3.8. 자세한 내용은 정부 리전에 Azure의 클러스터 설치를 참조하십시오.


OpenShift Container Platform 버전 4.17에서는 Microsoft Azure의 클러스터를 정부 리전에 설치할 수 있습니다. 정부 리전을 설정하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

3.8.1. 지원되는 Azure 정부 리전

OpenShift Container Platform은 Microsoft Azure Government (MAG) 지역에 클러스터 배포를 지원합니다. MAG는 연방, 주, 지역 수준의 미국 정부 기관은 물론 Azure에서 중요한 워크로드를 실행해야 하는 미국 정부 기관, 계약자, 교육 기관 및 기타 미국 고객을 위해 설계되었습니다. MAG는 정부 전용 데이터 센터 리전으로 구성되며 모두 영향 레벨 5 임시 승인이 부여됩니다.

MAG 리전에 설치하려면 install-config.yaml 파일에서 Azure Government 전용 클라우드 인스턴스 및 리전을 수동으로 구성해야 합니다. 또한 적절한 정부 환경을 참조하도록 서비스 주체를 업데이트해야 합니다.

참고

설치 프로그램의 터미널 프롬프트를 사용하여 Azure 정부 리전을 선택할 수 없습니다. install-config.yaml 파일에서 리전을 수동으로 정의해야 합니다. 지정된 리전에 따라 AzureUSGovernmentCloud 와 같은 전용 클라우드 인스턴스도 설정해야 합니다.

3.8.2. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

중요

클러스터에 퍼블릭 서브넷이 있는 경우 관리자가 생성한 로드 밸런서 서비스에 공개적으로 액세스할 수 있습니다. 클러스터 보안을 위해 이러한 서비스에 개인용으로 명시적으로 주석이 추가되었는지 확인합니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.
  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

3.8.2.1. Azure의 프라이빗 클러스터

Microsoft Azure에서 개인 클러스터를 만들려면 클러스터를 호스팅할 기존 개인 VNet 및 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 내부 트래픽용 Ingress Operator 및 API 서버를 구성합니다.

네트워크가 개인 VNET에 연결하는 방법에 따라 클러스터의 프라이빗 DNS 레코드를 확인하기 위해 DNS 전달자를 사용해야 할 수도 있습니다. 클러스터의 시스템은 DNS 확인을 위해 내부적으로 168.63.129.16을 사용합니다. 자세한 내용은 Azure 문서의 Azure 프라이빗 DNS란 무엇인가IP 주소 168.63.129.16은 무엇인가?를 참조하십시오.

클러스터가 Azure API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • BaseDomainResourceGroup(클러스터가 공개 레코드를 생성하지 않으므로)
  • 공용 IP 주소
  • 공용 DNS 레코드
  • 공용 끝점

    The cluster is configured so that the Operators do not create public records for the cluster and all cluster machines are placed in the private subnets that you specify.
3.8.2.1.1. 제한

Azure의 프라이빗 클러스터에는 기존 VNet 사용과 관련된 제한 사항만 적용됩니다.

3.8.2.2. 사용자 정의 아웃 바운드 라우팅

OpenShift Container Platform에서 실행되는 클러스터의 아웃 바운드 라우팅을 선택하고 인터넷에 연결할 수 있습니다. 이를 통해 공용 IP 주소 및 공용 로드 밸런서의 생성을 생략할 수 있습니다.

클러스터를 설치하기 전에 install-config.yaml 파일에서 매개 변수를 수정하여 사용자 정의 라우팅을 구성할 수 있습니다. 클러스터를 설치할 때 아웃 바운드 라우팅을 사용하려면 기존 VNet이 필요합니다. 설치 프로그램은 이를 설정하지 않습니다.

사용자 정의 라우팅을 사용하도록 클러스터를 구성할 때 설치 프로그램은 다음 리소스를 생성하지 않습니다.

  • 인터넷 액세스를 위한 아웃 바운드 규칙
  • 공용 로드 밸런서의 공용 IP
  • 아웃 바운드 요청을 위해 공용로드 밸런서에 클러스터 머신을 추가하기위한 Kubernetes 서비스 객체

사용자 정의 라우팅을 설정하기 전에 다음 항목을 사용할 수 있는지 확인해야 합니다.

