手順

1. AWS 管理コンソール にログインします。
2. ROSA service に移動します。

3. Get started をクリックします。

   Verify ROSA prerequisites ページが開きます。

4. ROSA enablement の下で、緑色のチェックマークと You previously enabled ROSA が表示されていることを確認します。

   そうでない場合は、次の手順に従います。

   1. I agree to share my contact information with Red Hat の横にあるチェックボックスを選択します。

   2. Enable ROSA をクリックします。

      少し待つと、緑色のチェックマークと You enabled ROSA メッセージが表示されます。

5. Service Quotas の下に、緑色のチェックと Your quotas meet the requirements for ROSA が表示されていることを確認します。

   Your quotas don't meet the minimum requirements が表示された場合は、エラーメッセージに表示されているクォータの種類と最小値をメモしてください。ガイダンスについては、割り当て増加のリクエスト に関する Amazon のドキュメントを参照してください。Amazon が割り当てリクエストを承認するまでに数時間かかる場合があります。

6. ELB service-linked role の下で、緑色のチェックマークと AWSServiceRoleForElasticLoadBalancing already exists が表示されていることを確認します。

7. Continue to Red Hat をクリックします。

   Get started with Red Hat OpenShift Service on AWS (ROSA) ページが新しいタブで開きます。このページのステップ 1 はすでに完了しており、ステップ 2 に進むことができます。

手順

1. 最新の AWS CLI (aws) をインストールして設定します。

   1. AWS コマンドラインインターフェイス ドキュメントに従って、お使いのオペレーティングシステム用の AWS CLI をインストールし、設定します。

      .aws/credentials ファイルに aws_access_key_id、aws_secret_access_key、および region を指定します。AWS ドキュメントの AWS 設定の基本 を参照してください。

      注記

      AWS_DEFAULT_REGION 環境変数を使用して、デフォルトの AWS リージョンを設定することもできます。

   2. AWS API をクエリーし、AWS CLI が適切にインストールおよび設定されているかどうかを確認します。

      $ aws sts get-caller-identity  --output text

      出力例

      <aws_account_id>    arn:aws:iam::<aws_account_id>:user/<username>  <aws_user_id>

2. 最新の ROSA CLI (rosa) をインストールし、設定します。

   1. Red Hat OpenShift Cluster Manager Hybrid Cloud Console の ダウンロード ページから、オペレーティングシステム用の最新バージョンの ROSA CLI をダウンロードします。

   2. ダウンロードしたアーカイブから rosa バイナリーファイルをデプロイメントします。以下の例は、Linux tar アーカイブからバイナリーをデプロイメントします。

      $ tar xvf rosa-linux.tar.gz

   3. パスに rosa を加えてください。以下の例では、/usr/local/bin ディレクトリーがユーザーのパスに含まれます。

      $ sudo mv rosa /usr/local/bin/rosa

   4. rosa バージョンをクエリーして、ROSA CLI ツールが適切にインストールされていることを確認します。

      $ rosa version

      出力例

      1.2.15
      Your ROSA CLI is up to date.

   5. ROSA CLI を使用して Red Hat アカウントにログインします。

      $ rosa login

      出力例

      To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
      ? Copy the token and paste it here:

      コマンド出力にリスト表示されている URL に移動し、オフラインアクセストークンを取得します。ログインする CLI プロンプトでトークンを指定します。

      注記

      その後に rosa login コマンドの実行時に --token="<offline_access_token>" 引数を使用してオフラインアクセストークンを指定できます。

   6. 正常にログインできるかどうかを確認し、認証情報を確認します。

      $ rosa whoami

      出力例

      AWS Account ID:               <aws_account_number>
      AWS Default Region:           us-east-1
      AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
      OCM API:                      https://api.openshift.com
      OCM Account ID:               <red_hat_account_id>
      OCM Account Name:             Your Name
      OCM Account Username:         you@domain.com
      OCM Account Email:            you@domain.com
      OCM Organization ID:          <org_id>
      OCM Organization Name:        Your organization
      OCM Organization External ID: <external_org_id>

      次に進む前に、出力の情報が正しいことを確認します。

手順

1. OpenShift Cluster Manager ロールを作成し、Red Hat 組織にリンクします。

   注記

   OpenShift Cluster Manager Hybrid Cloud Console を使用してクラスター固有の Operator ロールと OpenID Connect (OIDC) プロバイダーの自動デプロイを有効にするには、ROSA クラスターの作成の アカウントとロール の手順で、Admin OCM role コマンドを選択して、ロールに管理権限を適用する必要があります。OpenShift Cluster Manager ロールの基本権限および管理権限の詳細については、AWS アカウントの関連付けについて を参照してください。

