3.4. 네트워크 사용자 지정으 AWS에 클러스터 설치

3.4.1. 사전 요구 사항

OpenShift Container Platform 설치 및 업데이트 프로세스에 대한 세부 사항을 검토했습니다.
클러스터 설치 방법 선택 및 사용자를 위한 준비에 대한 문서를 읽습니다.
클러스터를 호스팅할 AWS 계정을 구성했습니다.
중요
컴퓨터에 AWS 프로필이 저장되어 있는 경우 다단계 인증 장치를 사용하는 동안 생성한 임시 세션 토큰을 해당 프로필이 사용해서는 안 됩니다. 클러스터는 클러스터의 전체 수명 동안 현재 AWS 인증 정보를 계속 사용하여 AWS 리소스를 생성하므로 키 기반 장기 인증 정보를 사용해야 합니다. 적절한 키를 생성하려면 AWS 문서의 IAM 사용자의 액세스 키 관리를 참조하십시오. 설치 프로그램을 실행할 때 키를 제공할 수 있습니다.
방화벽을 사용하는 경우 클러스터가 액세스해야 하는 사이트를 허용하도록 방화벽을 구성했습니다.

3.4.2. 네트워크 구성 단계

OpenShift Container Platform을 설치하기 전에 네트워크 구성을 사용자 지정할 수 있습니다.

1 단계

매니페스트 파일을 생성하기 전에 install-config.yaml 파일에서 다음 네트워크 관련 필드를 사용자 지정할 수 있습니다.

networking.networkType
networking.clusterNetwork
networking.serviceNetwork
networking.machineNetwork
자세한 내용은 "설치 구성 매개변수"를 참조하십시오.
참고
기본 서브넷이 있는 CIDR(Classless Inter-Domain Routing)과 일치하도록 networking.machineNetwork 를 설정합니다.
중요
CIDR 범위 172.17.0.0/16 은 libVirt 에 의해 예약되어 있습니다. 클러스터의 네트워크에 172.17.0.0/16 CIDR 범위와 겹치는 다른 CIDR 범위는 사용할 수 없습니다.

2 단계

openshift-install create manifests 를 실행하여 매니페스트 파일을 생성한 후 수정할 필드로 사용자 지정된 Cluster Network Operator 매니페스트를 정의할 수 있습니다. 매니페스트를 사용하여 고급 네트워크 구성을 지정할 수 있습니다.

2 단계에서는 install-config.yaml 파일에서 1단계에서 지정한 값을 덮어쓸 수 없습니다. 그러나 2 단계에서 네트워크 플러그인을 사용자 지정할 수 있습니다.

3.4.3. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

install-config.yaml 파일을 생성합니다.
1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다.
```
$ ./openshift-install create install-config --dir <installation_directory> 1
```
  1
  <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.
  디렉터리를 지정할 때 다음을 수행합니다.
  - 디렉터리에 실행 권한이 있는지 확인합니다. 설치 디렉토리에서 Terraform 바이너리를 실행하려면 이 권한이 필요합니다.
  - 빈 디렉터리를 사용합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.
2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.
  1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.
    참고
    설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.
  2. 대상 플랫폼으로 AWS를 선택합니다.
  3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
  4. 클러스터를 배포할 AWS 리전을 선택합니다.
  5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
  6. 클러스터를 설명할 수 있는 이름을 입력합니다.
install-config.yaml 파일을 수정합니다. 사용 가능한 매개변수에 대한 자세한 정보는 “설치 구성 매개변수” 섹션에서 확인할 수 있습니다.
여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.
중요
install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

추가 리소스

AWS의 설치 구성 매개변수

3.4.3.1. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

표 3.2. 최소 리소스 요구사항
머신	운영 체제	vCPU ^[1]	가상 RAM	스토리지	초당 입력/출력(IOPS)^[2]
부트스트랩	RHCOS	4	16GB	100GB	300
컨트롤 플레인	RHCOS	4	16GB	100GB	300
Compute	RHCOS, RHEL 8.6 이상 ^[3]	2	8GB	100GB	300

SMT(동시 멀티 스레딩) 또는 Hyper-Threading이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.

참고

OpenShift Container Platform 버전 4.13부터 RHCOS는 RHEL 버전 9.2를 기반으로 하며 마이크로 아키텍처 요구 사항을 업데이트합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령 세트 아키텍처(ISA)가 포함되어 있습니다.

x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
s390x 아키텍처에는 z14 ISA가 필요합니다.

자세한 내용은 RHEL 아키텍처를 참조하십시오.

플랫폼의 인스턴스 유형이 클러스터 머신의 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.

추가 리소스

스토리지 최적화

3.4.3.2. AWS에서 테스트된 인스턴스 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 테스트되었습니다.

참고

AWS 인스턴스의 다음 차트에 포함된 머신 유형을 사용합니다. 차트에 나열되지 않은 인스턴스 유형을 사용하는 경우 사용하는 인스턴스 크기가 "클러스터 설치에 대한 최소 리소스 요구 사항" 섹션에 나열된 최소 리소스 요구 사항과 일치하는지 확인합니다.

예 3.5. 64비트 x86 아키텍처를 기반으로 하는 머신 유형

c4.*
c5.*
c5a.*
i3.*
m4.*
m5.*
m5a.*
m6a.*
m6i.*
r4.*
r5.*
r5a.*
r6i.*
t3.*
t3a.*

3.4.3.3. 64비트 ARM 인프라에서 AWS의 테스트된 인스턴스 유형

다음 AWS(Amazon Web Services) 64비트 ARM 인스턴스 유형은 OpenShift Container Platform에서 테스트되었습니다.

참고

AWS ARM 인스턴스의 다음 차트에 포함된 머신 유형을 사용합니다. 차트에 나열되지 않은 인스턴스 유형을 사용하는 경우 사용하는 인스턴스 크기가 "클러스터 설치에 대한 최소 리소스 요구 사항"에 나열된 최소 리소스 요구 사항과 일치하는지 확인합니다.

