지원콘솔개발자평가판 시작연락처

3.5. 제한된 네트워크에서 AWS에 클러스터 설치

OpenShift Container Platform 버전 4.17에서는 기존 Amazon VPC(Virtual Private Cloud)에 설치 릴리스 콘텐츠의 내부 미러를 생성하여 제한된 네트워크의 AWS(Amazon Web Services)에 클러스터를 설치할 수 있습니다.

3.5.1. 사전 요구 사항

3.5.2. 네트워크가 제한된 환경에서의 설치 정보

OpenShift Container Platform 4.17에서는 소프트웨어 구성 요소를 받기 위한 인터넷 접속이 필요하지 않은 설치를 수행할 수 있습니다. 제한된 네트워크 설치는 클러스터를 설치하는 클라우드 플랫폼에 따라 설치 관리자 프로비저닝 인프라 또는 사용자 프로비저닝 인프라를 사용하여 완료할 수 있습니다.

클라우드 플랫폼에 제한된 네트워크 설치를 수행하는 방법을 선택해도 클라우드 API에 액세스는 가능해야 합니다. Amazon Web Service의 Route 53 DNS 및 IAM 서비스와 같은 일부 클라우드 기능에는 인터넷 액세스가 필요합니다. 네트워크에 따라 베어 메탈 하드웨어, Nutanix 또는 VMware vSphere에 설치하기 위해 인터넷 액세스가 줄어들 수 있습니다.

제한된 네트워크 설치를 완료하려면 OpenShift 이미지 레지스트리의 콘텐츠를 미러링하고 설치 미디어를 포함하는 레지스트리를 생성해야 합니다. 인터넷과 폐쇄 네트워크에 모두 액세스하거나 제한 사항을 따르는 다른 방법을 통해 미러 호스트에 레지스트리를 생성할 수 있습니다.

3.5.2.1. 추가 제한

제한된 네트워크의 클러스터에는 다음과 같은 추가 제한이 있습니다.

  • ClusterVersion 상태에 사용 가능한 업데이트를 검색할 수 없음 오류가 포함되어 있습니다.
  • 기본적으로 필요한 이미지 스트림 태그에 액세스할 수 없기 때문에 개발자 카탈로그의 내용을 사용할 수 없습니다.

3.5.3. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.17에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

3.5.3.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC 콘솔 마법사 구성에 대한 자세한 내용은 Amazon Web Services 설명서에서 VPC 생성 및 AWS VPC 생성 및 관리를 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터가 사용할 네트워크 범위를 세분화합니다.
  • 서브넷의 경로 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC에서 네트워킹 구성 요소에 대한 자세한 내용은 VPC 네트워킹 구성VPC의 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned,Name, openshift.io/cluster 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 지정한 각 서브넷에 태그를 추가할 수 있는지 확인합니다. EC2 이름 필드와 겹치고 설치에 실패하므로 Name 태그를 사용할 수 없습니다.

  • OpenShift Container Platform 클러스터를 AWS Outpost로 확장하고 기존 Outpost 서브넷이 있는 경우 기존 서브넷에서 kubernetes.io/cluster/unmanaged: true 태그를 사용해야 합니다. 이 태그를 적용하지 않으면 Cloud Controller Manager가 지원되지 않는 구성인 Outpost 서브넷에서 서비스 로드 밸런서를 생성하므로 설치에 실패할 수 있습니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupportenableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 개인 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZoneplatform.aws.hostedZoneRole 필드를 사용하여 호스팅 영역을 정의할 수 있습니다. 클러스터를 설치하는 계정과 공유하여 다른 계정의 프라이빗 호스팅 영역을 사용할 수 있습니다. 다른 계정의 개인 호스팅 영역을 사용하는 경우 Passthrough 또는 Manual 인증 정보 모드를 사용해야 합니다.

연결이 끊긴 환경에서 작업하는 경우 EC2, ELB 및 S3 끝점의 공용 IP 주소에 연결할 수 없습니다. 설치 중에 인터넷 트래픽을 제한하려는 수준에 따라 다음 구성 옵션을 사용할 수 있습니다.

옵션 1: VPC 엔드 포인트 생성

VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결합니다. 엔드포인트의 이름을 다음과 같이 지정합니다.

