スタートガイド
OpenShift Dedicated のスタートガイド
概要
第1章 クラウドのデプロイメントオプションについて
独自に所有するか Red Hat が所有するクラウドアカウントを使用して、OpenShift Dedicated を Amazon Web Services (AWS) または Google Cloud Platform (GCP) にインストールできます。このドキュメントでは、OpenShift Dedicated クラスターのクラウドデプロイメントオプションについて説明します。
1.1. OpenShift Dedicated クラウドデプロイメントオプションの概要
OpenShift Dedicated は、OpenShift Container Platform クラスターを Amazon Web Services (AWS) または Google Cloud Platform (GCP) 上のマネージドサービスとして提供します。
Customer Cloud Subscription (CCS) モデルを使用して、所有している既存の AWS または GCP クラウドアカウントにクラスターをデプロイすることができます。
あるいは、Red Hat が所有するクラウドアカウントに OpenShift Dedicated をインストールできます。
1.1.1. Customer Cloud Subscription (CCS) モデルを使用したクラスターのデプロイメント
Customer Cloud Subscription (CCS) モデルを使用すると、お客様が所有する既存の AWS または GCP アカウントに Red Hat が管理する OpenShift Dedicated クラスターをデプロイできます。このサービスを使用するには、Red Hat が求める複数の前提条件を満たす必要があります。このサービスは Red Hat サイトリライアビリティーエンジニアリング (SRE) によってサポートされます。
CCS モデルでは、お客様はクラウドインフラストラクチャープロバイダーにクラウド費用を直接支払います。クラウドインフラストラクチャーアカウントはお客様が所有する組織の一部であり、Red Hat には特定のアクセス権が付与されます。このモデルでは、お客様は Red Hat に CCS サブスクリプション費用を支払い、クラウドプロバイダーにクラウド費用を支払います。
CCS モデルを使用すると、Red Hat が提供するサービスに加え、クラウドプロバイダーが提供するサービスも使用できます。
1.1.2. Red Hat クラウドアカウントへのクラスターのデプロイ
CCS モデルの代わりに、Red Hat が所有する AWS または GCP クラウドアカウントに OpenShift Dedicated クラスターをデプロイできます。このモデルでは、Red Hat がクラウドアカウントを管理し、クラウドインフラストラクチャー費用は Red Hat が直接支払います。お客様は、Red Hat サブスクリプション費用のみを支払います。
1.2. 次のステップ
第2章 OpenShift Dedicated のスタートガイド
このスタートガイドでは、OpenShift Dedicated クラスターの迅速な作成、ユーザーアクセスの付与、最初のアプリケーションのデプロイ、およびクラスターのスケーリングおよび削除を行う方法を確認する方法を説明します。
2.1. 前提条件
- OpenShift Dedicated の概要 と、アーキテクチャーの概念 に 関するドキュメントを確認している。
- OpenShift Dedicated クラウドデプロイメントオプション を確認している。
2.2. OpenShift Dedicated クラスターの作成
Customer Cloud Subscription(CCS) モデルまたは Red Hat が所有するクラウドプロバイダーアカウントに OpenShift Dedicated をインストールできます。OpenShift Dedicated のデプロイメントオプションの詳細は、クラウドデプロイメントオプションについて を参照してください。
クラスターは、以下のいずれかの方法を選択してデプロイできます。
2.2.1. CCS モデルを使用したクラスター作成
以下のいずれかの手順を実行して、OpenShift Dedicated を独自のクラウドアカウントにデプロイします。
- CCS を使用して AWS 上でクラスターを作成: CCS モデルを使用して、独自の Amazon Web Services (AWS) アカウントに OpenShift Dedicated をインストールできます。
- CCS を使用して GCP 上でクラスターを作成: CCS モデルを使用して、独自の Google Cloud Platform (GCP) アカウントに OpenShift Dedicated をインストールできます。
- Google Cloud Marketplace を使用して GCP 上にクラスターを作成する: Google Cloud Marketplace を使用して、自分の Google Cloud Platform (GCP) アカウントに OpenShift Dedicated をインストールできます。
2.2.2. Red Hat クラウドアカウントを使用したクラスター作成
以下のいずれかの手順を実行して、Red Hat が所有するクラウドアカウントに OpenShift Dedicated をデプロイします。
- Red Hat クラウドアカウントを使用して AWS 上でクラスターを作成: Red Hat が所有する AWS アカウントに OpenShift Dedicated をインストールできます。
- Red Hat クラウドアカウントを使用して GCP 上でクラスターを作成: Red Hat が所有する GCP アカウントに OpenShift Dedicated をインストールできます。
2.3. アイデンティティープロバイダーの設定