  • OpenShift 이미지 레지스트리 미러를 사용하지 않는 한 인터넷으로의 송신은 컨테이너 이미지를 가져올 수 있습니다.
  • 클러스터는 Azure API에 액세스할 수 있습니다.
  • 다양한 허용 목록 엔드 포인트가 설정됩니다. 방화벽 설정 섹션에서 이러한 엔드 포인트를 참조할 수 있습니다.

사용자 정의 라우팅을 사용하여 인터넷 액세스에 지원되는 기존의 몇 가지 네트워킹 설정이 있습니다.

3.8.3. OpenShift Container Platform 클러스터에서 VNet의 재사용 정보

OpenShift Container Platform 4.17에서는 Microsoft Azure의 기존 Azure Virtual Network(VNet)에 클러스터를 배포할 수 있습니다. 이때 VNet 및 라우팅 규칙 내의 기존 서브넷도 사용해야 합니다.

기존 Azure VNet에 OpenShift Container Platform을 배포하면 새 계정의 서비스 한도 제한을 회피하거나 회사의 지침에 따른 운영 제한을 따르기 수월해집니다. 이 방법은 VNet을 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없을 때 사용하기 좋은 대안입니다.

3.8.3.1. VNet 사용 요구사항

기존 VNet을 사용하여 클러스터를 배포하는 경우 클러스터를 설치하기 전에 추가 네트워크 구성을 수행해야 합니다. 설치 관리자 프로비저닝 인프라 클러스터에서, 설치 관리자는 일반적으로 다음 구성 요소를 생성하지만 기존 VNet에 설치할 때는 생성하지 않습니다.

  • 서브넷
  • 라우팅 테이블
  • VNet
  • 네트워크 보안 그룹
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.

사용자 지정 VNet을 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VNet과 해당 서브넷을 구성해야 합니다. 설치 프로그램에서 사용할 클러스터의 네트워크 범위를 세분하거나 서브넷에 대한 라우팅 테이블을 설정하거나 DHCP와 같은 VNet 옵션을 설정할 수 없으므로 클러스터를 설치하기 전에 직접 해당 작업을 수행해야 합니다.

클러스터는 기존 VNet과 서브넷이 포함된 리소스 그룹에 액세스할 수 있어야 합니다. 클러스터가 생성하는 모든 리소스는 생성된 별도의 리소스 그룹에 배치되지만 일부 네트워크 리소스는 별도의 그룹으로부터 사용됩니다. 일부 클러스터 Operator는 두 리소스 그룹 모두의 리소스에 액세스할 수 있어야 합니다. 예를 들어 Machine API 컨트롤러는 생성하는 가상 머신에 대한 NICS를 네트워킹 리소스 그룹의 서브넷에 연결합니다.

VNet은 다음 특성을 충족해야 합니다.

  • VNet의 CIDR 블록에는 클러스터 시스템의 IP 주소 풀인 Networking.MachineCIDR 범위가 포함되어야 합니다.
  • VNet과 해당 서브넷은 동일한 리소스 그룹에 속해야 하며 서브넷은 고정 IP 주소 대신 Azure 할당 DHCP IP 주소를 사용하도록 구성해야 합니다.

VNet 내에 두 서브넷을 제공해야 합니다. 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다. Azure는 지정한 리전 내의 다른 가용성 영역에 시스템을 배포하므로 클러스터는 기본적으로 고가용성을 갖습니다.

참고

기본적으로 install-config.yaml 파일에서 가용성 영역을 지정하면 설치 프로그램에서 컨트롤 플레인 시스템과 컴퓨팅 시스템을 리전 내의 이러한 가용성 영역에 배포합니다. 클러스터의 고가용성을 보장하기 위해서는 가용성 영역이 세 개 이상인 리전을 선택하십시오. 각 리전에 가용성 영역이 세 개 미만인 경우에는 설치 프로그램이 사용 가능한 영역에 둘 이상의 컨트롤 플레인 시스템을 배치합니다.

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 지정된 모든 서브넷이 있습니다.
  • 두 개의 프라이빗 서브넷, 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다. 필요한 경우, 설치 프로그램은 컨트롤 플레인과 작업자 노드를 관리하는 공용 로드 밸런서를 만들고 Azure는 여기에 공용 IP 주소를 할당합니다.
참고

기존 VNet을 사용하는 클러스터를 제거해도 VNet은 삭제되지 않습니다.

