3.8. 자세한 내용은 정부 리전에 Azure의 클러스터 설치를 참조하십시오.
OpenShift Container Platform 버전 4.17에서는 Microsoft Azure의 클러스터를 정부 리전에 설치할 수 있습니다. 정부 리전을 설정하려면 클러스터를 설치하기 전에 install-config.yaml
파일에서 매개변수를 수정합니다.
3.8.1. 지원되는 Azure 정부 리전
OpenShift Container Platform은 Microsoft Azure Government (MAG) 지역에 클러스터 배포를 지원합니다. MAG는 연방, 주, 지역 수준의 미국 정부 기관은 물론 Azure에서 중요한 워크로드를 실행해야 하는 미국 정부 기관, 계약자, 교육 기관 및 기타 미국 고객을 위해 설계되었습니다. MAG는 정부 전용 데이터 센터 리전으로 구성되며 모두 영향 레벨 5 임시 승인이 부여됩니다.
MAG 리전에 설치하려면 install-config.yaml
파일에서 Azure Government 전용 클라우드 인스턴스 및 리전을 수동으로 구성해야 합니다. 또한 적절한 정부 환경을 참조하도록 서비스 주체를 업데이트해야 합니다.
설치 프로그램의 터미널 프롬프트를 사용하여 Azure 정부 리전을 선택할 수 없습니다. install-config.yaml
파일에서 리전을 수동으로 정의해야 합니다. 지정된 리전에 따라 AzureUSGovernmentCloud
와 같은 전용 클라우드 인스턴스도 설정해야 합니다.
3.8.2. 프라이빗 클러스터
외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.
기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.
클러스터에 퍼블릭 서브넷이 있는 경우 관리자가 생성한 로드 밸런서 서비스에 공개적으로 액세스할 수 있습니다. 클러스터 보안을 위해 이러한 서비스에 개인용으로 명시적으로 주석이 추가되었는지 확인합니다.
프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.
- 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.
다음에 액세스할 수 있는 머신에서 배포합니다.
- 프로비저닝하는 클라우드용 API 서비스
- 프로비저닝하는 네트워크의 호스트
- 설치 미디어를 가져올 인터넷
이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.
3.8.2.1. Azure의 프라이빗 클러스터
Microsoft Azure에서 개인 클러스터를 만들려면 클러스터를 호스팅할 기존 개인 VNet 및 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 내부 트래픽용 Ingress Operator 및 API 서버를 구성합니다.
네트워크가 개인 VNET에 연결하는 방법에 따라 클러스터의 프라이빗 DNS 레코드를 확인하기 위해 DNS 전달자를 사용해야 할 수도 있습니다. 클러스터의 시스템은 DNS 확인을 위해 내부적으로 168.63.129.16
을 사용합니다. 자세한 내용은 Azure 문서의 Azure 프라이빗 DNS란 무엇인가와 IP 주소 168.63.129.16은 무엇인가?를 참조하십시오.
클러스터가 Azure API에 액세스하려면 여전히 인터넷 접속이 필요합니다.
다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.
-
BaseDomainResourceGroup
(클러스터가 공개 레코드를 생성하지 않으므로) - 공용 IP 주소
- 공용 DNS 레코드
공용 끝점
The cluster is configured so that the Operators do not create public records for the cluster and all cluster machines are placed in the private subnets that you specify.
3.8.2.1.1. 제한
Azure의 프라이빗 클러스터에는 기존 VNet 사용과 관련된 제한 사항만 적용됩니다.
3.8.2.2. 사용자 정의 아웃 바운드 라우팅
OpenShift Container Platform에서 실행되는 클러스터의 아웃 바운드 라우팅을 선택하고 인터넷에 연결할 수 있습니다. 이를 통해 공용 IP 주소 및 공용 로드 밸런서의 생성을 생략할 수 있습니다.
클러스터를 설치하기 전에 install-config.yaml
파일에서 매개 변수를 수정하여 사용자 정의 라우팅을 구성할 수 있습니다. 클러스터를 설치할 때 아웃 바운드 라우팅을 사용하려면 기존 VNet이 필요합니다. 설치 프로그램은 이를 설정하지 않습니다.
사용자 정의 라우팅을 사용하도록 클러스터를 구성할 때 설치 프로그램은 다음 리소스를 생성하지 않습니다.
