Menu Close
Settings Close

Language and Page Formatting Options

规划您的环境

OpenShift Dedicated 4

Dedicated 4 规划概述

摘要

本文档为 OpenShift Dedicated 集群部署提供了规划注意事项。

第 1 章 AWS 上的客户云订阅

OpenShift Dedicated 提供了一个客户云订阅(CCS)模型,允许红帽在客户的现有 Amazon Web Service(AWS)帐户中部署和管理集群。

1.1. 了解 AWS 上的客户云订阅

要使用客户 Cloud Subscription(CCS)模型将 OpenShift Dedicated 部署到您的现有 Amazon Web Services(AWS)帐户中,红帽需要满足几个先决条件。

红帽建议使用 AWS 机构管理多个 AWS 帐户。由客户管理的 AWS 机构托管多个 AWS 帐户。机构中有一个 root 帐户,所有帐户都引用在帐户层次结构中。

建议使用 CCS 模型在 AWS 机构单元内托管 AWS 帐户的 OpenShift Dedicated 集群。一个服务控制策略(SCP)会被创建,并应用到管理 AWS 子帐户可访问的 AWS 组织单元。SCP 仅适用于 Organizational Unit 中所有 AWS 子帐户中的可用权限。也可以将 SCP 应用到单个 AWS 帐户。在客户的 AWS 机构中,所有其他帐户都以客户需求的方式进行管理。红帽网站可靠性工程师(SRE)对 AWS 机构中的 SCP 没有任何控制。

1.2. 客户要求

在 Amazon Web Services(AWS)上使用客户云订阅(CCS)模型的 OpenShift Dedicated 集群必须在部署前满足几个先决条件。

1.2.1. 帐户

  • 客户确保 AWS 限值 足以支持在用户提供的 AWS 帐户内置备的 OpenShift Dedicated。
  • 客户提供的 AWS 帐户应该在用户的 AWS 机构中应用适用的服务控制策略(SCP)。

    注意

    不要求客户提供的帐户在 AWS 机构内或应用 SCP,但红帽必须能够执行 SCP 中列出的所有操作,而不限制任何限制。

  • 红帽提供的 AWS 帐户不可转让给红帽。
  • 客户可能不会对红帽活动施加 AWS 使用量限制。致使限制严重地妨碍红帽响应事件的能力。
  • 红帽将监控部署到 AWS 中,以便在高特权帐户(如 root 帐户)时向红帽发出一个由客户提供的 AWS 帐户登录。
  • 客户可以在由客户提供的 AWS 帐户内部署原生 AWS 服务。

    注意

    我们鼓励用户,但不强制在 Virtual Private Cloud(VPC)中部署资源,这些资源与托管 OpenShift Dedicated 和其他红帽支持的服务的 VPC 分开。

1.2.2. 访问要求

  • 为了正确管理 OpenShift Dedicated 服务,红帽必须始终将 AdministratorAccess 策略应用到管理员角色。

    注意

    这个政策只向红帽提供在用户提供的 AWS 帐户中更改资源的权限和功能。

  • 红帽必须有对用户提供的 AWS 帐户的 AWS 控制台访问权限。这类访问权限由红帽进行保护和管理。
  • 客户不得利用 AWS 帐户来提升其在 OpenShift Dedicated 集群中的权限。
  • OpenShift Cluster Manager 中的操作不能直接在用户提供的 AWS 帐户中执行。

1.2.3. 支持要求

  • 红帽建议客户至少从 AWS 的商业支持。
  • 红帽有客户授权请求 AWS 支持。
  • 红帽有客户授权请求 AWS 资源限制以增加客户提供的帐户。
  • 红帽以相同的方式管理所有 OpenShift Dedicated 集群的限制、限制、期望和默认值,除非此要求部分中另有指定。

