3장. 사용자 프로비저닝 인프라


3.1. 사용자 프로비저닝 인프라에 대한 vSphere 설치 요구 사항

프로비저닝하는 인프라에 설치를 시작하기 전에 vSphere 환경이 다음 설치 요구 사항을 충족하는지 확인하십시오.

3.1.1. VMware vSphere 인프라 요구사항

사용하는 구성 요소의 요구 사항을 충족하는 다음 버전의 VMware vSphere 인스턴스 중 하나에 OpenShift Container Platform 클러스터를 설치해야 합니다.

  • 버전 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상
  • 버전 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

이 두 릴리스 모두 OpenShift Container Platform 4.16에서 기본적으로 활성화되어 있는 CSI(Container Storage Interface) 마이그레이션을 지원합니다.

다음 표에 설명된 요구 사항을 충족하는 VMware vSphere 인프라 온프레미스 또는 VMware Cloud Verified 공급자 를 호스팅할 수 있습니다.

표 3.1. vSphere 가상 환경에 대한 버전 요구 사항
가상 환경 제품필수 버전

VMware 가상 하드웨어

15 이상

vSphere ESXi 호스트

7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

vCenter 호스트

7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

중요

OpenShift Container Platform을 설치하기 전에 ESXi 호스트의 시간이 동기화되었는지 확인해야 합니다. VMware 문서에서 Edit Time Configuration for a Host를 참조하십시오.

표 3.2. VMware 구성 요소에 지원되는 최소 vSphere 버전
구성 요소지원되는 최소 버전설명

하이퍼바이저

vSphere 7.0 Update 2 이상 또는 VMware Cloud Foundation 4.3 이상; vSphere 8.0 Update 1 이상, VMware Cloud Foundation 5.0 이상 및 가상 하드웨어 버전 15 이상

이 하이퍼바이저 버전은 RHCOS(Red Hat Enterprise Linux CoreOS)에서 지원하는 최소 버전입니다. RHCOS와 호환되는 최신 버전의 RHEL (Red Hat Enterprise Linux)에서 지원되는 하드웨어에 대한 자세한 내용은 Red Hat 고객 포털의 하드웨어를 참조하십시오. https://catalog.redhat.com/hardware/search

선택사항: 네트워킹(NSX-T)

vSphere 7.0 Update 2 이상 또는 VMware Cloud Foundation 4.3 이상; vSphere 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

NSX 및 OpenShift Container Platform의 호환성에 대한 자세한 내용은 VMware의 NSX 컨테이너 플러그인 설명서의 릴리스 노트 섹션을 참조하십시오.

CPU 마이크로 아키텍처

x86-64-v2 이상

OpenShift 4.13 이상은 RHEL 9.2 호스트 운영 체제를 기반으로 하며 마이크로 아키텍처 요구 사항을 x86-64-v2로 높였습니다. RHEL 마이크로 아키텍처 요구 사항 설명서를 참조하십시오. 이 KCS 문서에 설명된 절차에 따라 호환성을 확인할 수 있습니다.

중요

Oracle® Cloud Infrastructure(OCI) 및 Oracle® Cloud VMware Solution(OCVS) 서비스에서 작동하는 클러스터 워크로드에 대한 최상의 성능 조건을 보장하려면 블록 볼륨의 볼륨 성능 단위(VPU)가 워크로드에 맞게 크기가 조정되어야 합니다.

다음 목록은 특정 성능 요구 사항에 필요한 VPU를 선택하는 데 필요한 몇 가지 지침을 제공합니다.

  • 테스트 또는 개념 증명 환경: 100GB 및 20~30 VPU.
  • 기본 프로덕션 환경: 500GB 및 60 VPU.
  • 사용량이 높은 프로덕션 환경: 500GB 이상 및 100개 이상의 VPU.

추가 VPU를 할당하여 업데이트 및 확장 활동을 위한 충분한 용량을 제공하는 것이 좋습니다. 블록 볼륨 성능 수준(Oracle 문서) 을 참조하십시오.

3.1.2. VMware vSphere CSI Driver Operator 요구 사항

vSphere CSI(Container Storage Interface) Driver Operator를 설치하려면 다음 요구 사항을 충족해야 합니다.

  • VMware vSphere 버전: 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상
  • vCenter 버전: 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상
  • 하드웨어 버전 15 이상의 가상 머신
  • 클러스터에 이미 설치된 타사 vSphere CSI 드라이버가 없습니다

타사 vSphere CSI 드라이버가 클러스터에 있는 경우 OpenShift Container Platform은 이를 덮어쓰지 않습니다. 타사 vSphere CSI 드라이버가 있으면 OpenShift Container Platform이 OpenShift Container Platform 4.13 이상으로 업데이트되지 않습니다.

참고

VMware vSphere CSI Driver Operator는 설치 매니페스트에서 platform: vsphere 와 함께 배포된 클러스터에서만 지원됩니다.

CSI(Container Storage Interface) 드라이버, vSphere CSI Driver Operator 및 vSphere Problem Detector Operator에 대한 사용자 정의 역할을 생성할 수 있습니다. 사용자 지정 역할에는 각 vSphere 오브젝트에 최소 권한 세트를 할당하는 권한 세트가 포함될 수 있습니다. 즉 CSI 드라이버, vSphere CSI Driver Operator 및 vSphere Problem Detector Operator가 이러한 오브젝트와의 기본 상호 작용을 설정할 수 있습니다.

중요

vCenter에 OpenShift Container Platform 클러스터를 설치하는 것은 "필수 vCenter 계정 권한" 섹션에 설명된 대로 전체 권한 목록에 대해 테스트됩니다. 전체 권한 목록을 준수하면 제한된 권한 세트를 사용하여 사용자 지정 역할을 생성할 때 발생할 수 있는 예기치 않고 지원되지 않는 동작의 가능성을 줄일 수 있습니다.

추가 리소스

3.1.3. 사용자 프로비저닝 인프라를 포함한 클러스터의 시스템 요구사항

사용자 프로비저닝 인프라가 포함된 클러스터의 경우, 필요한 모든 시스템을 배포해야 합니다.

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포해야 하는 요구 사항에 대해 설명합니다.

3.1.3.1. vCenter 요구사항

제공한 인프라를 사용하는 vCenter에 OpenShift Container Platform 클러스터를 설치하기 전에 환경을 준비해야 합니다.

필요한 vCenter 계정 권한

vCenter에 OpenShift Container Platform 클러스터를 설치하려면 vSphere 계정에 필요한 리소스를 읽고 생성하는 권한이 포함되어야 합니다. 필요한 모든 권한에 액세스할 수 있는 가장 간단한 방법은 글로벌 관리 권한이 있는 계정을 사용하는 것입니다.