- 인터넷 액세스를 위한 아웃 바운드 규칙
- 공용 로드 밸런서의 공용 IP
- 아웃 바운드 요청을 위해 공용로드 밸런서에 클러스터 머신을 추가하기위한 Kubernetes 서비스 객체
사용자 정의 라우팅을 설정하기 전에 다음 항목을 사용할 수 있는지 확인해야 합니다.
- OpenShift 이미지 레지스트리 미러를 사용하지 않는 한 인터넷으로의 송신은 컨테이너 이미지를 가져올 수 있습니다.
- 클러스터는 Azure API에 액세스할 수 있습니다.
- 다양한 허용 목록 엔드 포인트가 설정됩니다. 방화벽 설정 섹션에서 이러한 엔드 포인트를 참조할 수 있습니다.
사용자 정의 라우팅을 사용하여 인터넷 액세스에 지원되는 기존의 몇 가지 네트워킹 설정이 있습니다.
3.8.3. OpenShift Container Platform 클러스터에서 VNet의 재사용 정보
OpenShift Container Platform 4.17에서는 Microsoft Azure의 기존 Azure Virtual Network(VNet)에 클러스터를 배포할 수 있습니다. 이때 VNet 및 라우팅 규칙 내의 기존 서브넷도 사용해야 합니다.
기존 Azure VNet에 OpenShift Container Platform을 배포하면 새 계정의 서비스 한도 제한을 회피하거나 회사의 지침에 따른 운영 제한을 따르기 수월해집니다. 이 방법은 VNet을 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없을 때 사용하기 좋은 대안입니다.
3.8.3.1. VNet 사용 요구사항
기존 VNet을 사용하여 클러스터를 배포하는 경우 클러스터를 설치하기 전에 추가 네트워크 구성을 수행해야 합니다. 설치 관리자 프로비저닝 인프라 클러스터에서, 설치 관리자는 일반적으로 다음 구성 요소를 생성하지만 기존 VNet에 설치할 때는 생성하지 않습니다.
- 서브넷
- 라우팅 테이블
- VNet
- 네트워크 보안 그룹
설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 설치가 실패합니다.
사용자 지정 VNet을 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VNet과 해당 서브넷을 구성해야 합니다. 설치 프로그램에서 사용할 클러스터의 네트워크 범위를 세분하거나 서브넷에 대한 라우팅 테이블을 설정하거나 DHCP와 같은 VNet 옵션을 설정할 수 없으므로 클러스터를 설치하기 전에 직접 해당 작업을 수행해야 합니다.
클러스터는 기존 VNet과 서브넷이 포함된 리소스 그룹에 액세스할 수 있어야 합니다. 클러스터가 생성하는 모든 리소스는 생성된 별도의 리소스 그룹에 배치되지만 일부 네트워크 리소스는 별도의 그룹으로부터 사용됩니다. 일부 클러스터 Operator는 두 리소스 그룹 모두의 리소스에 액세스할 수 있어야 합니다. 예를 들어 Machine API 컨트롤러는 생성하는 가상 머신에 대한 NICS를 네트워킹 리소스 그룹의 서브넷에 연결합니다.
VNet은 다음 특성을 충족해야 합니다.
-
VNet의 CIDR 블록에는 클러스터 시스템의 IP 주소 풀인
Networking.MachineCIDR
범위가 포함되어야 합니다. - VNet과 해당 서브넷은 동일한 리소스 그룹에 속해야 하며 서브넷은 고정 IP 주소 대신 Azure 할당 DHCP IP 주소를 사용하도록 구성해야 합니다.
VNet 내에 두 서브넷을 제공해야 합니다. 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다. Azure는 지정한 리전 내의 다른 가용성 영역에 시스템을 배포하므로 클러스터는 기본적으로 고가용성을 갖습니다.
기본적으로 install-config.yaml
파일에서 가용성 영역을 지정하면 설치 프로그램에서 컨트롤 플레인 시스템과 컴퓨팅 시스템을 리전 내의 이러한 가용성 영역에 배포합니다. 클러스터의 고가용성을 보장하기 위해서는 가용성 영역이 세 개 이상인 리전을 선택하십시오. 각 리전에 가용성 영역이 세 개 미만인 경우에는 설치 프로그램이 사용 가능한 영역에 둘 이상의 컨트롤 플레인 시스템을 배치합니다.
제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.
- 지정된 모든 서브넷이 있습니다.