3.8.3.1.1. 네트워크 보안 그룹 요구사항

컴퓨팅과 컨트롤 플레인 시스템을 호스팅하는 서브넷에 대한 네트워크 보안 그룹은 클러스터 통신이 올바른지 확인하기 위해 특정 액세스 권한이 필요합니다. 필요한 클러스터 통신 포트에 대한 액세스를 허용하는 규칙을 만들어야 합니다.

중요

클러스터를 설치하기 전에 네트워크 보안 그룹 규칙을 마련해야 합니다. 필요한 액세스 권한 없이 클러스터를 설치하려고 하면 설치 프로그램이 Azure API에 연결할 수 없으며 설치가 실패합니다.

표 3.25. 필수 포트
포트설명컨트롤 플레인컴퓨팅

80

HTTP 트래픽 허용

 

x

443

HTTPS 트래픽 허용

 

x

6443

컨트롤 플레인 시스템과의 통신을 허용합니다.

x

 

22623

머신 프로비저닝을 위해 머신 구성 서버와의 내부 통신 허용

x

 
  1. Azure 방화벽을 사용하여 인터넷 액세스를 제한하는 경우 Azure API를 허용하도록 Azure 방화벽을 구성할 수 있습니다. 네트워크 보안 그룹 규칙이 필요하지 않습니다. 자세한 내용은 "추가 리소스"의 " 방화벽 구성"을 참조하십시오.
중요

현재 머신 구성 서버 끝점을 차단하거나 제한하는 방법이 지원되지 않습니다. 기존 구성 또는 상태가 없는 새로 프로비저닝된 머신이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 trust의 루트는 CSR(인증서 서명 요청) 끝점입니다. 여기서 kubelet은 클러스터에 참여하도록 승인에 대한 인증서 서명 요청을 보냅니다. 이로 인해 시크릿 및 인증서와 같은 중요한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.

머신 구성 서버 엔드포인트, 포트 22623 및 22624가 베어 메탈 시나리오에서 보호되도록 고객은 적절한 네트워크 정책을 구성해야 합니다.

클러스터 구성 요소는 Kubernetes 컨트롤러가 업데이트하는 사용자 제공 네트워크 보안 그룹을 수정하지 않으므로 나머지 환경에 영향을 주지 않고 Kubernetes 컨트롤러에 대한 의사 네트워크 보안 그룹이 생성됩니다.

표 3.26. 모든 시스템 간 통신에 사용되는 포트
프로토콜포트설명

ICMP

해당 없음

네트워크 연결성 테스트

TCP

1936

메트릭

9000-9999

9100-9101 포트의 노드 내보내기 및 9099 포트의 Cluster Version Operator를 포함한 호스트 수준 서비스.

10250-10259

Kubernetes에서 예약하는 기본 포트

UDP

4789

VXLAN

6081

Geneve

9000-9999

9100-9101 포트의 노드 내보내기를 포함한 호스트 수준 서비스.

500

IPsec IKE 패킷

4500

IPsec NAT-T 패킷

123

UDP 포트 123의 NTP(Network Time Protocol)

외부 NTP 시간 서버를 구성하는 경우 UDP 포트 123 을 열어야 합니다.

TCP/UDP

30000-32767

Kubernetes 노드 포트

ESP

해당 없음

IPsec Encapsulating Security Payload (ESP)

표 3.27. 컨트롤 플레인 머신 간 통신에 사용되는 포트
프로토콜포트설명

TCP

2379-2380

etcd 서버 및 피어 포트

3.8.3.2. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이러한 변경은 회사에서 보유할 수 있는 권한 분할을 모방합니다. 즉, 몇몇 사람이 다른 사람들과 다른 리소스를 클라우드에 생성할 수 있습니다. 예를 들어 인스턴스, 스토리지, 로드 밸런서와 같은 애플리케이션 관련 항목을 생성할 수는 있지만 VNet, 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성할 수 없습니다.

클러스터를 생성할 때 사용하는 Azure 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VNet 내 핵심 네트워킹 구성 요소와 VNet을 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 로드 밸런서, 보안 그룹, 스토리지 계정 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

3.8.3.3. 클러스터 간 격리

클러스터는 기존 서브넷의 네트워크 보안 그룹을 수정할 수 없기 때문에 VNet에서 클러스터를 서로 격리할 방법이 없습니다.

3.8.4. 수동으로 설치 구성 파일 생성

클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다.

