2.5. 사용자 정의를 사용하여 클러스터 생성
AWS STS(Security Token Service) 클러스터를 사용하여 사용자 환경의 요구 사항에 맞는 구성으로 AWS(ROSA)에 Red Hat OpenShift Service를 배포합니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(rosa
)를 사용하여 사용자 지정으로 클러스터를 배포할 수 있습니다.
2.5.1. OpenShift Cluster Manager를 사용하여 사용자 지정으로 클러스터 생성
AWS(ROSA) 클러스터를 사용하여 AWS(보안 토큰 서비스) 클러스터를 생성하는 경우 Red Hat OpenShift Cluster Manager를 사용하여 대화형으로 설치를 사용자 지정할 수 있습니다.
STS에서 퍼블릭 및 AWS PrivateLink 클러스터만 지원됩니다. 일반 프라이빗 클러스터(비-PrivateLink)는 STS와 함께 사용할 수 없습니다.
AWS Shared VPC는 현재 ROSA 설치에 지원되지 않습니다.
사전 요구 사항
- STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
- 사용 가능한 AWS 서비스 할당량이 있습니다.
- AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(
rosa
)를 설치하고 구성했습니다.참고ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
- AWS 계정에 ELB(Elastic Load Balancing) 서비스 역할이 있는지 확인했습니다.
- 클러스터 전체 프록시를 구성하는 경우 클러스터가 설치 중인 VPC에서 프록시에 액세스할 수 있는지 확인했습니다. VPC의 프라이빗 서브넷에서도 프록시에 액세스할 수 있어야 합니다.
절차
- OpenShift Cluster Manager Hybrid Cloud Console 로 이동하여 클러스터 생성을 선택합니다.
- OpenShift 클러스터 생성 페이지의 ROSA(Red Hat OpenShift Service on AWS) 행에서 클러스터 생성을 선택합니다.
AWS 계정이 자동으로 감지되면 계정 ID가 관련 AWS 계정 드롭다운 메뉴에 나열됩니다. AWS 계정이 자동으로 감지되지 않으면 Select an account
Associate AWS account 를 클릭하고 다음 단계를 수행합니다. Authenticate 페이지에서
rosa login
명령 옆에 있는 복사 버튼을 클릭합니다. 이 명령에는 OpenShift Cluster Manager API 로그인 토큰이 포함되어 있습니다.참고OpenShift Cluster Manager의 OpenShift Cluster Manager API 토큰 페이지에 API 토큰 을 로드할 수도 있습니다.
CLI에서 복사한 명령을 실행하여 ROSA 계정에 로그인합니다.
$ rosa login --token=<api_login_token> 1
- 1
- &
lt;api_login_token
>을 복사한 명령에 제공된 토큰으로 바꿉니다.
출력 예
I: Logged in as '<username>' on 'https://api.openshift.com'
- OpenShift Cluster Manager의 인증 페이지에서 다음을 클릭합니다.
OCM 역할 페이지에서 Basic OCM 역할 또는 Admin OCM 역할 명령 옆에 있는 복사 버튼을 클릭합니다.
기본 역할을 통해 OpenShift Cluster Manager는 ROSA에 필요한 AWS IAM 역할 및 정책을 감지할 수 있습니다. 또한 admin 역할을 통해 역할 및 정책을 감지할 수 있습니다. 또한 admin 역할을 사용하면 OpenShift Cluster Manager를 사용하여 클러스터별 Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 배포할 수 있습니다.
CLI에서 복사된 명령을 실행하고 프롬프트에 따라 OpenShift Cluster Manager IAM 역할을 생성합니다. 다음 예제에서는 기본 옵션을 사용하여 기본 OpenShift Cluster Manager IAM 역할을 생성합니다.
$ rosa create ocm-role
출력 예
I: Creating ocm role ? Role prefix: ManagedOpenShift 1 ? Enable admin capabilities for the OCM role (optional): No 2 ? Permissions boundary ARN (optional): 3 ? Role Path (optional): 4 ? Role creation mode: auto 5 I: Creating role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>' ? Create the 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role? Yes I: Created role 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' I: Linking OCM role ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role with organization '<red_hat_organization_id>'? Yes 6 I: Successfully linked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with organization account '<red_hat_organization_id>'
- 1
- OCM IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은
ManagedOpenShift
입니다. Red Hat 조직에 대해 AWS 계정당 하나의 OCM 역할만 생성할 수 있습니다. - 2
--admin
인수를 지정하는 것과 동일한 admin OpenShift Cluster Manager IAM 역할을 활성화합니다. OpenShift Cluster Manager를 사용하여 Auto 모드를 사용하여 클러스터별 Operator 역할 및 OIDC 공급자를 자동으로 프로비저닝하려면 admin 역할이 필요합니다.- 3
- 선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
- 4
- OCM 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예:
/test
)로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오./
path/dev/ - 5
- 역할 생성 모드를 선택합니다.