예 3.1. vSphere API에 설치하는 데 필요한 역할 및 권한

역할의 vSphere 개체필요한 경우vSphere API에서 필요한 권한

vSphere vCenter

Always

Cns.Searchable
InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
InventoryService.Tagging.EditTag
InventoryService.Tagging.ValidateSession
StorageProfile.View

vSphere vCenter Cluster

클러스터 루트에 VM이 생성되는 경우

Host.Config.Storage
Resource.AssignVMToPool
VApp.AssignResourcePool
VApp.Import
VirtualMachine.Config.AddNewDisk

vSphere vCenter 리소스 풀

기존 리소스 풀이 제공되는 경우

resource.AssignVMToPool
VApp.AssignResourcePool
VApp.Import
VirtualMachine.Config.AddNewDisk

vSphere 데이터 저장소

Always

Datastore.AllocateSpace
Datastore.Browse
Datastore.FileManagement
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

InventoryService.Tagging.ObjectAttachable
Resource.AssignVMToPool
VApp.Import
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount>-<VirtualMachine.Config.DiskExtend
ECDHEVirtualMachine.Config.DiskExtendVirtualMachine.Config.Config.RemoveDisk
VirtualMachine.Config.Config.



















vSphere vCenter 데이터 센터

설치 프로그램이 가상 머신 폴더를 생성하는 경우 사용자 프로비저닝 인프라의 경우 클러스터에서 Machine API를 사용하지 않는 경우 VirtualMachine.인벤토리. Create 및 VirtualMachine.인벤토리.Delete 권한은 선택 사항입니다. "Machine API의 최소 권한" 표를 참조하십시오.

InventoryService.Tagging.ObjectAttachable
Resource.AssignVMToPool
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtendCryostatVirtualMachine.Config.DiskLeaseVirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.ReStart requested


















예 3.2. vCenter GUI(그래픽 사용자 인터페이스)에 설치하는 데 필요한 역할 및 권한

역할의 vSphere 개체필요한 경우vCenter GUI에서 필요한 권한

vSphere vCenter

Always

CNS .Searchable
"vSphere Tagging"."Assign or Unassign vSphere Tagging"
"vSphere Tagging"
"vSphere Tagging"," vSphere 태그생성"
"vSphere 태그 범주 삭제"
"vSphere Tagging""vSphere Tagging" 태그 지정"." vSphere 태그 삭제"

"vSphere Tagging"
"vSphere Tagging"
"vSphere Tagging"
세션 편집"
"
프로필 중심 스토리지" "프로필 중심 스토리지 업데이트" "Profile-driven storage""Profile-driven storage". 스토리지 뷰"

vSphere vCenter Cluster

클러스터 루트에 VM이 생성되는 경우

host .Configuration."Storage partition configuration"
리소스 풀에 가상 머신 등록"
VApp."Assign resource pool"
VApp.Import
"Virtual machine"."Change Configuration","새 디스크 추가"

vSphere vCenter 리소스 풀

기존 리소스 풀이 제공되는 경우

host .Configuration."Storage partition configuration"
리소스 풀에 가상 머신 등록"
VApp."Assign resource pool"
VApp.Import
"Virtual machine"."Change Configuration","새 디스크 추가"

vSphere 데이터 저장소

Always

Datastore."Allocate space"
Datastore."Browse datastore"
Datastore."Low level file operations"
"vSphere Tagging"."Assign or Unassign vSphere Tag on Object"

vSphere Port Group

Always

네트워크 서명 (Assign network)

가상 머신 폴더

Always

"vSphere Tagging"."Assign or Unassign vSphere Tag on Object"
resource pool"
VApp.Import
"Virtual machine"."Change Configuration"."
"
가상 머신"을 추가합니다."
새 디스크 추가 "가상 디스크추가" 머신"."Change Configuration"."Add or remove device"

"Virtual machine"."Add or remove device"
"Virtual machine"."Advanced configuration"."Advanced configuration"
"Virtual machine"."Change annotation"
"Virtual machine" 변경"."
"Virtual machine" 변경 구성".
가상 디스크 변경 "가상 디스크 추가" 머신"."Change Configuration"."Acquire disk lease"

"Virtual machine"."Change Configuration"."Modify device settings"
"Virtual machine"."Change Memory"

"Virtual machine"."Change disk"."
"
Virtual machine"Change Configuration".Rename
"Virtual machine" 변경 머신"."Change configuration"."Reset guest information"
"Virtual machine"."Reset guest information"
"Virtual machine"."Change resource"
"Virtual machine"."Change Settings"

"Virtual machine"."Upgrade virtual machine".
"Virtual machine". interaction."Guest operating system management by VIX API""Virtual machine"을 변경하십시오. Machine". interaction."Power off"
"Virtual machine". interaction".Power on"
"Virtual machine". interaction. interaction.Edit Inventory".
Edit Inventory"."Create new"
"Virtual machine"."Edit Inventory"."Createfrom existing"
"Virtual machine"."Edit Inventory"."Remove"

"Virtual machine"Edit Inventory"."Remove"
"Virtual machine" 머신".Provisioning."Clone 가상 머신"
"가상 머신".Provisioning." template"
"Virtual machine".Provisioning."Deploy template"

vSphere vCenter 데이터 센터

설치 프로그램이 가상 머신 폴더를 생성하는 경우 사용자 프로비저닝 인프라의 경우 클러스터에서 Machine API를 사용하지 않는 경우 VirtualMachine.인벤토리. Create 및 VirtualMachine.인벤토리.Delete 권한은 선택 사항입니다.

"vSphere Tagging"."Assign or Unassign vSphere Tag on Object"
resource pool"
VApp.Import
"Virtual machine"."Change Configuration"."
"
가상 머신"을 추가합니다."
새 디스크 추가 "가상 디스크추가" 머신"."Change Configuration"."Add or remove device"

"Virtual machine"."Add or remove device"
"Virtual machine"."Advanced configuration"."Advanced configuration"
"Virtual machine"."Change annotation"
"Virtual machine" 변경"."
"Virtual machine" 변경 구성".
가상 디스크 변경 "가상 디스크 추가" 머신"."Change Configuration"."Acquire disk lease"

"Virtual machine"."Change Configuration"."Modify device settings"
"Virtual machine"."Change Memory"

"Virtual machine"."Change disk"."
"
Virtual machine"Change Configuration".Rename
"Virtual machine" 변경 머신"."Change configuration"."Reset guest information"
"Virtual machine"."Reset guest information"
"Virtual machine"."Change resource"
"Virtual machine"."Change Settings"

"Virtual machine"."Upgrade virtual machine".
"Virtual machine". interaction."Guest operating system management by VIX API""Virtual machine"을 변경하십시오. Machine". interaction."Power off"
"Virtual machine". interaction".Power on"
"Virtual machine". interaction. interaction.Edit Inventory".
Edit Inventory"."Create new"
"Virtual machine"."Edit Inventory"."Createfrom existing"
"Virtual machine"."Edit Inventory"."Remove"

"Virtual machine"Edit Inventory"."Remove"
"Virtual machine" 머신".Provisioning."Clone 가상 머신"
"가상 머신".Provisioning."
"
가상 머신"
"가상 머신".Provisioning." template"

Folder" 폴더 생성"폴더 삭제"

또한 사용자에게 일부 ReadOnly 권한이 필요하며 일부 역할에는 하위 오브젝트에 권한을 부여하는 사용 권한이 필요합니다. 이러한 설정은 클러스터를 기존 폴더에 설치할지 여부에 따라 달라집니다.

