Red Hat Summit12.4. GCP 프로젝트 구성
OpenShift Container Platform을 설치하려면 먼저 호스팅할 GCP(Google Cloud Platform) 프로젝트를 구성해야 합니다.
12.4.1. GCP 프로젝트 생성
OpenShift Container Platform을 설치하려면 클러스터를 호스팅할 GCP(Google Cloud Platform) 계정에 프로젝트를 생성해야 합니다.
프로세스
OpenShift Container Platform 클러스터를 호스팅할 프로젝트를 생성합니다. GCP 문서의 프로젝트 생성 및 관리 단원을 참조하십시오.
중요설치 관리자 프로비저닝 인프라를 사용하는 경우 GCP 프로젝트는 Premium Network Service Tier를 사용해야 합니다. 설치 프로그램을 사용하여 설치된 클러스터의 Standard Network Service Tier는 지원되지 않습니다. 설치 프로그램은
api-int.<cluster_name>.<base_domain>URL에 대한 내부 로드 밸런싱을 구성합니다.
12.4.2. GCP에서 API 서비스 활성화
GCP(Google Cloud Platform) 프로젝트에서 OpenShift Container Platform 설치를 완료하려면 여러 API 서비스에 액세스해야 합니다.
사전 요구 사항
- 클러스터를 호스팅할 프로젝트 생성을 완료했습니다.
프로세스
클러스터를 호스팅하는 프로젝트에서 다음과 같은 필수 API 서비스를 활성화합니다. 설치에 필요하지 않은 선택적 API 서비스를 활성화할 수도 있습니다. GCP 문서의 서비스 활성화 단원을 참조하십시오.
표 12.1. 필수 API 서비스 API 서비스 콘솔 서비스 이름 컴퓨팅 엔진 API
compute.googleapis.com클라우드 리소스 관리자 API
cloudresourcemanager.googleapis.comGoogle DNS API
dns.googleapis.comIAM 서비스 계정 자격 증명 API
iamcredentials.googleapis.comIAM(ID 및 액세스 관리) API
iam.googleapis.com서비스 사용량 API
serviceusage.googleapis.com표 12.2. 선택적 API 서비스 API 서비스 콘솔 서비스 이름 Google 클라우드 API
cloudapis.googleapis.com서비스 관리 API
servicemanagement.googleapis.comGoogle 클라우드 스토리지 JSON API
storage-api.googleapis.com클라우드 스토리지
storage-component.googleapis.com
12.4.3. GCP용 DNS 구성
OpenShift Container Platform을 설치하려면 사용하는 GCP(Google Cloud Platform) 계정에 OpenShift Container Platform 클러스터를 호스팅하는 프로젝트와 동일한 프로젝트에 전용 퍼블릭 호스팅 영역이 있어야 합니다. 도메인에 대한 권한도 이 영역에 있어야 합니다. DNS 서비스는 클러스터와 외부 연결에 필요한 클러스터 DNS 확인 및 이름 조회 기능을 제공합니다.
프로세스
도메인 또는 하위 도메인과 등록 기관을 식별합니다. 기존 도메인 및 등록 기관을 이전하거나 GCP 또는 다른 소스를 통해 새 도메인과 등록 기관을 구할 수 있습니다.
참고새 도메인을 구입하는 경우, 관련 DNS 변경사항이 전파되는 데 시간이 걸릴 수 있습니다. Google을 통한 도메인 구매에 대한 자세한 내용은 Google 도메인을 참조하십시오.
GCP 프로젝트에서 도메인 또는 하위 도메인의 퍼블릭 호스팅 영역을 생성합니다. GCP 문서의 퍼블릭 영역 생성 단원을 참조하십시오.
적절한 루트 도메인(예:
openshiftcorp.com) 또는 하위 도메인(예:clusters.openshiftcorp.com)을 사용합니다.호스팅 영역 레코드에서 권한이 있는 새 이름 서버를 추출합니다. GCP 문서의 클라우드 DNS 이름 서버 조회 단원을 참조하십시오.
일반적으로 네 가지 이름 서버가 있습니다.
