4.10. 정부 리전 또는 시크릿 리전에 AWS의 클러스터 설치


OpenShift Container Platform 4.9 버전에서는 정부 리전 또는 시크릿 리전에 AWS(Amazon Web Services)의 클러스터를 설치할 수 있습니다. 리전을 구성하려면 클러스터를 설치하기 전에 install-config.yaml 파일에서 매개변수를 수정합니다.

4.10.1. 사전 요구 사항

4.10.2. AWS 정부 및 시크릿 리전

OpenShift Container Platform은 AWS GovCloud (US) 리전 및 AWS Commercial Cloud Services (C2S) Top Secret Region 에 클러스터 배포를 지원합니다. 이러한 리전은 연방, 주, 지역 수준의 미국 정부 기관은 물론 클라우드에서 중요한 워크로드를 실행해야 하는 미국 정부 기관, 계약자, 교육 기관 및 기타 미국 고객을 위해 설계되었습니다.

이러한 리전에는 선택할 수 있는Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지(AMI)가 게시되지 않았으므로 해당 리전에 속하는 사용자 지정 AMI를 업로드해야 합니다.

다음 AWS GovCloud 파티션이 지원됩니다.

  • us-gov-west-1
  • us-gov-east-1

다음 AWS 최상위 시크릿 리전 파티션이 지원됩니다.

  • us-iso-east-1
참고

AWS 최상위 시크릿 리전에서 지원되는 최대 MTU는 AWS 상용과 동일하지 않습니다. 설치 중 MTU 구성에 대한 자세한 내용은 네트워크 사용자 지정을 사용하여 AWS에 클러스터 설치Cluster Network Operator 구성 오브젝트 섹션을 참조하십시오.

4.10.3. 설치 요구 사항

Red Hat은 AWS 정부 또는 시크릿 리전의 RHCOS(Red Hat Enterprise Linux CoreOS) Amzaon 머신 이미지를 게시하지 않습니다.

클러스터를 설치하려면 먼저 다음을 수행해야 합니다.

  • 사용자 지정 RHCOS AMI를 업로드합니다.
  • 수동으로 설치 구성 파일 (install-config.yaml)을 생성합니다.
  • 설치 구성 파일에서 AWS 리전 및 관련 사용자 지정 AMI를 지정합니다.

OpenShift Container Platform 설치 프로그램을 사용하여 설치 구성 파일을 생성할 수 없습니다. 설치 프로그램에서 RHCOS AMI에 대한 기본 지원 없이 AWS 리전을 나열하지 않습니다.

중요

C2S Top Secret Region에 배포하는 경우 AWS API에 사용자 정의 CA 신뢰 번들이 필요하므로 install-config.yaml 파일의 additionalTrustBundle 필드에 사용자 정의 CA 인증서도 정의해야 합니다. 설치 프로그램이 AWS API에 액세스할 수 있도록 하려면 설치 프로그램을 실행하는 머신에 CA 인증서를 정의해야 합니다. 머신의 신뢰 저장소에 CA 번들을 추가하고 AWS_CA_BUNDLE 환경 변수를 사용하거나 AWS 구성 파일의 ca_bundle 필드에 CA 번들을 정의해야 합니다.

4.10.4. 프라이빗 클러스터

외부 엔드 포인트를 노출하지 않는 비공개 OpenShift Container Platform 클러스터를 배포할 수 있습니다. 프라이빗 클러스터는 내부 네트워크에서만 액세스할 수 있으며 인터넷에 표시되지 않습니다.

참고

퍼블릭 영역은 AWS GovCloud 또는 Top Secret Region의 Route 53에서 지원되지 않습니다. 따라서 클러스터가 AWS 정부 또는 시크릿 리전에 배포된 경우 프라이빗으로 설정되어야 합니다.

기본적으로 OpenShift Container Platform은 공개적으로 액세스 가능한 DNS 및 끝점을 사용하여 프로비저닝됩니다. 따라서 개인 클러스터를 배포할 때 클러스터에서 DNS, Ingress Controller 및 API 서버를 비공개로 설정할 수 있습니다. 즉 클러스터 리소스는 내부 네트워크에서만 액세스할 수 있고 인터넷에는 노출되지 않습니다.

중요

클러스터에 퍼블릭 서브넷이 있는 경우 관리자가 생성한 로드 밸런서 서비스에 공개적으로 액세스할 수 있습니다. 클러스터 보안을 보장하기 위해 이러한 서비스에 명시적으로 주석이 지정되었는지 확인합니다.

프라이빗 클러스터를 배포하려면 다음을 수행해야 합니다.

  • 요구 사항을 충족하는 기존 네트워킹을 사용합니다. 네트워크의 다른 클러스터 사이에 클러스터 리소스를 공유할 수 있습니다.
  • 다음에 액세스할 수 있는 머신에서 배포합니다.

    • 프로비저닝하는 클라우드용 API 서비스
    • 프로비저닝하는 네트워크의 호스트
    • 설치 미디어를 가져올 인터넷

이러한 액세스 요구사항을 충족하고 회사의 지침을 따르는 모든 시스템을 사용할 수 있습니다. 클라우드 네트워크의 배스천 호스트 또는 VPN을 통해 네트워크에 액세스할 수 있는 시스템 등을 예로 들 수 있습니다.

4.10.4.1. AWS의 개인 클러스터

AWS(Amazon Web Services)에 개인 클러스터를 생성하려면 클러스터를 호스팅할 기존 프라이빗 VPC와 서브넷을 제공해야 합니다. 또한 설치 프로그램에서 클러스터에 필요한 DNS 레코드를 확인할 수 있어야 합니다. 설치 프로그램은 개인 네트워크에서만 액세스할 수 있도록 Ingress Operator 및 API 서버를 구성합니다.

클러스터가 AWS API에 액세스하려면 여전히 인터넷 접속이 필요합니다.

다음은 프라이빗 클러스터를 설치할 때 필요하지 않거나 생성되지 않는 항목들입니다.

  • 퍼블릭 서브넷
  • 공용 인그레스를 지원하는 공용 로드 밸런서
  • 클러스터의 baseDomain과 일치하는 공용 Route 53 영역

설치 프로그램은 사용자가 지정하는 baseDomain을 사용하여 프라이빗 Route 53 영역과 클러스터에 필요한 레코드를 생성합니다. Operator가 클러스터에 대한 공용 레코드를 생성하지 않고 사용자가 지정하는 프라이빗 서브넷에 모든 클러스터 시스템이 배치되도록 클러스터가 구성됩니다.

4.10.4.1.1. 제한

프라이빗 클러스터에 공용 기능을 추가하는 기능은 제한됩니다.

  • 설치 후에는 VPC에서 사용 중인 각 가용성 영역의 퍼블릭 서브넷 생성, 공용 로드 밸런서 생성, 6443(Kubernetes API 포트)의 인터넷 트래픽을 허용하도록 컨트롤 플레인 보안 그룹 구성 등 추가 조치 없이 Kubernetes API 엔드포인트를 공개할 수 없습니다.
  • 공용 서비스 유형 로드 밸런서를 사용하는 경우 AWS가 공용 로드 밸런서를 생성하는 데 사용할 수 있도록 각 가용성 영역의 퍼블릭 서브넷에 kubernetes.io/cluster/<cluster-infra-id>: shared 태그를 지정해야 합니다.

4.10.5. 사용자 지정 VPC 사용 정보

OpenShift Container Platform 4.9에서는 AWS(Amazon Web Services)의 기존 Amazon VPC(Virtual Private Cloud)에 있는 기존 서브넷에 클러스터를 배포할 수 있습니다. 기존 GCP VPC에 OpenShift Container Platform을 배포하면 새 계정의 한도 제한 적용을 받지 않거나 회사의 지침에 따른 운영 제한을 보다 쉽게 준수할 수 있습니다. VPC를 직접 생성하는 데 필요한 인프라 생성 권한을 받을 수 없는 경우 이 설치 옵션을 사용합니다.

설치 프로그램은 기존 서브넷에 있는 다른 구성 요소를 알 수 없으므로 사용자를 대신하여 서브넷 CIDR 등을 선택할 수 없습니다. 클러스터를 직접 설치하는 서브넷에 대한 네트워킹을 구성해야 합니다.

4.10.5.1. VPC 사용 요구사항

설치 프로그램은 더 이상 다음 구성 요소를 생성하지 않습니다.

  • 인터넷 게이트웨이
  • NAT 게이트웨이
  • 서브넷
  • 라우팅 테이블
  • VPC
  • VPC DHCP 옵션
  • VPC 끝점
참고

설치 프로그램을 사용하려면 클라우드 제공 DNS 서버를 사용해야 합니다. 사용자 지정 DNS 서버 사용은 지원되지 않으며 이로 인해 설치에 실패합니다.

사용자 지정 VPC를 사용하는 경우, 사용할 클러스터와 설치 프로그램에 맞게 VPC와 해당 서브넷을 구성해야 합니다. AWS VPC 생성 및 관리에 대한 자세한 내용은 AWS 문서의 Amazon VPC 콘솔 마법사 구성 및 VPC 및 서브넷 작업을 참조하십시오.

설치 프로그램은 다음을 수행할 수 없습니다.

