3장. 사용자 프로비저닝 인프라


3.1. 사용자 프로비저닝 인프라에 대한 vSphere 설치 요구 사항

프로비저닝한 인프라에 설치를 시작하기 전에 vSphere 환경이 다음 설치 요구 사항을 충족하는지 확인하세요.

3.1.1. VMware vSphere 인프라 요구사항

사용하는 구성 요소에 대한 요구 사항을 충족하는 다음 버전의 VMware vSphere 인스턴스 중 하나에 OpenShift Container Platform 클러스터를 설치해야 합니다.

  • 버전 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상
  • 버전 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

두 릴리스 모두 OpenShift Container Platform 4.19에서 기본적으로 활성화된 CSI(Container Storage Interface) 마이그레이션을 지원합니다.

다음 표에 설명된 요구 사항을 충족하는 VMware Cloud Verified 공급자 또는 온프레미스에서 VMware vSphere 인프라를 호스팅할 수 있습니다.

Expand
표 3.1. vSphere 가상 환경에 대한 버전 요구 사항
가상 환경 제품필수 버전

VMware 가상 하드웨어

6.5 이상

vSphere ESXi 호스트

7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

vCenter 호스트

7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

중요

OpenShift Container Platform을 설치하기 전에 ESXi 호스트의 시간이 동기화되었는지 확인해야 합니다. VMware 문서에서 Edit Time Configuration for a Host를 참조하십시오.

Expand
표 3.2. VMware 구성 요소에 지원되는 최소 vSphere 버전
구성 요소지원되는 최소 버전설명

하이퍼바이저

vSphere 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상, vSphere 8.0 업데이트 1 이상 또는 가상 하드웨어 버전 15가 포함된 VMware Cloud Foundation 5.0 이상

이 하이퍼바이저 버전은 Red Hat Enterprise Linux CoreOS(RHCOS)가 지원하는 최소 버전입니다. RHCOS와 호환되는 최신 버전의 Red Hat Enterprise Linux(RHEL)에서 지원되는 하드웨어에 대한 자세한 내용은 Red Hat 고객 포털의 하드웨어를 참조하세요.

선택사항: 네트워킹(NSX-T)

vSphere 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상, vSphere 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상

NSX와 OpenShift Container Platform의 호환성에 대한 자세한 내용은 VMware NSX 컨테이너 플러그인 설명서 의 릴리스 노트 섹션을 참조하세요.

CPU 마이크로 아키텍처

x86-64-v2 이상

OpenShift Container Platform 버전 4.13 이상은 RHEL 9.2 호스트 운영 체제를 기반으로 하며, 이로 인해 마이크로 아키텍처 요구 사항이 x86-64-v2로 높아졌습니다. RHEL 문서에서 아키텍처를 참조하세요.

중요

Oracle® Cloud Infrastructure(OCI) 및 Oracle® Cloud VMware Solution(OCVS) 서비스에서 작동하는 클러스터 워크로드에 대해 최상의 성능 조건을 보장하려면 블록 볼륨의 볼륨 성능 단위(VPU)가 워크로드에 맞는 크기인지 확인하세요.

다음 목록은 특정 성능 요구 사항에 필요한 VPU를 선택하는 데 도움이 되는 몇 가지 지침을 제공합니다.

  • 테스트 또는 개념 증명 환경: 100GB, 20~30개의 VPU.
  • 기본 생산 환경: 500GB, 60개 VPU.
  • 집중적으로 사용되는 프로덕션 환경: 500GB 이상, VPU 100개 이상.

업데이트 및 확장 활동에 충분한 용량을 제공하기 위해 추가 VPU를 할당하는 것을 고려하세요. 블록 볼륨 성능 수준(Oracle 설명서)을 참조하세요.

3.1.2. VMware vSphere CSI Driver Operator 요구 사항

vSphere Container Storage Interface(CSI) 드라이버 운영자를 설치하려면 다음 요구 사항을 충족해야 합니다.

  • VMware vSphere 버전: 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상
  • vCenter 버전: 7.0 업데이트 2 이상 또는 VMware Cloud Foundation 4.3 이상; 8.0 업데이트 1 이상 또는 VMware Cloud Foundation 5.0 이상
  • 하드웨어 버전 15 이상의 가상 머신
  • 클러스터에 타사 vSphere CSI 드라이버가 아직 설치되어 있지 않습니다.

타사 CSI 드라이버가 클러스터에 있는 경우 OpenShift Container Platform은 이를 덮어쓰지 않습니다. 타사 vSphere CSI 드라이버가 있으면 OpenShift Container Platform을 OpenShift Container Platform 4.13 이상으로 업데이트할 수 없습니다.

참고

VMware vSphere CSI Driver Operator는 설치 매니페스트에서 platform:vsphere 로 배포된 클러스터에서만 지원됩니다.

CSI(Container Storage Interface) 드라이버, vSphere CSI 드라이버 운영자, vSphere 문제 감지 운영자에 대한 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 역할에는 각 vSphere 개체에 최소한의 권한 집합을 할당하는 권한 집합이 포함될 수 있습니다. 즉, CSI 드라이버, vSphere CSI 드라이버 운영자, vSphere 문제 감지 운영자는 이러한 개체와 기본적인 상호 작용을 설정할 수 있습니다.

중요

vCenter에 OpenShift Container Platform 클러스터를 설치하는 작업은 "필요한 vCenter 계정 권한" 섹션에 설명된 대로 전체 권한 목록에 대해 테스트됩니다. 권한의 전체 목록을 준수하면 제한된 권한 집합으로 사용자 지정 역할을 생성할 때 발생할 수 있는 예상치 못하고 지원되지 않는 동작의 가능성을 줄일 수 있습니다.

사용자 프로비저닝 인프라가 포함된 클러스터의 경우, 필요한 모든 시스템을 배포해야 합니다.

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포해야 하는 요구 사항에 대해 설명합니다.

3.1.3.1. vCenter 요구사항

제공한 인프라를 사용하는 vCenter에 OpenShift Container Platform 클러스터를 설치하기 전에 환경을 준비해야 합니다.

필요한 vCenter 계정 권한

vCenter에 OpenShift Container Platform 클러스터를 설치하려면 vSphere 계정에 필요한 리소스를 읽고 생성할 수 있는 권한이 있어야 합니다. 필요한 모든 권한에 액세스할 수 있는 가장 간단한 방법은 글로벌 관리 권한이 있는 계정을 사용하는 것입니다.

예 3.1. vSphere API 설치에 필요한 역할 및 권한

Expand
역할의 vSphere 개체필요한 경우vSphere API에 필요한 권한

vSphere vCenter

Always

Cns.Searchable
InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
Sessions.ValidateSession
StorageProfile.View

vSphere vCenter Cluster

클러스터 루트에 VM이 생성되는 경우

Host.Config.Storage
Resource.AssignVMToPool
VApp.AssignResourcePool
VApp.Import
VirtualMachine.Config.AddNewDisk

vSphere vCenter 리소스 풀

기존 리소스 풀이 제공되는 경우

리소스.AssignVMToPool
VApp.AssignResourcePool
VApp.Import
VirtualMachine.Config.AddNewDisk

vSphere 데이터 저장소

Always

데이터 저장소.할당 공간
데이터 저장소.찾아보기
데이터 저장소.파일 관리
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

InventoryService.Tagging.ObjectAttachable
리소스.AssignVMToPool
VApp.Import
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.DiskLease
VirtualMachine.Config.EditDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
호스트.구성.저장소
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Resource
VirtualMachine.Config.Settings
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Reset
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Delete
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.DeployTemplate

vSphere vCenter 데이터 센터

클러스터가 Machine API를 사용하지 않는 경우 VirtualMachine.Inventory.CreateVirtualMachine.Inventory.Delete 권한은 선택 사항입니다. "머신 API에 대한 최소 권한" 표를 참조하세요.

