第1章 Kubernetes Operator のマルチクラスターエンジンの概要
- クラスターライフサイクルのアーキテクチャー
- 認証情報の管理の概要
- 作成されたクラスターの休止 (テクノロジープレビュー)
- テイントおよび容認 (Toleration) を使用したマネージドクラスターの配置
- プロキシー環境でのクラスターの作成
- クラスタープロキシーアドオンの有効化
- 特定のクラスター管理ロールの設定
- クラスターラベルの管理
- マネージドクラスターで実行する Ansible Tower タスクの設定
- ManagedServiceAccount の有効化
- クラスターのアップグレード
- マネージメントからのクラスターの削除
- must gather コマンドを実行したトラブルシューティング
- インストールステータスがインストールまたは保留中の状態のトラブルシューティング
- 再インストールに失敗する場合のトラブルシューティング
- オフラインクラスターのトラブルシューティング
- マネージドクラスターのインポート失敗に関するトラブルシューティング
- Pending Import ステータスのクラスターのトラブルシューティング
- 証明書を変更した後のインポート済みクラスターのオフラインでのトラブルシューティング
- クラスターのステータスが offline から available に変わる場合のトラブルシューティング
- VMware vSphere でのクラスター作成のトラブルシューティング
- ステータスが Pending または Failed のクラスターのコンソールでのトラブルシューティング
- OpenShift Container Platform バージョン 3.11 クラスターのインポートの失敗時のトラブルシューティング
- degraded 状態にある Klusterlet のトラブルシューティング
- クラスターの削除後も namespace が残る
- クラスターのインポート時の auto-import-secret-exists エラー
1.1. Kubernetes operator のマルチクラスターエンジンについて
Kubernetes operator のマルチクラスターエンジンは、Red Hat OpenShift Container Platform にマルチクラスターライフサイクル機能を提供するクラスターライフサイクルの Operator です。The multicluster engine for Kubernetes operator 2.1 support matrix、および Kubernetes operator のマルチクラスターエンジンに関する次のドキュメントを参照してください。
1.1.1. 要件および推奨事項
Kubernetes Operator のマルチクラスターエンジンをインストールする前に、次のシステム設定要件と設定を確認してください。
重要: 2.5 より前の Red Hat Advanced Cluster Management for Kubernetes がインストールされていないクラスターには、Kubernetes Operator 用のマルチクラスターエンジンをインストールする必要があります。バージョン 2.5 以降で Red Hat Advanced Cluster Management を使用している場合、Kubernetes 用のマルチクラスターエンジンはすでにクラスターにインストールされています。
1.1.1.1. サポートされているブラウザーとプラットフォーム
multicluster engine for Kubernetes operator 2.1 support matrix で、サポートされているブラウザーと機能に関する重要な情報を参照してください。
1.1.2. ネットワーク
Kubernetes オペレーターハブクラスターおよびマネージドクラスター用のマルチクラスターエンジンのネットワーク要件について説明します。
重要: 信頼できる CA バンドルは、Kubernetes オペレーターの namespace のマルチクラスターエンジンで使用できますが、その拡張にはネットワークへの変更が必要です。信頼できる CA バンドル ConfigMap は、trusted-ca-bundle のデフォルト名を使用します。この名前は、TRUSTED_CA_BUNDLE という名前の環境変数でオペレーターに提供することで変更できます。詳細については、Red Hat OpenShift Container Platform の ネットワーク セクションの クラスター全体のプロキシーの設定 を参照してください。の上。
1.1.2.1. ハブクラスターのネットワーク設定
ハブクラスターネットワークの設定を参照できます。
次の表のハブクラスターネットワーク要件を参照してください。
| 方向 | 接続 | ポート (指定されている場合) |
|---|---|---|
| 送信 | クラウドプロバイダーの API | |
| Outbound | プロビジョニングしたマネージドクラスターの Kubernetes API サーバー | 6443 |
| 送信および受信 |
マネージドクラスターの | 443 |
| 受信 | マネージドクラスターからの Kubernetes クラスター用のマルチクラスターエンジンの Kubernetes API サーバー | 6443 |
1.1.2.2. マネージドクラスターのネットワーク設定
マネージドクラスターネットワークの要件については、以下の表を参照してください。
| 方向 | 接続 | ポート (指定されている場合) |
|---|---|---|
| 送信および受信 | Kubernetes クラスター用のマルチクラスターエンジンの Kubernetes API サーバー | 6443 |
1.1.2.3. インフラストラクチャーオペレーターを使用してインストールする場合の追加のネットワーク要件
Infrastructure Operator を使用してベアメタルマネージドクラスターをインストールする場合は、以下の表で追加のネットワーク要件について参照してください。
| 方向 | プロトコル | 接続 | ポート (指定されている場合) |
|---|---|---|---|