  • ec2.<aws_region>.amazonaws.com
  • elasticloadbalancing.<aws_region>.amazonaws.com
  • s3.<aws_region>.amazonaws.com

이 옵션을 사용하면 VPC와 필요한 AWS 서비스 간에 네트워크 트래픽이 비공개로 유지됩니다.

옵션 2: VPC 엔드 포인트없이 프록시 생성

설치 프로세스의 일부로 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. 이 옵션을 사용하면 인터넷 트래픽이 프록시를 통과하여 필요한 AWS 서비스에 도달합니다.

옵션 3: VPC 끝점을 사용하여 프록시 생성

설치 프로세스의 일부로 VPC 끝점을 사용하여 HTTP 또는 HTTPS 프록시를 구성할 수 있습니다. VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결합니다. 엔드포인트의 이름을 다음과 같이 지정합니다.

  • ec2.<aws_region>.amazonaws.com
  • elasticloadbalancing.<aws_region>.amazonaws.com
  • s3.<aws_region>.amazonaws.com

install-config.yaml 파일에서 프록시를 구성할 때 해당 끝점을 noProxy 필드에 추가합니다. 이 옵션을 사용하면 프록시에서 클러스터가 인터넷에 직접 액세스할 수 없습니다. 그러나 네트워크 트래픽은 VPC와 필요한 AWS 서비스 간에 프라이빗으로 유지됩니다.

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

3.5.3.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

3.5.3.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

3.5.3.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

3.5.4. 설치 구성 파일 만들기

AWS(Amazon Web Services)에 설치하는 OpenShift Container Platform 클러스터를 사용자 지정할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다. 제한된 네트워크 설치의 경우, 해당 파일은 미러 호스트에 있습니다.
  • 미러 레지스트리 생성 중에 생성된 imageContentSources 값이 있습니다.
  • 미러 레지스트리에 대한 인증서의 콘텐츠를 가져왔습니다.

프로세스

  1. install-config.yaml 파일을 생성합니다.

    1. 설치 프로그램이 포함된 디렉터리로 변경하고 다음 명령을 실행합니다. 

      $ ./openshift-install create install-config --dir <installation_directory> 1
      1
      <installation_directory>는 설치 프로그램이 생성하는 파일을 저장할 디렉터리 이름을 지정합니다.

      디렉터리를 지정할 때 다음을 수행합니다.

      • 디렉터리에 실행 권한이 있는지 확인합니다. 설치 디렉토리에서 Terraform 바이너리를 실행하려면 이 권한이 필요합니다.
      • 빈 디렉터리를 사용합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

    2. 화면에 나타나는 지시에 따라 클라우드에 대한 구성 세부 사항을 입력합니다.

      1. 선택사항: 클러스터 시스템에 액세스하는 데 사용할 SSH 키를 선택합니다.

        참고

        설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

      2. 대상 플랫폼으로 AWS를 선택합니다.
      3. 컴퓨터에 AWS(Amazon Web Services) 프로필이 저장되어 있지 않은 경우 설치 프로그램을 실행하도록 구성한 사용자의 AWS 액세스 키 ID와 시크릿 액세스 키를 입력합니다.
      4. 클러스터를 배포할 AWS 리전을 선택합니다.
      5. 클러스터에 대해 구성한 Route53 서비스의 기본 도메인을 선택합니다.
      6. 클러스터를 설명할 수 있는 이름을 입력합니다.

  2. install-config.yaml 파일을 편집하여 제한된 네트워크에 설치하는 데 필요한 추가 정보를 제공합니다.

    1. 레지스트리의 인증 정보를 포함하도록 pullSecret 값을 업데이트합니다. 

      pullSecret: '{"auths":{"<mirror_host_name>:5000": {"auth": "<credentials>","email": "you@example.com"}}}'

      <mirror_host_name>의 경우 미러 레지스트리의 인증서에 지정한 레지스트리 도메인 이름을 지정하고 <credentials>의 경우 미러 레지스트리에 base64로 인코딩된 사용자 이름 및 암호를 지정합니다.

    2. additionalTrustBundle 매개변수와 값을 추가합니다. 

      additionalTrustBundle: |
  -----BEGIN CERTIFICATE-----
  ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
  -----END CERTIFICATE-----

      값은 미러 레지스트리에 사용한 인증서 파일의 내용이어야 합니다. 인증서 파일은 신뢰할 수 있는 기존 인증 기관 또는 미러 레지스트리에 대해 생성한 자체 서명 인증서일 수 있습니다.

