3.3. 使用 OpenShift Cluster Manager 创建带有服务帐户身份验证的集群

流程

1. 登录 OpenShift Cluster Manager，再点 Create cluster。
2. 在 Create a OpenShift cluster 页面中，在 Red Hat OpenShift Dedicated 行中选择 Create cluster。

3. 在 Billing model 下，配置订阅类型和基础架构类型：

   1. 选择订阅类型。如需有关 OpenShift Dedicated 订阅选项的信息，请参阅 OpenShift Cluster Manager 文档中的集群订阅和注册。

      注意

      取决于 OpenShift Dedicated 订阅和资源配额的订阅类型。红帽建议使用通过 Google Cloud Platform (GCP) Marketplace 购买的 On-Demand 订阅类型部署集群。这个选项提供灵活、基于消费的账单，消耗额外的容量是无法的，不需要红帽干预。

      如需更多信息，请联系您的销售代表或红帽支持。

   2. 选择 Customer Cloud Subscription 基础架构类型，在您拥有的现有云供应商帐户中部署 OpenShift Dedicated。
   3. 点 Next。
4. 选择 Run on Google Cloud Platform。

5. 选择 Service Account 作为 Authentication type。

   注意

   红帽建议使用 Workload Identity Federation 作为 Authentication 类型。如需更多信息，请参阅附加资源部分中的 使用 Workload Identity Federation 身份验证在 GCP 上创建集群。

6. 检查并完成列出 的先决条件。
7. 选中该复选框，确认您已经阅读并完成了所有先决条件。
8. 以 JSON 格式提供您的 GCP 服务帐户私钥。您可以点 Browse 来查找并附加 JSON 文件，或者在 Service account JSON 字段中添加详情。
9. 点 Next 以验证您的云供应商帐户，再进入 Cluster details 页面。

10. 在 Cluster details 页面中，为集群提供一个名称并指定集群详情：

    1. 添加集群名称。

    2. 可选：集群创建生成域前缀，作为 openshiftapps.com 上置备的集群的子域。如果集群名称小于或等于 15 个字符，则该名称用于域前缀。如果集群名称超过 15 个字符，则域前缀会随机生成到 15 个字符字符串。

       要自定义子域，请选中 Create custom domain prefix 复选框，然后在 Domain prefix 字段中输入您的域前缀名称。域前缀不能超过 15 个字符，在您的机构中必须是唯一的，且在集群创建后无法更改。

    3. 从 Version 下拉菜单中选择集群版本。

       重要

       使用私有 Service Connect (PSC)配置的集群只在 OpenShift Dedicated 版本 4.17 及更新的版本中被支持。有关 PSC 的更多信息，请参阅附加资源部分中的私有服务概述。

    4. 从 Region 下拉菜单中选择云供应商区域。
    5. 选择 Single zone 或 Multi-zone 配置。

    6. 可选： 选择 Enable Secure Boot for Shielded VMs，以便在安装集群时使用 Shielded 虚拟机。创建集群时，无法更改 Shielded VM 设置的 Enable Secure Boot。如需更多信息，请参阅 Shielded VM。

       重要

       要成功创建集群，如果您的机构启用了策略约束 constraints/compute.requireShieldedVm，则需要选择 Enable Secure Boot support for Shielded VM。如需有关 GCP 机构策略约束的更多信息，请参阅机构策略限制。

       重要

       在使用裸机实例类型创建的 Google Cloud Platform (GCP) 集群上的 OpenShift Dedicated 不支持 Enable Secure Boot support for Shielded VMs。如需更多信息，请参阅 Google Cloud 文档中的 限制。

    7. 选择 Enable user workload monitoring 以监控您自己的项目，使其与红帽站点可靠性工程师(SRE)平台指标隔离。默认启用这个选项。

11. 可选：扩展高级加密以更改加密设置。

    1. 选择 Use custom KMS 密钥来使用自定义 KMS 密钥。如果您不希望使用自定义 KMS 密钥，请保留默认设置 Use default KMS Keys。

       重要

       要使用自定义 KMS 密钥，IAM 服务帐户 osd-ccs-admin 必须被授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色。有关授予资源角色的更多信息，请参阅授予资源的角色。

