홈
제품
OpenShift Container Platform
4.16
GCP에 설치
8.5. GCP용 설치 파일 생성

8.5. GCP용 설치 파일 생성

GCP(Google Cloud Platform)의 OpenShift Container Platform을 공유 VPC에 설치하려면 install-config.yaml 파일을 생성하고 클러스터가 올바른 VPC 네트워크, DNS 영역 및 프로젝트 이름을 사용하도록 수정해야 합니다.

8.5.1. 수동으로 설치 구성 파일 만들기
링크 복사

클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

설치 프로그램과 함께 사용할 로컬 시스템에 SSH 공개 키가 있습니다. 디버깅 및 재해 복구를 위해 클러스터 노드에 SSH 인증에 키를 사용할 수 있습니다.
OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다.
```
$ mkdir <installation_directory>
```
중요
디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.
제공된 샘플 install-config.yaml 파일 템플릿을 사용자 지정하고 파일을 < installation_directory>에 저장합니다.
참고
이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.
여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.
중요
설치 프로세스에서 다음 단계에서 파일을 사용하므로 이제 install-config.yaml 파일을 백업합니다.

8.5.2. Shielded VM 활성화
링크 복사

클러스터를 설치할 때 Shielded VM을 사용할 수 있습니다. Shielded VM에는 보안 부팅, 펌웨어 및 무결성 모니터링 및 루트킷 탐지를 포함한 추가 보안 기능이 있습니다. 자세한 내용은 Shielded VMs 에 대한 Google 문서를 참조하십시오.

참고

Shielded VM은 현재 64비트 ARM 인프라가 있는 클러스터에서 지원되지 않습니다.

프로세스

클러스터를 배포하기 전에 텍스트 편집기를 사용하여 install-config.yaml 파일을 편집하고 다음 스탠자 중 하나를 추가합니다.
1. 컨트롤 플레인 시스템에만 보호된 VM을 사용하려면 다음을 수행합니다.
  controlPlane: platform: gcp: secureBoot: Enabled
2. 컴퓨팅 머신에만 보호된 VM을 사용하려면 다음을 수행합니다.
  compute: - platform: gcp: secureBoot: Enabled
3. 모든 시스템에 대해 보호된 VM을 사용하려면 다음을 수행합니다.
  platform: gcp: defaultMachinePlatform: secureBoot: Enabled

8.5.3. 기밀성 VM 활성화
링크 복사

클러스터를 설치할 때 기밀성 VM을 사용할 수 있습니다. Confidential VM은 처리되는 동안 데이터를 암호화합니다. 자세한 내용은 기밀 컴퓨팅 에 대한 Google 설명서를 참조하십시오. 상호 의존적이지는 않지만 Confidential VM과 Shielded VM을 동시에 활성화할 수 있습니다.

참고

현재 기밀 VM은 64비트 ARM 아키텍처에서 지원되지 않습니다.

프로세스

클러스터를 배포하기 전에 텍스트 편집기를 사용하여 install-config.yaml 파일을 편집하고 다음 스탠자 중 하나를 추가합니다.
1. 컨트롤 플레인 머신에만 Confidential VM을 사용하려면 다음을 수행합니다.
  controlPlane: platform: gcp: confidentialCompute: Enabled
  1
  type: n2d-standard-8
  2
  onHostMaintenance: Terminate
  3
  1
  기밀 VM을 활성화합니다.
  2
  기밀성 VM을 지원하는 머신 유형을 지정합니다. 기밀 VM에는 N2D 또는 C2D 일련의 머신 유형이 필요합니다. 지원되는 머신 유형에 대한 자세한 내용은 지원되는 운영 체제 및 머신 유형을 참조하십시오.
  3
  호스트 유지 관리 이벤트 중 하드웨어 또는 소프트웨어 업데이트와 같은 VM의 동작을 지정합니다. 기밀성 VM을 사용하는 시스템의 경우 이 값은 VM을 중지하도록 Terminate 로 설정해야 합니다. 기밀 VM은 실시간 VM 마이그레이션을 지원하지 않습니다.
2. 컴퓨팅 머신에만 기밀 VM을 사용하려면 다음을 수행합니다.
  compute: - platform: gcp: confidentialCompute: Enabled type: n2d-standard-8 onHostMaintenance: Terminate
3. 모든 머신에 기밀 VM을 사용하려면 다음을 수행합니다.
  platform: gcp: defaultMachinePlatform: confidentialCompute: Enabled type: n2d-standard-8 onHostMaintenance: Terminate