자동
모드를 사용하여 OpenShift Cluster Manager IAM 역할을 자동으로 생성하고 Red Hat 조직 계정에 연결할 수 있습니다.수동
모드에서rosa
CLI는 역할을 생성하고 연결하는 데 필요한aws
명령을 생성합니다.수동
모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다. - 6
- OpenShift Cluster Manager IAM 역할을 Red Hat 조직 계정에 연결합니다.
OpenShift Cluster Manager IAM 역할을 이전 명령의 Red Hat 조직 계정에 연결하지 않으려면 OpenShift Cluster Manager OCM 역할 페이지에서
rosa link
명령을 복사하여 실행합니다.$ rosa link ocm-role <arn> 1
- 1
- &
lt;arn
>을 이전 명령의 출력에 포함된 OpenShift Cluster Manager IAM 역할의 ARN으로 바꿉니다.
- OpenShift Cluster Manager OCM 역할 페이지에서 다음을 선택합니다.
User 역할 페이지에서 User role 명령의 복사 버튼을 클릭하고 CLI에서 명령을 실행합니다. Red Hat은 OpenShift Cluster Manager를 사용하여 클러스터 및 필수 리소스를 설치할 때 사용자 역할을 사용하여 AWS ID를 확인합니다.
프롬프트에 따라 사용자 역할을 생성합니다.
$ rosa create user-role
출력 예
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating ocm user role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>' ? Create the 'ManagedOpenShift-User-<red_hat_username>-Role' role? Yes I: Created role 'ManagedOpenShift-User-<red_hat_username>-Role' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' I: Linking User role ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' role with account '<red_hat_user_account_id>'? Yes 5 I: Successfully linked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' with account '<red_hat_user_account_id>'
- 1
- 사용자 역할 이름에 포함할 접두사를 지정합니다. 기본값은
ManagedOpenShift
입니다. - 2
- 선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
- 3
- 사용자 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예:
/test
)로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오./
path/dev/ - 4
- 역할 생성 모드를 선택합니다.
자동
모드를 사용하여 사용자 역할을 자동으로 생성하고 OpenShift Cluster Manager 사용자 계정에 연결할 수 있습니다.수동
모드에서rosa
CLI는 역할을 생성하고 연결하는 데 필요한aws
명령을 생성합니다.수동
모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다. - 5
- 사용자 역할을 OpenShift Cluster Manager 사용자 계정에 연결합니다.
이전 명령의 OpenShift Cluster Manager 사용자 계정에 사용자 역할을 연결하지 않으려면 OpenShift Cluster Manager 사용자 역할 페이지에서
rosa link
명령을 복사하여 실행합니다.$ rosa link user-role <arn> 1
- 1
- &
lt;arn
>을 이전 명령의 출력에 포함된 사용자 역할의 ARN으로 바꿉니다.
- OpenShift Cluster Manager 사용자 역할 페이지에서 확인을 클릭합니다.
- AWS 계정 ID가 계정 및 역할 페이지의 관련 AWS 계정 드롭다운 메뉴에 나열되어 있는지 확인합니다.
필요한 계정 역할이 없는 경우 일부 계정 역할 ARN이 감지되지 않았음을 알리는 알림이 제공됩니다.
rosa create account-roles
명령 옆에 있는 복사 버퍼를 클릭하고 CLI에서 명령을 실행하여 AWS 계정 전체 역할 및 정책을 생성할 수 있습니다.$ rosa create account-roles
출력 예
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com' I: Validating AWS credentials... I: AWS credentials are valid! I: Validating AWS quota... I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.13.0 I: Creating account roles ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>' ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5 I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role' ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6 I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role' ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7 I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role' ? Create the 'ManagedOpenShift-Support-Role' role? Yes 8 I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role' I: To create a cluster with these roles, run the following command: rosa create cluster --sts
- 1
- OpenShift Cluster Manager IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은
ManagedOpenShift
입니다.중요계정 역할에 사용자 지정 ARN 경로를 사용하는 경우에도 AWS 계정 전반에서 고유한 계정 전체 역할 접두사를 지정해야 합니다.
- 2
- 선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
- 3
- 계정 전체 역할에 대한 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예:
/test
)로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오./
path/dev/ - 4
- 역할 생성 모드를 선택합니다.
자동
모드를 사용하여 계정의 다양한 역할 및 정책을 자동으로 생성할 수 있습니다.수동
모드에서rosa
CLI는 역할 및 정책을 생성하는 데 필요한aws
명령을 생성합니다.수동
모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다. - 5 6 7 8
- 계정 전체의 설치 프로그램, 컨트롤 플레인, 작업자 및 지원 역할 및 해당 IAM 정책을 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.참고
이 단계에서 ROSA CLI는 ROSA 클러스터 Operator가 핵심 OpenShift 기능을 수행할 수 있도록 클러스터별 Operator 정책에서 사용하는 계정 전체 Operator IAM 정책도 자동으로 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
계정 및 역할 페이지에서 새로 고침 ARN 을 클릭하고 설치 프로그램, 지원, 작업자 및 컨트롤 플레인 계정 역할 ARN이 나열되는지 확인합니다.