예 3.3. 필수 권한 및 권한 부여 설정

vSphere 오브젝트필요한 경우하위 항목으로 권한 부여권한 필요

vSphere vCenter

Always

False

나열된 필수 권한

vSphere vCenter 데이터 센터

기존 폴더

False

ReadOnly 권한

설치 프로그램은 폴더를 생성

True

나열된 필수 권한

vSphere vCenter Cluster

기존 리소스 풀

False

ReadOnly 권한

클러스터 루트의 VM

True

나열된 필수 권한

vSphere vCenter 데이터 저장소

Always

False

나열된 필수 권한

vSphere Switch

Always

False

ReadOnly 권한

vSphere Port Group

Always

False

나열된 필수 권한

vSphere vCenter Virtual Machine Folder

기존 폴더

True

나열된 필수 권한

vSphere vCenter 리소스 풀

기존 리소스 풀

True

나열된 필수 권한

필요한 권한만으로 계정을 생성하는 방법에 대한 자세한 내용은 vSphere 문서에서 vSphere 권한 및 사용자 관리 작업을 참조하십시오.

필요한 최소 vCenter 계정 권한

사용자 지정 역할을 생성하고 권한을 할당한 후 특정 vSphere 오브젝트를 선택한 다음 사용자 지정 역할을 각 오브젝트의 사용자 또는 그룹에 할당하여 권한을 생성할 수 있습니다.

vSphere 오브젝트에 대한 권한 생성을 요청하거나 권한을 생성하기 전에 vSphere 오브젝트에 적용되는 최소 권한을 결정합니다. 이 작업을 수행하면 vSphere 오브젝트와 OpenShift Container Platform 아키텍처 간에 기본 상호 작용이 있는지 확인할 수 있습니다.

중요

사용자 지정 역할을 생성하고 권한을 할당하지 않는 경우 기본적으로 vSphere Server는 사용자 지정 역할에 Read Only 역할을 할당합니다. 클라우드 공급자 API의 경우 사용자 지정 역할은 Read Only 역할의 권한만 상속해야 합니다.

글로벌 관리 권한이 있는 계정이 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 생성하는 것이 좋습니다.

중요

필요한 권한으로 구성되지 않은 계정은 지원되지 않습니다. vCenter에 OpenShift Container Platform 클러스터를 설치하는 것은 "필수 vCenter 계정 권한" 섹션에 설명된 대로 전체 권한 목록에 대해 테스트됩니다. 전체 권한 목록을 준수하면 제한된 권한 세트를 사용하여 사용자 지정 역할을 생성할 때 발생할 수 있는 예기치 않은 동작 가능성을 줄일 수 있습니다.

다음 표에는 특정 OpenShift Container Platform 아키텍처와 상호 작용하는 vSphere 오브젝트에 대한 최소 권한이 나열되어 있습니다.

예 3.4. 구성 요소의 설치 후 관리를 위한 최소 권한

역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

Cns.Searchable
InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
InventoryService.Tagging.EditTag
InventoryService.Tagging.ValidateSession
StorageProfile.View

vSphere vCenter Cluster

클러스터 루트에서 VM을 생성하려는 경우

Host.Config.Storage
Resource.AssignVMToPool

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

Host.Config.Storage

vSphere 데이터 저장소

Always

Datastore.AllocateSpace
Datastore.Browse
Datastore.FileManagement
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.Memory
VirtualMachine.Config.Settings
VirtualMachine.Config.Settings
VirtualMachine.PowerOffCryostatVirtualMachine.#159.PowerOnCryostat CryostatVirtualMachine.CreateFromExistingExistingTemplateVirtualMachine.DeleteC.Deploy VirtualMachine.ProvisionTend VirtualMachine.Provision




vSphere vCenter 데이터 센터

설치 프로그램이 가상 머신 폴더를 생성하는 경우 사용자 프로비저닝 인프라의 경우 클러스터에서 Machine API를 사용하지 않는 경우 VirtualMachine.인벤토리. Create 및 VirtualMachine.인벤토리.Delete 권한은 선택 사항입니다. 클러스터에서 Machine API를 사용하고 API에 대한 최소 권한 세트를 설정하려면 "Machine API에 대한 최소 권한" 표를 참조하십시오.

resource .AssignVMToPool
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine. interact.PowerOff
VirtualMachine. interact.PowerOn
VirtualMachine.Provisioning.DeployTemplate

예 3.5. 스토리지 구성 요소에 대한 최소 권한

역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

CNS .Searchable
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
StorageProfile.Update
StorageProfile.View

vSphere vCenter Cluster

클러스터 루트에서 VM을 생성하려는 경우

Host.Config.Storage

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

Host.Config.Storage

vSphere 데이터 저장소

Always

Datastore.Browse
Datastore.FileManagement
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

읽기 전용

가상 머신 폴더

Always

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice

vSphere vCenter 데이터 센터

설치 프로그램이 가상 머신 폴더를 생성하는 경우 사용자 프로비저닝 인프라의 경우 클러스터에서 Machine API를 사용하지 않는 경우 VirtualMachine.인벤토리. Create 및 VirtualMachine.인벤토리.Delete 권한은 선택 사항입니다. 클러스터에서 Machine API를 사용하고 API에 대한 최소 권한 세트를 설정하려면 "Machine API에 대한 최소 권한" 표를 참조하십시오.

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice

예 3.6. Machine API의 최소 권한

역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
InventoryService.Tagging.EditTag
Sessions.ValidateSession
StorageProfile.UpdateCategoryStorageProfile.View

vSphere vCenter Cluster

클러스터 루트에서 VM을 생성하려는 경우

Resource.AssignVMToPool

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

읽기 전용

vSphere 데이터 저장소

Always

Datastore.AllocateSpace
Datastore.Browse

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.CPUCount
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.Memory
VirtualMachine.Config.Settings
VirtualMachine.PowerOff
VirtualMachine.PowerOff
VirtualMachine.PowerOnCryostat.CreateFromExisting
CryostatVirtualMachine. Cryostat.DeleteCryostatVirtualMachine.ProvisionConeingVirtualMachine.Provision


vSphere vCenter 데이터 센터

설치 프로그램이 가상 머신 폴더를 생성하는 경우 사용자 프로비저닝 인프라의 경우 클러스터에서 Machine API를 사용하지 않는 경우 VirtualMachine.인벤토리. Create 및 VirtualMachine.인벤토리.Delete 권한은 선택 사항입니다.

resource.AssignVMToPool
VirtualMachine. interact.PowerOff
VirtualMachine. interact.PowerOn
VirtualMachine.Provisioning.DeployTemplate

vMotion으로 OpenShift Container Platform 사용

vSphere 환경에서 vMotion을 사용하려면 OpenShift Container Platform 클러스터를 설치하기 전에 다음을 고려하십시오.

