18.2. 配置 IBM Cloud 帐户

18.2.1. 先决条件

您有一个带有订阅的 IBM Cloud® 帐户。您不能在免费或试用 IBM Cloud® 帐户上安装 OpenShift Container Platform。

18.2.2. IBM Power Virtual Server 的配额和限制

OpenShift Container Platform 集群使用多个 IBM Cloud® 和 IBM Power® Virtual Server 组件，默认配额和限值会影响您安装 OpenShift Container Platform 集群的能力。如果您使用特定的集群配置，在某些区域部署集群，或者从您的帐户运行多个集群，您可能需要为 IBM Cloud® 帐户请求其他资源。

有关默认 IBM Cloud® 配额和服务限制的完整列表，请参阅 IBM Cloud® 的配额和服务限制文档。

虚拟私有云

每个 OpenShift Container Platform 集群创建自己的虚拟私有云(VPC)。每个区域的 VPC 的默认配额为 10。如果您创建了 10 个 VPC，则需要在尝试安装前提高配额。

应用程序负载均衡器

默认情况下，每个集群创建两个应用程序负载均衡器 (ALBs)：

control plane API 服务器的内部负载均衡器
control plane API 服务器的外部负载均衡器

您可以创建额外的 LoadBalancer 服务对象创建额外的 ALBs。VPC 的默认配额是每个区域 50 个。要获得超过 50 个 ALB，您必须提高此配额。

支持 VPC ALB。IBM Power® Virtual Server 不支持经典的 ALB。

传输网关

每个 OpenShift Container Platform 集群都会创建自己的 Transit 网关，以启用与 VPC 的通信。每个帐户传输网关的默认配额是 10。如果您创建了 10 个传输网关，则需要在尝试安装前提高配额。

动态主机配置协议服务

每个 IBM Power® Virtual Server 实例有一个动态主机配置协议(DHCP)服务的限制。

网络

由于网络限制，每个帐户通过 IPI 安装了一个 OpenShift 集群的限制。这不是可配置的。

虚拟服务器实例

默认情况下，集群使用以下资源创建服务器实例：

0.5 CPU
32 GB RAM
系统要求：s922
处理器类型：uncapped, shared
存储级：Tier-3

创建以下节点：

一台 bootstrap 机器，它会在安装完成后删除
三个 control plane 节点
三个计算节点

如需更多信息，请参阅 IBM Cloud® 文档中的创建电源系统虚拟服务器。

18.2.3. 配置 DNS 解析

如何配置 DNS 解析取决于您安装的 OpenShift Container Platform 集群的类型：

如果要安装公共集群，请使用 IBM Cloud® Internet Services (CIS)。
如果要安装私有集群，请使用 IBM Cloud® DNS Services (DNS Services)。

18.2.4. 使用 IBM Cloud Internet 服务进行 DNS 解析

安装程序使用 IBM Cloud® Internet Services (CIS) 来配置集群 DNS 解析，并为公共集群提供名称查找。

注意

此产品不支持 IPv6，因此无法实现双堆栈或 IPv6 环境。

您必须在与集群相同的帐户的 CIS 中创建域区。您还必须确保该区域对域具有权威。您可以使用根域或子域进行此操作。

先决条件

已安装 IBM Cloud® CLI。
您有一个现有的域和注册商。如需更多信息，请参阅 IBM® 文档。

流程

创建用于集群的 CIS 实例：
1. 安装 CIS 插件：
```
$ ibmcloud plugin install cis
```
2. 使用 CLI 登录 IBM Cloud®：
```
$ ibmcloud login
```
3. 创建 CIS 实例：
```
$ ibmcloud cis instance-create <instance_name> standard 1
```
  1
  CIS 至少需要一个 标准 计划来管理集群子域及其 DNS 记录。
将现有域连接到您的 CIS 实例：
1. 为 CIS 设置上下文实例：
```
$ ibmcloud cis instance-set <instance_CRN> 1
```
  1
  实例 CRN （云资源名称）。例如： ibmcloud cis instance-set crn:v1:bluemix:public:power-iaas:osa21:a/65b64c1f1c29460d8c2e4bbfbd893c2c:c09233ac-48a5-4ccb-a051-d1cfb3fc7eb5::
2. 为 CIS 添加域：
```
$ ibmcloud cis domain-add <domain_name> 1
```
  1
  完全限定域名。您可以根据计划配置，使用根域或子域值作为域名。
  注意
  根域使用格式 openshiftcorp.com。子域使用格式为 cluster.openshiftcorp.com。
打开 CIS Web 控制台，进入 Overview 页面，并记录您的 CIS 名称服务器。这些名称服务器将在下一步中使用。
在域的注册商或 DNS 供应商中为您的域或子域配置名称服务器。如需更多信息，请参阅 IBM Cloud® 文档。