    3. 클러스터를 설치할 VPC의 서브넷을 정의합니다. 

      subnets:
- subnet-1
- subnet-2
- subnet-3

    4. 다음 YAML 발췌와 유사한 이미지 콘텐츠 리소스를 추가합니다. 

      imageContentSources:
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <mirror_host_name>:5000/<repo_name>/release
  source: registry.redhat.io/ocp/release

      이러한 값은 미러 레지스트리 생성 중에 기록한 imageContentSources 를 사용합니다.

    5. 선택사항: 게시 전략을 Internal로 설정합니다. 

      publish: Internal

      이 옵션을 설정하여 내부 Ingress Controller 및 프라이빗 로드 밸런서를 생성합니다.

  3. 필요한 install-config.yaml 파일을 수정합니다.

    매개변수에 대한 자세한 내용은 "설치 구성 매개변수"를 참조하십시오.

  4. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정에서 사용됩니다. 이 파일을 재사용하려면 지금 백업해야 합니다.

추가 리소스

3.5.4.1. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

표 3.13. 최소 리소스 요구사항
머신운영 체제vCPU [1]가상 RAM스토리지초당 입력/출력(IOPS)[2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.6 이상 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티 스레딩) 또는 Hyper-Threading이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
참고

OpenShift Container Platform 버전 4.13부터 RHCOS는 RHEL 버전 9.2를 기반으로 하며 마이크로 아키텍처 요구 사항을 업데이트합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령 세트 아키텍처(ISA)가 포함되어 있습니다.

  • x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
  • ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
  • IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
  • s390x 아키텍처에는 z14 ISA가 필요합니다.

자세한 내용은 RHEL 아키텍처를 참조하십시오.

플랫폼의 인스턴스 유형이 클러스터 머신의 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.

추가 리소스

3.5.4.2. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다. 

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-west-2a
      - us-west-2b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      metadataService:
        authentication: Optional 7
      type: m6i.xlarge
  replicas: 3
compute: 8
- hyperthreading: Enabled 9
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 10
      metadataService:
        authentication: Optional 11
      type: c5.4xlarge
      zones:
      - us-west-2c
  replicas: 3
metadata:
  name: test-cluster 12
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 13
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-west-2 14
    propagateUserTags: true 15
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 16
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-0c5d3e03c0ab9b19a 17
    serviceEndpoints: 18
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 19
fips: false 20
sshKey: ssh-ed25519 AAAA... 21
pullSecret: '{"auths":{"<local_registry>": {"auth": "<credentials>","email": "you@example.com"}}}' 22
additionalTrustBundle: | 23
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
imageContentSources: 24
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-release
- mirrors:
  - <local_registry>/<local_repository_name>/release
  source: quay.io/openshift-release-dev/ocp-v4.0-art-dev
1 12 14
필수 항목입니다. 설치 프로그램에서 이 값을 입력하라는 메시지를 표시합니다.
2
선택 사항: 이 매개변수를 추가하여 CCO(Cloud Credential Operator)에서 지정된 모드를 사용하도록 강제 적용합니다. 기본적으로 CCO는 kube-system 네임스페이스의 root 인증 정보를 사용하여 인증 정보의 기능을 동적으로 확인합니다. CCO 모드에 대한 자세한 내용은 인증 및 권한 부여 가이드의 "Cloud Credential Operator 정보" 섹션을 참조하십시오.
3 8 15
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 9
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 10
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
7 11
Amazon EC2 인스턴스 메타데이터 서비스 v2(IMDSv 2)가 필요한지 여부입니다. IMDSv2를 요구하려면 매개 변수 값을 Required 로 설정합니다. IMDSv1 및 IMDSv2를 모두 사용할 수 있도록 하려면 매개 변수 값을 Optional 로 설정합니다. 값을 지정하지 않으면 IMDSv1 및 IMDSv2가 모두 허용됩니다.
참고

클러스터 설치 중에 설정된 컨트롤 플레인 시스템에 대한 IMDS 구성은 AWS CLI를 사용하여 변경할 수 있습니다. 컴퓨팅 머신의 IMDS 구성은 컴퓨팅 머신 세트를 사용하여 변경할 수 있습니다.

13
설치할 클러스터 네트워크 플러그인입니다. 기본 값 OVNKubernetes 는 지원되는 유일한 값입니다.
16
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
17
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
18
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
19
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
20
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL(Red Hat Enterprise Linux) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환 을 참조하십시오.

FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.

21
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

22
<local_registry>는 미러 레지스트리가 해당 내용을 제공하는 데 사용하는 레지스트리 도메인 이름과 포트(선택사항)를 지정합니다. 예: registry.example.com 또는 registry.example.com:5000. <credentials>는 미러 레지스트리의 base64 인코딩 사용자 이름과 암호를 지정합니다.
23
미러 레지스트리에 사용한 인증서 파일의 내용을 제공하십시오.
24
명령 출력에서 imageContentSources 섹션을 제공하여 리포지토리를 미러링하십시오.

3.5.4.3. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.

  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다. 

    apiVersion: v1
baseDomain: my.domain.com
proxy:
  httpProxy: http://<username>:<pswd>@<ip>:<port> 1
  httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
  noProxy: ec2.<aws_region>.amazonaws.com,elasticloadbalancing.<aws_region>.amazonaws.com,s3.<aws_region>.amazonaws.com 3
additionalTrustBundle: | 4
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다. Amazon EC2,Elastic Load BalancingS3 VPC 끝점을 VPC에 추가한 경우 이러한 끝점을 noProxy 필드에 추가해야 합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    5
    선택 사항: trustedCA 필드에서 user-ca-bundle 구성 맵을 참조할 프록시 오브젝트의 구성을 결정하는 정책입니다. 허용되는 값은 ProxyonlyAlways 입니다. http/https 프록시가 구성된 경우에만 user-ca-bundle 구성 맵을 참조하려면 Proxyonly 를 사용합니다. Always 를 사용하여 user-ca-bundle 구성 맵을 항상 참조합니다. 기본값은 Proxyonly 입니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

    참고

    설치 프로그램이 시간 초과되면 설치 프로그램의 wait-for 명령을 사용하여 배포를 다시 시작한 다음 완료합니다. 예를 들면 다음과 같습니다. 

    $ ./openshift-install wait-for install-complete --log-level debug
  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

3.5.5. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안

기본적으로 관리자 시크릿은 kube-system 프로젝트에 저장됩니다. install-config.yaml 파일에서 credentialsMode 매개변수를 Manual 로 구성한 경우 다음 대안 중 하나를 사용해야 합니다.

3.5.5.1. 수동으로 장기 인증 정보 생성

Cloud Credential Operator (CCO)는 클라우드 아이덴티티 및 액세스 관리 (IAM) API에 연결할 수 없는 환경에서 설치하기 전에 수동 모드로 전환할 수 있습니다. 또는 관리자가 클러스터 kube-system 네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않도록 합니다.

프로세스

  1. install-config.yaml 구성 파일의 credentialsMode 매개변수를 Manual 로 설정하지 않은 경우 다음과 같이 값을 수정합니다.

    구성 파일 스니펫 샘플

    apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...

  2. 이전에 설치 매니페스트 파일을 생성하지 않은 경우 다음 명령을 실행하여 수행합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.

  3. 다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다. 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  4. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스) 목록을 추출합니다. 

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
    1
    --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
    2
    install-config.yaml 파일의 위치를 지정합니다.
    3
    CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.

    이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.

    샘플 CredentialsRequest 개체

    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - iam:GetUser
      - iam:GetUserPolicy
      - iam:ListAccessKeys
      resource: "*"
  ...

  5. 이전에 생성한 openshift-install 매니페스트 디렉터리에 시크릿 YAML 파일을 만듭니다. 시크릿은 각 CredentialsRequest 오브젝트의 spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다.

    보안이 포함된 샘플 CredentialsRequest 오브젝트

    apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AWSProviderSpec
    statementEntries:
    - effect: Allow
      action:
      - s3:CreateBucket
      - s3:DeleteBucket
      resource: "*"
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

    샘플 Secret 오브젝트

    apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  aws_access_key_id: <base64_encoded_aws_access_key_id>
  aws_secret_access_key: <base64_encoded_aws_secret_access_key>

중요

수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업그레이드하기 전에 CCO가 업그레이드 가능한 상태인지 확인해야 합니다.

3.5.5.2. 단기 인증 정보를 사용하도록 AWS 클러스터 구성

AWS STS(보안 토큰 서비스)를 사용하도록 구성된 클러스터를 설치하려면 CCO 유틸리티를 구성하고 클러스터에 필요한 AWS 리소스를 생성해야 합니다.