예 3.6. 64비트 ARM 아키텍처를 기반으로 하는 시스템 유형

c6g.*
c7g.*
m6g.*
m7g.*
r8g.*

3.4.3.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다.

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking: 13
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 14
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 15
    propagateUserTags: true 16
    userTags:
      adminContact: jdoe
      costCenter: 7536
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
fips: false 19
sshKey: ssh-ed25519 AAAA... 20
pullSecret: '{"auths": ...}' 21

1 12 15 21: 필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2: 선택 사항: 이 매개변수를 추가하여 CCO(Cloud Credential Operator)에서 지정된 모드를 사용하도록 강제 적용합니다. 기본적으로 CCO는 kube-system 네임스페이스의 root 인증 정보를 사용하여 인증 정보의 기능을 동적으로 확인합니다. CCO 모드에 대한 자세한 내용은 인증 및 권한 부여 가이드의 "Cloud Credential Operator 정보" 섹션을 참조하십시오.
3 8 13 16: 이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4: controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 9: 동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요
동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.
6 10: 대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops는 2000으로 설정합니다.
7 11: Amazon EC2 인스턴스 메타데이터 서비스 v2(IMDSv 2)가 필요한지 여부입니다. IMDSv2를 요구하려면 매개 변수 값을 Required 로 설정합니다. IMDSv1 및 IMDSv2를 모두 사용할 수 있도록 하려면 매개 변수 값을 Optional 로 설정합니다. 값을 지정하지 않으면 IMDSv1 및 IMDSv2가 모두 허용됩니다.
참고
클러스터 설치 중에 설정된 컨트롤 플레인 시스템에 대한 IMDS 구성은 AWS CLI를 사용하여 변경할 수 있습니다. 컴퓨팅 머신의 IMDS 구성은 컴퓨팅 머신 세트를 사용하여 변경할 수 있습니다.
14: 설치할 클러스터 네트워크 플러그인입니다. 기본 값 OVNKubernetes 는 지원되는 유일한 값입니다.
17: 클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
18: AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
19: FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요
클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL(Red Hat Enterprise Linux) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환 을 참조하십시오.
FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
20: 선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고
설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

3.4.3.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

기존 install-config.yaml 파일이 있습니다.
클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.
참고
Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.
Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다.
```
apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
```
1
클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
2
클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
3
대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.com은 x.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다. Amazon EC2,Elastic Load Balancing 및 S3 VPC 끝점을 VPC에 추가한 경우 이러한 끝점을 noProxy 필드에 추가해야 합니다.
4
이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
5
선택 사항: trustedCA 필드에서 user-ca-bundle 구성 맵을 참조할 프록시 오브젝트의 구성을 결정하는 정책입니다. 허용되는 값은 Proxyonly 및 Always 입니다. http/https 프록시가 구성된 경우에만 user-ca-bundle 구성 맵을 참조하려면 Proxyonly 를 사용합니다. Always 를 사용하여 user-ca-bundle 구성 맵을 항상 참조합니다. 기본값은 Proxyonly 입니다.
참고
설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.
참고
설치 프로그램이 시간 초과되면 설치 프로그램의 wait-for 명령을 사용하여 배포를 다시 시작한 다음 완료합니다. 예를 들면 다음과 같습니다.
```
$ ./openshift-install wait-for install-complete --log-level debug
```
파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

3.4.4. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안

기본적으로 관리자 시크릿은 kube-system 프로젝트에 저장됩니다. install-config.yaml 파일에서 credentialsMode 매개변수를 Manual 로 구성한 경우 다음 대안 중 하나를 사용해야 합니다.

장기 클라우드 인증 정보를 수동으로 관리하려면 수동으로 장기 인증 정보를 생성하는 절차를 따르십시오.
개별 구성 요소의 클러스터 외부에서 관리되는 단기 인증 정보를 구현하려면 AWS 클러스터 구성 절차에 따라 단기 인증 정보를 사용합니다.

3.4.4.1. 수동으로 장기 인증 정보 생성

Cloud Credential Operator (CCO)는 클라우드 아이덴티티 및 액세스 관리 (IAM) API에 연결할 수 없는 환경에서 설치하기 전에 수동 모드로 전환할 수 있습니다. 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않도록 합니다.

프로세스

install-config.yaml 구성 파일의 credentialsMode 매개변수를 Manual 로 설정하지 않은 경우 다음과 같이 값을 수정합니다.
구성 파일 스니펫 샘플
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
이전에 설치 매니페스트 파일을 생성하지 않은 경우 다음 명령을 실행하여 수행합니다.
```
$ openshift-install create manifests --dir <installation_directory>
```
여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.
다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다.
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```

다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스) 목록을 추출합니다.

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3

1: --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
2: install-config.yaml 파일의 위치를 지정합니다.
3: CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.

이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.

샘플 CredentialsRequest 개체

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

이전에 생성한 openshift-install 매니페스트 디렉터리에 시크릿 YAML 파일을 만듭니다. 시크릿은 각 CredentialsRequest 오브젝트의 spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다.

보안이 포함된 샘플 CredentialsRequest 오브젝트

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

샘플 Secret 오브젝트

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

중요

수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업그레이드하기 전에 CCO가 업그레이드 가능한 상태인지 확인해야 합니다.

3.4.4.2. 단기 인증 정보를 사용하도록 AWS 클러스터 구성

AWS STS(보안 토큰 서비스)를 사용하도록 구성된 클러스터를 설치하려면 CCO 유틸리티를 구성하고 클러스터에 필요한 AWS 리소스를 생성해야 합니다.

3.4.4.2.1. Cloud Credential Operator 유틸리티 구성

CCO(Cloud Credential Operator)가 수동 모드에서 작동할 때 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하려면 CCO 유틸리티(ccoctl) 바이너리를 추출 및 준비합니다.

참고

ccoctl 유틸리티는 Linux 환경에서 실행해야 하는 Linux 바이너리입니다.