- 도메인에서 사용하는 이름 서버의 등록 기관 레코드를 업데이트합니다. 예를 들어, 사용자 도메인을 Google 도메인에 등록한 경우 Google 도메인 도움말의 사용자 지정 이름 서버로 전환하는 방법 항목을 참조하십시오.
- 루트 도메인을 Google Cloud DNS로 마이그레이션했으면 DNS 레코드를 마이그레이션합니다. GCP 문서의 클라우드 DNS로 마이그레이션을 참조하십시오.
- 하위 도메인을 사용하는 경우, 회사의 프로시저에 따라 상위 도메인에 위임 레코드를 추가합니다. 이 과정에 회사의 IT 부서 또는 회사의 루트 도메인 및 DNS 서비스를 제어하는 부서에 요청하는 일도 포함될 수 있습니다.
12.4.4. GCP 계정 제한
OpenShift Container Platform 클러스터는 여러 GCP(Google Cloud Platform) 구성 요소를 사용하지만 기본 할당량이 기본 OpenShift Container Platform 클러스터 설치가 가능할지 여부에 영향을 미치지 않습니다.
컴퓨팅 및 컨트롤 플레인 시스템 세 개가 포함된 기본 클러스터는 다음과 같은 리소스를 사용합니다. 일부 리소스는 부트스트랩 프로세스 중에만 필요하며 클러스터 배포 후 제거됩니다.
| 서비스 | 구성 요소 | 위치 | 필요한 총 리소스 | 부트스트랩 후 제거된 리소스 |
|---|---|---|---|---|
| 서비스 계정 | IAM | 글로벌 | 6 | 1 |
| 방화벽 규칙 | 네트워킹 | 글로벌 | 11 | 1 |
| 전송 규칙 | 컴퓨팅 | 글로벌 | 2 | 0 |
| 상태 검사 | 컴퓨팅 | 글로벌 | 2 | 0 |
| 이미지 | 컴퓨팅 | 글로벌 | 1 | 0 |
| 네트워크 | 네트워킹 | 글로벌 | 1 | 0 |
| 라우터 | 네트워킹 | 글로벌 | 1 | 0 |
| 라우트 | 네트워킹 |
|
|
|
|
|
|
|
|
|
|
|
| 글로벌 | 2 | 0 |
설치하는 동안 할당량이 충분하지 않으면 설치 프로그램에서 초과된 할당량과 리전을 모두 안내하는 오류 메시지를 표시합니다.
실제 클러스터 크기, 예상 클러스터 증가, 계정과 연결된 다른 클러스터의 사용량을 모두 고려해야 합니다. CPU, 고정 IP 주소, 영구 디스크 SSD(스토리지) 할당량이 가장 부족하기 쉬운 할당량입니다.
다음 리전 중 하나에서 클러스터를 배포하려는 경우, 최대 스토리지 할당량을 초과할 것이며, CPU 할당량 제한을 초과할 가능성도 있습니다.
-
asia-east2 -
asia-northeast2 -
asia-south1 -
australia-southeast1 -
europe-north1 -
europe-west2 -
europe-west3 -
europe-west6 -
northamerica-northeast1 -
southamerica-east1 -
us-west2
GCP 콘솔에서 리소스 할당량을 늘릴 수는 있지만 지원 티켓을 제출해야 할 수도 있습니다. OpenShift Container Platform 클러스터를 설치하기 전에 지원 티켓을 해결할 시간이 충분하도록 조기에 클러스터 크기를 계획해야 합니다.
12.4.5. GCP에서 서비스 계정 생성
OpenShift Container Platform에는 Google API의 데이터에 액세스하기 위한 인증 및 승인을 제공하는 GCP(Google Cloud Platform) 서비스 계정이 필요합니다. 프로젝트에 필요한 역할이 포함된 기존 IAM 서비스 계정이 없으면 새로 생성해야 합니다.
사전 요구 사항
- 클러스터를 호스팅할 프로젝트 생성을 완료했습니다.
프로세스
- OpenShift Container Platform 클러스터를 호스팅하는 데 사용하는 프로젝트에 서비스 계정을 생성합니다. GCP 문서의 서비스 계정 생성 단원을 참조하십시오.