8.5.4. 공유 VPC 설치를 위한 샘플 사용자 지정 install-config.yaml 파일
링크 복사

공유 VPC를 사용하여 GCP에 OpenShift Container Platform을 설치하는 데 필요한 몇 가지 구성 매개변수가 있습니다. 다음은 이러한 필드를 보여주는 샘플 install-config.yaml 파일입니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 환경 및 클러스터에 대한 올바른 값으로 이 파일을 수정해야 합니다.

apiVersion: v1
baseDomain: example.com
credentialsMode: Passthrough


metadata:
  name: cluster_name
platform:
  gcp:
    computeSubnet: shared-vpc-subnet-1


    controlPlaneSubnet: shared-vpc-subnet-2


    network: shared-vpc


    networkProjectID: host-project-name


    projectID: service-project-name


    region: us-east1
    defaultMachinePlatform:
      tags:


      - global-tag1
controlPlane:
  name: master
  platform:
    gcp:
      tags:


      - control-plane-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
compute:
- name: worker
  platform:
    gcp:
      tags:


      - compute-tag1
      type: n2-standard-4
      zones:
      - us-central1-a
      - us-central1-c
  replicas: 3
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
pullSecret: '{"auths": ...}'
sshKey: ssh-ed25519 AAAA...

1: credentialsMode 를 Passthrough 또는 Manual 로 설정해야 합니다. 서비스 계정에 필요한 필수 GCP 권한에 대해서는 "사전 요구 사항" 섹션을 참조하십시오.
2: 컴퓨팅 시스템에서 사용할 공유 VPC의 서브넷 이름입니다.
3: 컨트롤 플레인 시스템에서 사용할 공유 VPC의 서브넷 이름입니다.
4: 공유 VPC의 이름입니다.
5: 공유 VPC가 존재하는 호스트 프로젝트의 이름입니다.
6: 클러스터를 설치할 GCP 프로젝트의 이름입니다.
7 8 9: 선택 사항: 컴퓨팅 시스템, 컨트롤 플레인 시스템 또는 모든 시스템에 적용할 하나 이상의 네트워크 태그입니다.
10: 선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.

8.5.5. 설치 중 클러스터 단위 프록시 구성
링크 복사

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

기존 install-config.yaml 파일이 있습니다.
클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.
참고
Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.
Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다.
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 
```
1
```
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 
```
2
```
  noProxy: example.com 
```
3
```
additionalTrustBundle: | 
```
4
```
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 
```
5
1
클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
2
클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
3
대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.com은 x.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
4
이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
5
선택 사항: trustedCA 필드에서 user-ca-bundle 구성 맵을 참조할 프록시 오브젝트의 구성을 결정하는 정책입니다. 허용되는 값은 Proxyonly 및 Always 입니다. http/https 프록시가 구성된 경우에만 user-ca-bundle 구성 맵을 참조하려면 Proxyonly 를 사용합니다. Always를 사용하여 user-ca-bundle 구성 맵을 항상 참조합니다. 기본값은 Proxyonly 입니다.
참고
설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.
참고
설치 프로그램이 시간 초과되면 설치 프로그램의 wait-for 명령을 사용하여 배포를 다시 시작한 다음 완료합니다. 예를 들면 다음과 같습니다.
$ ./openshift-install wait-for install-complete --log-level debug
파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

8.5. GCP용 설치 파일 생성

8.5.1. 수동으로 설치 구성 파일 만들기
링크 복사

8.5.2. Shielded VM 활성화
링크 복사

8.5.3. 기밀성 VM 활성화
링크 복사

8.5.4. 공유 VPC 설치를 위한 샘플 사용자 지정 install-config.yaml 파일
링크 복사

8.5.5. 설치 중 클러스터 단위 프록시 구성
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.5. GCP용 설치 파일 생성

8.5.1. 수동으로 설치 구성 파일 만들기링크 복사링크가 클립보드에 복사되었습니다!

8.5.2. Shielded VM 활성화링크 복사링크가 클립보드에 복사되었습니다!

8.5.3. 기밀성 VM 활성화링크 복사링크가 클립보드에 복사되었습니다!

8.5.4. 공유 VPC 설치를 위한 샘플 사용자 지정 install-config.yaml 파일링크 복사링크가 클립보드에 복사되었습니다!

8.5.5. 설치 중 클러스터 단위 프록시 구성링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.5.1. 수동으로 설치 구성 파일 만들기
링크 복사

8.5.2. Shielded VM 활성화
링크 복사

8.5.3. 기밀성 VM 활성화
링크 복사

8.5.4. 공유 VPC 설치를 위한 샘플 사용자 지정 install-config.yaml 파일
링크 복사

8.5.5. 설치 중 클러스터 단위 프록시 구성
링크 복사