Resource.AssignVMToPool
VApp.Import
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.DiskLease
VirtualMachine.Config.EditDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Resource
VirtualMachine.Config.Settings
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Reset
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Delete
VirtualMachine.Provisioning.Clone
Folder.Create
Folder.Delete

예 3.2. vCenter 그래픽 사용자 인터페이스(GUI)에 설치하는 데 필요한 역할 및 권한

Expand
역할의 vSphere 개체필요한 경우vCenter GUI에서 필요한 권한

vSphere vCenter

Always

Cns.검색 가능
"vSphere 태깅"."vSphere 태그 할당 또는 할당 해제"
"vSphere 태깅"."vSphere 태그 범주 생성"
"vSphere 태깅"."vSphere 태그 생성"
vSphere 태그 지정"."vSphere 태그 범주 삭제"
"vSphere 태깅"."vSphere 태그 삭제"
"vSphere 태깅"."vSphere 태그 범주 편집"
"vSphere 태깅"."vSphere 태그 편집"
세션."세션 검증"
"프로파일 기반 저장소"."프로파일 기반 저장소 업데이트"
"프로파일 기반 저장소"."프로파일 기반 저장소 뷰"

vSphere vCenter Cluster

클러스터 루트에 VM이 생성되는 경우

호스트 구성."저장소 파티션 구성"
리소스."리소스 풀에 가상 머신 할당"
VApp."리소스 풀 할당"
VApp.Import
"가상 머신"."구성 변경"."새 디스크 추가"

vSphere vCenter 리소스 풀

기존 리소스 풀이 제공되는 경우

호스트 구성."저장소 파티션 구성"
리소스."리소스 풀에 가상 머신 할당"
VApp."리소스 풀 할당"
VApp.Import
"가상 머신"."구성 변경"."새 디스크 추가"

vSphere 데이터 저장소

Always

데이터 저장소."공간 할당"
데이터 저장소."데이터 저장소 탐색"
데이터 저장소."저수준 파일 작업"
"vSphere 태그 지정"."개체에 vSphere 태그 할당 또는 할당 해제"

vSphere Port Group

Always

네트워크."네트워크 할당"

가상 머신 폴더

Always

"vSphere 태그 지정"."개체에 vSphere 태그 할당 또는 할당 해제"
리소스."리소스 풀에 가상 머신 할당"
VApp.Import
"가상 머신"."구성 변경"."기존 디스크 추가"
"가상 머신"."구성 변경"."새 디스크 추가"
"가상 머신"."구성 변경"."장치 추가 또는 제거"
"가상 머신"."구성 변경"."고급 구성"
"가상 머신"."구성 변경"."주석 설정"
"가상 머신"."구성 변경"."CPU 수 변경"
"가상 머신"."구성 변경"."가상 디스크 확장"
"가상 머신"."구성 변경"."디스크 임대 획득"
"가상 머신"."구성 변경"."장치 설정 수정"
"가상 머신"."구성 변경"."메모리 변경"
"가상 머신"."구성 변경"."디스크 제거"
"가상 머신"."구성 변경".이름 바꾸기
"가상 머신"."구성 변경"."게스트 정보 재설정"
"가상 머신"."구성 변경"."리소스 변경"
"가상 머신"."구성 변경"."설정 변경"
"가상 머신"."구성 변경"."가상 머신 호환성 업그레이드"
"가상 머신".상호 작용."VIX API를 통한 게스트 운영 체제 관리"
"가상 머신".상호 작용."전원 끄기"
"가상 머신".상호 작용."전원 켜기"
"가상 머신".상호 작용.재설정
"가상 머신"."인벤토리 편집"."새로 만들기"
"가상 머신"."인벤토리 편집"."기존에서 생성"
"가상 머신"."인벤토리 편집"."제거"
"가상 머신".프로비저닝."가상 머신 복제"
"가상 머신".프로비저닝."템플릿으로 표시"
"가상 머신".프로비저닝."템플릿 배포"

vSphere vCenter 데이터 센터

클러스터가 Machine API를 사용하지 않는 경우 VirtualMachine.Inventory.CreateVirtualMachine.Inventory.Delete 권한은 선택 사항입니다.

"vSphere 태그 지정"."개체에 vSphere 태그 할당 또는 할당 해제"
리소스."리소스 풀에 가상 머신 할당"
VApp.Import
"가상 머신"."구성 변경"."기존 디스크 추가"
"가상 머신"."구성 변경"."새 디스크 추가"
"가상 머신"."구성 변경"."장치 추가 또는 제거"
"가상 머신"."구성 변경"."고급 구성"
"가상 머신"."구성 변경"."주석 설정"
"가상 머신"."구성 변경"."CPU 수 변경"
"가상 머신"."구성 변경"."가상 디스크 확장"
"가상 머신"."구성 변경"."디스크 임대 획득"
"가상 머신"."구성 변경"."장치 설정 수정"
"가상 머신"."구성 변경"."메모리 변경"
"가상 머신"."구성 변경"."디스크 제거"
"가상 머신"."구성 변경".이름 바꾸기
"가상 머신"."구성 변경"."게스트 정보 재설정"
"가상 머신"."구성 변경"."리소스 변경"
"가상 머신"."구성 변경"."설정 변경"
"가상 머신"."구성 변경"."가상 머신 호환성 업그레이드"
"가상 머신".상호 작용."VIX API를 통한 게스트 운영 체제 관리"
"가상 머신".상호 작용."전원 끄기"
"가상 머신".상호 작용."전원 켜기"
"가상 머신".상호 작용.재설정
"가상 머신"."인벤토리 편집"."새로 만들기"
"가상 머신"."인벤토리 편집"."기존에서 생성"
"가상 머신"."인벤토리 편집"."제거"
"가상 머신".프로비저닝."가상 머신 복제"
"가상 머신".프로비저닝."템플릿 배포"
"가상 머신".프로비저닝."템플릿으로 표시"
폴더."폴더 만들기"
폴더."폴더 삭제"

또한 사용자에게는 일부 읽기 전용 권한이 필요하고, 일부 역할에는 자식 개체에 권한을 전파할 수 있는 권한이 필요합니다. 이러한 설정은 클러스터를 기존 폴더에 설치할지 여부에 따라 달라집니다.

