3.3. 所需的客户流程
客户云订阅 (CCS) 模型允许红帽在客户的 a customer’s Google Cloud Platform (GCP) 项目中部署和管理 OpenShift Dedicated。红帽需要几个先决条件来提供这些服务。
要在 GCP 项目中使用 OpenShift Dedicated,无法放置以下 GCP 组织策略限制:
-
constraints/iam.allowedPolicyMemberDomains
(这个策略约束的支持只限于红帽的DIRECTORY_CUSTOMER_ID C02k0l5e8
包括在允许列表中的情况。请谨慎使用此策略约束)。 -
constraints/compute.restrictLoadBalancerCreationForTypes
-
constraints/compute.requireShieldedVm
(只有集群安装了在初始集群创建过程中选择的 "Enable Secure Boot support for Shielded VM" 时,才支持此策略约束。 -
constraints/compute.vmExternalIpAccess
(此策略约束在安装后才被支持)。
流程
- 创建 Google Cloud 项目来托管 OpenShift Dedicated 集群。
在托管 OpenShift Dedicated 集群的项目中启用以下所需的 API:
表 3.1. 所需的 API 服务 API 服务 控制台服务名称 deploymentmanager.googleapis.com
compute.googleapis.com
cloudapis.googleapis.com
cloudresourcemanager.googleapis.com
dns.googleapis.com
networksecurity.googleapis.com
iamcredentials.googleapis.com
iam.googleapis.com
servicemanagement.googleapis.com
serviceusage.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
orgpolicy.googleapis.com
为确保红帽可以执行必要的操作,您必须在 GCP 项目中创建
osd-ccs-admin
IAM 服务帐户 用户。以下角色必须授予服务帐户 :
表 3.2. 所需角色 角色 控制台角色名称 Compute Admin
roles/compute.admin
DNS Administrator
roles/dns.admin
机构策略查看器
roles/orgpolicy.policyViewer
服务管理管理员
roles/servicemanagement.admin
Service Usage Admin
roles/serviceusage.serviceUsageAdmin
Storage Admin
roles/storage.admin
Compute Load Balancer Admin
roles/compute.loadBalancerAdmin
角色查看器
roles/viewer
Role Administrator
roles/iam.roleAdmin
Security Admin
roles/iam.securityAdmin
Service Account Key Admin
roles/iam.serviceAccountKeyAdmin
Service Account Admin
roles/iam.serviceAccountAdmin
Service Account User
roles/iam.serviceAccountUser
-
为
osd-ccs-admin
IAM 服务帐户创建服务帐户密钥。将密钥导出到名为osServiceAccount.json
的文件;创建集群时,此 JSON 文件将在 Red Hat OpenShift Cluster Manager 中上传。