  • 클러스터에서 사용할 네트워크 범위를 세분합니다.
  • 서브넷의 라우팅 테이블을 설정합니다.
  • DHCP와 같은 VPC 옵션을 설정합니다.

클러스터를 설치하기 전에 이러한 작업을 완료해야 합니다. AWS VPC의 네트워킹 구성에 대한 자세한 내용은 VPC 네트워킹 구성 요소 및 경로 테이블을 참조하십시오.

VPC는 다음 특성을 충족해야 합니다.

  • VPC는 kubernetes.io/cluster/.*: owned 태그를 사용해서는 안 됩니다.

    설치 프로그램은 kubernetes.io/cluster/.*: shared 태그를 추가하도록 서브넷을 수정하므로 서브넷에 사용 가능한 여유 태그 슬롯이 하나 이상 있어야 합니다. AWS 문서의 태그 제한 사항을 참조하여 설치 프로그램이 사용자가 지정하는 각 서브넷에 태그를 추가할 수 있는지 확인합니다.

  • 클러스터가 VPC에 연결된 Route 53 영역을 사용하여 클러스터의 내부 DNS 레코드를 확인할 수 있도록 VPC에서 enableDnsSupport 및 enableDnsHostnames 속성을 활성화해야 합니다. AWS 문서에서 VPC의 DNS 지원을 참조하십시오.

    자체 Route 53 호스팅 프라이빗 영역을 사용하려면 클러스터를 설치하기 전에 기존 호스팅 영역을 VPC와 연결해야 합니다. install-config.yaml 파일에서 platform.aws.hostedZone 필드를 사용하여 호스팅 영역을 정의할 수 있습니다.

  • 공용 액세스 권한이 있는 클러스터를 사용하는 경우 클러스터가 사용하는 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 만들어야 합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 1개 이상 포함될 수 있습니다.

연결이 끊긴 환경에서 작업 중인 경우에는 EC2 및 ELB 끝점의 공용 IP 주소에 도달할 수 없습니다. 이 문제를 해결하려면 VPC 끝점을 생성하여 클러스터가 사용 중인 서브넷에 연결해야 합니다. 올바른 끝점의 이름은 다음과 같습니다.

정부 리전

  • ec2.<region>.amazonaws.com
  • elasticloadbalancing.<region>.amazonaws.com
  • s3.<region>.amazonaws.com

보안 최상위 리전

  • ec2.<region>.c2s.ic.gov
  • elasticloadbalancing.<region>.c2s.ic.gov
  • s3.<region>.c2s.ic.gov

필수 VPC 구성 요소

시스템과의 통신을 허용하는 서브넷과 적합한 VPC를 제공해야 합니다.

구성 요소AWS 유형설명

VPC

  • AWS::EC2::VPC
  • AWS::EC2::VPCEndpoint

클러스터에서 사용할 공용 VPC를 제공해야 합니다. VPC는 각 서브넷의 라우팅 테이블을 참조하는 끝점을 사용하여 S3에서 호스팅되는 레지스트리와의 통신을 개선합니다.

퍼블릭 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::SubnetNetworkAclAssociation

VPC에는 1 ~ 3개의 가용성 영역에 대한 퍼블릭 서브넷이 있어야 하며 이 서브넷을 적절한 인그레스 규칙과 연결해야 합니다.

인터넷 게이트웨이

  • AWS::EC2::InternetGateway
  • AWS::EC2::VPCGatewayAttachment
  • AWS::EC2::RouteTable
  • AWS::EC2::Route
  • AWS::EC2::SubnetRouteTableAssociation
  • AWS::EC2::NatGateway
  • AWS::EC2::EIP

공용 경로가 있는 공용 인터넷 게이트웨이가 VPC에 연결되어 있어야 합니다. 제공된 템플릿에서 각 퍼블릭 서브넷에는 EIP 주소를 갖는 NAT 게이트웨이가 있습니다. 이러한 NAT 게이트웨이를 사용하면 프라이빗 서브넷 인스턴스와 같은 클러스터 리소스가 인터넷에 도달할 수 있으므로 일부 제한된 네트워크 또는 프록시 시나리오에는 필요하지 않습니다.

네트워크 액세스 제어

  • AWS::EC2::NetworkAcl
  • AWS::EC2::NetworkAclEntry

VPC가 다음 포트에 액세스할 수 있어야 합니다.

포트

이유

80

인바운드 HTTP 트래픽

443

인바운드 HTTPS 트래픽

22

인바운드 SSH 트래픽

1024 - 65535

인바운드 임시 트래픽

0 - 65535

아웃바운드 임시 트래픽

프라이빗 서브넷

  • AWS::EC2::Subnet
  • AWS::EC2::RouteTable
  • AWS::EC2::SubnetRouteTableAssociation

VPC에 프라이빗 서브넷이 포함될 수 있습니다. 제공된 CloudFormation 템플릿은 1 ~ 3개 가용성 영역의 프라이빗 서브넷을 생성할 수 있습니다. 프라이빗 서브넷을 사용하는 경우 적절한 경로와 테이블을 제공해야 합니다.

4.10.5.2. VPC 검증

제공한 서브넷이 적합한지 확인하기 위해 설치 프로그램이 다음 데이터를 확인합니다.

  • 사용자가 지정하는 모든 서브넷이 있는지 여부.
  • 사용자가 프라이빗 서브넷을 제공합니다.
  • 서브넷 CIDR이 사용자가 지정한 시스템 CIDR에 속합니다.
  • 각 가용성 영역에 서브넷을 제공합니다. 각 가용성 영역에는 퍼블릭 서브넷과 프라이빗 서브넷이 하나씩 포함됩니다. 개인 클러스터를 사용하는 경우 각 가용성 영역에 프라이빗 서브넷만 제공합니다. 그렇지 않으면 각 가용성 영역에 퍼블릭 서브넷과 프라이빗 서브넷을 하나씩만 제공합니다.
  • 각 프라이빗 서브넷 가용성 영역에 퍼블릭 서브넷을 제공합니다. 프라이빗 서브넷을 제공하지 않는 가용성 영역에서는 시스템이 프로비저닝되지 않습니다.

기존 VPC를 사용하는 클러스터를 제거해도 VPC는 삭제되지 않습니다. VPC에서 OpenShift Container Platform 클러스터를 제거하면 클러스터가 사용한 서브넷에서 kubernetes.io/cluster/.*: shared 태그가 제거됩니다.

4.10.5.3. 권한 분할

OpenShift Container Platform 4.3부터 클러스터를 배포하는 데 설치 프로그램에서 프로비저닝한 인프라 클러스터에 필요한 권한 중 일부가 필요하지 않게 되었습니다. 이 변경 사항은 회사의 권한 분류와 유사합니다. 즉 일부 개인의 경우 클라우드에서 다른 사람들과 다른 리소스를 생성할 수 있습니다. 예를 들어 인스턴스, 버킷, 로드 밸런서와 같은 애플리케이션 관련 항목은 생성할 수 있지만 VPC 서브넷 또는 인그레스 규칙과 같은 네트워킹 관련 구성 요소는 생성하지 못할 수 있습니다.

클러스터를 생성할 때 사용하는 GCP 자격 증명에는 서브넷, 라우팅 테이블, 인터넷 게이트웨이, NAT, VPN과 같은 VPC 내 핵심 네트워킹 구성 요소와 VPC를 생성하는 데 필요한 네트워킹 권한이 필요하지 않습니다. 하지만 ELB, 보안 그룹, S3 버킨 및 노드와 같이 클러스터 내 시스템에 필요한 애플리케이션 리소스를 생성하려면 여전히 권한이 필요합니다.

4.10.5.4. 클러스터 간 격리

OpenShift Container Platform을 기존 네트워크에 배포하면 클러스터 서비스 격리가 다음과 같은 방식으로 감소합니다.

  • 동일한 VPC에 여러 OpenShift Container Platform 클러스터를 설치할 수 있습니다.
  • ICMP 인그레스가 전체 네트워크에서 허용됩니다.
  • TCP 22 인그레스(SSH)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 6443 인그레스(Kubernetes API)가 전체 네트워크에 허용됩니다.
  • 컨트롤 플레인 TCP 22623 인그레스(MCS)가 전체 네트워크에 허용됩니다.

4.10.6. OpenShift Container Platform 용 인터넷 액세스

OpenShift Container Platform 4.9에서 클러스터를 설치하려면 인터넷 액세스가 필요합니다.

다음의 경우 인터넷 액세스가 필요합니다.

  • OpenShift Cluster Manager 에 액세스하여 설치 프로그램을 다운로드하고 서브스크립션 관리를 수행합니다. 클러스터가 인터넷에 액세스할 수 있고 Telemetry 서비스를 비활성화하지 않은 경우, 클러스터에 자동으로 권한이 부여됩니다.
  • Quay.io에 액세스. 클러스터를 설치하는 데 필요한 패키지를 받을 수 있습니다.
  • 클러스터 업데이트를 수행하는 데 필요한 패키지를 받을 수 있습니다.
중요

클러스터가 직접 인터넷에 액세스할 수 없는 경우, 프로비저닝하는 일부 유형의 인프라에서 제한된 네트워크 설치를 수행할 수 있습니다. 이 프로세스 동안 필요한 콘텐츠를 다운로드하고 이를 사용하여 설치 패키지로 미러 레지스트리를 채웁니다. 설치 유형에 따라서는 클러스터를 설치하는 환경에 인터넷 액세스가 필요하지 않을 수도 있습니다. 클러스터를 업데이트하기 전에 미러 레지스트리의 내용을 업데이트합니다.