클러스터 버전의 AWS 계정에 둘 이상의 계정 역할 세트가 있는 경우 설치 관리자 역할 ARN의 드롭다운 목록이 제공됩니다. 클러스터와 함께 사용할 설치 프로그램 역할의 ARN을 선택합니다. 클러스터는 선택한 설치 프로그램 역할과 관련된 계정 전체 역할 및 정책을 사용합니다.
다음을 클릭합니다.
참고계정 및 역할 페이지가 새로 고쳐진 경우 확인란을 다시 선택하여 모든 사전 요구 사항을 읽고 완료해야 할 수 있습니다.
Cluster details 페이지에서 클러스터 이름을 제공하고 클러스터 세부 정보를 지정합니다.
- 클러스터 이름을 추가합니다.
- 버전 드롭다운 메뉴에서 클러스터 버전을 선택합니다.
- 리전 드롭다운 메뉴에서 클라우드 공급자 리전 을 선택합니다.
- 단일 영역 또는 다중 영역 구성을 선택합니다.
- Enable user workload monitoring selected to monitor your own projects in isolation from Red Hat site Reliability Engineer (SRE) 플랫폼 메트릭과 별도로 자체 프로젝트를 모니터링하도록 선택한 사용자 워크로드 모니터링 활성화. 이 옵션은 기본적으로 활성화되어 있습니다.
선택사항: etcd 키 값 암호화가 필요한 경우 추가 etcd 암호화 사용을 선택합니다. 이 옵션을 사용하면 etcd 키 값이 암호화되지만 키는 암호화되지 않습니다. 이 옵션은 기본적으로 AWS 클러스터의 Red Hat OpenShift Service에서 etcd 볼륨을 암호화하는 컨트롤 플레인 스토리지 암호화에 추가됩니다.
참고etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. etcd 암호화를 특히 사용 사례에 필요한 경우에만 활성화하는 것이 좋습니다.
선택 사항: AWS Key Management Service(KMS) 키 Amazon Resource Name(ARN)을 제공하려면 고객 키를 사용하여 영구 볼륨 암호화 를 선택합니다. 키는 클러스터의 영구 볼륨 암호화에 사용됩니다.
중요기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 기본적으로 암호화됩니다.
다른 스토리지 클래스를 사용하여 생성된 PV는 스토리지 클래스를 암호화하도록 구성된 경우에만 암호화됩니다.
선택 사항: 고객이 관리하는 KMS 키를 생성하려면 대칭 암호화 KMS 키를 생성하는 절차를 따르십시오.
중요클러스터를 성공적으로 생성하려면 EBS Operator 역할이 계정 역할 외에 필요합니다.
EBS Operator 역할의 예
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
- 다음을 클릭합니다.
Default 시스템 풀 페이지에서 컴퓨팅 노드 인스턴스 유형을 선택합니다.
참고클러스터가 생성되면 클러스터의 컴퓨팅 노드 수를 변경할 수 있지만 기본 머신 풀에서 컴퓨팅 노드 인스턴스 유형을 변경할 수 없습니다. 사용 가능한 노드 수 및 유형은 단일 가용성 영역 또는 여러 가용성 영역의 사용 여부에 따라 달라집니다. 또한 AWS 계정 및 선택한 리전에서 사용 가능한 항목에 따라 다릅니다.
선택 사항: 기본 머신 풀의 자동 스케일링을 구성합니다.
- 배포 요구에 맞게 기본 머신 풀의 머신 수를 자동으로 스케일링 하려면 자동 스케일링 활성화를 선택합니다.
자동 스케일링에 대한 최소 및 최대 노드 수 제한을 설정합니다. 클러스터 자동 스케일러는 사용자가 지정한 제한을 초과하여 기본 머신 풀 노드 수를 줄이거나 늘리지 않습니다.
- 단일 가용성 영역을 사용하여 클러스터를 배포한 경우 최소 노드 수 및 최대 노드 수 를 설정합니다. 이는 가용성 영역에 최소 및 최대 컴퓨팅 노드 제한을 정의합니다.
- 여러 가용성 영역을 사용하여 클러스터를 배포한 경우 영역당 최소 노드 및 영역당 최대 노드를 설정합니다. 이는 영역당 최소 및 최대 컴퓨팅 노드 제한을 정의합니다.
참고또는 머신 풀을 생성한 후 기본 머신 풀에 대한 자동 스케일링 기본 설정을 설정할 수 있습니다.
자동 스케일링을 활성화하지 않은 경우 기본 머신 풀의 컴퓨팅 노드 수를 선택합니다.
- 단일 가용성 영역을 사용하여 클러스터를 배포한 경우 드롭다운 메뉴에서 컴퓨팅 노드 수 를 선택합니다. 이 명령은 영역의 시스템 풀에 프로비저닝할 컴퓨팅 노드 수를 정의합니다.
