4.2. 交互式集群创建模式选项


您可以使用互动模式使用 AWS 安全令牌服务(STS)创建 Red Hat OpenShift Service on AWS 集群。您可以在运行 rosa create cluster 命令时指定 --interactive 选项来启用模式。

下表描述了交互式集群创建模式选项:

表 4.3. --interactive 集群创建模式选项
字段描述

集群名称

为集群输入一个名称,如 my-rosa-cluster

域前缀

为集群的子域输入域前缀的名称,如 my-rosa-cluster

使用 Hosted Control Plane 部署集群(可选)

启用 Hosted Control Planes 的使用。

创建集群管理员用户

为集群创建本地管理员用户(cluster-admin)。这会为 cluster-admin 用户自动配置 htpasswd 身份提供程序。

为集群管理员创建自定义密码

cluster-admin 用户创建自定义密码,或使用系统生成的密码。如果您创建自定义密码,则密码必须至少为 14 个字符(ASCII-standard),且不包含空格字符。如果您没有创建自定义密码,系统会生成密码并在命令行输出中显示。

使用 AWS STS 部署集群

创建一个 OpenShift 集群,它使用 AWS 安全令牌服务 (STS) 为组件特定的 AWS Identity and Access Management (IAM) 角色分配临时的、有有限权限的凭证。该服务可让集群组件使用安全云资源管理实践来发出 AWS API 调用。默认值为 Yes

OpenShift version

选择要安装的 OpenShift 版本,如 4。默认为最新版本。

为 ec2 实例配置 IMDSv2 的 optional/required (可选)

指定所有 EC2 实例是否同时使用 EC2 实例元数据服务(IMDS)的 v1 和 v2 端点(可选)还是仅 IMDSv2 (必需)。

安装程序角色 ARN

如果您在 AWS 帐户中有多个帐户角色用于集群版本,则会提供一个安装程序角色 ARN 列表。选择您要用于集群的安装程序角色的 ARN。集群使用与所选安装程序角色相关的集群范围的角色和策略。

外部 ID (可选)

指定在假定帐户角色时由 OpenShift Cluster Manager 和 OpenShift 安装程序传递的唯一标识符。这个选项只适用于希望外部 ID 的自定义帐户角色。

Operator 角色前缀

输入要分配给特定于集群的 Operator IAM 角色的前缀。默认值是集群名称和 4 位随机字符串,如 my-rosa-cluster-a0b1

使用预注册的 OIDC 配置 ID 部署集群

指定您是否要使用预配置的 OIDC 配置,还是要创建新的 OIDC 配置作为集群创建过程的一部分。

tags (可选)

指定在 AWS 中由 Red Hat OpenShift Service on AWS 创建的所有资源上使用的标签。标签可帮助您管理、识别、组织、搜索和过滤 AWS 中的资源。标签用逗号分开,例如:"key value, foo bar"。

重要

Red Hat OpenShift Service on AWS 只支持在集群创建过程中对 Red Hat OpenShift 资源的自定义标签。添加后,无法删除或编辑标签。集群需要添加的标签才能遵守红帽产品服务等级协议(SLA)。这些标签不能被删除。

Red Hat OpenShift Service on AWS 不支持在 ROSA 集群管理的资源外添加额外的标签。当 AWS 资源由 ROSA 集群管理时,这些标签可能会丢失。在这些情况下,您可能需要自定义解决方案或工具来协调标签,并保持它们保持不变。

多个可用区(可选)

将集群部署到 AWS 区域中的多个可用区。默认值为 No,这会导致集群部署到单个可用区。如果您将集群部署到多个可用区,AWS 区域必须至少有 3 个可用区。对于生产环境工作负载,建议使用多个可用区。

AWS 区域

指定要将集群部署到的 AWS 区域。这会覆盖 AWS_REGION 环境变量。

PrivateLink 集群(可选)

使用 AWS PrivateLink 创建集群。这个选项提供虚拟私有云(VPC)、AWS 服务和内部网络之间的私有连接,而无需向公共互联网公开流量。为了提供支持,Red Hat Site Reliability Engineering (SRE)可以使用 AWS PrivateLink Virtual Private Cloud (VPC)端点连接到集群。在集群创建后无法更改这个选项。默认值为 No

Machine CIDR

指定机器(集群节点)的 IP 地址范围,它您的 VPC 子网的所有 CIDR 地址范围。子网必须是连续的。单个可用区部署支持最少有 128 个地址的 IP 地址范围(使用子网前缀 /25)。多可用区部署支持最少 256 个地址的 IP 地址范围(使用子网前缀 /24)。默认值为 10.0.0.0/16。这个范围不得与任何连接的网络冲突。

Service CIDR

指定服务的 IP 地址范围。建议不要要求地址块在集群之间是相同的。这将不会创建 IP 地址冲突。范围必须足够大,以适应您的工作负载。该地址块不得与从集群内部访问的任何外部服务重叠。默认为 172.30.0.0/16

Pod CIDR

指定 pod 的 IP 地址范围。建议不要要求地址块在集群之间是相同的。这将不会创建 IP 地址冲突。范围必须足够大,以适应您的工作负载。该地址块不得与从集群内部访问的任何外部服务重叠。默认为 10.128.0.0/14

安装到现有的 VPC 中(可选)