3.5.5.2.1. Cloud Credential Operator 유틸리티 구성

CCO(Cloud Credential Operator)가 수동 모드에서 작동할 때 클러스터 외부에서 클라우드 인증 정보를 생성하고 관리하려면 CCO 유틸리티(ccoctl) 바이너리를 추출 및 준비합니다.

참고

ccoctl 유틸리티는 Linux 환경에서 실행해야 하는 Linux 바이너리입니다.

사전 요구 사항

  • 클러스터 관리자 액세스 권한이 있는 OpenShift Container Platform 계정에 액세스할 수 있습니다.
  • OpenShift CLI(oc)가 설치되어 있습니다.

  • ccoctl 유틸리티에서 다음 권한과 함께 사용할 AWS 계정을 생성했습니다.

    예 3.9. 필요한 GCP 권한

    필요한 iam 권한

    • iam:CreateOpenIDConnectProvider
    • iam:CreateRole
    • iam:DeleteOpenIDConnectProvider
    • iam:DeleteRole
    • iam:DeleteRolePolicy
    • iam:GetOpenIDConnectProvider
    • iam:GetRole
    • iam:GetUser
    • iam:ListOpenIDConnectProviders
    • iam:ListRolePolicies
    • iam:ListRoles
    • iam:PutRolePolicy
    • iam:TagOpenIDConnectProvider
    • iam:TagRole

    필수 s3 권한

    • s3:CreateBucket
    • s3:DeleteBucket
    • s3:DeleteObject
    • s3:GetBucketAcl
    • s3:GetBucketTagging
    • s3:GetObject
    • s3:GetObjectAcl
    • s3:GetObjectTagging
    • s3:ListBucket
    • s3:PutBucketAcl
    • s3:PutBucketPolicy
    • s3:PutBucketPublicAccessBlock
    • s3:PutBucketTagging
    • s3:PutObject
    • s3:PutObjectAcl
    • s3:PutObjectTagging

    필수 cloudfront 권한

    • cloudfront:ListCloudFrontOriginAccessIdentities
    • cloudfront:ListDistributions
    • cloudfront:ListTagsForResource

    공개 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 프라이빗 S3 버킷에 OIDC 구성을 저장하려면 ccoctl 유틸리티를 실행하는 AWS 계정에 다음과 같은 추가 권한이 필요합니다.

    예 3.10. CloudFront를 사용한 개인 S3 버킷에 대한 추가 권한

    • cloudfront:CreateCloudFrontOriginAccessIdentity
    • cloudfront:CreateDistribution
    • cloudfront:DeleteCloudFrontOriginAccessIdentity
    • cloudfront:DeleteDistribution
    • cloudfront:GetCloudFrontOriginAccessIdentity
    • cloudfront:GetCloudFrontOriginAccessIdentityConfig
    • cloudfront:GetDistribution
    • cloudfront:TagResource
    • cloudfront:UpdateDistribution
    참고

    이러한 추가 권한은 ccoctl aws create-all 명령을 사용하여 인증 정보 요청을 처리할 때 --create-private-s3-bucket 옵션을 사용할 수 있도록 지원합니다.

프로세스

  1. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지의 변수를 설정합니다. 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  2. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CCO 컨테이너 이미지를 가져옵니다. 

    $ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
    참고

    $RELEASE_IMAGE 의 아키텍처가 ccoctl 툴을 사용할 환경의 아키텍처와 일치하는지 확인합니다.

  3. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지 내에서 ccoctl 바이너리를 추출합니다. 

    $ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \1
  -a ~/.pull-secret
    1
    & lt;rhel_version > 의 경우 호스트가 사용하는 RHEL(Red Hat Enterprise Linux) 버전에 해당하는 값을 지정합니다. 값을 지정하지 않으면 기본적으로 ccoctl.rhel8 이 사용됩니다. 다음 값이 유효합니다.
    • rhel8: RHEL 8을 사용하는 호스트에 대해 이 값을 지정합니다.
    • rhel9: RHEL 9를 사용하는 호스트에 대해 이 값을 지정합니다.

  4. 다음 명령을 실행하여 ccoctl 을 실행할 수 있도록 권한을 변경합니다. 

    $ chmod 775 ccoctl.<rhel_version>

검증

  • ccoctl 을 사용할 준비가 되었는지 확인하려면 도움말 파일을 표시합니다. 명령을 실행할 때 상대 파일 이름을 사용합니다. 예를 들면 다음과 같습니다. 