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

3.8.4.1. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

표 3.28. 최소 리소스 요구사항
머신운영 체제vCPU [1]가상 RAM스토리지초당 입력/출력(IOPS)[2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.6 이상 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티 스레딩) 또는 Hyper-Threading이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
참고

OpenShift Container Platform 버전 4.13부터 RHCOS는 RHEL 버전 9.2를 기반으로 하며 마이크로 아키텍처 요구 사항을 업데이트합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령 세트 아키텍처(ISA)가 포함되어 있습니다.

  • x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
  • ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
  • IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
  • s390x 아키텍처에는 z14 ISA가 필요합니다.

자세한 내용은 RHEL 아키텍처를 참조하십시오.

중요

premiumIO 매개변수가 true 로 설정된 Azure 가상 머신을 사용해야 합니다.

플랫폼의 인스턴스 유형이 클러스터 머신의 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.

추가 리소스

3.8.4.2. Azure에 대해 테스트된 인스턴스 유형

다음 Microsoft Azure 인스턴스 유형은 OpenShift Container Platform에서 테스트되었습니다.

예 3.16. 64비트 x86 아키텍처를 기반으로 하는 머신 유형

  • standardBasv2Family
  • standardBSFamily
  • standardBsv2Family
  • standardDADSv5Family
  • standardDASv4Family
  • standardDASv5Family
  • standardDCACCV5Family
  • standardDCADCCV5Family
  • standardDCADSv5Family
  • standardDCASv5Family
  • standardDCSv3Family
  • standardDCSv2Family
  • standardDDCSv3Family
  • standardDDSv4Family
  • standardDDSv5Family
  • standardDLDSv5Family
  • standardDLSv5Family
  • standardDSFamily
  • standardDSv2Family
  • standardDSv2PromoFamily
  • standardDSv3Family
  • standardDSv4Family
  • standardDSv5Family
  • standardEADSv5Family
  • standardEASv4Family
  • standardEASv5Family
  • standardEBDSv5Family
  • standardEBSv5Family
  • standardECACCV5Family
  • standardECADCCV5Family
  • standardECADSv5Family
  • standardECASv5Family
  • standardEDSv4Family
  • standardEDSv5Family
  • standardEIADSv5Family
  • standardEIASv4Family
  • standardEIASv5Family
  • standardEIBDSv5Family
  • standardEIBSv5Family
  • standardEIDSv5Family
  • standardEISv3Family
  • standardEISv5Family
  • standardESv3Family
  • standardESv4Family
  • standardESv5Family
  • standardFXMDVSFamily
  • standardFSFamily
  • standardFSv2Family
  • standardGSFamily
  • standardHBrsv2Family
  • standardHBSFamily
  • standardHBv4Family
  • standardHCSFamily
  • standardHXFamily
  • standardLASv3Family
  • standardLSFamily
  • standardLSv2Family
  • standardLSv3Family
  • standardMDSHighMemoryv3Family
  • standardMDSMediumMemoryv2Family
  • standardMDSMediumMemoryv3Family
  • standardMIDSHighMemoryv3Family
  • standardMIDSMediumMemoryv2Family
  • standardMISHighMemoryv3Family
  • standardMISMediumMemoryv2Family
  • standardMSFamily
  • standardMSHighMemoryv3Family
  • standardMSMediumMemoryv2Family
  • standardMSMediumMemoryv3Family
  • StandardNCADSA100v4Family
  • 표준 CryostatASv3_T4 제품군
  • standardNCSv3Family
  • standardNDSv2Family
  • StandardNGADSV620v1Family
  • standardNPSFamily
  • StandardNVADSA10v5Family
  • standardNVSv3Family
  • standardXEISv4Family

3.8.4.3. Azure VM에 대한 신뢰할 수 있는 시작 활성화

Azure에 클러스터를 설치할 때 신뢰할 수 있는 두 가지 실행 기능( 보안 부팅가상화된 신뢰할 수 있는 플랫폼 모듈 )을 활성화할 수 있습니다.

신뢰할 수 있는 시작 기능을 지원하는 가상 머신 크기에 대한 자세한 내용은 가상 머신 크기를 참조하십시오.

중요

신뢰할 수 있는 시작은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

사전 요구 사항

  • install-config.yaml 파일을 생성했습니다.

프로세스

  • 클러스터를 배포하기 전에 install-config.yaml 파일을 편집합니다.