사전 요구 사항

클러스터 관리자 액세스 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.
OpenShift CLI(oc)가 설치되어 있습니다.

ccoctl 유틸리티에서 다음 권한과 함께 사용할 AWS 계정을 생성했습니다.
예 3.7. 필요한 GCP 권한
필요한 iam 권한
- iam:CreateOpenIDConnectProvider
- iam:CreateRole
- iam:DeleteOpenIDConnectProvider
- iam:DeleteRole
- iam:DeleteRolePolicy
- iam:GetOpenIDConnectProvider
- iam:GetRole
- iam:GetUser
- iam:ListOpenIDConnectProviders
- iam:ListRolePolicies
- iam:ListRoles
- iam:PutRolePolicy
- iam:TagOpenIDConnectProvider
- iam:TagRole
필수 s3 권한
- s3:CreateBucket
- s3:DeleteBucket
- s3:DeleteObject
- s3:GetBucketAcl
- s3:GetBucketTagging
- s3:GetObject
- s3:GetObjectAcl
- s3:GetObjectTagging
- s3:ListBucket
- s3:PutBucketAcl
- s3:PutBucketPolicy
- s3:PutBucketPublicAccessBlock
- s3:PutBucketTagging
- s3:PutObject
- s3:PutObjectAcl
- s3:PutObjectTagging
필수 cloudfront 권한
- cloudfront:ListCloudFrontOriginAccessIdentities
- cloudfront:ListDistributions
- cloudfront:ListTagsForResource
공개 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 프라이빗 S3 버킷에 OIDC 구성을 저장하려면 ccoctl 유틸리티를 실행하는 AWS 계정에 다음과 같은 추가 권한이 필요합니다.
예 3.8. CloudFront를 사용한 개인 S3 버킷에 대한 추가 권한
- cloudfront:CreateCloudFrontOriginAccessIdentity
- cloudfront:CreateDistribution
- cloudfront:DeleteCloudFrontOriginAccessIdentity
- cloudfront:DeleteDistribution
- cloudfront:GetCloudFrontOriginAccessIdentity
- cloudfront:GetCloudFrontOriginAccessIdentityConfig
- cloudfront:GetDistribution
- cloudfront:TagResource
- cloudfront:UpdateDistribution
참고
이러한 추가 권한은 ccoctl aws create-all 명령을 사용하여 인증 정보 요청을 처리할 때 --create-private-s3-bucket 옵션을 사용할 수 있도록 지원합니다.

