1.2. CCS を使用した AWS でのクラスターの作成
Customer Cloud Subscription (CCS) 請求モデルを使用すると、所有している既存の Amazon Web Services (AWS) アカウントに OpenShift Dedicated クラスターを作成できます。
CCS モデルを使用して OpenShift Dedicated を AWS アカウントにデプロイし、管理する場合には、いくつかの前提条件を満たす必要があります。
前提条件
- OpenShift Dedicated で使用する AWS アカウントを設定している。
- AWS アカウントにサービスをデプロイしていない。
- 必要なクラスターサイズをサポートするために必要な AWS アカウントのクォータおよび制限を設定している。
-
AdministratorAccess
ポリシーが割り当てられたosdCcsAdmin
AWS Identity and Access Management (IAM) ユーザーがある。 - AWS 組織にサービスコントロールポリシー (SCP) を設定している。詳細は、Minimum required service control policy (SCP)を参照。
- AWS の Business Support またはそれ以上のサービスを用意することを検討してください。
- クラスター全体のプロキシーを設定する場合は、クラスターがインストールされている VPC からプロキシーにアクセスできることを確認している。プロキシーは VPC のプライベートサブネットからもアクセスできる必要があります。
手順
- OpenShift Cluster Manager にログインし、Create cluster をクリックします。
- Create an OpenShift cluster ページの Red Hat OpenShift Dedicated 行で Create cluster を選択します。
Billing model セクションで、サブスクリプションのタイプおよびインフラストラクチャーのタイプを設定します。
サブスクリプションのタイプを選択します。OpenShift Dedicated サブスクリプションオプションについては、OpenShift Cluster Manager ドキュメントの クラスターのサブスクリプションと登録 を参照してください。
注記利用可能なサブスクリプションタイプは、OpenShift Dedicated のサブスクリプションおよびリソースクォータによって異なります。詳細は、営業担当者または Red Hat サポートにお問い合わせください。
- Customer Cloud Subscription インフラストラクチャータイプを選択し、OpenShift Dedicated を所有している既存のクラウドプロバイダーアカウントにデプロイします。
- Next をクリックします。
- Run on Amazon Web Services を選択します。
- クラウドプロバイダーを選択したら、表示されている 前提条件 を確認して完了します。チェックボックスを選択して、すべての前提条件を読み、完了したことを確認します。
AWS アカウントの詳細を指定します。
- AWS アカウント ID を入力します。
AWS IAM ユーザーアカウントのAWS アクセスキー ID および AWS シークレットアクセスキー を入力します。
注記AWS でこれらの認証情報を取り消すと、これらの認証情報を使用して作成されたクラスターへのアクセスが失われます。
オプション: Bypass AWS Service Control Policy (SCP) checks を選択して、SCP チェックを無効にすることができます。
注記AWS SCP によっては、必要なパーミッションがある場合でもインストールに失敗することがあります。SCP チェックを無効にすると、インストールを続行できます。チェックがバイパスされた場合でも SCP が有効になります。
- Next をクリックしてクラウドプロバイダーアカウントを検証し、Cluster details ページに移動します。
Cluster details ページで、クラスターの名前を指定し、クラスターの詳細を指定します。
- Cluster name を追加します。
- Version ドロップダウンメニューからクラスターバージョンを選択します。
- Region ドロップダウンメニューからクラウドプロバイダーのリージョンを選択します。
- Single zone または Multi-zone 設定を選択し ます。
- Enable user workloads monitoring を選択したままにして、Red Hat サイト信頼性エンジニアリング (SRE) プラットフォームメトリックから切り離して独自のプロジェクトをモニターします。このオプションはデフォルトで有効になっています。
オプション:etcd キー値の暗号化が必要な場合には、Enable additional etcd encryption を選択します。このオプションを使用すると、etcd キーの値は暗号化されますが、キーは暗号化されません。このオプションは、デフォルトで OpenShift Dedicated クラスターの etcd ボリュームを暗号化するコントロールプレーンのストレージ暗号化に追加されます。
