第 14 章 使用 AWS 本地区安装集群
在 OpenShift Container Platform 版本 4.13 中,您可以在 Amazon Web Services (AWS) 上将集群安装到现有的 VPC 中,使用 AWS Local Zones 将 worker 扩展到 Cloud Infrastructure 边缘。
创建 Amazon Web Service (AWS) Local Zone 环境并部署了集群后,您可以使用边缘 worker 节点在 Local Zone 子网中创建用户工作负载。
AWS Local Zones 是一种基础架构类型,可将云资源放在满足要求的区域。如需更多信息,请参阅 AWS 区域文档。
OpenShift Container Platform 可以安装到带有 Local Zone 子网的现有 VPC 中。Local Zone 子网可用于将常规 worker 节点扩展到边缘网络。边缘 worker 节点专用于运行用户工作负载。
创建 VPC 和子网的一种方法是使用提供的 CloudFormation 模板。您可以修改模板来自定义基础架构,或使用其包含的信息来按照公司策略创建 AWS 对象。
执行安装程序置备的基础架构安装的步骤仅作为示例。安装使用您提供的 VPC 的集群需要了解云供应商和 OpenShift Container Platform 的安装过程。提供的 CloudFormation 模板可帮助完成这些步骤,或者帮助您自行建模。您还可以自由选择通过其他方法创建所需的资源;模板仅作示例之用。
14.1. 先决条件
- 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。
- 您可以阅读选择集群安装方法并为用户准备它的文档。
已将 AWS 帐户配置为托管集群。
重要如果您的计算机上存储有 AWS 配置集,则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中,集群会持续使用您的当前 AWS 凭证来创建 AWS 资源,因此您必须使用基于密钥的长期凭证。要生成适当的密钥,请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。
- 您记下了区域和支持的 AWS 区域位置,在其中创建网络资源。
- 您可以阅读每个 AWS 本地区域位置的功能。
- 您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序(Linux、macOS 或 UNIX)安装 AWS CLI。
如果使用防火墙,将其配置为允许集群需要访问的站点。
注意如果您要配置代理,请务必也要查看此站点列表。
-
如果环境中无法访问云身份和访问管理(IAM)API,或者不想将管理员级别的凭证 secret 存储在
kube-system命名空间中,您可以 手动创建和维护 IAM 凭证。 为创建集群的用户添加权限,以使用
ec2:ModifyAvailabilityZoneGroup修改 Local Zone 组。例如:附加到用户或组的 permissive IAM 策略示例
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:ModifyAvailabilityZoneGroup" ], "Effect": "Allow", "Resource": "*" } ] }