    2. 选择 使用自定义 KMS 密钥 ：

       1. 从 Key ring location 下拉菜单中选择密钥环位置。
       2. 从 Key ring 下拉菜单中选择一个密钥环。
       3. 从 Key name 下拉菜单中选择一个键名称。
       4. 提供 KMS 服务帐户。

    3. 可选： 如果需要集群经过 FIPS 验证，请选择启用 FIPS 加密。

       注意

       如果选择了 Enable FIPS 加密，则默认 启用额外的 etcd 加密，且无法禁用。您可以选择 Enable additional etcd encryption without select Enable FIPS encryption。

    4. 可选：如果您需要 etcd 键值加密，请选择 Enable additional etcd encryption。使用此选项时，etcd 键的值被加密，而不是键本身。这个选项除了 control plane 存储加密外，它默认加密 OpenShift Dedicated 集群中的 etcd 卷。

       注意

       通过启用额外的 etcd 加密，您将会产生大约 20% 的性能开销。除了加密 etcd 卷的默认 control plane 存储加密外，还会引入第二层加密的开销。只有在特别需要时才考虑启用 etcd 加密。

    5. 点击 Next。
12. 在 Default machine pool 页面上，从下拉菜单中选择 Compute 节点实例类型。

13. 可选： 选择 Enable autoscaling 复选框来启用自动扩展。

    1. 点 Edit cluster autoscaling settings 来更改自动扩展设置。
    2. 进行所需的更改后，点 关闭。
    3. 选择最小和最大节点数。通过联合可用的加号和减号，或将所需的节点数输入到数字输入字段中，可以选择节点数。

14. 从下拉菜单中选择 Compute 节点数。

    注意

    如果您使用多个可用区，则计算节点计数是每个区域。创建集群后，您可以更改集群中的计算节点数量，但您无法更改机器池中的计算节点实例类型。您依赖于 OpenShift Dedicated 订阅的节点数量和类型。

15. 可选：展开 添加节点标签，为节点添加标签。点 Add additional label 添加附加节点标签，然后选择 Next。

    重要

    此步骤指的是 Kubernetes 中的标签，而不是 Google Cloud。如需有关 Kubernetes 标签的更多信息，请参阅 标签和选择器。

16. 在 Network configuration 页面中，选择 Public 或 Private 来使用集群的公共或私有 API 端点和应用程序路由。

    如果您选择了 Private and selected OpenShift Dedicated 版本 4.17 或更高版本作为集群版本，则默认选择 Use Private Service Connect。私有服务连接(PSC)是 Google Cloud 的安全增强网络功能。您可以点击 Use Private Service Connect 复选框来禁用 PSC。

    注意

    红帽建议在 Google Cloud 上部署私有 OpenShift Dedicated 集群时使用 Private Service Connect。私有 Service Connect 确保红帽基础架构、站点可靠性工程(SRE)和私有 OpenShift Dedicated 集群之间存在安全、私有连接。

    重要

    如果使用私有 API 端点，则在更新云供应商帐户中的网络设置之前，您无法访问集群。

17. 可选： 要在现有 GCP Virtual Private Cloud (VPC) 上安装集群：

    注意

    不支持将新的 OpenShift Dedicated 集群安装到 VPC 中，它由安装程序为不同的集群自动创建。

    1. 选择 Install into an existing VPC。

       重要

       只有 Install into an existing VPC 才支持私有 Service Connect。

    2. 如果您要安装到现有的 VPC 中，并且您要为集群启用 HTTP 或 HTTPS 代理，请选择 配置集群范围代理。

       重要

       要为集群配置集群范围代理，您必须首先创建云网络地址转换(NAT)和云路由器。如需更多信息，请参阅附加资源部分。

18. 接受默认应用程序入口设置，或创建自己的自定义设置，选择 Custom Settings。

    1. 可选：提供路由选择器。
    2. 可选：提供排除的命名空间。
    3. 选择命名空间所有权策略。

    4. 选择通配符策略。

       有关自定义应用程序入口设置的更多信息，请点击每个设置提供的信息图标。

19. 点击 Next。

20. 可选：要将集群安装到 GCP 共享 VPC 中：

    重要

    要将集群安装到共享 VPC 中，您必须使用 OpenShift Dedicated 版本 4.13.15 或更高版本。另外，主机项目的 VPC 所有者必须在 Google Cloud 控制台中将项目启用为主机项目。如需更多信息，请参阅启用主机项目。