- 여러 가용성 영역을 사용하여 클러스터를 배포한 경우 드롭다운 메뉴에서 컴퓨팅 노드 수(지역당) 를 선택합니다. 이는 영역당 시스템 풀에 프로비저닝할 컴퓨팅 노드 수를 정의합니다.
- 선택 사항: 노드 라벨 편집 을 확장하여 노드에 라벨을 추가합니다. 레이블 추가 를 클릭하여 노드 레이블을 추가하고 다음을 선택합니다.
네트워크 구성 페이지의 Cluster privacy 섹션에서 Public 또는 Private 를 선택하여 클러스터에 대한 공용 또는 프라이빗 API 끝점 및 애플리케이션 경로를 사용합니다.
중요클러스터가 생성된 후에는 API 끝점을 공용과 프라이빗 간에 변경할 수 없습니다.
- 공용 API 끝점
- 클러스터에 대한 액세스를 제한하지 않으려면 Public 을 선택합니다. 인터넷에서 Kubernetes API 끝점 및 애플리케이션 경로에 액세스할 수 있습니다.
- 프라이빗 API 끝점
클러스터에 대한 네트워크 액세스를 제한하려면 Private 을 선택합니다. Kubernetes API 끝점 및 애플리케이션 경로는 직접 프라이빗 연결에서만 액세스할 수 있습니다.
중요프라이빗 API 끝점을 사용하는 경우 클라우드 공급자 계정의 네트워크 설정을 업데이트할 때까지 클러스터에 액세스할 수 없습니다.
선택 사항: 공용 API 끝점을 사용하도록 선택하는 경우 기본적으로 클러스터에 대한 새 VPC가 생성됩니다. 대신 기존 VPC에 클러스터를 설치하려면 기존 VPC 에 설치를 선택합니다.
참고프라이빗 API 엔드포인트를 사용하도록 선택하는 경우 기존 VPC 및 PrivateLink를 사용하고 Install을 기존 VPC에 사용해야 하며 PrivateLink 옵션 사용 옵션이 자동으로 선택됩니다. 이러한 옵션을 통해 Red Hat 사이트 안정성 엔지니어링(SRE) 팀은 AWS PrivateLink 끝점만 사용하여 지원을 지원하기 위해 클러스터에 연결할 수 있습니다.
- 선택 사항: 기존 VPC에 클러스터를 설치하는 경우 클러스터 전체 프록시 구성을 선택하여 클러스터에서 인터넷에 대한 직접 액세스를 거부하도록 HTTP 또는 HTTPS 프록시를 활성화합니다.
- 다음을 클릭합니다.
기존 AWS VPC에 클러스터를 설치하도록 선택한 경우 VPC(Virtual Private Cloud) 서브넷 설정을 제공합니다.
참고클러스터를 설치할 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷으로 VPC가 구성되어 있는지 확인해야 합니다. PrivateLink를 사용하도록 선택한 경우 프라이빗 서브넷만 필요합니다.
클러스터 전체 프록시를 구성하도록 선택하는 경우 클러스터 전체 프록시 페이지에 프록시 설정 세부 정보를 입력합니다.
다음 필드 중 하나 이상에 값을 입력합니다.
- 유효한 HTTP 프록시 URL 을 지정합니다.
- 유효한 HTTPS 프록시 URL 을 지정합니다.
추가 신뢰 번들 필드에서 PEM 인코딩 X.509 인증서 번들을 제공합니다. 번들은 클러스터 노드의 신뢰할 수 있는 인증서 저장소에 추가됩니다. 프록시의 ID 인증서가 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들의 기관에서 서명하지 않는 한 추가 신뢰 번들 파일이 필요합니다.
추가 프록시 구성은 필요하지 않아도 추가 인증 기관(CA)이 필요한 MITM 투명 프록시 네트워크를 사용하는 경우 MITM CA 인증서를 제공해야 합니다.
참고HTTP 또는 HTTPS 프록시 URL을 지정하지 않고 추가 신뢰 번들 파일을 업로드하는 경우 해당 번들은 클러스터에 설정되지만 프록시와 함께 사용하도록 구성되지 않습니다.
- 다음을 클릭합니다.
AWS에서 Red Hat OpenShift Service를 사용하여 프록시를 구성하는 방법에 대한 자세한 내용은 클러스터 전체 프록시 구성을 참조하십시오.
CIDR 범위 대화 상자에서 사용자 정의 CIDR(Classless inter-domain routing) 범위를 구성하거나 제공된 기본값을 사용하고 다음을 클릭합니다.
참고VPC에 설치하는 경우 Machine CIDR 범위는 VPC 서브넷과 일치해야 합니다.
중요CIDR 구성은 나중에 변경할 수 없습니다. 계속하기 전에 네트워크 관리자에게 선택 사항을 확인합니다.
Cluster roles and policies 페이지에서 기본 클러스터별 Operator IAM 역할 및 OIDC 공급자 생성 모드를 선택합니다.