- 두 개의 프라이빗 서브넷, 하나는 컨트롤 플레인 시스템용이고 다른 하나는 컴퓨팅 시스템용입니다.
- 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다. 필요한 경우, 설치 프로그램은 컨트롤 플레인과 작업자 노드를 관리하는 공용 로드 밸런서를 만들고 Azure는 여기에 공용 IP 주소를 할당합니다.
기존 VNet을 사용하는 클러스터를 제거해도 VNet은 삭제되지 않습니다.
3.8.3.1.1. 네트워크 보안 그룹 요구사항
컴퓨팅과 컨트롤 플레인 시스템을 호스팅하는 서브넷에 대한 네트워크 보안 그룹은 클러스터 통신이 올바른지 확인하기 위해 특정 액세스 권한이 필요합니다. 필요한 클러스터 통신 포트에 대한 액세스를 허용하는 규칙을 만들어야 합니다.
클러스터를 설치하기 전에 네트워크 보안 그룹 규칙을 마련해야 합니다. 필요한 액세스 권한 없이 클러스터를 설치하려고 하면 설치 프로그램이 Azure API에 연결할 수 없으며 설치가 실패합니다.
포트 | 설명 | 컨트롤 플레인 | 컴퓨팅 |
---|---|---|---|
| HTTP 트래픽 허용 | x | |
| HTTPS 트래픽 허용 | x | |
| 컨트롤 플레인 시스템과의 통신을 허용합니다. | x | |
| 머신 프로비저닝을 위해 머신 구성 서버와의 내부 통신 허용 | x |
- Azure 방화벽을 사용하여 인터넷 액세스를 제한하는 경우 Azure API를 허용하도록 Azure 방화벽을 구성할 수 있습니다. 네트워크 보안 그룹 규칙이 필요하지 않습니다. 자세한 내용은 "추가 리소스"의 " 방화벽 구성"을 참조하십시오.
현재 머신 구성 서버 끝점을 차단하거나 제한하는 방법이 지원되지 않습니다. 기존 구성 또는 상태가 없는 새로 프로비저닝된 머신이 구성을 가져올 수 있도록 머신 구성 서버를 네트워크에 노출해야 합니다. 이 모델에서 trust의 루트는 CSR(인증서 서명 요청) 끝점입니다. 여기서 kubelet은 클러스터에 참여하도록 승인에 대한 인증서 서명 요청을 보냅니다. 이로 인해 시크릿 및 인증서와 같은 중요한 정보를 배포하는 데 머신 구성을 사용해서는 안 됩니다.
머신 구성 서버 엔드포인트, 포트 22623 및 22624가 베어 메탈 시나리오에서 보호되도록 고객은 적절한 네트워크 정책을 구성해야 합니다.
클러스터 구성 요소는 Kubernetes 컨트롤러가 업데이트하는 사용자 제공 네트워크 보안 그룹을 수정하지 않으므로 나머지 환경에 영향을 주지 않고 Kubernetes 컨트롤러에 대한 의사 네트워크 보안 그룹이 생성됩니다.
프로토콜 | 포트 | 설명 |
---|---|---|
ICMP | 해당 없음 | 네트워크 연결성 테스트 |
TCP |
| 메트릭 |
|
| |
| Kubernetes에서 예약하는 기본 포트 | |
UDP |
| VXLAN |
| Geneve | |
|
| |
| IPsec IKE 패킷 | |
| IPsec NAT-T 패킷 | |
|
UDP 포트
외부 NTP 시간 서버를 구성하는 경우 UDP 포트 | |
TCP/UDP |
| Kubernetes 노드 포트 |
ESP | 해당 없음 | IPsec Encapsulating Security Payload (ESP) |
프로토콜 | 포트 | 설명 |
---|---|---|
TCP |
| etcd 서버 및 피어 포트 |
3.8.3.2. 권한 분할
OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이러한 변경은 회사에서 보유할 수 있는 권한 분할을 모방합니다. 즉, 몇몇 사람이 다른 사람들과 다른 리소스를 클라우드에 생성할 수 있습니다. 예를 들어 인스턴스, 스토리지, 로드 밸런서와 같은 애플리케이션 관련 항목을 생성할 수는 있지만 VNet, 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성할 수 없습니다.
클러스터를 생성할 때 사용하는 Azure 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VNet 내 핵심 네트워킹 구성 요소와 VNet을 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 로드 밸런서, 보안 그룹, 스토리지 계정 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.