4.10.7. 클러스터 노드 SSH 액세스를 위한 키 쌍 생성

OpenShift Container Platform을 설치하는 동안 SSH 공개 키를 설치 프로그램에 지정할 수 있습니다. 키는 Ignition 구성 파일을 통해 RHCOS(Red Hat Enterprise Linux CoreOS) 노드에 전달되며 노드에 대한 SSH 액세스를 인증하는 데 사용됩니다. 키는 각 노드에서 core 사용자의 ~/.ssh/authorized_keys 목록에 추가되어 암호 없는 인증을 활성화합니다.

키가 노드에 전달되면 키 쌍을 사용하여 사용자 core로 RHCOS 노드에 SSH로 SSH 연결을 수행할 수 있습니다 . SSH를 통해 노드에 액세스하려면 로컬 사용자의 SSH에서 개인 키 ID를 관리해야 합니다.

설치 디버깅 또는 재해 복구를 수행하기 위해 클러스터 노드에 SSH를 실행하려면 설치 프로세스 중에 SSH 공용 키를 지정해야 합니다. ./openshift-install gather 명령에도 SSH 공개 키가 클러스터 노드에 있어야 합니다.

중요

재해 복구 및 디버깅이 필요한 프로덕션 환경에서는이 단계를 생략하지 마십시오.

참고

AWS 키 쌍과 같이 플랫폼 고유의 방식으로 구성된 키가 아닌 로컬 키를 사용해야 합니다.

프로세스

  1. 로컬 시스템에 클러스터 노드의 인증에 사용할 기존 SSH 키 쌍이 없는 경우 새로 생성합니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다.

    $ ssh-keygen -t ed25519 -N '' -f <path>/<file_name> 1
    1
    새 SSH 키의 경로 및 파일 이름(예: ~/.ssh/id_ed25519 )을 지정합니다. 기존 키 쌍이 있는 경우 공개 키가 '~/.ssh 디렉터리에 있는지 확인하십시오.
    참고

    x86_64 아키텍처에 FIPS 검증 / 진행중인 모듈 (Modules in Process) 암호화 라이브러리를 사용하는 OpenShift Container Platform 클러스터를 설치하려면 ed25519 알고리즘을 사용하는 키를 생성하지 마십시오. 대신 rsa 또는 ecdsa 알고리즘을 사용하는 키를 생성합니다.

  2. 공개 SSH 키를 확인합니다.

    $ cat <path>/<file_name>.pub

    예를 들어 다음을 실행하여 ~/.ssh/id_ed25519.pub 공개 키를 확인합니다.

    $ cat ~/.ssh/id_ed25519.pub
  3. 아직 추가되지 않은 경우 로컬 사용자의 SSH 에이전트에 SSH 개인 키 ID를 추가합니다. 키의 SSH 에이전트 관리는 클러스터 노드에 암호 없는 SSH 인증을 수행하거나 ./openshift-install gather 명령을 사용하려는 경우 필요합니다.

    참고

    일부 배포에서는 ~/.ssh/id_rsa~/.ssh/id_dsa와 같은 기본 SSH 개인 키 ID가 자동으로 관리됩니다.

    1. ssh-agent 프로세스가 로컬 사용자에 대해 실행되지 않은 경우 백그라운드 작업으로 시작합니다.

      $ eval "$(ssh-agent -s)"

      출력 예

      Agent pid 31874

      참고

      클러스터가 FIPS 모드인 경우 FIPS 호환 알고리즘만 사용하여 SSH 키를 생성합니다. 키는 RSA 또는 ECDSA여야 합니다.

  4. ssh-agent에 SSH 개인 키를 추가합니다.

    $ ssh-add <path>/<file_name> 1
    1
    SSH 개인 키의 경로 및 파일 이름을 지정합니다(예: ~/.ssh/id_ed25519).

    출력 예

    Identity added: /home/<you>/<path>/<file_name> (<computer_name>)

다음 단계

  • OpenShift Container Platform을 설치할 때 SSH 공개 키를 설치 프로그램에 지정합니다.

4.10.8. AWS에서 사용자 지정 RHCOS AMI 업로드

사용자 지정 Amazon Web Services (AWS) 리전에 배포하는 경우 해당 리전에 속하는 사용자 지정 Red Hat Enterprise Linux CoreOS (RHCOS) Amazon 머신 이미지 (AMI)를 업로드해야 합니다.

사전 요구 사항

  • AWS 계정을 구성했습니다.
  • 필요한 IAM 서비스 역할로 Amazon S3 버킷을 생성했습니다.
  • RHCOS VMDK 파일을 Amazon S3에 업로드했습니다. RHCOS VMDK 파일은 설치하는 OpenShift Container Platform 버전과 같거나 그 이하의 버전이어야 합니다.
  • AWS CLI를 다운로드하여 컴퓨터에 설치했습니다. Install the AWS CLI Using the Bundled Installer를 참조하십시오.

프로세스

  1. AWS 프로필을 환경 변수로 내보냅니다.

    $ export AWS_PROFILE=<aws_profile> 1
    1
    govcloud와 같이 AWS 인증 정보를 보유하는 AWS 프로필 이름입니다.
  2. 사용자 지정 AMI와 연결할 리전을 환경 변수로 내보냅니다.

    $ export AWS_DEFAULT_REGION=<aws_region> 1
    1
    us-gov-east-1과 같은 AWS 리전.
  3. Amazon S3에 업로드한 RHCOS 버전을 환경 변수로 내보냅니다.

    $ export RHCOS_VERSION=<version> 1
    1
    4.9.0 과 같은 RHCOS VMDK 버전입니다.
  4. Amazon S3 버킷 이름을 환경 변수로 내보냅니다.

    $ export VMIMPORT_BUCKET_NAME=<s3_bucket_name>
  5. container.json 파일을 만들고 RHCOS VMDK 파일을 정의합니다.

    $ cat <<EOF > containers.json
    {
       "Description": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64",
       "Format": "vmdk",
       "UserBucket": {
          "S3Bucket": "${VMIMPORT_BUCKET_NAME}",
          "S3Key": "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64.vmdk"
       }
    }
    EOF
  6. RHCOS 디스크를 Amazon EBS 스냅샷으로 가져옵니다.

    $ aws ec2 import-snapshot --region ${AWS_DEFAULT_REGION} \
         --description "<description>" \ 1
         --disk-container "file://<file_path>/containers.json" 2
    1
    가져온 RHCOS 디스크에 대한 설명 (예: rhcos-$ {RHCOS_VERSION} -x86_64-aws.x86_64)입니다.
    2
    RHCOS 디스크를 설명하는 JSON 파일의 파일 경로입니다. JSON 파일에는 Amazon S3 버킷 이름과 키가 포함되어 있어야합니다.
  7. 이미지 가져 오기 상태를 확인합니다.

    $ watch -n 5 aws ec2 describe-import-snapshot-tasks --region ${AWS_DEFAULT_REGION}

    출력 예

    {
        "ImportSnapshotTasks": [
            {
                "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                "ImportTaskId": "import-snap-fh6i8uil",
                "SnapshotTaskDetail": {
                    "Description": "rhcos-4.7.0-x86_64-aws.x86_64",
                    "DiskImageSize": 819056640.0,
                    "Format": "VMDK",
                    "SnapshotId": "snap-06331325870076318",
                    "Status": "completed",
                    "UserBucket": {
                        "S3Bucket": "external-images",
                        "S3Key": "rhcos-4.7.0-x86_64-aws.x86_64.vmdk"
                    }
                }
            }
        ]
    }

    SnapshotId를 복사하여 이미지를 등록합니다.

  8. RHCOS 스냅 샷에서 사용자 지정 RHCOS AMI를 생성합니다.

    $ aws ec2 register-image \
       --region ${AWS_DEFAULT_REGION} \
       --architecture x86_64 \ 1
       --description "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 2
       --ena-support \
       --name "rhcos-${RHCOS_VERSION}-x86_64-aws.x86_64" \ 3
       --virtualization-type hvm \
       --root-device-name '/dev/xvda' \
       --block-device-mappings 'DeviceName=/dev/xvda,Ebs={DeleteOnTermination=true,SnapshotId=<snapshot_ID>}' 4
    1
    x86_64, s390x 또는 ppc64le과 같은 RHCOS VMDK 아키텍처 유형입니다.
    2
    가져온 스냅샷의 Description입니다.
    3
    RHCOS AMI의 이름입니다.
    4
    가져온 스냅샷의 SnapshotID입니다.

이러한 API에 대한 자세한 내용은 importing snapshotscreating EBS-backed AMIs에서 참조하십시오.

4.10.9. AWS Marketplace 이미지 가져오기

AWS Marketplace 이미지를 사용하여 OpenShift Container Platform 클러스터를 배포하는 경우 먼저 AWS를 통해 구독해야 합니다. 이 제공을 구독하면 설치 프로그램이 작업자 노드를 배포하는 데 사용하는 AMI ID를 제공합니다.