수동 모드를 사용하면
rosa
CLI 명령 또는aws
CLI 명령을 사용하여 클러스터에 필요한 Operator 역할 및 OIDC 공급자를 생성할 수 있습니다. 수동 모드를 사용하면 기본 옵션을 사용하여 IAM 리소스를 수동으로 생성하고 클러스터 설치를 완료할 수 있습니다.또는 Auto 모드를 사용하여 Operator 역할 및 OIDC 공급자를 자동으로 생성할 수 있습니다. 자동 모드를 활성화하려면 OpenShift Cluster Manager IAM 역할에 관리자 기능이 있어야 합니다.
참고연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지되어 Operator 역할에 적용됩니다. 사용자 정의 ARN 경로는 Manual 또는 Auto 모드를 사용하여 Operator 역할을 생성할 때 적용됩니다.
선택 사항: 클러스터별 Operator IAM 역할에 대한 사용자 정의 Operator 역할 접두사 를 지정합니다.
참고기본적으로 클러스터별 Operator 역할 이름은 클러스터 이름 및 임의의 4자리 해시가 접두사로 지정됩니다. 필요한 경우 사용자 정의 접두사를 지정하여 역할 이름에서 <
cluster_name>-<hash
>를 교체할 수 있습니다. 접두사는 클러스터별 Operator IAM 역할을 생성할 때 적용됩니다. 접두사에 대한 자세한 내용은 사용자 정의 Operator IAM 역할 접두사 정보를 참조하십시오.- 다음을 선택합니다.
Cluster update strategy 페이지에서 업데이트 기본 설정을 구성합니다.
클러스터 업데이트 방법을 선택합니다.
- 각 업데이트를 개별적으로 예약하려면 개별 업데이트를 선택합니다. 이는 기본 옵션입니다.
Recurring updates to update your cluster on your preferred day and start time, when updates are available을 선택합니다.
중요반복 업데이트를 선택할 때에도 마이너 릴리스 간에 클러스터를 업그레이드하기 전에 계정 전체 및 클러스터별 IAM 리소스를 업데이트해야 합니다.
참고AWS의 Red Hat OpenShift Service의 업데이트 라이프 사이클 설명서에서 라이프 종료 날짜를 검토할 수 있습니다. 자세한 내용은 Red Hat OpenShift Service on AWS 업데이트 라이프 사이클을 참조하십시오.
- 반복 업데이트를 선택한 경우 해당 요일을 선택하고 드롭다운 메뉴에서 UTC로 시작 시간을 업그레이드하십시오.
- 선택 사항: 클러스터 업그레이드 중에 노드 드레이닝 에 대한 유예 기간을 설정할 수 있습니다. 기본적으로 1시간 유예 기간이 설정됩니다.
다음을 클릭합니다.
참고클러스터의 보안 또는 안정성에 큰 영향을 미치는 심각한 보안 문제가 있는 경우 Red Hat 사이트 안정성 엔지니어링(SRE)은 영향을 받지 않는 최신 z-stream 버전에 대한 자동 업데이트를 예약할 수 있습니다. 업데이트는 고객 알림이 제공된 후 48시간 이내에 적용됩니다. 심각한 영향을 미치는 보안 등급에 대한 자세한 내용은 Red Hat 보안 등급 이해를 참조하십시오.
- 선택 사항 요약을 검토하고 클러스터 생성을 클릭하여 클러스터 설치를 시작합니다.
수동 모드를 사용하도록 선택하는 경우 클러스터별 Operator 역할 및 OIDC 공급자를 수동으로 생성하여 설치를 계속합니다.
설치를 계속 수행하는 데 필요한 동작 대화 상자에서 AWS CLI 또는 ROSA CLI 탭을 선택하고 수동으로 리소스를 생성합니다.
AWS CLI 방법을 사용하도록 선택한 경우 .zip 다운로드를 클릭하고 파일을 저장한 다음 AWS CLI 명령 및 정책 파일을 추출합니다. 그런 다음 CLI에서 제공된
aws
명령을 실행합니다.참고정책 파일이 포함된 디렉터리에서
aws
명령을 실행해야 합니다.ROSA CLI 메서드를 사용하도록 선택한 경우
rosa create
명령 옆에 있는 복사 버튼을 클릭하고 CLI에서 실행합니다.참고연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정한 경우 이러한 수동 방법을 사용하여 사용자 정의 경로를 생성할 때 사용자 정의 경로가 자동으로 감지되고 Operator 역할에 적용됩니다.
- 설치를 계속 수행하는 데 필요한 작업 대화 상자에서 x 를 클릭하여 클러스터의 개요 페이지로 돌아갑니다.
- 클러스터에 대한 개요 페이지의 세부 정보 섹션에 있는 클러스터 상태가 Waiting 에서 Installing 으로 변경되었는지 확인합니다. 상태가 변경되는 데 약 2분이라는 짧은 지연이 있을 수 있습니다.
참고Auto 모드를 사용하도록 선택하는 경우 OpenShift Cluster Manager는 Operator 역할과 OIDC 공급자를 자동으로 생성합니다.