| ISO/rootfs イメージリポジトリーへのハブクラスターの送信 | HTTPS (非接続環境では HTTP) | Red Hat Advanced Cluster Management ハブで ISO イメージを作成するのに使用します。 | 443 (非接続環境では 80) |
| 単一ノードの OpenShift Container Platform マネージドクラスターでの BMC インターフェイスへのハブクラスター送信 | HTTPS (非接続環境では HTTP) | OpenShift Container Platform クラスターをブートします。 | 443 |
| OpenShift Container Platform マネージドクラスターからハブクラスターへの送信 | HTTPS |
| 443 |
| OpenShift Container Platform マネージドクラスターから ISO/rootfs イメージリポジトリーへの送信 | HTTP、HTTPS、または TLS | rootfs イメージをダウンロードします。 | HTTP 80, HTTPS 443 |
|
OpenShift Container Platform 管理クラスターから | HTTPS/TLS | イメージをダウンロードします | 443 |
1.1.2.4. Hive Operator を使用してインストールする場合の追加のネットワーク要件
Central Infrastructure Management の使用が含まれる Hive Operator を使用してベアメタルマネージドクラスターをインストールする場合は、ハブクラスターと libvirt プロビジョニングホスト間で、レイヤー 2 またはレイヤー 3 のポート接続を設定する必要があります。プロビジョニングホストへのこの接続は、Hive を使用したベースベアメタルクラスターの作成時に必要になります。詳細は、以下の表を参照してください。
| 方向 | プロトコル | 接続 | ポート (指定されている場合) |
|---|---|---|---|
|
| IP |
Hive Operator がインストールされているハブクラスターを、ベアメタルクラスターの作成時にブートストラップとして機能する |
注記:これらの要件はインストール時にのみ適用され、Infrastructure Operator でインストールされたクラスターのアップグレード時には必要ありません。
1.1.2.4.1. ホステッドコントロールプレーンのネットワーク要件 (テクノロジープレビュー)
ホステッドコントロールプレーンを使用する場合、HypershiftDeployment リソースには、次の表に示すエンドポイントへの接続が必要です。
| 方向 | 接続 | ポート (指定されている場合) |
|---|---|---|
| Outbound | OpenShift Container Platform コントロールプレーンおよびワーカーノード | |
| Outbound | Amazon Web Services のホステッドクラスターのみ: AWS API および S3 API へのアウトバウンド接続 | |
| Outbound | Microsoft Azure クラウドサービスのホステッドクラスターのみ: Azure API へのアウトバウンド接続 | |
| Outbound | coreOS の ISO イメージと OpenShift Container Platform Pod のイメージレジストリーを格納する OpenShift Container Platform イメージリポジトリー |
1.1.3. コンソールの概要
OpenShift Container Platform コンソールプラグインは OpenShift Container Platform 4.10 Web コンソールで利用可能であり、統合することができます。この機能を使用するには、コンソールプラグインを有効にしておく必要があります。Kubernetes Operator 用のマルチクラスターエンジンは、Infrastructure および Credentials のナビゲーション項目から特定のコンソール機能を表示します。Red Hat Advanced Cluster Management をインストールすると、より多くのコンソール機能が表示されます。
注記:プラグインが有効になっている OpenShift Container Platform 4.10 の場合は、ドロップダウンメニューから All Clusters を選択することにより、クラスタースイッチャーから OpenShift Container Platform コンソール内で Red Hat Advanced Cluster Management にアクセスできます。
- プラグインを無効にするには、OpenShift Container Platform コンソールの Administrator パースペクティブにいることを確認してください。
- ナビゲーションで Administration を探し、Cluster Settings をクリックし、続いて Configuration タブをクリックします。
-
Configuration resources のリストから、
operator.openshift.ioAPI グループが含まれる Console リソースをクリックします。この API グループには、Web コンソールのクラスター全体の設定が含まれています。 -
Console plug-ins タブをクリックします。
mceプラグインがリスト表示されます。注記: Red Hat Advanced Cluster Management がインストールされている場合は、acmとしても表示されます。 - テーブルからプラグインのステータスを変更します。しばらくすると、コンソールを更新するように求められます。
1.1.4. ロールベースのアクセス制御
Kubernetes Operator のマルチクラスターエンジンは、ロールベースのアクセス制御 (RBAC) をサポートします。ロールによって実行できるアクションが決まります。RBAC は、Red Hat OpenShift Container Platform と同様に Kubernetes の承認メカニズムに基づいています。RBAC の詳細は、OpenShift Container Platform ドキュメント の OpenShift Container Platform RBAC の概要を参照してください。