OpenShift Dedicated のインストール後に、アイデンティティープロバイダーを使用するようにクラスターを設定する必要があります。その後、メンバーをアイデンティティープロバイダーに追加して、クラスターへのアクセス権限を付与できます。
OpenShift Dedicated クラスターに異なるアイデンティティープロバイダータイプを設定できます。サポート対象のタイプには、GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect、htpasswd アイデンティティープロバイダーが含まれます。
htpasswd ID プロバイダーオプションは、単一の静的管理ユーザーの作成を可能にする目的で含まれています。htpasswd は、OpenShift Dedicated の汎用アイデンティティープロバイダーとしてはサポートされていません。
以下の手順では、例として GitHub アイデンティティープロバイダーを設定します。
GitHub 認証を設定することによって、ユーザーは GitHub 認証情報を使用して OpenShift Dedicated にログインできます。GitHub ユーザー ID を持つすべてのユーザーが OpenShift Dedicated クラスターにログインできないようにする場合、アクセスを特定の GitHub 組織またはチームのユーザーに制限する必要があります。
前提条件
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
- GitHub ユーザーアカウントがある。
- GitHub アカウントに GitHub 組織を作成している。詳細は、GitHub ドキュメントの Creating a new organization from scratch を参照してください。
- GitHub チームへのユーザーアクセスを制限する場合は、GitHub 組織にチームを作成している。詳細は、GitHub ドキュメントの Creating a team を参照してください。
手順
- OpenShift Cluster Manager に移動し、クラスターを選択します。
- Access control → Identity providers の順に選択します。
- Add identity provider ドロップダウンメニューから GitHub アイデンティティープロバイダータイプを選択します。
- アイデンティティープロバイダーの一意の名前を入力します。この名前は後で変更できません。
GitHub ドキュメント の手順に従って、GitHub 組織に OAuth アプリケーションを登録します。
注記GitHub 組織で OAuth アプリケーションを登録する必要があります。クラスターユーザーまたはチームを含む組織が所有しない OAuth アプリケーションを登録すると、クラスターに対するユーザー認証は成功しません。
GitHub OAuth アプリケーション設定のホームページ URL については、OpenShift Cluster Manager の Add a GitHub identity provider ページに自動生成される OAuth コールバック URL の
https://oauth-openshift.apps<cluster_name>.<cluster_domain>
の部分を指定します。以下は、GitHub アイデンティティープロバイダーのホームページ URL の例です。
https://oauth-openshift.apps.openshift-cluster.example.com
GitHub OAuth アプリケーション設定の承認コールバック URL については、OpenShift Cluster Manager の Add a GitHub identity provider ページに自動生成される完全な OAuth コールバック URL を指定します。完全な URL の構文は以下のとおりです。
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
- OpenShift Cluster Manager の Edit identity provider: GitHub ダイアログに戻り、Mapping method ドロップダウンメニューから Claim を選択します。
- GitHub OAuth アプリケーションの Client ID および Client secret を入力します。OAuth アプリケーションの GitHub ページには、ID およびシークレットがあります。
オプション: ホスト名 を入力します。
注記GitHub Enterprise のホストされたインスタンスを使用する場合は、ホスト名を入力する必要があります。
- 任意手順: 認証局 (CA) ファイルを使用して、設定された GitHub Enterprise URL のサーバー証明書を検証できます。Browse をクリックして CA ファイル を見つけ、これをアイデンティティープロバイダーに割り当てます。
- Use organizations または Use teams を選択して、組織内の GitHub 組織または GitHub チームへのアクセスを制限します。
アクセスを制限する組織またはチームの名前を入力します。Add more をクリックして、複数の組織またはチームを指定します。
注記前述の手順で登録された OAuth アプリケーションを所有する組織を指定する必要があります。チームを指定する場合は、前述の手順を使用して登録された OAuth アプリケーションを所有する組織内に存在するチームを指定する必要があります。
Add をクリックしてアイデンティティープロバイダーの設定を適用します。
注記アイデンティティープロバイダー設定がアクティブになるまでに、約 2 分かかる場合があります。
検証
- 設定がアクティブになると、アイデンティティープロバイダーはクラスターの OpenShift Cluster Manager ページの Access control → Identity providers にリスト表示されます。
関連情報