   注記

   OpenShift Cluster Manager Hybrid Cloud Console で ROSA クラスターを作成する アカウントとロール の手順で Basic OCM role コマンドを選択した場合は、手動モードを使用して ROSA クラスターをデプロイする必要があります。後のステップで、クラスター固有の Operator ロールと OpenID Connect (OIDC) プロバイダーを設定するように求められます。

   $ rosa create ocm-role

   ロールをすばやく作成してリンクするには、プロンプトでデフォルト値を選択します。

2. ユーザーロールを作成し、Red Hat ユーザーアカウントにリンクします。

   $ rosa create user-role

   ロールをすばやく作成してリンクするには、プロンプトでデフォルト値を選択します。

   注記

   Red Hat ユーザーアカウントは、OpenShift Cluster Manager ロールにリンクされている Red Hat 組織に存在する必要があります。

手順

1. それらが AWS アカウントに存在しない場合は、アカウント全体の STS ロールとポリシーで必要なものを作成します。

   $ rosa create account-roles

   プロンプトでデフォルト値を選択して、ロールとポリシーをすばやく作成します。

手順

1. OpenShift Cluster Manager に移動し、Create clusterを選択します。
2. Create an OpenShift cluster ページの Red Hat OpenShift Service on AWS (ROSA) 行で Create cluster を選択します。

3. AWS アカウント ID が Associated AWS accounts ドロップダウンメニューに表示されていること、およびインストーラー、サポート、ワーカー、およびコントロールプレーンのアカウントロールの Amazon Resource Names (ARN) が Accounts and roles ページに表示されていることを確認します。

   注記

   AWS アカウント ID が表示されていない場合は、AWS アカウントが Red Hat 組織に正常に関連付けられていることを確認してください。アカウントロール ARN が表示されていない場合は、必要なアカウント全体の STS ロールが AWS アカウントに存在することを確認してください。

4. Next をクリックします。
5. Cluster details ページで、Cluster name を入力します。残りのフィールドはデフォルト値のままにして、Next をクリックします。
6. クラスターをすばやくデプロイするには、Cluster settings、Networking、Cluster roles and policies、および Cluster updates ページのデフォルトのオプションをそのままにして、各ページで Next をクリックします。
7. Review your ROSA cluster 確認ページで、選択内容の概要を確認し、Create cluster をクリックしてインストールを開始します。

手順

1. クラスター管理者ユーザーを作成します。

   $ rosa create admin --cluster=<cluster_name> 1

   1

   <cluster_name> は、クラスター名に置き換えます。

   出力例

   W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
   I: Admin account has been added to cluster '<cluster_name>'.
   I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
   I: To login, run the following command:
   
      oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J
   
   I: It may take up to a minute for the account to become active.

   注記

   cluster-admin ユーザーがアクティブになるまで約 1 分かかる場合があります。

手順

1. github.com に移動し、GitHub アカウントにログインします。
2. ROSA クラスターのアイデンティティープロビジョニングに使用する既存の GitHub 組織がない場合は、これを作成します。GitHub ドキュメント の手順に従います。

3. GitHub 組織のメンバーに限定するように、クラスターの GitHub アイデンティティープロバイダーを設定します。

   1. インタラクティブモードを使用してアイデンティティープロバイダーを設定します。

      $ rosa create idp --cluster=<cluster_name> --interactive 1

      1

      <cluster_name> は、クラスター名に置き換えます。

      出力例

      I: Interactive mode enabled.
      Any optional fields can be left empty and a default will be selected.
      ? Type of identity provider: github
      ? Identity provider name: github-1
      ? Restrict to members of: organizations
      ? GitHub organizations: <github_org_name> 1
      ? To use GitHub as an identity provider, you must first register the application:
        - Open the following URL:
          https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
        - Click on 'Register application'
      ...

      1

      <github_org_name> は、GitHub 組織の名前に置き換えます。

   2. 出力された URL に従い、Register application を選択すると、Git Hub の組織に新しい OAuth アプリケーションが登録されます。アプリケーションを登録することで、ROSA に内蔵されている OAuth サーバーが GitHub 組織のメンバーをクラスターに認証することができるようになります。

      注記

      Register a new OAuth application GitHub フォームのフィールドには、ROSA CLI ツールで定義された URL を介して、必要な値が自動的に入力されます。

   3. GitHub OAuth アプリケーションページの情報を使用して、残りの rosa create idp の対話式プロンプトを設定します。

      出力例 (続き)

      ...
      ? Client ID: <github_client_id> 1
      ? Client Secret: [? for help] <github_client_secret> 2
      ? GitHub Enterprise Hostname (optional):
      ? Mapping method: claim 3
      I: Configuring IDP for cluster '<cluster_name>'
      I: Identity Provider 'github-1' has been created.
         It will take up to 1 minute for this configuration to be enabled.
         To add cluster administrators, see 'rosa grant user --help'.
         To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.