참고

AWS Marketplace 이미지를 사용하여 OpenShift Container Platform 클러스터를 배포하는 것은 시크릿 리전 또는 중국 지역에서 지원되지 않습니다.

사전 요구 사항

  • 이 제안을 구매할 수 있는 AWS 계정이 있어야 합니다. 이 계정은 클러스터를 설치하는 데 사용되는 계정과 같을 필요는 없습니다.

프로세스

  1. AWS Marketplace 에서 OpenShift Container Platform 서브스크립션을 완료합니다.
  2. 특정 지역에 대한 AMI ID를 기록합니다. 설치 프로세스의 일부로 클러스터를 배포하기 전에 install-config.yaml 파일을 이 값으로 업데이트해야 합니다.

AWS Marketplace 작업자 노드가 있는 샘플 install-config.yaml 파일

apiVersion: v1
baseDomain: example.com
compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      amiID: ami-06c4d345f7c207239 1
      type: m5.4xlarge
  replicas: 3
metadata:
  name: test-cluster
platform:
  aws:
    region: us-gov-west-1 2
sshKey: ssh-ed25519 AAAA...
pullSecret: '{"auths": ...}'

1
AWS Marketplace 서브스크립션의 AMI ID입니다.
2
AMI ID는 특정 AWS 리전과 연결되어 있습니다. 설치 구성 파일을 생성할 때 서브스크립션을 구성할 때 지정한 것과 동일한 AWS 리전을 선택해야 합니다.

4.10.10. 설치 프로그램 받기

OpenShift Container Platform을 설치하기 전에 로컬 컴퓨터에 설치 파일을 다운로드합니다.

사전 요구 사항

  • 500MB의 로컬 디스크 공간이 있는 Linux 또는 macOS를 실행하는 컴퓨터가 있습니다.

프로세스

  1. OpenShift Cluster Manager 사이트의 인프라 공급자 페이지에 액세스합니다. Red Hat 계정이 있으면 사용자 자격 증명으로 로그인합니다. 계정이 없으면 계정을 만드십시오.
  2. 인프라 공급자를 선택합니다.
  3. 설치 유형 페이지로 이동한 다음, 운영 체제에 맞는 설치 프로그램을 다운로드하여 설치 구성 파일을 저장할 디렉터리에 파일을 저장합니다.

    중요

    설치 프로그램은 클러스터를 설치하는 데 사용하는 컴퓨터에 여러 파일을 만듭니다. 클러스터 설치를 마친 후 설치 프로그램과 설치 프로그램으로 생성되는 파일을 보관해야 합니다. 클러스터를 삭제하려면 두 파일이 모두 필요합니다.

    중요

    클러스터 설치에 실패하거나 설치 프로그램으로 만든 파일을 삭제해도 클러스터는 제거되지 않습니다. 클러스터를 제거하려면 해당 클라우드 공급자에 적용되는 OpenShift Container Platform 설치 제거 절차를 완료해야 합니다.

  4. 설치 프로그램 파일의 압축을 풉니다. 예를 들어 Linux 운영 체제를 사용하는 컴퓨터에서 다음 명령을 실행합니다.

    $ tar -xvf openshift-install-linux.tar.gz
  5. Red Hat OpenShift Cluster Manager에서 설치 풀 시크릿 을 다운로드합니다. 이 풀 시크릿을 사용하면 OpenShift Container Platform 구성 요소에 대한 컨테이너 이미지를 제공하는 Quay.io를 포함하여 인증 기관에서 제공하는 서비스로 인증할 수 있습니다.

4.10.11. 수동으로 설치 구성 파일 만들기

사용자 지정 Red Hat Enterprise Linux CoreOS (RHCOS) AMI가 필요한 리전에 Amazon Web Services (AWS)에서 OpenShift Container Platform을 설치할 때 설치 구성 파일을 수동으로 생성해야 합니다.

사전 요구 사항

  • 사용자 정의 RHCOS AMI를 업로드했습니다.
  • 로컬 시스템에 설치 프로그램에 제공할 SSH 공개 키가 있습니다. 키는 디버깅 및 재해 복구를 위해 클러스터 노드에 대한 SSH 인증에 사용됩니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿이 있습니다.

프로세스

  1. 필요한 설치 자산을 저장할 설치 디렉터리를 만듭니다.

    $ mkdir <installation_directory>
    중요

    디렉터리를 만들어야 합니다. 부트스트랩 X.509 인증서와 같은 일부 설치 자산은 단기간에 만료되므로 설치 디렉터리를 재사용해서는 안 됩니다. 다른 클러스터 설치의 개별 파일을 재사용하려면 해당 파일을 사용자 디렉터리에 복사하면 됩니다. 그러나 설치 자산의 파일 이름은 릴리스간에 변경될 수 있습니다. 따라서 이전 OpenShift Container Platform 버전에서 설치 파일을 복사할 때는 주의하십시오.

  2. 샘플 install-config.yaml 파일 템플릿을 사용자 지정하여 <installation_directory>에 저장합니다.

    참고

    이 설정 파일의 이름을 install-config.yaml로 지정해야 합니다.

  3. 여러 클러스터를 설치하는 데 사용할 수 있도록 install-config.yaml 파일을 백업합니다.

    중요

    install-config.yaml 파일은 설치 과정의 다음 단계에서 사용됩니다. 이 시점에서 이를 백업해야 합니다.

4.10.11.1. 설치 구성 매개변수

OpenShift Container Platform 클러스터를 배포하기 전에 매개변수 값을 제공하여 클러스터를 호스팅할 클라우드 플랫폼에서 사용자 계정을 설명하고 선택사항으로 클러스터의 플랫폼을 사용자 지정합니다. install-config.yaml 설치 구성 파일을 생성할 때 명령줄을 통해 필요한 매개변수 값을 제공합니다. 클러스터를 사용자 지정하면 install-config.yaml 파일을 수정하여 플랫폼에 대한 세부 정보를 제공할 수 있습니다.

참고

설치한 후에는 install-config.yaml 파일에서 이러한 매개변수를 수정할 수 없습니다.

중요

openshift-install 명령은 매개변수의 필드 이름을 검증하지 않습니다. 잘못된 이름이 지정되면 관련 파일 또는 오브젝트가 생성되지 않으며 오류가 보고되지 않습니다. 지정된 매개변수의 필드 이름이 올바른지 확인합니다.

4.10.11.1.1. 필수 구성 매개변수

필수 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.32. 필수 매개 변수
매개변수설명

apiVersion

install-config.yaml 콘텐츠의 API 버전입니다. 현재 버전은 v1입니다. 설치 관리자가 이전 API 버전도 지원할 수 있습니다.

문자열

baseDomain

클라우드 공급자의 기본 도메인입니다. 기본 도메인은 OpenShift Container Platform 클러스터 구성 요소에 대한 경로를 생성하는 데 사용됩니다. 클러스터의 전체 DNS 이름은 baseDomainmetadata.name 매개변수 값의 조합으로, <metadata.name>.<baseDomain> 형식입니다.

정규화된 도메인 또는 하위 도메인 이름(예: example.com).

metadata

Kubernetes 리소스 ObjectMetaname 매개변수만 사용합니다.

개체

metadata.name

클러스터의 이름입니다. 클러스터의 DNS 레코드는 {{.metadata.name}}.{{. baseDomain}} 형식의 모든 하위 도메인입니다.

소문자, 하이픈(-), 마침표(.)로 구성되는 문자열(예: dev)입니다.

platform

설치를 수행할 특정 플랫폼에 대한 구성: aws,baremetal,azure,gcp,openstack,ovirt,vsphere, 또는 {}. platform.<platform> 매개변수에 대한 자세한 내용은 다음 표에서 사용자 플랫폼에 해당하는 정보를 참조하십시오.

개체

pullSecret

Red Hat OpenShift Cluster Manager에서 풀 시크릿 을 가져와서 Quay.io와 같은 서비스에서 OpenShift Container Platform 구성 요소의 컨테이너 이미지 다운로드를 인증합니다.

{
   "auths":{
      "cloud.openshift.com":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      },
      "quay.io":{
         "auth":"b3Blb=",
         "email":"you@example.com"
      }
   }
}
4.10.11.1.2. 네트워크 구성 매개변수

기존 네트워크 인프라의 요구 사항에 따라 설치 구성을 사용자 지정할 수 있습니다. 예를 들어 클러스터 네트워크의 IP 주소 블록을 확장하거나 기본값과 다른 IP 주소 블록을 제공할 수 있습니다.

IPv4 주소만 지원됩니다.

표 4.33. 네트워크 매개변수
매개변수설명

networking

클러스터의 네트워크의 구성입니다.

개체

참고

설치한 후에는 networking 오브젝트에서 지정된 매개변수를 수정할 수 없습니다.

networking.networkType

설치할 클러스터 네트워크 공급자 CNI(Container Network Interface) 플러그인입니다.

OpenShiftSDN 또는 OVNKubernetes 중 하나이며, OpenShiftSDN 은 모든 Linux 네트워크의 CNI 공급자입니다. OVNKubernetes 는 Linux 및 Windows 서버를 모두 포함하는 Linux 네트워크 및 하이브리드 네트워크의 CNI 공급자입니다. 기본값은 OpenShiftSDN입니다.

networking.clusterNetwork

Pod의 IP 주소 블록입니다.