예 3.3. 필수 권한 및 권한 부여 설정

Expand
vSphere 오브젝트필요한 경우하위 항목으로 권한 부여권한 필요

vSphere vCenter

Always

False

나열된 필수 권한

vSphere vCenter Cluster

기존 리소스 풀

False

ReadOnly 권한

클러스터 루트의 VM

True

나열된 필수 권한

vSphere vCenter 데이터 저장소

Always

False

나열된 필수 권한

vSphere Switch

Always

False

ReadOnly 권한

vSphere Port Group

Always

False

나열된 필수 권한

vSphere vCenter Virtual Machine Folder

기존 폴더

True

나열된 필수 권한

vSphere vCenter 리소스 풀

기존 리소스 풀

True

나열된 필수 권한

필요한 권한만으로 계정을 생성하는 방법에 대한 자세한 내용은 vSphere 문서에서 vSphere 권한 및 사용자 관리 작업을 참조하십시오.

최소 필수 vCenter 계정 권한

사용자 지정 역할을 만들고 권한을 할당한 후에는 특정 vSphere 개체를 선택한 다음 각 개체의 사용자 또는 그룹에 사용자 지정 역할을 할당하여 권한을 생성할 수 있습니다.

vSphere 개체에 대한 권한을 생성하거나 권한 생성을 요청하기 전에 vSphere 개체에 적용되는 최소 권한을 확인하세요. 이 작업을 수행하면 vSphere 개체와 OpenShift Container Platform 아키텍처 간에 기본적인 상호 작용이 있는지 확인할 수 있습니다.

중요

사용자 지정 역할을 생성하고 해당 역할에 권한을 할당하지 않으면 vSphere Server는 기본적으로 사용자 지정 역할에 읽기 전용 역할을 할당합니다. 클라우드 공급자 API의 경우 사용자 정의 역할은 읽기 전용 역할의 권한만 상속하면 됩니다.

글로벌 관리자 권한이 있는 계정이 요구 사항을 충족하지 않는 경우 사용자 지정 역할을 만드는 것을 고려하세요.

중요

필요한 권한이 구성되지 않은 계정은 지원되지 않습니다. vCenter에 OpenShift Container Platform 클러스터를 설치하는 작업은 "필요한 vCenter 계정 권한" 섹션에 설명된 대로 전체 권한 목록에 대해 테스트됩니다. 권한의 전체 목록을 준수하면 제한된 권한 집합으로 사용자 지정 역할을 생성할 때 발생할 수 있는 예상치 못한 동작의 가능성을 줄일 수 있습니다.

다음 표에서는 이 문서의 앞부분에서 제공된 필수 vCenter 계정 권한이 OpenShift Container Platform 아키텍처의 다양한 측면과 어떻게 관련이 있는지 설명합니다.

예 3.4. 구성 요소의 설치 후 관리를 위한 최소 권한

Expand
역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

Cns.Searchable
InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
Sessions.ValidateSession
StorageProfile.View

vSphere vCenter Cluster

클러스터 루트에 VM을 생성하려는 경우

Host.Config.Storage
Resource.AssignVMToPool

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

Host.Config.Storage

vSphere 데이터 저장소

Always

데이터 저장소.할당 공간
데이터 저장소.찾아보기
데이터 저장소.파일 관리
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.Memory
VirtualMachine.Config.Settings
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Delete
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.DeployTemplate

vSphere vCenter 데이터 센터

클러스터가 Machine API를 사용하지 않는 경우 VirtualMachine.Inventory.CreateVirtualMachine.Inventory.Delete 권한은 선택 사항입니다. 클러스터가 Machine API를 사용하고 API에 대한 최소 권한 집합을 설정하려는 경우 "Machine API에 대한 최소 권한" 표를 참조하세요.

리소스.AssignVMToPool
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Provisioning.DeployTemplate

예 3.5. 저장소 구성 요소에 대한 최소 권한

Expand
역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

Cns.검색 가능
인벤토리 서비스.태깅.CreateCategory
인벤토리 서비스.태깅.태그 생성
인벤토리 서비스.태깅.편집 카테고리
InventoryService.Tagging.EditTag
스토리지 프로파일 업데이트
스토리지 프로파일.뷰

vSphere vCenter Cluster

클러스터 루트에 VM을 생성하려는 경우

Host.Config.Storage

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

Host.Config.Storage

vSphere 데이터 저장소

Always

데이터 저장소.찾아보기
데이터 저장소.파일 관리
InventoryService.Tagging.ObjectAttachable

vSphere Port Group

Always

읽기 전용인가요?

가상 머신 폴더

Always

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice

vSphere vCenter 데이터 센터

클러스터가 Machine API를 사용하지 않는 경우 VirtualMachine.Inventory.CreateVirtualMachine.Inventory.Delete 권한은 선택 사항입니다. 클러스터가 Machine API를 사용하고 API에 대한 최소 권한 집합을 설정하려는 경우 "Machine API에 대한 최소 권한" 표를 참조하세요.

VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddRemoveDevice

예 3.6. Machine API에 대한 최소 권한

Expand
역할의 vSphere 개체필요한 경우필요한 권한

vSphere vCenter

Always

InventoryService.Tagging.AttachTag
InventoryService.Tagging.CreateCategory
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteCategory
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.EditCategory
InventoryService.Tagging.EditTag
InventoryService.Tagging.EditTag
Sessions.ValidateSessionStorageProfile.Update
1

vSphere vCenter Cluster

클러스터 루트에 VM을 생성하려는 경우

Resource.AssignVMToPool

vSphere vCenter 리소스 풀

install-config.yaml 파일에 기존 리소스 풀을 제공하는 경우

읽기 전용인가요?

vSphere 데이터 저장소

Always

Datastore.AllocateSpace
Datastore.Browse

vSphere Port Group

Always

Network.Assign

가상 머신 폴더

Always

VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.CPUCount
VirtualMachine.Config.DiskExtend

VirtualMachine.Config.Memory
VirtualMachine.Config.Memory
VirtualMachine.Config.Settings
VirtualMachine.PowerOff
VirtualMachine.PowerOff
VirtualMachine.PowerOn Cryostat.CreateFromExisting Cryostat VirtualMachine.Cryostat VirtualMachine.ECDHE VirtualMachine.Provision VirtualMachine.
Config.DiskExtend
VirtualMachine.Config.MemoryExtend
VirtualMachine.Cryostat

vSphere vCenter 데이터 센터

클러스터가 Machine API를 사용하지 않는 경우 VirtualMachine.Inventory.CreateVirtualMachine.Inventory.Delete 권한은 선택 사항입니다.

리소스.AssignVMToPool
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Provisioning.DeployTemplate

vMotion으로 OpenShift Container Platform 사용

vSphere 환경에서 vMotion을 사용하려는 경우 OpenShift Container Platform 클러스터를 설치하기 전에 다음 사항을 고려하세요.

  • 스토리지 vMotion을 사용하면 문제가 발생할 수 있으며 지원되지 않습니다.
  • VMware Compute vMotion을 사용하여 OpenShift Container Platform 컴퓨팅 머신과 제어 평면 머신 모두의 워크로드를 마이그레이션하는 것은 일반적으로 지원되며, 이는 일반적으로 vMotion에 대한 모든 VMware 모범 사례를 충족한다는 것을 의미합니다.