3.8.3.3. 클러스터 간 격리
클러스터는 기존 서브넷의 네트워크 보안 그룹을 수정할 수 없기 때문에 VNet에서 클러스터를 서로 격리할 방법이 없습니다.
3.8.4. 수동으로 설치 구성 파일 생성
클러스터를 설치하려면 설치 구성 파일을 수동으로 생성해야 합니다.
사전 요구 사항
- 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
- OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
프로세스
필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다.
$ mkdir <installation_directory>
중요디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.
샘플
install-config.yaml
파일 템플릿을 사용자 지정하여<installation_directory>
에 저장합니다.참고이 설정 파일의 이름을
install-config.yaml
로 지정해야 합니다.여러 클러스터를 설치하는 데 사용할 수 있도록
install-config.yaml
파일을 백업합니다.중요install-config.yaml
파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.
추가 리소스
3.8.4.1. 클러스터 설치를 위한 최소 리소스 요구 사항
각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.
머신 | 운영 체제 | vCPU [1] | 가상 RAM | 스토리지 | 초당 입력/출력(IOPS)[2] |
---|---|---|---|---|---|
부트스트랩 | RHCOS | 4 | 16GB | 100GB | 300 |
컨트롤 플레인 | RHCOS | 4 | 16GB | 100GB | 300 |
Compute | RHCOS, RHEL 8.6 이상 [3] | 2 | 8GB | 100GB | 300 |
- SMT(동시 멀티 스레딩) 또는 Hyper-Threading이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
- OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
- 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
OpenShift Container Platform 버전 4.13부터 RHCOS는 RHEL 버전 9.2를 기반으로 하며 마이크로 아키텍처 요구 사항을 업데이트합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령 세트 아키텍처(ISA)가 포함되어 있습니다.
- x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
- ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
- IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
- s390x 아키텍처에는 z14 ISA가 필요합니다.
자세한 내용은 RHEL 아키텍처를 참조하십시오.
premiumIO
매개변수가 true
로 설정된 Azure 가상 머신을 사용해야 합니다.
플랫폼의 인스턴스 유형이 클러스터 머신의 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.
추가 리소스
3.8.4.2. Azure에 대해 테스트된 인스턴스 유형
다음 Microsoft Azure 인스턴스 유형은 OpenShift Container Platform에서 테스트되었습니다.
예 3.16. 64비트 x86 아키텍처를 기반으로 하는 머신 유형
-
standardBasv2Family
-
standardBSFamily
-
standardBsv2Family
-
standardDADSv5Family
-
standardDASv4Family
-
standardDASv5Family
-
standardDCACCV5Family
-
standardDCADCCV5Family
-
standardDCADSv5Family
-
standardDCASv5Family
-
standardDCSv3Family
-
standardDCSv2Family
-
standardDDCSv3Family
-
standardDDSv4Family
-
standardDDSv5Family
-
standardDLDSv5Family
-
standardDLSv5Family
-
standardDSFamily
-
standardDSv2Family
-
standardDSv2PromoFamily
-
standardDSv3Family
-
standardDSv4Family
-
standardDSv5Family
-
standardEADSv5Family
-
standardEASv4Family
-
standardEASv5Family
-
standardEBDSv5Family
-
standardEBSv5Family
-
standardECACCV5Family
-
standardECADCCV5Family
-
standardECADSv5Family
-
standardECASv5Family
-
standardEDSv4Family
-
standardEDSv5Family
-
standardEIADSv5Family
-
standardEIASv4Family
-
standardEIASv5Family
-
standardEIBDSv5Family
-
standardEIBSv5Family
-
standardEIDSv5Family
-
standardEISv3Family
-
standardEISv5Family
-
standardESv3Family
-
standardESv4Family
-
standardESv5Family
-
standardFXMDVSFamily
-
standardFSFamily
-
standardFSv2Family
-
standardGSFamily
-
standardHBrsv2Family
-
standardHBSFamily
-
standardHBv4Family
-
standardHCSFamily
-
standardHXFamily
-
standardLASv3Family
-
standardLSFamily
-
standardLSv2Family
-
standardLSv3Family
-
standardMDSHighMemoryv3Family
-
standardMDSMediumMemoryv2Family
-
standardMDSMediumMemoryv3Family
-
standardMIDSHighMemoryv3Family
-
standardMIDSMediumMemoryv2Family
-
standardMISHighMemoryv3Family
-
standardMISMediumMemoryv2Family
-
standardMSFamily
-
standardMSHighMemoryv3Family
-
standardMSMediumMemoryv2Family
-
standardMSMediumMemoryv3Family
-
StandardNCADSA100v4Family
-
표준 CryostatASv3_T4 제품군
-
standardNCSv3Family
-
standardNDSv2Family
-
StandardNGADSV620v1Family
-
standardNPSFamily
-
StandardNVADSA10v5Family
-
standardNVSv3Family
-
standardXEISv4Family
3.8.4.3. Azure VM에 대한 신뢰할 수 있는 시작 활성화
Azure에 클러스터를 설치할 때 신뢰할 수 있는 두 가지 실행 기능( 보안 부팅 및 가상화된 신뢰할 수 있는 플랫폼 모듈 )을 활성화할 수 있습니다.
