2.7. 使用自定义创建集群
使用符合您的环境需求的配置,在 AWS (ROSA) 上部署带有 AWS 安全令牌服务 (STS) 集群的 Red Hat OpenShift Service。您可以使用 Red Hat OpenShift Cluster Manager 或 ROSA CLI (rosa
)使用自定义部署集群。
2.7.1. 使用 OpenShift Cluster Manager 使用自定义创建集群
当您创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群时,您可以使用 Red Hat OpenShift Cluster Manager 以交互自定义安装。
STS 仅支持公共和 AWS PrivateLink 集群。常规私有集群(非PrivateLink)无法用于 STS。
前提条件
- 您为使用 STS 的 ROSA 完成 AWS 的先决条件。
- 您有可用的 AWS 服务配额。
- 您已在 AWS 控制台中启用了 ROSA 服务。
-
您已在安装主机上安装并配置了最新的 ROSA CLI (
rosa
)。运行rosa version
以查看您当前安装的 ROSA CLI 版本。如果有更新的版本,CLI 会提供下载此升级的链接。 - 已确认 AWS 帐户中存在 AWS Elastic Load Balancing (ELB)服务角色。
- 如果要配置集群范围代理,请验证可以从安装集群的 VPC 访问代理。该代理还必须从 VPC 的专用子网访问。
流程
- 导航到 OpenShift Cluster Manager 并选择 Create cluster。
- 在 Create a OpenShift cluster 页面中,在 Red Hat OpenShift Service on AWS (ROSA) 行中选择 Create cluster。
如果自动检测到 AWS 帐户,帐户 ID 会在 关联的 AWS 帐户 下拉菜单中列出。如果没有自动检测到 AWS 帐户,点 Select a account
associated AWS account 并按照以下步骤操作: 在 Authenticate 页面上,单击
rosa login
命令旁边的复制按钮。命令包括您的 OpenShift Cluster Manager API 登录令牌。注意您还可以在 OpenShift Cluster Manager 上的 OpenShift Cluster Manager API Token 页面中加载 API 令牌。
在 CLI 中运行复制的命令以登录到您的 ROSA 帐户。
$ rosa login --token=<api_login_token> 1
- 1
- 将
<api_login_token
> 替换为复制命令中提供的令牌。
输出示例
I: Logged in as '<username>' on 'https://api.openshift.com'
- 在 OpenShift Cluster Manager 中的 Authenticate 页面上,单击 Next。
在 OCM 角色页面中,点 Basic OCM role 或 Admin OCM role 命令旁边的复制按钮。
基本角色可让 OpenShift Cluster Manager 检测 ROSA 所需的 AWS IAM 角色和策略。admin 角色还启用角色和策略的检测。另外,admin 角色允许使用 OpenShift Cluster Manager 自动部署特定于集群 Operator 角色和 OpenID Connect (OIDC) 供应商。
在 CLI 中运行复制的命令,并按照提示创建 OpenShift Cluster Manager IAM 角色。以下示例使用默认选项创建基本 OpenShift Cluster Manager IAM 角色:
$ rosa create ocm-role
输出示例
I: Creating ocm role ? Role prefix: ManagedOpenShift 1 ? Enable admin capabilities for the OCM role (optional): No 2 ? Permissions boundary ARN (optional): 3 ? Role Path (optional): 4 ? Role creation mode: auto 5 I: Creating role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>' ? Create the 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role? Yes I: Created role 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' I: Linking OCM role ? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id> ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role with organization '<red_hat_organization_id>'? Yes 6 I: Successfully linked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with organization account '<red_hat_organization_id>'
- 1
- 指定要在 OCM IAM 角色名称中包含的前缀。默认值为
ManagedOpenShift
。您只能为每个 AWS 帐户为 Red Hat 机构创建一个 OCM 角色。 - 2
- 启用 admin OpenShift Cluster Manager IAM 角色,该角色等同于指定
--admin
参数。如果要使用 Auto 模式使用 OpenShift Cluster Manager 自动置备特定于集群的 Operator 角色和 OIDC 供应商,则需要 admin 角色。 - 3
- 可选:为角色指定一个权限边界 Amazon Resource Name (ARN)。如需更多信息,请参阅 AWS 文档中的 IAM 实体的权限边界。
- 4
- 为您的 OCM 角色指定自定义 ARN 路径。该路径必须仅包含字母数字字符,并以
/
开头和结尾,例如/test/path/dev/
。如需更多信息,请参阅 IAM 角色和策略的 ARN 路径自定义。 - 5
- 选择角色创建模式。您可以使用
auto
模式自动创建 OpenShift Cluster Manager IAM 角色,并将其链接到您的红帽机构帐户。在手动模式中
,ROSA CLI 生成创建和链接角色所需的aws
命令。在手动模式中
,对应的策略 JSON 文件也保存到当前目录中。manual
模式允许您在手动运行aws
命令前查看详情。 - 6
- 将 OpenShift Cluster Manager IAM 角色链接到您的红帽机构帐户。
如果您不选择将 OpenShift Cluster Manager IAM 角色链接到上一命令中的红帽机构帐户,请从 OpenShift Cluster Manager OCM 角色 页面中复制
rosa link
命令并运行它:$ rosa link ocm-role <arn> 1
- 1
- 将
<arn>
替换为上一命令输出中包含的 OpenShift Cluster Manager IAM 角色的 ARN。
- 在 OpenShift Cluster Manager OCM 角色 页面中选择 Next。
在 User role 页面上,点 User role 命令的复制按钮,并在 CLI 中运行命令。在使用 OpenShift Cluster Manager 安装集群和所需资源时,红帽使用用户角色来验证 AWS 身份。
按照提示创建用户角色:
$ rosa create user-role
输出示例