    $ ./ccoctl.rhel9

    출력 예

    OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for {ibm-cloud-title}
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

3.5.5.2.2. Cloud Credential Operator 유틸리티를 사용하여 AWS 리소스 생성

AWS 리소스를 생성할 때 다음과 같은 옵션이 있습니다.

  • ccoctl aws create-all 명령을 사용하여 AWS 리소스를 자동으로 생성할 수 있습니다. 리소스를 생성하는 가장 빠른 방법입니다. 단일 명령을 사용하여 AWS 리소스 생성을 참조하십시오.
  • AWS 리소스를 수정하기 전에 ccoctl 툴에서 생성하는 JSON 파일을 검토해야 하거나 ccoctl 툴에서 AWS 리소스를 생성하는 프로세스에서 조직의 요구 사항을 자동으로 충족하지 않는 경우 AWS 리소스를 개별적으로 생성할 수 있습니다. AWS 리소스 생성을 개별적으로 참조하십시오.
3.5.5.2.2.1. 단일 명령으로 AWS 리소스 생성

ccoctl 툴에서 AWS 리소스를 생성하는 데 사용하는 프로세스가 조직의 요구 사항을 자동으로 충족하는 경우 ccoctl aws create-all 명령을 사용하여 AWS 리소스 생성을 자동화할 수 있습니다.

그렇지 않으면 AWS 리소스를 개별적으로 생성할 수 있습니다. 자세한 내용은 "개인 AWS 리소스 생성"을 참조하십시오.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 <path_to_ccoctl_output_dir>을 사용하여 이 디렉터리를 나타냅니다.

사전 요구 사항

다음이 있어야 합니다.

  • ccoctl 바이너리를 추출하여 준비합니다.

프로세스

  1. 다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다. 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

  2. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다. 

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
    1
    --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
    2
    install-config.yaml 파일의 위치를 지정합니다.
    3
    CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.
    참고

    이 명령을 실행하는 데 시간이 다소 걸릴 수 있습니다.

  3. ccoctl 툴을 사용하여 다음 명령을 실행하여 모든 CredentialsRequest 오브젝트를 처리합니다. 

    $ ccoctl aws create-all \
  --name=<name> \1
  --region=<aws_region> \2
  --credentials-requests-dir=<path_to_credentials_requests_directory> \3
  --output-dir=<path_to_ccoctl_output_dir> \4
  --create-private-s3-bucket 5
    1
    추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름을 지정합니다.
    2
    클라우드 리소스가 생성될 AWS 리전을 지정합니다.
    3
    구성 요소 CredentialsRequest 오브젝트에 대한 파일이 포함된 디렉터리를 지정합니다.
    4
    선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.
    5
    선택사항: 기본적으로 ccoctl 유틸리티는 공개 S3 버킷에 OIDC(OpenID Connect) 구성 파일을 저장하고 공개 OIDC 엔드포인트로 S3 URL을 사용합니다. OIDC 구성을 공용 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 개인 S3 버킷에 저장하려면 --create-private-s3-bucket 매개변수를 사용합니다.
    참고

    클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

검증

  • OpenShift Container Platform 보안이 생성되었는지 확인하려면 <path_to_ccoctl_output_dir>/manifests 디렉터리에 파일을 나열합니다. 

    $ ls <path_to_ccoctl_output_dir>/manifests

    출력 예

    cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

    AWS를 쿼리하여 IAM 역할이 생성되었는지 확인할 수 있습니다. 자세한 내용은 IAM 역할 나열에 대한 AWS 설명서를 참조하십시오.

3.5.5.2.2.2. 개별적으로 AWS 리소스 생성

ccoctl 툴을 사용하여 AWS 리소스를 개별적으로 생성할 수 있습니다. 이 옵션은 서로 다른 사용자 또는 부서 간에 이러한 리소스를 생성하는 책임을 공유하는 조직에 유용할 수 있습니다.

그렇지 않으면 ccoctl aws create-all 명령을 사용하여 AWS 리소스를 자동으로 생성할 수 있습니다. 자세한 내용은 "단일 명령으로 AWS 리소스 생성"을 참조하십시오.

