10.2. 配置 IBM Cloud 帐户

10.2.1. 先决条件

您有一个带有订阅的 IBM Cloud 帐户。您不能在免费或试用 IBM Cloud 帐户上安装 OpenShift Container Platform。

10.2.2. IBM Cloud VPC 的配额和限制

OpenShift Container Platform 集群使用多个 IBM Cloud VPC 组件，默认配额和限值会影响您安装 OpenShift Container Platform 集群的能力。如果您使用特定的集群配置，在某些区域部署集群，或者从您的帐户运行多个集群，您可能需要为 IBM Cloud 帐户请求其他资源。

有关默认 IBM Cloud VPC 配额和服务限制的完整列表，请参阅 IBM Cloud 的配额和服务限制文档。

虚拟私有云(VPC)

每个 OpenShift Container Platform 集群都会创建自己的 VPC。每个区域的默认 VPC 配额是 10，并将允许 10 个集群。在单个区域中有 10 个集群，您必须增加此配额。

应用程序负载均衡器

默认情况下，每个集群创建三个应用程序负载均衡器(ALBs)：

master API 服务器的内部负载均衡器
主 API 服务器的外部负载均衡器
路由器的负载均衡器

您可以创建额外的 LoadBalancer 服务对象创建额外的 ALBs。VPC 的默认配额是每个区域 50 个。要获得超过 50 个 ALB，您必须提高此配额。

支持 VPC ALB。IBM Cloud VPC 不支持经典的 ALB。

浮动 IP 地址

默认情况下，安装程序会在区域中的所有可用区间分发 control plane 和计算机器，以便在高可用性配置中置备集群。在每个可用区中，创建一个公共网关，并需要一个单独的浮动 IP 地址。

浮动 IP 地址的默认配额是每个可用区 20 个地址。默认集群配置生成三个浮动 IP 地址：

us-east-1 主区域中的两个浮动 IP 地址。安装后会删除与 bootstrap 节点关联的 IP 地址。
us-east-2 secondary 区域中的一个浮动 IP 地址。
us-east-3 secondary 区域中的一个浮动 IP 地址。

IBM Cloud VPC 可根据帐户中的每个区域支持最多 19 个集群。如果计划有超过 19 个默认集群，您必须提高此配额。

虚拟服务器实例(VSI)

默认情况下，集群使用 bx2-4x16 配置集创建 VSIs，默认包括以下资源：

4 个 vCPU
16 GB RAM

创建以下节点：

一个 bx2-4x16 bootstrap 机器，它会在安装完成后删除
三个 bx2-4x16 control plane 节点
三个 bx2-4x16 计算节点

如需更多信息，请参阅 IBM Cloud 文档中有关支持的配置集文档。

表 10.1. VSI 组件配额和限值
VSI 组件	默认 IBM Cloud VPC 配额	默认集群配置	集群的最大数量
vCPU	每个区域 200 个 vCPU	28 个 vCPU，或 bootstrap 被删除后 24 个 vCPU	每个区域 8 个
RAM	每个区域 1600 GB	在移除后 112 GB 或 96 GB	每个区域 16 个
Storage	每个区域 18 TB	移除后 1050 GB 或 900 GB	每个区域 19 个

如果您计划超过表中声明的资源，您必须提高 IBM Cloud 帐户配额。

块存储卷

对于每个 VPC 机器，会为其引导卷附加一个块存储设备。默认集群配置创建七 VPC 机器，生成 7 个块存储卷。IBM Cloud VPC 存储类的额外 Kubernetes 持久性卷声明(PVC)会创建额外的块存储卷。VPC 块存储卷的默认配额是每个区域 300。要获得超过 300 个卷，您必须提高此配额。

10.2.3. 配置 DNS 解析

如何配置 DNS 解析取决于您安装的 OpenShift Container Platform 集群的类型：

如果要安装公共集群，请使用 IBM Cloud Internet Services (CIS)。
如果要安装私有集群，请使用 IBM Cloud DNS Services (DNS 服务)