I: Creating User role ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Role Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating ocm user role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>' ? Create the 'ManagedOpenShift-User-<red_hat_username>-Role' role? Yes I: Created role 'ManagedOpenShift-User-<red_hat_username>-Role' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' I: Linking User role ? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role ? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' role with account '<red_hat_user_account_id>'? Yes 5 I: Successfully linked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' with account '<red_hat_user_account_id>'
- 1
- 指定要在用户角色名称中包含的前缀。默认值为
ManagedOpenShift
。 - 2
- 可选:为角色指定一个权限边界 Amazon Resource Name (ARN)。如需更多信息,请参阅 AWS 文档中的 IAM 实体的权限边界。
- 3
- 为您的用户角色指定自定义 ARN 路径。该路径必须仅包含字母数字字符,并以
/
开头和结尾,例如/test/path/dev/
。如需更多信息,请参阅 IAM 角色和策略的 ARN 路径自定义。 - 4
- 选择角色创建模式。您可以使用
auto
模式自动创建用户角色并将其链接到 OpenShift Cluster Manager 用户帐户。在手动模式中
,ROSA CLI 生成创建和链接角色所需的aws
命令。在手动模式中
,对应的策略 JSON 文件也保存到当前目录中。manual
模式允许您在手动运行aws
命令前查看详情。 - 5
- 将用户角色链接到 OpenShift Cluster Manager 用户帐户。
如果您没有将用户角色链接到上一命令中的 OpenShift Cluster Manager 用户帐户,请从 OpenShift Cluster Manager User role 页面中复制
rosa link
命令并运行它:$ rosa link user-role <arn> 1
- 1
- 将 <
arn
> 替换为上一命令输出中包含的用户角色的 ARN。
- 在 OpenShift Cluster Manager User role 页面上,单击 Ok。
- 验证 AWS 帐户 ID 是否列在 Accounts and roles 页面的关联 AWS 帐户下拉菜单中。
如果所需的帐户角色不存在,则会提供一个通知,表示有些帐户角色 ARN 没有被检测到。您可以通过点击
rosa create account-roles
命令旁边的复制缓冲区并在 CLI 中运行命令,创建 AWS 帐户范围的角色和策略,包括 Operator 策略:$ rosa create account-roles
输出示例
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com' I: Validating AWS credentials... I: AWS credentials are valid! I: Validating AWS quota... I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.0 I: Creating account roles ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>' ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5 I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role' ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6 I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role' ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7 I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role' ? Create the 'ManagedOpenShift-Support-Role' role? Yes 8 I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role' I: To create a cluster with these roles, run the following command: rosa create cluster --sts
- 1
- 指定要在 OpenShift Cluster Manager IAM 角色名称中包含的前缀。默认值为
ManagedOpenShift
。重要您必须指定一个在 AWS 帐户之间是唯一的集群范围的角色前缀,即使您为帐户角色使用自定义 ARN 路径。
- 2
- 可选:为角色指定一个权限边界 Amazon Resource Name (ARN)。如需更多信息,请参阅 AWS 文档中的 IAM 实体的权限边界。
- 3
- 为您的集群范围的角色指定自定义 ARN 路径。该路径必须仅包含字母数字字符,并以
/
开头和结尾,例如/test/path/dev/
。如需更多信息,请参阅 IAM 角色和策略的 ARN 路径自定义。 - 4
- 选择角色创建模式。您可以使用
auto
模式自动创建帐户范围内的角色和策略。在手动模式中
,ROSA CLI 生成创建角色和策略所需的aws
命令。在手动模式中
,对应的策略 JSON 文件也保存到当前目录中。manual
模式允许您在手动运行aws
命令前查看详情。 - 5 6 7 8
- 创建集群范围的安装程序、control plane、worker 和支持角色以及对应的 IAM 策略。如需更多信息,请参阅 帐户范围的 IAM 角色和策略参考。注意
在此步骤中,ROSA CLI 还会自动创建特定于集群 Operator 策略的帐户范围的 Operator IAM 策略,以允许 ROSA 集群 Operator 执行核心 OpenShift 功能。如需更多信息,请参阅 帐户范围的 IAM 角色和策略参考。
在 Accounts and roles 页面中,点 Refresh ARNs 并验证是否列出了安装程序、支持、worker 和 control plane 帐户角色 ARN。
如果您的集群版本的 AWS 帐户中有多个帐户角色,则会提供一个 安装程序角色 ARN 的下拉列表。选择您要用于集群的安装程序角色的 ARN。集群使用与所选安装程序角色相关的集群范围的角色和策略。
点击 Next。
注意如果更改了 Accounts and roles 页面,您可能需要再次选择复选框,以确认您已读取并完成所有先决条件。
在 Cluster details 页面中,为集群提供一个名称并指定集群详情:
- 添加集群名称。
可选:集群创建会生成域前缀,作为您在
openshiftapps.com
上置备的集群的子域。如果集群名称小于或等于 15 个字符,该名称用于域前缀。如果集群名称超过 15 个字符,则域前缀会随机生成给 15 个字符的字符串。要自定义子域,请选择 Create custom domain prefix 复选框,然后在 Domain prefix 字段中输入您的域前缀名称。域前缀不能超过 15 个字符,在您的机构内必须是唯一的,且在集群创建后无法更改。