기본값은 10.128.0.0/14이며, 호스트 접두사는 /23입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다.

networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23

networking.clusterNetwork.cidr

networking.clusterNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다.

IPv4 네트워크입니다.

CIDR(Classless Inter-Domain Routing) 표기법의 IP 주소 블록입니다. IPv4 블록의 접두사 길이는 0 에서 32 사이입니다.

networking.clusterNetwork.hostPrefix

개별 노드 각각에 할당할 서브넷 접두사 길이입니다. 예를 들어 hostPrefix23으로 설정하는 경우, 지정된 cidr 이외 /23 서브넷이 각 노드에 할당됩니다. 23hostPrefix 값은 510(2^(32 - 23) - 2) Pod IP 주소를 제공합니다.

서브넷 접두사입니다.

기본값은 23입니다.

networking.serviceNetwork

서비스의 IP 주소 블록입니다. 기본값은 172.30.0.0/16입니다.

OpenShift SDN 및 OVN-Kubernetes 네트워크 공급자는 서비스 네트워크에 대한 단일 IP 주소 블록만 지원합니다.

CIDR 형식의 IP 주소 블록이 있는 어레이입니다. 예를 들면 다음과 같습니다.

networking:
  serviceNetwork:
   - 172.30.0.0/16

networking.machineNetwork

시스템의 IP 주소 블록입니다.

여러 IP 주소 블록을 지정하는 경우 블록이 겹치지 않아야 합니다.

개체의 배열입니다. 예를 들면 다음과 같습니다.

networking:
  machineNetwork:
  - cidr: 10.0.0.0/16

networking.machineNetwork.cidr

networking.machineNetwork를 사용하는 경우 필수 항목입니다. IP 주소 블록입니다. libvirt를 제외한 모든 플랫폼의 기본값은 10.0.0.0/16입니다. libvirt의 기본값은 192.168.126.0/24입니다.

CIDR 표기법의 IP 네트워크 블록입니다.

예: 10.0.0.0/16

참고

기본 NIC가 상주하는 CIDR과 일치하도록 networking.machineNetwork를 설정합니다.

4.10.11.1.3. 선택적 구성 매개변수

선택적 설치 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.34. 선택적 매개변수
매개변수설명

additionalTrustBundle

노드의 신뢰할 수 있는 인증서 스토리지에 추가되는 PEM 인코딩 X.509 인증서 번들입니다. 이 신뢰할 수 있는 번들은 프록시가 구성되었을 때에도 사용할 수 있습니다.

문자열

compute

컴퓨팅 노드를 구성하는 시스템의 구성입니다.

MachinePool 개체의 배열입니다.

compute.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 이기종 클러스터는 현재 지원되지 않으므로 모든 풀이 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

compute.hyperthreading

컴퓨팅 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

compute.name

compute를 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

worker

compute.platform

compute를 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 작업자 시스템을 호스팅할 클라우드 공급자를 지정합니다. 이 매개변수 값은 controlPlane.platform 매개변수 값과 일치해야 합니다

aws, azure, gcp, openstack, ovirt, vsphere 또는 {}

compute.replicas

프로비저닝할 컴퓨팅 시스템(작업자 시스템이라고도 함) 수입니다.

2 이상의 양의 정수이며, 기본값은 3입니다.

controlPlane

컨트롤 플레인을 구성하는 시스템들의 구성입니다.

MachinePool 개체의 배열입니다.

controlPlane.architecture

풀에 있는 시스템의 명령어 집합 아키텍처를 결정합니다. 현재 이기종 클러스터는 지원되지 않으므로 모든 풀에서 동일한 아키텍처를 지정해야 합니다. 유효한 값은 amd64(기본값)입니다.

문자열

controlPlane.hyperthreading

컨트롤 플레인 시스템에서 동시 멀티스레딩 또는 hyperthreading 활성화 또는 비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다.

중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다.

Enabled 또는 Disabled

controlPlane.name

controlPlane을 사용하는 경우 필수 항목입니다. 시스템 풀의 이름입니다.

master

controlPlane.platform

controlPlane을 사용하는 경우 필수 항목입니다. 이 매개변수를 사용하여 컨트롤 플레인 시스템을 호스팅하는 클라우드 공급자를 지정합니다. 이 매개변수 값은 compute.platform 매개변수 값과 일치해야 합니다.

aws, azure, gcp, openstack, ovirt, vsphere 또는 {}

controlPlane.replicas

프로비저닝하는 컨트롤 플레인 시스템의 수입니다.

지원되는 유일한 값은 기본값인 3입니다.

credentialsMode

Cloud Credential Operator (CCO) 모드입니다. 모드가 지정되지 않은 경우 CCO는 여러 모드가 지원되는 플랫폼에서 Mint 모드가 우선으로 되어 지정된 인증 정보의 기능을 동적으로 확인하려고합니다.

참고

모든 클라우드 공급자에서 모든 CCO 모드가 지원되는 것은 아닙니다. CCO 모드에 대한 자세한 내용은 Cluster OperatorsCloud Credential Operator 를 참조하십시오.

참고

AWS 계정에 SCP(서비스 제어 정책)가 활성화된 경우 credentialsMode 매개변수를 Mint,Passthrough 또는 Manual 로 구성해야 합니다.

Mint,Passthrough,Manual 또는 빈 문자열("")

fips

FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 false(비활성화)입니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.

중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

참고

Azure File 스토리지를 사용하는 경우 FIPS 모드를 활성화할 수 없습니다.

false 또는 true

imageContentSources

릴리스 이미지 내용의 소스 및 리포지토리입니다.

개체의 배열입니다. 이 표의 다음 행에 설명된 대로 sourcemirrors(선택사항)가 포함됩니다.

imageContentSources.source

imageContentSources를 사용하는 경우 필수 항목입니다. 예를 들어 이미지 가져오기 사양에서 사용자가 가리키는 리포지토리를 지정합니다.

문자열

imageContentSources.mirrors

동일한 이미지를 포함할 수도 있는 하나 이상의 리포지토리를 지정합니다.

문자열 배열

publish

Kubernetes API, OpenShift 경로와 같이 클러스터의 사용자 끝점을 게시하거나 노출하는 방법입니다.

Internal 또는 External입니다. 인터넷에서 액세스할 수 없는 사설 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.

sshKey

클러스터 시스템 액세스 인증에 필요한 하나 이상의 SSH 키입니다.

참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

하나 이상의 키입니다. 예를 들면 다음과 같습니다.

sshKey:
  <key1>
  <key2>
  <key3>
4.10.11.1.4. 선택적 AWS 구성 매개변수

선택적 AWS 구성 매개변수는 다음 표에 설명되어 있습니다.

표 4.35. 선택적 AWS 매개변수
매개변수설명

compute.platform.aws.amiID

클러스터의 컴퓨팅 머신을 부팅하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다.

compute.platform.aws.iamRole

컴퓨팅 머신 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

compute.platform.aws.rootVolume.iops

루트 볼륨용으로 예약된 IOPS(초당 입/출력 작업)입니다.

정수(예: 4000)

compute.platform.aws.rootVolume.size

루트 볼륨의 크기(GiB)입니다.

정수(예: 500)

compute.platform.aws.rootVolume.type

루트 볼륨의 유형입니다.

유효한 AWS EBS 볼륨 유형 (예:io1)

compute.platform.aws.rootVolume.kmsKeyARN

KMS 키의 Amazon 리소스 이름(키 ARN)입니다. 이는 특정 KMS 키를 사용하여 작업자 노드의 OS 볼륨을 암호화하는 데 필요합니다.

유효한 키 ID 또는 키 ARN 입니다.

compute.platform.aws.type

컴퓨팅 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m4.2xlarge) 다음 머신의 인스턴스 유형을 참조하십시오.

compute.platform.aws.zones

설치 프로그램이 컴퓨팅 머신 풀에 필요한 시스템을 생성하는 가용성 영역입니다. 자체 VPC를 제공하는 경우 해당 가용성 영역에 서브넷을 제공해야 합니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

compute.aws.region

설치 프로그램이 컴퓨팅 리소스를 생성하는 AWS 리전입니다.

유효한 모든 AWS 리전(예: us-east-1)

controlPlane.platform.aws.amiID

클러스터의 컨트롤 플레인 시스템을 시작하는 데 사용되는 AWS AMI입니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다.

controlPlane.platform.aws.iamRole

컨트롤 플레인 시스템 풀 인스턴스 프로파일에 적용되는 기존 AWS IAM 역할입니다. 이러한 필드를 사용하여 이름 지정 체계와 일치하고 IAM 역할에 대해 사전 정의된 권한 경계를 포함할 수 있습니다. 정의되지 않은 경우 설치 프로그램은 새 IAM 역할을 생성합니다.

유효한 AWS IAM 역할의 이름입니다.

controlPlane.platform.aws.rootVolume.kmsKeyARN

KMS 키의 Amazon 리소스 이름(키 ARN)입니다. 이는 특정 KMS 키를 사용하여 컨트롤 플레인 노드의 OS 볼륨을 암호화하는 데 필요합니다.

유효한 키 ID 및 키 ARN.

controlPlane.platform.aws.type

컨트롤 플레인 시스템의 EC2 인스턴스 유형입니다.