10.2.3.1. 使用 IBM Cloud Internet 服务进行 DNS 解析

安装程序使用 IBM Cloud Internet Services (CIS) 来配置集群 DNS 解析，并为公共集群提供名称查找。

注意

IBM Cloud VPC 不支持 IPv6，因此无法支持双堆栈或 IPv6 环境。

您必须在与集群相同的帐户的 CIS 中创建域区。您还必须确保该区域对域具有权威。您可以使用根域或子域进行此操作。

先决条件

已安装 IBM Cloud CLI。
您有一个现有的域和注册商。如需更多信息，请参阅 IBM 文档。

流程

创建用于集群的 CIS 实例：
1. 安装 CIS 插件：
```
$ ibmcloud plugin install cis
```
2. 创建 CIS 实例：
```
$ ibmcloud cis instance-create <instance_name> standard 1
```
  1
  CIS 至少需要一个 标准 计划来管理集群子域及其 DNS 记录。
将现有域连接到您的 CIS 实例：
1. 为 CIS 设置上下文实例：
```
$ ibmcloud cis instance-set <instance_name> 1
```
  1
  实例云资源名称。
2. 为 CIS 添加域：
```
$ ibmcloud cis domain-add <domain_name> 1
```
  1
  完全限定域名。您可以根据计划配置，使用根域或子域值作为域名。
  注意
  根域使用格式 openshiftcorp.com。子域使用格式为 cluster.openshiftcorp.com。
打开 CIS Web 控制台，进入 Overview 页面，并记录您的 CIS 名称服务器。这些名称服务器将在下一步中使用。
在域的注册商或 DNS 供应商中为您的域或子域配置名称服务器。如需更多信息，请参阅 IBM 云的文档。

10.2.3.2. 使用 IBM Cloud DNS 服务进行 DNS 解析

安装程序使用 IBM Cloud DNS 服务来配置集群 DNS 解析，并为私有集群提供名称查找。

您可以通过为集群创建 DNS 服务实例来配置 DNS 解析，然后将 DNS 区添加到 DNS Services 实例。确保该区域对域具有权威。您可以使用根域或子域进行此操作。

注意

IBM Cloud VPC 不支持 IPv6，因此无法支持双堆栈或 IPv6 环境。

先决条件

已安装 IBM Cloud CLI。
您有一个现有的域和注册商。如需更多信息，请参阅 IBM 文档。

流程

创建用于集群的 DNS Services 实例：
1. 运行以下命令来安装 DNS 服务插件：
```
$ ibmcloud plugin install cloud-dns-services
```
2. 运行以下命令来创建 DNS Services 实例：
```
$ ibmcloud dns instance-create <instance-name> standard-dns 1
```
  1
  DNS 服务至少需要 Standard 计划来管理集群子域及其 DNS 记录。
为 DNS Services 实例创建 DNS 区域：
1. 运行以下命令设置目标操作 DNS Services 实例：
```
$ ibmcloud dns instance-target <instance-name>
```
2. 运行以下命令，将 DNS 区域添加到 DNS Services 实例：
```
$ ibmcloud dns zone-create <zone-name> 1
```
  1
  完全限定区域名称。您可以根据计划配置，使用根域或子域值作为区域名称。根域使用格式 openshiftcorp.com。子域使用格式为 cluster.openshiftcorp.com。
记录您创建的 DNS 区域的名称。作为安装过程的一部分，您必须在部署集群前更新 install-config.yaml 文件。使用 DNS 区域的名称作为 baseDomain 参数的值。

注意

您不必管理允许的网络或配置"A"DNS 资源记录。根据需要，安装程序会自动配置这些资源。

10.2.4. IBM Cloud VPC IAM 策略和 API 密钥

要将 OpenShift Container Platform 安装到 IBM Cloud 帐户中，安装程序需要一个 IAM API 密钥，它提供访问 IBM Cloud 服务 API 的身份验证和授权。您可以使用包含所需策略的现有 IAM API 密钥或创建新策略。