프로세스

다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지의 변수를 설정합니다.
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CCO 컨테이너 이미지를 가져옵니다.
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
참고
$RELEASE_IMAGE 의 아키텍처가 ccoctl 툴을 사용할 환경의 아키텍처와 일치하는지 확인합니다.
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지 내에서 ccoctl 바이너리를 추출합니다.
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
```
1
& lt;rhel_version > 의 경우 호스트가 사용하는 RHEL(Red Hat Enterprise Linux) 버전에 해당하는 값을 지정합니다. 값을 지정하지 않으면 기본적으로 ccoctl.rhel8 이 사용됩니다. 다음 값이 유효합니다.
rhel8: RHEL 8을 사용하는 호스트에 대해 이 값을 지정합니다.
rhel9: RHEL 9를 사용하는 호스트에 대해 이 값을 지정합니다.
다음 명령을 실행하여 ccoctl 을 실행할 수 있도록 권한을 변경합니다.
```
$ chmod 775 ccoctl.<rhel_version>
```

검증

ccoctl 을 사용할 준비가 되었는지 확인하려면 도움말 파일을 표시합니다. 명령을 실행할 때 상대 파일 이름을 사용합니다. 예를 들면 다음과 같습니다.

$ ./ccoctl.rhel9

출력 예

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for {ibm-cloud-title}
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

3.4.4.2.2. Cloud Credential Operator 유틸리티를 사용하여 AWS 리소스 생성

AWS 리소스를 생성할 때 다음과 같은 옵션이 있습니다.

ccoctl aws create-all 명령을 사용하여 AWS 리소스를 자동으로 생성할 수 있습니다. 리소스를 생성하는 가장 빠른 방법입니다. 단일 명령을 사용하여 AWS 리소스 생성을 참조하십시오.
AWS 리소스를 수정하기 전에 ccoctl 툴에서 생성하는 JSON 파일을 검토해야 하거나 ccoctl 툴에서 AWS 리소스를 생성하는 프로세스에서 조직의 요구 사항을 자동으로 충족하지 않는 경우 AWS 리소스를 개별적으로 생성할 수 있습니다. AWS 리소스 생성을 개별적으로 참조하십시오.

3.4.4.2.2.1. 단일 명령으로 AWS 리소스 생성

ccoctl 툴에서 AWS 리소스를 생성하는 데 사용하는 프로세스가 조직의 요구 사항을 자동으로 충족하는 경우 ccoctl aws create-all 명령을 사용하여 AWS 리소스 생성을 자동화할 수 있습니다.

그렇지 않으면 AWS 리소스를 개별적으로 생성할 수 있습니다. 자세한 내용은 "개인 AWS 리소스 생성"을 참조하십시오.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 <path_to_ccoctl_output_dir>을 사용하여 이 디렉터리를 나타냅니다.

사전 요구 사항

다음이 있어야 합니다.

ccoctl 바이너리를 추출하여 준비합니다.

프로세스

다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다.
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다.
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
1
--included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
2
install-config.yaml 파일의 위치를 지정합니다.
3
CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.
참고
이 명령을 실행하는 데 시간이 다소 걸릴 수 있습니다.
ccoctl 툴을 사용하여 다음 명령을 실행하여 모든 CredentialsRequest 오브젝트를 처리합니다.
```
$ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
```
1
추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름을 지정합니다.
2
클라우드 리소스가 생성될 AWS 리전을 지정합니다.
3
구성 요소 CredentialsRequest 오브젝트에 대한 파일이 포함된 디렉터리를 지정합니다.
4
선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
5
선택사항: 기본적으로 ccoctl 유틸리티는 공개 S3 버킷에 OIDC(OpenID Connect) 구성 파일을 저장하고 공개 OIDC 엔드포인트로 S3 URL을 사용합니다. OIDC 구성을 공용 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 개인 S3 버킷에 저장하려면 --create-private-s3-bucket 매개변수를 사용합니다.
참고
클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

검증

OpenShift Container Platform 보안이 생성되었는지 확인하려면 <path_to_ccoctl_output_dir>/manifests 디렉터리에 파일을 나열합니다.

$ ls <path_to_ccoctl_output_dir>/manifests

출력 예

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

AWS를 쿼리하여 IAM 역할이 생성되었는지 확인할 수 있습니다. 자세한 내용은 IAM 역할 나열에 대한 AWS 설명서를 참조하십시오.

3.4.4.2.2.2. 개별적으로 AWS 리소스 생성

ccoctl 툴을 사용하여 AWS 리소스를 개별적으로 생성할 수 있습니다. 이 옵션은 서로 다른 사용자 또는 부서 간에 이러한 리소스를 생성하는 책임을 공유하는 조직에 유용할 수 있습니다.

그렇지 않으면 ccoctl aws create-all 명령을 사용하여 AWS 리소스를 자동으로 생성할 수 있습니다. 자세한 내용은 "단일 명령으로 AWS 리소스 생성"을 참조하십시오.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 <path_to_ccoctl_output_dir>을 사용하여 이 디렉터리를 나타냅니다.

일부 ccoctl 명령은 AWS API를 호출하여 AWS 리소스를 생성하거나 수정합니다. --dry-run 플래그를 사용하여 API 호출을 방지할 수 있습니다. 이 플래그를 사용하면 로컬 파일 시스템에 JSON 파일이 생성됩니다. JSON 파일을 검토 및 수정한 다음 --cli-input-json 매개변수를 사용하여 AWS CLI 툴로 적용할 수 있습니다.

사전 요구 사항

ccoctl 바이너리를 추출하고 준비합니다.

프로세스

다음 명령을 실행하여 클러스터의 OpenID Connect 공급자를 설정하는 데 사용되는 공개 및 개인 RSA 키 파일을 생성합니다.
```
$ ccoctl aws create-key-pair
```
출력 예
```
2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer
```
여기서 serviceaccount-signer.private 및 serviceaccount-signer.public은 생성된 키 파일입니다.
또한 이 명령은 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key에 설치하는 동안 클러스터가 필요한 개인 키를 생성합니다.
다음 명령을 실행하여 AWS에서 OpenID Connect ID 공급자 및 S3 버킷을 생성합니다.
```
$ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
```
1
<name>은 추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름입니다.
2
<aws-region>은 클라우드 리소스를 생성할 AWS 리전입니다.
3
<path_to_ccoctl_output_dir>은 ccoctl aws create-key-pair 명령이 생성된 공개 키 파일의 경로입니다.
