4.7. 在受限网络中的 AWS 上安装集群

在 OpenShift Container Platform 版本 4.7 中,您可以通过在现有 Amazon Virtual Private Cloud(VPC)上创建安装发行内容的内部镜像在受限网络中的 Amazon Web Services(AWS)上安装集群。

4.7.1. 先决条件

  • 已为断开连接的安装 mirror 了 registry 的镜像 并获取您的 OpenShift Container Platform 版本的 imageContentSources 数据。

    重要

    由于安装介质位于堡垒主机上,因此请使用该计算机完成所有安装步骤。

  • AWS 中有一个现有的 VPC。当使用安装程序置备的基础架构安装到受限网络时,无法使用安装程序置备的 VPC。您必须使用用户置备的 VPC 来满足以下要求之一:

    • 包含镜像 registry。
    • 具有防火墙规则或对等连接来访问其他位置托管的镜像 registry。
  • 您可以参阅有关 OpenShift Container Platform 安装和更新流程的详细信息。
  • 已将 AWS 帐户配置为托管集群。

    重要

    如果您的计算机上存储有 AWS 配置集,则不要在使用多因素验证设备的同时使用您生成的临时会话令牌。在集群的整个生命周期中,集群会持续使用您的当前 AWS 凭证来创建 AWS 资源,因此您必须使用基于密钥的长期凭证。要生成适当的密钥,请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。

  • 您下载了 AWS CLI 并安装到您的计算机上。请参阅 AWS 文档中的使用捆绑安装程序(Linux、macOS 或 Unix)安装 AWS CLI
  • 如果使用防火墙并计划使用 Telemetry 服务,需要 将防火墙配置为允许集群需要访问的站点

    注意

    如果要配置代理,请务必还要查看此站点列表。

  • 如果不允许系统管理身份和访问管理(IAM),集群管理员可以手动创建和维护 IAM 凭证。手动模式也可以用于云 IAM API 无法访问的环境中。