    컴퓨팅 및 제어 평면 노드의 가동 시간을 보장하려면 vMotion에 대한 VMware 모범 사례를 따르고 VMware 반친화성 규칙을 사용하여 유지 관리 또는 하드웨어 문제 발생 시 OpenShift Container Platform의 가용성을 개선하세요.

    vMotion 및 반친화성 규칙에 대한 자세한 내용은 VMware vSphere 설명서에서 vMotion 네트워킹 요구 사항VM 반친화성 규칙을 참조하세요.

  • 포드에서 VMware vSphere 볼륨을 사용하는 경우, Storage vMotion을 통해 또는 수동으로 여러 데이터스토어 간에 VM을 마이그레이션하면 OpenShift Container Platform 영구 볼륨(PV) 개체 내에서 잘못된 참조가 발생하여 데이터 손실이 발생할 수 있습니다.
  • 마찬가지로 OpenShift Container Platform은 데이터 저장소에서 VMDK의 선택적 마이그레이션을 지원하지 않으며 VM 프로비저닝 또는 PV의 동적 또는 정적 프로비저닝을 위해 데이터 저장소 클러스터의 일부 또는 PV의 동적 또는 정적 프로비저닝을 위해 데이터 저장소 클러스터의 일부인 데이터 저장소를 사용하는 경우도 있습니다.

    중요

    데이터스토어 클러스터에 존재하는 모든 데이터스토어의 경로를 지정할 수 있습니다. 기본적으로 Storage vMotion을 사용하는 SDRS(Storage Distributed Resource Scheduler)는 데이터스토어 클러스터에 대해 자동으로 활성화됩니다. Red Hat은 Storage vMotion을 지원하지 않으므로 OpenShift Container Platform 클러스터의 데이터 손실 문제를 방지하려면 Storage DRS를 비활성화해야 합니다.

    여러 데이터 저장소에 걸쳐 VM을 지정해야 하는 경우 클러스터의 install-config.yaml 구성 파일에서 데이터 저장소 객체를 사용하여 실패 도메인을 지정합니다. 자세한 내용은 "VMware vSphere 지역 및 영역 활성화"를 참조하세요.

클러스터 리소스

사용자가 제공한 인프라를 사용하는 OpenShift Container Platform 클러스터를 배포하는 경우 vCenter 인스턴스에서 다음 리소스를 만들어야 합니다.

  • 폴더 한 개
  • 태그 카테고리 한 개
  • 태그 한 개
  • 가상 머신:

    • 템플릿 한 개
    • 임시 부트스트랩 노드 한 개
    • 컨트롤 플레인 노드 세 개
    • 컴퓨팅 시스템 세 개

이러한 리소스는 856GB의 스토리지를 사용하지만 부트스트랩 노드는 클러스터 설치 프로세스 중에 제거됩니다. 표준 클러스터를 사용하려면 최소 800GB의 스토리지가 필요합니다.

컴퓨팅 시스템을 더 많이 배포할수록 OpenShift Container Platform 클러스터는 더 많은 스토리지를 사용합니다.

클러스터 제한

사용 가능한 리소스는 클러스터마다 다릅니다. vCenter 내에서 가능한 클러스터 수는 주로 사용 가능한 스토리지 공간과 필요한 리소스 수에 대한 제한으로 제한됩니다. 클러스터가 생성하는 vCenter 리소스와 IP 주소 및 네트워크와 같이 클러스터를 배포하는 데 필요한 리소스에 대한 제한 사항을 모두 고려해야 합니다.

네트워킹 요구사항

네트워크에 DHCP(동적 호스트 구성 프로토콜)를 사용하고 DHCP 서버를 구성하여 클러스터의 머신에 영구 IP 주소를 설정할 수 있습니다. DHCP 임대에서 기본 게이트웨이를 사용하도록 DHCP를 구성해야 합니다.

참고

정적 IP 주소로 노드를 프로비저닝하려는 경우 네트워크에 DHCP를 사용할 필요가 없습니다.

사용자 프로비저닝 인프라에 설치하려는 클러스터에 대해 서로 다른 VLAN에 노드 또는 노드 그룹을 지정하는 경우, 클러스터의 머신이 사용자 프로비저닝 인프라 문서의 네트워킹 요구 사항 의 "네트워크 연결 요구 사항" 섹션에 설명된 요구 사항을 충족하는지 확인해야 합니다.

제한된 환경에 설치하는 경우, 제한된 네트워크의 VM은 vCenter에 액세스할 수 있어야 노드, 영구 볼륨 클레임(PVC) 및 기타 리소스를 프로비저닝하고 관리할 수 있습니다.

참고

클러스터의 각 OpenShift Container Platform 노드가 DHCP에서 검색할 수 있는 NTP(네트워크 시간 프로토콜) 서버에 액세스할 수 있는지 확인하세요. NTP 서버 없이도 설치할 수 있습니다. 그러나 비동기 서버 시계는 오류를 일으킬 수 있으며, NTP 서버는 이를 방지합니다.

또한 OpenShift Container Platform 클러스터를 설치하기 전에 다음 네트워킹 리소스를 생성해야 합니다.

DNS 레코드

OpenShift Container Platform 클러스터를 호스팅하는 vCenter 인스턴스에 적절한 DNS 서버에서 고정 IP 주소 두 개의 DNS 레코드를 생성해야 합니다. 각 레코드에서 <cluster_name>은 클러스터 이름이고 <base_domain>은 클러스터를 설치할 때 지정하는 클러스터 기본 도메인입니다. 전체 DNS 레코드는 <component>.<cluster_name>.<base_domain> 형식입니다.

Expand
표 3.3. 필수 DNS 레코드
구성 요소레코드설명

API VIP

api.<cluster_name>.<base_domain>.

이 DNS A/AAAA 또는 CNAME 레코드는 컨트롤 플레인 시스템의 로드 밸런서를 가리켜야 합니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

Ingress VIP

*.apps.<cluster_name>.<base_domain>.

기본적으로 작업자 노드인 인그레스 라우터 Pod를 실행하는 시스템을 대상으로 하는 로드 밸런서를 가리키는 와일드카드 DNS A/AAAA 또는 CNAME 레코드입니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

3.1.3.2. 클러스터 설치에 필요한 시스템

최소 OpenShift Container Platform 클러스터에 다음과 같은 호스트가 필요합니다.

Expand
표 3.4. 최소 필수 호스트
호스트설명

임시 부트스트랩 시스템 한 개

컨트롤 플레인 시스템 세 개에 OpenShift Container Platform 클러스터를 배포하기 위한 부트스트랩 시스템이 클러스터에 필요합니다. 클러스터를 설치한 후 부트스트랩 시스템을 제거할 수 있습니다.

컨트롤 플레인 시스템 세 개

컨트롤 플레인 시스템은 컨트롤 플레인을 구성하는 Kubernetes 및 OpenShift Container Platform 서비스를 실행합니다.

두 개 이상의 컴퓨팅 시스템(작업자 시스템이라고도 함).

OpenShift Container Platform 사용자가 요청한 워크로드는 컴퓨팅 머신에서 실행됩니다.

중요

클러스터의 고가용성을 유지하려면 이러한 클러스터 시스템에 대해 별도의 물리적 호스트를 사용하십시오.