출력 예
```
2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
여기서 openid-configuration 은 검색 문서이고 keys.json 은 JSON 웹 키 세트 파일입니다.
이 명령은 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 에 YAML 구성 파일도 생성합니다. 이 파일은 AWS IAM ID 공급자가 토큰을 신뢰하도록 클러스터가 생성하는 서비스 계정 토큰의 발급자 URL 필드를 설정합니다.
클러스터의 각 구성 요소에 대한 IAM 역할을 생성합니다.
1. 다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다.
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
2. OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다.
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
```
  1
  --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
  2
  install-config.yaml 파일의 위치를 지정합니다.
  3
  CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.
3. ccoctl 툴을 사용하여 다음 명령을 실행하여 모든 CredentialsRequest 오브젝트를 처리합니다.
```
$ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
```
  참고
  GovCloud와 같은 대체 IAM API 끝점을 사용하는 AWS 환경의 경우 --region 매개변수를 사용하여 리전을 지정해야 합니다.
  클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.
  각 CredentialsRequest 오브젝트에 대해 ccoctl 은 지정된 OIDC ID 공급자와 연결된 신뢰 정책과 OpenShift Container Platform 릴리스 이미지의 각 CredentialsRequest 오브젝트에 정의된 권한 정책을 사용하여 IAM 역할을 생성합니다.

검증

OpenShift Container Platform 보안이 생성되었는지 확인하려면 <path_to_ccoctl_output_dir>/manifests 디렉터리에 파일을 나열합니다.

$ ls <path_to_ccoctl_output_dir>/manifests

출력 예

cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

AWS를 쿼리하여 IAM 역할이 생성되었는지 확인할 수 있습니다. 자세한 내용은 IAM 역할 나열에 대한 AWS 설명서를 참조하십시오.

3.4.4.2.3. Cloud Credential Operator 유틸리티 매니페스트 통합

개별 구성 요소에 대해 클러스터 외부에서 관리되는 단기 보안 인증 정보를 구현하려면 Cloud Credential Operator 유틸리티(ccoctl)가 생성된 매니페스트 파일을 설치 프로그램의 올바른 디렉터리로 이동해야 합니다.

사전 요구 사항

클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
Cloud Credential Operator 유틸리티(ccoctl)를 구성했습니다.
ccoctl 유틸리티를 사용하여 클러스터에 필요한 클라우드 공급자 리소스를 생성했습니다.

프로세스

install-config.yaml 구성 파일의 credentialsMode 매개변수를 Manual 로 설정하지 않은 경우 다음과 같이 값을 수정합니다.
구성 파일 스니펫 샘플
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
이전에 설치 매니페스트 파일을 생성하지 않은 경우 다음 명령을 실행하여 수행합니다.
```
$ openshift-install create manifests --dir <installation_directory>
```
여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.
ccoctl 유틸리티가 생성된 매니페스트 를 다음 명령을 실행하여 설치 프로그램에서 생성한 매니페스트에 복사합니다.
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
개인 키가 포함된 tls 디렉터리를 설치 디렉터리에 복사합니다.
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```

3.4.5. CNO(Cluster Network Operator) 구성

클러스터 네트워크의 구성은 CNO(Cluster Network Operator) 구성의 일부로 지정되며 cluster라는 이름의 CR(사용자 정의 리소스) 오브젝트에 저장됩니다. CR은 operator.openshift.io API 그룹에서 Network API의 필드를 지정합니다.

CNO 구성은 Network.config.openshift.io API 그룹의 Network API에서 클러스터 설치 중에 다음 필드를 상속합니다.

clusterNetwork: Pod IP 주소가 할당되는 IP 주소 풀입니다.
serviceNetwork: 서비스를 위한 IP 주소 풀입니다.
defaultNetwork.type: 클러스터 네트워크 플러그인. OVNKubernetes 는 설치 중에 지원되는 유일한 플러그인입니다.

cluster라는 CNO 오브젝트에서 defaultNetwork 오브젝트의 필드를 설정하여 클러스터의 클러스터 네트워크 플러그인 구성을 지정할 수 있습니다.

3.4.5.1. CNO(Cluster Network Operator) 구성 오브젝트

CNO(Cluster Network Operator)의 필드는 다음 표에 설명되어 있습니다.

표 3.3. CNO(Cluster Network Operator) 구성 오브젝트
필드	유형	설명
`metadata.name`	`string`	CNO 개체 이름입니다. 이 이름은 항상 `cluster`입니다.
`spec.clusterNetwork`	`array`	Pod IP 주소가 할당되는 IP 주소 블록과 클러스터의 각 개별 노드에 할당된 서브넷 접두사 길이를 지정하는 목록입니다. 예를 들면 다음과 같습니다. spec: clusterNetwork: - cidr: 10.128.0.0/19 hostPrefix: 23 - cidr: 10.128.32.0/19 hostPrefix: 23
`spec.serviceNetwork`	`array`	서비스의 IP 주소 블록입니다. OVN-Kubernetes 네트워크 플러그인은 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다. 예를 들면 다음과 같습니다. spec: serviceNetwork: - 172.30.0.0/14 매니페스트를 생성하기 전에 `install-config.yaml` 파일에서만 이 필드를 사용자 지정할 수 있습니다. 값은 매니페스트 파일에서 읽기 전용입니다.
`spec.defaultNetwork`	`object`	클러스터 네트워크의 네트워크 플러그인을 구성합니다.
`spec.kubeProxyConfig`	`object`	이 개체의 필드는 kube-proxy 구성을 지정합니다. OVN-Kubernetes 클러스터 네트워크 플러그인을 사용하는 경우 kube-proxy 구성이 적용되지 않습니다.

defaultNetwork 오브젝트 구성

defaultNetwork 오브젝트의 값은 다음 표에 정의되어 있습니다.

표 3.4. defaultNetwork 오브젝트
필드	유형	설명
`type`	`string`	`OVNKubernetes`. Red Hat OpenShift Networking 네트워크 플러그인은 설치 중에 선택됩니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다. 참고 OpenShift Container Platform은 기본적으로 OVN-Kubernetes 네트워크 플러그인을 사용합니다. OpenShift SDN은 더 이상 새 클러스터의 설치 옵션으로 사용할 수 없습니다.
`ovnKubernetesConfig`	`object`	이 오브젝트는 OVN-Kubernetes 네트워크 플러그인에만 유효합니다.

