
        ",",
        [!GetAtt Master0.PrivateIp, !GetAtt Master1.PrivateIp, !GetAtt Master2.PrivateIp]
      ]

5.14.16. AWS에서 작업자 노드 생성

클러스터가 사용할 작업자 노드를 AWS(Amazon Web Services)에서 생성할 수 있습니다.

제공된 CloudFormation 템플릿과 사용자 정의 매개변수 파일을 사용하여 작업자 노드를 나타내는 AWS 리소스 스택을 생성할 수 있습니다.

중요

CloudFormation 템플릿은 하나의 작업자 노드를 나타내는 스택을 생성합니다. 각 작업자 노드의 스택을 생성해야 합니다.

참고

작업자 노드를 생성하는 데 제공된 CloudFormation 템플릿을 사용하지 않는 경우, 제공된 정보를 검토하고 수동으로 인프라를 생성해야 합니다.. 클러스터가 올바르게 초기화되지 않은 경우, Red Hat 지원팀에 설치 로그를 제시하여 문의해야 할 수도 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.
  • 컨트롤 플레인 시스템을 생성하셨습니다.

프로세스

  1. CloudFormation 템플릿에 필요한 매개변수 값이 포함된 JSON 파일을 만듭니다. 

    [
  {
    "ParameterKey": "InfrastructureName", 1
    "ParameterValue": "mycluster-<random_string>" 2
  },
  {
    "ParameterKey": "RhcosAmi", 3
    "ParameterValue": "ami-<random_string>" 4
  },
  {
    "ParameterKey": "Subnet", 5
    "ParameterValue": "subnet-<random_string>" 6
  },
  {
    "ParameterKey": "WorkerSecurityGroupId", 7
    "ParameterValue": "sg-<random_string>" 8
  },
  {
    "ParameterKey": "IgnitionLocation", 9
    "ParameterValue": "https://api-int.<cluster_name>.<domain_name>:22623/config/worker" 10
  },
  {
    "ParameterKey": "CertificateAuthorities", 11
    "ParameterValue": "" 12
  },
  {
    "ParameterKey": "WorkerInstanceProfileName", 13
    "ParameterValue": "" 14
  },
  {
    "ParameterKey": "WorkerInstanceType", 15
    "ParameterValue": "m6i.large" 16
  }
]
    1
    클러스터에 대해 Ignition 구성 파일에 인코딩되는 클러스터 인프라의 이름입니다.
    2
    Ignition 구성 파일 메타데이터에서 추출한 인프라 이름을 <cluster-name>-<random-string> 형식으로 지정합니다.
    3
    작업자 노드에 사용할 현재 RHCOS(Red Hat Enterprise Linux CoreOS) AMI입니다.
    4
    유효한 AWS::EC2::Image::Id 값을 지정합니다.
    5
    작업자 노드를 시작하기 위한 서브넷(프라이빗)입니다.
    6
    DNS 및 로드 밸런싱을 위해 CloudFormation 템플릿의 출력에서 PrivateSubnets 값의 서브넷을 지정합니다.
    7
    작업자 노드와 연결할 작업자 보안 그룹 ID입니다.
    8
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 WorkerSecurityGroupId 값을 지정합니다.
    9
    부트스트랩 Ignition 구성 파일을 가져올 위치입니다.
    10
    생성된 Ignition 구성 위치(https://api-int.<cluster_name>.<domain_name>:22623/config/worker)를 지정합니다.
    11
    사용할 base64로 인코딩 인증 기관 문자열입니다.
    12
    설치 디렉터리에 있는 worker.ign 파일에서 값을 지정합니다. 이 값은 data:text/plain;charset=utf-8;base64,ABC…​xYz== 형식의 긴 문자열입니다.
    13
    작업자 노드와 연결할 IAM 프로필입니다.
    14
    보안 그룹 및 역할에 대한 CloudFormation 템플릿 출력에서 WorkerInstanceProfile 매개변수 값을 지정합니다.
    15
    컴퓨팅 머신에 사용할 AWS 인스턴스 유형입니다.
    16
    인스턴스 유형 값은 컴퓨팅 시스템의 최소 리소스 요구 사항에 해당합니다.
  2. 이 항목의 작업자 시스템에 대한 CloudFormation 템플릿 섹션에서 템플릿을 복사하여 사용자 시스템에 YAML 파일로 저장합니다. 이 템플릿은 클러스터에 필요한 네트워킹 개체 및 로드 밸런서를 설명합니다.
  3. WorkerInstanceType 값으로 M5 인스턴스 유형을 지정한 경우 CloudFormation 템플릿의 WorkerInstanceType.AllowedValues 매개변수에 해당 인스턴스 유형을 추가합니다.

  4. CloudFormation 템플릿을 시작하여 작업자 노드를 나타내는 AWS 리소스 스택을 생성합니다.

    중요

    명령은 한 줄로 입력해야 합니다. 

    $ aws cloudformation create-stack --stack-name <name> 1
     --template-body file://<template>.yaml \ 2
     --parameters file://<parameters>.json 3
    1
    <name>은 CloudFormation 스택의 이름입니다(예: cluster-worker-1). 클러스터를 제거하는 경우 이 스택의 이름이 필요합니다.
    2
    <template>은 저장한 CloudFormation 템플릿 YAML 파일의 상대 경로 및 이름입니다.
    3
    <parameters>는 CloudFormation 매개변수 JSON 파일의 상대 경로 및 이름입니다.

    출력 예

    arn:aws:cloudformation:us-east-1:269333783861:stack/cluster-worker-1/729ee301-1c2a-11eb-348f-sd9888c65b59

    참고

    CloudFormation 템플릿은 하나의 작업자 노드를 나타내는 스택을 생성합니다.

  5. 템플릿 구성 요소가 있는지 확인합니다. 

    $ aws cloudformation describe-stacks --stack-name <name>

  6. 클러스터에 충분한 작업자 시스템을 생성할 때까지 계속해서 작업자 스택을 생성합니다. 동일한 템플릿 및 매개변수 파일을 참조하고 다른 스택 이름을 지정하여 추가 작업자 스택을 생성할 수 있습니다.

    중요

    작업자 시스템을 두 개 이상 생성해야 하므로 이 CloudFormation 템플릿을 사용하는 스택을 두 개 이상 생성해야 합니다.

5.14.16.1. 작업자 시스템용 CloudFormation 템플릿

다음 CloudFormation 템플릿을 사용하여 OpenShift Container Platform 클러스터에 필요한 작업자 시스템을 배포할 수 있습니다.

예 5.67. 작업자 시스템용 CloudFormation 템플릿

AWSTemplateFormatVersion: 2010-09-09
Description: Template for OpenShift Cluster Node Launch (EC2 worker instance)

Parameters:
  InfrastructureName:
    AllowedPattern: ^([a-zA-Z][a-zA-Z0-9\-]{0,26})$
    MaxLength: 27
    MinLength: 1
    ConstraintDescription: Infrastructure name must be alphanumeric, start with a letter, and have a maximum of 27 characters.
    Description: A short, unique cluster ID used to tag nodes for the kubelet cloud provider.
    Type: String
  RhcosAmi:
    Description: Current Red Hat Enterprise Linux CoreOS AMI to use for bootstrap.
    Type: AWS::EC2::Image::Id
  Subnet:
    Description: The subnets, recommend private, to launch the master nodes into.
    Type: AWS::EC2::Subnet::Id
  WorkerSecurityGroupId:
    Description: The master security group ID to associate with master nodes.
    Type: AWS::EC2::SecurityGroup::Id
  IgnitionLocation:
    Default: https://api-int.$CLUSTER_NAME.$DOMAIN:22623/config/worker
    Description: Ignition config file location.
    Type: String
  CertificateAuthorities:
    Default: data:text/plain;charset=utf-8;base64,ABC...xYz==
    Description: Base64 encoded certificate authority string to use.
    Type: String
  WorkerInstanceProfileName:
    Description: IAM profile to associate with master nodes.
    Type: String
  WorkerInstanceType:
    Default: m5.large
    Type: String

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
    - Label:
        default: "Cluster Information"
      Parameters:
      - InfrastructureName
    - Label:
        default: "Host Information"
      Parameters:
      - WorkerInstanceType
      - RhcosAmi
      - IgnitionLocation
      - CertificateAuthorities
      - WorkerSecurityGroupId
      - WorkerInstanceProfileName
    - Label:
        default: "Network Configuration"
      Parameters:
      - Subnet
    ParameterLabels:
      Subnet:
        default: "Subnet"
      InfrastructureName:
        default: "Infrastructure Name"
      WorkerInstanceType:
        default: "Worker Instance Type"
      WorkerInstanceProfileName:
        default: "Worker Instance Profile Name"
      RhcosAmi:
        default: "Red Hat Enterprise Linux CoreOS AMI ID"
      IgnitionLocation:
        default: "Worker Ignition Source"
      CertificateAuthorities:
        default: "Ignition CA String"
      WorkerSecurityGroupId:
        default: "Worker Security Group ID"