부트스트랩, 컨트롤 플레인 시스템은 운영 체제로 RHCOS (Red Hat Enterprise Linux CoreOS)를 사용해야 합니다. 그러나 컴퓨팅 머신은 RHCOS(Red Hat Enterprise Linux CoreOS), RHEL(Red Hat Enterprise Linux) 8.4 또는 RHEL 8.5 중에서 선택할 수 있습니다.

RHCOS는 RHEL 8(Red Hat Enterprise Linux)을 기반으로하며 모든 하드웨어 인증 및 요구사항을 모두 이어받습니다. Red Hat Enterprise Linux 기술 기능 및 제한을 참조하십시오.

3.1.3.3. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

Expand
표 3.5. 최소 리소스 요구사항
머신운영 체제vCPU가상 RAM스토리지초당 입출력(IOPS) [1]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

Compute

RHCOS, RHEL 8.6 이상 [2]

2

8GB

100GB

300

  1. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  2. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신은 더 이상 사용되지 않으며 OpenShift Container Platform 4.10 이상에서 제거되었습니다.
참고

OpenShift Container Platform 버전 4.19의 경우 RHCOS는 마이크로 아키텍처 요구 사항을 업데이트한 RHEL 버전 9.6을 기반으로 합니다. 다음 목록에는 각 아키텍처에 필요한 최소 명령어 세트 아키텍처(ISA)가 포함되어 있습니다.

  • x86-64 아키텍처에는 x86-64-v2 ISA가 필요합니다.
  • ARM64 아키텍처에는 ARMv8.0-A ISA가 필요합니다.
  • IBM Power 아키텍처에는 Power 9 ISA가 필요합니다.
  • s390x 아키텍처에는 z14 ISA가 필요합니다.

자세한 내용은 아키텍처 (RHEL 문서)를 참조하세요.

플랫폼의 인스턴스 유형이 클러스터 머신에 대한 최소 요구 사항을 충족하는 경우 OpenShift Container Platform에서 사용할 수 있습니다.

중요

OpenShift Container Platform 클러스터에서 메모리 팽창을 사용하지 마세요. 메모리 팽창은 클러스터 전체의 불안정성, 서비스 저하 또는 기타 정의되지 않은 동작을 초래할 수 있습니다.

  • 제어 평면 머신은 클러스터 설치에 대해 게시된 최소 리소스 요구 사항과 동일하거나 그 이상의 메모리를 커밋해야 합니다.
  • 컴퓨팅 머신은 클러스터 설치에 대해 게시된 최소 리소스 요구 사항과 같거나 그 이상의 최소 예약을 가져야 합니다.

이러한 최소 CPU 및 메모리 요구 사항에는 사용자 작업 부하에 필요한 리소스가 고려되지 않습니다.

자세한 내용은 Red Hat 지식 기반 문서 메모리 벌루닝 및 OpenShift를 참조하세요.

3.1.3.4. 가상 머신 암호화 요구 사항

다음 요구 사항을 충족하면 OpenShift Container Platform 4.19를 설치하기 전에 가상 머신을 암호화할 수 있습니다.

"RHCOS 설치 및 OpenShift Container Platform 부트스트랩 프로세스 시작" 섹션에서 OVF 템플릿을 배포하는 경우, OVF 템플릿의 저장소를 선택할 때 "이 가상 머신 암호화" 옵션을 선택합니다. 클러스터 설치를 완료한 후 가상 머신을 암호화하는 데 사용한 암호화 스토리지 정책을 사용하는 스토리지 클래스를 만듭니다.

3.1.3.5. 인증서 서명 요청 관리

사용자가 프로비저닝하는 인프라를 사용하는 경우 자동 시스템 관리 기능으로 인해 클러스터의 액세스가 제한되므로 설치한 후 클러스터 인증서 서명 요청(CSR)을 승인하는 메커니즘을 제공해야 합니다. kube-controller-manager는 kubelet 클라이언트 CSR만 승인합니다. machine-approver는 올바른 시스템에서 발행한 요청인지 확인할 수 없기 때문에 kubelet 자격 증명을 사용하여 요청하는 서비스 인증서의 유효성을 보장할 수 없습니다. kubelet 서빙 인증서 요청의 유효성을 확인하고 요청을 승인하는 방법을 결정하여 구현해야 합니다.

3.1.3.6. 사용자 프로비저닝 인프라에 대한 네트워킹 요구사항

모든 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템이 부팅 중에 Ignition 구성 파일을 가져오려면 initramfs에 네트워킹을 구성해야 합니다.

초기 부팅 과정에서 시스템에 필요한 부팅 옵션을 제공하여 DHCP 서버를 통해 설정하거나 정적으로 설정하는 IP 주소 구성이 필요합니다. 네트워크 연결이 설정된 후 시스템은 HTTP 또는 HTTPS 서버에서 Ignition 구성 파일을 다운로드합니다. 그런 다음 Ignition 구성 파일을 사용하여 각 머신의 정확한 상태를 설정합니다. Machine Config Operator는 설치 후 새 인증서 또는 키 적용과 같은 머신에 대한 추가 변경을 완료합니다.

참고
  • 클러스터 시스템의 장기적인 관리를 위해 DHCP 서버를 사용하는 것이 좋습니다. DHCP 서버가 클러스터 시스템에 영구 IP 주소, DNS 서버 정보 및 호스트 이름을 제공하도록 구성되었는지 확인합니다.
  • 사용자 프로비저닝 인프라에 DHCP 서비스를 사용할 수 없는 경우 RHCOS 설치 시 노드에 IP 네트워킹 구성과 DNS 서버의 주소를 대신 제공할 수 있습니다. ISO 이미지에서 설치하는 경우 부팅 인수로 전달할 수 있습니다. 고정 IP 프로비저닝 및 고급 네트워킹 옵션에 대한 자세한 내용은 RHCOS 설치 및 OpenShift Container Platform 부트스트랩 프로세스 시작 섹션을 참조하십시오.

Kubernetes API 서버가 클러스터 시스템의 노드 이름을 확인할 수 있어야 합니다. API 서버와 작업자 노드가 서로 다른 영역에 있는 경우, API 서버가 노드 이름을 확인할 수 있도록 기본 DNS 검색 영역을 설정할 수 있습니다. 노드 개체와 모든 DNS 요청에서 항상 정규화된 도메인 이름으로 호스트를 가리키는 것도 지원되는 방법입니다

3.1.3.6.1. DHCP를 통해 클러스터 노드의 호스트 이름 설정

RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 호스트 이름은 NetworkManager를 통해 설정됩니다. 기본적으로 시스템은 DHCP를 통해 호스트 이름을 가져옵니다. 호스트 이름이 DHCP를 통해 제공되지 않거나, 커널 인수를 통해 정적으로 설정되지 않거나, 다른 방법이 아닌 경우 역방향 DNS 조회를 통해 가져옵니다. 역방향 DNS 조회는 노드에서 네트워크를 초기화한 후 수행되며 확인하는 데 시간이 걸릴 수 있습니다. 다른 시스템 서비스는 이 보다 먼저 시작하여 호스트 이름을 localhost 등으로 감지할 수 있습니다. DHCP를 사용하여 각 클러스터 노드의 호스트 이름을 제공하여 이 문제를 방지할 수 있습니다.