중요클러스터를 성공적으로 생성하려면 계정 역할 외에도 EBS Operator 역할이 필요합니다. .Example EBS Operator 역할
"arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
검증
클러스터의 개요 페이지에서 설치 진행 상황을 모니터링할 수 있습니다. 동일한 페이지에서 설치 로그를 볼 수 있습니다. 페이지의 세부 정보 섹션에 있는 Status 가 Ready 로 표시되면 클러스터가 준비 상태가 됩니다.
참고설치에 실패하거나 약 40분 후에 클러스터 상태가 Ready 로 변경되지 않는 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.
추가 리소스
- ROSA CLI를 사용하여 오브젝트 관리에서 클러스터를 생성합니다.
2.5.2. CLI를 사용하여 사용자 지정으로 클러스터 생성
AWS(ROSA) 클러스터를 사용하여 AWS(보안 토큰 서비스) 클러스터를 생성하는 경우 대화식으로 설치를 사용자 지정할 수 있습니다.
클러스터 생성 시 rosa create cluster --interactive
를 실행하면 배포를 사용자 지정할 수 있는 일련의 대화형 프롬프트가 표시됩니다. 자세한 내용은 대화형 클러스터 생성 모드 참조 를 참조하십시오.
대화형 모드를 사용하여 클러스터 설치가 완료되면 동일한 사용자 지정 구성을 사용하여 추가 클러스터를 배포할 수 있는 단일 명령이 출력에 제공됩니다.
STS에서 퍼블릭 및 AWS PrivateLink 클러스터만 지원됩니다. 일반 프라이빗 클러스터(비-PrivateLink)는 STS와 함께 사용할 수 없습니다.
AWS Shared VPC는 현재 ROSA 설치에 지원되지 않습니다.
사전 요구 사항
- STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
- 사용 가능한 AWS 서비스 할당량이 있습니다.
- AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA(
rosa
) 및 AWS(aws
) CLI를 설치하고 구성했습니다.참고ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
암호화에 고객이 관리하는 AWS KMS(Key Management Service) 키를 사용하려면 대칭 KMS 키를 생성해야 합니다. 클러스터를 생성할 때 ARM(Amazon Resource Name)을 제공해야 합니다. 고객이 관리하는 KMS 키를 생성하려면 대칭 암호화 KMS 키를 생성하는 절차를 따르십시오.
중요클러스터를 성공적으로 생성하려면 EBS Operator 역할이 계정 역할 외에 필요합니다.
EBS Operator 역할의 예
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
절차
Operator 정책을 포함하여 필요한 계정 전체 역할 및 정책을 생성합니다.
현재 작업 디렉터리에서 IAM 정책 JSON 파일을 생성하고 검토할
aws
CLI 명령을 출력합니다.$ rosa create account-roles --interactive \ 1 --mode manual 2
출력 예
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com' I: Validating AWS credentials... I: AWS credentials are valid! I: Validating AWS quota... I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.13.0 I: Creating account roles ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>' ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5 I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role' ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6 I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role' ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7 I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role' ? Create the 'ManagedOpenShift-Support-Role' role? Yes 8 I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role' I: To create a cluster with these roles, run the following command: rosa create cluster --sts
- 1
- OpenShift Cluster Manager IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은
ManagedOpenShift
입니다.중요계정 역할에 사용자 지정 ARN 경로를 사용하는 경우에도 AWS 계정 전반에서 고유한 계정 전체 역할 접두사를 지정해야 합니다.
- 2
- 선택 사항: 역할에 대한 권한 경계를 ARM(Amazon Resource Name)으로 지정합니다. 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
- 3
- 계정 전체 역할에 대한 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예:
/test
)로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오./
path/dev/ - 4
- 역할 생성 모드를 선택합니다.
자동
모드를 사용하여 계정의 다양한 역할 및 정책을 자동으로 생성할 수 있습니다.수동
모드에서rosa
CLI는 역할 및 정책을 생성하는 데 필요한aws
명령을 생성합니다.수동
모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다.수동
모드를 사용하면aws
명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다. - 5 6 7 8
- 계정 전체의 설치 프로그램, 컨트롤 플레인, 작업자 및 지원 역할 및 해당 IAM 정책을 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.참고
이 단계에서 ROSA CLI는 ROSA 클러스터 Operator가 핵심 OpenShift 기능을 수행할 수 있도록 클러스터별 Operator 정책에서 사용하는 계정 전체 Operator IAM 정책도 자동으로 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
-
검토 후
aws
명령을 수동으로 실행하여 역할 및 정책을 생성합니다. 또는--mode auto
로 이전 명령을 실행하여aws
명령을 즉시 실행할 수 있습니다.
선택 사항: 자체 AWS KMS 키를 사용하여 컨트롤 플레인, 인프라, 작업자 노드 루트 볼륨 및 PV(영구 볼륨)를 암호화하는 경우 계정 전체 설치 프로그램의 ARN을 KMS 키 정책에 추가합니다.
중요기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 이 특정 키로 암호화됩니다.