OVN-Kubernetes 네트워크 플러그인 구성

다음 표에서는 OVN-Kubernetes 네트워크 플러그인의 구성 필드를 설명합니다.

표 3.5. ovnKubernetesConfig object
필드	유형	설명
`mtu`	`integer`	Geneve(Generic Network Virtualization Encapsulation) 오버레이 네트워크의 MTU(최대 전송 단위)입니다. 이는 기본 네트워크 인터페이스의 MTU를 기준으로 자동 탐지됩니다. 일반적으로 감지된 MTU를 재정의할 필요는 없습니다. 자동 감지 값이 예상 밖인 경우 노드의 기본 네트워크 인터페이스의 MTU가 올바른지 확인합니다. 이 옵션을 사용하여 노드의 기본 네트워크 인터페이스의 MTU 값을 변경할 수 없습니다. 클러스터에 다른 노드에 대한 다른 MTU 값이 필요한 경우, 이 값을 클러스터의 가장 낮은 MTU 값보다 `100` 미만으로 설정해야 합니다. 예를 들어, 클러스터의 일부 노드에 `9001`의 MTU가 있고 일부에는 `1500`의 MTU가 있는 경우 이 값을 `1400`으로 설정해야 합니다.
`genevePort`	`integer`	모든 Geneve 패킷에 사용할 포트입니다. 기본값은 `6081`입니다. 클러스터를 설치한 후에는 이 값을 변경할 수 없습니다.
`ipsecConfig`	`object`	IPsec 구성을 사용자 정의할 구성 오브젝트를 지정합니다.
`ipv4`	`object`	IPv4 설정에 대한 구성 오브젝트를 지정합니다.
`ipv6`	`object`	IPv6 설정에 대한 구성 오브젝트를 지정합니다.
`policyAuditConfig`	`object`	네트워크 정책 감사 로깅을 사용자 정의할 구성 오브젝트를 지정합니다. 설정되지 않으면 기본값 감사 로그 설정이 사용됩니다.
`gatewayConfig`	`object`	선택 사항: 송신 트래픽이 노드 게이트웨이로 전송되는 방법을 사용자 정의할 구성 오브젝트를 지정합니다. 참고 송신 트래픽을 마이그레이션하는 동안 CNO(Cluster Network Operator)에서 변경 사항을 성공적으로 롤아웃할 때까지 워크로드 및 서비스 트래픽에 대한 일부 중단을 기대할 수 있습니다.

표 3.6. ovnKubernetesConfig.ipv4 object
필드	유형	설명
`internalTransitSwitchSubnet`	string	기존 네트워크 인프라가 `100.88.0.0/16` IPv4 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부 사용을 위해 다른 IP 주소 범위를 지정할 수 있습니다. east-west 트래픽을 활성화하는 분산 전송 스위치의 서브넷입니다. 이 서브넷은 OVN-Kubernetes 또는 호스트 자체에서 사용하는 다른 서브넷과 중복될 수 없습니다. 클러스터의 노드당 하나의 IP 주소를 수용할 수 있을 만큼 충분히 커야 합니다. 기본값은 `100.88.0.0/16` 입니다.
`internalJoinSubnet`	string	기존 네트워크 인프라가 `100.64.0.0/16` IPv4 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부 사용을 위해 다른 IP 주소 범위를 지정할 수 있습니다. IP 주소 범위가 OpenShift Container Platform 설치에서 사용하는 다른 서브넷과 겹치지 않도록 해야 합니다. IP 주소 범위는 클러스터에 추가할 수 있는 최대 노드 수보다 커야 합니다. 예를 들어 `clusterNetwork.cidr` 값이 `10.128.0.0/14` 이고 `clusterNetwork.hostPrefix` 값이 `/23` 인 경우 최대 노드 수는 `2^(23-14)=512` 입니다. 기본값은 `100.64.0.0/16` 입니다.

표 3.7. ovnKubernetesConfig.ipv6 object
필드	유형	설명
`internalTransitSwitchSubnet`	string	기존 네트워크 인프라가 `fd97::/64` IPv6 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부 사용을 위해 다른 IP 주소 범위를 지정할 수 있습니다. east-west 트래픽을 활성화하는 분산 전송 스위치의 서브넷입니다. 이 서브넷은 OVN-Kubernetes 또는 호스트 자체에서 사용하는 다른 서브넷과 중복될 수 없습니다. 클러스터의 노드당 하나의 IP 주소를 수용할 수 있을 만큼 충분히 커야 합니다. 기본값은 `fd97::/64` 입니다.
`internalJoinSubnet`	string	기존 네트워크 인프라가 `fd98::/64` IPv6 서브넷과 겹치는 경우 OVN-Kubernetes에서 내부 사용을 위해 다른 IP 주소 범위를 지정할 수 있습니다. IP 주소 범위가 OpenShift Container Platform 설치에서 사용하는 다른 서브넷과 겹치지 않도록 해야 합니다. IP 주소 범위는 클러스터에 추가할 수 있는 최대 노드 수보다 커야 합니다. 기본값은 `fd98::/64` 입니다.

표 3.8. policyAuditConfig 오브젝트
필드	유형	설명
`rateLimit`	integer	노드당 1초마다 생성할 최대 메시지 수입니다. 기본값은 초당 `20` 개의 메시지입니다.
`maxFileSize`	integer	감사 로그의 최대 크기(바이트)입니다. 기본값은 `50000000` 또는 50MB입니다.
`maxLogFiles`	integer	유지되는 최대 로그 파일 수입니다.
`대상`	string	다음 추가 감사 로그 대상 중 하나입니다. `libc` 호스트에서 journald 프로세스의 libc `syslog()` 함수입니다. `udp:<host>:<port>` syslog 서버입니다. `<host>:<port>`를 syslog 서버의 호스트 및 포트로 바꿉니다. `unix:<file>` `<file>`로 지정된 Unix Domain Socket 파일입니다. `null` 감사 로그를 추가 대상으로 보내지 마십시오.
`syslogFacility`	string	RFC5424에 정의된 `kern`과 같은 syslog 기능입니다. 기본값은 `local0`입니다.

표 3.9. gatewayConfig 오브젝트
필드	유형	설명
`routingViaHost`	`boolean`	Pod에서 호스트 네트워킹 스택으로 송신 트래픽을 보내려면 이 필드를 `true`로 설정합니다. 커널 라우팅 테이블에 수동으로 구성된 경로를 사용하는 고도의 전문 설치 및 애플리케이션의 경우 송신 트래픽을 호스트 네트워킹 스택으로 라우팅해야 할 수 있습니다. 기본적으로 송신 트래픽은 클러스터를 종료하기 위해 OVN에서 처리되며 커널 라우팅 테이블의 특수 경로의 영향을 받지 않습니다. 기본값은 `false`입니다. 이 필드는 Open vSwitch 하드웨어 오프로드 기능과 상호 작용합니다. 이 필드를 `true` 로 설정하면 송신 트래픽이 호스트 네트워킹 스택에서 처리되므로 오프로드의 성능 이점이 제공되지 않습니다.
`ipForwarding`	`object`	`네트워크` 리소스에서 `ipForwarding` 사양을 사용하여 OVN-Kubernetes 관리 인터페이스에서 모든 트래픽에 대한 IP 전달을 제어할 수 있습니다. Kubernetes 관련 트래픽에 대한 IP 전달만 허용하도록 `제한됨` 을 지정합니다. 모든 IP 트래픽을 전달할 수 있도록 `Global` 을 지정합니다. 새 설치의 경우 기본값은 `Restricted` 입니다. OpenShift Container Platform 4.14 이상 업데이트의 경우 기본값은 `Global` 입니다.
`ipv4`	`object`	선택 사항: IPv4 주소에 대한 트래픽을 서비스하는 호스트의 내부 OVN-Kubernetes masquerade 주소를 구성하려면 오브젝트를 지정합니다.
`ipv6`	`object`	선택 사항: IPv6 주소의 서비스 트래픽을 위해 호스트의 내부 OVN-Kubernetes masquerade 주소를 구성하려면 오브젝트를 지정합니다.

표 3.10. gatewayConfig.ipv4 object
필드	유형	설명