신뢰할 수 있는 시작 기능을 지원하는 가상 머신 크기에 대한 자세한 내용은 가상 머신 크기를 참조하십시오.
신뢰할 수 있는 시작은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
사전 요구 사항
-
install-config.yaml
파일을 생성했습니다.
프로세스
클러스터를 배포하기 전에
install-config.yaml
파일을 편집합니다.다음 스탠자를 추가하여 컨트롤 플레인에서만 신뢰할 수 있는 시작을 활성화합니다.
controlPlane: platform: azure: settings: securityType: TrustedLaunch trustedLaunch: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled
다음 스탠자를 추가하여 컴퓨팅 노드에서 신뢰할 수 있는 시작만 활성화합니다.
compute: platform: azure: settings: securityType: TrustedLaunch trustedLaunch: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled
다음 스탠자를 추가하여 모든 노드에서 신뢰할 수 있는 시작을 활성화합니다.
platform: azure: settings: securityType: TrustedLaunch trustedLaunch: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled
3.8.4.4. 기밀 VM 활성화
클러스터를 설치할 때 기밀 VM을 활성화할 수 있습니다. 컴퓨팅 노드, 컨트롤 플레인 노드 또는 모든 노드에 대해 기밀 VM을 활성화할 수 있습니다.
기밀 VM 사용은 기술 프리뷰 기능 전용입니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
다음과 같은 VM 크기로 기밀 VM을 사용할 수 있습니다.
- DCasv5-series
- DCadsv5-series
- ECasv5-series
- ECadsv5-series
현재 기밀 VM은 64비트 ARM 아키텍처에서 지원되지 않습니다.
사전 요구 사항
-
install-config.yaml
파일을 생성했습니다.
프로세스
클러스터를 배포하기 전에
install-config.yaml
파일을 편집합니다.다음 스탠자를 추가하여 컨트롤 플레인에서만 기밀 VM을 활성화합니다.
controlPlane: platform: azure: settings: securityType: ConfidentialVM confidentialVM: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled osDisk: securityProfile: securityEncryptionType: VMGuestStateOnly
다음 스탠자를 추가하여 컴퓨팅 노드에서만 기밀 VM을 활성화합니다.
compute: platform: azure: settings: securityType: ConfidentialVM confidentialVM: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled osDisk: securityProfile: securityEncryptionType: VMGuestStateOnly
다음 스탠자를 추가하여 모든 노드에서 기밀 VM을 활성화합니다.
platform: azure: settings: securityType: ConfidentialVM confidentialVM: uefiSettings: secureBoot: Enabled virtualizedTrustedPlatformModule: Enabled osDisk: securityProfile: securityEncryptionType: VMGuestStateOnly
3.8.4.5. Azure용 샘플 사용자 지정 install-config.yaml 파일
install-config.yaml
파일을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.
이 샘플 YAML 파일은 참조용으로만 제공됩니다. 설치 프로그램을 사용하여 install-config.yaml
파일을 받아서 수정해야 합니다.