1.2.4. 安全要求

  • 客户提供的 IAM 凭证对于用户提供的 AWS 帐户必须是唯一的,且不得存储在用户提供的 AWS 帐户中的任何位置。
  • 卷快照将保留在客户提供的 AWS 帐户和客户指定的区域。
  • 红帽必须通过列出的红帽机器对 EC2 主机和 API 服务器进行入口访问。
  • 红帽必须有一个出口允许将系统和审计日志转发到红帽管理的中央日志记录堆栈。

1.3. 需要的客户步骤

客户 Cloud Subscription(CCS)模型允许红帽将 OpenShift Dedicated 部署到客户的 Amazon Web Services(AWS)帐户中。为了提供这些服务,红帽需要几个先决条件。

流程

  1. 如果客户使用 AWS 机构,则必须使用机构中的 AWS 帐户或 创建一个新的
  2. 为确保红帽可以执行必要的操作,您必须创建服务控制策略(SCP),或者确保没有应用到 AWS 帐户。
  3. 将 SCP 附加到 AWS 帐户。
  4. 在 AWS 帐户中,您必须创建一个 osdCcsAdmin IAM 用户,并满足以下要求:

    • 此用户至少需要启用 Programmatic 访问权限
    • 此用户必须附加 AdministratorAccess 策略。
  5. 为红帽提供 IAM 用户凭证。

1.4. 最低服务控制策略(SCP)

服务控制策略(SCP)管理是客户的责任。这些策略在 AWS 机构中维护,并控制附加的 AWS 帐户中可用的服务。

必需/可选服务Actions效果

必填

Amazon EC2

All

Allow

Amazon EC2 自动扩展

All

Allow

Amazon S3

All

Allow

身份和访问管理

All

Allow

Elastic 负载均衡

All

Allow

Elastic 负载均衡 V2

All

Allow

Amazon CloudWatch

All

Allow

Amazon CloudWatch Events

All

Allow

Amazon CloudWatch Logs

All

Allow

AWS 支持

All

Allow

AWS 密钥管理服务

All

Allow

AWS 安全令牌服务

All

Allow

AWS 资源标记

All

Allow

AWS Route53 DNS

All

Allow

AWS Service Quotas

ListServices

GetRequestedServiceQuotaChange

GetServiceQuota

RequestServiceQuotaIncrease

ListServiceQuotas

Allow

选填

AWS Billing

ViewAccount

Viewbilling

ViewUsage

Allow

AWS 成本和使用情况报告

All

Allow

AWS Cost Explorer Services

All

Allow

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "support:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "tag:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "route53:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:ListServices",
                "servicequotas:GetRequestedServiceQuotaChange",
                "servicequotas:GetServiceQuota",
                "servicequotas:RequestServiceQuotaIncrease",
                "servicequotas:ListServiceQuotas"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

1.5. Red Hat 管理的 AWS IAM 参考

红帽负责创建和管理以下 Amazon Web Services(AWS)资源:IAM 策略、IAM 用户和 IAM 角色。

1.5.1. IAM 策略

注意

IAM 策略可能会随着 OpenShift Dedicated 的功能进行修改。

  • admin 角色使用 AdministratorAccess 策略。这个策略提供了在用户提供的 AWS 帐户中管理 OpenShift Dedicated 集群所需的访问权限。

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "*",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  • CustomerAdministratorAccess 角色为用户提供了管理 AWS 帐户内服务子集的访问权限。目前,允许以下操作:

    • VPC Peering
    • VPN 设置
    • 直接连接(仅在通过服务控制策略授予时才可用)