      1

      <github_client_id> は、GitHub OAuth アプリケーションのクライアント ID に置き換えます。

      2

      <github_client_secret> は、GitHub OAuth アプリケーションのクライアントシークレットに置き換えます。

      3

      claim をマッピング方法として指定します。

      注記

      アイデンティティープロバイダー設定がアクティブになるまでに、約 2 分かかる場合があります。cluster-admin ユーザーを設定している場合は、oc get pods -n openshift-authentication --watch を実行して、更新された設定で OAuth Pod の再デプロイを確認できます。

   4. 以下のコマンドを実行して、アイデンティティープロバイダーが正しく設定されていることを確認します。

      $ rosa list idps --cluster=<cluster_name>

      出力例

      NAME        TYPE      AUTH URL
      github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1

手順

1. github.com に移動し、GitHub アカウントにログインします。
2. GitHub 組織への ROSA クラスターへのアクセスを必要とするユーザーを招待します。GitHub ドキュメントの 組織に参加するようにユーザーを招待する の手順を実行してください。

手順

1. クラスターのコンソール URL を取得します。

   $ rosa describe cluster -c <cluster_name> | grep Console 1

   1

   <cluster_name> は、クラスター名に置き換えます。

   出力例

   Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

2. 前述の手順の出力にあるコンソール URL に移動し、ログインします。

   • cluster-admin ユーザーを作成した場合は、指定した認証情報を使用してログインします。
   • クラスターにアイデンティティープロバイダーを設定している場合は、Log in with…​ ダイアログでアイデンティティープロバイダー名を選択し、プロバイダーによって提示される認可要求を完了します。

手順

1. OpenShift Cluster Manager の Clusters ページに移動します。
2. 表示するクラスターの横にあるオプションアイコン (⋮) をクリックします。
3. Open Console をクリックします。
4. クラスターコンソールが新しいブラウザーウィンドウで開きます。設定済みのアイデンティティープロバイダーの認証情報を使用して Red Hat アカウントにログインします。
5. Administrator パースペクティブで、Home → Projects → Create Project の順に選択します。
6. プロジェクトの名前を入力し、必要に応じて Display Name および Description を追加します。
7. Create をクリックしてプロジェクトを作成します。
8. Developer パースペクティブに切り替え、+Add を選択します。選択した Project が、作成したプロジェクトであることを確認します。
9. Developer Catalog ダイアログで、All services を選択します。
10. Developer Catalog ページで、メニューから Languages → JavaScript を選択します。

11. Node.js をクリックし、次に Create をクリックして、Create Source-to-Image application ページを開きます。

    注記

    場合によっては、Clear All Filters をクリックして Node.js オプションを表示する必要があります。

12. Git セクションで Try sample をクリックします。
13. Name フィールドに一意の名前を追加します。この値を使用して、関連付けられたリソースに名前を付けます。
14. Deployment と Create a route が選択されていることを確認します。
15. Create をクリックしてアプリケーションをデプロイします。Pod のデプロイには数分かかります。
16. オプション: nodejs アプリケーションを選択してそのサイドバーを確認して、Topology ペインで Pod のステータスを確認します。nodejs ビルドが完了し、nodejs Pod が Running 状態になるまで待機してから続行します。

17. デプロイメントが完了したら、以下のような形式のアプリケーションのルート URL をクリックします。

    https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/

    ブラウザーの新しいタブが開き、以下のようなメッセージが表示されます。

    Welcome to your Node.js application on OpenShift

18. オプション: アプリケーションを削除し、作成したリソースをクリーンアップします。

    1. Administrator パースペクティブで、Home → Projects に移動します。
    2. プロジェクトのアクションメニューをクリックし、Delete Project を選択します。

手順

1. github.com に移動し、GitHub アカウントにログインします。
2. GitHub 組織からユーザーを削除します。GitHub ドキュメントの 組織からのメンバーの削除 の手順に従います。

手順

1. クラスターを削除し、ログを監視します。<cluster_name> はクラスターの名前または ID に置き換えます。

   $ rosa delete cluster --cluster=<cluster_name> --watch

   重要

   IAM ロール、ポリシー、および OIDC プロバイダーを削除する前に、クラスターの削除が完了するのを待つ必要があります。インストーラーで作成されたリソースを削除するために、アカウント全体のロールが必要です。クラスター固有の Operator ロールは、OpenShift Operator によって作成されるリソースをクリーンアップするために必要です。Operator は、OIDC プロバイダーを利用して認証を行います。