apiVersion: v1 baseDomain: example.com 1 controlPlane: 2 hyperthreading: Enabled 3 4 name: master platform: azure: encryptionAtHost: true ultraSSDCapability: Enabled osDisk: diskSizeGB: 1024 5 diskType: Premium_LRS diskEncryptionSet: resourceGroup: disk_encryption_set_resource_group name: disk_encryption_set_name subscriptionId: secondary_subscription_id osImage: publisher: example_publisher_name offer: example_image_offer sku: example_offer_sku version: example_image_version type: Standard_D8s_v3 replicas: 3 compute: 6 - hyperthreading: Enabled 7 8 name: worker platform: azure: ultraSSDCapability: Enabled type: Standard_D2s_v3 encryptionAtHost: true osDisk: diskSizeGB: 512 9 diskType: Standard_LRS diskEncryptionSet: resourceGroup: disk_encryption_set_resource_group name: disk_encryption_set_name subscriptionId: secondary_subscription_id osImage: publisher: example_publisher_name offer: example_image_offer sku: example_offer_sku version: example_image_version zones: 10 - "1" - "2" - "3" replicas: 5 metadata: name: test-cluster 11 networking: clusterNetwork: - cidr: 10.128.0.0/14 hostPrefix: 23 machineNetwork: - cidr: 10.0.0.0/16 networkType: OVNKubernetes 12 serviceNetwork: - 172.30.0.0/16 platform: azure: defaultMachinePlatform: osImage: 13 publisher: example_publisher_name offer: example_image_offer sku: example_offer_sku version: example_image_version ultraSSDCapability: Enabled baseDomainResourceGroupName: resource_group 14 region: usgovvirginia resourceGroupName: existing_resource_group 15 networkResourceGroupName: vnet_resource_group 16 virtualNetwork: vnet 17 controlPlaneSubnet: control_plane_subnet 18 computeSubnet: compute_subnet 19 outboundType: UserDefinedRouting 20 cloudName: AzureUSGovernmentCloud 21 pullSecret: '{"auths": ...}' 22 fips: false 23 sshKey: ssh-ed25519 AAAA... 24 publish: Internal 25
- 1 11 22
- 필수 항목입니다.
- 2 6
- 이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
- 3 7
controlPlane
섹션은 단일 매핑이지만compute
섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록compute
섹션의 첫 번째 줄은 하이픈(-
)으로 시작해야 하며controlPlane
섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.- 4 8
- 동시 멀티스레딩 또는
hyperthreading
활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을Disabled
로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.중요동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우, 사용자 시스템에 더 큰 가상 머신 유형(예:
Standard_D8s_v3
)을 사용하십시오. - 5 9
- 사용할 디스크 크기는 GB 단위로 지정할 수 있습니다. 컨트롤 플레인 노드의 최소 권장 크기는 1024GB입니다.
- 10
- 시스템을 배포할 영역 목록을 지정합니다. 고가용성을 위해 최소한 두 개의 영역을 지정하십시오.
- 12
- 설치할 클러스터 네트워크 플러그인입니다. 기본 값
OVNKubernetes
는 지원되는 유일한 값입니다. - 13
- 선택사항: 컨트롤 플레인 및 컴퓨팅 머신을 부팅하는 데 사용해야 하는 사용자 지정 RHCOS(Red Hat Enterprise Linux CoreOS) 이미지입니다.
platform.azure.defaultMachinePlatform.osImage
의게시자
,sku
및version
매개변수는 컨트롤 플레인과 컴퓨팅 머신에 모두 적용됩니다.controlPlane.platform.azure.osImage
또는compute.platform.azure.osImage
아래의 매개변수가 설정된 경우platform.azure.defaultMachinePlatform.osImage
매개변수를 재정의합니다. - 14
- 기본 도메인의 DNS 영역을 포함하는 리소스 그룹의 이름을 지정합니다.
- 15
- 클러스터를 설치할 기존 리소스 그룹의 이름을 지정합니다. 정의되지 않은 경우 클러스터에 새 리소스 그룹이 생성됩니다.
- 16
- 기존 VNet을 사용하는 경우 이를 포함하는 리소스 그룹의 이름을 지정합니다.
- 17
- 기존 VNet을 사용하는 경우 해당 이름을 지정합니다.
- 18
- 기존 VNet을 사용하는 경우 컨트롤 플레인 시스템을 호스팅할 서브넷의 이름을 지정합니다.
- 19
- 기존 VNet을 사용하는 경우 컴퓨팅 시스템을 호스팅할 서브넷의 이름을 지정합니다.
- 20
- 사용자의 아웃 바운드 라우팅을 사용자 지정할 수 있습니다. 사용자 정의 라우팅을 구성하면 클러스터에서 외부 엔드 포인트가 노출되지 않습니다. 송신에 대한 사용자 정의 라우팅을 사용하려면 기존 VNet에 클러스터를 배포해야 합니다.
