OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

配置 AWS 账户

配置Route 53

要安装OpenShift Container Platform,您使用的Amazon Web Services (AWS)账户必须在您的Route 53服务中拥有一个专用的公共托管区域。此区域必须是该域的权威机构。Route 53服务为与集群的外部连接提供集群DNS解析和名称查找。

步骤

  1. 确定您的域名或子域名和注册商。您可以转移现有的域名和注册商,也可以通过AWS或其他来源获取新的域名和注册商。

    如果您通过AWS购买新的域名,则相关的DNS更改需要一些时间才能传播。有关通过AWS购买域名的更多信息,请参阅AWS文档中的使用Amazon Route 53注册域名

  2. 如果您使用的是现有的域名和注册商,请将其DNS迁移到AWS。请参阅AWS文档中的使Amazon Route 53成为现有域的DNS服务

  3. 为您的域名或子域名创建一个公共托管区域。请参阅AWS文档中的创建公共托管区域

    使用合适的根域名,例如`openshiftcorp.com`,或子域名,例如`clusters.openshiftcorp.com`。

  4. 从托管区域记录中提取新的权威名称服务器。请参阅AWS文档中的获取公共托管区域的名称服务器

  5. 更新您的域名使用的AWS Route 53名称服务器的注册商记录。例如,如果您在其他帐户中将域名注册到Route 53服务,请参阅AWS文档中的以下主题:添加或更改名称服务器或Glue记录

  6. 如果您使用的是子域名,请将其委派记录添加到父域。这将使Amazon Route 53负责子域名。请遵循父域的DNS提供商概述的委派程序。有关示例高级程序,请参阅AWS文档中的创建使用Amazon Route 53作为DNS服务的子域,无需迁移父域

AWS Route 53的Ingress Operator端点配置

如果您在Amazon Web Services (AWS) GovCloud (美国)美国西部或美国东部区域安装,则Ingress Operator将使用`us-gov-west-1`区域用于Route53和标记API客户端。

如果配置的标记自定义端点包含字符串“us-gov-east-1”,则Ingress Operator将使用https://tagging.us-gov-west-1.amazonaws.com作为标记API端点。

有关AWS GovCloud (美国)端点的更多信息,请参阅AWS关于GovCloud (美国)文档中的服务端点

在`us-gov-east-1`区域安装时,不支持AWS GovCloud的私有、断开连接的安装。
Route 53配置示例
platform:
  aws:
    region: us-gov-west-1
    serviceEndpoints:
    - name: ec2
      url: https://ec2.us-gov-west-1.amazonaws.com
    - name: elasticloadbalancing
      url: https://elasticloadbalancing.us-gov-west-1.amazonaws.com
    - name: route53
      url: https://route53.us-gov.amazonaws.com (1)
    - name: tagging
      url: https://tagging.us-gov-west-1.amazonaws.com (2)
1 对于AWS GovCloud (美国)的两个区域,Route 53默认为https://route53.us-gov.amazonaws.com
2 只有美国西部区域才有标记端点。如果您的集群位于其他区域,请省略此参数。

AWS账户限制

OpenShift Container Platform集群使用许多Amazon Web Services (AWS)组件,并且默认的服务限制会影响您安装OpenShift Container Platform集群的能力。如果您使用某些集群配置,在某些AWS区域部署集群,或从您的帐户运行多个集群,则可能需要为您的AWS帐户请求更多资源。

下表总结了其限制可能会影响您安装和运行OpenShift Container Platform集群能力的AWS组件。

组件 默认可用集群数量 AWS 默认限制 描述

实例限制

变化

变化

默认情况下,每个集群创建以下实例:

  • 一台引导机器,安装完成后将被移除。

  • 三个控制平面节点。

  • 三个工作节点。

这些实例类型的数量在新建账户的默认限制范围内。要部署更多工作节点、启用自动缩放、部署大型工作负载或使用不同类型的实例,请查看您的账户限制,以确保您的集群可以部署您需要的机器。

在大多数区域,工作机器使用m6i.large实例,引导和控制平面机器使用m6i.xlarge实例。在某些区域(包括所有不支持这些实例类型的区域),将改用m5.largem5.xlarge实例。

弹性IP (EIP)

0 到 1

每个账户 5 个 EIP

为了在一个高可用性配置中配置集群,安装程序会为每个区域内的可用区创建一个公共子网和私有子网。每个私有子网都需要一个NAT 网关,而每个 NAT 网关都需要一个单独的弹性IP。查看AWS 区域地图以确定每个区域有多少个可用区。为了利用默认的高可用性,请在至少具有三个可用区的区域中安装集群。要在具有五个以上可用区的区域中安装集群,必须增加 EIP 限制。

要使用us-east-1区域,必须增加您的账户的 EIP 限制。

虚拟私有云 (VPC)

5

每个区域 5 个 VPC

每个集群都会创建它自己的 VPC。

弹性负载均衡 (ELB/NLB)

3

每个区域 20 个

默认情况下,每个集群都会为主 API 服务器创建内部和外部网络负载均衡器,并为路由器创建一个经典负载均衡器。部署更多类型为LoadBalancer的 Kubernetes Service 对象将创建额外的负载均衡器