    1. 选择 Install into GCP Shared VPC。

    2. 指定 Host 项目 ID。如果指定的主机项目 ID 不正确，集群创建会失败。

       重要

       完成集群配置向导中的步骤并点 Create Cluster 后，集群将进入"Installation Waiting"状态。此时，您必须联系主机项目的 VPC 所有者，其必须为动态生成的服务帐户分配以下角色： Compute Network Administrator、Compute Security Administrator、Project IAM Admin 和 DNS Administrator。主机项目的 VPC 所有者在集群创建失败前有 30 天的时间授予列出的权限。有关共享 VPC 权限的详情，请参考 Provision Shared VPC。

21. 如果您选择在现有 GCP VPC 中安装集群，请提供 Virtual Private Cloud (VPC)子网设置并选择 Next。您必须已创建了云网络地址转换 (NAT) 和云路由器。有关 Cloud NAT 和 Google VPC 的信息，请参阅"附加资源"部分。

    注意

    如果您要将集群安装到共享 VPC 中，VPC 名称和子网将从主机项目共享。

22. 如果您选择配置集群范围代理，在 Cluster-wide proxy 页面中提供代理配置详情：

    1. 至少在以下字段之一中输入值：

       • 指定有效的 HTTP 代理 URL。
       • 指定有效的 HTTPS 代理 URL。
       • 在 Additional trust bundle 字段中，提供 PEM 编码 X.509 证书捆绑包。捆绑包添加到集群节点的可信证书存储中。如果使用 TLS-inspecting 代理，则需要额外的信任捆绑包文件，除非代理的身份证书由 Red Hat Enterprise Linux CoreOS (RHCOS)信任捆绑包的颁发机构签名。无论代理是透明的，还是需要使用 http-proxy 和 https-proxy 参数显式配置，这个要求都适用。

    2. 点击 Next。

       有关使用 OpenShift Dedicated 配置代理的更多信息，请参阅配置集群范围代理。

23. 在 CIDR 范围对话框中，配置自定义无类别域间路由 (CIDR) 范围，或使用提供的默认值。

    注意

    如果您要安装到 VPC 中，Machine CIDR 范围必须与 VPC 子网匹配。

    重要

    稍后无法更改 CIDR 配置。在继续操作前，请联系您的网络管理员选择。

24. 在 Cluster update 策略 页面中，配置您的更新首选项：

    1. 选择集群更新方法：

       • 如果要 单独调度每个更新，请选择单个更新。这是默认选项。

       • 选择 Recurring updates 以在更新可用是在您的首先日期、开始时间上更新集群。

         注意

         您可以查看 OpenShift Dedicated 更新生命周期文档中的生命周期结束日期。如需更多信息，请参阅 OpenShift Dedicated 更新生命周期。

    2. 根据集群更新方法提供管理员批准：

       • 独立更新：如果您选择了一个需要批准的更新版本，请提供一个管理员的确认信息，并点 Approve and continue。
       • 重复更新：如果您为集群选择了重复更新，请提供一个管理员的确认信息并点 Approve and continue。在没有收到管理员确认的情况下，OpenShift Cluster Manager 不会为次版本启动 y-stream 更新。
    3. 如果您选择重复更新，请从下拉菜单中选择 UTC 中的星期天和升级开始时间。
    4. 可选：您可以在集群安装过程中为节点排空设置宽限期。默认设置 1 小时 宽限期。

    5. 点击 Next。

       注意

       如果出现严重影响集群的安全性或稳定性的关键安全问题，Red Hat Site Reliability Engineering (SRE) 可能会对最新 z-stream 版本进行自动更新。在通知客户后，更新会在 48 小时内应用。有关严重影响安全评级的信息，请参阅 了解红帽安全评级。

25. 查看您选择的概述并点 Create cluster 启动集群安装。安装需要大约 30-40 分钟才能完成。

26. 可选：在 Overview 选项卡中，您可以通过选择 Enable 来启用删除保护功能，它直接位于 Delete Protection: Disabled 下。这将阻止集群被删除。要禁用删除保护，请选择 Disable。默认情况下，集群会被创建，并禁用了删除保护功能。

    注意

    如果您删除了安装到 GCP 共享 VPC 中的集群，请通知主机项目的 VPC 所有者，以删除在集群创建过程中引用的服务帐户的 IAM 策略角色。