Resources:
  Worker0:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref RhcosAmi
      BlockDeviceMappings:
      - DeviceName: /dev/xvda
        Ebs:
          VolumeSize: "120"
          VolumeType: "gp2"
      IamInstanceProfile: !Ref WorkerInstanceProfileName
      InstanceType: !Ref WorkerInstanceType
      NetworkInterfaces:
      - AssociatePublicIpAddress: "false"
        DeviceIndex: "0"
        GroupSet:
        - !Ref "WorkerSecurityGroupId"
        SubnetId: !Ref "Subnet"
      UserData:
        Fn::Base64: !Sub
        - '{"ignition":{"config":{"merge":[{"source":"${SOURCE}"}]},"security":{"tls":{"certificateAuthorities":[{"source":"${CA_BUNDLE}"}]}},"version":"3.1.0"}}'
        - {
          SOURCE: !Ref IgnitionLocation,
          CA_BUNDLE: !Ref CertificateAuthorities,
        }
      Tags:
      - Key: !Join ["", ["kubernetes.io/cluster/", !Ref InfrastructureName]]
        Value: "shared"

Outputs:
  PrivateIP:
    Description: The compute node private IP address.
    Value: !GetAtt Worker0.PrivateIp

5.14.17. 사용자 프로비저닝 인프라로 AWS에서 부트스트랩 시퀀스 초기화

AWS(Amazon Web Services)에서 필요한 인프라를 모두 생성한 후 OpenShift Container Platform 컨트롤 플레인을 초기화하는 부트스트랩 시퀀스를 시작할 수 있습니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • aws 구성을 실행하여 AWS 키와 리전을 로컬 AWS 프로필에 추가하셨습니다.
  • 클러스터에 대한 Ignition 구성 파일을 생성하셨습니다.
  • AWS에서 VPC 및 관련 서브넷을 생성하고 구성하셨습니다.
  • AWS에서 DNS, 로드 밸런서 및 리스너를 생성하고 구성하셨습니다.
  • AWS에서 클러스터에 필요한 보안 그룹 및 역할을 생성하셨습니다.
  • 부트스트랩 시스템을 생성하셨습니다.
  • 컨트롤 플레인 시스템을 생성하셨습니다.
  • 작업자 노드를 생성하셨습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 OpenShift Container Platform 컨트롤 플레인을 초기화하는 부트스트랩 프로세스를 시작합니다. 

    $ ./openshift-install wait-for bootstrap-complete --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.

    출력 예

    INFO Waiting up to 20m0s for the Kubernetes API at https://api.mycluster.example.com:6443...
INFO API v1.23.0 up
INFO Waiting up to 30m0s for bootstrapping to complete...
INFO It is now safe to remove the bootstrap resources
INFO Time elapsed: 1s

    FATAL 경고 없이 명령이 종료되면 OpenShift Container Platform 컨트롤 플레인이 초기화된 것입니다.

    참고

    컨트롤 플레인이 초기화된 후 컴퓨팅 노드를 설정하고 Operator 형태로 추가 서비스를 설치합니다.

추가 리소스

5.14.18. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

5.14.19. 머신의 인증서 서명 요청 승인

클러스터에 시스템을 추가하면 추가한 시스템별로 보류 중인 인증서 서명 요청(CSR)이 두 개씩 생성됩니다. 이러한 CSR이 승인되었는지 확인해야 하며, 필요한 경우 이를 직접 승인해야 합니다. 클라이언트 요청을 먼저 승인한 다음 서버 요청을 승인해야 합니다.

사전 요구 사항

  • 클러스터에 시스템을 추가했습니다.

프로세스

  1. 클러스터가 시스템을 인식하는지 확인합니다. 

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  63m  v1.23.0
master-1  Ready     master  63m  v1.23.0
master-2  Ready     master  64m  v1.23.0

    출력에 생성된 모든 시스템이 나열됩니다.

    참고

    이전 출력에는 일부 CSR이 승인될 때까지 컴퓨팅 노드(작업자 노드라고도 함)가 포함되지 않을 수 있습니다.

  2. 보류 중인 CSR을 검토하고 클러스터에 추가한 각 시스템에 대해 Pending 또는 Approved 상태의 클라이언트 및 서버 요청이 표시되는지 확인합니다. 

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
csr-8b2br   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
csr-8vnps   15m     system:serviceaccount:openshift-machine-config-operator:node-bootstrapper   Pending
...

    예에서는 두 시스템이 클러스터에 참여하고 있습니다. 목록에는 승인된 CSR이 더 많이 나타날 수도 있습니다.

  3. CSR이 승인되지 않은 경우, 추가된 시스템에 대한 모든 보류 중인 CSR이 Pending 상태로 전환된 후 클러스터 시스템의 CSR을 승인합니다.

    참고

    CSR은 교체 주기가 자동으로 만료되므로 클러스터에 시스템을 추가한 후 1시간 이내에 CSR을 승인하십시오. 한 시간 내에 승인하지 않으면 인증서가 교체되고 각 노드에 대해 두 개 이상의 인증서가 표시됩니다. 이러한 인증서를 모두 승인해야 합니다. 클라이언트 CSR이 승인되면 Kubelet은 인증서에 대한 보조 CSR을 생성하므로 수동 승인이 필요합니다. 그러면 Kubelet에서 동일한 매개변수를 사용하여 새 인증서를 요청하는 경우 인증서 갱신 요청은 machine-approver에 의해 자동으로 승인됩니다.

    참고

    베어 메탈 및 기타 사용자 프로비저닝 인프라와 같이 머신 API를 사용하도록 활성화되지 않는 플랫폼에서 실행되는 클러스터의 경우 CSR(Kubelet service Certificate Request)을 자동으로 승인하는 방법을 구현해야 합니다. 요청이 승인되지 않으면 API 서버가 kubelet에 연결될 때 서비스 인증서가 필요하므로 oc exec, oc rsh, oc logs 명령을 성공적으로 수행할 수 없습니다. Kubelet 엔드 포인트에 연결하는 모든 작업을 수행하려면 이 인증서 승인이 필요합니다. 이 방법은 새 CSR을 감시하고 CSR이 system:node 또는 system:admin 그룹의 node-bootstrapper 서비스 계정에 의해 제출되었는지 확인하고 노드의 ID를 확인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오. 

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.

    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오. 

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs --no-run-if-empty oc adm certificate approve
      참고

      일부 Operator는 일부 CSR이 승인될 때까지 사용할 수 없습니다.

  4. 이제 클라이언트 요청이 승인되었으므로 클러스터에 추가한 각 머신의 서버 요청을 검토해야 합니다. 

    $ oc get csr

    출력 예

    NAME        AGE     REQUESTOR                                                                   CONDITION
csr-bfd72   5m26s   system:node:ip-10-0-50-126.us-east-2.compute.internal                       Pending
csr-c57lv   5m26s   system:node:ip-10-0-95-157.us-east-2.compute.internal                       Pending
...

  5. 나머지 CSR이 승인되지 않고 Pending 상태인 경우 클러스터 머신의 CSR을 승인합니다.

    • 개별적으로 승인하려면 유효한 CSR 각각에 대해 다음 명령을 실행하십시오. 

      $ oc adm certificate approve <csr_name> 1
      1
      <csr_name>은 현재 CSR 목록에 있는 CSR의 이름입니다.

    • 보류 중인 CSR을 모두 승인하려면 다음 명령을 실행하십시오. 

      $ oc get csr -o go-template='{{range .items}}{{if not .status}}{{.metadata.name}}{{"\n"}}{{end}}{{end}}' | xargs oc adm certificate approve

  6. 모든 클라이언트 및 서버 CSR이 승인된 후 머신은 Ready 상태가 됩니다. 다음 명령을 실행하여 확인합니다. 

    $ oc get nodes

    출력 예

    NAME      STATUS    ROLES   AGE  VERSION
master-0  Ready     master  73m  v1.23.0
master-1  Ready     master  73m  v1.23.0
master-2  Ready     master  74m  v1.23.0
worker-0  Ready     worker  11m  v1.23.0
worker-1  Ready     worker  11m  v1.23.0

    참고

    머신이 Ready 상태로 전환하는 데 서버 CSR의 승인 후 몇 분이 걸릴 수 있습니다.