- 21
- 클러스터를 배포할 Azure 클라우드 환경의 이름을 지정합니다. MAG (Microsoft Azure Government) 리전에 배포하도록
AzureUSGovernmentCloud
를 설정합니다. 기본값은AzurePublicCloud
입니다. - 23
- FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.중요
클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL(Red Hat Enterprise Linux) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환 을 참조하십시오.
FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
- 24
- 선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할
sshKey
값을 제공할 수도 있습니다.참고설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우
ssh-agent
프로세스가 사용하는 SSH 키를 지정합니다. - 25
- 클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면
publish
를Internal
로 설정합니다. 기본값은External
입니다.
3.8.4.6. 설치 중 클러스터 단위 프록시 구성
프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml
파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.
사전 요구 사항
-
기존
install-config.yaml
파일이 있습니다. 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해
Proxy
오브젝트의spec.noProxy
필드에 사이트를 추가했습니다.참고Proxy
오브젝트의status.noProxy
필드는 설치 구성에 있는networking.machineNetwork[].cidr
,networking.clusterNetwork[].cidr
,networking.serviceNetwork[]
필드의 값으로 채워집니다.Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우
Proxy
오브젝트status.noProxy
필드도 인스턴스 메타데이터 끝점(169.254.169.254
)로 채워집니다.
프로세스
install-config.yaml
파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다.apiVersion: v1 baseDomain: my.domain.com proxy: httpProxy: http://<username>:<pswd>@<ip>:<port> 1 httpsProxy: https://<username>:<pswd>@<ip>:<port> 2 noProxy: example.com 3 additionalTrustBundle: | 4 -----BEGIN CERTIFICATE----- <MY_TRUSTED_CA_CERT> -----END CERTIFICATE----- additionalTrustBundlePolicy: <policy_to_add_additionalTrustBundle> 5
- 1
- 클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는
http
여야 합니다. - 2
- 클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
- 3
- 대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에
.
을 입력합니다. 예를 들어,.y.com
은x.y.com
과 일치하지만y.com
은 일치하지 않습니다.*
를 사용하여 모든 대상에 대해 프록시를 바이패스합니다. - 4
- 이 값을 제공하면 설치 프로그램에서 HTTPS 연결을 프록시하는 데 필요한 추가 CA 인증서가 하나 이상 포함된
openshift-config
네임스페이스에user-ca-bundle
이라는 이름으로 구성 맵을 생성합니다. 그러면 CNO(Cluster Network Operator)에서 이러한 콘텐츠를 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들과 병합하는trusted-ca-bundle
구성 맵을 생성합니다. 이 구성 맵은Proxy
오브젝트의trustedCA
필드에서 참조됩니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우additionalTrustBundle
필드가 있어야 합니다. - 5
- 선택 사항:
trustedCA
필드에서user-ca-bundle
구성 맵을 참조할프록시
오브젝트의 구성을 결정하는 정책입니다. 허용되는 값은Proxyonly
및Always
입니다.http/https
프록시가 구성된 경우에만user-ca-bundle
구성 맵을 참조하려면Proxyonly
를 사용합니다.Always
를 사용하여user-ca-bundle
구성 맵을 항상 참조합니다. 기본값은Proxyonly
입니다.
참고설치 프로그램에서 프록시
adinessEndpoints
필드를 지원하지 않습니다.참고설치 프로그램이 시간 초과되면 설치 프로그램의
wait-for
명령을 사용하여 배포를 다시 시작한 다음 완료합니다. 예를 들면 다음과 같습니다.$ ./openshift-install wait-for install-complete --log-level debug
- 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.
제공되는 install-config.yaml
파일의 프록시 설정을 사용하는 cluster
라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster
Proxy
오브젝트는 계속 생성되지만 spec
은 nil이 됩니다.
cluster
라는 Proxy
오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.
추가 리소스
- 가속 네트워킹에 대한 자세한 내용은 Microsoft Azure VM용 가속 네트워킹을 참조하십시오.
3.8.5. 클러스터 배포
호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.
최초 설치 과정에서 설치 프로그램의 create cluster
명령을 한 번만 실행할 수 있습니다.
사전 요구 사항
- 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성했습니다.
- OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.
- Azure 서브스크립션 ID 및 테넌트 ID가 있습니다.