注記etcd のキー値の etcd 暗号化を有効にすると、約 20% のパフォーマンスのオーバーヘッドが発生します。このオーバーヘッドは、etcd ボリュームを暗号化するデフォルトのコントロールプレーンのストレージ暗号化に加えて、この 2 つ目の暗号化レイヤーの導入により生じます。お客様のユースケースで特に etcd 暗号化が必要な場合にのみ、暗号化を有効にすることを検討してください。
オプション: 独自の AWS Key Management Service (KMS) キーの Amazon Resource Name (ARN) を提供する場合は、Encrypt persistent volumes with customer keys を選択します。このキーは、クラスター内のすべてのコントロールプレーン、インフラストラクチャー、ワーカーノードのルートボリューム、および永続ボリュームを暗号化するために使用されます。
重要デフォルトのストレージクラスから作成された永続ボリューム (PV) のみが、この特定のキーで暗号化されます。
他のストレージクラスを使用して作成された PV は引き続き暗号化されますが、ストレージクラスがこのキーを使用するように特別に設定されていない限り、PV はこのキーで暗号化されません。
- Next をクリックします。
Default machine pool ページで、Compute node instance type および Compute node count を選択します。利用可能なノードの数およびタイプは、OpenShift Dedicated のサブスクリプションによって異なります。複数のアベイラビリティーゾーンを使用している場合、コンピュートノード数はゾーンごとに設定されます。
注記クラスターの作成後に、クラスター内のコンピュートノード数を変更できますが、マシンプールのコンピュートノードインスタンスのタイプを変更することはできません。利用可能なノード数および種類は、OpenShift Dedicated のサブスクリプションによって異なります。
Instance Metadata Service (IMDS) タイプを設定します。IMDSv1 と IMDSv2 の両方のタイプを使用するか、EC2 インスタンスで IMDSv2 のみを使用するように要求します。実行中のインスタンスからインスタンスメタデータにアクセスするには、以下の 2 つの方法があります。
- Instance Metadata Service バージョン 1 (IMDSv1) - リクエスト/レスポンスメソッド
Instance Metadata Service バージョン 2 (IMDSv2) - セッション指向のメソッド
重要クラスターの作成後に Instance Metadata Service の設定を変更することはできません。
注記IMDSv2 はセッション指向のリクエストを使用します。セッション指向のリクエストでは、セッション期間を定義するセッショントークンを作成します。セッション期間は最小 1 秒、最大 6 時間です。指定された期間中は、後続のリクエストに同じセッショントークンを使用できます。指定された期間が経過した後は、今後のリクエストに使用する新しいセッショントークンを作成する必要があります。
IMDS の詳細は、AWS ドキュメントの Instance metadata and user data を参照してください。
- オプション: Edit node labels を展開してラベルをノードに追加します。Add label をクリックしてさらにノードラベルを追加し、Next を選択します。
Network configuration ページで Public または Private を選択し、クラスターのパブリックまたはプライベート API エンドポイントおよびアプリケーションルートを使用します。
重要プライベート API エンドポイントを使用している場合、クラウドプロバイダーアカウントのネットワーク設定を更新するまでクラスターにはアクセスできません。
オプション: クラスターを既存の AWS Virtual Private Cloud (VPC) にインストールするには、以下を実行します。
- Install to an existing VPC を選択します。
既存の VPC にインストールし、プライベート API エンドポイントを使用することを選択した場合は、Use a PrivateLink を選択します。このオプションを選択した場合に、AWS PrivateLink エンドポイントのみを使用した Red Hat Site Reliability Engineering (SRE) によるクラスターへの接続が可能になります。
注記Use a PrivateLink オプションは、クラスターの作成後に変更できません。
- 既存の VPC にインストールし、クラスターの HTTP または HTTPS プロキシーを有効にする場合は、Configure a cluster-wide proxy を参照してください。
- Next をクリックします。
クラスターを既存の AWS VPC にインストールする場合、Virtual Private Cloud (VPC) サブネット設定 を指定して、Next を選択します。クラウドネットワークアドレス変換 (NAT) とクラウドルーターを作成しておく必要があります。Cloud NAT と Google VPC については、関連情報のセクションを参照してください。