참고

기본적으로 ccoctl은 명령이 실행되는 디렉터리에 오브젝트를 생성합니다. 다른 디렉터리에 오브젝트를 생성하려면 --output-dir 플래그를 사용합니다. 이 절차에서는 <path_to_ccoctl_output_dir>을 사용하여 이 디렉터리를 나타냅니다.

일부 ccoctl 명령은 AWS API를 호출하여 AWS 리소스를 생성하거나 수정합니다. --dry-run 플래그를 사용하여 API 호출을 방지할 수 있습니다. 이 플래그를 사용하면 로컬 파일 시스템에 JSON 파일이 생성됩니다. JSON 파일을 검토 및 수정한 다음 --cli-input-json 매개변수를 사용하여 AWS CLI 툴로 적용할 수 있습니다.

사전 요구 사항

  • ccoctl 바이너리를 추출하고 준비합니다.

프로세스

  1. 다음 명령을 실행하여 클러스터의 OpenID Connect 공급자를 설정하는 데 사용되는 공개 및 개인 RSA 키 파일을 생성합니다. 

    $ ccoctl aws create-key-pair

    출력 예

    2021/04/13 11:01:02 Generating RSA keypair
2021/04/13 11:01:03 Writing private key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.private
2021/04/13 11:01:03 Writing public key to /<path_to_ccoctl_output_dir>/serviceaccount-signer.public
2021/04/13 11:01:03 Copying signing key for use by installer

    여기서 serviceaccount-signer.privateserviceaccount-signer.public은 생성된 키 파일입니다.

    또한 이 명령은 /<path_to_ccoctl_output_dir>/tls/bound-service-account-signing-key.key에 설치하는 동안 클러스터가 필요한 개인 키를 생성합니다.

  2. 다음 명령을 실행하여 AWS에서 OpenID Connect ID 공급자 및 S3 버킷을 생성합니다. 

    $ ccoctl aws create-identity-provider \
  --name=<name> \1
  --region=<aws_region> \2
  --public-key-file=<path_to_ccoctl_output_dir>/serviceaccount-signer.public 3
    1
    <name>은 추적을 위해 생성된 클라우드 리소스에 태그를 지정하는 데 사용되는 이름입니다.
    2
    <aws-region>은 클라우드 리소스를 생성할 AWS 리전입니다.
    3
    <path_to_ccoctl_output_dir>ccoctl aws create-key-pair 명령이 생성된 공개 키 파일의 경로입니다.

    출력 예

    2021/04/13 11:16:09 Bucket <name>-oidc created
2021/04/13 11:16:10 OpenID Connect discovery document in the S3 bucket <name>-oidc at .well-known/openid-configuration updated
2021/04/13 11:16:10 Reading public key
2021/04/13 11:16:10 JSON web key set (JWKS) in the S3 bucket <name>-oidc at keys.json updated
2021/04/13 11:16:18 Identity Provider created with ARN: arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com

    여기서 openid-configuration 은 검색 문서이고 keys.json 은 JSON 웹 키 세트 파일입니다.

    이 명령은 /<path_to_ccoctl_output_dir>/manifests/cluster-authentication-02-config.yaml 에 YAML 구성 파일도 생성합니다. 이 파일은 AWS IAM ID 공급자가 토큰을 신뢰하도록 클러스터가 생성하는 서비스 계정 토큰의 발급자 URL 필드를 설정합니다.

  3. 클러스터의 각 구성 요소에 대한 IAM 역할을 생성합니다.

    1. 다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다. 

      $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

    2. OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest 오브젝트 목록을 추출합니다. 

      $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \1
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \2
  --to=<path_to_directory_for_credentials_requests> 3
      1
      --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.
      2
      install-config.yaml 파일의 위치를 지정합니다.
      3
      CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.

    3. ccoctl 툴을 사용하여 다음 명령을 실행하여 모든 CredentialsRequest 오브젝트를 처리합니다. 

      $ ccoctl aws create-iam-roles \
  --name=<name> \
  --region=<aws_region> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --identity-provider-arn=arn:aws:iam::<aws_account_id>:oidc-provider/<name>-oidc.s3.<aws_region>.amazonaws.com
      참고

      GovCloud와 같은 대체 IAM API 끝점을 사용하는 AWS 환경의 경우 --region 매개변수를 사용하여 리전을 지정해야 합니다.

      클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

      CredentialsRequest 오브젝트에 대해 ccoctl 은 지정된 OIDC ID 공급자와 연결된 신뢰 정책과 OpenShift Container Platform 릴리스 이미지의 각 CredentialsRequest 오브젝트에 정의된 권한 정책을 사용하여 IAM 역할을 생성합니다.