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "ec2:AttachVpnGateway",
                      "ec2:DescribeVpnConnections",
                      "ec2:AcceptVpcPeeringConnection",
                      "ec2:DeleteVpcPeeringConnection",
                      "ec2:DescribeVpcPeeringConnections",
                      "ec2:CreateVpnConnectionRoute",
                      "ec2:RejectVpcPeeringConnection",
                      "ec2:DetachVpnGateway",
                      "ec2:DeleteVpnConnectionRoute",
                      "ec2:DeleteVpnGateway",
                      "ec2:DescribeVpcs",
                      "ec2:CreateVpnGateway",
                      "ec2:ModifyVpcPeeringConnectionOptions",
                      "ec2:DeleteVpnConnection",
                      "ec2:CreateVpcPeeringConnection",
                      "ec2:DescribeVpnGateways",
                      "ec2:CreateVpnConnection",
                      "ec2:DescribeRouteTables",
                      "ec2:CreateTags",
                      "ec2:CreateRoute",
                "directconnect:*"
                  ],
                  "Resource": "*"
              }
          ]
      }
  • 如果启用,Bill ingReadOnlyAccess 角色会提供只读访问来查看帐户的账单和使用情况信息。

    只有在 AWS 机构中的 root 帐户启用时,才会授予账单和用量访问权限。这是客户必须执行的可选步骤,才能启用只读账单和用量访问,且不会影响创建此配置集以及使用它的角色。如果没有启用此角色,用户将无法看到账单和用量信息。请参见本教程 ,了解如何启用对计费数据的访问

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "aws-portal:ViewAccount",
                    "aws-portal:ViewBilling"
                ],
                "Resource": "*"
            }
        ]
    }

1.5.2. IAM 用户

在控制用户提供的 AWS 帐户后,会立即创建 osdManagedAdmin 用户。这是用于执行 OpenShift Dedicated 集群安装的用户。

1.5.3. IAM 角色

  • network-mgmt 角色通过单独的 AWS 帐户提供客户对 AWS 帐户的管理访问权限。它还具有与只读角色相同的访问权限。以下策略附加到角色:

    • AmazonEC2ReadOnlyAccess
    • CustomerAdministratorAccess
  • 只读 角色通过单独的 AWS 帐户提供客户对 AWS 帐户的只读访问权限。以下策略附加到角色:

    • AWSAccountUsageReportAccess
    • AmazonEC2ReadOnlyAccess
    • AmazonS3ReadOnlyAccess
    • IAMReadOnlyAccess
    • BillingReadOnlyAccess

1.6. 置备的 AWS 基础架构

这是在部署的 OpenShift Dedicated 集群中置备的 Amazon Web Services(AWS)组件概述。有关所有置备的 AWS 组件的更多详细信息,请参阅 OpenShift Container Platform 文档

1.6.1. AWS Elastic Computing(EC2)实例

在 AWS 公共云中部署 OpenShift Dedicated 的 control plane 和 data plane 功能需要 AWS EC2 实例。根据 worker 节点数,实例类型可能会因 control plane 和基础架构节点而异。

  • 单一可用区

    • 最少 3 m5.2xlarge(control plane 节点)
    • 最少 2 r5.xlarge(基础架构节点)
    • 最低 2 m5.xlarge,但高度变量(worker 节点)
  • 多个可用区

    • 最少 3 m5.2xlarge(control plane 节点)
    • 最少 3 r5.xlarge(基础架构节点)
    • 3 m5.xlarge 最小值,但高度变量(worker 节点)

1.6.2. AWS Elastic Block Store(EBS)存储

Amazon EBS 块存储用于本地节点存储和持久性卷存储。

每个 EC2 实例的卷要求:

  • control plane 卷

    • 大小: 350 GB
    • 类型:io1
    • 每秒输入/输出操作数: 1000
  • 基础架构卷

    • 大小:300 GB
    • type: gp2
    • 每秒输入/输出操作:900
  • worker 卷

    • 大小:300 GB
    • type: gp2
    • 每秒输入/输出操作:900

1.6.3. Elastic 负载均衡器

API 最多两个网络弹性负载平衡器(ELB),以及两个经典 ELB 用于应用程序路由器。如需更多信息,请参阅 AWS 的 ELB 文档

1.6.4. S3 存储

AWS S3 存储支持镜像 registry 和 Elastic Block Store(EBS)卷快照。修剪资源会定期执行,以优化 S3 使用和集群性能。

注意

需要两个存储桶,每个大小为 2 TB。

1.6.5. VPC

客户应该可以看到每个集群有一个 VPC。另外,VPC 需要以下配置:

  • 子网 :一个带有单一可用区的集群两个子网,或带有多个可用区的集群有 6 个子网。
  • 路由器表 :每个专用子网一个路由器表,每个集群一个额外的表。
  • 互联网网关 :每个集群一个互联网网关。
  • NAT 网关 :每个公共子网的 NAT 网关。

1.6.5.1. VPC 架构示例

VPC 参考架构

1.6.6. 安全组

AWS 安全组在协议和端口访问级别上提供安全性,它们与 EC2 实例和 Elastic Load Balancing 关联。每个安全组包含一组规则,过滤进出 EC2 实例的流量。您必须确保在网络上打开 OpenShift Container Platform 安装 所需的端口,并配置为允许主机间的访问。

1.7. AWS 帐户限值

OpenShift Dedicated 集群使用诸多 Amazon Web Services(AWS)组件,默认的 服务限制 会影响您安装 OpenShift Dedicated 集群的能力。如果您使用特定的集群配置,在某些 AWS 区域部署集群,或者从您的帐户运行多个集群,您可能需要为 AWS 帐户请求其他资源。

下表总结了 AWS 组件,它们的限值可能会影响您安装和运行 OpenShift Dedicated 集群的能力。

组件默认可用的集群数默认 AWS 限值描述

实例限值

可变

可变

至少,每个集群会创建以下实例:

  • 一台 Bootstrap 机器,在安装后删除
  • 三个 control plane 节点
  • 单个可用区的两个基础架构节点:用于多可用区的三个 infrascture 节点
  • 单个可用区的两个 worker 节点,用于多可用区的三个 worker 节点

这些实例类型数量在新帐户的默认限值之内。要部署更多 worker 节点、部署大型工作负载或使用不同的实例类型,请检查您的帐户限制,以确保集群可以部署您需要的机器。

在大多数区域中,bootstrap 和 worker 机器使用 m4.large 机器,control plane 机器使用 m4.xlarge 实例。在一些区域,包括所有不支持这些实例类型的区域,则使用 m5.largem5.xlarge 实例。

弹性 IP (EIP)

0 到 1

每个帐户 5 个 EIP

要在高可用性配置中置备集群,安装程序将为区域中的每个可用区创建一个公共和专用子网。每个专用子网都需要 NAT 网关,每个 NAT 网关需要单独的弹性 IP。查看 AWS 区域图来确定每个区域有多少个可用区。要利用默认高可用性,请在至少含有三个可用区的区域安装集群。要在有超过五个可用区的区域安装集群,您必须提高 EIP 限值。

重要

要使用 us-east-1 区域,必须提高您帐户的 EIP 限值。

虚拟私有云 (VPC)

5

每个区域 5 个 VPC

每个集群创建自己的 VPC。

弹性负载均衡 (ELB/NLB)

3

每个区域 20 个

默认情况下,每个集群为主 API 服务器创建内部和外部网络负载均衡器,并为路由器创建一个典型的弹性负载均衡器。部署更多 Kubernetes LoadBalancer Service 对象将生成额外的负载均衡器

NAT 网关

5

每个可用区 5 个

集群在每个可用区中部署一个 NAT 网关。

弹性网络接口 (ENI)

至少 12 个

每个区域 350 个

默认安装创建 21 个 ENI,并为区域中的每个可用区创建一个 ENI。例如,us-east-1 区域包含六个可用区,因此在该区部署的集群将使用 27 个 ENI。查看 AWS 区域图来确定每个区域有多少个可用区。

针对根据集群使用情况和部署的工作负载创建的额外机器和弹性负载均衡器,为其创建额外的 ENI。

VPC 网关

20

每个帐户 20 个

每个集群创建一个 VPC 网关来访问 S3。

S3 存储桶

99

每个帐户有 100 个存储桶

因为安装过程会创建一个临时存储桶,并且每个集群中的 registry 组件会创建一个存储桶,所以您只能为每个 AWS 帐户创建 99 个 OpenShift Dedicated 集群。