`internalMasqueradeSubnet`	`string`	내부적으로 사용되는 가상 IPv4 주소입니다. 트래픽을 서비스할 호스트를 활성화하는 데 사용됩니다. 호스트는 이러한 IP 주소 및 공유 게이트웨이 브리지 인터페이스로 구성됩니다. 기본값은 `169.254.169.0/29` 입니다. 중요 OpenShift Container Platform 4.17 이상 버전의 경우 클러스터는 `169.254.0.0/17` 을 기본 masquerade 서브넷으로 사용합니다. 업그레이드된 클러스터의 경우 기본 masquerade 서브넷이 변경되지 않습니다.

표 3.11. gatewayConfig.ipv6 object
필드	유형	설명
`internalMasqueradeSubnet`	`string`	내부적으로 사용되는 가상 IPv6 주소입니다. 트래픽을 서비스하는 호스트를 활성화하는 데 사용됩니다. 호스트는 이러한 IP 주소 및 공유 게이트웨이 브리지 인터페이스로 구성됩니다. 기본값은 `fd69::/125` 입니다. 중요 OpenShift Container Platform 4.17 이상 버전의 경우 클러스터는 `fd69::/112` 를 기본 masquerade 서브넷으로 사용합니다. 업그레이드된 클러스터의 경우 기본 masquerade 서브넷이 변경되지 않습니다.

표 3.12. ipsecConfig object
필드	유형	설명
`mode`	`string`	IPsec 구현의 동작을 지정합니다. 다음 값 중 하나여야 합니다. `disabled`: IPsec은 클러스터 노드에서 활성화되지 않습니다. `외부` 호스트가 있는 네트워크 트래픽에 대해 IPsec이 활성화됩니다. `full`: IPsec은 외부 호스트가 있는 Pod 트래픽 및 네트워크 트래픽에 대해 활성화됩니다.

IPSec가 활성화된 OVN-Kubernetes 구성의 예

defaultNetwork:
  type: OVNKubernetes
  ovnKubernetesConfig:
    mtu: 1400
    genevePort: 6081
      ipsecConfig:
        mode: Full

3.4.6. 고급 네트워크 구성 지정

네트워크 플러그인의 고급 네트워크 구성을 사용하여 클러스터를 기존 네트워크 환경에 통합할 수 있습니다.

클러스터를 설치하기 전에만 고급 네트워크 구성을 지정할 수 있습니다.

중요

설치 프로그램에서 생성한 OpenShift Container Platform 매니페스트 파일을 수정하여 네트워크 구성을 사용자 정의하는 것은 지원되지 않습니다. 다음 절차에서와 같이 생성한 매니페스트 파일을 적용할 수 있습니다.

사전 요구 사항

install-config.yaml 파일을 생성하고 수정 작업을 완료했습니다.

프로세스

설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다.
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
<installation_directory>는 클러스터의 install-config.yaml 파일이 포함된 디렉터리의 이름을 지정합니다.
<installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다.
```
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
```
다음 예와 같이 cluster-network-03-config.yml 파일에서 클러스터의 고급 네트워크 구성을 지정합니다.
OVN-Kubernetes 네트워크 공급자의 IPsec 활성화
```
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      ipsecConfig:
        mode: Full
```
선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 Ignition 구성 파일을 생성할 때 manifests/ 디렉터리를 사용합니다.

참고

AWS에서 NLB(Network Load Balancer)를 사용하는 방법에 대한 자세한 내용은 Network Load Balancer를 사용하여 AWS에서 Ingress 클러스터 트래픽 구성을 참조하십시오.

3.4.7. 새 AWS 클러스터에서 Ingress 컨트롤러 네트워크 로드 밸런서 생성

새 클러스터에서 AWS NLB(Network Load Balancer)가 지원하는 Ingress 컨트롤러를 생성할 수 있습니다.

사전 요구 사항

install-config.yaml 파일을 생성하고 수정합니다.

프로세스

새 클러스터에서 AWS NLB가 지원하는 Ingress 컨트롤러를 생성합니다.

설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다.
```
$ ./openshift-install create manifests --dir <installation_directory> 1
```
1
<installation_directory>는 클러스터의 install-config.yaml 파일이 포함된 디렉터리의 이름을 지정합니다.
<installation_directory>/manifests/ 디렉터리에 cluster-ingress-default-ingresscontroller.yaml이라는 이름으로 파일을 만듭니다.
```
$ touch <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml 1
```
1
<installation_directory>는 클러스터의 manifests / 디렉터리가 포함된 디렉터리 이름을 지정합니다.
파일이 생성되면 다음과 같이 여러 네트워크 구성 파일이 manifests/ 디렉토리에 나타납니다.
```
$ ls <installation_directory>/manifests/cluster-ingress-default-ingresscontroller.yaml
```
출력 예
```
cluster-ingress-default-ingresscontroller.yaml
```

편집기에서 cluster-ingress-default-ingresscontroller.yaml 파일을 열고 원하는 운영자 구성을 설명하는 CR(사용자 정의 리소스)을 입력합니다.

apiVersion: operator.openshift.io/v1
kind: IngressController
metadata:
  creationTimestamp: null
  name: default
  namespace: openshift-ingress-operator
spec:
  endpointPublishingStrategy:
    loadBalancer:
      scope: External
      providerParameters:
        type: AWS
        aws:
          type: NLB
    type: LoadBalancerService

cluster-ingress-default-ingresscontroller.yaml 파일을 저장하고 텍스트 편집기를 종료합니다.
선택 사항: manifests / cluster-ingress-default-ingresscontroller.yaml 파일을 백업합니다. 설치 프로그램은 클러스터를 생성할 때 manifests/ 디렉터리를 삭제합니다.

3.4.8. OVN-Kubernetes로 하이브리드 네트워킹 구성

OVN-Kubernetes 네트워크 플러그인에서 하이브리드 네트워킹을 사용하도록 클러스터를 구성할 수 있습니다. 이를 통해 다양한 노드 네트워킹 구성을 지원하는 하이브리드 클러스터를 사용할 수 있습니다.

참고

이 구성은 동일한 클러스터에서 Linux 및 Windows 노드를 모두 실행하려면 필요합니다.

사전 요구 사항

install-config.yaml 파일에 networking.networkType매개변수의 OVNKubernetes가 정의되어 있어야 합니다. 자세한 내용은 선택한 클라우드 공급자에서 OpenShift Container Platform 네트워크 사용자 정의 설정에 필요한 설치 문서를 참조하십시오.

프로세스

설치 프로그램이 포함된 디렉터리로 변경하고 매니페스트를 생성합니다.
```
$ ./openshift-install create manifests --dir <installation_directory>
```
다음과 같습니다.
<installation_directory>
클러스터의 install-config.yaml 파일이 포함된 디렉토리의 이름을 지정합니다.
<installation_directory>/ manifests/ 디렉토리에 cluster-network-03-config.yml이라는 stub 매니페스트 파일을 만듭니다.
```