또한 DHCP를 통해 호스트 이름을 설정하면 DNS 분할 수평 구현 환경에서 수동으로 DNS 레코드 이름 구성 오류를 무시할 수 있습니다.

3.1.3.6.2. 네트워크 연결 요구사항

OpenShift Container Platform 클러스터 구성 요소가 통신할 수 있도록 시스템 간 네트워크 연결을 구성해야 합니다. 각 시스템에서 클러스터에 있는 다른 모든 시스템의 호스트 이름을 확인할 수 있어야 합니다.

이 섹션에서는 필요한 포트에 대해 자세히 설명합니다.

중요

연결된 OpenShift Container Platform 환경에서 모든 노드는 플랫폼 컨테이너의 이미지를 가져오고 Red Hat에 원격 측정 데이터를 제공하기 위해 인터넷에 액세스할 수 있어야 합니다.

Expand
표 3.6. 모든 시스템 간 통신에 사용되는 포트
프로토콜포트설명

ICMP

해당 없음

네트워크 연결성 테스트

TCP

1936

메트릭

9000-9999

9100-9101 포트의 노드 내보내기 및 9099 포트의 Cluster Version Operator를 포함한 호스트 수준 서비스.

10250-10259

Kubernetes에서 예약하는 기본 포트

UDP

4789

VXLAN

6081

Geneve

9000-9999

9100-9101 포트의 노드 내보내기를 포함한 호스트 수준 서비스.

500

IPsec IKE 패킷

4500

IPsec NAT-T 패킷

123

UDP 포트 123 의 네트워크 시간 프로토콜(NTP)

외부 NTP 시간 서버가 구성된 경우 UDP 포트 123 을 열어야 합니다.

TCP/UDP

30000-32767

Kubernetes 노드 포트

ESP

해당 없음

IPsec 캡슐화 보안 페이로드(ESP)

Expand
표 3.7. 모든 시스템과 컨트롤 플레인 간 통신에 사용되는 포트
프로토콜포트설명

TCP

6443

Kubernetes API

Expand
표 3.8. 컨트롤 플레인 머신 간 통신에 사용되는 포트
프로토콜포트설명

TCP

2379-2380

etcd 서버 및 피어 포트

사용자 프로비저닝 인프라에 대한 NTP 구성

OpenShift Container Platform 클러스터는 기본적으로 공용 NTP(Network Time Protocol) 서버를 사용하도록 구성되어 있습니다. 로컬 엔터프라이즈 NTP 서버를 사용하거나 클러스터가 연결이 끊긴 네트워크에 배포되는 경우 특정 시간 서버를 사용하도록 클러스터를 구성할 수 있습니다. 자세한 내용은 chrony 타임 서비스 설정 문서를 참조하십시오.

DHCP 서버가 NTP 서버 정보를 제공하는 경우 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템의 chrony 타임 서비스에서 정보를 읽고 NTP 서버와 클럭을 동기화할 수 있습니다.

3.1.3.7. 사용자 프로비저닝 DNS 요구사항

OpenShift Container Platform 배포의 경우 다음 구성 요소에 DNS 이름을 확인해야 합니다.

  • Kubernetes API
  • OpenShift Container Platform 애플리케이션 와일드카드
  • 부트스트랩, 컨트롤 플레인 및 컴퓨팅 시스템

Kubernetes API, 부트스트랩 시스템, 컨트롤 플레인 시스템 및 컴퓨팅 시스템에 대한 역방향 DNS 확인이 필요합니다.

DNS A/AAAA 또는 CNAME 레코드는 이름 확인에 사용되며 PTR 레코드는 역방향 이름 확인에 사용됩니다. RHCOS (Red Hat Enterprise Linux CoreOS)는 DHCP에서 호스트 이름을 제공하지 않는 한 모든 노드의 호스트 이름을 설정할 때 역방향 레코드를 사용하기 때문에 역방향 레코드가 중요합니다. 또한 역방향 레코드는 OpenShift Container Platform이 작동하는 데 필요한 인증서 서명 요청 (CSR)을 생성하는 데 사용됩니다.

참고

DHCP 서버를 사용하여 각 클러스터 노드에 호스트 이름을 제공하는 것이 좋습니다. 자세한 내용은 사용자 프로비저닝 인프라 섹션에 대한 DHCP 권장 사항 섹션을 참조하십시오.

사용자가 프로비저닝한 OpenShift Container Platform 클러스터에 대해 다음 DNS 레코드가 필요하며 설치 전에 있어야 합니다. 각 레코드에서 <cluster_name>은 클러스터 이름이고 <base_domain>install-config.yaml 파일에서 지정하는 기반 도메인입니다. 전체 DNS 레코드는 <component>.<cluster_name>.<base_domain> 형식입니다.

Expand
표 3.9. 필수 DNS 레코드
구성 요소레코드설명

Kubernetes API

api.<cluster_name>.<base_domain>.

API 로드 밸런서를 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

api-int.<cluster_name>.<base_domain>.

내부적으로 API 로드 밸런서를 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

중요

API 서버는 Kubernetes에 기록된 호스트 이름으로 작업자 노드를 확인할 수 있어야 합니다. API 서버가 노드 이름을 확인할 수 없는 경우 프록시된 API 호출이 실패할 수 있으며 pod에서 로그를 검색할 수 없습니다.

라우트

*.apps.<cluster_name>.<base_domain>.

애플리케이션 인그레스 로드 밸런서를 참조하는 와일드카드 DNS A/AAA 또는 CNAME 레코드입니다. 애플리케이션 인그레스 로드 밸런서는 Ingress 컨트롤러 Pod를 실행하는 머신을 대상으로 합니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다. 이 레코드는 클러스터 외부의 클라이언트와 클러스터 내의 모든 노드에서 확인할 수 있어야 합니다.

예를 들어 console-openshift-console.apps.<cluster_name>.<base_domain>은 OpenShift Container Platform 콘솔의 와일드카드 경로로 사용됩니다.

부트스트랩 시스템

bootstrap.<cluster_name>.<base_domain>.

부트스트랩 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

컨트롤 플레인 머신

<control_plane><n>.<cluster_name>.<base_domain>.

컨트롤 플레인 노드의 각 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

컴퓨팅 머신

<compute><n>.<cluster_name>.<base_domain>.

작업자 노드의 각 머신을 식별하는 DNS A/AAAA 또는 CNAME 레코드와 DNS PTR 레코드입니다. 이 레코드는 클러스터 내의 노드에서 확인할 수 있어야 합니다.

참고

OpenShift Container Platform 4.4 이상에서는 DNS 구성에서 etcd 호스트 및 SRV 레코드를 지정할 필요가 없습니다.

작은 정보

dig 명령을 사용하여 이름과 역방향 이름을 확인할 수 있습니다. 자세한 검증 단계는 사용자 프로비저닝 인프라의 DNS 확인 섹션을 참조하십시오.

3.1.3.7.1. 사용자 프로비저닝 클러스터의 DNS 구성 예

이 섹션에서는 사용자 프로비저닝 인프라에 OpenShift Container Platform을 배포하기 위한 DNS 요구 사항을 충족하는 A 및 PTR 레코드 구성 샘플을 제공합니다. 샘플은 하나의 DNS 솔루션을 선택하기 위한 조언을 제공하기 위한 것이 아닙니다.