    • 다음 스탠자를 추가하여 컨트롤 플레인에서만 신뢰할 수 있는 시작을 활성화합니다.

      controlPlane:
        platform:
          azure:
            settings:
              securityType: TrustedLaunch
              trustedLaunch:
                uefiSettings:
                  secureBoot: Enabled
                  virtualizedTrustedPlatformModule: Enabled
    • 다음 스탠자를 추가하여 컴퓨팅 노드에서 신뢰할 수 있는 시작만 활성화합니다.

      compute:
        platform:
          azure:
            settings:
              securityType: TrustedLaunch
              trustedLaunch:
                uefiSettings:
                  secureBoot: Enabled
                  virtualizedTrustedPlatformModule: Enabled
    • 다음 스탠자를 추가하여 모든 노드에서 신뢰할 수 있는 시작을 활성화합니다.

      platform:
        azure:
          settings:
            securityType: TrustedLaunch
            trustedLaunch:
              uefiSettings:
                secureBoot: Enabled
                virtualizedTrustedPlatformModule: Enabled

3.8.4.4. 기밀 VM 활성화

클러스터를 설치할 때 기밀 VM을 활성화할 수 있습니다. 컴퓨팅 노드, 컨트롤 플레인 노드 또는 모든 노드에 대해 기밀 VM을 활성화할 수 있습니다.

중요

기밀 VM 사용은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.

Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

다음과 같은 VM 크기로 기밀 VM을 사용할 수 있습니다.

  • DCasv5-series
  • DCadsv5-series
  • ECasv5-series
  • ECadsv5-series
중요

현재 기밀 VM은 64비트 ARM 아키텍처에서 지원되지 않습니다.

사전 요구 사항

  • install-config.yaml 파일을 생성했습니다.

프로세스

  • 클러스터를 배포하기 전에 install-config.yaml 파일을 편집합니다.

    • 다음 스탠자를 추가하여 컨트롤 플레인에서만 기밀 VM을 활성화합니다.

      controlPlane:
        platform:
          azure:
            settings:
              securityType: ConfidentialVM
              confidentialVM:
                uefiSettings:
                  secureBoot: Enabled
                  virtualizedTrustedPlatformModule: Enabled
            osDisk:
              securityProfile:
                securityEncryptionType: VMGuestStateOnly
    • 다음 스탠자를 추가하여 컴퓨팅 노드에서만 기밀 VM을 활성화합니다.

      compute:
        platform:
          azure:
            settings:
              securityType: ConfidentialVM
              confidentialVM:
                uefiSettings:
                  secureBoot: Enabled
                  virtualizedTrustedPlatformModule: Enabled
            osDisk:
              securityProfile:
                securityEncryptionType: VMGuestStateOnly
    • 다음 스탠자를 추가하여 모든 노드에서 기밀 VM을 활성화합니다.

      platform:
        azure:
          settings:
            securityType: ConfidentialVM
            confidentialVM:
              uefiSettings:
                secureBoot: Enabled
                virtualizedTrustedPlatformModule: Enabled
          osDisk:
            securityProfile:
              securityEncryptionType: VMGuestStateOnly

3.8.4.5. Azure용 샘플 사용자 지정 install-config.yaml 파일

install-config.yaml 파일을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml 파일을 받아서 수정해야 합니다.

