2.2. CCS を使用した GCP でのクラスターの作成

Customer Cloud Subscription (CCS) 請求モデルを使用すると、所有している既存の Google Cloud Platform (GCP) アカウントに OpenShift Dedicated クラスターを作成できます。

CCS モデルを使用して OpenShift Dedicated を GCP アカウントにデプロイし、管理する場合には、いくつかの前提条件を満たす必要があります。

前提条件

  • OpenShift Dedicated で使用する GCP アカウントを設定している。
  • 必要なクラスターサイズをサポートするために必要な GCP アカウントのクォータおよび制限を設定している。

  • GCP プロジェクトを作成している。

    注記

    プロジェクト名は 10 文字以下である必要があります。

  • GCP プロジェクトで Google Cloud Resource Manager API を有効にしている。プロジェクトの API の有効化に関する詳細は、Google Cloud のドキュメント を参照してください。

  • osd-ccs-admin という名前の GCP の IAM サービスアカウントに以下のロールが割り当てられている。

    • Compute 管理者
    • DNS 管理者
    • セキュリティー管理者
    • Service Account Admin
    • サービスアカウントキー管理者
    • Service Account User
    • 組織ポリシービューアー
    • サービス管理管理者
    • サービス使用状況の管理
    • ストレージ管理者
    • ロードバランサー計算の管理者
    • ロール閲覧者
    • ロール管理者

  • osd-ccs-admin GCP サービスアカウントのキーを作成し、それを osServiceAccount.json という名前のファイルにエクスポートしている。

    注記

    GCP サービスアカウントのキーを作成し、それを JSON ファイルにインポートする方法は、Google Cloud のドキュメントの サービスアカウントキーの作成 を参照。

  • GCP の Production Support またはそれ以上のサービスを用意することを検討してください。
  • 潜在的な競合を防ぐためには、OpenShift Dedicated をインストールする前にプロジェクトで他のリソースがプロビジョニングされないようにすることを検討してください。
  • クラスター全体のプロキシーを設定する場合は、クラスターがインストールされている VPC からプロキシーにアクセスできることを確認している。

手順

  1. OpenShift Cluster Manager にログインし、Create cluster をクリックします。
  2. Create an OpenShift cluster ページの Red Hat OpenShift Dedicated 行で Create cluster を選択します。

  3. Billing model セクションで、サブスクリプションのタイプおよびインフラストラクチャーのタイプを設定します。

    1. サブスクリプションのタイプを選択します。OpenShift Dedicated サブスクリプションオプションについては、OpenShift Cluster Manager ドキュメントの クラスターのサブスクリプションと登録 を参照してください。

      注記

      利用可能なサブスクリプションタイプは、OpenShift Dedicated のサブスクリプションおよびリソースクォータによって異なります。詳細は、営業担当者または Red Hat サポートにお問い合わせください。

    2. Customer Cloud Subscription インフラストラクチャータイプを選択し、OpenShift Dedicated を所有している既存のクラウドプロバイダーアカウントにデプロイします。
    3. Next をクリックします。
  4. Run on Google Cloud Platform を選択します。
  5. クラウドプロバイダーを選択したら、表示されている 前提条件 を確認して完了します。チェックボックスを選択して、すべての前提条件を読み、完了したことを確認します。
  6. JSON 形式で GCP サービスアカウントの秘密鍵を指定します。Browse をクリックし、JSON ファイルを探して添付するか、Service account JSON フィールドに詳細を追加できます。
  7. Next をクリックしてクラウドプロバイダーアカウントを検証し、Cluster details ページに移動します。

  8. Cluster details ページで、クラスターの名前を指定し、クラスターの詳細を指定します。

    1. Cluster name を追加します。
    2. Version ドロップダウンメニューからクラスターバージョンを選択します。
    3. Region ドロップダウンメニューからクラウドプロバイダーのリージョンを選択します。
    4. Single zone または Multi-zone 設定を選択し ます。

    5. オプション: クラスターのインストール時にシールドされた VM を使用するには、Enable Secure Boot for Shielded VMs を選択します。詳細は、Shielded VMs を参照してください。

      重要

      組織でポリシー制約 constraints/compute.requireShieldedVm が有効になっている場合、クラスターを正常に作成するには、Enable Secure Boot support for Shielded VMs を選択する必要があります。GCP 組織ポリシーの制約の詳細は、組織ポリシーの制約 を参照してください。

    6. Enable user workloads monitoring を選択したままにして、Red Hat サイト信頼性エンジニアリング (SRE) プラットフォームメトリックから切り離して独自のプロジェクトをモニターします。このオプションはデフォルトで有効になっています。