- 从 Version 下拉菜单中选择集群版本。
- 从 Region 下拉菜单中选择云供应商区域。
- 选择 Single zone 或 Multi-zone 配置。
- 选择 Enable user workload monitoring 以监控您自己的项目,使其与 Red Hat Site Reliability 工程师(SRE)平台指标隔离。默认启用这个选项。
可选:扩展高级加密以更改加密设置。
接受默认设置 Use default KMS Keys 来使用您的默认 AWS KMS 密钥,或者选择 Use Custom KMS 密钥来使用自定义 KMS 密钥。
- 选择了 Use Custom KMS 密钥后,在 Key ARN 字段中输入 AWS Key Management Service (KMS)自定义密钥 Amazon Resource Name (ARN) ARN。密钥用于加密集群中的所有 control plane、基础架构、worker 节点根卷和持久性卷。
可选: 要创建客户管理的 KMS 密钥,请按照 创建对称加密 KMS 密钥 的步骤进行操作。
重要除了成功创建集群的帐户角色外,还需要 EBS Operator 角色。
此角色必须附加到
ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials
策略,这是 ROSA 所需的 IAM 策略,以通过 Container Storage Interface (CSI)管理后端存储。有关集群 Operator 所需的策略和权限的更多信息,请参阅 集群范围的角色创建方法。
EBS Operator 角色示例
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
创建 Operator 角色后,您必须在 AWS 控制台的Key Management Service (KMS) 页面中 编辑 Key Policy 以添加角色。
可选: 如果需要集群经过 FIPS 验证,请选择启用 FIPS 加密。
注意如果选择了 Enable FIPS 加密,则默认 启用额外的 etcd 加密,且无法禁用。您可以选择 Enable additional etcd encryption without select Enable FIPS encryption。
可选:如果您需要 etcd 键值加密,请选择 Enable additional etcd encryption。使用这个选项时,etcd 键的值会被加密,但键不是。这个选项除了 control plane 存储加密外,它默认加密 Red Hat OpenShift Service on AWS 集群中的 etcd 卷。
注意通过在 etcd 中为密钥值启用 etcd 加密,则会出现大约 20% 的性能开销。除了加密 etcd 卷的默认 control plane 存储加密外,还会引入第二层加密的开销。只有在特别需要时才考虑启用 etcd 加密。
- 点击 Next。
在 Default machine pool 页面中,选择一个 Compute 节点实例类型。
注意创建集群后,您可以更改集群中的计算节点数量,但您无法更改默认机器池中的计算节点实例类型。您可用的节点数量和类型取决于您是否使用单一或者多个可用区。它们还取决于您 AWS 帐户和所选区域中的启用和可用的内容。
可选:为默认机器池配置自动扩展:
- 选择 Enable autoscaling 以自动扩展默认机器池中的机器数量,以满足部署需求。
设置自动扩展的最小和最大节点数限值。集群自动扩展不会减少或增加默认的机器池节点数超过您指定的限制。
- 如果您使用一个可用区部署集群,请设置最小节点数和最大节点数。这会在可用区中定义最小和最大计算节点限值。
- 如果您使用多个可用区部署集群,请为每个区设置 Minimum nodes per zone 和 Maximum nodes per zone。它定义每个区的最小和最大计算节点限值。
注意另外,您可以在创建机器池后为默认机器池设置自动扩展首选项。
如果没有启用自动扩展,请为默认机器池选择计算节点计数:
- 如果您使用一个可用区部署集群,请从下拉菜单中选择 Compute 节点数。这定义了置备到区域的机器池的计算节点数量。
- 如果您使用多个可用区部署集群,请从下拉菜单中选择 Compute 节点数(每个区)。这定义了每个区要置备到机器池的计算节点数量。
可选: 选择 EC2 实例元数据服务(IMDS)配置 -
可选
(默认)或必需
- 来强制使用 IMDSv2。有关 IMDS 的更多信息,请参阅 AWS 文档中的实例元数据和用户数据。重要在集群创建后无法更改实例元数据服务设置。
- 可选:展开 标记节点标签,为节点添加标签。点 Add label 来添加更多节点标签并选择 Next。
在网络 配置页面 的集群 隐私 部分中,选择 Public 或 Private 来使用集群的公共或私有 API 端点和应用程序路由。
重要在集群创建后,无法在公共和私有之间更改 API 端点。
- 公共 API 端点
- 如果您不想限制对集群的访问,请选择 Public。您可以从互联网访问 Kubernetes API 端点和应用程序路由。
- 私有 API 端点
如果要限制集群的网络访问,请选择 Private。Kubernetes API 端点和应用程序路由只能从直接连接访问。
重要如果使用私有 API 端点,则在更新云供应商帐户中的网络设置之前,您无法访问集群。
可选:如果您选择使用公共 API 端点,则默认为集群创建新的 VPC。如果要在现有 VPC 中安装集群,请选择 Install into an existing VPC。
警告您无法将 ROSA 集群安装到 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署期间创建,且必须只与单个集群关联,以确保集群置备和删除操作正常工作。
要验证 OpenShift 安装程序是否已创建 VPC,请检查
kubernetes.io/cluster/<infra-id>
标签上的owned
值。例如,当查看名为mycluster-12abc-34def
的 VPC 标签时,kubernetes.io/cluster/mycluster-12abc-34def
标签的值为owned
。因此,VPC 由安装程序创建的,不得由管理员修改。注意如果选择使用私有 API 端点,则必须使用现有的 VPC 和 PrivateLink,Install into an existing VPC 和 Use a PrivateLink 选项会被自动选择。使用这些选项,Red Hat Site Reliability Engineering (SRE)团队可以连接到集群,以帮助只使用 AWS PrivateLink 端点。
- 可选: 如果要将集群安装到现有的 VPC 中,请选择配置集群范围代理 来启用 HTTP 或 HTTPS 代理来拒绝从集群直接访问互联网。
- 点击 Next。
如果您选择在现有 AWS VPC 中安装集群,请提供 Virtual Private Cloud (VPC)子网设置。
注意您必须确保您的 VPC 配置了一个公有和私有子网,以及您要安装到的每个可用区的专用子网。如果您选择使用 PrivateLink,则只需要专用子网。
可选:扩展 Additional security groups 并选择额外的自定义安全组,以应用到默认创建的机器池中的节点。您必须已创建了安全组,并将其与您为这个集群选择的 VPC 关联。您无法在创建集群时将安全组添加到默认机器池中。
默认情况下,您指定的安全组将为所有节点类型添加。取消选择 Apply the same security groups to all node type (control plane, infrastructure and worker)复选框,以为每个节点类型 选择不同的安全组。
如需更多信息,请参阅附加资源 下 安全组 的要求。
如果您选择配置集群范围代理,在 Cluster-wide proxy 页面中提供代理配置详情:
至少在以下字段之一中输入值:
- 指定有效的 HTTP 代理 URL。
- 指定有效的 HTTPS 代理 URL。
-
在 Additional trust bundle 字段中,提供 PEM 编码 X.509 证书捆绑包。捆绑包添加到集群节点的可信证书存储中。如果您使用 TLS-inspecting 代理,则需要额外的信任捆绑包文件,除非代理的身份证书由 Red Hat Enterprise Linux CoreOS (RHCOS)信任捆绑包的颁发机构签名。无论代理是透明还是需要使用
http-proxy
和https-proxy
参数显式配置,这个要求都适用。
点击 Next。
有关使用 AWS 上的 Red Hat OpenShift Service 配置代理的更多信息,请参阅配置集群范围代理。
在 CIDR 范围 对话框中,配置自定义无类别间路由 (CIDR) 范围,或使用提供默认值并点 Next。
注意如果您要安装到 VPC 中,Machine CIDR 范围必须与 VPC 子网匹配。
重要稍后无法更改 CIDR 配置。在继续操作前,请联系您的网络管理员选择。
在 Cluster roles and policies 页面中,选择您首选的特定于集群的 Operator IAM 角色和 OIDC 供应商创建模式。
使用 Manual 模式,您可以使用
rosa
CLI 命令或aws
CLI 命令为集群生成所需的 Operator 角色和 OIDC 供应商。通过手动模式,您可以在使用首选选项手动创建 IAM 资源并完成集群安装前查看详情。另外,您可以使用 Auto 模式自动创建 Operator 角色和 OIDC 供应商。要启用 Auto 模式,OpenShift Cluster Manager IAM 角色必须具有管理员权限。
注意如果您在创建关联的集群范围的角色时指定了自定义 ARN 路径,则会自动检测自定义路径并将其应用到 Operator 角色。当使用 Manual 或 Auto 模式创建 Operator 角色时,会应用自定义 ARN 路径。
可选:为特定于集群 Operator IAM 角色指定自定义 operator 角色前缀。
注意默认情况下,特定于集群的 Operator 角色名称使用集群名称和随机 4 位哈希值作为前缀。您可以选择指定自定义前缀来替换角色名称中的 <
cluster_name>-<hash
>。创建特定于集群的 Operator IAM 角色时会应用前缀。有关前缀的详情,请参阅关于自定义 Operator IAM 角色前缀。- 选择 Next。
在 Cluster update 策略 页面中,配置您的更新首选项:
选择集群更新方法:
- 如果要 单独调度每个更新,请选择单个更新。这是默认选项。
选择 Recurring updates 以在更新可用是在您的首先日期、开始时间上更新集群。
重要即使选择了周期性更新,在次版本间升级集群前,您必须更新帐户和特定于集群的 IAM 资源。
注意您可以查看 Red Hat OpenShift Service on AWS 更新生命周期文档中的生命周期结束日期。如需更多信息,请参阅 Red Hat OpenShift Service on AWS 更新生命周期。
- 如果您选择重复更新,请从下拉菜单中选择 UTC 中的星期天和升级开始时间。
- 可选:您可以在集群安装过程中为节点排空设置宽限期。默认设置 1 小时 宽限期。
点击 Next。
注意如果存在严重影响集群安全性或稳定性的关键安全问题,Red Hat Site Reliability Engineering (SRE)可能会对最新 z-stream 版本进行自动更新。在通知客户后,更新会在 48 小时内应用。有关严重影响安全评级的信息,请参阅 了解红帽安全评级。
- 查看您选择的概述并点 Create cluster 启动集群安装。
如果选择使用 Manual 模式,请手动创建特定于集群的 Operator 角色和 OIDC 供应商以继续安装:
在 Action required to continue installation 对话框中,选择 AWS CLI 或 ROSA CLI 选项卡并手动创建资源:
如果您选择使用 AWS CLI 方法,点 Download .zip,保存文件,然后提取 AWS CLI 命令和策略文件。然后,在 CLI 中运行提供的
aws
命令。注意您必须在包含策略文件的目录中运行
aws
命令。如果您选择使用 ROSA CLI 方法,点
rosa create
命令旁边的复制按钮,并在 CLI 中运行它们。注意如果您在创建关联的集群范围的角色时指定了自定义 ARN 路径,则会自动检测到自定义路径,并在使用这些手动方法创建时应用到 Operator 角色。
- 在 Action required to continue installation 对话框中,点 x 返回到集群的 Overview 页。
- 验证集群的 Overview 页面的 Details 部分中的 Cluster Status 是否已从 Waiting 改为 Installing。在状态更改前,可能需要大约两分钟的延迟时间。
注意如果选择使用 Auto 模式,OpenShift Cluster Manager 会自动创建 Operator 角色和 OIDC 供应商。
重要除了成功创建集群的帐户角色外,还需要 EBS Operator 角色。
此角色必须附加到
ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials
策略,这是 ROSA 所需的 IAM 策略,以通过 Container Storage Interface (CSI)管理后端存储。有关集群 Operator 所需的策略和权限的更多信息,请参阅 集群范围的角色创建方法。
EBS Operator 角色示例
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
创建 Operator 角色后,您必须在 AWS 控制台的Key Management Service (KMS) 页面中 编辑 Key Policy 以添加角色。
验证
您可以在集群的 Overview 页面中监控安装的进度。您可以在同一页面中查看安装日志。当页面的 Details 部分中的 Status 列为 Ready 时,您的集群已就绪。
注意如果安装失败,或者集群的状态在大约 40 分钟后仍没有变为 Ready,请检查安装故障排除文档以了解详细信息。如需更多信息,请参阅故障排除安装。有关联系红帽支持以获取帮助的步骤,请参阅 获取 Red Hat OpenShift Service on AWS 的支持。
其他资源
- 使用 ROSA CLI在管理对象中 创建集群
- 集群范围的角色创建方法
2.7.2. 使用 CLI 使用自定义创建集群
当您创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群时,您可以使用交互模式自定义安装。
当在集群创建时运行 rosa create cluster --interactive
命令时,您会看到一系列互动提示,供您自定义部署。如需更多信息,请参阅交换式集群创建模式参考。
使用互动模式安装集群后,输出中会提供一个单个命令,供您使用相同的自定义配置部署更多集群。
STS 仅支持公共和 AWS PrivateLink 集群。常规私有集群(非PrivateLink)无法用于 STS。
前提条件
- 您为使用 STS 的 ROSA 完成 AWS 的先决条件。
- 您有可用的 AWS 服务配额。
- 您已在 AWS 控制台中启用了 ROSA 服务。
-
您已在安装主机上安装并配置了最新的 ROSA CLI
rosa
。运行rosa version
以查看您当前安装的 ROSA CLI 版本。如果有更新的版本,CLI 会提供下载此升级的链接。 如果要使用客户管理的 AWS 密钥管理服务(KMS)密钥进行加密,您必须创建一个对称 KMS 密钥。创建集群时您必须提供 Amazon 资源名称(ARN)。要创建客户管理的 KMS 密钥,请按照创建对称加密 KMS 密钥的步骤进行操作。