有关 IBM Cloud IAM 概述，请参阅 IBM Cloud 文档。

10.2.4.1. 所需的访问策略

您必须为 IBM Cloud 帐户分配所需的访问策略。

表 10.2. 所需的访问策略
服务类型	service	访问策略范围	平台访问	服务访问
帐户管理	IAM Identity Service	所有资源或资源子集 ^[1]	Editor, Operator, Viewer, Administrator	服务 ID 创建者
帐户管理 ^[2]	身份和访问权限管理	所有资源	Editor, Operator, Viewer, Administrator
帐户管理	仅限资源组	帐户中的所有资源组	Administrator
IAM 服务	云对象存储	所有资源或资源子集 ^[1]	Editor, Operator, Viewer, Administrator	Reader, Writer, Manager, Content Reader, Object Reader, Object Writer
IAM 服务	Internet 服务	所有资源或资源子集 ^[1]	Editor, Operator, Viewer, Administrator	Reader、Writer、Manager
IAM 服务	DNS 服务	所有资源或资源子集 ^[1]	Editor, Operator, Viewer, Administrator	Reader、Writer、Manager
IAM 服务	VPC 基础架构服务	所有资源或资源子集 ^[1]	Editor, Operator, Viewer, Administrator	Reader、Writer、Manager

应根据您要分配访问权限的粒度来设置策略访问范围。范围可以设置为 All resources 或 基于所选属性的资源。
可选：只有安装程序创建资源组时才需要此访问策略。有关资源组的更多信息，请参阅 IBM 文档。

10.2.4.2. 访问策略分配

在 IBM Cloud VPC IAM 中，可以将访问策略附加到不同的主题：

访问组（推荐）
服务 ID
用户

建议的方法是在访问组中定义 IAM 访问策略。这有助于组织 OpenShift Container Platform 所需的所有访问权限，并可让您向这个组注册用户和服务 ID。如果需要，您还可以为用户和服务 ID 分配访问权限。

10.2.4.3. 创建 API 密钥

您必须为 IBM Cloud 帐户创建用户 API 密钥或服务 ID API 密钥。

先决条件

您已为 IBM Cloud 帐户分配了所需的访问策略。
您已将 IAM 访问策略附加到访问组或其他适当的资源。

流程

根据您定义的 IAM 访问策略，创建一个 API 密钥。
例如，如果您为用户分配了访问策略，您必须创建一个用户 API 密钥。如果您将访问策略分配给服务 ID，您必须创建一个服务 ID API 密钥。如果您的访问策略分配给一个访问组，您可以使用任一 API 密钥类型。有关 IBM Cloud VPC API 密钥的更多信息，请参阅了解 API 密钥。

10.2.5. 支持的 IBM Cloud VPC 区域

您可以将 OpenShift Container Platform 集群部署到以下区域：

au-syd (Sydney, Australia)
br-sao (Sao Paulo, Brazil)
ca-tor (Toronto, Canada)
eu-de (Frankfurt, Germany)
eu-gb (London, United Kingdom)
jp-osa (Osaka, Japan)
jp-tok (Tokyo, Japan)
us-east (Washington DC, United States)
us-south (Dallas, United States)

10.2.6. 后续步骤

为 IBM Cloud VPC 配置 IAM

10.2.1. 先决条件

10.2.2. IBM Cloud VPC 的配额和限制

虚拟私有云(VPC)

应用程序负载均衡器

浮动 IP 地址

虚拟服务器实例(VSI)

块存储卷

10.2.3. 配置 DNS 解析

10.2.3.1. 使用 IBM Cloud Internet 服务进行 DNS 解析

10.2.3.2. 使用 IBM Cloud DNS 服务进行 DNS 解析

10.2.4. IBM Cloud VPC IAM 策略和 API 密钥

10.2.4.1. 所需的访问策略

10.2.4.2. 访问策略分配

10.2.4.3. 创建 API 密钥

10.2.5. 支持的 IBM Cloud VPC 区域

10.2.6. 后续步骤

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links