  • 스토리지 vMotion을 사용하면 문제가 발생할 수 있으며 지원되지 않습니다.
  • VMware 컴퓨팅 vMotion을 사용하여 OpenShift Container Platform 컴퓨팅 머신과 컨트롤 플레인 시스템의 워크로드를 모두 마이그레이션하는 것은 일반적으로 지원됩니다. 일반적으로 vMotion에 대한 모든 VMware 모범 사례를 충족합니다.

    컴퓨팅 및 컨트롤 플레인 노드의 가동 시간을 보장하기 위해 vMotion에 대한 VMware 모범 사례를 따르고 VMware 유사성 방지 규칙을 사용하여 유지 관리 또는 하드웨어 문제 중에 OpenShift Container Platform의 가용성을 개선하십시오.

    vMotion 및 anti-affinity 규칙에 대한 자세한 내용은 vMotion 네트워킹 요구 사항VM 유사성 방지 규칙에 대한 VMware vSphere 설명서를 참조하십시오.

  • Pod에서 VMware vSphere 볼륨을 사용하는 경우 수동으로 또는 스토리지 vMotion을 통해 VM을 마이그레이션하면 데이터가 손실될 수 있는 OpenShift Container Platform PV(영구 볼륨) 오브젝트 내에 잘못된 참조가 발생합니다.
  • OpenShift Container Platform은 데이터 저장소에서 VMDK의 선택적 마이그레이션, VM 프로비저닝 또는 PV의 동적 또는 정적 프로비저닝에 데이터 저장소 클러스터를 사용하거나 PV의 동적 또는 정적 프로비저닝을 위해 데이터 저장소 클러스터의 일부인 데이터 저장소를 사용하는 것을 지원하지 않습니다.

    중요

    데이터 저장소 클러스터에 존재하는 모든 데이터 저장소의 경로를 지정할 수 있습니다. 기본적으로 스토리지 vMotion을 사용하는 SDRS(Storage Distributed Resource Scheduler)는 데이터 저장소 클러스터에 대해 자동으로 활성화됩니다. Red Hat은 스토리지 vMotion을 지원하지 않으므로 OpenShift Container Platform 클러스터의 데이터 손실 문제를 방지하려면 스토리지 DRS를 비활성화해야 합니다.

    여러 데이터 저장소에서 VM을 지정해야 하는 경우 datastore 오브젝트를 사용하여 클러스터의 install-config.yaml 구성 파일에 실패 도메인을 지정합니다. 자세한 내용은 "VMware vSphere 리전 및 영역 활성화"를 참조하십시오.

클러스터 리소스

제공한 인프라를 사용하는 OpenShift Container Platform 클러스터를 배포할 때 vCenter 인스턴스에 다음 리소스를 생성해야 합니다.

  • 폴더 한 개
  • 태그 카테고리 한 개
  • 태그 한 개
  • 가상 머신:

    • 템플릿 한 개
    • 임시 부트스트랩 노드 한 개
    • 컨트롤 플레인 노드 세 개
    • 컴퓨팅 시스템 세 개

이러한 리소스는 856GB의 스토리지를 사용하지만 부트스트랩 노드는 클러스터 설치 프로세스 중에 제거됩니다. 표준 클러스터를 사용하려면 최소 800GB의 스토리지가 필요합니다.

컴퓨팅 시스템을 더 많이 배포할수록 OpenShift Container Platform 클러스터는 더 많은 스토리지를 사용합니다.

클러스터 제한

사용 가능한 리소스는 클러스터마다 다릅니다. vCenter 내에서 가능한 클러스터 수는 주로 사용 가능한 스토리지 공간과 필요한 리소스 수에 대한 제한으로 제한됩니다. 클러스터가 생성하는 vCenter 리소스와 IP 주소 및 네트워크와 같이 클러스터를 배포하는 데 필요한 리소스에 대한 제한 사항을 모두 고려해야 합니다.

네트워킹 요구사항

네트워크에 DHCP(Dynamic Host Configuration Protocol)를 사용하고 DHCP 서버를 구성하여 영구 IP 주소를 클러스터의 시스템으로 설정할 수 있습니다. DHCP 리스에서 기본 게이트웨이를 사용하도록 DHCP를 구성해야 합니다.

참고

고정 IP 주소로 노드를 프로비저닝하려면 네트워크에 DHCP를 사용할 필요가 없습니다.

사용자 프로비저닝 인프라에 설치하려는 클러스터에 대해 다른 VLAN에 노드 또는 노드 그룹을 지정하는 경우 클러스터의 시스템이 사용자 프로비저닝 인프라 문서에 대한 네트워킹 요구 사항의 "네트워크 연결 요구 사항" 섹션에 설명된 요구 사항을 충족하는지 확인해야 합니다.

제한된 환경에 설치하는 경우 제한된 네트워크의 VM이 노드, PVC(영구 볼륨 클레임) 및 기타 리소스를 프로비저닝하고 관리할 수 있도록 vCenter에 액세스할 수 있어야 합니다.

참고

클러스터의 각 OpenShift Container Platform 노드가 DHCP에서 검색할 수 있는 NTP(Network Time Protocol) 서버에 액세스할 수 있는지 확인합니다. NTP 서버 없이도 설치할 수 있습니다. 그러나 비동기 서버 클록으로 인해 NTP 서버가 방지하는 오류가 발생할 수 있습니다.

또한 OpenShift Container Platform 클러스터를 설치하기 전에 다음 네트워킹 리소스를 생성해야 합니다.

DNS 레코드

OpenShift Container Platform 클러스터를 호스팅하는 vCenter 인스턴스에 적절한 DNS 서버에서 고정 IP 주소 두 개의 DNS 레코드를 생성해야 합니다. 각 레코드에서 <cluster_name>은 클러스터 이름이고 <base_domain>은 클러스터를 설치할 때 지정하는 클러스터 기본 도메인입니다. 전체 DNS 레코드는 <component>.<cluster_name>.<base_domain> 형식입니다.

표 3.3. 필수 DNS 레코드
구성 요소레코드설명

API VIP

api.<cluster_name>.<base_domain>.

이 DNS A/AAAA 또는 CNAME(Canonical Name) 레코드는 컨트롤 플레인 시스템의 로드 밸런서를 가리켜야 합니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

Ingress VIP

*.apps.<cluster_name>.<base_domain>.

기본적으로 작업자 노드인 인그레스 라우터 Pod를 실행하는 시스템을 대상으로 하는 로드 밸런서를 가리키는 와일드카드 DNS A/AAAA 또는 CNAME 레코드입니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

3.1.3.2. 클러스터 설치에 필요한 시스템

최소 OpenShift Container Platform 클러스터에 다음과 같은 호스트가 필요합니다.

표 3.4. 최소 필수 호스트
호스트설명

임시 부트스트랩 시스템 한 개

컨트롤 플레인 시스템 세 개에 OpenShift Container Platform 클러스터를 배포하기 위한 부트스트랩 시스템이 클러스터에 필요합니다. 클러스터를 설치한 후 부트스트랩 시스템을 제거할 수 있습니다.

