3.2. AWS에 클러스터 설치
OpenShift Container Platform 버전 4.17에서는 기본 구성 옵션을 사용하는 클러스터를 AWS(Amazon Web Services)에 설치할 수 있습니다.
3.2.1. 사전 요구 사항
- OpenShift Container Platform 설치 및 업데이트 프로세스에 대한 세부 사항을 검토했습니다.
- 클러스터 설치 방법 선택 및 사용자를 위한 준비에 대한 문서를 읽습니다.
클러스터를 호스팅할 AWS 계정을 구성했습니다.
중요컴퓨터에 AWS 프로필이 저장되어 있는 경우 다단계 인증 장치를 사용하는 동안 생성한 임시 세션 토큰을 해당 프로필이 사용해서는 안 됩니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 인증 정보를 계속 사용하여 AWS 리소스를 생성하므로 키 기반 장기 인증 정보를 사용해야 합니다. 적절한 키를 생성하려면 AWS 문서의 IAM 사용자의 액세스 키 관리를 참조하십시오. 설치 프로그램을 실행할 때 키를 제공할 수 있습니다.
- 방화벽을 사용하는 경우 클러스터가 액세스해야 하는 사이트를 허용하도록 방화벽을 구성했습니다.
3.2.2. 클러스터 배포
호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.
최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.
사전 요구 사항
- 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
- OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
- 호스트의 클라우드 공급자 계정에 클러스터를 배포할 수 있는 올바른 권한이 있는지 확인했습니다. 잘못된 권한이 있는 계정으로 인해 누락된 권한이 표시되는 오류 메시지와 함께 설치 프로세스가 실패합니다.
프로세스
설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다.
$ ./openshift-install create cluster --dir <installation_directory> \ 1 --log-level=info 2
디렉터리를 지정할 때 다음을 수행합니다.
-
디렉터리에
실행권한이 있는지 확인합니다. 설치 디렉토리에서 Terraform 바이너리를 실행하려면 이 권한이 필요합니다. - 빈 디렉터리를 사용합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.
-
디렉터리에
화면에 나타나는 지시에 따라 필요한 값을 입력합니다.
선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.
참고설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우
ssh-agent프로세스가 사용하는 SSH 키를 지정합니다.- 대상 플랫폼으로 aws를 선택합니다.
컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
참고AWS 액세스 키 ID와 시크릿 액세스 키는 설치 호스트에 있는 현재 사용자의 홈 디렉터리에서
~/.aws/credentials에 저장됩니다. 내보낸 프로필의 인증 정보가 파일에 없으면 설치 프로그램에서 인증 정보에 대한 메시지를 표시합니다. 설치 프로그램에 사용자가 제공하는 인증 정보는 파일에 저장됩니다.- 클러스터를 배포할 AWS 리전을 선택합니다.
- 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
- 클러스터를 설명할 수 있는 이름을 입력합니다.
- Red Hat OpenShift Cluster Manager에서 풀 시크릿을 붙여넣습니다.
선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서
AdministratorAccess정책을 제거하거나 비활성화합니다.참고AdministratorAccess정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.
검증
클러스터 배포가 성공적으로 완료되면 다음을 수행합니다.
-
터미널에는 웹 콘솔에 대한 링크 및
kubeadmin사용자의 인증 정보를 포함하여 클러스터에 액세스하는 지침이 표시됩니다. -
인증 정보도 <
installation_directory>/.openshift_install.log로 출력합니다.
설치 프로그램 또는 설치 프로그램이 생성하는 파일을 삭제하지 마십시오. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.
출력 예
... INFO Install complete! INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig' INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com INFO Login to the console with user: "kubeadmin", and password: "password" INFO Time elapsed: 36m22s
-
설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인
node-bootstrapper인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오. - 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
추가 리소스
- AWS 프로필 및 인증 정보 구성에 대한 자세한 내용은 AWS 문서의 구성 및 인증 정보 파일 설정을 참조하십시오.
3.2.3. CLI를 사용하여 클러스터에 로그인
클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.
사전 요구 사항
- OpenShift Container Platform 클러스터를 배포했습니다.
-
ocCLI를 설치했습니다.
프로세스
kubeadmin인증 정보를 내보냅니다.$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1- 1
<installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
내보낸 구성을 사용하여
oc명령을 성공적으로 실행할 수 있는지 확인합니다.$ oc whoami
출력 예
system:admin
3.2.4. 웹 콘솔을 사용하여 클러스터에 로그인
kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.
사전 요구 사항
- 설치 호스트에 대한 액세스 권한이 있어야 합니다.
- 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.
프로세스
설치 호스트의
kubeadmin-password파일에서kubeadmin사용자의 암호를 가져옵니다.$ cat <installation_directory>/auth/kubeadmin-password
참고대안으로 설치 호스트의
<installation_directory>/.openshift_install.log로그 파일에서kubeadmin암호를 가져올 수 있습니다.OpenShift Container Platform 웹 콘솔 경로를 나열합니다.
$ oc get routes -n openshift-console | grep 'console-openshift'
참고대안으로 설치 호스트의
<installation_directory>/.openshift_install.log로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.출력 예
console console-openshift-console.apps.<cluster_name>.<base_domain> console https reencrypt/Redirect None
-
웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고
kubeadmin사용자로 로그인합니다.
추가 리소스
- OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔 액세스를 참조하십시오.
3.2.5. 다음 단계
- 설치를 검증합니다.
- 클러스터를 사용자 지정합니다.
- 필요한 경우 원격 상태 보고를 옵트아웃 할 수 있습니다.
- 필요한 경우 클라우드 공급자 인증 정보를 제거할 수 있습니다.