다른 스토리지 클래스를 사용하여 생성한 PV는 계속 암호화되지만 스토리지 클래스가 이 키를 사용하도록 특별히 구성되지 않는 한 PV는 이 키로 암호화되지 않습니다.
KMS 키의 키 정책을 로컬 머신의 파일에 저장합니다. 다음 예제에서는 현재 작업 디렉터리의
kms-key-policy.json
에 출력을 저장합니다.$ aws kms get-key-policy --key-id <key_id_or_arn> --policy-name default --output text > kms-key-policy.json 1
- 1
- &
lt;key_id_or_arn
>을 KMS 키의 ID 또는 ARN으로 바꿉니다.
이전 단계에서 작성한 계정 전체 설치 관리자 역할의 ARN을 파일의
Statement.Principal.AWS
섹션에 추가합니다. 다음 예에서는 기본ManagedOpenShift-Installer-Role
역할의 ARN이 추가되었습니다.{ "Version": "2012-10-17", "Id": "key-rosa-policy-1", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<aws-account-id>:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow ROSA use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Support-Role", 1 "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Installer-Role", "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Worker-Role", "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-ControlPlane-Role", "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 2 ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Support-Role", 3 "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Installer-Role", "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Worker-Role", "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-ControlPlane-Role", "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 4 ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
KMS 키 정책에 변경 사항을 적용합니다.
$ aws kms put-key-policy --key-id <key_id_or_arn> \ 1 --policy file://kms-key-policy.json \ 2 --policy-name default
다음 단계에서 클러스터를 생성할 때 KMS 키의 ARN을 참조할 수 있습니다.
사용자 지정 설치 옵션을 사용하여 STS로 클러스터를 생성합니다.
--interactive
모드를 사용하여 대화형으로 사용자 지정 설정을 지정할 수 있습니다.$ rosa create cluster --interactive --sts
출력 예
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Cluster name: <cluster_name> ? OpenShift version: 4.8.9 1 I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role for the Installer role 2 I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role for the ControlPlane role I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role for the Worker role I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role for the Support role ? External ID (optional): ? Operator roles prefix: <cluster_name>-<random_string> 3 ? Multiple availability zones (optional): No 4 ? AWS region: us-east-1 ? PrivateLink cluster (optional): No ? Install into an existing VPC (optional): No ? Select availability zones (optional): No ? Enable Customer Managed key (optional): No 5 ? Compute nodes instance type (optional): ? Enable autoscaling (optional): No ? Compute nodes: 2 ? Machine CIDR: 10.0.0.0/16 ? Service CIDR: 172.30.0.0/16 ? Pod CIDR: 10.128.0.0/14 ? Host prefix: 23 ? Encrypt etcd data (optional): No 6 ? Disable Workload monitoring (optional): No I: Creating cluster '<cluster_name>' I: To create this cluster again in the future, you can run: rosa create cluster --cluster-name <cluster_name> --role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role --support-role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role --master-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role --worker-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role --operator-roles-prefix <cluster_name>-<random_string> --region us-east-1 --version 4.8.9 --compute-nodes 2 --machine-cidr 10.0.0.0/16 --service-cidr 172.30.0.0/16 --pod-cidr 10.128.0.0/14 --host-prefix 23 7 I: To view a list of clusters and their status, run 'rosa list clusters' I: Cluster '<cluster_name>' has been created. I: Once the cluster is installed you will need to add an Identity Provider before you can login into the cluster. See 'rosa create idp --help' for more information. ...
- 1
- 클러스터를 생성할 때 나열된
OpenShift 버전
옵션에는 메이저, 마이너 및 패치 버전이 포함됩니다(예:4.8.9)
. - 2
- 클러스터 버전에 대해 AWS 계정에 두 개 이상의 계정 역할 세트가 있는 경우 대화형 옵션 목록이 제공됩니다.
- 3
- 선택 사항: 기본적으로 클러스터별 Operator 역할 이름 앞에 클러스터 이름 및 임의 4자리 해시가 있습니다. 필요한 경우 사용자 정의 접두사를 지정하여 역할 이름에서 <
cluster_name>-<hash
>를 교체할 수 있습니다. 접두사는 클러스터별 Operator IAM 역할을 생성할 때 적용됩니다. 접두사에 대한 자세한 내용은 Operator IAM 역할 접두사 정의를 참조하십시오.참고연결된 계정 전체 역할을 만들 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지됩니다. 사용자 정의 경로는 이후 단계에서 생성할 때 클러스터별 Operator 역할에 적용됩니다.
- 4
- 프로덕션 워크로드에는 여러 가용성 영역이 권장됩니다. 기본값은 단일 가용성 영역입니다.
- 5
- 자체 AWS KMS 키를 사용하여 컨트롤 플레인, 인프라, 작업자 노드 루트 볼륨 및 PV를 암호화하는 경우 이 옵션을 활성화합니다. 이전 단계에서 계정 전체 역할 ARN에 추가한 KMS 키의 ARN을 지정합니다.중요
기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 이 특정 키로 암호화됩니다.