컨트롤 플레인 시스템 세 개

컨트롤 플레인 시스템은 컨트롤 플레인을 구성하는 Kubernetes 및 OpenShift Container Platform 서비스를 실행합니다.

두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함).

OpenShift Container Platform 사용자가 요청한 워크로드는 컴퓨팅 머신에서 실행됩니다.

중요

클러스터의 고가용성을 유지하려면 이러한 클러스터 시스템에 대해 별도의 물리적 호스트를 사용하십시오.

부트스트랩, 컨트롤 플레인 시스템은 운영 체제로 RHCOS (Red Hat Enterprise Linux CoreOS)를 사용해야 합니다. 그러나 컴퓨팅 머신은 RHCOS(Red Hat Enterprise Linux CoreOS), RHEL(Red Hat Enterprise Linux) 8.6 이상 중에서 선택할 수 있습니다.

RHCOS는 RHEL (Red Hat Enterprise Linux) 9.2를 기반으로 하며 모든 하드웨어 인증 및 요구 사항을 상속합니다. Red Hat Enterprise Linux 기술 기능 및 제한을 참조하십시오.

3.1.3.3. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

표 3.5. 최소 리소스 요구사항
머신운영 체제vCPU가상 RAM스토리지초당 입력/출력(IOPS)[1]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.6 이상 [2]

2

8GB

100GB

300

  1. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  2. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
참고

OpenShift Container Platform 버전 4.13부터 RHCOS는 RHEL 버전 9.2를 기반으로 하며 마이크로 아키텍처 요구 사항을 업데이트합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령 세트 아키텍처(ISA)가 포함되어 있습니다.

  • x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
  • ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
  • IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
  • s390x 아키텍처에는 z14 ISA가 필요합니다.

자세한 내용은 RHEL 아키텍처를 참조하십시오.

플랫폼의 인스턴스 유형이 클러스터 머신의 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.

중요

OpenShift Container Platform 클러스터에서 메모리 볼링을 사용하지 마십시오. 메모리 풍선으로 인해 클러스터 전체 불안정성, 서비스 성능 저하 또는 기타 정의되지 않은 동작이 발생할 수 있습니다.

  • 컨트롤 플레인 시스템에는 클러스터 설치에 대해 게시된 최소 리소스 요구 사항보다 크거나 같은 커밋 메모리가 있어야 합니다.
  • 컴퓨팅 머신의 최소 예약은 클러스터 설치에 대해 게시된 최소 리소스 요구 사항보다 크거나 같아야 합니다.

이러한 최소 CPU 및 메모리 요구 사항은 사용자 워크로드에 필요한 리소스를 고려하지 않습니다.

자세한 내용은 Red Hat 지식베이스 문서 메모리보기 및 OpenShift를 참조하십시오.

추가 리소스

3.1.3.4. 가상 머신 암호화 요구사항

다음 요구 사항을 충족하여 OpenShift Container Platform 4.16을 설치하기 전에 가상 머신을 암호화할 수 있습니다.

"RHCOS 설치 및 OpenShift Container Platform 부트스트랩 프로세스 시작" 섹션에 OVF 템플릿을 배포할 때 OVF 템플릿의 스토리지를 선택할 때 옵션을 "이 가상 머신 암호화"로 선택합니다. 클러스터 설치를 완료한 후 가상 머신을 암호화하는 데 사용한 암호화 스토리지 정책을 사용하는 스토리지 클래스를 생성합니다.

3.1.3.5. 인증서 서명 요청 관리

사용자가 프로비저닝하는 인프라를 사용하는 경우 자동 시스템 관리 기능으로 인해 클러스터의 액세스가 제한되므로 설치한 후 클러스터 인증서 서명 요청(CSR)을 승인하는 메커니즘을 제공해야 합니다. kube-controller-manager는 kubelet 클라이언트 CSR만 승인합니다. machine-approver는 올바른 시스템에서 발행한 요청인지 확인할 수 없기 때문에 kubelet 자격 증명을 사용하여 요청하는 서비스 인증서의 유효성을 보장할 수 없습니다. kubelet 서빙 인증서 요청의 유효성을 확인하고 요청을 승인하는 방법을 결정하여 구현해야 합니다.

3.1.3.6. 사용자 프로비저닝 인프라에 대한 네트워킹 요구사항

모든 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템이 부팅 중에 Ignition 구성 파일을 가져오려면 initramfs에 네트워킹을 구성해야 합니다.

초기 부팅 과정에서 시스템에 필요한 부팅 옵션을 제공하여 DHCP 서버를 통해 설정하거나 정적으로 설정하는 IP 주소 구성이 필요합니다. 네트워크 연결이 설정된 후 시스템은 HTTP 또는 HTTPS 서버에서 Ignition 구성 파일을 다운로드합니다. 그런 다음 Ignition 구성 파일을 사용하여 각 머신의 정확한 상태를 설정합니다. Machine Config Operator는 설치 후 새 인증서 또는 키 적용과 같은 머신에 대한 추가 변경을 완료합니다.

클러스터 시스템의 장기적인 관리를 위해 DHCP 서버를 사용하는 것이 좋습니다. DHCP 서버가 클러스터 시스템에 영구 IP 주소, DNS 서버 정보 및 호스트 이름을 제공하도록 구성되었는지 확인합니다.

참고

사용자 프로비저닝 인프라에 DHCP 서비스를 사용할 수 없는 경우 RHCOS 설치 시 노드에 IP 네트워킹 구성과 DNS 서버의 주소를 대신 제공할 수 있습니다. ISO 이미지에서 설치하는 경우 부팅 인수로 전달할 수 있습니다. 고정 IP 프로비저닝 및 고급 네트워킹 옵션에 대한 자세한 내용은 RHCOS 설치 및 OpenShift Container Platform 부트스트랩 프로세스 시작 섹션을 참조하십시오.

Kubernetes API 서버가 클러스터 시스템의 노드 이름을 확인할 수 있어야 합니다. API 서버와 작업자 노드가 서로 다른 영역에 있는 경우, API 서버가 노드 이름을 확인할 수 있도록 기본 DNS 검색 영역을 설정할 수 있습니다. 노드 개체와 모든 DNS 요청에서 항상 정규화된 도메인 이름으로 호스트를 가리키는 것도 지원되는 방법입니다

3.1.3.6.1. DHCP를 통해 클러스터 노드의 호스트 이름 설정

RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 호스트 이름은 NetworkManager를 통해 설정됩니다. 기본적으로 시스템은 DHCP를 통해 호스트 이름을 가져옵니다. DHCP에서 호스트 이름을 제공하지 않으면 커널 인수를 통해 정적으로 설정하거나 다른 방법을 통해 역방향 DNS 조회를 통해 가져옵니다. 역방향 DNS 조회는 노드에서 네트워크를 초기화한 후 수행되며 확인하는 데 시간이 걸릴 수 있습니다. 다른 시스템 서비스는 이 보다 먼저 시작하여 호스트 이름을 localhost 등으로 감지할 수 있습니다. DHCP를 사용하여 각 클러스터 노드의 호스트 이름을 제공하여 이 문제를 방지할 수 있습니다.