$ cat <<EOF > <installation_directory>/manifests/cluster-network-03-config.yml
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
EOF
```
다음과 같습니다.
<installation_directory>
클러스터의 manifests/ 디렉터리가 포함된 디렉터리 이름을 지정합니다.
편집기에서 cluster-network-03-config.yml 파일을 열고 다음 예와 같이 하이브리드 네트워킹을 사용하여 OVN-Kubernetes를 구성합니다.
하이브리드 네트워킹 구성 지정
```
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
  name: cluster
spec:
  defaultNetwork:
    ovnKubernetesConfig:
      hybridOverlayConfig:
        hybridClusterNetwork: 1
        - cidr: 10.132.0.0/14
          hostPrefix: 23
        hybridOverlayVXLANPort: 9898 2
```
1
추가 오버레이 네트워크의 노드에 사용되는 CIDR 구성을 지정합니다. hybridClusterNetwork CIDR은 clusterNetwork CIDR과 겹치지 않아야 합니다.
2
추가 오버레이 네트워크에 대한 사용자 정의 VXLAN 포트를 지정합니다. 이는 vSphere에 설치된 클러스터에서 Windows 노드를 실행해야 하며 다른 클라우드 공급자에 대해 구성해서는 안 됩니다. 사용자 정의 포트는 기본 4789 포트를 제외한 모든 오픈 포트일 수 있습니다. 이 요구 사항에 대한 자세한 내용은 호스트 간의 포드 투 포트 연결 중단에 대한 Microsoft 문서를 참조하십시오.
참고
Windows Server LTSC(Long-Term Servicing Channel): Windows Server 2019는 사용자 지정 hybridOverlayVXLANPort 값이 있는 클러스터에서 지원되지 않습니다. 이 Windows 서버 버전은 사용자 지정 VXLAN 포트를 선택하는 것을 지원하지 않기 때문입니다.
cluster-network-03-config.yml 파일을 저장하고 텍스트 편집기를 종료합니다.오.
선택사항: manifests/cluster-network-03-config.yml 파일을 백업합니다. 설치 프로그램은 클러스터를 생성할 때 manifests/ 디렉터리를 삭제합니다.

참고

동일한 클러스터에서 Linux 및 Windows 노드를 사용하는 방법에 대한 자세한 내용은 Windows 컨테이너 워크로드 이해 를 참조하십시오.

3.4.9. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
호스트의 클라우드 공급자 계정에 클러스터를 배포할 수 있는 올바른 권한이 있는지 확인했습니다. 잘못된 권한이 있는 계정으로 인해 누락된 권한이 표시되는 오류 메시지와 함께 설치 프로세스가 실패합니다.

프로세스

설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다.
```
$ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
```
1
<installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
2
다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.
참고
AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

검증

클러스터 배포가 성공적으로 완료되면 다음을 수행합니다.

터미널에는 웹 콘솔에 대한 링크 및 kubeadmin 사용자의 인증 정보를 포함하여 클러스터에 액세스하는 지침이 표시됩니다.
인증 정보도 < installation_directory>/.openshift_install.log 로 출력합니다.

중요

설치 프로그램 또는 설치 프로그램이 생성하는 파일을 삭제하지 마십시오. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

출력 예

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

중요

설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

3.4.10. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

OpenShift Container Platform 클러스터를 배포했습니다.
oc CLI를 설치했습니다.

프로세스

kubeadmin 인증 정보를 내보냅니다.
```
$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
```
1
<installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다.
```
$ oc whoami
```
출력 예
```
system:admin
```

3.4.11. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

설치 호스트에 대한 액세스 권한이 있어야 합니다.
클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다.
```
$ cat <installation_directory>/auth/kubeadmin-password
```
참고
대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.
OpenShift Container Platform 웹 콘솔 경로를 나열합니다.
```
$ oc get routes -n openshift-console | grep 'console-openshift'
```
참고
대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.
출력 예
```
console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None
```
웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔 액세스를 참조하십시오.

3.4. 네트워크 사용자 지정으 AWS에 클러스터 설치

3.4.1. 사전 요구 사항

3.4.2. 네트워크 구성 단계

3.4.3. 설치 구성 파일 만들기

3.4.3.1. 클러스터 설치를 위한 최소 리소스 요구 사항

3.4.3.2. AWS에서 테스트된 인스턴스 유형

3.4.3.3. 64비트 ARM 인프라에서 AWS의 테스트된 인스턴스 유형

3.4.3.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

3.4.3.5. 설치 중 클러스터 단위 프록시 구성

3.4.4. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안

3.4.4.1. 수동으로 장기 인증 정보 생성

3.4.4.2. 단기 인증 정보를 사용하도록 AWS 클러스터 구성

3.4.4.2.1. Cloud Credential Operator 유틸리티 구성

3.4.4.2.2. Cloud Credential Operator 유틸리티를 사용하여 AWS 리소스 생성

3.4.4.2.2.1. 단일 명령으로 AWS 리소스 생성

3.4.4.2.2.2. 개별적으로 AWS 리소스 생성

3.4.4.2.3. Cloud Credential Operator 유틸리티 매니페스트 통합

3.4.5. CNO(Cluster Network Operator) 구성

3.4.5.1. CNO(Cluster Network Operator) 구성 오브젝트

defaultNetwork 오브젝트 구성

OVN-Kubernetes 네트워크 플러그인 구성

3.4.6. 고급 네트워크 구성 지정

3.4.7. 새 AWS 클러스터에서 Ingress 컨트롤러 네트워크 로드 밸런서 생성

3.4.8. OVN-Kubernetes로 하이브리드 네트워킹 구성

3.4.9. 클러스터 배포

3.4.10. CLI를 사용하여 클러스터에 로그인

3.4.11. 웹 콘솔을 사용하여 클러스터에 로그인

3.4.12. 다음 단계

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links