2. クラスター Operator が認証に使用する OIDC プロバイダーを削除します。

   $ rosa delete oidc-provider -c <cluster_id> --mode auto 1

   1

   <cluster_id> をクラスターの ID に置き換えてください。

   注記

   -y オプションを使用すると、プロンプトに対して自動的にはいと答えることができます。

3. クラスター固有の Operator IAM ロールを削除します。

   $ rosa delete operator-roles -c <cluster_id> --mode auto 1

   1

   <cluster_id> をクラスターの ID に置き換えてください。

4. アカウント全体のロールを削除します。

   重要

   アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。

   $ rosa delete account-roles --prefix <prefix> --mode auto 1

   1

   その際、--<prefix> 引数を含める必要があります。<prefix> を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成したときにカスタム接頭辞を指定しなかった場合は、デフォルトの接頭辞である ManagedOpenShift を指定します。

5. STS を使用する ROSA デプロイメント用に作成したアカウント全体のインラインおよび Operator IAM ポリシーを削除します。

   1. AWS IAM コンソール にログインします。
   2. Access management → Policies に移動し、アカウント全体のポリシーのいずれかを選択します。
   3. ポリシーを選択した状態で、Actions → Delete をクリックし、削除ポリシーダイアログを開きます。
   4. ポリシー名を入力して削除の確認を行い、Delete を選択してポリシーを削除します。
   5. この手順を繰り返して、クラスターのアカウント全体のインラインおよび Operator ポリシーを削除します。

手順

1. クラスター管理者ユーザーを作成します。

   $ rosa create admin --cluster=<cluster_name> 1

   1

   <cluster_name> は、クラスター名に置き換えます。

   出力例

   W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
   I: Admin account has been added to cluster '<cluster_name>'.
   I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
   I: To login, run the following command:
   
      oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J
   
   I: It may take up to a minute for the account to become active.

   注記

   cluster-admin ユーザーがアクティブになるまで約 1 分かかる場合があります。

2. CLI でクラスターにログインします。

   1. 上記の手順の出力で提供されたコマンドを実行して、ログインします。

      $ oc login <api_url> --username cluster-admin --password <cluster_admin_password> 1

      1

      <api_url> および <cluster_admin_password> は、環境の API URL およびクラスター管理者のパスワードに置き換えます。

   2. ROSA クラスターに cluster-admin ユーザーとしてログインしているかどうかを確認します。

      $ oc whoami

      出力例

      cluster-admin

手順

1. クラスターのコンソール URL を取得します。

   $ rosa describe cluster -c <cluster_name> | grep Console 1

   1

   <cluster_name> は、クラスター名に置き換えます。

   出力例

   Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

2. 前述の手順の出力にあるコンソール URL に移動し、ログインします。

   • cluster-admin ユーザーを作成した場合は、指定した認証情報を使用してログインします。
   • クラスターにアイデンティティープロバイダーを設定している場合は、Log in with…​ ダイアログでアイデンティティープロバイダー名を選択し、プロバイダーによって提示される認可要求を完了します。

手順

1. OpenShift Cluster Manager の Clusters ページに移動します。
2. 表示するクラスターの横にあるオプションアイコン (⋮) をクリックします。
3. Open Console をクリックします。
4. クラスターコンソールが新しいブラウザーウィンドウで開きます。設定済みのアイデンティティープロバイダーの認証情報を使用して Red Hat アカウントにログインします。
5. Administrator パースペクティブで、Home → Projects → Create Project の順に選択します。
6. プロジェクトの名前を入力し、必要に応じて Display Name および Description を追加します。
7. Create をクリックしてプロジェクトを作成します。
8. Developer パースペクティブに切り替え、+Add を選択します。選択した Project が、作成したプロジェクトであることを確認します。
9. Developer Catalog ダイアログで、All services を選択します。
10. Developer Catalog ページで、メニューから Languages → JavaScript を選択します。

11. Node.js をクリックし、次に Create をクリックして、Create Source-to-Image application ページを開きます。

    注記

    場合によっては、Clear All Filters をクリックして Node.js オプションを表示する必要があります。

12. Git セクションで Try sample をクリックします。
13. Name フィールドに一意の名前を追加します。この値を使用して、関連付けられたリソースに名前を付けます。
14. Deployment と Create a route が選択されていることを確認します。
15. Create をクリックしてアプリケーションをデプロイします。Pod のデプロイには数分かかります。
16. オプション: nodejs アプリケーションを選択してそのサイドバーを確認して、Topology ペインで Pod のステータスを確認します。nodejs ビルドが完了し、nodejs Pod が Running 状態になるまで待機してから続行します。