유효한 AWS 인스턴스 유형 (예: m5.xlarge). 다음 머신의 인스턴스 유형을 참조하십시오.

controlPlane.platform.aws.zones

설치 프로그램이 컨트롤 플레인 시스템 풀에 필요한 시스템을 생성하는 가용성 영역입니다.

us-east-1c와 같이 YAML 시퀀스로 표시되는 유효한 AWS 가용성 영역의 목록입니다.

controlPlane.aws.region

설치 프로그램이 컨트롤 플레인 리소스를 생성하는 AWS 리전입니다.

유효한 AWS 리전(예: us-east-1)

platform.aws.amiID

클러스터의 모든 머신을 부팅하는 데 사용되는 AWS AMI입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다. 이는 사용자 지정 RHCOS AMI가 필요한 리전에 필요합니다.

설정된 AWS 리전에 속하는 게시된 또는 사용자 지정 RHCOS AMI입니다.

platform.aws.hostedZone

클러스터의 기존 Route 53 개인 호스팅 영역입니다. 자체 VPC를 제공하는 경우에만 기존 호스팅 영역을 사용할 수 있습니다. 호스팅 영역은 설치 전에 사용자 제공 VPC와 이미 연결되어 있어야 합니다. 또한 호스팅 영역의 도메인은 클러스터 도메인 또는 클러스터 도메인의 상위 도메인이어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.

문자열 (예: Z3URY6TWQ91KVV)

platform.aws.serviceEndpoints.name

AWS 서비스 엔드 포인트 이름. 사용자 지정 엔드 포인트는 FIPS와 같은 대체 AWS 엔드 포인트를 사용해야하는 경우에만 필요합니다. EC2, S3, IAM, Elastic Load Balancing, Tagging, Route 53 및 STS AWS 서비스에 대해 사용자 지정 API 엔드 포인트를 지정할 수 있습니다.

유효한 AWS 서비스 엔드 포인트 이름.

platform.aws.serviceEndpoints.url

AWS 서비스 엔드 포인트 URL. URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.

유효한 AWS 서비스 엔드 포인트 URL.

platform.aws.userTags

설치 프로그램이 생성하는 모든 리소스에 태그로 추가하는 키와 값의 맵입니다.

유효한 YAML 맵(예: <key>: <value> 형식의 키 값 쌍) AWS 태그에 대한 자세한 내용은 AWS 문서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

platform.aws.subnets

설치 프로그램이 VPC를 자동으로 생성하지 않고 VPC를 직접 제공하는 경우 사용할 클러스터의 서브넷을 지정합니다. 서브넷은 사용자가 지정하는 동일한 machineNetwork[].cidr 범위의 일부여야 합니다. 표준 클러스터의 경우 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷을 지정합니다. 개인 클러스터의 경우 각 가용성 영역의 프라이빗 서브넷을 지정합니다.

유효한 서브넷 ID.

4.10.11.2. 클러스터 설치를 위한 최소 리소스 요구 사항

각 클러스터 시스템이 다음과 같은 최소 요구사항을 충족해야 합니다.

표 4.36. 최소 리소스 요구사항
시스템운영 체제vCPU [1]가상 RAM스토리지IOPS [2]

부트스트랩

RHCOS

4

16GB

100GB

300

컨트롤 플레인

RHCOS

4

16GB

100GB

300

컴퓨팅

RHCOS, RHEL 7.9 또는 RHEL 8.4 [3]

2

8GB

100GB

300

  1. SMT(동시 멀티스레딩) 또는 하이퍼 스레딩이 활성화되지 않은 경우 하나의 vCPU는 하나의 물리적 코어와 동일합니다. 활성화하면 다음과 같은 공식을 사용하여 해당 비율을 계산합니다. (코어 당 스레드 수 × 코어 수) × 소켓 수 = vCPU 수
  2. OpenShift Container Platform 및 Kubernetes는 디스크 성능에 민감하며 특히 10ms p99 fsync 기간이 필요한 컨트롤 플레인 노드의 etcd에 더 빠른 스토리지가 권장됩니다. 많은 클라우드 플랫폼에서 스토리지 크기와 IOPS를 함께 확장되므로 충분한 성능을 얻으려면 스토리지 볼륨을 과도하게 할당해야 할 수 있습니다.
  3. 사용자가 프로비저닝한 모든 설치와 마찬가지로 클러스터에서 RHEL 컴퓨팅 머신을 사용하기로 선택한 경우 시스템 업데이트 수행, 패치 적용 및 기타 필요한 모든 작업 실행을 포함한 모든 운영 체제의 라이프 사이클 관리 및 유지 관리에 대한 책임이 있습니다. RHEL 7 컴퓨팅 머신 사용은 더 이상 사용되지 않으며 향후 OpenShift Container Platform 4 릴리스에서 제거될 예정입니다.

4.10.11.3. 지원되는 AWS 머신 유형

다음 AWS(Amazon Web Services) 인스턴스 유형은 OpenShift Container Platform에서 지원됩니다.

예 4.20. 시스템의 인스턴스 유형

인스턴스 유형부트스트랩컨트롤 플레인컴퓨팅

i3.large

x

  

m4.large

  

x

m4.xlarge

 

x

x

m4.2xlarge

 

x

x

m4.4xlarge

 

x

x

m4.10xlarge

 

x

x

m4.16xlarge

 

x

x

m5.large

  

x

m5.xlarge

 

x

x

m5.2xlarge

 

x

x

m5.4xlarge

 

x

x

m5.8xlarge

 

x

x

m5.12xlarge

 

x

x

m5.16xlarge

 

x

x

m5a.large

  

x

m5a.xlarge

 

x

x

m5a.2xlarge

 

x

x

m5a.4xlarge

 

x

x

m5a.8xlarge

 

x

x

m5a.12xlarge

 

x

x

m5a.16xlarge

 

x

x

m6i.xlarge

 

x

x

m6i.2xlarge

 

x

x

m6i.4xlarge

 

x

x

m6i.8xlarge

 

x

x

m6i.16xlarge

 

x

x

c4.2xlarge

 

x

x

c4.4xlarge

 

x

x

c4.8xlarge

 

x

x

c5.xlarge

  

x

c5.2xlarge

 

x

x

c5.4xlarge

 

x

x

c5.9xlarge

 

x

x

c5.12xlarge

 

x

x

c5.18xlarge

 

x

x

c5.24xlarge

 

x

x

c5a.xlarge

  

x

c5a.2xlarge

 

x

x

c5a.4xlarge

 

x

x

c5a.8xlarge

 

x

x

c5a.12xlarge

 

x

x

c5a.16xlarge

 

x

x

c5a.24xlarge

 

x

x

r4.large

  

x

r4.xlarge

 

x

x

r4.2xlarge

 

x

x

r4.4xlarge

 

x

x

r4.8xlarge

 

x

x

r4.16xlarge

 

x

x

r5.large

  

x

r5.xlarge

 

x

x

r5.2xlarge

 

x

x

r5.4xlarge

 

x

x

r5.8xlarge

 

x

x

r5.12xlarge

 

x

x

r5.16xlarge

 

x

x

r5.24xlarge

 

x

x

r5a.large

  

x

r5a.xlarge

 

x

x

r5a.2xlarge

 

x

x

r5a.4xlarge

 

x

x

r5a.8xlarge

 

x

x

r5a.12xlarge

 

x

x

r5a.16xlarge

 

x

x

r5a.24xlarge

 

x

x

t3.large

  

x

t3.xlarge

  

x

t3.2xlarge

  

x

t3a.large

  

x

t3a.xlarge

  

x

t3a.2xlarge

  

x

4.10.11.4. AWS용 샘플 사용자 지정 install-config.yaml 파일

설치 구성 파일(install-config.yaml)을 사용자 지정하여 OpenShift Container Platform 클러스터 플랫폼에 대한 자세한 정보를 지정하거나 필수 매개변수 값을 수정할 수 있습니다.