또한 DHCP를 통해 호스트 이름을 설정하면 DNS 분할 수평 구현 환경에서 수동으로 DNS 레코드 이름 구성 오류를 무시할 수 있습니다.

3.1.3.6.2. 네트워크 연결 요구사항

OpenShift Container Platform 클러스터 구성 요소가 통신할 수 있도록 시스템 간 네트워크 연결을 구성해야 합니다. 각 시스템에서 클러스터에 있는 다른 모든 시스템의 호스트 이름을 확인할 수 있어야 합니다.

이 섹션에서는 필요한 포트에 대해 자세히 설명합니다.

중요

연결된 OpenShift Container Platform 환경에서 모든 노드는 플랫폼 컨테이너의 이미지를 가져오고 Red Hat에 원격 측정 데이터를 제공하기 위해 인터넷에 액세스할 수 있어야 합니다.

표 3.6. 모든 시스템 간 통신에 사용되는 포트
프로토콜포트설명

ICMP

해당 없음

네트워크 연결성 테스트

TCP

1936

메트릭

9000-9999

9100-9101 포트의 노드 내보내기 및 9099 포트의 Cluster Version Operator를 포함한 호스트 수준 서비스.

10250-10259

Kubernetes에서 예약하는 기본 포트

UDP

4789

VXLAN

6081

Geneve

9000-9999

9100-9101 포트의 노드 내보내기를 포함한 호스트 수준 서비스.

500

IPsec IKE 패킷

4500

IPsec NAT-T 패킷

123

UDP 포트 123의 NTP(Network Time Protocol)

외부 NTP 시간 서버가 구성된 경우 UDP 포트 123 을 열어야 합니다.

TCP/UDP

30000-32767

Kubernetes 노드 포트

ESP

해당 없음

IPsec Encapsulating Security Payload (ESP)

표 3.7. 모든 시스템과 컨트롤 플레인 간 통신에 사용되는 포트
프로토콜포트설명

TCP

6443

Kubernetes API

표 3.8. 컨트롤 플레인 머신 간 통신에 사용되는 포트
프로토콜포트설명

TCP

2379-2380

etcd 서버 및 피어 포트

이더넷 어댑터 하드웨어 주소 요구사항

클러스터용 VM을 프로비저닝할 때 각 VM에 대해 구성된 이더넷 인터페이스는 VMware OUI(Organizationally Unique Identifier) 할당 범위의 MAC 주소를 사용해야 합니다.

  • 00:05:69:00:00:00 ~ 00:05:69:FF:FF:FF
  • 00:0c:29:00:00:00 ~ 00:0c:29:FF:FF:FF
  • 00:1c:14:00:00:00 ~ 00:1c:14:FF:FF:FF
  • 00:50:56:00:00:00 ~ 00:50:56:3F:FF:FF

VMware OUI 외부의 MAC 주소를 사용하면 클러스터 설치가 실패합니다.

사용자 프로비저닝 인프라에 대한 NTP 구성

OpenShift Container Platform 클러스터는 기본적으로 공용 NTP(Network Time Protocol) 서버를 사용하도록 구성되어 있습니다. 로컬 엔터프라이즈 NTP 서버를 사용하거나 클러스터가 연결이 끊긴 네트워크에 배포되는 경우 특정 시간 서버를 사용하도록 클러스터를 구성할 수 있습니다. 자세한 내용은 chrony 타임 서비스 설정 문서를 참조하십시오.

DHCP 서버가 NTP 서버 정보를 제공하는 경우 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템의 chrony 타임 서비스에서 정보를 읽고 NTP 서버와 클럭을 동기화할 수 있습니다.

3.1.3.7. 사용자 프로비저닝 DNS 요구사항

OpenShift Container Platform 배포의 경우 다음 구성 요소에 DNS 이름을 확인해야 합니다.

  • Kubernetes API
  • OpenShift Container Platform 애플리케이션 와일드카드
  • 부트스트랩, 컨트롤 플레인 및 컴퓨팅 시스템

Kubernetes API, 부트스트랩 시스템, 컨트롤 플레인 시스템 및 컴퓨팅 시스템에 대한 역방향 DNS 확인이 필요합니다.

DNS A/AAAA 또는 CNAME 레코드는 이름 확인에 사용되며 PTR 레코드는 역방향 이름 확인에 사용됩니다. RHCOS (Red Hat Enterprise Linux CoreOS)는 DHCP에서 호스트 이름을 제공하지 않는 한 모든 노드의 호스트 이름을 설정할 때 역방향 레코드를 사용하기 때문에 역방향 레코드가 중요합니다. 또한 역방향 레코드는 OpenShift Container Platform이 작동하는 데 필요한 인증서 서명 요청 (CSR)을 생성하는 데 사용됩니다.

참고

DHCP 서버를 사용하여 각 클러스터 노드에 호스트 이름을 제공하는 것이 좋습니다. 자세한 내용은 사용자 프로비저닝 인프라 섹션에 대한 DHCP 권장 사항 섹션을 참조하십시오.

사용자가 프로비저닝한 OpenShift Container Platform 클러스터에 대해 다음 DNS 레코드가 필요하며 설치 전에 있어야 합니다. 각 레코드에서 <cluster_name>은 클러스터 이름이고 <base_domain>install-config.yaml 파일에서 지정하는 기반 도메인입니다. 전체 DNS 레코드는 <component>.<cluster_name>.<base_domain> 형식입니다.

표 3.9. 필수 DNS 레코드
구성 요소레코드설명

Kubernetes API

api.<cluster_name>.<base_domain>.

API 로드 밸런서를 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

api-int.<cluster_name>.<base_domain>.

내부적으로 API 로드 밸런서를 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

중요

API 서버는 Kubernetes에 기록된 호스트 이름으로 작업자 노드를 확인할 수 있어야 합니다. API 서버가 노드 이름을 확인할 수 없는 경우 프록시된 API 호출이 실패할 수 있으며 pod에서 로그를 검색할 수 없습니다.

라우트

*.apps.<cluster_name>.<base_domain>.

애플리케이션 인그레스 로드 밸런서를 참조하는 와일드카드 DNS A/AAA 또는 CNAME 레코드입니다. 애플리케이션 인그레스 로드 밸런서는 Ingress 컨트롤러 Pod를 실행하는 머신을 대상으로 합니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

예를 들어 console-openshift-console.apps.<cluster_name>.<base_domain>은 OpenShift Container Platform 콘솔의 와일드카드 경로로 사용됩니다.

부트스트랩 시스템

bootstrap.<cluster_name>.<base_domain>.

부트스트랩 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

컨트롤 플레인 머신

<control_plane><n>.<cluster_name>.<base_domain>.