apiVersion: v1
baseDomain: example.com 1
controlPlane: 2
  hyperthreading: Enabled 3 4
  name: master
  platform:
    azure:
      encryptionAtHost: true
      ultraSSDCapability: Enabled
      osDisk:
        diskSizeGB: 1024 5
        diskType: Premium_LRS
        diskEncryptionSet:
          resourceGroup: disk_encryption_set_resource_group
          name: disk_encryption_set_name
          subscriptionId: secondary_subscription_id
      osImage:
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      type: Standard_D8s_v3
  replicas: 3
compute: 6
- hyperthreading: Enabled 7 8
  name: worker
  platform:
    azure:
      ultraSSDCapability: Enabled
      type: Standard_D2s_v3
      encryptionAtHost: true
      osDisk:
        diskSizeGB: 512 9
        diskType: Standard_LRS
        diskEncryptionSet:
          resourceGroup: disk_encryption_set_resource_group
          name: disk_encryption_set_name
          subscriptionId: secondary_subscription_id
      osImage:
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      zones: 10
      - "1"
      - "2"
      - "3"
  replicas: 5
metadata:
  name: test-cluster 11
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OVNKubernetes 12
  serviceNetwork:
  - 172.30.0.0/16
platform:
  azure:
    defaultMachinePlatform:
      osImage: 13
        publisher: example_publisher_name
        offer: example_image_offer
        sku: example_offer_sku
        version: example_image_version
      ultraSSDCapability: Enabled
    baseDomainResourceGroupName: resource_group 14
    region: usgovvirginia
    resourceGroupName: existing_resource_group 15
    networkResourceGroupName: vnet_resource_group 16
    virtualNetwork: vnet 17
    controlPlaneSubnet: control_plane_subnet 18
    computeSubnet: compute_subnet 19
    outboundType: UserDefinedRouting 20
    cloudName: AzureUSGovernmentCloud 21
pullSecret: '{"auths": ...}' 22
fips: false 23
sshKey: ssh-ed25519 AAAA... 24
publish: Internal 25
1 11 22
필수 항목입니다.
2 6
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
3 7
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
4 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우, 사용자 시스템에 더 큰 가상 머신 유형(예: Standard_D8s_v3)을 사용하십시오.

5 9
사용할 디스크 크기는 GB 단위로 지정할 수 있습니다. 컨트롤 플레인 노드의 최소 권장 크기는 1024GB입니다.
10
시스템을 배포할 영역 목록을 지정합니다. 고가용성을 위해 최소한 두 개의 영역을 지정하십시오.
12
설치할 클러스터 네트워크 플러그인입니다. 기본 값 OVNKubernetes 는 지원되는 유일한 값입니다.
13
선택사항: 컨트롤 플레인 및 컴퓨팅 머신을 부팅하는 데 사용해야 하는 사용자 지정 RHCOS(Red Hat Enterprise Linux CoreOS) 이미지입니다. platform.azure.defaultMachinePlatform.osImage게시자,skuversion 매개변수는 컨트롤 플레인과 컴퓨팅 머신에 모두 적용됩니다. controlPlane.platform.azure.osImage 또는 compute.platform.azure.osImage 아래의 매개변수가 설정된 경우 platform.azure.defaultMachinePlatform.osImage 매개변수를 재정의합니다.
14
기본 도메인의 DNS 영역을 포함하는 리소스 그룹의 이름을 지정합니다.
15
클러스터를 설치할 기존 리소스 그룹의 이름을 지정합니다. 정의되지 않은 경우 클러스터에 새 리소스 그룹이 생성됩니다.
16
기존 VNet을 사용하는 경우 이를 포함하는 리소스 그룹의 이름을 지정합니다.
17
기존 VNet을 사용하는 경우 해당 이름을 지정합니다.
18
기존 VNet을 사용하는 경우 컨트롤 플레인 시스템을 호스팅할 서브넷의 이름을 지정합니다.
19
기존 VNet을 사용하는 경우 컴퓨팅 시스템을 호스팅할 서브넷의 이름을 지정합니다.
20
사용자의 아웃 바운드 라우팅을 사용자 지정할 수 있습니다. 사용자 정의 라우팅을 구성하면 클러스터에서 외부 엔드 포인트가 노출되지 않습니다. 송신에 대한 사용자 정의 라우팅을 사용하려면 기존 VNet에 클러스터를 배포해야 합니다.
21
클러스터를 배포할 Azure 클라우드 환경의 이름을 지정합니다. MAG (Microsoft Azure Government) 리전에 배포하도록 AzureUSGovernmentCloud를 설정합니다. 기본값은 AzurePublicCloud 입니다.
23
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL(Red Hat Enterprise Linux) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환 을 참조하십시오.

FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.

24
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

25
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

3.8.4.6. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.
  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

프로세스

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다.

    apiVersion: v1
    baseDomain: my.domain.com
    proxy:
      httpProxy: http://<username>:<pswd>@<ip>:<port> 1
      httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
      noProxy: example.com 3
    additionalTrustBundle: | 4
        -----BEGIN CERTIFICATE-----
        <MY_TRUSTED_CA_CERT>
        -----END CERTIFICATE-----
    additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된 openshift-config 네임스페이스에 user-ca-bundle이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 이 구성 맵은 Proxy 오브젝트의 trustedCA 필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    5
    선택 사항: trustedCA 필드에서 user-ca-bundle 구성 맵을 참조할 프록시 오브젝트의 구성을 결정하는 정책입니다. 허용되는 값은 ProxyonlyAlways 입니다. http/https 프록시가 구성된 경우에만 user-ca-bundle 구성 맵을 참조하려면 Proxyonly 를 사용합니다. Always 를 사용하여 user-ca-bundle 구성 맵을 항상 참조합니다. 기본값은 Proxyonly 입니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

    참고

    설치 프로그램이 시간 초과되면 설치 프로그램의 wait-for 명령을 사용하여 배포를 다시 시작한 다음 완료합니다. 예를 들면 다음과 같습니다.