安全组

250

每个帐户 2,500 个

每个集群创建 10 个不同的安全组。

第 2 章 GCP 上的客户云订阅

红帽建议使用由客户管理的 Google Cloud Platform(GCP)项目来组织所有 GCP 资源。项目由一组用户和 API 组成,以及这些 API 的账单、身份验证和监控设置。

OpenShift Dedicated CCS 集群的最佳实践是托管在 GCP 组织的 GCP 项目中。Organization 资源是 GCP 资源层次结构的根节点,属于某个机构的所有资源都分组到机构节点下。创建某些角色并应用到 GCP 项目的 IAM 服务帐户。对 API 发出调用时,通常会提供服务帐户密钥来进行身份验证。每个服务帐户归一个特定项目所有,但服务帐户可以提供访问其他项目资源的角色。

2.1. 了解 GCP 上的客户云订阅

Red Hat OpenShift Dedicated 提供了一个客户 Cloud Subscription(CCS)模型,允许红帽在客户的现有 Google Cloud Platform(GCP)帐户中部署和管理 OpenShift Dedicated。为了提供此服务,红帽需要满足几个先决条件。

红帽建议使用由客户管理的 GCP 项目来组织所有 GCP 资源。项目由一组用户和 API 组成,以及这些 API 的账单、身份验证和监控设置。

建议使用 CCS 模型在 GCP 组织的 GCP 项目中托管 OpenShift Dedicated 集群。Organization 资源是 GCP 资源层次结构的根节点,属于某个机构的所有资源都分组到机构节点下。创建某些角色并应用到 GCP 项目的 IAM 服务帐户。对 API 发出调用时,通常会提供服务帐户密钥来进行身份验证。每个服务帐户归一个特定项目所有,但服务帐户可以提供访问其他项目资源的角色。

2.2. 客户要求

在 Google Cloud Platform(GCP)上使用客户云订阅(CCS)模型的 OpenShift Dedicated 集群必须在部署前满足几个先决条件。

2.2.1. 帐户

  • 客户确保 Google Cloud 限值 足以支持在用户提供的 GCP 帐户中置备的 OpenShift Dedicated。
  • 客户提供的 GCP 帐户应在用户的 Google Cloud 机构中应用有适用的服务帐户。
  • 红帽提供的 GCP 帐户不能转让给红帽。
  • 客户可能不会对红帽活动实施 GCP 使用限制。致使限制严重地妨碍红帽响应事件的能力。
  • 红帽将监控部署到 GCP 中,以便在高特权帐户(如 root 帐户)时向红帽发出警报,登录客户提供的 GCP 帐户。
  • 客户可以在相同的客户提供的 GCP 帐户内部署原生 GCP 服务。

    注意

    我们鼓励用户,但不强制在 Virtual Private Cloud(VPC)中部署资源,这些资源与托管 OpenShift Dedicated 和其他红帽支持的服务的 VPC 分开。

2.2.2. 访问要求

  • 为了正确管理 OpenShift Dedicated 服务,红帽必须始终将 AdministratorAccess 策略应用到管理员角色。

    注意

    这个政策只为红帽提供权限和功能来更改用户提供的 GCP 账户中的资源。

  • 红帽必须有 GCP 控制台对客户提供的 GCP 帐户的访问权限。这类访问权限由红帽进行保护和管理。
  • 客户不得利用 GCP 帐户在 OpenShift Dedicated 集群中提升其权限。
  • OpenShift Cluster Manager 中的操作不能直接在用户提供的 GCP 帐户中执行。

2.2.3. 支持要求

  • 红帽建议客户从 GCP 至少有 产品支持
  • 红帽有客户授权请求 GCP 支持。
  • 红帽有客户授权请求 GCP 资源限制(在用户提供的帐户上增加)。
  • 红帽以相同的方式管理所有 OpenShift Dedicated 集群的限制、限制、期望和默认值,除非此要求部分中另有指定。