- サポート対象の各アイデンティティープロバイダータイプを設定する詳細な手順は、アイデンティティープロバイダーの設定 を参照してください。
2.4. ユーザーへの管理者権限の付与
クラスターにアイデンティティープロバイダーを設定し、ユーザーをアイデンティティープロバイダーに追加した後に、dedicated-admin
クラスターの権限をユーザーに付与できます。
前提条件
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
- クラスターにアイデンティティープロバイダーを設定している。
手順
- OpenShift Cluster Manager に移動し、クラスターを選択します。
- Access control タブをクリックします。
- Cluster Roles and Access タブで、Add user をクリックします。
- アイデンティティープロバイダーユーザーのユーザー ID を入力します。
-
Add user をクリックして、
dedicated-admin
クラスター権限をユーザーに付与します。
検証
-
権限の付与後、ユーザーは、クラスターの OpenShift Cluster Manager ページの Access control → Cluster Roles and Access で
dedicated-admins
グループの一部として一覧表示されます。
関連情報
2.5. クラスターへのアクセス
アイデンティティープロバイダーを設定したら、ユーザーは Red Hat OpenShift Cluster Manager からクラスターにアクセスできます。
前提条件
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
- クラスターにアイデンティティープロバイダーを設定している。
- 設定したアイデンティティープロバイダーにユーザーアカウントを追加している。
手順
- OpenShift Cluster Manager で、アクセスするクラスターをクリックします。
- Open Console をクリックします。
- アイデンティティープロバイダーをクリックし、クラスターにログインするためのクレデンシャルを指定します。
- Open console をクリックし、クラスターの Web コンソールを開きます。
- アイデンティティープロバイダーをクリックし、クラスターにログインするためのクレデンシャルを指定します。プロバイダーによって提示される認可要求を完了します。
2.6. Developer Catalog からのアプリケーションのデプロイ
OpenShift Dedicated Web コンソールの、Developer Catalog からテストアプリケーションをデプロイし、ルートで公開できます。
前提条件
- Red Hat Hybrid Cloud Console にログインしている。
- OpenShift Dedicated クラスターを作成している。
- クラスターにアイデンティティープロバイダーを設定している。
- 設定したアイデンティティープロバイダーにユーザーアカウントを追加している。
手順
- OpenShift Cluster Manager の Clusters ページに移動します。
- 表示するクラスターの横にあるオプションアイコン (⋮) をクリックします。
- Open Console をクリックします。
- クラスターコンソールが新しいブラウザーウィンドウで開きます。設定済みのアイデンティティープロバイダーの認証情報を使用して Red Hat アカウントにログインします。
- Administrator パースペクティブで、Home → Projects → Create Project の順に選択します。
- プロジェクトの名前を入力し、必要に応じて Display Name および Description を追加します。
- Create をクリックしてプロジェクトを作成します。
- Developer パースペクティブに切り替え、+Add を選択します。選択した Project が、作成したプロジェクトであることを確認します。
- Developer Catalog ダイアログで、All services を選択します。
- Developer Catalog ページで、メニューから Languages → JavaScript を選択します。
Node.js をクリックし、次に Create をクリックして、Create Source-to-Image application ページを開きます。
注記場合によっては、Clear All Filters をクリックして Node.js オプションを表示する必要があります。
- Git セクションで Try sample をクリックします。
- Name フィールドに一意の名前を追加します。この値を使用して、関連付けられたリソースに名前を付けます。
- Deployment と Create a route が選択されていることを確認します。
- Create をクリックしてアプリケーションをデプロイします。Pod のデプロイには数分かかります。
-
オプション: nodejs アプリケーションを選択してそのサイドバーを確認して、Topology ペインで Pod のステータスを確認します。
nodejs
ビルドが完了し、nodejs
Pod が Running 状態になるまで待機してから続行します。 デプロイメントが完了したら、以下のような形式のアプリケーションのルート URL をクリックします。
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
ブラウザーの新しいタブが開き、以下のようなメッセージが表示されます。
Welcome to your Node.js application on OpenShift
オプション: アプリケーションを削除し、作成したリソースをクリーンアップします。
- Administrator パースペクティブで、Home → Projects に移動します。
- プロジェクトのアクションメニューをクリックし、Delete Project を選択します。