추가 정보

5.14.20. Operator의 초기 설정

컨트롤 플레인이 초기화된 후 일부 Operator를 즉시 구성하여 모두 사용 가능하도록 해야 합니다.

사전 요구 사항

  • 컨트롤 플레인이 초기화되어 있습니다.

프로세스

  1. 클러스터 구성 요소가 온라인 상태인지 확인합니다. 

    $ watch -n5 oc get clusteroperators

    출력 예

    NAME                                       VERSION   AVAILABLE   PROGRESSING   DEGRADED   SINCE
authentication                             4.10.0    True        False         False      19m
baremetal                                  4.10.0    True        False         False      37m
cloud-credential                           4.10.0    True        False         False      40m
cluster-autoscaler                         4.10.0    True        False         False      37m
config-operator                            4.10.0    True        False         False      38m
console                                    4.10.0    True        False         False      26m
csi-snapshot-controller                    4.10.0    True        False         False      37m
dns                                        4.10.0    True        False         False      37m
etcd                                       4.10.0    True        False         False      36m
image-registry                             4.10.0    True        False         False      31m
ingress                                    4.10.0    True        False         False      30m
insights                                   4.10.0    True        False         False      31m
kube-apiserver                             4.10.0    True        False         False      26m
kube-controller-manager                    4.10.0    True        False         False      36m
kube-scheduler                             4.10.0    True        False         False      36m
kube-storage-version-migrator              4.10.0    True        False         False      37m
machine-api                                4.10.0    True        False         False      29m
machine-approver                           4.10.0    True        False         False      37m
machine-config                             4.10.0    True        False         False      36m
marketplace                                4.10.0    True        False         False      37m
monitoring                                 4.10.0    True        False         False      29m
network                                    4.10.0    True        False         False      38m
node-tuning                                4.10.0    True        False         False      37m
openshift-apiserver                        4.10.0    True        False         False      32m
openshift-controller-manager               4.10.0    True        False         False      30m
openshift-samples                          4.10.0    True        False         False      32m
operator-lifecycle-manager                 4.10.0    True        False         False      37m
operator-lifecycle-manager-catalog         4.10.0    True        False         False      37m
operator-lifecycle-manager-packageserver   4.10.0    True        False         False      32m
service-ca                                 4.10.0    True        False         False      38m
storage                                    4.10.0    True        False         False      37m

  2. 사용할 수 없는 Operator를 구성합니다.
5.14.20.1. 기본 OperatorHub 소스 비활성화

Red Hat 및 커뮤니티 프로젝트에서 제공하는 콘텐츠를 소싱하는 Operator 카탈로그는 OpenShift Container Platform을 설치하는 동안 기본적으로 OperatorHub용으로 구성됩니다. 제한된 네트워크 환경에서는 클러스터 관리자로서 기본 카탈로그를 비활성화해야 합니다.

프로세스

  • OperatorHub 오브젝트에 disableAllDefaultSources: true를 추가하여 기본 카탈로그의 소스를 비활성화합니다. 

    $ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'
작은 정보

또는 웹 콘솔을 사용하여 카탈로그 소스를 관리할 수 있습니다. 관리클러스터 설정구성OperatorHub 페이지에서 개별 소스를 생성, 삭제, 비활성화, 활성화할 수 있는 소스 탭을 클릭합니다.

5.14.20.2. 이미지 레지스트리 스토리지 구성

Amazon Web Services는 기본 스토리지를 제공하므로 설치 후 Image Registry Operator를 사용할 수 있습니다. 그러나 Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할 수 없는 경우에는 레지스트리 스토리지를 수동으로 구성해야 합니다.

프로덕션 클러스터에 필요한 영구 볼륨을 구성하는 과정의 지침이 표시됩니다. 해당하는 경우, 프로덕션 환경 외 클러스터에서만 사용할 수 있는 저장 위치로서 빈 디렉터리를 구성하는 과정의 지침이 표시됩니다.

업그레이드 중에 Recreate 롤아웃 전략을 사용하여 이미지 레지스트리의 블록 스토리지 유형 사용을 허용하기 위한 추가 지침이 제공됩니다.

5.14.20.2.1. 사용자 프로비저닝 인프라로 AWS용 레지스트리 스토리지 구성

설치하는 동안 클라우드 자격 증명만으로도 Amazon S3 버킷을 생성할 수 있으며 Registry Operator가 자동으로 스토리지를 구성합니다.

Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할수 없는 경우 다음 프로시저에 따라 S3 버킷을 생성하고 스토리지를 구성할 수 있습니다.

사전 요구 사항

  • AWS에 사용자 프로비저닝된 인프라가 있는 클러스터가 있어야 합니다.

  • Amazon S3 스토리지의 경우 시크릿에는 두 개의 키가 포함되어야 합니다.

    • REGISTRY_STORAGE_S3_ACCESSKEY
    • REGISTRY_STORAGE_S3_SECRETKEY

프로세스

Registry Operator가 S3 버킷을 생성하고 스토리지를 자동으로 구성할 수 없는 경우 다음 프로시저를 사용합니다.

  1. 1일이 지난 완료되지 않은 다중 파트 업로드를 중단하도록 Bucket Lifecycle Policy를 설정합니다.

  2. configs.imageregistry.operator.openshift.io/cluster에 스토리지 설정을 입력합니다. 

    $ oc edit configs.imageregistry.operator.openshift.io/cluster

    설정 예

    storage:
  s3:
    bucket: <bucket-name>
    region: <region-name>

주의

AWS에서 레지스트리 이미지를 보안을 위해 S3 버킷에 공용 액세스를 차단합니다.

5.14.20.2.2. 프로덕션 환경 외 클러스터에서 이미지 레지스트리의 스토리지 구성

이미지 레지스트리 Operator에 대한 스토리지를 구성해야 합니다. 프로덕션 환경 외 클러스터의 경우, 이미지 레지스트리를 빈 디렉터리로 설정할 수 있습니다. 이렇게 하는 경우 레지스트리를 다시 시작하면 모든 이미지가 손실됩니다.

프로세스

  • 이미지 레지스트리 스토리지를 빈 디렉터리로 설정하려면 다음을 수행하십시오. 

    $ oc patch configs.imageregistry.operator.openshift.io cluster --type merge --patch '{"spec":{"storage":{"emptyDir":{}}}}'
    주의

    프로덕션 환경 외 클러스터에 대해서만 이 옵션을 구성하십시오.

    Image Registry Operator가 구성 요소를 초기화하기 전에 이 명령을 실행하면 oc patch 명령이 실패하며 다음 오류가 발생합니다. 

    Error from server (NotFound): configs.imageregistry.operator.openshift.io "cluster" not found

    몇 분 후에 명령을 다시 실행하십시오.

5.14.21. 부트스트랩 리소스 삭제

클러스터에 대한 초기 Operator 구성을 완료한 후 AWS(Amazon Web Services)에서 부트스트랩 리소스를 제거합니다.

사전 요구 사항

  • 클러스터에 대한 초기 Operator 구성을 완료했습니다.

프로세스

  1. 부트스트랩 리소스를 삭제합니다. CloudFormation 템플릿을 사용한 경우 해당 스택을 삭제합니다.

    • AWS CLI를 사용하여 스택 삭제: 

      $ aws cloudformation delete-stack --stack-name <name> 1
      1
      <name>은 부트스트랩 스택의 이름입니다.
    • AWS CloudFormation 콘솔을 사용하여 스택을 삭제합니다.

5.14.22. 인그레스 DNS 레코드 생성

DNS 영역 구성을 제거한 경우 인그레스 로드 밸런서를 가리키는 DNS 레코드를 수동으로 만듭니다. 와일드카드 레코드 또는 특정 레코드를 만들 수 있습니다. 다음 프로시저에서는 A 레코드를 사용하지만 CNAME 또는 별칭과 같이 필요한 다른 레코드 유형을 사용할 수 있습니다.

사전 요구 사항

프로세스

  1. 생성할 경로를 결정합니다.

    • 와일드카드 레코드를 만들려면 *.apps.<cluster_name>. <domain_name>을 사용합니다. 여기서 <cluster_name>은 클러스터 이름이고 <domain_name>은 OpenShift Container Platform 클러스터의 Route 53 기본 도메인입니다.

    • 특정 레코드를 만들려면 다음 명령의 출력에 표시된 대로 클러스터가 사용하는 각 경로에 대한 레코드를 만들어야 합니다. 