将集群安装到现有的 AWS VPC 中。要使用这个选项,您的 VPC 必须为每个要将集群安装到的可用区有 2 个子网。默认值为 No

选择可用区(可选)

指定安装到现有 AWS VPC 时使用的可用区。使用以逗号分隔的列表来提供可用区。如果您指定 No,安装程序将自动选择可用区。

启用客户管理的密钥(可选)

启用这个选项,使用特定的 AWS 密钥管理服务(KMS)密钥作为持久数据的加密密钥。此密钥功能作为 control plane、基础架构和 worker 节点根卷的加密密钥。密钥也在默认存储类上配置,以确保使用默认存储类创建的持久性卷将使用特定的 KMS 密钥加密。禁用后,默认使用指定区域的帐户 KMS 密钥来确保始终加密持久数据。默认值为 No

Compute 节点实例类型

选择计算节点实例类型。默认值为 m5.xlarge

启用自动扩展(可选)

启用计算节点自动扩展。自动缩放器会调整集群的大小,以满足您的部署需求。默认值为 No

其他计算安全组 ID (可选)

选择与集群端创建的标准机器池一起使用的额外自定义安全组 ID。默认为 none 选择。仅显示与所选 VPC 关联的安全组。您可以选择最多 5 个额外的安全组。

额外的 Infra Security Group ID (可选)

选择与集群端创建的 infra 节点一起使用的额外自定义安全组 ID。默认为 none 选择。仅显示与所选 VPC 关联的安全组。您可以选择最多 5 个额外的安全组。

其他 Control Plane 安全组 ID (可选)

选择与集群侧创建的 control plane 节点一起使用的额外自定义安全组 ID。默认为 none 选择。仅显示与所选 VPC 关联的安全组。您可以选择最多 5 个额外的安全组。

Compute 节点

指定要置备到每个可用区的计算节点数量。在单个可用区中部署的集群至少需要 2 个节点。在多个区中部署的集群必须至少有 3 个节点。worker 节点的最大数量是 180 个节点。默认值为 2

默认机器池标签(可选)

指定默认机器池的标签。标签格式应该是以逗号分隔的键值对列表。此列表会持续覆盖对节点标签所做的任何修改。

主机前缀

指定分配给调度到各个机器的 pod 的子网前缀长度。主机前缀决定了每台机器的 pod IP 地址池。例如,如果主机前缀设置为 /23,则每台机器从 pod CIDR 地址范围中分配一个 /23 子网。默认值为 /23,允许 512 个集群节点和每个节点 512 个 pod,它们超过我们支持的最大值。有关支持的最大值的详情,请参考下面的附加资源部分。

机器池根磁盘大小(GiB 或 TiB)

指定机器池根磁盘的大小。这个值必须包含单位后缀,如 GiB 或 TiB,例如默认值 300GiB

启用 FIPS 支持(可选)

启用或禁用 FIPS 模式。默认值为 false (禁用)。如果启用了 FIPS 模式,运行 Red Hat OpenShift Service on AWS 的 Red Hat Enterprise Linux CoreOS (RHCOS)机器会绕过默认的 Kubernetes 加密套件,并使用由 RHCOS 提供的加密模块。

重要

要为集群启用 FIPS 模式,您必须从配置为以 FIPS 模式操作的 {op-system-base-full} 计算机运行安装程序。有关在 {op-system-base} 上配置 FIPS 模式的更多信息,请参阅 将 {op-system-base} 切换到 FIPS 模式

当以 FIPS 模式运行 {op-system-base-full} 或 Red Hat Enterprise Linux CoreOS (RHCOS)引导时,Red Hat OpenShift Service on AWS 核心组件使用 {op-system-base} 加密库,该库仅提交到 x86_64、ppc64le 和 s390x 架构上的 NIST for FIPS 140-2/140-3 Validation。

加密 etcd 数据(可选)

Red Hat OpenShift Service on AWS 中,control plane 存储会默认加密,这包括 etcd 卷的加密。您还可以启用 Encrypt etcd data 选项加密 etcd 中某些资源的键值,而不是键本身。

重要

通过在 etcd 中为密钥值启用 etcd 加密,则会出现大约 20% 的性能开销。除了加密 etcd 卷的默认 control plane 存储加密外,还会引入第二层加密的开销。红帽建议仅在特别需要时才启用 etcd 加密。

禁用工作负载监控(可选)

禁用监控用户定义的项目。默认启用对用户定义的项目的监控。

ingress 的 route Selector (可选)

指定入口的路由选择器。格式应该是以逗号分隔的键值对列表。如果没有指定标签,则所有路由将在两个路由器上公开。对于旧的入口支持,这些标签会包含标签;否则,它们被视为排除标签。

ingress 排除的命名空间(可选)

指定入口的排除命名空间。格式应该是用逗号分开的列表 值1,value2…​。如果没有指定任何值,则会公开所有命名空间。

通配符策略(可选,选择 'Skip' 来跳过选择。将提供默认值。

为您的入口选择通配符策略。选项为 WildcardsDisallowedWildcardsAllowed。默认为 WildcardsDisallowed

命名空间所有权策略(可选,选择 'Skip' 来跳过选择。将提供默认值。

选择 ingress 的命名空间所有权策略。选项为 StrictInterNamespaceAllowed。默认为 Strict

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.