서비스 계정에 적절한 권한을 부여합니다. 뒤따르는 개별 권한을 부여하거나
Owner역할을 할당할 수 있습니다. 서비스 계정에 특정 리소스에 대한 역할 부여를 참조하십시오.참고서비스 계정을 프로젝트 소유자로 지정하는 것은 가장 쉽게 필요한 권한을 얻는 방법이며, 서비스 계정으로 프로젝트를 완전히 제어할 수 있음을 의미합니다. 해당 권한을 제공하는 데 따른 위험이 수용 가능한 수준인지 확인해봐야 합니다.
JSON 형식으로 서비스 계정 키를 생성하거나 서비스 계정을 GCP 가상 머신에 연결할 수 있습니다. GCP 문서의 서비스 계정 키 생성 및 서비스 계정 생성 및 활성화를 참조하십시오.
참고연결된 서비스 계정이 있는 가상 머신을 사용하여 클러스터를 생성하는 경우 설치 전에
install-config.yaml파일에서credentialsMode: Manual을 설정해야 합니다.
12.4.6. 필수 GCP 역할
생성하는 서비스 계정에 Owner 역할을 연결하면 OpenShift Container Platform 설치에 필요한 권한을 포함하여 모든 권한이 해당 서비스 계정에 부여됩니다. 조직의 보안 정책에 보다 제한적인 권한 세트가 필요한 경우 다음 권한으로 서비스 계정을 생성할 수 있습니다. 기존 VPC(가상 프라이빗 클라우드)에 클러스터를 배포하는 경우 다음 목록에 명시된 특정 네트워킹 권한이 서비스 계정에 필요하지 않습니다.
설치 프로그램에 필요한 역할
- 컴퓨팅 관리자
- 역할 관리자
- 보안 관리자
- 서비스 계정 관리자
- 서비스 계정 키 관리자
- 서비스 계정 사용자
- 스토리지 관리자
설치 과정에서 네트워크 리소스를 생성하는 데 필요한 역할
- DNS 관리자
passthrough 모드에서 Cloud Credential Operator를 사용하는 데 필요한 역할
- Compute Load Balancer 관리자
- 태그 사용자
사용자 프로비저닝 GCP 인프라에 필요한 역할
- 배포 관리자 편집자
다음 역할은 컨트롤 플레인 및 컴퓨팅 시스템에서 사용하는 서비스 계정에 적용됩니다.
| 계정 | 역할 |
|---|---|
| 컨트롤 플레인 |
|
|
| |
|
| |
|
| |
|
| |
| 컴퓨팅 |
|
|
| |
|
|
12.4.7. 사용자 프로비저닝 인프라에 필요한 GCP 권한
생성하는 서비스 계정에 Owner 역할을 연결하면 OpenShift Container Platform 설치에 필요한 권한을 포함하여 모든 권한이 해당 서비스 계정에 부여됩니다.
조직의 보안 정책에 보다 제한적인 권한 세트가 필요한 경우 필요한 권한으로 사용자 지정 역할을 생성할 수 있습니다. OpenShift Container Platform 클러스터를 생성하고 삭제하기 위해 사용자 프로비저닝 인프라에 다음 권한이 필요합니다.
예 12.1. 네트워크 리소스 생성에 필요한 권한
-
compute.addresses.create -
compute.addresses.createInternal -
compute.addresses.delete -
compute.addresses.get -
compute.addresses.list -
compute.addresses.use -
compute.addresses.useInternal -
compute.firewalls.create -
compute.firewalls.delete -
compute.firewalls.get -
compute.firewalls.list -
compute.forwardingRules.create -
compute.forwardingRules.get -
compute.forwardingRules.list
예 12.2.
예 12.3.
예 12.4.
예 12.5.
예 12.6.
예 12.7.
예 12.8.
예 12.9.
예 12.10.
예 12.11.
예 12.12.
예 12.13.
예 12.14.
예 12.15.
예 12.16.
예 12.17.
예 12.18.
예 12.19.
예 12.20.
예 12.21.
예 12.22.
예 12.23.
12.4.8.
12.4.9.