이 예제에서 클러스터 이름은 ocp4이고 기본 도메인은 example.com입니다.

사용자 프로비저닝 클러스터의 DNS A 레코드 구성 예

다음 BIND 영역 파일의 예제에서는 사용자가 프로비저닝한 클러스터의 이름 확인을 위한 샘플 A 레코드를 보여줍니다.

예 3.7. 샘플 DNS 영역 데이터베이스

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
	IN	MX 10	smtp.example.com.
;
;
ns1.example.com.		IN	A	192.168.1.5
smtp.example.com.		IN	A	192.168.1.5
;
helper.example.com.		IN	A	192.168.1.5
helper.ocp4.example.com.	IN	A	192.168.1.5
;
api.ocp4.example.com.		IN	A	192.168.1.5 
1

api-int.ocp4.example.com.	IN	A	192.168.1.5 
2

;
*.apps.ocp4.example.com.	IN	A	192.168.1.5 
3

;
bootstrap.ocp4.example.com.	IN	A	192.168.1.96 
4

;
control-plane0.ocp4.example.com.	IN	A	192.168.1.97 
5

control-plane1.ocp4.example.com.	IN	A	192.168.1.98 
6

control-plane2.ocp4.example.com.	IN	A	192.168.1.99 
7

;
compute0.ocp4.example.com.	IN	A	192.168.1.11 
8

compute1.ocp4.example.com.	IN	A	192.168.1.7 
9

;
;EOF
Copy to Clipboard Toggle word wrap
1
Kubernetes API의 이름 확인을 제공합니다. 레코드는 API 로드 밸런서의 IP 주소를 나타냅니다.
2
Kubernetes API의 이름 확인을 제공합니다. 레코드는 API 로드 밸런서의 IP 주소를 참조하며 내부 클러스터 통신에 사용됩니다.
3
와일드카드 경로의 이름 확인을 제공합니다. 레코드는 애플리케이션 인그레스 로드 밸런서의 IP 주소를 나타냅니다. 애플리케이션 인그레스 로드 밸런서는 Ingress 컨트롤러 Pod를 실행하는 머신을 대상으로 합니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
참고

이 예제에서는 Kubernetes API 및 애플리케이션 인그레스 트래픽에 동일한 로드 밸런서를 사용합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

4
부트스트랩 시스템의 이름 확인을 제공합니다.
5 6 7
컨트롤 플레인 시스템의 이름 확인을 제공합니다.
8 9
컴퓨팅 시스템의 이름 확인을 제공합니다.

사용자 프로비저닝 클러스터의 DNS PTR 레코드 구성 예

다음 예제 BIND 영역 파일은 사용자 프로비저닝 클러스터의 역방향 이름 확인을 위한 샘플 PTR 레코드를 보여줍니다.

예 3.8. 역방향 레코드의 샘플 DNS 영역 데이터베이스

$TTL 1W
@	IN	SOA	ns1.example.com.	root (
			2019070700	; serial
			3H		; refresh (3 hours)
			30M		; retry (30 minutes)
			2W		; expiry (2 weeks)
			1W )		; minimum (1 week)
	IN	NS	ns1.example.com.
;
5.1.168.192.in-addr.arpa.	IN	PTR	api.ocp4.example.com. 
1

5.1.168.192.in-addr.arpa.	IN	PTR	api-int.ocp4.example.com. 
2

;
96.1.168.192.in-addr.arpa.	IN	PTR	bootstrap.ocp4.example.com. 
3

;
97.1.168.192.in-addr.arpa.	IN	PTR	control-plane0.ocp4.example.com. 
4

98.1.168.192.in-addr.arpa.	IN	PTR	control-plane1.ocp4.example.com. 
5

99.1.168.192.in-addr.arpa.	IN	PTR	control-plane2.ocp4.example.com. 
6

;
11.1.168.192.in-addr.arpa.	IN	PTR	compute0.ocp4.example.com. 
7

7.1.168.192.in-addr.arpa.	IN	PTR	compute1.ocp4.example.com. 
8

;
;EOF
Copy to Clipboard Toggle word wrap
1
Kubernetes API의 역방향 DNS 확인을 제공합니다. PTR 레코드는 API 로드 밸런서의 레코드 이름을 참조합니다.
2
Kubernetes API의 역방향 DNS 확인을 제공합니다. PTR 레코드는 API 로드 밸런서의 레코드 이름을 참조하며 내부 클러스터 통신에 사용됩니다.
3
부트스트랩 시스템의 역방향 DNS 확인을 제공합니다.
4 5 6
컨트롤 플레인 시스템의 역방향 DNS 확인을 제공합니다.
7 8
컴퓨팅 시스템의 역방향 DNS 확인을 제공합니다.
참고

OpenShift Container Platform 애플리케이션 와일드카드에는 PTR 레코드가 필요하지 않습니다.

3.1.3.8. 사용자 프로비저닝 인프라에 대한 로드 밸런싱 요구사항

OpenShift Container Platform을 설치하기 전에 API 및 애플리케이션 인그레스 로드 밸런싱 인프라를 프로비저닝해야 합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

참고

Red Hat Enterprise Linux(RHEL) 인스턴스에 API 및 애플리케이션 Ingress 로드 밸런서를 배포하려면 RHEL 구독을 별도로 구매해야 합니다.

로드 밸런서 인프라는 다음 요구 사항을 충족해야 합니다.

  1. API 로드 밸런서: 플랫폼과 상호 작용하고 플랫폼을 구성할 수 있도록 사용자(인간과 시스템 모두)에게 공통 끝점을 제공합니다. 다음 조건을 설정합니다.

    • Layer 4 로드 밸런싱 전용입니다. 이를 Raw TCP 또는 SSL Passthrough 모드라고 합니다.
    • 스테이트리스 로드 밸런싱 알고리즘입니다. 옵션은 로드 밸런서 구현에 따라 달라집니다.
    중요

    API 로드 밸런서에 대해 세션 지속성을 구성하지 마세요. Kubernetes API 서버에 대한 세션 지속성을 구성하면 OpenShift Container Platform 클러스터와 클러스터 내부에서 실행되는 Kubernetes API에 대한 과도한 애플리케이션 트래픽으로 인해 성능 문제가 발생할 수 있습니다.

    로드 밸런서의 전면과 후면 모두에서 다음 포트를 구성하십시오.

    Expand
    표 3.10. API 로드 밸런서
    포트백엔드 시스템(풀 멤버)내부외부설명

    6443

    부트스트랩 및 컨트롤 플레인. 부트스트랩 시스템이 클러스터 컨트롤 플레인을 초기화한 후 로드 밸런서에서 부트스트랩 시스템을 제거합니다. API 서버 상태 검사 프로브에 대한 /readyz 끝점을 구성해야 합니다.

    X

    X

    Kubernetes API 서버

    22623

    부트스트랩 및 컨트롤 플레인. 부트스트랩 시스템이 클러스터 컨트롤 플레인을 초기화한 후 로드 밸런서에서 부트스트랩 시스템을 제거합니다.