컨트롤 플레인 노드의 각 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

컴퓨팅 머신

<compute><n>.<cluster_name>.<base_domain>.

작업자 노드의 각 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

참고

OpenShift Container Platform 4.4 이상에서는 DNS 구성에서 etcd 호스트 및 SRV 레코드를 지정할 필요가 없습니다.

작은 정보

dig 명령을 사용하여 이름과 역방향 이름을 확인할 수 있습니다. 자세한 검증 단계는 사용자 프로비저닝 인프라의 DNS 확인 섹션을 참조하십시오.

3.1.3.7.1. 사용자 프로비저닝 클러스터의 DNS 구성 예

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포하기 위한 DNS 요구 사항을 충족하는 A 및 PTR 레코드 구성 샘플을 제공합니다. 샘플은 하나의 DNS 솔루션을 선택하기 위한 조언을 제공하기 위한 것이 아닙니다.

이 예제에서 클러스터 이름은 ocp4이고 기본 도메인은 example.com입니다.

사용자 프로비저닝 클러스터의 DNS A 레코드 구성 예

다음 BIND 영역 파일의 예제에서는 사용자가 프로비저닝한 클러스터의 이름 확인을 위한 샘플 A 레코드를 보여줍니다.

예 3.7. 샘플 DNS 영역 데이터베이스

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
	IN	MX 10	smtp.example.com.
;
;
ns1.example.com.		IN	A	192.168.1.5
smtp.example.com.		IN	A	192.168.1.5
;
helper.example.com.		IN	A	192.168.1.5
helper.ocp4.example.com.	IN	A	192.168.1.5
;
api.ocp4.example.com.		IN	A	192.168.1.5 1
api-int.ocp4.example.com.	IN	A	192.168.1.5 2
;
*.apps.ocp4.example.com.	IN	A	192.168.1.5 3
;
bootstrap.ocp4.example.com.	IN	A	192.168.1.96 4
;
control-plane0.ocp4.example.com.	IN	A	192.168.1.97 5
control-plane1.ocp4.example.com.	IN	A	192.168.1.98 6
control-plane2.ocp4.example.com.	IN	A	192.168.1.99 7
;
compute0.ocp4.example.com.	IN	A	192.168.1.11 8
compute1.ocp4.example.com.	IN	A	192.168.1.7 9
;
;EOF
1
Kubernetes API의 이름 확인을 제공합니다. 레코드는 API 로드 밸런서의 IP 주소를 나타냅니다.
2
Kubernetes API의 이름 확인을 제공합니다. 레코드는 API 로드 밸런서의 IP 주소를 참조하며 내부 클러스터 통신에 사용됩니다.
3
와일드카드 경로의 이름 확인을 제공합니다. 레코드는 애플리케이션 인그레스 로드 밸런서의 IP 주소를 나타냅니다. 애플리케이션 인그레스 로드 밸런서는 Ingress 컨트롤러 Pod를 실행하는 머신을 대상으로 합니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
참고

이 예제에서는 Kubernetes API 및 애플리케이션 인그레스 트래픽에 동일한 로드 밸런서를 사용합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

4
부트스트랩 시스템의 이름 확인을 제공합니다.
5 6 7
컨트롤 플레인 시스템의 이름 확인을 제공합니다.
8 9
컴퓨팅 시스템의 이름 확인을 제공합니다.

사용자 프로비저닝 클러스터의 DNS PTR 레코드 구성 예

다음 예제 BIND 영역 파일은 사용자 프로비저닝 클러스터의 역방향 이름 확인을 위한 샘플 PTR 레코드를 보여줍니다.

예 3.8. 역방향 레코드의 샘플 DNS 영역 데이터베이스

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
;
5.1.168.192.in-addr.arpa.	IN	PTR	api.ocp4.example.com. 1
5.1.168.192.in-addr.arpa.	IN	PTR	api-int.ocp4.example.com. 2
;
96.1.168.192.in-addr.arpa.	IN	PTR	bootstrap.ocp4.example.com. 3
;
97.1.168.192.in-addr.arpa.	IN	PTR	control-plane0.ocp4.example.com. 4
98.1.168.192.in-addr.arpa.	IN	PTR	control-plane1.ocp4.example.com. 5
99.1.168.192.in-addr.arpa.	IN	PTR	control-plane2.ocp4.example.com. 6
;
11.1.168.192.in-addr.arpa.	IN	PTR	compute0.ocp4.example.com. 7
7.1.168.192.in-addr.arpa.	IN	PTR	compute1.ocp4.example.com. 8
;
;EOF
1
Kubernetes API의 역방향 DNS 확인을 제공합니다. PTR 레코드는 API 로드 밸런서의 레코드 이름을 참조합니다.
2
Kubernetes API의 역방향 DNS 확인을 제공합니다. PTR 레코드는 API 로드 밸런서의 레코드 이름을 참조하며 내부 클러스터 통신에 사용됩니다.
3
부트스트랩 시스템의 역방향 DNS 확인을 제공합니다.
4 5 6
컨트롤 플레인 시스템의 역방향 DNS 확인을 제공합니다.
7 8
컴퓨팅 시스템의 역방향 DNS 확인을 제공합니다.
참고

OpenShift Container Platform 애플리케이션 와일드카드에는 PTR 레코드가 필요하지 않습니다.

3.1.3.8. 사용자 프로비저닝 인프라에 대한 로드 밸런싱 요구사항

OpenShift Container Platform을 설치하기 전에 API 및 애플리케이션 Ingress 로드 밸런싱 인프라를 프로비저닝해야 합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

참고

RHEL(Red Hat Enterprise Linux) 인스턴스를 사용하여 API 및 애플리케이션 인그레스 로드 밸런서를 배포하려면 RHEL 서브스크립션을 별도로 구입해야 합니다.

로드 밸런서 인프라는 다음 요구 사항을 충족해야 합니다.

  1. API 로드 밸런서: 플랫폼과 상호 작용하고 플랫폼을 구성할 수 있도록 사용자(인간과 시스템 모두)에게 공통 끝점을 제공합니다. 다음 조건을 설정합니다.

    • Layer 4 로드 밸런싱 전용입니다. 원시 TCP 또는 SSL Passthrough 모드라고 할 수 있습니다.
    • 스테이트리스 로드 밸런싱 알고리즘입니다. 옵션은 로드 밸런서 구현에 따라 달라집니다.
    중요

    API 로드 밸런서에 대한 세션 지속성을 구성하지 마십시오. Kubernetes API 서버에 대한 세션 지속성을 구성하면 성능 문제가 OpenShift Container Platform 클러스터의 초과 애플리케이션 트래픽 및 클러스터 내에서 실행되는 Kubernetes API가 발생하지 않을 수 있습니다.

    로드 밸런서의 전면과 후면 모두에서 다음 포트를 구성하십시오.

    표 3.10. API 로드 밸런서
    포트백엔드 시스템(풀 멤버)내부외부설명

    6443

    부트스트랩 및 컨트롤 플레인. 부트스트랩 시스템이 클러스터 컨트롤 플레인을 초기화한 후 로드 밸런서에서 부트스트랩 시스템을 제거합니다. API 서버 상태 검사 프로브에 대한 /readyz 끝점을 구성해야 합니다.