중요

이 샘플 YAML 파일은 참조용으로만 제공됩니다. 수동으로 생성한 설치 구성 파일에 매개변수 값을 입력하기 위한 리소스로 사용합니다.

apiVersion: v1
baseDomain: example.com 1
credentialsMode: Mint 2
controlPlane: 3 4
  hyperthreading: Enabled 5
  name: master
  platform:
    aws:
      zones:
      - us-gov-west-1a
      - us-gov-west-1b
      rootVolume:
        iops: 4000
        size: 500
        type: io1 6
      type: m5.xlarge
  replicas: 3
compute: 7
- hyperthreading: Enabled 8
  name: worker
  platform:
    aws:
      rootVolume:
        iops: 2000
        size: 500
        type: io1 9
      type: c5.4xlarge
      zones:
      - us-gov-west-1c
  replicas: 3
metadata:
  name: test-cluster 10
networking:
  clusterNetwork:
  - cidr: 10.128.0.0/14
    hostPrefix: 23
  machineNetwork:
  - cidr: 10.0.0.0/16
  networkType: OpenShiftSDN
  serviceNetwork:
  - 172.30.0.0/16
platform:
  aws:
    region: us-gov-west-1 11
    userTags:
      adminContact: jdoe
      costCenter: 7536
    subnets: 12
    - subnet-1
    - subnet-2
    - subnet-3
    amiID: ami-96c6f8f7 13 14
    serviceEndpoints: 15
      - name: ec2
        url: https://vpce-id.ec2.us-west-2.vpce.amazonaws.com
    hostedZone: Z3URY6TWQ91KVV 16
fips: false 17
sshKey: ssh-ed25519 AAAA... 18
publish: Internal 19
pullSecret: '{"auths": ...}' 20
additionalTrustBundle: | 21
    -----BEGIN CERTIFICATE-----
    <MY_TRUSTED_CA_CERT>
    -----END CERTIFICATE-----
1 10 11 13 20
필수 항목입니다.
2
옵션: 이 매개 변수를 추가하여 Cloud Credential Operator (CCO)가 인증 정보의 기능을 동적으로 판별하도록 하지 않고 CCO가 지정된 모드를 사용하도록 강제합니다. CCO 모드에 대한 자세한 내용은 Platform Operators 참조 콘텐츠의 Cloud Credential Operator 항목을 참조하십시오.
3 7
이러한 매개변수와 값을 지정하지 않으면 설치 프로그램은 기본값을 적용합니다.
4
controlPlane 섹션은 단일 매핑이지만 compute 섹션은 일련의 매핑입니다. 서로 다른 데이터 구조의 요구사항을 충족하도록 compute 섹션의 첫 번째 줄은 하이픈(-)으로 시작해야 하며 controlPlane 섹션의 첫 번째 줄은 하이픈으로 시작할 수 없습니다. 하나의 컨트롤 플레인 풀만 사용됩니다.
5 8
동시 멀티스레딩 또는 hyperthreading 활성화/비활성화 여부를 지정합니다. 시스템 코어의 성능을 높이기 위해 기본적으로 동시 멀티스레딩이 활성화됩니다. 매개변수 값을 Disabled로 설정하여 비활성화할 수 있습니다. 일부 클러스터 시스템에서 동시 멀티스레딩을 비활성화할 경우에는 해당 멀티스레딩을 모든 클러스터 시스템에서 비활성화해야 합니다.
중요

동시 멀티스레딩을 비활성화하는 경우 용량 계획에서 시스템 성능이 크게 저하될 수 있는 문제를 고려해야 합니다. 동시 멀티스레딩을 비활성화하는 경우 시스템에 더 큰 인스턴스 유형(예: m4.2xlarge 또는 m5.2xlarge)을 사용합니다.

6 9
대규모의 클러스터의 경우 고속 etcd 스토리지를 구성하려면 스토리지 유형을 IO1로 설정하고 iops2000으로 설정합니다.
12
자체 VPC를 제공하는 경우 클러스터가 사용하는 각 가용성 영역의 서브넷을 지정합니다.
14
클러스터 머신을 시작하는 데 사용되는 AMI의 ID입니다. 설정된 경우 AMI는 클러스터와 동일한 리전에 속해 있어야 합니다.
15
AWS 서비스 엔드 포인트입니다. 알 수 없는 AWS 리전에 설치할 때 사용자 지정 엔드 포인트가 필요합니다. 엔드포인트 URL은 https 프로토콜을 사용해야하며 호스트는 인증서를 신뢰해야 합니다.
16
기존 Route 53 개인 호스팅 영역의 ID입니다. 기존 호스팅 영역을 제공하려면 클러스터를 설치하기 전에 자체 VPC를 제공하고 호스팅 영역이 VPC와 연결되어 있어야 합니다. 정의되지 않은 경우 설치 프로그램은 새 호스팅 영역을 생성합니다.
17
FIPS 모드 활성화 또는 비활성화 여부입니다. 기본적으로 FIPS 모드는 비활성화됩니다. FIPS 모드가 활성화되면 OpenShift Container Platform이 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 시스템에서 기본 Kubernetes 암호화 제품군은 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 대신 사용합니다.
중요

FIPS 검증 / 진행중인 모듈 암호화 라이브러리 사용은 x86_64 아키텍처의 OpenShift Container Platform 배포에서만 지원됩니다.

18
선택사항으로, 클러스터의 시스템에 액세스하는 데 사용할 sshKey 값을 제공할 수도 있습니다.
참고

설치 디버깅 또는 재해 복구를 수행하려는 프로덕션 OpenShift Container Platform 클러스터의 경우 ssh-agent 프로세스가 사용하는 SSH 키를 지정합니다.

19
클러스터의 사용자 끝점을 게시하는 방법. 인터넷에서 액세스할 수 없는 프라이빗 클러스터를 배포하려면 publishInternal로 설정합니다. 기본값은 External입니다.
21
사용자 정의 CA 인증서입니다. 이는 AWS API에 사용자 정의 CA 신뢰 번들이 필요하기 때문에 AWS C2S Top Secret Region에 배포할 때 필요합니다.

4.10.11.5. 설치 중 클러스터 단위 프록시 구성

프로덕션 환경에서는 인터넷에 대한 직접 액세스를 거부하고 대신 HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. install-config.yaml 파일에서 프록시 설정을 구성하여 프록시가 사용되도록 새 OpenShift Container Platform 클러스터를 구성할 수 있습니다.

사전 요구 사항

  • 기존 install-config.yaml 파일이 있습니다.
  • 클러스터에서 액세스해야 하는 사이트를 검토하고 프록시를 바이패스해야 하는지 확인했습니다. 기본적으로 호스팅 클라우드 공급자 API에 대한 호출을 포함하여 모든 클러스터 발신(Egress) 트래픽이 프록시됩니다. 필요한 경우 프록시를 바이패스하기 위해 Proxy 오브젝트의 spec.noProxy 필드에 사이트를 추가했습니다.

    참고

    Proxy 오브젝트의 status.noProxy 필드는 설치 구성에 있는 networking.machineNetwork[].cidr, networking.clusterNetwork[].cidr, networking.serviceNetwork[] 필드의 값으로 채워집니다.

    Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure 및 Red Hat OpenStack Platform (RHOSP)에 설치하는 경우 Proxy 오브젝트 status.noProxy 필드도 인스턴스 메타데이터 끝점(169.254.169.254)로 채워집니다.

  • ec2.<region>.amazonaws.com,elasticloadbalancing.<region>.amazonaws.coms3.<region>.amazonaws.com 끝점을 VPC 끝점에 추가했습니다. 이러한 끝점은 노드에서 AWS EC2 API로 요청을 완료하는 데 필요합니다. 프록시는 노드 수준이 아닌 컨테이너 수준에서 작동하므로 이러한 요청을 AWS 사설 네트워크를 통해 AWS EC2 API로 라우팅해야 합니다. 프록시 서버의 허용 목록에 EC2 API의 공용 IP 주소를 추가하는 것만으로는 충분하지 않습니다.

절차

  1. install-config.yaml 파일을 편집하고 프록시 설정을 추가합니다. 예를 들면 다음과 같습니다.

    apiVersion: v1
    baseDomain: my.domain.com
    proxy:
      httpProxy: http://<username>:<pswd>@<ip>:<port> 1
      httpsProxy: https://<username>:<pswd>@<ip>:<port> 2
      noProxy: example.com 3
    additionalTrustBundle: | 4
        -----BEGIN CERTIFICATE-----
        <MY_TRUSTED_CA_CERT>
        -----END CERTIFICATE-----
    ...
    1
    클러스터 외부에서 HTTP 연결을 구축하는 데 사용할 프록시 URL입니다. URL 스키마는 http여야 합니다.
    2
    클러스터 외부에서 HTTPS 연결을 구축하는 데 사용할 프록시 URL입니다.
    3
    대상 도메인 이름, IP 주소 또는 프록시에서 제외할 기타 네트워크 CIDR로 이루어진 쉼표로 구분된 목록입니다. 하위 도메인과 일치하려면 도메인 앞에 .을 입력합니다. 예를 들어, .y.comx.y.com과 일치하지만 y.com은 일치하지 않습니다. *를 사용하여 모든 대상에 대해 프록시를 바이패스합니다.
    4
    이 값을 제공하면 설치 프로그램에서 추가 CA 인증서를 보유할 openshift -config 네임스페이스에 user-ca- bundle 이라는 구성 맵을 생성합니다. additionalTrustBundle 및 하나 이상의 프록시 설정을 제공하는 경우 프록시 오브젝트는 trustedCA 필드의 user-ca-bundle 구성 맵을 참조하도록 구성됩니다. 그러면 Cluster Network Operator에서 trustedCA 매개변수에 대해 지정된 콘텐츠를 RHCOS 신뢰 번들과 병합하는 trusted-ca-bundle 구성 맵을 생성합니다. 프록시의 ID 인증서를 RHCOS 트러스트 번들에 있는 기관에서 서명하지 않은 경우 additionalTrustBundle 필드가 있어야 합니다.
    참고

    설치 프로그램에서 프록시 adinessEndpoints 필드를 지원하지 않습니다.

  2. 파일을 저장해 놓고 OpenShift Container Platform을 설치할 때 참조하십시오.

제공되는 install-config.yaml 파일의 프록시 설정을 사용하는 cluster라는 이름의 클러스터 전체 프록시가 설치 프로그램에 의해 생성됩니다. 프록시 설정을 제공하지 않아도 cluster Proxy 오브젝트는 계속 생성되지만 spec은 nil이 됩니다.