    $ ./openshift-install wait-for install-complete --log-level debug
  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

추가 리소스

3.8.5. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
  • Azure 서브스크립션 ID 및 테넌트 ID가 있습니다.
  • 서비스 주체를 사용하여 클러스터를 설치하는 경우 애플리케이션 ID와 암호가 있습니다.
  • 시스템 할당 관리 ID를 사용하여 클러스터를 설치하는 경우 에서 설치 프로그램을 실행할 가상 머신에서 활성화했습니다.
  • 사용자가 할당한 관리 ID를 사용하여 클러스터를 설치하는 경우 다음 사전 요구 사항을 충족했습니다.

    • 클라이언트 ID가 있습니다.
    • 설치 프로그램을 실행할 가상 머신에 할당되었습니다.

프로세스

  1. 선택 사항: 이전에 이 컴퓨터에서 설치 프로그램을 실행하고 대체 서비스 주체 또는 관리 ID를 사용하려면 ~/.azure/ 디렉터리로 이동하여 osServicePrincipal.json 구성 파일을 삭제합니다.

    이 파일을 삭제하면 설치 프로그램이 이전 설치에서 서브스크립션 및 인증 값을 자동으로 재사용하지 못합니다.

  2. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다.

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
        --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.

    설치 프로그램에서 이전 설치에서 osServicePrincipal.json 구성 파일을 찾을 수 없는 경우 Azure 서브스크립션 및 인증 값을 입력하라는 메시지가 표시됩니다.

  3. 서브스크립션에 대해 다음 Azure 매개변수 값을 입력합니다.

    • Azure 서브스크립션 ID: 클러스터에 사용할 서브스크립션 ID를 입력합니다.
    • Azure 테넌트 ID: 테넌트 ID를 입력합니다.
  4. 클러스터를 배포하기 위해 사용 중인 Azure ID에 따라 azure 서비스 주체 클라이언트 ID를 입력하라는 메시지가 표시되면 다음 중 하나를 수행하십시오.

    • 서비스 주체를 사용하는 경우 해당 애플리케이션 ID를 입력합니다.
    • 시스템이 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.
    • 사용자가 할당한 관리 ID를 사용하는 경우 클라이언트 ID를 지정합니다.
  5. 클러스터를 배포하기 위해 사용 중인 Azure ID에 따라 azure 서비스 주체 클라이언트 시크릿 을 입력하라는 메시지가 표시되면 다음 중 하나를 수행하십시오.

    • 서비스 주체를 사용하는 경우 암호를 입력합니다.
    • 시스템이 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.
    • 사용자가 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.

이전에 감지되지 않은 경우 설치 프로그램은 osServicePrincipal.json 구성 파일을 생성하고 이 파일을 컴퓨터의 ~/.azure/ 디렉터리에 저장합니다. 이렇게 하면 설치 프로그램에서 대상 플랫폼에서 OpenShift Container Platform 클러스터를 생성할 때 프로필을 로드할 수 있습니다.

검증

클러스터 배포가 성공적으로 완료되면 다음을 수행합니다.

  • 터미널에는 웹 콘솔에 대한 링크 및 kubeadmin 사용자의 인증 정보를 포함하여 클러스터에 액세스하는 지침이 표시됩니다.
  • 인증 정보도 < installation_directory>/.openshift_install.log 로 출력합니다.
중요

설치 프로그램 또는 설치 프로그램이 생성하는 파일을 삭제하지 마십시오. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

출력 예

...
INFO Install complete!
INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
INFO Login to the console with user: "kubeadmin", and password: "password"
INFO Time elapsed: 36m22s

중요
  • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오.
  • 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.

3.8.6. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다.

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다.

    $ oc whoami

    출력 예

    system:admin

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔 액세스를 참조하십시오.

3.8.7. 다음 단계

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.