      $ oc get --all-namespaces -o jsonpath='{range .items[*]}{range .status.ingress[*]}{.host}{"\n"}{end}{end}' routes

      출력 예

      oauth-openshift.apps.<cluster_name>.<domain_name>
console-openshift-console.apps.<cluster_name>.<domain_name>
downloads-openshift-console.apps.<cluster_name>.<domain_name>
alertmanager-main-openshift-monitoring.apps.<cluster_name>.<domain_name>
grafana-openshift-monitoring.apps.<cluster_name>.<domain_name>
prometheus-k8s-openshift-monitoring.apps.<cluster_name>.<domain_name>

  2. Ingress Operator 로드 밸런서 상태를 검색하고 EXTERNAL-IP 열에 표시된 외부 IP 주소의 값을 확인합니다. 

    $ oc -n openshift-ingress get service router-default

    출력 예

    NAME             TYPE           CLUSTER-IP      EXTERNAL-IP                            PORT(S)                      AGE
router-default   LoadBalancer   172.30.62.215   ab3...28.us-east-2.elb.amazonaws.com   80:31499/TCP,443:30693/TCP   5m

  3. 로드 밸런서의 호스팅 영역 ID를 찾습니다. 

    $ aws elb describe-load-balancers | jq -r '.LoadBalancerDescriptions[] | select(.DNSName == "<external_ip>").CanonicalHostedZoneNameID' 1
    1
    <external_ip>는 가져온 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다.

    출력 예

    Z3AADJGX6KTTL2

    이 명령의 출력은 로드 밸런서 호스팅 영역 ID입니다.

  4. 클러스터 도메인의 공개 호스팅 영역 ID를 가져옵니다. 

    $ aws route53 list-hosted-zones-by-name \
            --dns-name "<domain_name>" \ 1
            --query 'HostedZones[? Config.PrivateZone != `true` && Name == `<domain_name>.`].Id' 2
            --output text
    1 2
    <domain_name>은 OpenShift Container Platform 클러스터의 Route 53 기본 도메인을 지정합니다.

    출력 예

    /hostedzone/Z3URY6TWQ91KVV

    도메인의 공개 호스팅 영역 ID가 명령 출력에 표시됩니다. 이 예에서는 Z3URY6TWQ91KVV입니다.

  5. 프라이빗 영역에 별칭 레코드를 추가합니다. 

    $ aws route53 change-resource-record-sets --hosted-zone-id "<private_hosted_zone_id>" --change-batch '{ 1
>   "Changes": [
>     {
>       "Action": "CREATE",
>       "ResourceRecordSet": {
>         "Name": "\\052.apps.<cluster_domain>", 2
>         "Type": "A",
>         "AliasTarget":{
>           "HostedZoneId": "<hosted_zone_id>", 3
>           "DNSName": "<external_ip>.", 4
>           "EvaluateTargetHealth": false
>         }
>       }
>     }
>   ]
> }'
    1
    <private_hosted_zone_id>는 DNS 및 로드 밸런싱에 대한 CloudFormation 템플릿 출력의 값을 지정합니다.
    2
    <cluster_domain>은 OpenShift Container Platform 클러스터와 함께 사용하는 도메인 또는 하위 도메인을 지정합니다.
    3
    <hosted_zone_id>는 가져온 로드 밸런서의 공개 호스팅 영역 ID를 지정합니다.
    4
    <external_ip>는 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다. 이 매개변수 값에 후행 마침표(.)을 포함시켜야 합니다.

  6. 퍼블릭 영역에 레코드를 추가합니다. 

    $ aws route53 change-resource-record-sets --hosted-zone-id "<public_hosted_zone_id>"" --change-batch '{ 1
>   "Changes": [
>     {
>       "Action": "CREATE",
>       "ResourceRecordSet": {
>         "Name": "\\052.apps.<cluster_domain>", 2
>         "Type": "A",
>         "AliasTarget":{
>           "HostedZoneId": "<hosted_zone_id>", 3
>           "DNSName": "<external_ip>.", 4
>           "EvaluateTargetHealth": false
>         }
>       }
>     }
>   ]
> }'
    1
    <public_hosted_zone_id>는 도메인의 퍼블릭 호스팅 영역을 지정합니다.
    2
    <cluster_domain>은 OpenShift Container Platform 클러스터와 함께 사용하는 도메인 또는 하위 도메인을 지정합니다.
    3
    <hosted_zone_id>는 가져온 로드 밸런서의 공개 호스팅 영역 ID를 지정합니다.
    4
    <external_ip>는 Ingress Operator 로드 밸런서의 외부 IP 주소값을 지정합니다. 이 매개변수 값에 후행 마침표(.)을 포함시켜야 합니다.

5.14.23. 사용자 프로비저닝 인프라에서 AWS 설치 완료

AWS(Amazon Web Service) 사용자 프로비저닝 인프라에서 OpenShift Container Platform 설치를 시작한 후 배포가 완료될 때까지 모니터링합니다.

사전 요구 사항

  • 사용자 프로비저닝 AWS 인프라에서 OpenShift Container Platform 클러스터에 대한 부트스트랩 노드를 제거하셨습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리에서 클러스터 설치를 완료합니다. 

    $ ./openshift-install --dir <installation_directory> wait-for install-complete 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

    출력 예

    INFO Waiting up to 40m0s for the cluster at https://api.mycluster.example.com:6443 to initialize...
INFO Waiting up to 10m0s for the openshift-console route to be created...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Fe5en-ymBEc-Wt6NL"
INFO Time elapsed: 1s

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
  2. 클러스터 등록 페이지에서 클러스터를 등록합니다.

5.14.24. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다. 

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다. 

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

5.14.25. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

5.14.26. 추가 리소스

  • AWS CloudFormation 스택에 대한 자세한 내용은 AWS 문서의 스택 작업을 참조하십시오.

5.14.27. 다음 단계

5.15. AWS의 클러스터 설치 제거

AWS(Amazon Web Services)에 배포한 클러스터를 제거할 수 있습니다.

5.15.1. 설치 관리자가 프로비저닝한 인프라를 사용하는 클러스터 제거

클라우드에서 설치 관리자 프로비저닝 인프라를 사용하는 클러스터를 제거할 수 있습니다.

참고

설치 제거 후 특히 UPI(User Provisioned Infrastructure) 클러스터에서 제거되지 않은 리소스에 대해 클라우드 공급자를 확인합니다. 설치 관리자가 생성하지 않았거나 설치 프로그램이 액세스할 수 없는 리소스가 있을 수 있습니다.

사전 요구 사항

  • 클러스터를 배포하는 데 사용한 설치 프로그램의 사본을 준비합니다.
  • 클러스터를 만들 때 설치 프로그램에 의해 생성된 파일을 준비합니다.

프로세스

  1. 클러스터를 설치하는 데 사용한 컴퓨터에 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행합니다. 

    $ ./openshift-install destroy cluster \
--dir <installation_directory> --log-level info 1 2
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
    2
    다른 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    클러스터의 클러스터 정의 파일이 포함되어 있는 디렉터리를 지정해야 합니다. 설치 프로그램이 클러스터를 삭제하려면 이 디렉터리에 있는 metadata.json 파일이 필요합니다.

  1. 선택사항: <installation_directory> 디렉터리와 OpenShift Container Platform 설치 프로그램을 삭제합니다.

5.15.2. Cloud Credential Operator 유틸리티를 사용하여 AWS 리소스 삭제

STS를 사용하여 수동 모드에서 Cloud Credential Operator (CCO)를 사용하여 OpenShift Container Platform 클러스터를 설치 제거한 후 리소스를 정리하려면 CCO 유틸리티(ccoctl)를 사용하여 설치 중에 ccoctl이 생성한 AWS 리소스를 제거할 수 있습니다.

사전 요구 사항

  • ccoctl 바이너리를 추출하고 준비합니다.
  • STS를 사용하여 수동 모드에서 CCO와 함께 OpenShift Container Platform 클러스터를 설치합니다.

프로세스

  • ccoctl에서 생성한 AWS 리소스를 삭제합니다. 

    $ ccoctl aws delete --name=<name> --region=<aws_region>

    다음과 같습니다.

    • <name>은 원래 클라우드 리소스를 생성하고 태그하는 데 사용되는 이름과 일치합니다.

    • <aws_region>은 클라우드 리소스가 삭제될 AWS 리전입니다.