검증

  • OpenShift Container Platform 보안이 생성되었는지 확인하려면 <path_to_ccoctl_output_dir>/manifests 디렉터리에 파일을 나열합니다. 

    $ ls <path_to_ccoctl_output_dir>/manifests

    출력 예

    cluster-authentication-02-config.yaml
openshift-cloud-credential-operator-cloud-credential-operator-iam-ro-creds-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capa-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-ebs-cloud-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-aws-cloud-credentials-credentials.yaml

    AWS를 쿼리하여 IAM 역할이 생성되었는지 확인할 수 있습니다. 자세한 내용은 IAM 역할 나열에 대한 AWS 설명서를 참조하십시오.

3.5.5.2.3. Cloud Credential Operator 유틸리티 매니페스트 통합

개별 구성 요소에 대해 클러스터 외부에서 관리되는 단기 보안 인증 정보를 구현하려면 Cloud Credential Operator 유틸리티(ccoctl)가 생성된 매니페스트 파일을 설치 프로그램의 올바른 디렉터리로 이동해야 합니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
  • Cloud Credential Operator 유틸리티(ccoctl)를 구성했습니다.
  • ccoctl 유틸리티를 사용하여 클러스터에 필요한 클라우드 공급자 리소스를 생성했습니다.

프로세스

  1. install-config.yaml 구성 파일의 credentialsMode 매개변수를 Manual 로 설정하지 않은 경우 다음과 같이 값을 수정합니다.

    구성 파일 스니펫 샘플

    apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...

  2. 이전에 설치 매니페스트 파일을 생성하지 않은 경우 다음 명령을 실행하여 수행합니다. 

    $ openshift-install create manifests --dir <installation_directory>

    여기서 <installation_directory>는 설치 프로그램이 파일을 생성하는 디렉터리입니다.

  3. ccoctl 유틸리티가 생성된 매니페스트 를 다음 명령을 실행하여 설치 프로그램에서 생성한 매니페스트에 복사합니다. 

    $ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/

  4. 개인 키가 포함된 tls 디렉터리를 설치 디렉터리에 복사합니다. 

    $ cp -a /<path_to_ccoctl_output_dir>/tls .

3.5.6. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
  • 호스트의 클라우드 공급자 계정에 클러스터를 배포할 수 있는 올바른 권한이 있는지 확인했습니다. 잘못된 권한이 있는 계정으로 인해 누락된 권한이 표시되는 오류 메시지와 함께 설치 프로세스가 실패합니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다. 

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
    --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

검증

클러스터 배포가 성공적으로 완료되면 다음을 수행합니다.

  • 터미널에는 웹 콘솔에 대한 링크 및 kubeadmin 사용자의 인증 정보를 포함하여 클러스터에 액세스하는 지침이 표시됩니다.
  • 인증 정보도 < installation_directory>/.openshift_install.log 로 출력합니다.
중요

설치 프로그램 또는 설치 프로그램이 생성하는 파일을 삭제하지 마십시오. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

출력 예

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

중요
  • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
  • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

3.5.7. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다. 

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.

  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다. 

    $ oc whoami

    출력 예

    system:admin

3.5.8. 기본 OperatorHub 카탈로그 소스 비활성화

Red Hat 및 커뮤니티 프로젝트에서 제공하는 콘텐츠를 소싱하는 Operator 카탈로그는 OpenShift Container Platform을 설치하는 동안 기본적으로 OperatorHub용으로 구성됩니다. 제한된 네트워크 환경에서는 클러스터 관리자로서 기본 카탈로그를 비활성화해야 합니다.

프로세스

  • OperatorHub 오브젝트에 disableAllDefaultSources: true를 추가하여 기본 카탈로그의 소스를 비활성화합니다. 

    $ oc patch OperatorHub cluster --type json \
    -p '[{"op": "add", "path": "/spec/disableAllDefaultSources", "value": true}]'
작은 정보

또는 웹 콘솔을 사용하여 카탈로그 소스를 관리할 수 있습니다. 관리 클러스터 설정 구성 OperatorHub 페이지에서 개별 소스 를 생성, 업데이트, 삭제, 비활성화 및 활성화할 수 있는 소스 탭을 클릭합니다.

3.5.9. 다음 단계

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.