重要除了成功创建集群的帐户角色外,还需要 EBS Operator 角色。
此角色必须附加到
ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials
策略,这是 ROSA 所需的 IAM 策略,以通过 Container Storage Interface (CSI)管理后端存储。有关集群 Operator 所需的策略和权限的更多信息,请参阅 集群范围的角色创建方法。
EBS Operator 角色示例
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
创建 Operator 角色后,您必须在 AWS 控制台的Key Management Service (KMS) 页面中 编辑 Key Policy 以添加角色。
流程
创建所需的集群范围的角色和策略,包括 Operator 策略:
在当前工作目录中生成 IAM 策略 JSON 文件,并输出
aws
CLI 命令进行审核:$ rosa create account-roles --interactive \ 1 --mode manual 2
输出示例
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com' I: Validating AWS credentials... I: AWS credentials are valid! I: Validating AWS quota... I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.0 I: Creating account roles ? Role prefix: ManagedOpenShift 1 ? Permissions boundary ARN (optional): 2 ? Path (optional): [? for help] 3 ? Role creation mode: auto 4 I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>' ? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5 I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role' ? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6 I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role' ? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7 I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role' ? Create the 'ManagedOpenShift-Support-Role' role? Yes 8 I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role' I: To create a cluster with these roles, run the following command: rosa create cluster --sts
- 1
- 指定要在 OpenShift Cluster Manager IAM 角色名称中包含的前缀。默认值为
ManagedOpenShift
。重要您必须指定一个在 AWS 帐户之间是唯一的集群范围的角色前缀,即使您为帐户角色使用自定义 ARN 路径。
- 2
- 可选:为角色指定权限边界 Amazon Resource Name (ARN)。如需更多信息,请参阅 AWS 文档中的 IAM 实体的权限边界。
- 3
- 为您的集群范围的角色指定自定义 ARN 路径。该路径必须仅包含字母数字字符,并以
/
开头和结尾,例如/test/path/dev/
。如需更多信息,请参阅 IAM 角色和策略的 ARN 路径自定义。 - 4
- 选择角色创建模式。您可以使用
auto
模式自动创建帐户范围内的角色和策略。在手动模式中
,rosa
CLI 生成创建角色和策略所需的aws
命令。在手动模式中
,对应的策略 JSON 文件也保存到当前目录中。manual
模式允许您在手动运行aws
命令前查看详情。 - 5 6 7 8
- 创建集群范围的安装程序、control plane、worker 和支持角色以及对应的 IAM 策略。如需更多信息,请参阅 帐户范围的 IAM 角色和策略参考。注意
在这一步中,ROSA CLI 会自动创建集群范围的 Operator IAM 策略,供特定于集群的 Operator 策略使用,以允许 ROSA 集群 Operator 运行核心 OpenShift 功能。如需更多信息,请参阅 帐户范围的 IAM 角色和策略参考。
-
查看后,手动运行
aws
命令来创建角色和策略。另外,您可以使用--mode auto
运行上述命令来立即运行aws
命令。
-
查看后,手动运行
可选:如果您使用自己的 AWS KMS 密钥加密 control plane、基础架构、worker 节点根卷和持久性卷(PV),请将帐户范围内安装程序角色的 ARN 添加到 KMS 密钥策略中。
重要只有从默认存储类创建的持久性卷(PV)才会使用此特定密钥加密。
使用任何其他存储类创建的 PV 仍然会被加密,但 PV 不会使用此密钥加密,除非存储类被特别配置为使用这个密钥。
将 KMS 密钥的密钥策略保存到本地机器的文件中。以下示例将输出保存到当前工作目录中的
kms-key-policy.json
:$ aws kms get-key-policy --key-id <key_id_or_arn> --policy-name default --output text > kms-key-policy.json 1
- 1
- 将
<key_id_or_arn
> 替换为 KMS 密钥的 ID 或 ARN。
将您在上一步中创建的集群范围的安装程序角色的 ARN 添加到文件的 claim
.Principal.AWS
部分。在以下示例中,添加了默认ManagedOpenShift-Installer-Role
角色的 ARN:{ "Version": "2012-10-17", "Id": "key-rosa-policy-1", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<aws_account_id>:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow ROSA use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", 1 "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role", "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role", "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role", "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 2 ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "Allow attachment of persistent resources", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", 3 "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role", "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role", "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role", "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 4 ] }, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": { "Bool": { "kms:GrantIsForAWSResource": "true" } } } ] }