注記: ユーザーロールのアクセス権がない場合には、コンソールのアクションボタンが無効になります。
コンポーネントでサポートされる RBAC の詳細は、以下のセクションを参照してください。
1.1.4.1. ロールの概要
クラスター別の製品リソースと、スコープに namespace が指定されている製品リソースがあります。アクセス制御に一貫性を持たせるため、クラスターのロールバインドと、namespace のロールバインドをユーザーに適用する必要があります。サポートされている次のロール定義の表リストを表示します。
1.1.4.1.1. ロール定義表
| ロール | 定義 |
|---|---|
|
|
これは OpenShift Container Platform のデフォルトのロールです。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
admin、edit、および view は OpenShift Container Platform のデフォルトロールです。これらのロールに対して namespace に限定されたバインドが指定されているユーザーは、特定の namespace 内の |
重要:
- ユーザーは OpenShift Container Platform からプロジェクトを作成できます。これにより、namespace の管理者ロール権限が付与されます。
-
ユーザーにクラスターへのロールアクセスがない場合、クラスター名は表示されません。クラスター名は、
-の記号で表示されます。
RBAC はコンソールレベルと API レベルで検証されます。コンソール内のアクションは、ユーザーのアクセスロールの権限に基づいて有効化/無効化できます。製品の特定ライフサイクルの RBAC の詳細は、以下のセクションを参照してください。
1.1.4.1.2. クラスターライフサイクル RBAC
すべてのマネージドクラスターを作成および管理するには、次の情報を参照してください。
以下のコマンドを入力して、クラスターロール
open-cluster-management:cluster-manager-adminにバインドするクラスターロールを作成します。oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin
このロールはスーパーユーザーであるため、すべてのリソースとアクションにアクセスできます。このロールを使用すると、クラスターレベルの
managedclusterリソース、マネージドクラスターを管理するリソースの namespace、namespace 内のリソースを作成できます。また、このロールで、プロバイダー接続、マネージドクラスター作成に使用するベアメタルアセットにアクセスできます。
cluster-nameという名前のマネージドクラスターを管理するには、以下を参照してください。以下のコマンドを入力して、クラスターロール
open-cluster-management:admin:<cluster-name>にバインドするクラスターロールを作成します。oc create clusterrolebinding (role-binding-name) --clusterrole=open-cluster-management:admin:<cluster-name>
このロールを使用すると、クラスターレベルの
managedclusterリソースに読み取り/書き込みアクセスができるようになります。managedclusterはクラスターレベルのリソースで、namespace レベルのリソースではないので、このロールが必要です。以下のコマンドを入力して、クラスターロール
adminにバインドする namespace ロールを作成します。oc create rolebinding <role-binding-name> -n <cluster-name> --clusterrole=admin
このロールでは、マネージドクラスターの namespace 内にあるリソースに対して読み取り/書き込みアクセスができるようになります。
cluster-nameという名前のマネージドクラスターを表示するには、以下を参照してください。以下のコマンドを入力して、クラスターロール
open-cluster-management:view:<cluster-name>にバインドするクラスターロールを作成します。oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name>
このロールを使用すると、クラスターレベルの
managedclusterリソースに読み取りアクセスができるようになります。managedclusterはクラスターレベルのリソースで、namespace レベルのリソースではないので、このロールが必要です。以下のコマンドを入力して、クラスターロール
viewにバインドする namespace ロールを作成します。oc create rolebinding <role-binding-name> -n <cluster-name> --clusterrole=view
このロールでは、マネージドクラスターの namespace 内にあるリソースに対して読み取り専用アクセスができるようになります。
以下のコマンドを入力して、アクセス可能なマネージドクラスターの一覧を表示します。
oc get managedclusters.clusterview.open-cluster-management.io
このコマンドは、クラスター管理者権限なしで、管理者およびユーザーが使用できます。
以下のコマンドを入力して、アクセス可能なマネージドクラスターセットの一覧を表示します。
oc get managedclustersets.clusterview.open-cluster-management.io
このコマンドは、クラスター管理者権限なしで、管理者およびユーザーが使用できます。
1.1.4.1.2.1. クラスタープール RBAC
