3.3. 所需的客户流程
客户云订阅 (CCS) 模型允许红帽在客户的 a customer’s Google Cloud Platform (GCP) 项目中部署和管理 OpenShift Dedicated。红帽需要几个先决条件来提供这些服务。
要在 GCP 项目中使用 OpenShift Dedicated,无法放置以下 GCP 组织策略限制:
-
constraints/iam.allowedPolicyMemberDomains(这个策略约束的支持只限于红帽的DIRECTORY_CUSTOMER_ID C02k0l5e8包括在允许列表中的情况。请谨慎使用此策略约束)。 -
constraints/compute.restrictLoadBalancerCreationForTypes -
constraints/compute.requireShieldedVm(只有集群安装了在初始集群创建过程中选择的 "Enable Secure Boot support for Shielded VM" 时,才支持此策略约束。 -
constraints/compute.vmExternalIpAccess(此策略约束在安装后才被支持)。
流程
创建 Google Cloud 项目来托管 OpenShift Dedicated 集群。
注意项目名称必须是 10 个字符或更少。
在托管 OpenShift Dedicated 集群的项目中启用以下所需的 API:
表 3.1. 所需的 API 服务
API 服务 控制台服务名称 deploymentmanager.googleapis.comcompute.googleapis.comcloudapis.googleapis.comcloudresourcemanager.googleapis.comdns.googleapis.comnetworksecurity.googleapis.comiamcredentials.googleapis.comiam.googleapis.comservicemanagement.googleapis.comserviceusage.googleapis.comstorage-api.googleapis.comstorage-component.googleapis.comorgpolicy.googleapis.com为确保红帽可以执行必要的操作,您必须在 GCP 项目中创建
osd-ccs-adminIAM 服务帐户 用户。以下角色必须授予服务帐户 :
表 3.2. 所需角色
角色 控制台角色名称 Compute Admin
roles/compute.adminDNS Administrator
roles/dns.admin机构策略查看器
roles/orgpolicy.policyViewer服务管理管理员
roles/servicemanagement.adminService Usage Admin
roles/serviceusage.serviceUsageAdminStorage Admin
roles/storage.adminCompute Load Balancer Admin
roles/compute.loadBalancerAdmin角色查看器
roles/viewerRole Administrator
roles/iam.roleAdminSecurity Admin
roles/iam.securityAdminService Account Key Admin
roles/iam.serviceAccountKeyAdminService Account Admin
roles/iam.serviceAccountAdminService Account User
roles/iam.serviceAccountUser-
为
osd-ccs-adminIAM 服务帐户创建服务帐户密钥。将密钥导出到名为osServiceAccount.json的文件;创建集群时,此 JSON 文件将在 Red Hat OpenShift Cluster Manager 中上传。