将更改应用到您的 KMS 密钥策略:
$ aws kms put-key-policy --key-id <key_id_or_arn> \ 1 --policy file://kms-key-policy.json \ 2 --policy-name default
在下一步中创建集群时,您可以引用 KMS 密钥的 ARN。
使用自定义安装选项创建带有 STS 的集群。您可以使用
--interactive
模式以交互方式指定自定义设置:警告您无法将 ROSA 集群安装到 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署期间创建,且必须只与单个集群关联,以确保集群置备和删除操作正常工作。
要验证 OpenShift 安装程序是否已创建 VPC,请检查
kubernetes.io/cluster/<infra-id>
标签上的owned
值。例如,当查看名为mycluster-12abc-34def
的 VPC 标签时,kubernetes.io/cluster/mycluster-12abc-34def
标签的值为owned
。因此,VPC 由安装程序创建的,不得由管理员修改。$ rosa create cluster --interactive --sts
输出示例
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Cluster name: <cluster_name> ? Domain prefix: <domain_prefix> 1 ? Deploy cluster with Hosted Control Plane (optional): No ? Create cluster admin user: Yes 2 ? Create custom password for cluster admin: No 3 I: cluster admin user is cluster-admin I: cluster admin password is password ? OpenShift version: <openshift_version> 4 ? Configure the use of IMDSv2 for ec2 instances optional/required (optional): 5 I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role for the Installer role 6 I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role for the ControlPlane role I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role for the Worker role I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role for the Support role ? External ID (optional): 7 ? Operator roles prefix: <cluster_name>-<random_string> 8 ? Deploy cluster using pre registered OIDC Configuration ID: ? Tags (optional) 9 ? Multiple availability zones (optional): No 10 ? AWS region: us-east-1 ? PrivateLink cluster (optional): No ? Machine CIDR: 10.0.0.0/16 ? Service CIDR: 172.30.0.0/16 ? Pod CIDR: 10.128.0.0/14 ? Install into an existing VPC (optional): Yes 11 ? Subnet IDs (optional): ? Select availability zones (optional): No ? Enable Customer Managed key (optional): No 12 ? Compute nodes instance type (optional): ? Enable autoscaling (optional): No ? Compute nodes: 2 ? Worker machine pool labels (optional): ? Host prefix: 23 ? Additional Security Group IDs (optional): 13 ? > [*] sg-0e375ff0ec4a6cfa2 ('sg-1') ? > [ ] sg-0e525ef0ec4b2ada7 ('sg-2') ? Enable FIPS support: No 14 ? Encrypt etcd data: No 15 ? Disable Workload monitoring (optional): No I: Creating cluster '<cluster_name>' I: To create this cluster again in the future, you can run: rosa create cluster --cluster-name <cluster_name> --role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role --support-role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role --master-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role --worker-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role --operator-roles-prefix <cluster_name>-<random_string> --region us-east-1 --version 4.17.0 --additional-compute-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-infra-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-control-plane-security-group-ids sg-0e375ff0ec4a6cfa2 --replicas 2 --machine-cidr 10.0.0.0/16 --service-cidr 172.30.0.0/16 --pod-cidr 10.128.0.0/14 --host-prefix 23 16 I: To view a list of clusters and their status, run 'rosa list clusters' I: Cluster '<cluster_name>' has been created. I: Once the cluster is installed you will need to add an Identity Provider before you can login into the cluster. See 'rosa create idp --help' for more information. ...
