第2章 カスタマイズを使用して STS を使用する ROSA クラスターの作成

重要

Red Hat OpenShift Service on AWS ROSA 4.12 クラスターの作成に時間がかかるか、失敗する場合があります。ROSA のデフォルトバージョンは 4.11 に設定されています。つまり、デフォルト設定を使用してアカウントロールまたは ROSA クラスターを作成すると、4.11 リソースのみが作成されます。4.12 からのアカウントロールは下位互換性があります。これは、account-role ポリシーバージョンの場合です。--version フラグを使用して 4.12 リソースを作成できます。

詳細については、ROSA 4.12 クラスター作成失敗の解決策 を参照してください。

カスタマイズを使用して、AWS Security Token Service (STS) で Red Hat OpenShift Service on AWS (ROSA) クラスターを作成します。Red Hat OpenShift Cluster Manager または ROSA CLI (rosa) を使用して、クラスターをデプロイすることができます。

このドキュメントの手順では、必要な AWS Identity and Access Management (IAM) リソースを作成するときに、auto モードと manual モードのどちらかを選択することもできます。

2.1. 自動デプロイメントモードと手動デプロイメントモードを理解する

AWS Security Token Service (STS) を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターをインストールする場合、auto または manual モードを選択して、必要な AWS Identity and Access Management (IAM) リソースを作成できます。

auto モード
このモードでは、ROSA CLI (rosa) は必要な IAM ロールとポリシー、および AWS アカウントに OpenID Connect (OIDC) プロバイダーをすぐに作成します。
手動 モード
このモードでは、rosa は IAM リソースの作成に必要な aws コマンドを出力します。対応するポリシーの JSON ファイルも現在のディレクトリーに保存されます。manual モードを使用すると、生成された aws コマンドを手動で実行する前に確認できます。manual モードでは、コマンドを組織内の別の管理者またはグループに渡して、リソースを作成することもできます。
重要

manual モードを使用することを選択した場合、クラスターのインストールは、クラスター固有のオペレーターのロールと OIDC プロバイダーを手動で作成するまで待機します。リソースを作成した後、インストールが続行されます。詳細は、OpenShift Cluster Manager を使用した Operator ロールと OIDC プロバイダーの作成を参照してください。

STS で ROSA をインストールするために必要な AWS IAM リソースの詳細は、STS を使用するクラスターの IAM リソースについてを参照してください。

2.1.1. OpenShift Cluster Manager を使用した Operator ロールと OIDC プロバイダーの作成

Red Hat OpenShift Cluster Manager を使用してクラスターをインストールし、manual モードを使用して必要な AWS IAM Operator ロールと OIDC プロバイダーを作成することを選択した場合、リソースをインストールするために以下のいずれかの方法を選択するように求められます。組織のニーズに合ったリソース作成方法を選択できるようにするためのオプションが用意されています。

AWS CLI (aws)
この方法では、IAM リソースの作成に必要な aws コマンドとポリシーファイルを含むアーカイブファイルをダウンロードして展開できます。ポリシーファイルを含むディレクトリーから提供された CLI コマンドを実行して、Operator ロールと OIDC プロバイダーを作成します。
Red Hat OpenShift Service on AWS (ROSA) CLI である rosa
このメソッドによって提供されるコマンドを実行して、rosa を使用してクラスターのオペレーターロールと OIDC プロバイダーを作成できます。

auto モードを使用する場合、OpenShift Cluster Manager は、OpenShift Cluster Manager IAM ロールを通じて提供されるパーミッションを使用して、Operator ロールと OIDC プロバイダーを自動的に作成します。この機能を使用するには、ロールに管理者権限を適用する必要があります。