      출력 예:

      2021/04/08 17:50:41 Identity Provider object .well-known/openid-configuration deleted from the bucket <name>-oidc
2021/04/08 17:50:42 Identity Provider object keys.json deleted from the bucket <name>-oidc
2021/04/08 17:50:43 Identity Provider bucket <name>-oidc deleted
2021/04/08 17:51:05 Policy <name>-openshift-cloud-credential-operator-cloud-credential-o associated with IAM Role <name>-openshift-cloud-credential-operator-cloud-credential-o deleted
2021/04/08 17:51:05 IAM Role <name>-openshift-cloud-credential-operator-cloud-credential-o deleted
2021/04/08 17:51:07 Policy <name>-openshift-cluster-csi-drivers-ebs-cloud-credentials associated with IAM Role <name>-openshift-cluster-csi-drivers-ebs-cloud-credentials deleted
2021/04/08 17:51:07 IAM Role <name>-openshift-cluster-csi-drivers-ebs-cloud-credentials deleted
2021/04/08 17:51:08 Policy <name>-openshift-image-registry-installer-cloud-credentials associated with IAM Role <name>-openshift-image-registry-installer-cloud-credentials deleted
2021/04/08 17:51:08 IAM Role <name>-openshift-image-registry-installer-cloud-credentials deleted
2021/04/08 17:51:09 Policy <name>-openshift-ingress-operator-cloud-credentials associated with IAM Role <name>-openshift-ingress-operator-cloud-credentials deleted
2021/04/08 17:51:10 IAM Role <name>-openshift-ingress-operator-cloud-credentials deleted
2021/04/08 17:51:11 Policy <name>-openshift-machine-api-aws-cloud-credentials associated with IAM Role <name>-openshift-machine-api-aws-cloud-credentials deleted
2021/04/08 17:51:11 IAM Role <name>-openshift-machine-api-aws-cloud-credentials deleted
2021/04/08 17:51:39 Identity Provider with ARN arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com deleted

검증

  • 리소스가 삭제되었는지 확인하려면 AWS를 쿼리합니다. 자세한 내용은 AWS 설명서를 참조하십시오.

6장. Azure에 설치

6.1. Azure에 설치 준비

6.1.1. 사전 요구 사항

6.1.2. Azure에 OpenShift Container Platform을 설치하기 위한 요구사항

Microsoft Azure에 OpenShift Container Platform을 설치하려면 먼저 Azure 계정을 구성해야 합니다. 계정 구성, 계정 제한, 퍼블릭 DNS 영역 구성, 필수 역할, 서비스 주체 생성 및 지원되는 Azure 리전에 대한 자세한 내용은 Azure 계정 구성을 참조하십시오.

사용자의 환경에서 클라우드 ID 및 액세스 관리(IAM) API에 액세스할 수 없거나 kube-system 네임스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않으려면 다른 옵션에 대해 Azure용 IAM 수동 생성을 참조하십시오.

6.1.3. Azure에 OpenShift Container Platform을 설치할 방법 선택

설치 관리자 프로비저닝 또는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 설치할 수 있습니다. 기본 설치 유형은 설치 프로그램이 클러스터의 기본 인프라를 프로비저닝하는 설치 관리자 프로비저닝 인프라를 사용합니다. 제공하는 인프라에 OpenShift Container Platform도 설치할 수 있습니다. 설치 프로그램에서 프로비저닝한 인프라를 사용하지 않는 경우 클러스터 리소스를 직접 관리하고 유지보수해야 합니다.

설치 관리자 프로비저닝 및 사용자 프로비저닝 설치 프로세스에 대한 자세한 내용은 설치 프로세스를 참조하십시오.

6.1.3.1. 설치 관리자 프로비저닝 인프라를 사용하여 클러스터 설치

다음 방법 중 하나를 사용하여 OpenShift Container Platform 설치 프로그램에서 프로비저닝한 Azure 인프라에 컨테이너를 설치할 수 있습니다.

  • Azure에서 클러스터 빠른 설치: OpenShift Container Platform 설치 프로그램에서 프로비저닝한 Azure 인프라에 OpenShift Container Platform을 설치할 수 있습니다. 기본 구성 옵션을 사용하여 빠르게 클러스터를 설치할 수 있습니다.
  • Azure에 사용자 지정 클러스터 설치: 설치 프로그램이 프로비저닝하는 Azure 인프라에 사용자 지정 클러스터를 설치할 수 있습니다. 설치 프로그램을 통해 설치 단계에서 일부 사용자 지정을 적용할 수 있습니다. 다른 많은 사용자 정의 옵션은 설치 후사용할 수 있습니다.
  • 네트워크 사용자 지정으로 Azure에 클러스터 설치: 설치 중에 OpenShift Container Platform 네트워크 구성을 사용자 지정할 수 있으므로 클러스터가 기존 IP 주소 할당과 공존하고 네트워크 요구 사항을 준수할 수 있습니다.
  • 기존 VNet에 Azure의 클러스터 설치: Azure의 기존 VNet(Azure Virtual Network)에 OpenShift Container Platform을 설치할 수 있습니다. 새 계정 또는 인프라를 생성할 때 제한과 같이 회사의 지침에 따라 설정되는 제약 조건이 있는 경우 이 설치 방법을 사용할 수 있습니다.
  • Azure에 프라이빗 클러스터 설치: 프라이빗 클러스터를 Azure의 기존 Azure Virtual Network(VNet)에 설치할 수 있습니다. 이 방법을 사용하여 인터넷에 표시되지 않는 내부 네트워크에 OpenShift Container Platform을 배포할 수 있습니다.
  • Azure에 있는 클러스터를 정부 리전에 설치: OpenShift Container Platform은 연방, 주, 지역 수준의 정부 기관은 물론 Azure에서 중요한 워크로드를 실행해야 하는 미국 정부 기관, 계약자, 교육 기관 및 기타 미국 고객을 위해 설계된 Microsoft Azure Government (MAG) 리전에 배포할 수 있습니다.
6.1.3.2. 사용자 프로비저닝 인프라를 사용하여 클러스터 설치

다음 방법을 사용하여 프로비저닝한 Azure 인프라에 클러스터를 설치할 수 있습니다.

6.1.4. 다음 단계

6.2. Azure 계정 구성

OpenShift Container Platform을 설치하려면 먼저 Microsoft Azure 계정을 구성해야 합니다.

중요

공용 끝점을 통해 사용할 수 있는 모든 Azure 리소스에는 리소스 이름 제한 사항이 적용되며, 특정 용어를 사용하는 리소스를 생성할 수 없습니다. Azure가 제한하는 용어 목록은 Azure 문서의 예약된 리소스 이름 오류 해결을 참조하십시오.

6.2.1. Azure 계정 제한

OpenShift Container Platform 클러스터는 수많은 Microsoft Azure 구성 요소를 사용하며, 기본 Azure 서브크립션 및 서비스 제한, 할당량 및 제약 조건은 OpenShift Container Platform 클러스터 설치에 영향을 미칩니다.

중요

기본 제한값은 무료 평가판 및 종량 과금제와 같은 상품 카테고리 유형과 Dv2, F, G 등 시리즈에 따라 다릅니다. 예를 들어 기업 계약 서브스크립션의 기본값은 350개 코어입니다.

서브스크립션 유형에 대한 제한값을 확인하고 필요한 경우 Azure에 기본 클러스터를 설치하기 전에 계정에 대한 할당량 제한값을 늘리십시오.

다음 표에 OpenShift Container Platform 클러스터를 설치하고 실행하는 데 영향을 미칠 수 있는 Azure 구성 요소 제한값이 요약되어 있습니다.

구성 요소기본적으로 필요한 구성 요소 수기본 Azure 제한값설명

vCPU

40

리전당 20개

기본 클러스터의 경우 40개의 vCPU가 필요하므로 계정 제한을 늘려야 합니다.

기본적으로 각 클러스터는 다음 인스턴스를 생성합니다.

  • 설치 후 제거되는 하나의 부트스트랩 시스템
  • 컨트롤 플레인 시스템 세 개
  • 컴퓨팅 시스템 세 개

부트스트랩 시스템은 4개의 vCPU를 사용하는 Standard_D4s_v3 시스템을 사용하고, 컨트롤 플레인 시스템은 8개의 vCPU를 사용하는 Standard_D8s_v3 가상 머신을 사용하고, 작업자 시스템은 4개의 vCPU를 사용하는 Standard_D4s_v3 가상 머신을 사용하므로, 기본 클러스터에는 40개의 vCPU가 필요합니다. 4개의 vCPU를 사용하는 부트스트랩 노드 VM은 설치 중에만 사용됩니다.

더 많은 작업자 노드를 배포하거나, 자동 크기 조정을 활성화하거나, 대규모 워크로드를 배포하거나, 다른 인스턴스 유형을 사용하려면 필요한 시스템을 클러스터가 배포할 수 있도록 계정의 vCPU 제한값을 더 늘려야 합니다.

기본적으로 설치 프로그램은 컨트롤 플레인과 컴퓨팅 시스템을 한 리전 내의 모든 가용성 영역에 분배합니다. 클러스터의 고가용성을 보장하기 위해서는 가용성 영역이 세 개 이상인 리전을 선택하십시오. 각 리전에 가용성 영역이 세 개 미만인 경우에는 설치 프로그램이 사용 가능한 영역에 둘 이상의 컨트롤 플레인 시스템을 배치합니다.

OS 디스크

7

 

VM OS 디스크는 최소 처리량 5000 IOPS/200MBps를 유지할 수 있어야 합니다. 이 처리량은 최소 1 TiB Premium SSD (P30)를 보유하여 제공할 수 있습니다. Azure에서는 디스크 성능은 SSD 디스크 크기에 직접적으로 의존하므로 Standard_D8s_v3 또는 기타 유사한 시스템 유형에서 지원되는 처리량과 5000 IOPS 목표를 달성하려면 최소 P30 디스크가 필요합니다.

읽기 대기 시간이 짧고 읽기 IOPS 및 처리량을 높이려면 호스트 캐싱을 ReadOnly로 설정해야 합니다. VM 메모리 또는 로컬 SSD 디스크에 있는 캐시에서 수행된 읽기는 Blob 스토리지에 있는 데이터 디스크에서 읽기보다 훨씬 빠릅니다.

VNet

1

리전당 1000개

각 기본 클러스터에는 두 개의 서브넷이 포함된 하나의 가상 네트워크(VNet)가 필요합니다.

네트워크 인터페이스

7

리전당 65,536개

각 기본 클러스터에는 7개의 네트워크 인터페이스가 필요합니다. 더 많은 시스템을 생성하거나 배포된 워크로드가 로드 밸런서를 생성하는 경우 클러스터는 더 많은 네트워크 인터페이스를 사용합니다.

네트워크 보안 그룹

2

5000

각 클러스터는 VNet의 각 서브넷에 대한 네트워크 보안 그룹을 생성합니다. 기본 클러스터는 컨트롤 플레인과 컴퓨팅 노드 서브넷에 대한 네트워크 보안 그룹을 생성합니다:

controlplane

어디에서나 포트 6443에서 컨트롤 플레인 시스템에 도달할 수 있습니다.

node

포트 80 및 443을 통해 인터넷에서 작업자 노드에 도달할 수 있습니다.

네트워크 로드 밸런서

3

리전당 1000개

각 클러스터는 다음 로드 밸런서를 생성합니다.

default

작업자 시스템에서 포트 80과 443에 대한 요청을 로드 밸런싱하는 공용 IP 주소

internal

컨트롤 플레인 시스템에서 포트 6443과 22623에 대한 요청을 로드 밸런싱하는 개인 IP 주소

external

컨트롤 플레인 시스템에서 포트 6443에 대한 요청을 로드 밸런싱하는 공용 IP 주소

애플리케이션이 더 많은 Kubernetes LoadBalancer Service 개체를 생성하면 클러스터가 더 많은 로드 밸런서를 사용합니다.

공용 IP 주소

3

 

두 개의 공용 로드 밸런서 각각이 공용 IP 주소를 사용합니다. 또한 부트스트랩 시스템은 공용 IP 주소를 사용하므로 설치 중 문제를 해결하기 위해 시스템으로 SSH를 실행할 수 있습니다. 부트스트랩 노드의 IP 주소는 설치 중에만 사용됩니다.

개인 IP 주소

7

 

내부 로드 밸런서, 3개의 컨트롤 플레인 시스템 및 3개의 각 작업자 시스템은 각각 개인 IP 주소를 사용합니다.

스팟 VM vCPU (선택 사항)

0

스팟 VM을 구성하는 경우 클러스터에 모든 컴퓨팅 노드에 대해 두 개의 스팟 VM vCPU가 있어야 합니다.

리전당 20개

이는 선택적 구성 요소입니다. 스팟VM을 사용하려면 Azure 기본 제한을 클러스터의 컴퓨팅 노드 수의 두 배 이상으로 늘려야 합니다

참고

컨트롤 플레인 노드에 스팟 VM을 사용하는 것은 권장되지 않습니다.

6.2.2. Azure에서 퍼블릭 DNS 영역 구성

OpenShift Container Platform을 설치하려면 사용하는 Microsoft Azure 계정에 전용의 퍼블릭 호스팅 DNS 영역이 있어야 합니다. 도메인에 대한 권한도 이 영역에 있어야 합니다. 이 서비스는 클러스터와 외부 연결에 필요한 클러스터 DNS 확인 및 이름 조회 기능을 제공합니다.

프로세스

  1. 도메인 또는 하위 도메인과 등록 기관을 식별합니다. 기존 도메인 및 등록 기관을 이전하거나 Azure 또는 다른 소스를 통해 새 도메인과 등록 기관을 받을 수 있습니다.

    참고

    Azure를 통한 도메인 구매에 대한 자세한 내용은 Azure 문서에서 Azure App Service의 사용자 지정 도메인 이름 구매를 참조하십시오.

  2. 기존 도메인과 등록 기관을 사용하는 경우 해당 DNS를 Azure로 마이그레이션합니다. Azure 문서의 활성 DNS 이름을 Azure App Service로 마이그레이션을 참조하십시오.

  3. 도메인에 맞게 DNS를 구성합니다. Azure 문서의 자습서: Azure DNS에서 도메인 호스팅에 나온 단계에 따라 도메인 또는 하위 도메인에 대한 퍼블릭 호스팅 영역을 생성하고, 권한 있는 새 이름 서버를 추출하고, 도메인이 사용하는 이름 서버의 등록 기관 레코드를 업데이트합니다.

    적절한 루트 도메인(예: openshiftcorp.com) 또는 하위 도메인(예: clusters.openshiftcorp.com)을 사용합니다.

  4. 하위 도메인을 사용하는 경우, 회사의 프로시저에 따라 상위 도메인에 위임 레코드를 추가합니다.

6.2.3. Azure 계정 제한 늘리기

계정 제한을 늘리려면 Azure 포털에서 지원 요청을 제출하십시오.

참고

지원 요청당 한 가지 유형의 할당량만 늘릴 수 있습니다.

프로세스

  1. Azure 포털의 왼쪽 하단 모서리에서 Help + support를 클릭합니다.

  2. New support request를 클릭한 후 필요한 값을 선택합니다.

    1. Issue type 목록에서 Service and subscription limits (quotas)을 선택합니다.
    2. Subscription 목록에서 수정할 서브스크립션을 선택합니다.
    3. Quota type 목록에서 증가시킬 할당량을 선택합니다. 예를 들어 클러스터를 설치하는 데 필요해서 vCPU 수를 늘리려면 Compute-VM (cores-vCPUs) subscription limit increases를 선택합니다.
    4. Next: Solutions를 클릭합니다.

  3. Problem Details 페이지에서 할당량 증가에 필요한 정보를 제공합니다.

    1. Provide details를 클릭하고 Quota details 창에서 필요한 세부 사항을 제공합니다.
    2. SUPPORT METHOD 및 CONTACT INFO 섹션에서 문제 심각도와 연락처 정보를 제공합니다.
  4. Next: Review + create을 클릭한 후 Create을 클릭합니다.

6.2.4. 필수 Azure 역할

OpenShift Container Platform에는 Microsoft Azure 리소스를 관리할 수 있도록 서비스 주체가 필요합니다. 서비스 주체를 만들려면 먼저 Azure 계정 서브스크립션에 다음 역할이 있어야 합니다.

  • User Access Administrator
  • 소유자

Azure 포털에서 역할을 설정하려면 Azure 문서의 RBAC 및 Azure 포털을 사용하여 Azure 리소스에 대한 액세스 관리를 참조하십시오.

6.2.5. 서비스 주체 생성

OpenShift Container Platform과 해당 설치 프로그램은 Azure Resource Manager를 통해 Microsoft Azure 리소스를 생성해야 하므로 이를 대표하는 서비스 주체를 생성해야 합니다.

사전 요구 사항

  • Azure CLI를 설치 또는 업데이트합니다.
  • jq 패키지를 설치합니다.
  • Azure 계정은 사용하는 서브스크립션에 대한 필요한 역할을 갖습니다.

프로세스

  1. Azure CLI에 로그인합니다. 

    $ az login

    인증 정보를 사용하여 웹 콘솔에서 Azure에 로그인합니다.

  2. Azure 계정이 서브스크립션을 사용하는 경우, 올바른 서브스크립션을 사용하고 있는지 확인합니다.

    1. 사용 가능한 계정 목록을 보고 클러스터에 사용하려는 서브스크립션의 tenantId 값을 기록합니다. 