  9. オプション: Advanced Encryption を展開して、暗号化設定を変更します。

    1. カスタム KMS キーを使用するには、Use Custom KMS keys を選択します。カスタム KMS キーを使用しない場合は、デフォルト設定 Use default KMS Keys のままにしておきます。

      重要

      カスタム KMS キーを使用するには、IAM サービスアカウント osd-ccs-adminCloud KMS CryptoKey Encrypter/Decrypter ロールを付与する必要があります。リソースに対するロールの付与の詳細は、Granting roles on a resource を参照してください。

      Use Custom KMS keys を選択した場合は、以下を実行します。

      1. Key ring location ドロップダウンメニューからキーリングの場所を選択します。
      2. Key ring ドロップダウンメニューからキーリングを選択します。
      3. Key name ドロップダウンメニューからキー名を選択します。
      4. KMS Service Account を指定します。

    2. オプション:etcd キー値の暗号化が必要な場合には、Enable additional etcd encryption を選択します。このオプションを使用すると、etcd キーの値は暗号化されますが、キーは暗号化されません。このオプションは、デフォルトで OpenShift Dedicated クラスターの etcd ボリュームを暗号化するコントロールプレーンのストレージ暗号化に追加されます。

      注記

      etcd のキー値の etcd 暗号化を有効にすると、約 20% のパフォーマンスのオーバーヘッドが発生します。このオーバーヘッドは、etcd ボリュームを暗号化するデフォルトのコントロールプレーンのストレージ暗号化に加えて、この 2 つ目の暗号化レイヤーの導入により生じます。お客様のユースケースで特に etcd 暗号化が必要な場合にのみ、暗号化を有効にすることを検討してください。

    3. オプション: クラスターで FIPS 検証を必須にする場合は、Enable FIPS cryptography を選択します。
    4. Next をクリックします。

  10. Default machine pool ページで、Compute node instance type および Compute node count を選択します。利用可能なノードの数およびタイプは、OpenShift Dedicated のサブスクリプションによって異なります。複数のアベイラビリティーゾーンを使用している場合、コンピュートノード数はゾーンごとに設定されます。

    注記

    クラスターの作成後に、クラスター内のコンピュートノード数を変更できますが、マシンプールのコンピュートノードインスタンスのタイプを変更することはできません。利用可能なノード数および種類は、OpenShift Dedicated のサブスクリプションによって異なります。

  11. オプション: Edit node labels を展開してラベルをノードに追加します。Add label をクリックしてさらにノードラベルを追加し、Next を選択します。

  12. Network configuration ページで Public または Private を選択し、クラスターのパブリックまたはプライベート API エンドポイントおよびアプリケーションルートを使用します。

    重要

    プライベート API エンドポイントを使用している場合、クラウドプロバイダーアカウントのネットワーク設定を更新するまでクラスターにはアクセスできません。

  13. オプション: クラスターを既存の GCP Virtual Private Cloud (VPC) にインストールするには、以下を実行します。

    1. Install to an existing VPC を選択します。
    2. 既存の VPC にインストールし、クラスターの HTTP または HTTPS プロキシーを有効にする場合は、Configure a cluster-wide proxy を参照してください。
  14. Next をクリックします。

  15. オプション: クラスターを GCP の 共有 VPC にインストールする場合は、以下を実行します。

    重要

    クラスターを共有 VPC にインストールするには、OpenShift Dedicated バージョン 4.13.15 以降を使用する必要があります。さらに、ホストプロジェクトの VPC オーナーが、Google Cloud コンソールでプロジェクトをホストプロジェクトとして有効にする必要があります。詳細は、Enable a host project を参照してください。

    1. Install into GCP Shared VPC を選択します。

    2. Host project ID を指定します。指定したホストプロジェクト ID が間違っていると、クラスターの作成が失敗します。

      重要

      クラスター設定ウィザード内の手順を完了し、Create Cluster をクリックすると、クラスターが "Installation Waiting" の状態になります。この時点で、ホストプロジェクトの VPC オーナーに連絡する必要があります。オーナーは動的に生成されたサービスアカウントに、Computer Network AdministratorCompute Security Administrator、および DNS Administrator ロールを割り当てる必要があります。ホストプロジェクトの VPC オーナーが 30 日以内に上記の権限を付与しないと、クラスターの作成が失敗します。共有 VPC の権限の詳細は、Provision Shared VPC を参照してください。