- 서비스 주체를 사용하여 클러스터를 설치하는 경우 애플리케이션 ID와 암호가 있습니다.
- 시스템 할당 관리 ID를 사용하여 클러스터를 설치하는 경우 에서 설치 프로그램을 실행할 가상 머신에서 활성화했습니다.
사용자가 할당한 관리 ID를 사용하여 클러스터를 설치하는 경우 다음 사전 요구 사항을 충족했습니다.
- 클라이언트 ID가 있습니다.
- 설치 프로그램을 실행할 가상 머신에 할당되었습니다.
프로세스
선택 사항: 이전에 이 컴퓨터에서 설치 프로그램을 실행하고 대체 서비스 주체 또는 관리 ID를 사용하려면
~/.azure/
디렉터리로 이동하여osServicePrincipal.json
구성 파일을 삭제합니다.이 파일을 삭제하면 설치 프로그램이 이전 설치에서 서브스크립션 및 인증 값을 자동으로 재사용하지 못합니다.
설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다.
$ ./openshift-install create cluster --dir <installation_directory> \ 1 --log-level=info 2
설치 프로그램에서 이전 설치에서
osServicePrincipal.json
구성 파일을 찾을 수 없는 경우 Azure 서브스크립션 및 인증 값을 입력하라는 메시지가 표시됩니다.서브스크립션에 대해 다음 Azure 매개변수 값을 입력합니다.
- Azure 서브스크립션 ID: 클러스터에 사용할 서브스크립션 ID를 입력합니다.
- Azure 테넌트 ID: 테넌트 ID를 입력합니다.
클러스터를 배포하기 위해 사용 중인 Azure ID에 따라 azure 서비스 주체 클라이언트 ID를 입력하라는 메시지가 표시되면 다음 중 하나를 수행하십시오.
- 서비스 주체를 사용하는 경우 해당 애플리케이션 ID를 입력합니다.
- 시스템이 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.
- 사용자가 할당한 관리 ID를 사용하는 경우 클라이언트 ID를 지정합니다.
클러스터를 배포하기 위해 사용 중인 Azure ID에 따라 azure 서비스 주체 클라이언트 시크릿 을 입력하라는 메시지가 표시되면 다음 중 하나를 수행하십시오.
- 서비스 주체를 사용하는 경우 암호를 입력합니다.
- 시스템이 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.
- 사용자가 할당한 관리 ID를 사용하는 경우 이 값을 비워 둡니다.
이전에 감지되지 않은 경우 설치 프로그램은 osServicePrincipal.json
구성 파일을 생성하고 이 파일을 컴퓨터의 ~/.azure/
디렉터리에 저장합니다. 이렇게 하면 설치 프로그램에서 대상 플랫폼에서 OpenShift Container Platform 클러스터를 생성할 때 프로필을 로드할 수 있습니다.
검증
클러스터 배포가 성공적으로 완료되면 다음을 수행합니다.
-
터미널에는 웹 콘솔에 대한 링크 및
kubeadmin
사용자의 인증 정보를 포함하여 클러스터에 액세스하는 지침이 표시됩니다. -
인증 정보도 <
installation_directory>/.openshift_install.log
로 출력합니다.
설치 프로그램 또는 설치 프로그램이 생성하는 파일을 삭제하지 마십시오. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.
출력 예
... INFO Install complete! INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig' INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com INFO Login to the console with user: "kubeadmin", and password: "password" INFO Time elapsed: 36m22s
-
설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인
node-bootstrapper
인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 만료된 컨트롤 플레인 인증서에서 복구 문서를 참조하십시오. - 24 시간 인증서는 클러스터를 설치한 후 16시간에서 22시간으로 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
3.8.6. CLI를 사용하여 클러스터에 로그인
클러스터 kubeconfig
파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig
파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.
사전 요구 사항
- OpenShift Container Platform 클러스터를 배포했습니다.
-
oc
CLI를 설치했습니다.
프로세스
kubeadmin
인증 정보를 내보냅니다.$ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
- 1
<installation_directory>
는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
내보낸 구성을 사용하여
oc
명령을 성공적으로 실행할 수 있는지 확인합니다.$ oc whoami
출력 예
system:admin
추가 리소스
- OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔 액세스를 참조하십시오.
3.8.7. 다음 단계
- 클러스터를 사용자 지정합니다.
- 필요한 경우 원격 상태 보고를 옵트아웃 할 수 있습니다.