17. デプロイメントが完了したら、以下のような形式のアプリケーションのルート URL をクリックします。

    https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/

    ブラウザーの新しいタブが開き、以下のようなメッセージが表示されます。

    Welcome to your Node.js application on OpenShift

18. オプション: アプリケーションを削除し、作成したリソースをクリーンアップします。

    1. Administrator パースペクティブで、Home → Projects に移動します。
    2. プロジェクトのアクションメニューをクリックし、Delete Project を選択します。

手順

1. クラスターを削除し、ログを監視します。<cluster_name> はクラスターの名前または ID に置き換えます。

   $ rosa delete cluster --cluster=<cluster_name> --watch

   重要

   IAM ロール、ポリシー、および OIDC プロバイダーを削除する前に、クラスターの削除が完了するのを待つ必要があります。インストーラーで作成されたリソースを削除するために、アカウント全体のロールが必要です。クラスター固有の Operator ロールは、OpenShift Operator によって作成されるリソースをクリーンアップするために必要です。Operator は、OIDC プロバイダーを利用して認証を行います。

2. クラスター Operator が認証に使用する OIDC プロバイダーを削除します。

   $ rosa delete oidc-provider -c <cluster_id> --mode auto 1

   1

   <cluster_id> をクラスターの ID に置き換えてください。

   注記

   -y オプションを使用すると、プロンプトに対して自動的にはいと答えることができます。

3. クラスター固有の Operator IAM ロールを削除します。

   $ rosa delete operator-roles -c <cluster_id> --mode auto 1

   1

   <cluster_id> をクラスターの ID に置き換えてください。

4. アカウント全体のロールを削除します。

   重要

   アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。

   $ rosa delete account-roles --prefix <prefix> --mode auto 1

   1

   その際、--<prefix> 引数を含める必要があります。<prefix> を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成したときにカスタム接頭辞を指定しなかった場合は、デフォルトの接頭辞である ManagedOpenShift を指定します。

5. STS を使用する ROSA デプロイメント用に作成したアカウント全体のインラインおよび Operator IAM ポリシーを削除します。

   1. AWS IAM コンソール にログインします。
   2. Access management → Policies に移動し、アカウント全体のポリシーのいずれかを選択します。
   3. ポリシーを選択した状態で、Actions → Delete をクリックし、削除ポリシーダイアログを開きます。
   4. ポリシー名を入力して削除の確認を行い、Delete を選択してポリシーを削除します。
   5. この手順を繰り返して、クラスターのアカウント全体のインラインおよび Operator ポリシーを削除します。

1. STS で ROSA の AWS の前提条件を完了します。STS で ROSA クラスターをデプロイするには、AWS アカウントが前提条件を満たしている必要があります。
2. 必要な AWS サービスクォータの確認クラスターのデプロイメントを準備するには、ROSA クラスターの実行に必要な AWS サービスクォータを確認します。
3. 環境を設定し、STS を使用して ROSA をインストールします。STS クラスターで ROSA を作成する前に、AWS アカウントで ROSA を有効にし、必要な CLI ツールをインストールして設定し、CLI ツールの設定を確認する必要があります。また、AWS Elastic Load Balancing (ELB) サービスロールが存在し、必要な AWS リソースクォータが利用可能であることを確認する必要があります。
4. STS をすばやく使用して ROSA クラスターを作成 するか、カスタマイズを使用してクラスターを作成 します。ROSA CLI (rosa) または Red Hat OpenShift Cluster Manager を使用して、STS でクラスターを作成します。デフォルトのオプションを使用してクラスターをすばやく作成するか、組織のニーズに合わせてカスタマイズを適用することができます。
5. クラスターにアクセスします。アイデンティティープロバイダーを設定し、必要に応じてクラスター管理者権限をアイデンティティープロバイダーユーザーに付与できます。cluster-admin ユーザーを設定して、新たにデプロイされたクラスターにすばやくアクセスすることもできます。
6. ユーザーの ROSA クラスターへのアクセスを取り消します。ROSA CLI または Web コンソールを使用して、STS クラスターが含まれる ROSA へのアクセス権をユーザーから取り消すことができます。
7. ROSA クラスターを削除します。ROSA CLI (rosa) を使用して、STS クラスターで ROSA を削除できます。クラスターの削除後に、AWS Identity and Access Management (IAM) コンソールを使用して STS リソースを削除できます。