- 1
- 可选。在创建集群时,您可以使用
--domain-prefix
标志在Stopopenshiftapps.com
上自定义集群的子域。此标志的值在您的机构中必须是唯一的,它不能超过 15 个字符,且在集群创建后无法更改。如果没有提供标志,则会创建一个自动生成的值,它依赖于集群名称的长度。如果集群名称小于或等于 15 个字符,该名称用于域前缀。如果集群名称超过 15 个字符,则域前缀会随机生成给 15 个字符的字符串。 - 2
- 在创建集群时,您可以为集群创建本地管理员用户(
cluster-admin
)。这会为cluster-admin
用户自动配置htpasswd
身份提供程序。 - 3
- 您可以为
cluster-admin
用户创建自定义密码,或者让系统生成密码。如果您没有创建自定义密码,则命令行输出中会显示生成的密码。如果指定了自定义密码,则密码必须至少为 14 个字符(ASCII-standard),没有任何空格。定义后,密码会被哈希处理并安全地传输。 - 4
- 在创建集群时,列出的
OpenShift 版本
选项包括主版本、次版本和补丁版本,如4.17.0
。 - 5
- 可选:指定
可选
,将所有 EC2 实例配置为使用 EC2 实例元数据服务(IMDS)的 v1 和 v2 端点。这是默认值。指定所有 EC2 实例都只使用 IMDSv2所必需的
。重要在集群创建后无法更改实例元数据服务设置。
- 6
- 如果您在 Amazon Web Services (AWS)帐户中为集群版本拥有多个帐户角色,则会提供交互式选项列表。
- 7
- 可选:指定在假定帐户角色时,由 Red Hat OpenShift Service on AWS 和 OpenShift 安装程序传递的唯一标识符。这个选项只适用于希望外部 ID 的自定义帐户角色。
- 8
- 默认情况下,特定于集群的 Operator 角色名称使用集群名称和随机 4 位哈希值作为前缀。您可以选择指定自定义前缀来替换角色名称中的 <
cluster_name>-<hash
>。创建特定于集群的 Operator IAM 角色时会应用前缀。有关前缀的详情,请参阅关于自定义 Operator IAM 角色前缀。注意如果您在创建关联的集群范围的角色时指定了自定义 ARN 路径,则会自动检测到自定义路径。在稍后的步骤中创建自定义路径时,自定义路径会应用到特定于集群的 Operator 角色。
- 9
- 可选:指定一个标签,该标签用于 AWS 中 Red Hat OpenShift Service on AWS 创建的资源。标签可帮助您管理、识别、组织、搜索和过滤 AWS 中的资源。标签用逗号分开,例如:
键值、数据输入
。重要Red Hat OpenShift Service on AWS 只支持在集群创建过程中对 Red Hat OpenShift 资源的自定义标签。添加后,无法删除或编辑标签。集群需要添加的标签才能遵守红帽产品服务等级协议(SLA)。这些标签不能被删除。
Red Hat OpenShift Service on AWS 不支持在 ROSA 集群管理的资源外添加额外的标签。当 AWS 资源由 ROSA 集群管理时,这些标签可能会丢失。在这些情况下,您可能需要自定义解决方案或工具来协调标签,并保持它们保持不变。
- 10
- 可选: 在生产环境中,建议使用多个可用区。默认为单个可用区。
- 11
- 可选:您可以在现有 VPC 中创建集群,或者 ROSA 可以创建一个新的 VPC 来使用。警告
您无法将 ROSA 集群安装到 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署期间创建,且必须只与单个集群关联,以确保集群置备和删除操作正常工作。
要验证 OpenShift 安装程序是否已创建 VPC,请检查
kubernetes.io/cluster/<infra-id>
标签上的owned
值。例如,当查看名为mycluster-12abc-34def
的 VPC 标签时,kubernetes.io/cluster/mycluster-12abc-34def
标签的值为owned
。因此,VPC 由安装程序创建的,不得由管理员修改。 - 12
- 可选:如果您使用自己的 AWS KMS 密钥加密 control plane、基础架构、worker 节点根卷和 PV,则启用这个选项。指定在上一步中添加到集群范围的角色的 ARN 中的 KMS 密钥的 ARN。重要
只有从默认存储类创建的持久性卷(PV)才会使用此特定密钥加密。
使用任何其他存储类创建的 PV 仍然会被加密,但 PV 不会使用此密钥加密,除非存储类被特别配置为使用这个密钥。
- 13
- 可选:您可以选择在集群中使用的额外自定义安全组。您必须已创建了安全组,并将其与您为这个集群选择的 VPC 关联。创建机器池后,您无法为默认机器池添加或编辑安全组。如需更多信息,请参阅附加资源 下 安全组 的要求。
- 14
- 可选:如果您需要集群验证 FIPS,请启用这个选项。选择这个选项意味着默认启用加密 etcd 数据选项,且无法禁用。您可以在不启用 FIPS 支持的情况下加密 etcd 数据。
- 15
- 可选:如果您的用例只需要 etcd 键值加密,除了默认加密 etcd 卷的 control plane 存储加密外,启用这个选项。使用此选项时,etcd 键的值会被加密,而不是键。重要
通过在 etcd 中为密钥值启用 etcd 加密,则会出现大约 20% 的性能开销。除了加密 etcd 卷的默认 control plane 存储加密外,还会引入第二层加密的开销。红帽建议仅在特别需要时才启用 etcd 加密。
- 16
- 输出包括了一个可以运行的自定义命令来创建具有相同配置的另一个集群。
作为使用
--interactive
模式的替代选择,您可以在运行rosa create cluster
命令时直接指定自定义选项。运行rosa create cluster --help
命令来查看可用 CLI 选项列表,或参阅 使用 ROSA CLI 管理对象中的创建集群。重要您必须完成以下步骤来创建 Operator IAM 角色和 OpenID Connect (OIDC)供应商,将集群的状态移到
ready
。创建特定于集群的 Operator IAM 角色:
在当前工作目录中生成 Operator IAM 策略 JSON 文件,并输出
aws
CLI 命令进行审核:$ rosa create operator-roles --mode manual --cluster <cluster_name|cluster_id> 1