18.2.5. IBM Cloud IAM 策略和 API 密钥

要将 OpenShift Container Platform 安装到 IBM Cloud® 帐户中，安装程序需要一个 IAM API 密钥，它提供访问 IBM Cloud® 服务 API 的身份验证和授权。您可以使用包含所需策略的现有 IAM API 密钥或创建新策略。

有关 IBM Cloud® IAM 概述，请参阅 IBM Cloud® 文档。

18.2.5.1. 先决条件权限

表 18.1. 先决条件权限
角色	权限
Viewer, Operator, Editor, Administrator, Reader, Writer, Manager	<resource_group> 资源组中的互联网服务
Viewer, Operator, Editor, Administrator, User API key creator, Service ID creator	IAM Identity Service 服务
Viewer, Operator, Administrator, Editor, Reader, Writer, Manager, Console Administrator	<resource_group> 资源组中的 VPC Infrastructure Services 服务
Viewer	资源组：查看资源组本身的访问权限。资源类型应等于 `Resource group`，值为 <your_resource_group_name>。

18.2.5.2. cluster-creation 权限

表 18.2. cluster-creation 权限
角色	权限
Viewer	<resource_group> （为您的团队创建资源组）
Viewer, Operator, Editor, Reader, Writer, Manager	Default 资源组中启用了所有 Identity 和 IAM 服务
Viewer, Reader	互联网服务
Viewer, Operator, Reader, Writer, Manager, Content Reader, Object Reader, Object Writer, Editor	云对象存储服务
Viewer	默认资源组：资源类型应等于 `Resource group`，值为 `Default`。如果您的帐户管理员将帐户的默认资源组改为 Default 以外的名称，请使用该值。
Viewer, Operator, Editor, Reader, Manager	<resource_group> 资源组中的 IBM Power® Virtual Server 服务的工作区
Viewer, Operator, Editor, Reader, Writer, Manager, Administrator	<resource_group> 资源组中的 Internet Services 服务：CIS 功能范围字符串等于可靠性
Viewer, Operator, Editor	传输网关服务
Viewer, Operator, Editor, Administrator, Reader, Writer, Manager, Console Administrator	VPC Infrastructure Services 服务 <resource_group> 资源组

18.2.5.3. 访问策略分配

在 IBM Cloud® IAM 中，可以将访问策略附加到不同的主题：

访问组（推荐）
服务 ID
用户

建议的方法是在访问组中定义 IAM 访问策略。这有助于组织 OpenShift Container Platform 所需的所有访问权限，并可让您向这个组注册用户和服务 ID。如果需要，您还可以为用户和服务 ID 分配访问权限。

18.2.5.4. 创建 API 密钥

您必须为 IBM Cloud® 帐户创建用户 API 密钥或服务 ID API 密钥。

先决条件

您已为 IBM Cloud® 帐户分配了所需的访问策略。
您已将 IAM 访问策略附加到访问组或其他适当的资源。

流程

根据您定义的 IAM 访问策略，创建一个 API 密钥。
例如，如果您为用户分配了访问策略，您必须创建一个用户 API 密钥。如果您将访问策略分配给服务 ID，您必须创建一个服务 ID API 密钥。如果您的访问策略分配给一个访问组，您可以使用任一 API 密钥类型。有关 IBM Cloud® API 密钥的更多信息，请参阅了解 API 密钥。

18.2.6. 支持的 IBM Power Virtual Server 区域和区域

您可以将 OpenShift Container Platform 集群部署到以下区域：

dal (Dallas, USA)
- dal10
- dal12
eu-de (Frankfurt, Germany)
- eu-de-1
- eu-de-2
lon (London, UK)
- lon04
mad (Madrid, Spain)
- mad02
- mad04
osa (Osaka, Japan)
- osa21
sao (Sao Paulo, Brazil)
- sao01
- sao04
syd (Sydney, Australia)
- syd04
wdc (Washington DC, USA)
- wdc06
- wdc07

您可以选择指定安装程序在其中创建任何 VPC 组件的 IBM Cloud® 区域。IBM Cloud® 支持的区域有：

us-south
eu-de
eu-es
eu-gb
jp-osa
au-syd
br-sao
ca-tor
jp-tok

18.2.7. 后续步骤

创建 IBM Power® Virtual Server 工作区