3.3. 所需的客户流程
客户云订阅 (CCS) 模型允许红帽在客户的 a customer’s Google Cloud Platform (GCP) 项目中部署和管理 OpenShift Dedicated。红帽需要几个先决条件来提供这些服务。
本主题中的以下要求适用于使用服务帐户和 Workload Identity Federation 身份验证类型创建的 Google Cloud Platform (GCP)集群上的 OpenShift Dedicated。有关只应用到服务帐户验证类型的额外要求,请参阅 服务帐户验证类型流程。有关只应用到 Workload Identity Federation 身份验证类型的额外要求,请参阅 Workload Identity Federation 身份验证类型。
要在 GCP 项目中使用 OpenShift Dedicated,无法放置以下 GCP 组织策略限制:
-
constraints/iam.allowedPolicyMemberDomains(这个策略约束的支持只限于红帽的DIRECTORY_CUSTOMER_ID C02k0l5e8包括在允许列表中的情况。请谨慎使用此策略约束)。 -
constraints/compute.restrictLoadBalancerCreationForTypes -
constraints/compute.requireShieldedVm(只有集群安装了在初始集群创建过程中选择的 "Enable Secure Boot support for Shielded VM" 时,才支持此策略约束。 -
constraints/compute.vmExternalIpAccess(此策略约束在安装后才被支持)。
流程
- 创建 Google Cloud 项目来托管 OpenShift Dedicated 集群。
在托管 OpenShift Dedicated 集群的项目中启用以下所需的 API:
表 3.1. 所需的 API 服务 API 服务 控制台服务名称 deploymentmanager.googleapis.comcompute.googleapis.comcloudapis.googleapis.comcloudresourcemanager.googleapis.comdns.googleapis.comnetworksecurity.googleapis.comiamcredentials.googleapis.comiam.googleapis.comservicemanagement.googleapis.comserviceusage.googleapis.comstorage-api.googleapis.comstorage-component.googleapis.comorgpolicy.googleapis.com
3.3.1. 服务帐户验证类型流程
除了所需客户流程中列出的 所需客户 外,还需要执行其他特定的操作,在 Google Cloud Platform (GCP)上创建 OpenShift Dedicated 集群时,需要使用服务帐户作为身份验证类型。
流程
为确保红帽可以执行必要的操作,您必须在 GCP 项目中创建
osd-ccs-adminIAM 服务帐户 用户。以下角色必须授予服务帐户 :
表 3.2. 所需角色 角色 控制台角色名称 Compute Admin
roles/compute.adminDNS Administrator
roles/dns.admin机构策略查看器
roles/orgpolicy.policyViewer服务管理管理员
roles/servicemanagement.adminService Usage Admin
roles/serviceusage.serviceUsageAdminStorage Admin
roles/storage.adminCompute Load Balancer Admin
roles/compute.loadBalancerAdmin角色查看器
roles/viewerRole Administrator
roles/iam.roleAdminSecurity Admin
roles/iam.securityAdminService Account Key Admin
roles/iam.serviceAccountKeyAdminService Account Admin
roles/iam.serviceAccountAdminService Account User
roles/iam.serviceAccountUser-
为
osd-ccs-adminIAM 服务帐户创建服务帐户密钥。将密钥导出到名为osServiceAccount.json的文件;创建集群时,此 JSON 文件将在 Red Hat OpenShift Cluster Manager 中上传。
3.3.2. 工作负载身份联邦身份验证类型过程
除了在 Required 客户流程中列出的所需客户步骤 外,在使用 Workload Identity Federation 作为身份验证类型在 Google Cloud Platform (GCP)上创建 OpenShift Dedicated 集群时,您必须采取其他特定操作。
流程
为实现 Workload Identity Federation 身份验证类型的用户 的服务帐户 分配以下角色:
表 3.3. 所需角色 角色 控制台角色名称 角色目的 Role Administrator
roles/iam.roleAdminOCM CLI 中的 GCP 客户端需要用于创建自定义角色。
Service Account Admin
roles/iam.serviceAccountAdmin需要预先创建 OSD 部署器、支持和操作器所需的服务帐户。
工作负载身份池管理员
roles/iam.workloadIdentityPoolAdmin创建和配置工作负载身份池是必需的。
项目 IAM Admin
roles/resourcemanager.projectIamAdmin为服务帐户分配角色并授予那些对云资源执行操作所需的角色的权限。
安装 OpenShift Cluster Manager API 命令行界面(
ocm)。要使用 OCM CLI,您必须针对 Red Hat OpenShift Cluster Manager 帐户进行身份验证。这可以通过 OpenShift Cluster Manager API 令牌来完成。
您可以在此处获取您的令牌。https://console.redhat.com/openshift/token/show
要针对 Red Hat OpenShift Cluster Manager 帐户进行身份验证,请运行以下命令:
$ ocm login --token <token> 1- 1
- 将
<token> 替换为您的 OpenShift Cluster Manager API 令牌。
重要OpenShift Cluster Manager API 命令行界面(
ocm)只是一个技术预览功能。有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。- 安装 gcloud CLI。
- 使用应用程序 默认凭证(ADC) 验证 gcloud CLI。