- 1
手动模式
生成创建 Operator 角色所需的aws
CLI 命令和 JSON 文件。检查后,您必须手动运行命令以创建资源。
检查后,运行
aws
命令,以创建 Operator IAM 角色并将受管 Operator 策略附加到它们。另外,您可以使用--mode auto
再次运行上述命令来立即运行aws
命令。注意如果您在上一步中指定了前缀,则会对 Operator 角色名称应用自定义前缀。
如果您在创建关联的集群范围的角色时指定了自定义 ARN 路径,则会自动检测自定义路径并将其应用到 Operator 角色。
重要除了成功创建集群的帐户角色外,还需要 EBS Operator 角色。
此角色必须附加到
ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials
策略,这是 ROSA 所需的 IAM 策略,以通过 Container Storage Interface (CSI)管理后端存储。有关集群 Operator 所需的策略和权限的更多信息,请参阅 集群范围的角色创建方法。示例 EBS Operator role
"arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
创建 Operator 角色后,您必须在 AWS 控制台的Key Management Service (KMS) 页面中 编辑 Key Policy 以添加角色。
创建集群 Operator 用于身份验证的 OpenID Connect (OIDC)供应商:
$ rosa create oidc-provider --mode auto --cluster <cluster_name|cluster_id> 1
- 1
auto
模式会立即运行创建 OIDC 供应商的aws
CLI 命令。
检查集群的状态:
$ rosa describe cluster --cluster <cluster_name|cluster_id>
输出示例
Name: <cluster_name> ID: <cluster_id> External ID: <external_id> OpenShift Version: <version> Channel Group: stable DNS: <cluster_name>.xxxx.p1.openshiftapps.com AWS Account: <aws_account_id> API URL: https://api.<cluster_name>.xxxx.p1.openshiftapps.com:6443 Console URL: https://console-openshift-console.apps.<cluster_name>.xxxx.p1.openshiftapps.com Region: <aws_region> Multi-AZ: false Nodes: - Master: 3 - Infra: 2 - Compute: 2 Network: - Service CIDR: 172.30.0.0/16 - Machine CIDR: 10.0.0.0/16 - Pod CIDR: 10.128.0.0/14 - Host Prefix: /23 STS Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role Support Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role Instance IAM Roles: - Master: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role - Worker: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role Operator IAM Roles: - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-ingress-operator-cloud-credentials - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-machine-api-aws-cloud-credentials - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cloud-credential-operator-cloud-crede - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-image-registry-installer-cloud-creden Ec2 Metadata Http Tokens: optional State: ready Private: No Created: Oct 1 2021 08:12:25 UTC Details Page: https://console.redhat.com/openshift/details/s/<subscription_id> OIDC Endpoint URL: https://oidc.op1.openshiftapps.com/<cluster_id>|<oidc_config_id> \ 1
-
端点 URL 取决于 BYO OIDC 配置。如果您要预先填充 OIDC 配置,URL 会以 <
oidc_config_id
> 值结束;否则,URL 以 <cluster-ID
> 值结尾。
在集群安装过程中,输出中会列出以下
State
字段更改:-
等待(等待 OIDC 配置)
-
待定(准备帐户)
-
安装(正在进行中的DNS 设置)
-
安装
ready
注意如果安装失败,或者
State
字段在大约 40 分钟后没有变为ready
,请检查安装故障排除文档以了解详细信息。如需更多信息,请参阅故障排除安装。有关联系红帽支持以获取帮助的步骤,请参阅 获取 Red Hat OpenShift Service on AWS 的支持。
-
端点 URL 取决于 BYO OIDC 配置。如果您要预先填充 OIDC 配置,URL 会以 <
通过观察 OpenShift 安装程序日志来跟踪集群创建的进度:
$ rosa logs install --cluster <cluster_name|cluster_id> --watch 1