    X

    X

    Kubernetes API 서버

    22623

    부트스트랩 및 컨트롤 플레인. 부트스트랩 시스템이 클러스터 컨트롤 플레인을 초기화한 후 로드 밸런서에서 부트스트랩 시스템을 제거합니다.

    X

     

    시스템 구성 서버

    참고

    API 서버가 /readyz 엔드포인트를 해제하는 시점부터 풀에서 API 서버 인스턴스가 제거되는 시점까지 시간이 30초를 넘지 않도록 로드 밸런서를 구성해야 합니다. /readyz가 오류를 반환하거나 정상 상태가 된 후 정해진 시간 안에 끝점이 제거 또는 추가되어야 합니다. 5초 또는 10초의 프로빙 주기(두 번의 성공적인 요청은 정상 상태, 세 번의 요청은 비정상 상태)는 충분한 테스트를 거친 값입니다.

  2. 애플리케이션 인그레스 로드 밸런서: 클러스터 외부에서 유입되는 애플리케이션 트래픽에 대한 수신 지점을 제공합니다. 인그레스 라우터에 대한 작업 구성이 OpenShift Container Platform 클러스터에 필요합니다.

    다음 조건을 설정합니다.

    • Layer 4 로드 밸런싱 전용입니다. 원시 TCP 또는 SSL Passthrough 모드라고 할 수 있습니다.
    • 사용 가능한 옵션과 플랫폼에서 호스팅되는 애플리케이션 유형에 따라 연결 기반 또는 세션 기반 지속성이 권장됩니다.
    작은 정보

    애플리케이션 Ingress 로드 밸런서에서 클라이언트의 실제 IP 주소를 확인할 수 있는 경우 소스 IP 기반 세션 지속성을 활성화하면 엔드 투 엔드 TLS 암호화를 사용하는 애플리케이션의 성능을 향상시킬 수 있습니다.

    로드 밸런서의 전면과 후면 모두에서 다음 포트를 구성하십시오.

    표 3.11. 애플리케이션 인그레스 로드 밸런서
    포트백엔드 시스템(풀 멤버)내부외부설명

    443

    기본적으로 인그레스 컨트롤러 pod, 컴퓨팅 또는 작업자를 실행하는 시스템입니다.

    X

    X

    HTTPS 트래픽

    80

    기본적으로 인그레스 컨트롤러 pod, 컴퓨팅 또는 작업자를 실행하는 시스템입니다.

    X

    X

    HTTP 트래픽

    참고

    컴퓨팅 노드가 0인 3-노드 클러스터를 배포하는 경우 Ingress 컨트롤러 Pod는 컨트롤 플레인 노드에서 실행됩니다. 3-노드 클러스터 배포에서 HTTP 및 HTTPS 트래픽을 컨트롤 플레인 노드로 라우팅하도록 애플리케이션 인그레스 로드 밸런서를 구성해야 합니다.

3.1.3.8.1. 사용자 프로비저닝 클러스터의 로드 밸런서 구성 예

이 섹션에서는 사용자 프로비저닝 클러스터의 로드 밸런싱 요구 사항을 충족하는 API 및 애플리케이션 인그레스 로드 밸런서 구성 예를 제공합니다. 샘플은 HAProxy 로드 밸런서에 대한 /etc/haproxy/haproxy.cfg 구성입니다. 이 예제에서는 하나의 로드 밸런싱 솔루션을 선택하기 위한 조언을 제공하는 것을 목적으로 하지 않습니다.

이 예제에서는 Kubernetes API 및 애플리케이션 인그레스 트래픽에 동일한 로드 밸런서를 사용합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

참고

HAProxy를 로드 밸런서로 사용하고 SELinux가 enforcing으로 설정된 경우 HAProxy 서비스가 setsebool -P haproxy_connect_any=1을 실행하여 구성된 TCP 포트에 바인딩할 수 있는지 확인해야 합니다.

예 3.9. API 및 애플리케이션 인그레스 로드 밸런서 구성 샘플

global
  log         127.0.0.1 local2
  pidfile     /var/run/haproxy.pid
  maxconn     4000
  daemon
defaults
  mode                    http
  log                     global
  option                  dontlognull
  option http-server-close
  option                  redispatch
  retries                 3
  timeout http-request    10s
  timeout queue           1m
  timeout connect         10s
  timeout client          1m
  timeout server          1m
  timeout http-keep-alive 10s
  timeout check           10s
  maxconn                 3000
listen api-server-6443 1
  bind *:6443
  mode tcp
  option  httpchk GET /readyz HTTP/1.0
  option  log-health-checks
  balance roundrobin
  server bootstrap bootstrap.ocp4.example.com:6443 verify none check check-ssl inter 10s fall 2 rise 3 backup 2
  server master0 master0.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master1 master1.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master2 master2.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
listen machine-config-server-22623 3
  bind *:22623
  mode tcp
  server bootstrap bootstrap.ocp4.example.com:22623 check inter 1s backup 4
  server master0 master0.ocp4.example.com:22623 check inter 1s
  server master1 master1.ocp4.example.com:22623 check inter 1s
  server master2 master2.ocp4.example.com:22623 check inter 1s
listen ingress-router-443 5
  bind *:443
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:443 check inter 1s
  server compute1 compute1.ocp4.example.com:443 check inter 1s
listen ingress-router-80 6
  bind *:80
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:80 check inter 1s
  server compute1 compute1.ocp4.example.com:80 check inter 1s
1
포트 6443은 Kubernetes API 트래픽을 처리하고 컨트롤 플레인 시스템을 가리킵니다.
2 4
부트스트랩 항목은 OpenShift Container Platform 클러스터 설치 전에 있어야 하며 부트스트랩 프로세스가 완료된 후 제거해야 합니다.
3
포트 22623은 머신 구성 서버 트래픽을 처리하고 컨트롤 플레인 시스템을 가리킵니다.
5
포트 443은 HTTPS 트래픽을 처리하고 Ingress 컨트롤러 Pod를 실행하는 시스템을 가리킵니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
6
포트 80은 HTTP 트래픽을 처리하고 Ingress 컨트롤러 Pod를 실행하는 머신을 가리킵니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
참고

컴퓨팅 노드가 0인 3-노드 클러스터를 배포하는 경우 Ingress 컨트롤러 Pod는 컨트롤 플레인 노드에서 실행됩니다. 3-노드 클러스터 배포에서 HTTP 및 HTTPS 트래픽을 컨트롤 플레인 노드로 라우팅하도록 애플리케이션 인그레스 로드 밸런서를 구성해야 합니다.

작은 정보

HAProxy를 로드 밸런서로 사용하는 경우 HAProxy 노드에서 netstat -nltupe를 실행하여 haproxy 프로세스가 포트 6443, 22623, 44380에서 수신 대기 중인지 확인할 수 있습니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.