以下のクラスタープール RBAC 操作を確認してください。
クラスタープールのプロビジョニングクラスターを使用するには、以下を実行します。
クラスター管理者は、グループにロールを追加してマネージドクラスターセットを作成し、管理者権限をロールに付与します。
以下のコマンドを使用して、
server-foundation-clustersetマネージドクラスターセットにadminパーミッションを付与します。oc adm policy add-cluster-role-to-group open-cluster-management:clusterset-admin:server-foundation-clusterset server-foundation-team-admin
以下のコマンドを使用して、
server-foundation-clustersetマネージドクラスターセットにview権限を付与します。oc adm policy add-cluster-role-to-group open-cluster-management:clusterset-view:server-foundation-clusterset server-foundation-team-user
クラスタープールの namespace (
server-foundation-clusterpool) を作成します。以下のコマンドを実行して、
server-foundation-team-adminのserver-foundation-clusterpoolにadmin権限を付与します。oc adm new-project server-foundation-clusterpool oc adm policy add-role-to-group admin server-foundation-team-admin --namespace server-foundation-clusterpool
チーム管理者として、クラスタープール namespace に、クラスターセットラベル
cluster.open-cluster-management.io/clusterset=server-foundation-clustersetを使用してocp46-aws-clusterpoolという名前のクラスタープールを作成します。-
server-foundation-webhookは、クラスタープールにクラスターセットラベルがあるかどうか、またユーザーにクラスターセットのクラスタープールを作成するパーミッションがあるかどうかを確認します。 -
server-foundation-controllerは、server-foundation-team-userのserver-foundation-clusterpoolnamespace にview権限を付与します。
-
クラスタープールが作成されると、クラスタープールは
clusterdeploymentを作成します。-
server-foundation-controllerは、server-foundation-team-adminのclusterdeploymentnamespace にadminパーミッションを付与します。 server-foundation-controllerは、server-foundation-team-userのclusterdeploymentnamespace にviewパーミッションを付与します。注記:
team-adminおよびteam-userは、clusterpool、clusterdeplymentおよびclusterclaimへのadmin権限があります。
-
クラスターライフサイクルの以下のコンソールおよび API RBAC の表を表示します。
1.1.4.1.2.2. クラスターライフサイクルのコンソール RBAC の表
| リソース | 管理 | 編集 | 表示 |
|---|---|---|---|
| クラスター | read, update, delete | データなし | read |
| クラスターセット | get, update, bind, join | 編集ロールなし | get |
| マネージドクラスター | read, update, delete | 編集ロールなし | get |
| プロバイダー接続 | create, read, update, delete | データなし | read |
| ベアメタルアセット | create, read, update, delete | データなし | read |
1.1.4.1.2.3. クラスターライフサイクルの RBAC API テーブルのテーブル
| API | 管理 | 編集 | 表示 |
|---|---|---|---|
|
| create, read, update, delete | read, update | read |
|
| read | read | read |
|
| update | update | none |
|
| create, read, update, delete | read, update | read |
|
| read | read | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
|
| create, read, update, delete | read, update | read |
1.1.4.1.2.4. 認証情報ロールベースのアクセス制御
認証情報へのアクセスは Kubernetes で制御されます。認証情報は Kubernetes Secret として保存され、セキュリティーを確保します。シークレットへのアクセスには、次のアクセス許可が適用されます。
- namespace でシークレットの作成権限のあるユーザーは認証情報を作成できます。
- namespace でシークレットの読み取り権限のあるユーザーは、認証情報を表示することもできます。
-
Kubernetes ロール
adminおよびeditのあるユーザーは、シークレットの作成と編集が可能です。 -
Kubernetes クラスターロール
viewのあるユーザーは、シークレットの内容を読み取ると、サービスアカウントの認証情報にアクセスできるようになるため、シークレットを表示できません。