    X

     

    시스템 구성 서버

    참고

    API 서버가 /readyz 엔드포인트를 해제하는 시점부터 풀에서 API 서버 인스턴스가 제거되는 시점까지 시간이 30초를 넘지 않도록 로드 밸런서를 구성해야 합니다. /readyz가 오류를 반환하거나 정상 상태가 된 후 정해진 시간 안에 끝점이 제거 또는 추가되어야 합니다. 5초 또는 10초의 프로빙 주기(두 번의 성공적인 요청은 정상 상태, 세 번의 요청은 비정상 상태)는 충분한 테스트를 거친 값입니다.

  2. 애플리케이션 인그레스 로드 밸런서: 클러스터 외부에서 유입되는 애플리케이션 트래픽에 대한 인그래스 포인트를 제공합니다. 인그레스 라우터에 대한 작업 구성이 OpenShift Container Platform 클러스터에 필요합니다.

    다음 조건을 설정합니다.

    • Layer 4 로드 밸런싱 전용입니다. 이를 Raw TCP 또는 SSL Passthrough 모드라고 합니다.
    • 사용 가능한 옵션과 플랫폼에서 호스팅되는 애플리케이션 유형에 따라 연결 기반 또는 세션 기반 지속성이 권장됩니다.
    작은 정보

    애플리케이션 인그레스 로드 밸런서에서 클라이언트의 실제 IP 주소를 확인할 수 있는 경우 소스 IP 기반 세션 지속성을 활성화하면 엔드 투 엔드 TLS 암호화를 사용하는 애플리케이션의 성능을 향상시킬 수 있습니다.

    로드 밸런서의 전면과 후면 모두에서 다음 포트를 구성하십시오.

    Expand
    표 3.11. 애플리케이션 인그레스 로드 밸런서
    포트백엔드 시스템(풀 멤버)내부외부설명

    443

    기본적으로 인그레스 컨트롤러 pod, 컴퓨팅 또는 작업자를 실행하는 시스템입니다.

    X

    X

    HTTPS 트래픽

    80

    기본적으로 인그레스 컨트롤러 pod, 컴퓨팅 또는 작업자를 실행하는 시스템입니다.

    X

    X

    HTTP 트래픽

    참고

    컴퓨팅 노드가 0인 3-노드 클러스터를 배포하는 경우 Ingress 컨트롤러 Pod는 컨트롤 플레인 노드에서 실행됩니다. 3-노드 클러스터 배포에서 HTTP 및 HTTPS 트래픽을 컨트롤 플레인 노드로 라우팅하도록 애플리케이션 인그레스 로드 밸런서를 구성해야 합니다.

3.1.3.8.1. 사용자 프로비저닝 클러스터의 로드 밸런서 구성 예

이 섹션에서는 사용자 프로비저닝 클러스터의 로드 밸런싱 요구 사항을 충족하는 API 및 애플리케이션 수신 로드 밸런서 구성 예를 제공합니다. 샘플은 HAProxy 로드 밸런서에 대한 /etc/haproxy/haproxy.cfg 구성입니다. 이 예제에서는 하나의 로드 밸런싱 솔루션을 선택하기 위한 조언을 제공하는 것을 목적으로 하지 않습니다.

이 예제에서는 Kubernetes API 및 애플리케이션 인그레스 트래픽에 동일한 로드 밸런서를 사용합니다. 프로덕션 시나리오에서는 각각에 대해 개별적으로 로드 밸런서 인프라를 확장할 수 있도록 API 및 애플리케이션 인그레스 로드 밸런서를 별도로 배포할 수 있습니다.

참고

HAProxy를 로드 밸런서로 사용하고 SELinux가 enforcing으로 설정된 경우 HAProxy 서비스가 setsebool -P haproxy_connect_any=1을 실행하여 구성된 TCP 포트에 바인딩할 수 있는지 확인해야 합니다.

예 3.9. API 및 애플리케이션 인그레스 로드 밸런서 구성 샘플

global
  log         127.0.0.1 local2
  pidfile     /var/run/haproxy.pid
  maxconn     4000
  daemon
defaults
  mode                    http
  log                     global
  option                  dontlognull
  option http-server-close
  option                  redispatch
  retries                 3
  timeout http-request    10s
  timeout queue           1m
  timeout connect         10s
  timeout client          1m
  timeout server          1m
  timeout http-keep-alive 10s
  timeout check           10s
  maxconn                 3000
listen api-server-6443 
1

  bind *:6443
  mode tcp
  option  httpchk GET /readyz HTTP/1.0
  option  log-health-checks
  balance roundrobin
  server bootstrap bootstrap.ocp4.example.com:6443 verify none check check-ssl inter 10s fall 2 rise 3 backup 
2

  server master0 master0.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master1 master1.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
  server master2 master2.ocp4.example.com:6443 weight 1 verify none check check-ssl inter 10s fall 2 rise 3
listen machine-config-server-22623 
3

  bind *:22623
  mode tcp
  server bootstrap bootstrap.ocp4.example.com:22623 check inter 1s backup 
4

  server master0 master0.ocp4.example.com:22623 check inter 1s
  server master1 master1.ocp4.example.com:22623 check inter 1s
  server master2 master2.ocp4.example.com:22623 check inter 1s
listen ingress-router-443 
5

  bind *:443
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:443 check inter 1s
  server compute1 compute1.ocp4.example.com:443 check inter 1s
listen ingress-router-80 
6

  bind *:80
  mode tcp
  balance source
  server compute0 compute0.ocp4.example.com:80 check inter 1s
  server compute1 compute1.ocp4.example.com:80 check inter 1s
Copy to Clipboard Toggle word wrap
1
포트 6443은 Kubernetes API 트래픽을 처리하고 컨트롤 플레인 시스템을 가리킵니다.
2 4
부트스트랩 항목은 OpenShift Container Platform 클러스터 설치 전에 있어야 하며 부트스트랩 프로세스가 완료된 후 제거해야 합니다.
3
포트 22623은 머신 구성 서버 트래픽을 처리하고 컨트롤 플레인 시스템을 가리킵니다.
5
포트 443은 HTTPS 트래픽을 처리하고 Ingress 컨트롤러 Pod를 실행하는 시스템을 가리킵니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
6
포트 80은 HTTP 트래픽을 처리하고 Ingress 컨트롤러 Pod를 실행하는 머신을 가리킵니다. Ingress 컨트롤러 Pod는 기본적으로 컴퓨팅 머신에서 실행됩니다.
참고

컴퓨팅 노드가 0인 3-노드 클러스터를 배포하는 경우 Ingress 컨트롤러 Pod는 컨트롤 플레인 노드에서 실행됩니다. 3-노드 클러스터 배포에서 HTTP 및 HTTPS 트래픽을 컨트롤 플레인 노드로 라우팅하도록 애플리케이션 인그레스 로드 밸런서를 구성해야 합니다.

작은 정보

HAProxy를 로드 밸런서로 사용하는 경우 HAProxy 노드에서 netstat -nltupe를 실행하여 haproxy 프로세스가 포트 6443, 22623, 44380에서 수신 대기 중인지 확인할 수 있습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat