2.2. CCS를 사용하여 GCP에서 클러스터 생성

절차

1. OpenShift Cluster Manager 에 로그인하고 클러스터 생성을 클릭합니다.
2. OpenShift 클러스터 생성 페이지의 Red Hat OpenShift Dedicated 행에서 클러스터 생성을 선택합니다.

3. 청구 모델에서 서브스크립션 유형 및 인프라 유형을 구성합니다.

   1. 서브스크립션 유형을 선택합니다. OpenShift Dedicated 서브스크립션 옵션에 대한 자세한 내용은 OpenShift Cluster Manager 설명서의 클러스터 서브스크립션 및 등록을 참조하십시오.

      참고

      OpenShift Dedicated 서브스크립션 및 리소스 할당량에 따라 사용할 수 있는 서브스크립션 유형입니다. 자세한 내용은 영업 담당자 또는 Red Hat 지원에 문의하십시오.

   2. 보유한 기존 클라우드 공급자 계정에 OpenShift Dedicated를 배포하려면 Customer Cloud Subscription 인프라 유형을 선택합니다.
   3. 다음을 클릭합니다.
4. Google Cloud Platform에서 실행을 선택합니다.
5. 클라우드 공급자를 선택한 후 나열된 사전 요구 사항을 검토하고 완료합니다. 확인란을 선택하여 모든 사전 요구 사항을 읽고 완료했음을 확인합니다.
6. JSON 형식의 GCP 서비스 계정 개인 키를 입력합니다. 찾아보기를 클릭하여 JSON 파일을 찾아서 연결하거나 서비스 계정 JSON 필드에 세부 정보를 추가할 수 있습니다.
7. 다음을 클릭하여 클라우드 공급자 계정을 확인하고 클러스터 세부 정보 페이지로 이동합니다.

8. Cluster details 페이지에서 클러스터 이름을 제공하고 클러스터 세부 정보를 지정합니다.

   1. 클러스터 이름을 추가합니다.

   2. 선택 사항: 클러스터 생성은 openshiftapps.com 에서 프로비저닝된 클러스터의 하위 도메인으로 도메인 접두사를 생성합니다. 클러스터 이름이 15자 미만이면 도메인 접두사에 해당 이름이 사용됩니다. 클러스터 이름이 15자를 초과하면 도메인 접두사가 15자 문자열로 임의로 생성됩니다.

      하위 도메인을 사용자 지정하려면 사용자 지정 도메인 접두사 만들기 확인란을 선택하고 도메인 접두사 필드에 도메인 접두사 이름을 입력합니다. 도메인 접두사는 15자를 초과할 수 없으며 조직 내에서 고유해야 하며 클러스터 생성 후에는 변경할 수 없습니다.

   3. 버전 드롭다운 메뉴에서 클러스터 버전을 선택합니다.
   4. 리전 드롭다운 메뉴에서 클라우드 공급자 리전 을 선택합니다.
   5. 단일 영역 또는 다중 영역 구성을 선택합니다.

   6. 선택 사항: 클러스터를 설치할 때 보호된 VM을 사용하도록 Secure Boot for Shielded VM을 선택합니다. 자세한 내용은 Shielded VMs 를 참조하십시오.

      중요

      클러스터를 성공적으로 만들려면 조직에 정책 제약 조건 제약 조건/compute.requireShieldedVm 이 활성화된 경우 Shielded VM에 대해 Secure Boot 지원 활성화를 선택해야 합니다. GCP 조직 정책 제약 조건에 대한 자세한 내용은 조직 정책 제약 조건 을 참조하십시오.

   7. Enable user workload monitoring selected to monitor your own projects in isolation from Red Hat site Reliability Engineer (SRE) 플랫폼 메트릭과 별도로 자체 프로젝트를 모니터링하도록 선택한 사용자 워크로드 모니터링 활성화. 이 옵션은 기본적으로 활성화되어 있습니다.

   8. 선택 사항: 고급 암호화를 확장하여 암호화 설정을 변경합니다.

      1. 사용자 정의 KMS 키를 사용하려면 Use Custom KMS keys 를 선택합니다. 사용자 정의 KMS 키를 사용하지 않으려면 기본 설정 Use default KMS Keys 를 그대로 두십시오.

         중요

         사용자 정의 KMS 키를 사용하려면 IAM 서비스 계정 osd-ccs-admin 에 Cloud KMS CryptoKey Encrypter/Decrypter 역할을 부여해야 합니다. 리소스에 역할을 부여하는 방법에 대한 자세한 내용은 리소스에 대한 역할 부여를 참조하십시오.

         Use Custom KMS keys 가 선택되어 있는 경우:

         1. 키 링 위치 드롭다운 메뉴에서 키 링 위치를 선택합니다.
         2. 키 링 드롭다운 메뉴에서 키 링 을 선택합니다.
         3. 키 이름 드롭다운 메뉴에서 키 이름을 선택합니다.
         4. KMS 서비스 계정을 제공합니다.

      2. 선택 사항: 클러스터가 FIPS 검증이 필요한 경우 FIPS 암호화 활성화를 선택합니다.

         참고

         FIPS 암호화 활성화 가 선택되면 기본적으로 추가 etcd 암호화를 활성화하며 비활성화할 수 없습니다. FIPS 암호화 활성화를 선택하지 않고 추가 etcd 암호화 사용을 선택할 수 있습니다.

      3. 선택사항: etcd 키 값 암호화가 필요한 경우 추가 etcd 암호화 사용을 선택합니다. 이 옵션을 사용하면 etcd 키 값이 암호화되지만 키는 암호화되지 않습니다. 이 옵션은 기본적으로 OpenShift Dedicated 클러스터의 etcd 볼륨을 암호화하는 컨트롤 플레인 스토리지 암호화에 추가됩니다.

         참고

         etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. etcd 암호화를 특히 사용 사례에 필요한 경우에만 활성화하는 것이 좋습니다.

   9. 다음을 클릭합니다.

9. Default 머신 풀 페이지에서 컴퓨팅 노드 인스턴스 유형과 컴퓨팅 노드 수를 선택합니다. 사용 가능한 노드의 수 및 유형은 OpenShift Dedicated 서브스크립션에 따라 다릅니다. 여러 가용성 영역을 사용하는 경우 컴퓨팅 노드 수는 영역별로 계산됩니다.

   참고

   클러스터가 생성되면 클러스터의 컴퓨팅 노드 수를 변경할 수 있지만 머신 풀에서 컴퓨팅 노드 인스턴스 유형을 변경할 수 없습니다. OpenShift Dedicated 서브스크립션에 따라 사용할 수 있는 노드의 수 및 유형입니다.

10. 선택 사항: 노드 라벨 편집 을 확장하여 노드에 라벨을 추가합니다. 레이블 추가 를 클릭하여 노드 레이블을 추가하고 다음을 선택합니다.

11. 네트워크 구성 페이지에서 공용 또는 프라이빗 API 끝점과 클러스터의 애플리케이션 경로를 사용하려면 Public 또는 Private 을 선택합니다.

    중요

    프라이빗 API 끝점을 사용하는 경우 클라우드 공급자 계정의 네트워크 설정을 업데이트할 때까지 클러스터에 액세스할 수 없습니다.

12. 선택사항: 기존 GCP VPC(Virtual Private Cloud)에 클러스터를 설치하려면 다음을 수행합니다.

    1. 기존 VPC에 설치를 선택합니다.
    2. 기존 VPC에 설치하고 클러스터에 대해 HTTP 또는 HTTPS 프록시를 활성화하려면 클러스터 전체 프록시 구성을 선택합니다.
13. 다음을 클릭합니다.

14. 선택 사항: 클러스터를 GCP 공유 VPC에 설치하려면 다음을 수행합니다.

    중요

    공유 VPC에 클러스터를 설치하려면 OpenShift Dedicated 버전 4.13.15 이상을 사용해야 합니다. 또한 호스트 프로젝트의 VPC 소유자는 Google Cloud 콘솔에서 호스트 프로젝트로 프로젝트를 활성화해야 합니다. 자세한 내용은 호스트 프로젝트 사용을 참조하십시오.

    1. GCP 공유 VPC에 설치를 선택합니다.

    2. Host 프로젝트 ID 를 지정합니다. 지정된 호스트 프로젝트 ID가 잘못된 경우 클러스터 생성에 실패합니다.

       중요

       클러스터 구성 마법사에서 단계를 완료하고 클러스터 생성 을 클릭하면 클러스터가 "설치 대기 중" 상태로 전환됩니다. 이때 Compute Network Administrator,Compute Security Administrator,Project IAM Admin, DNS Administrator 등 동적으로 생성된 서비스 계정을 동적으로 생성해야 하는 호스트 프로젝트의 VPC 소유자에 문의해야 합니다. 호스트 프로젝트의 VPC 소유자는 클러스터 생성에 실패하기 전에 나열된 권한을 부여하는 데 30일이 걸립니다. 공유 VPC 권한에 대한 자세한 내용은 공유 VPC 프로비저닝 을 참조하십시오.

15. 기존 GCP VPC에 클러스터를 설치하도록 선택한 경우 VPC(Virtual Private Cloud) 서브넷 설정을 제공하고 다음을 선택합니다. Cloud NAT(네트워크 주소 변환) 및 클라우드 라우터를 생성해야 합니다. Cloud NAT 및 Google VPC에 대한 자세한 내용은 "추가 리소스" 섹션을 참조하십시오.

    참고

    Shared VPC에 클러스터를 설치하는 경우 호스트 프로젝트에서 VPC 이름과 서브넷이 공유됩니다.

16. 클러스터 전체 프록시를 구성하도록 선택하는 경우 클러스터 전체 프록시 페이지에 프록시 설정 세부 정보를 입력합니다.

    1. 다음 필드 중 하나 이상에 값을 입력합니다.

       • 유효한 HTTP 프록시 URL 을 지정합니다.
       • 유효한 HTTPS 프록시 URL 을 지정합니다.
       • 추가 신뢰 번들 필드에서 PEM 인코딩 X.509 인증서 번들을 제공합니다. 번들은 클러스터 노드의 신뢰할 수 있는 인증서 저장소에 추가됩니다. 프록시의 ID 인증서가 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들의 기관에서 서명되지 않는 한 TLS 지정 프록시를 사용하는 경우 추가 신뢰 번들 파일이 필요합니다. 이 요구 사항은 프록시가 투명했는지 또는 http-proxy 인수 및 https-proxy 인수를 사용하여 명시적 구성이 필요한지 여부와 관계없이 적용됩니다.

    2. 다음을 클릭합니다.

       OpenShift Dedicated를 사용하여 프록시 구성에 대한 자세한 내용은 클러스터 전체 프록시 구성을 참조하십시오.

17. CIDR 범위 대화 상자에서 CIDR(사용자 정의 클래스 없는 도메인 간 라우팅) 범위를 구성하거나 제공된 기본값을 사용합니다.

    참고

    VPC에 설치하는 경우 Machine CIDR 범위는 VPC 서브넷과 일치해야 합니다.

    중요

    CIDR 구성은 나중에 변경할 수 없습니다. 계속하기 전에 네트워크 관리자에게 선택 사항을 확인합니다.

18. Cluster update strategy 페이지에서 업데이트 기본 설정을 구성합니다.

    1. 클러스터 업데이트 방법을 선택합니다.

       • 각 업데이트를 개별적으로 예약하려면 개별 업데이트를 선택합니다. 이는 기본 옵션입니다.

       • Recurring updates to update your cluster on your preferred day and start time, when updates are available을 선택합니다.

         참고

         OpenShift Dedicated의 업데이트 라이프사이클 설명서에서 라이프 사이클 종료 날짜를 검토할 수 있습니다. 자세한 내용은 OpenShift Dedicated 업데이트 라이프 사이클 을 참조하십시오.

    2. 클러스터 업데이트 방법에 따라 관리자 승인을 제공합니다.

       • 개별 업데이트: 승인이 필요한 업데이트 버전을 선택하는 경우 관리자의 승인을 제공하고 승인을 클릭하고 계속.
       • 반복 업데이트: 클러스터에 대해 반복적인 업데이트를 선택한 경우 관리자의 승인을 제공한 후 승인을 클릭하고 계속. OpenShift Cluster Manager는 관리자의 승인을 받지 않고 마이너 버전에 대해 예정된 y-stream 업데이트를 시작하지 않습니다.
    3. 반복 업데이트를 선택한 경우 해당 요일을 선택하고 드롭다운 메뉴에서 UTC로 시작 시간을 업그레이드하십시오.
    4. 선택 사항: 클러스터 업그레이드 중에 노드 드레이닝 에 대한 유예 기간을 설정할 수 있습니다. 기본적으로 1시간 유예 기간이 설정됩니다.

    5. 다음을 클릭합니다.

       참고

       클러스터의 보안 또는 안정성에 큰 영향을 미치는 심각한 보안 문제가 있는 경우 Red Hat 사이트 안정성 엔지니어링(SRE)은 영향을 받지 않는 최신 z-stream 버전에 대한 자동 업데이트를 예약할 수 있습니다. 업데이트는 고객 알림이 제공된 후 48시간 이내에 적용됩니다. 심각한 영향을 미치는 보안 등급에 대한 자세한 내용은 Red Hat 보안 등급 이해를 참조하십시오.

19. 선택 사항 요약을 검토하고 클러스터 생성을 클릭하여 클러스터 설치를 시작합니다. 설치를 완료하는 데 약 30~40분이 걸립니다.

20. 선택 사항: 개요 탭에서 삭제 보호 : Disabled 아래에 있는 Enable 을 선택하여 삭제 보호 기능을 활성화할 수 있습니다. 이렇게 하면 클러스터가 삭제되지 않습니다. 삭제 보호를 비활성화하려면 Disable 을 선택합니다. 기본적으로 클러스터는 삭제 보호 기능을 비활성화하여 생성됩니다.

    참고

    GCP Shared VPC에 설치된 클러스터를 삭제하는 경우 VPC에게 호스트 프로젝트에게 클러스터 생성 중에 참조된 서비스 계정에 부여된 IAM 정책 역할을 제거하도록 알립니다.