      $ az account list --refresh

      출력 예

      [
  {
    "cloudName": "AzureCloud",
    "id": "9bab1460-96d5-40b3-a78e-17b15e978a80",
    "isDefault": true,
    "name": "Subscription Name",
    "state": "Enabled",
    "tenantId": "6057c7e9-b3ae-489d-a54e-de3f6bf6a8ee",
    "user": {
      "name": "you@example.com",
      "type": "user"
    }
  }
]

    2. 활성 계정 세부 사항을 보고 tenantId 값이 사용하려는 서브스크립션과 일치하는지 확인합니다. 

      $ az account show

      출력 예

      {
  "environmentName": "AzureCloud",
  "id": "9bab1460-96d5-40b3-a78e-17b15e978a80",
  "isDefault": true,
  "name": "Subscription Name",
  "state": "Enabled",
  "tenantId": "6057c7e9-b3ae-489d-a54e-de3f6bf6a8ee", 1
  "user": {
    "name": "you@example.com",
    "type": "user"
  }
}

      1
      tenantId 매개변수의 값이 올바른 서브스크립션의 UUID인지 확인합니다.

    3. 올바른 서브스크립션을 사용하지 않는 경우, 활성 서브스크립션을 변경합니다. 

      $ az account set -s <id> 1
      1
      <id>에 사용하려는 서브스크립션의 id 값을 대체합니다.

    4. 활성 서브스크립션을 변경한 경우 계정 정보를 다시 표시합니다. 

      $ az account show

      출력 예

      {
  "environmentName": "AzureCloud",
  "id": "33212d16-bdf6-45cb-b038-f6565b61edda",
  "isDefault": true,
  "name": "Subscription Name",
  "state": "Enabled",
  "tenantId": "8049c7e9-c3de-762d-a54e-dc3f6be6a7ee",
  "user": {
    "name": "you@example.com",
    "type": "user"
  }
}

  3. 이전 출력의 tenantIdid 매개변수 값을 기록합니다. OpenShift Container Platform 설치 중에 이러한 값이 필요합니다.

  4. 계정에 대한 서비스 주체를 생성합니다. 

    $ az ad sp create-for-rbac --role Contributor --name <service_principal> 1
    1
    <service_principal>을 서비스 주체에 할당할 이름으로 바꿉니다.

    출력 예

    Changing "<service_principal>" to a valid URI of "http://<service_principal>", which is the required format used for service principal names
Retrying role assignment creation: 1/36
Retrying role assignment creation: 2/36
Retrying role assignment creation: 3/36
Retrying role assignment creation: 4/36
{
  "appId": "8bd0d04d-0ac2-43a8-928d-705c598c6956",
  "displayName": "<service_principal>",
  "name": "http://<service_principal>",
  "password": "ac461d78-bf4b-4387-ad16-7e32e328aec6",
  "tenant": "6048c7e9-b2ad-488d-a54e-dc3f6be6a7ee"
}

  5. 이전 출력의 appIdpassword 매개변수 값을 기록합니다. OpenShift Container Platform 설치 중에 이러한 값이 필요합니다.

  6. 서비스 주체에 추가 권한을 부여합니다.

    • 클러스터가 해당 구성 요소에 대한 인증 정보를 할당할 수 있도록 항상 ContributorUser Access Administrator 역할을 앱 등록 서비스 주체에 추가해야 합니다.
    • mint 모드에서 CCO (Cloud Credential Operator)를 작동하려면 앱 등록 서비스 주체에도 Azure Active Directory Graph/Application.ReadWrite.OwnedBy API 권한이 필요합니다.
    • passthrough 모드에서 CCO를 작동하기 위해 앱 등록 서비스 주체는 추가 API 권한이 필요하지 않습니다.

    CCO 모드에 대한 자세한 내용은 인증 및 권한 부여 가이드의 "클라우드 공급자 인증 정보 관리" 섹션에서 "Cloud Credential Operator 정보 수집"을 참조하십시오.

    참고

    OpenShift Container Platform 설치 프로그램의 서비스 주체 범위를 기존 Azure 리소스 그룹으로 제한하는 경우 해당 환경의 설치 프로그램에서 사용하는 기타 모든 리소스에 퍼블릭 DNS 영역 및 가상 네트워크와 같은 필수 권한이 있는지 확인해야 합니다. 설치 프로그램을 사용하여 클러스터를 삭제하면 이 리소스 그룹이 삭제됩니다.

    1. User Access Administrator 역할을 할당하려면 다음 명령을 실행합니다. 

      $ az role assignment create --role "User Access Administrator" \
    --assignee-object-id $(az ad sp list --filter "appId eq '<appId>'" \
       | jq '.[0].id' -r) 1
      1
      <appId>를 서비스 주체의 appId 매개변수 값으로 대체합니다.

    2. Azure Active Directory Graph 권한을 할당하려면 다음 명령을 실행합니다. 

      $ az ad app permission add --id <appId> \ 1
     --api 00000002-0000-0000-c000-000000000000 \
     --api-permissions 824c81eb-e3f8-4ee6-8f6d-de7f50d565b7=Role
      1
      <appId>를 서비스 주체의 appId 매개변수 값으로 대체합니다.

      출력 예

      Invoking "az ad app permission grant --id 46d33abc-b8a3-46d8-8c84-f0fd58177435 --api 00000002-0000-0000-c000-000000000000" is needed to make the change effective

      이 명령으로 부여한 특정 권한에 대한 자세한 내용은 Windows Azure Active Directory 권한에 대한 GUID 테이블을 참조하십시오.

    3. 권한 요청을 승인합니다. 계정에 Azure Active Directory 테넌트 관리자 역할이 없는 경우 조직의 지침에 따라 테넌트 관리자가 권한 요청을 승인해 주도록 요청하십시오. 

      $ az ad app permission grant --id <appId> \ 1
     --api 00000002-0000-0000-c000-000000000000
      1
      <appId>를 서비스 주체의 appId 매개변수 값으로 대체합니다.

추가 리소스

6.2.6. 지원되는 Azure 리전

설치 프로그램은 서브스크립션을 기반으로 사용 가능한 Microsoft Azure 리전 목록을 동적으로 생성합니다.

지원되는 Azure 리전
  • australiacentral (호주 중부)
  • australiaeast (호주 동부)
  • australiasoutheast (호주 남동부)
  • brazilsouth (브라질 남부)
  • canadacentral (캐나다 중부)
  • canadaeast (캐나다 동부)
  • centralindia (인도 중부)
  • centralus (미국 중부)
  • eastasia (동아시아)
  • eastus (미국 동부)
  • eastus2 (미국 동부 2)
  • francecentral (프랑스 중부)
  • germanywestcentral (독일 중서부)
  • japaneast (일본 동부)
  • japanwest (일본 서부)
  • koreacentral (한국 중부)
  • koreasouth (한국 남부)
  • northcentralus (미국 중북부)
  • northeurope (북유럽)
  • norwayeast (노르웨이 동부)
  • southafricanorth (남아프리카 북부)
  • southcentralus (미국 중남부)
  • southeastasia (동남아시아)
  • southindia (인도 남부)
  • swedencentral (스위스 중부)
  • switzerlandnorth (스위스 북부)
  • uaenorth (UAE 북부)
  • uksouth (영국 남부)
  • ukwest (영국 서부)
  • westcentralus (미국 중서부)
  • westeurope (서유럽)
  • westindia (인도 서부)
  • westus (미국 서부)
  • westus2 (미국 서부 2)
  • westus3 (미국 서부 3)
지원되는 Azure Government 리전

OpenShift Container Platform 버전 4.6에는 다음과 같은 MAG (Microsoft Azure Government) 리전에 대한 지원이 추가되어 있습니다.

  • usgovtexas (US Gov Texas)
  • usgovvirginia (US Gov Virginia)

사용 가능한 모든 MAG 리전은 Azure 설명서에서 확인할 수 있습니다. 제공되는 다른 MAG 리전은 OpenShift Container Platform에서 작동할 것으로 예상되지만 아직 테스트되지 않았습니다.

6.2.7. 다음 단계

6.3. 수동으로 Azure 용 IAM 생성

클라우드 ID 및 액세스 관리(IAM) API에 연결할 수 없는 환경에서 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않는 것을 선호하는 경우 클러스터를 설치하기 전에 CCO(Cloud Credential Operator)를 수동 모드로 설정할 수 있습니다.