다른 스토리지 클래스를 사용하여 생성한 PV는 계속 암호화되지만 스토리지 클래스가 이 키를 사용하도록 특별히 구성되지 않는 한 PV는 이 키로 암호화되지 않습니다.
- 6
- 기본적으로 etcd 볼륨을 암호화하는 컨트롤 플레인 스토리지 암호화 외에도 사용 사례에 etcd 키 값 암호화가 필요한 경우에만 이 옵션을 활성화합니다. 이 옵션을 사용하면 etcd 키 값이 암호화되지만 키는 암호화되지 않습니다.중요
etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. 특히 사용 사례에 필요한 경우에만 etcd 암호화를 활성화하는 것이 좋습니다.
- 7
- 출력에는 나중에 동일한 구성으로 클러스터를 생성하기 위해 실행할 수 있는 사용자 지정 명령이 포함됩니다.
--interactive
모드를 사용하는 대신rosa create cluster
를 실행할 때 사용자 지정 옵션을 직접 지정할 수 있습니다. 사용 가능한 CLI 옵션 목록을 보려면rosa create cluster --help
를 실행하거나 ROSA CLI를 사용하여 오브젝트 관리에서 클러스터 생성을 참조하십시오.중요Operator IAM 역할 및 OIDC(OpenID Connect) 공급자를 생성하여 클러스터 상태를
준비
상태로 이동하려면 다음 단계를 완료해야 합니다.클러스터별 Operator IAM 역할을 생성합니다.
현재 작업 디렉터리에서 Operator IAM 정책 JSON 파일을 생성하고 검토할
aws
CLI 명령을 출력합니다.$ rosa create operator-roles --mode manual --cluster <cluster_name|cluster_id> 1
- 1
수동
모드는 Operator 역할을 생성하는 데 필요한aws
CLI 명령 및 JSON 파일을 생성합니다. 검토 후에는 명령을 수동으로 실행하여 리소스를 생성해야 합니다.
검토 후
aws
명령을 수동으로 실행하여 Operator IAM 역할을 생성하고 관리 Operator 정책을 연결합니다. 또는--mode auto
를 사용하여 이전 명령을 다시 실행하여aws
명령을 즉시 실행할 수 있습니다.참고이전 단계에서 접두사를 지정한 경우 사용자 정의 접두사가 Operator 역할 이름에 적용됩니다.
연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지되어 Operator 역할에 적용됩니다.
중요클러스터를 성공적으로 생성하려면 계정 역할 외에도 EBS Operator 역할이 필요합니다. .Example EBS Operator 역할
"arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
클러스터 Operator가 인증하는 데 사용하는 OpenID Connect(OIDC) 공급자를 생성합니다.
$ rosa create oidc-provider --mode auto --cluster <cluster_name|cluster_id> 1
- 1
Auto
모드는 OIDC 공급자를 생성하는aws
CLI 명령을 즉시 실행합니다.
클러스터 상태를 확인합니다.
$ rosa describe cluster --cluster <cluster_name|cluster_id>
출력 예
Name: <cluster_name> ID: <cluster_id> External ID: <external_id> OpenShift Version: <version> Channel Group: stable DNS: <cluster_name>.xxxx.p1.openshiftapps.com AWS Account: <aws_account_id> API URL: https://api.<cluster_name>.xxxx.p1.openshiftapps.com:6443 Console URL: https://console-openshift-console.apps.<cluster_name>.xxxx.p1.openshiftapps.com Region: <aws_region> Multi-AZ: false Nodes: - Master: 3 - Infra: 2 - Compute: 2 Network: - Service CIDR: 172.30.0.0/16 - Machine CIDR: 10.0.0.0/16 - Pod CIDR: 10.128.0.0/14 - Host Prefix: /23 STS Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role Support Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role Instance IAM Roles: - Master: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role - Worker: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role Operator IAM Roles: - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-ingress-operator-cloud-credentials - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-machine-api-aws-cloud-credentials - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cloud-credential-operator-cloud-crede - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-image-registry-installer-cloud-creden State: ready Private: No Created: Oct 1 2021 08:12:25 UTC Details Page: https://console.redhat.com/openshift/details/s/<subscription_id> OIDC Endpoint URL: https://rh-oidc.s3.<aws_region>.amazonaws.com/<cluster_id>
클러스터 설치가 진행됨에 따라 다음
상태
필드 변경 사항이 출력에 나열됩니다.-
대기 (OIDC 구성Waiting)
-
보류 (사전 계정)
-
설치 ( 진행 중인 DNS 설정)
-
설치
Ready
참고설치에 실패하거나 약 40분 후에
State
필드가준비
상태가 아닌 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.
-
OpenShift 설치 프로그램 로그를 확인하여 클러스터 생성의 진행 상황을 추적합니다.
$ rosa logs install --cluster <cluster_name|cluster_id> --watch 1
- 1
- 설치가 진행되는 동안 새 로그 메시지를 조사하려면
--watch
플래그를 지정합니다. 이 인수는 선택 사항입니다.