2.2.4. 安全要求

  • 用户提供的 IAM 凭证对于用户提供的 GCP 帐户必须是唯一的,且不得存储在用户提供的 GCP 帐户中的任何位置。
  • 卷快照将保留在客户提供的 GCP 帐户和客户指定的区域。
  • 红帽必须通过列出的红帽机器对 API 服务器进行入口访问。
  • 红帽必须有一个出口允许将系统和审计日志转发到红帽管理的中央日志记录堆栈。

2.3. 需要的客户步骤

客户 Cloud Subscription(CCS)模型允许红帽将 OpenShift Dedicated 部署到客户的 Google Cloud Platform(GCP)项目中。红帽需要几项前提条件来提供这些服务。

警告

要在 GCP 项目中使用 OpenShift Dedicated,无法实现以下 GCP 机构策略约束:

  • constraints/iam.allowedPolicyMemberDomains
  • constraints/storage.uniformBucketLevelAccess
  • constraints/compute.restrictLoadBalancerCreationForTypes
  • constraints/compute.vmExternalIpAccess (这个策略约束只在安装过程中不被支持。您可在安装后重新启用策略约束。

流程

  1. 创建 Google Cloud 项目 以托管 OpenShift Dedicated 集群。

    注意

    项目名称必须为 10 个字符或更少。

  2. 在托管 OpenShift Dedicated 集群的项目中 启用 以下所需的 API:

    表 2.1. 所需的 API 服务

    API 服务控制台服务名称

    Cloud Deployment Manager V2 API

    deploymentmanager.googleapis.com

    Compute Engine API

    compute.googleapis.com

    Google Cloud API

    cloudapis.googleapis.com

    Cloud Resource Manager API

    cloudresourcemanager.googleapis.com

    Google DNS API

    dns.googleapis.com

    网络安全 API

    networksecurity.googleapis.com

    IAM Service Account Credentials API

    iamcredentials.googleapis.com

    Identity and Access Management(IAM)API

    iam.googleapis.com

    服务管理 API

    servicemanagement.googleapis.com

    Service Usage API

    serviceusage.googleapis.com

    Google Cloud Storage JSON API

    storage-api.googleapis.com

    Cloud Storage

    storage-component.googleapis.com

  3. 为确保红帽可以执行必要的操作,您必须在 GCP 项目中创建 osd-ccs-admin IAM 服务帐户 用户。

    必须将以下 角色授予服务帐户

    表 2.2. 所需的角色

    角色控制台角色名称

    Compute Admin

    roles/compute.admin

    DNS 管理员

    roles/dns.admin

    机构策略查看器

    roles/orgpolicy.policyViewer

    所有者

    roles/owner

    项目 IAM 管理员

    roles/resourcemanager.projectIamAdmin

    Service Management Administrator

    roles/servicemanagement.admin

    Service Usage Admin

    roles/serviceusage.serviceUsageAdmin

    Storage Admin

    roles/storage.admin

  4. osd-ccs-admin IAM 服务帐户创建服务帐户密钥。将密钥导出到名为 osServiceAccount.json 的文件;在创建集群时,此 JSON 文件将上传到 Red Hat OpenShift Cluster Manager 中。

2.4. 红帽管理的 Google Cloud 资源

红帽负责创建和管理以下 IAM Google Cloud Platform(GCP)资源。

2.4.1. IAM 服务帐户和角色

在控制客户提供的 GCP 帐户后,会立即创建 osd-managed-admin IAM 服务帐户。这是用于执行 OpenShift Dedicated 集群安装的用户。

以下角色附加到服务帐户:

表 2.3. osd-managed-admin 的 IAM 角色

角色控制台角色名称描述

Compute Admin

roles/compute.admin

提供对所有 Compute Engine 资源的完整控制。

DNS Administrator

roles/dns.admin

提供对所有云 DNS 资源的读写访问。

Security Admin

roles/iam.securityAdmin

安全 admin 角色,以及获取和设置任何 IAM 策略的权限。

Storage Admin

roles/storage.admin

授予对象和 bucket 的完整控制。

当应用到单独的 存储桶 时,控制只适用于存储桶中的指定存储桶和对象。

Service Account Admin

roles/iam.serviceAccountAdmin

创建和管理服务帐户。

Service Account Key Admin

roles/iam.serviceAccountKeyAdmin

创建和管理(及轮转)服务帐户密钥。

Service Account User

roles/iam.serviceAccountUser

作为服务帐户运行操作。

2.4.2. IAM 组和角色

sd-sre-platform-gcp-access Google 组被授予对 GCP 项目的访问权限,以允许红帽站点可靠性工程(SRE)访问控制台以便进行紧急故障排除。

以下角色附加到组:

表 2.4. sd-sre-platform-gcp-access 的 IAM 角色

角色控制台角色名称描述

Compute Admin

roles/compute.admin

提供对所有 Compute Engine 资源的完整控制。

Editor

roles/editor

提供所有查看器权限,以及修改状态的操作权限。

机构策略查看器

roles/orgpolicy.policyViewer

提供对资源上组织策略的访问。

项目 IAM 管理员

roles/resourcemanager.projectIamAdmin

提供管理项目 IAM 策略的权限。

配额管理员

roles/servicemanagement.quotaAdmin

提供对管理服务配额的访问。

角色管理员

roles/iam.roleAdmin

提供对项目中所有自定义角色的访问权限。

Service Account Admin

roles/iam.serviceAccountAdmin

创建和管理服务帐户。

Service Usage Admin

roles/serviceusage.serviceUsageAdmin

能够启用、禁用和检查服务状态,检查操作,以及消耗消费者项目的配额和计费。

技术支持编辑器

roles/cloudsupport.techSupportEditor

提供对技术支持问题单的完全读写访问。

2.5. GCP 帐户限值

OpenShift Dedicated 集群使用诸多 Google Cloud Platform(GCP)组件,但 默认配额 不会影响您安装 OpenShift Dedicated 集群的能力。

标准 OpenShift Dedicated 集群使用以下资源。请注意,有些资源只在 bootstrap 过程中需要,并在集群部署后删除。

表 2.5. 默认集群中使用的 GCP 资源

service组件位置所需的资源总数bootstrap 后删除的资源

服务帐户

IAM

全局

5

0

防火墙规则

Compute

全局

11

1

转发规则

Compute

全局

2

0

使用的全局 IP 地址

Compute

全局

4

1

健康检查

Compute

全局

3

0

镜像

Compute

全局

1

0

网络

Compute

全局

2

0

静态 IP 地址

Compute

区域

4

1

路由器

Compute

全局

1

0

Routes

Compute

全局

2

0

子网

Compute

全局

2

0

目标池

Compute

全局

3

0

CPU

Compute

区域

28

4

持久性磁盘 SSD (GB)

Compute

区域

896

128

注意

如果在安装过程中任何配额不足,安装程序会显示一个错误信息,包括超过哪个配额,以及显示区域。

请考虑您的集群的实际大小、预定的集群增长以及来自与您的帐户关联的其它集群的使用情况。CPU 、静态 IP 地址和持久性磁盘 SSD (Storage) 配额是最可能不足的。

如果您计划在以下区域之一部署集群,您将超过最大存储配额,并可能会超过 CPU 配额限制:

  • asia-east2
  • asia-northeast2
  • asia-south1
  • domain-southeast1
  • europe-north1
  • europe-west2
  • europe-west3
  • europe-west6
  • northamerica-northeast1
  • southamerica-east1
  • us-west2

您可以从 GCP 控制台 增加资源配额,但可能需要提交一个支持问题单。务必提前规划集群大小,以便在安装 OpenShift Dedicated 集群前有足够的时间来等待支持问题单被处理。