참고

cluster라는 Proxy 오브젝트만 지원되며 추가 프록시는 생성할 수 없습니다.

4.10.12. 클러스터 배포

호환되는 클라우드 플랫폼에 OpenShift Container Platform을 설치할 수 있습니다.

중요

최초 설치 과정에서 설치 프로그램의 create cluster 명령을 한 번만 실행할 수 있습니다.

사전 요구 사항

  • 클러스터를 호스팅하는 클라우드 플랫폼으로 계정을 구성합니다.
  • OpenShift Container Platform 설치 프로그램과 클러스터의 풀 시크릿을 받습니다.

프로세스

  1. 설치 프로그램이 포함된 디렉터리로 변경하고 클러스터 배포를 초기화합니다.

    $ ./openshift-install create cluster --dir <installation_directory> \ 1
        --log-level=info 2
    1
    <installation_directory> 값으로 사용자 지정한 ./install-config.yaml 파일의 위치를 지정합니다.
    2
    다른 설치 세부 사항을 보려면 info 대신 warn, debug 또는 error를 지정합니다.
    참고

    호스트에 구성된 클라우드 공급자 계정에 클러스터를 배포하기에 충분한 권한이 없는 경우, 설치 프로세스가 중단되고 누락된 권한을 알리는 메시지가 표시됩니다.

    클러스터 배포가 완료되면 웹 콘솔로 연결되는 링크와 kubeadmin 사용자의 인증 정보가 포함된 클러스터 액세스 지침이 사용자 터미널에 표시됩니다.

    출력 예

    ...
    INFO Install complete!
    INFO To access the cluster as the system:admin user when using 'oc', run 'export KUBECONFIG=/home/myuser/install_dir/auth/kubeconfig'
    INFO Access the OpenShift web-console here: https://console-openshift-console.apps.mycluster.example.com
    INFO Login to the console with user: "kubeadmin", and password: "4vYBz-Ee6gm-ymBZj-Wt5AL"
    INFO Time elapsed: 36m22s

    참고

    설치에 성공하면 클러스터 액세스 및 인증 정보도 <installation_directory>/.openshift_install.log로 출력됩니다.

    중요
    • 설치 프로그램에서 생성하는 Ignition 구성 파일에 24시간 후에 만료되는 인증서가 포함되어 있습니다. 이 인증서는 그 후에 갱신됩니다. 인증서를 갱신하기 전에 클러스터가 종료되고 24시간이 지난 후에 클러스터가 다시 시작되면 클러스터는 만료된 인증서를 자동으로 복구합니다. 예외적으로 kubelet 인증서를 복구하려면 대기 중인 node-bootstrapper 인증서 서명 요청(CSR)을 수동으로 승인해야 합니다. 자세한 내용은 Recovering from expired control plane certificates 문서를 참조하십시오.
    • 클러스터를 설치한 후 24시간에서 22시간까지의 인증서가 교체되기 때문에 생성된 후 12시간 이내에 Ignition 구성 파일을 사용하는 것이 좋습니다. 12시간 이내에 Ignition 구성 파일을 사용하면 설치 중에 인증서 업데이트가 실행되는 경우 설치 실패를 방지할 수 있습니다.
    중요

    설치 프로그램에서 생성되는 파일이나 설치 프로그램을 삭제해서는 안 됩니다. 클러스터를 삭제하려면 두 가지가 모두 필요합니다.

  2. 선택사항: 클러스터를 설치하는 데 사용한 IAM 계정에서 AdministratorAccess 정책을 제거하거나 비활성화합니다.

    참고

    AdministratorAccess 정책에서 제공하는 승격된 권한은 설치 중에만 필요합니다.

4.10.13. 바이너리를 다운로드하여 OpenShift CLI 설치

명령줄 인터페이스를 사용하여 OpenShift Container Platform과 상호 작용하기 위해 OpenShift CLI(oc)를 설치할 수 있습니다. Linux, Windows 또는 macOS에 oc를 설치할 수 있습니다.

중요

이전 버전의 oc를 설치한 경우 OpenShift Container Platform 4.9의 모든 명령을 완료하는 데 사용할 수 없습니다. 새 버전의 oc를 다운로드하여 설치합니다.

Linux에서 OpenShift CLI 설치

다음 절차를 사용하여 Linux에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.9 Linux Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 풉니다.

    $ tar xvf <file>
  5. oc 바이너리를 PATH에 있는 디렉터리에 배치합니다.

    PATH를 확인하려면 다음 명령을 실행합니다.

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다.

$ oc <command>
Windows에서 OpenSfhit CLI 설치

다음 절차에 따라 Windows에 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.9 Windows Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. ZIP 프로그램으로 아카이브의 압축을 풉니다.
  5. oc 바이너리를 PATH에 있는 디렉터리로 이동합니다.

    PATH를 확인하려면 명령 프롬프트를 열고 다음 명령을 실행합니다.

    C:\> path

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다.

C:\> oc <command>
macOS에 OpenShift CLI 설치

다음 절차에 따라 macOS에서 OpenShift CLI(oc) 바이너리를 설치할 수 있습니다.

프로세스

  1. Red Hat 고객 포털에서 OpenShift Container Platform 다운로드 페이지로 이동합니다.
  2. 버전 드롭다운 메뉴에서 적절한 버전을 선택합니다.
  3. OpenShift v4.9 MacOSX Client 항목 옆에 있는 지금 다운로드를 클릭하고 파일을 저장합니다.
  4. 아카이브의 압축을 해제하고 압축을 풉니다.
  5. oc 바이너리 PATH의 디렉터리로 이동합니다.

    PATH를 확인하려면 터미널을 열고 다음 명령을 실행합니다.

    $ echo $PATH

OpenShift CLI를 설치한 후 oc 명령을 사용할 수 있습니다.

$ oc <command>

4.10.14. CLI를 사용하여 클러스터에 로그인

클러스터 kubeconfig 파일을 내보내서 기본 시스템 사용자로 클러스터에 로그인할 수 있습니다. kubeconfig 파일에는 CLI에서 올바른 클러스터 및 API 서버에 클라이언트를 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 이 파일은 클러스터별로 고유하며 OpenShift Container Platform 설치 과정에서 생성됩니다.

사전 요구 사항

  • OpenShift Container Platform 클러스터를 배포했습니다.
  • oc CLI를 설치했습니다.

프로세스

  1. kubeadmin 인증 정보를 내보냅니다.

    $ export KUBECONFIG=<installation_directory>/auth/kubeconfig 1
    1
    <installation_directory>는 설치 파일을 저장한 디렉터리의 경로를 지정합니다.
  2. 내보낸 구성을 사용하여 oc 명령을 성공적으로 실행할 수 있는지 확인합니다.

    $ oc whoami

    출력 예

    system:admin

4.10.15. 웹 콘솔을 사용하여 클러스터에 로그인

kubeadmin 사용자는 OpenShift Container Platform 설치 후 기본적으로 존재합니다. OpenShift Container Platform 웹 콘솔을 사용하여 kubeadmin 사용자로 클러스터에 로그인할 수 있습니다.

사전 요구 사항

  • 설치 호스트에 대한 액세스 권한이 있어야 합니다.
  • 클러스터 설치를 완료했으며 모든 클러스터 Operator를 사용할 수 있습니다.

프로세스

  1. 설치 호스트의 kubeadmin-password 파일에서 kubeadmin 사용자의 암호를 가져옵니다.

    $ cat <installation_directory>/auth/kubeadmin-password
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 kubeadmin 암호를 가져올 수 있습니다.

  2. OpenShift Container Platform 웹 콘솔 경로를 나열합니다.

    $ oc get routes -n openshift-console | grep 'console-openshift'
    참고

    대안으로 설치 호스트의 <installation_directory>/.openshift_install.log 로그 파일에서 OpenShift Container Platform 경로를 가져올 수 있습니다.

    출력 예

    console     console-openshift-console.apps.<cluster_name>.<base_domain>            console     https   reencrypt/Redirect   None

  3. 웹 브라우저의 이전 명령 출력에 자세히 설명된 경로로 이동하고 kubeadmin 사용자로 로그인합니다.

추가 리소스

  • OpenShift Container Platform 웹 콘솔 액세스 및 이해에 대한 자세한 내용은 웹 콘솔에 액세스를 참조하십시오.

4.10.16. OpenShift Container Platform의 Telemetry 액세스

OpenShift Container Platform 4.9에서는 클러스터 상태 및 업데이트 진행에 대한 메트릭을 제공하기 위해 기본적으로 실행되는 Telemetry 서비스에 인터넷 액세스가 필요합니다. 클러스터가 인터넷에 연결되어 있으면 Telemetry가 자동으로 실행되고 OpenShift Cluster Manager 에 클러스터가 자동으로 등록됩니다.

OpenShift Cluster Manager 인벤토리가 올바르거나 OpenShift Cluster Manager를 사용하여 자동으로 또는 OpenShift Cluster Manager를 사용하여 수동으로 유지 관리되는지 확인한 후 subscription watch를 사용하여 계정 또는 다중 클러스터 수준에서 OpenShift Container Platform 서브스크립션을 추적합니다.

추가 리소스

4.10.17. 다음 단계

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.