6.3.1. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안

CCO(Cloud Credential Operator)는 클라우드 공급자 인증 정보를 Kubernetes CRD(사용자 지정 리소스 정의)로 관리합니다. install-config.yaml 파일에서 credentialsMode 매개변수의 다른 값을 설정하여 조직의 보안 요구 사항에 맞게 CCO를 구성할 수 있습니다.

클러스터 kube-system 프로젝트에 관리자 수준 인증 정보 시크릿을 저장하지 않으려면 OpenShift Container Platform을 설치할 때 CCO의 credentialsMode 매개변수를 수동으로 관리할 수 있습니다.

수동 모드를 사용하면 각 클러스터 구성 요소에는 클러스터에 관리자 수준 인증 정보를 저장하지 않고 필요한 권한만 보유할 수 있습니다. 환경이 클라우드 공급자 공용 IAM 끝점에 연결되지 않은 경우 이 모드를 사용할 수도 있습니다. 그러나 업그레이드할 때마다 새 릴리스 이미지로 권한을 수동으로 조정해야 합니다. 또한 요청하는 모든 구성 요소에 대한 인증 정보를 수동으로 제공해야 합니다.

추가 리소스

  • 사용 가능한 모든 CCO 인증 정보 모드 및 지원되는 플랫폼에 대한 자세한 내용은 Cloud Credential Operator 정보를 참조하십시오.

6.3.2. 수동으로 IAM 생성

Cloud Credential Operator (CCO)는 클라우드 아이덴티티 및 액세스 관리 (IAM) API에 연결할 수 없는 환경에서 설치하기 전에 수동 모드로 전환할 수 있습니다. 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않도록 합니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 install-config.yaml 파일을 생성합니다. 

    $ openshift-install create install-config --dir <installation_directory>

    여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.

  2. install-config.yaml 구성 파일을 편집하여 credentialsMode 매개 변수가 Manual로 설정되도록 합니다.

    install-config.yaml 설정 파일 예

    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 1
compute:
- architecture: amd64
  hyperthreading: Enabled
...

    1
    이 행은 credentialsMode 매개변수를 Manual로 설정하기 위해 추가됩니다.

  3. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    다음과 같습니다.

    <installation_directory>
    설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.

  4. 설치 프로그램이 포함된 디렉터리에서 openshift-install 바이너리가 다음을 사용하도록 빌드된 OpenShift Container Platform 릴리스 이미지에 대한 세부 정보를 가져옵니다. 

    $ openshift-install version

    출력 예

    release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64

  5. 배포중인 클라우드를 대상으로하는이 릴리스 이미지에서 모든 CredentialsRequest 개체를 찾습니다. 

    $ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 --credentials-requests --cloud=azure

    이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.

    샘플 CredentialsRequest 개체

    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  labels:
    controller-tools.k8s.io: "1.0"
  name: openshift-image-registry-azure
  namespace: openshift-cloud-credential-operator
spec:
  secretRef:
    name: installer-cloud-credentials
    namespace: openshift-image-registry
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor

  6. 이전에 생성한 openshift-install 매니페스트 디렉터리에 시크릿 YAML 파일을 만듭니다. 시크릿은 각 CredentialsRequest 오브젝트의 spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다. 시크릿 데이터의 형식은 클라우드 공급자마다 다릅니다.

    중요

    릴리스 이미지에는 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능에 대한 CredentialsRequest 오브젝트가 포함되어 있습니다. 이러한 오브젝트는 release.openshift.io/feature-gate: TechPreviewNoUpgrade 주석을 사용하여 확인할 수 있습니다.

    • 이러한 기능을 사용하지 않는 경우 해당 오브젝트에 대한 보안을 생성하지 마십시오. 사용하지 않는 기술 프리뷰 기능에 대한 시크릿을 생성하면 설치에 실패할 수 있습니다.
    • 이러한 기능을 사용하는 경우 해당 오브젝트에 대한 보안을 생성해야 합니다.

    • TechPreviewNoUpgrade 주석을 사용하여 CredentialsRequest 오브젝트를 찾으려면 다음 명령을 실행합니다. 

      $ grep "release.openshift.io/feature-gate" *

      출력 예

      0000_30_capi-operator_00_credentials-request.yaml:  release.openshift.io/feature-gate: TechPreviewNoUpgrade

  7. 설치 프로그램이 포함된 디렉터리에서 클러스터 생성을 진행합니다. 

    $ openshift-install create cluster --dir <installation_directory>
    중요

    수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업그레이드하기 전에 CCO가 업그레이드 가능한 상태인지 확인해야 합니다.

참고 자료

6.3.3. 관리자 인증 정보 루트 시크릿 형식

각 클라우드 공급자는 규칙에 따라 kube-system 네임 스페이스의 인증 정보 루트 시크릿을 사용하며, 이를 통해 모든 인증 정보 요청을 충족하고 해당 암호를 만드는 데 사용됩니다. 이 작업은 패스스루 모드 로 인증 정보 루트 시크릿을 복사하여 수행됩니다.

시크릿의 형식은 클라우드에 따라 다르며 각 CredentialsRequest 시크릿에도 사용됩니다.

Microsoft Azure 시크릿 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: kube-system
  name: azure-credentials
stringData:
  azure_subscription_id: <SubscriptionID>
  azure_client_id: <ClientID>
  azure_client_secret: <ClientSecret>
  azure_tenant_id: <TenantID>
  azure_resource_prefix: <ResourcePrefix>
  azure_resourcegroup: <ResourceGroup>
  azure_region: <Region>

Microsoft Azure에서 인증 정보 시크릿 형식에는 각 클러스터 설치에 대해 임의로 생성된 클러스터의 인프라 ID를 포함해야 하는 두 가지 속성이 포함되어 있습니다. 이 값은 매니페스트 생성을 실행한 후에 찾을 수 있습니다. 

$ cat .openshift_install_state.json | jq '."*installconfig.ClusterID".InfraID' -r

출력 예

mycluster-2mpcn

이 값은 다음과 같이 시크릿 데이터에 사용됩니다. 

azure_resource_prefix: mycluster-2mpcn
azure_resourcegroup: mycluster-2mpcn-rg

6.3.4. 다음 단계

6.4. Azure에 빠르게 클러스터 설치

OpenShift Container Platform 버전 4.10에서는 Microsoft Azure에 기본 구성 옵션을 사용하는 클러스터를 설치할 수 있습니다.

6.4.1. 사전 요구 사항

6.4.2. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.10에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

6.4.3. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다. 

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다. 

    $ cat ~/.ssh/id_ed25519.pub

  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다. 

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다. 

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

6.4.4. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

절차

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.

  3. 설치 유형 페이지로 이동하여 호스트 운영 체제 및 아키텍처에 해당하는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 배치합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다. 

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

6.4.5. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    중요

    비어 있는 디렉터리를 지정합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    화면에 나타나는 지시에 따라 필요한 값을 입력합니다.

    1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

      참고

      설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

    2. 대상 플랫폼으로 azure를 선택합니다.

    3. 컴퓨터에 Microsoft Azure 프로필이 저장되어 있지 않은 경우 서비스크립션 및 서비스 주체에 대해 다음 Azure 매개변수 값을 지정합니다.

      • azure subscription id: 클러스터에 사용할 서브스크립션 ID입니다. 계정 출력의 id 값을 지정하십시오.
      • azure tenant id: 테넌트 ID. 계정 출력의 tenantId 값을 지정하십시오.
      • azure service principal client id: 서비스 주체의 appId 매개변수 값.
      • azure service principal client secret: 서비스 주체의 password 매개변수 값.
    4. 클러스터를 배포할 리전을 선택합니다.
    5. 클러스터를 배포할 기본 도메인을 선택합니다. 기본 도메인은 클러스터용으로 생성한 Azure DNS 영역에 해당합니다.

    6. 클러스터를 설명할 수 있는 이름을 입력합니다.

      중요

      공용 끝점을 통해 사용할 수 있는 모든 Azure 리소스에는 리소스 이름 제한 사항이 적용되며, 특정 용어를 사용하는 리소스를 생성할 수 없습니다. Azure가 제한하는 용어 목록은 Azure 문서의 예약된 리소스 이름 오류 해결을 참조하십시오.

    7. Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 붙여넣습니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
    • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

6.4.6. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc 를 설치한 경우 OpenShift Container Platform 4.10의 모든 명령을 완료하는 데 이 버전을 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.

  4. 아카이브의 압축을 풉니다. 

    $ tar xvzf <file>

  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.

  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다. 

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.10 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.

  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다. 

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다. 

$ oc <command>

6.4.7. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

6.4.8. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.10에서 클러스터 상태 및 업데이트 성공에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에는 인터넷 액