注記クラスターをインストールするアベイラビリティーゾーンごとに、VPC がパブリックおよびプライベートサブネットで設定されるようにする必要があります。PrivateLink を使用する場合には、プライベートサブネットのみが必要になります。
オプション: 追加のセキュリティーグループ を展開し、デフォルトで作成されるマシンプール内のノードに適用する追加のカスタムセキュリティーグループを選択します。すでにセキュリティーグループを作成し、このクラスター用に選択した VPC にそのグループを関連付けている必要があります。クラスターを作成した後は、デフォルトのマシンプールにセキュリティーグループを追加または編集することはできません。
デフォルトでは、指定したセキュリティーグループはすべてのノードタイプに追加されます。ノードタイプごとに異なるセキュリティーグループを適用するには、Apply the same security groups to all node types チェックボックスをオフにします。
詳細は、関連情報 の セキュリティーグループ の要件を参照してください。
クラスター全体のプロキシーを設定することを選択した場合は、Cluster-wide proxy ページでプロキシー設定の詳細を指定します。
次のフィールドの少なくとも 1 つに値を入力します。
- 有効な HTTP proxy URL を指定します。
- 有効な HTTPS proxy URL を指定します。
Additional trust bundle フィールドに、PEM でエンコードされた X.509 証明書バンドルを指定します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルからの認証局によって署名されない限り、追加の信頼バンドルファイルが必要です。
追加のプロキシー設定が必要ではなく、追加の認証局 (CA) を必要とする MITM の透過的なプロキシーネットワークを使用する場合には、MITM CA 証明書を指定する必要があります。
注記HTTP または HTTPS プロキシー URL を指定せずに追加の信頼バンドルファイルをアップロードする場合、バンドルはクラスターに設定されますが、プロキシーで使用するように設定されていません。
- Next をクリックします。
OpenShift Dedicated でのプロキシーの設定に関する詳細は、クラスター全体のプロキシーの設定 を参照してください。
CIDR ranges ダイアログで、カスタムの Classless Inter-Domain Routing (CIDR) 範囲を設定するか、提供されるデフォルトを使用します。
注記VPC にインストールする場合、Machine CIDR 範囲は VPC サブネットに一致する必要があります。
重要CIDR 設定は後で変更することはできません。続行する前に、ネットワーク管理者と選択内容を確認してください。
Cluster update strategy ページで、更新設定を行います。
クラスターの更新方法を選択します。
- 各更新を個別にスケジュールする場合は、Individual updates を選択します。以下はデフォルトのオプションになります。
Recurring updates を選択して、更新が利用可能な場合に、希望の曜日と開始時刻にクラスターを更新します。
注記OpenShift Dedicated の更新ライフサイクルのドキュメントでライフサイクルの終了日を確認できます。詳細は、OpenShift Dedicated 更新ライフサイクル を参照してください。
クラスターの更新方法に基づいて管理者の承認を提供します。
- 個別の更新: 承認が必要な更新バージョンを選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。
定期的な更新: クラスターの定期的な更新を選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。OpenShift Cluster Manager は、管理者の確認を受け取らずに、マイナーバージョンのスケジュールされた y-stream 更新を開始しません。
管理者の確認は、OpenShift4.9 にアップグレードする際の管理者の確認 を参照してください。
- 繰り返し更新を選択した場合は、ドロップダウンメニューから希望の曜日およびアップグレード開始時刻 (UTC) を選択します。
- オプション: クラスターアップグレード時の ノードのドレイン (解放) の猶予期間を設定できます。デフォルトで 1 時間 の猶予期間が設定されています。
Next をクリックします。
注記クラスターのセキュリティーまたは安定性に大きく影響する重大なセキュリティー問題がある場合、Red Hat サイト信頼性エンジニアリング (SRE) は、影響を受けない最新の z ストリームバージョンへの自動更新をスケジュールする場合があります。更新は、お客様に通知された後、48 時間以内に適用されます。重大な影響を及ぼすセキュリティー評価の説明は、Red Hat セキュリティー評価について を参照してください。
選択の概要を確認し、Create cluster をクリックしてクラスターのインストールを開始します。インストールが完了するまで約 30 - 40 分かかります。
検証
- クラスターの Overview ページで、インストールの進捗をモニターできます。同じページでインストールのログを表示できます。そのページの Details セクションの Status が Ready として表示されると、クラスターは準備が完了した状態になります。