  16. クラスターを既存の GCP VPC にインストールする場合、Virtual Private Cloud (VPC) サブネット設定 を指定して、Next を選択します。クラウドネットワークアドレス変換 (NAT) とクラウドルーターを作成しておく必要があります。Cloud NAT と Google VPC については、関連情報のセクションを参照してください。

    注記

    クラスターを共有 VPC にインストールする場合、VPC 名とサブネットはホストプロジェクトから共有されます。

  17. クラスター全体のプロキシーを設定することを選択した場合は、Cluster-wide proxy ページでプロキシー設定の詳細を指定します。

    1. 次のフィールドの少なくとも 1 つに値を入力します。

      • 有効な HTTP proxy URL を指定します。
      • 有効な HTTPS proxy URL を指定します。

      • Additional trust bundle フィールドに、PEM でエンコードされた X.509 証明書バンドルを指定します。このバンドルはクラスターノードの信頼済み証明書ストアに追加されます。プロキシーのアイデンティティー証明書が Red Hat Enterprise Linux CoreOS (RHCOS) 信頼バンドルからの認証局によって署名されない限り、追加の信頼バンドルファイルが必要です。

        追加のプロキシー設定が必要ではなく、追加の認証局 (CA) を必要とする MITM の透過的なプロキシーネットワークを使用する場合には、MITM CA 証明書を指定する必要があります。

        注記

        HTTP または HTTPS プロキシー URL を指定せずに追加の信頼バンドルファイルをアップロードする場合、バンドルはクラスターに設定されますが、プロキシーで使用するように設定されていません。

    2. Next をクリックします。

    OpenShift Dedicated でのプロキシーの設定に関する詳細は、クラスター全体のプロキシーの設定 を参照してください。

  18. CIDR ranges ダイアログで、カスタムの Classless Inter-Domain Routing (CIDR) 範囲を設定するか、提供されるデフォルトを使用します。

    注記

    VPC にインストールする場合、Machine CIDR 範囲は VPC サブネットに一致する必要があります。

    重要

    CIDR 設定は後で変更することはできません。続行する前に、ネットワーク管理者と選択内容を確認してください。

  19. Cluster update strategy ページで、更新設定を行います。

    1. クラスターの更新方法を選択します。

      • 各更新を個別にスケジュールする場合は、Individual updates を選択します。以下はデフォルトのオプションになります。

      • Recurring updates を選択して、更新が利用可能な場合に、希望の曜日と開始時刻にクラスターを更新します。

        注記

        OpenShift Dedicated の更新ライフサイクルのドキュメントでライフサイクルの終了日を確認できます。詳細は、OpenShift Dedicated 更新ライフサイクル を参照してください。

    2. クラスターの更新方法に基づいて管理者の承認を提供します。

      • 個別の更新: 承認が必要な更新バージョンを選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。

      • 定期的な更新: クラスターの定期的な更新を選択した場合は、管理者の確認を提供し、Approve and continue をクリックします。OpenShift Cluster Manager は、管理者の確認を受け取らずに、マイナーバージョンのスケジュールされた y-stream 更新を開始しません。

        管理者の確認は、OpenShift4.9 にアップグレードする際の管理者の確認 を参照してください。

    3. 繰り返し更新を選択した場合は、ドロップダウンメニューから希望の曜日およびアップグレード開始時刻 (UTC) を選択します。
    4. オプション: クラスターアップグレード時の ノードのドレイン (解放) の猶予期間を設定できます。デフォルトで 1 時間 の猶予期間が設定されています。

    5. Next をクリックします。

      注記

      クラスターのセキュリティーまたは安定性に大きく影響する重大なセキュリティー問題がある場合、Red Hat サイト信頼性エンジニアリング (SRE) は、影響を受けない最新の z ストリームバージョンへの自動更新をスケジュールする場合があります。更新は、お客様に通知された後、48 時間以内に適用されます。重大な影響を及ぼすセキュリティー評価の説明は、Red Hat セキュリティー評価について を参照してください。

  20. 選択の概要を確認し、Create cluster をクリックしてクラスターのインストールを開始します。インストールが完了するまで約 30 - 40 分かかります。

    注記

    GCP 共有 VPC にインストールされたクラスターを削除する場合は、ホストプロジェクトの VPC オーナーに、クラスター作成時に言及したサービスアカウントに付与された IAM ポリシーロールを削除するように通知します。

検証

  • クラスターの Overview ページで、インストールの進捗をモニターできます。同じページでインストールのログを表示できます。そのページの Details セクションの StatusReady として表示されると、クラスターは準備が完了した状態になります。