2.7. クラスターのスケーリング
ロードバランサーの数、永続ストレージの容量、および OpenShift Cluster Manager の OpenShift Dedicated クラスターのノード数をスケーリングできます。
前提条件
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
手順
ロードバランサーまたは永続ストレージの容量をスケーリングするには、以下を実行します。
- OpenShift Cluster Manager に移動し、クラスターを選択します。
- Actions ドロップダウンメニューから Edit load balancers and persistent storage を選択します。
- スケーリングする ロードバランサー の数を選択します。
- スケーリングする 永続ストレージ 容量を選択します。
- Apply をクリックします。スケーリングは自動的に実行されます。
ノード数をスケーリングするには、以下を実行します。
- OpenShift Cluster Manager に移動し、クラスターを選択します。
- Actions ドロップダウンメニューから Edit node count を選択します。
- マシンプール を選択します。
- ゾーンごとに ノード数 を選択します。
- Apply をクリックします。スケーリングは自動的に実行されます。
検証
- Details のヘディングの Overview タブで、ロードバランサーの設定、永続ストレージの詳細、および実際のおよび必要なノード数を確認できます。
関連情報
- マシンプールの詳細は、マシンプール を参照してください。
- クラスターでコンピュートノードの自動スケーリングを有効にする手順の詳細は、クラスターの自動スケーリングノード を参照してください。
2.8. ユーザーからの管理者権限の削除
このセクションの手順に従って、ユーザーの dedicated-admin
権限を取り消すことができます。
前提条件
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
- クラスターに GitHub アイデンティティープロバイダーを設定し、アイデンティティープロバイダーユーザーを追加している。
-
ユーザーに
dedicated-admin
権限が付与されている。
手順
- OpenShift Cluster Manager に移動し、クラスターを選択します。
- Access control タブをクリックします。
- Cluster Roles and Access タブで、ユーザーの横にある を選択し、Delete をクリックします。
検証
-
権限を取り消すと、ユーザーは、クラスターの OpenShift Cluster Manager ページの Access control → Cluster Roles および Access に
dedicated-admins
グループの一部として一覧表示されなくなります。
2.9. クラスターへのユーザーアクセスの取り消し
アイデンティティープロバイダーを設定済みのアイデンティティープロバイダーから削除して、アイデンティティープロバイダーユーザーのクラスターアクセス権を取り消すことができます。
OpenShift Dedicated クラスターに異なるタイプのアイデンティティープロバイダーを設定できます。以下の手順例では、クラスターへのアイデンティティープロビジョニング用に設定された GitHub 組織またはチームのメンバーのクラスターアクセス権を取り消すことができます。
前提条件
- OpenShift Dedicated クラスターがある。
- GitHub ユーザーアカウントがある。
- クラスターに GitHub アイデンティティープロバイダーを設定し、アイデンティティープロバイダーユーザーを追加している。
手順
- github.com に移動し、GitHub アカウントにログインします。
GitHub 組織またはチームからユーザーを削除します。
- アイデンティティープロバイダー設定で GitHub 組織を使用する場合は、GitHub ドキュメントの 組織からのメンバーの削除 の手順に従います。
- アイデンティティープロバイダー設定が GitHub 組織のチームを使用する場合は、GitHub ドキュメントの チームからの組織メンバーの削除 の手順に従います。
検証
- アイデンティティープロバイダーからユーザーを削除すると、そのユーザーはクラスターで認証されません。
2.10. クラスターの削除
Red Hat OpenShift Cluster Manager で OpenShift Dedicated クラスターを削除できます。
- OpenShift Cluster Manager にログインしている。
- OpenShift Dedicated クラスターを作成している。
手順
- OpenShift Cluster Manager で、削除するクラスターをクリックします。
- Actions ドロップダウンメニューから Delete cluster を選択します。
太字で強調表示されているクラスターの名前を入力してから Delete をクリックします。クラスターの削除は自動的に実行されます。
注記GCP 共有 VPC にインストールされたクラスターを削除する場合は、ホストプロジェクトの VPC オーナーに、クラスター作成時に言及したサービスアカウントに付与された IAM ポリシーロールを削除するように通知します。
2.11. 次のステップ
2.12. 関連情報
- OpenShift Dedicated バージョンのライフサイクル期間の詳細は、OpenShift Dedicated の更新ライフサイクル を参照してください。
- OpenShift Dedicated クラスターのデプロイに関する詳細は、AWS でのクラスターの作成 および GCP でのクラスターの作成 を参照してください。
- クラスターのアップグレードの詳細は、OpenShift Dedicated クラスターのアップグレード を参照してください。