NAT 网关

5

每个可用区 5 个

集群在每个可用区部署一个 NAT 网关。

弹性网络接口 (ENI)

至少 12 个

每个区域 350 个

默认安装会创建 21 个 ENI,以及您所在区域每个可用区的一个 ENI。例如,us-east-1区域包含六个可用区,因此在此区域部署的集群将使用 27 个 ENI。查看AWS 区域地图以确定每个区域有多少个可用区。

集群使用和部署的工作负载会为额外的机器和 ELB 负载均衡器创建额外的 ENI。

VPC 网关

20

每个账户 20 个

每个集群都会为 S3 访问创建一个 VPC 网关。

S3 存储桶

99

每个账户 100 个存储桶

由于安装过程会创建一个临时存储桶,并且每个集群中的注册表组件都会创建一个存储桶,因此每个 AWS 账户只能创建 99 个 OpenShift Container Platform 集群。

安全组

250

每个账户 2,500 个

每个集群创建 10 个不同的安全组。

IAM 用户所需的 AWS 权限

您的 IAM 用户必须在us-east-1区域具有tag:GetResources权限才能删除基础集群资源。作为 AWS API 要求的一部分,OpenShift Container Platform 安装程序会在该区域执行各种操作。

当您将AdministratorAccess策略附加到您在 Amazon Web Services (AWS) 中创建的 IAM 用户时,您会授予该用户所有必需的权限。要部署 OpenShift Container Platform 集群的所有组件,IAM 用户需要以下权限:

安装所需的 EC2 权限

  • ec2:AttachNetworkInterface

  • ec2:AuthorizeSecurityGroupEgress

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CopyImage

  • ec2:CreateNetworkInterface

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:CreateVolume

  • ec2:DeleteSecurityGroup

  • ec2:DeleteSnapshot

  • ec2:DeleteTags

  • ec2:DeregisterImage

  • ec2:DescribeAccountAttributes

  • ec2:DescribeAddresses

  • ec2:DescribeAvailabilityZones

  • ec2:DescribeDhcpOptions

  • ec2:DescribeImages

  • ec2:DescribeInstanceAttribute

  • ec2:DescribeInstanceCreditSpecifications

  • ec2:DescribeInstances

  • ec2:DescribeInstanceTypes

  • ec2:DescribeInternetGateways

  • ec2:DescribeKeyPairs

  • ec2:DescribeNatGateways

  • ec2:DescribeNetworkAcls

  • ec2:DescribeNetworkInterfaces

  • ec2:DescribePrefixLists

  • ec2:DescribePublicIpv4Pools(仅当install-config.yaml中指定publicIpv4Pool时才需要)

  • ec2:DescribeRegions

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroupRules

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • ec2:DescribeTags

  • ec2:DescribeVolumes

  • ec2:DescribeVpcAttribute

  • ec2:DescribeVpcClassicLink

  • ec2:DescribeVpcClassicLinkDnsSupport

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

  • ec2:DisassociateAddress(仅当install-config.yaml中指定publicIpv4Pool时才需要)

  • ec2:GetEbsDefaultKmsKeyId

  • ec2:ModifyInstanceAttribute

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:RevokeSecurityGroupEgress

  • ec2:RevokeSecurityGroupIngress

  • ec2:RunInstances

  • ec2:TerminateInstances

安装期间创建网络资源所需的权限

  • ec2:AllocateAddress

  • ec2:AssociateAddress

  • ec2:AssociateDhcpOptions

  • ec2:AssociateRouteTable

  • ec2:AttachInternetGateway

  • ec2:CreateDhcpOptions

  • ec2:CreateInternetGateway

  • ec2:CreateNatGateway

  • ec2:CreateRoute

  • ec2:CreateRouteTable

  • ec2:CreateSubnet

  • ec2:CreateVpc

  • ec2:CreateVpcEndpoint

  • ec2:ModifySubnetAttribute

  • ec2:ModifyVpcAttribute

如果您使用现有的虚拟私有云 (VPC),则您的账户不需要这些创建网络资源的权限。
安装所需的弹性负载均衡 (ELB) 权限

  • elasticloadbalancing:AddTags

  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer

  • elasticloadbalancing:AttachLoadBalancerToSubnets

  • elasticloadbalancing:ConfigureHealthCheck

  • elasticloadbalancing:CreateListener

  • elasticloadbalancing:CreateLoadBalancer

  • elasticloadbalancing:CreateLoadBalancerListeners

  • elasticloadbalancing:CreateTargetGroup

  • elasticloadbalancing:DeleteLoadBalancer

  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer

  • elasticloadbalancing:DeregisterTargets

  • elasticloadbalancing:DescribeInstanceHealth

  • elasticloadbalancing:DescribeListeners

  • elasticloadbalancing:DescribeLoadBalancerAttributes

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeTags

  • elasticloadbalancing:DescribeTargetGroupAttributes

  • elasticloadbalancing:DescribeTargetHealth

  • elasticloadbalancing:ModifyLoadBalancerAttributes

  • elasticloadbalancing:ModifyTargetGroup

  • elasticloadbalancing:ModifyTargetGroupAttributes

  • elasticloadbalancing:RegisterInstancesWithLoadBalancer

  • elasticloadbalancing:RegisterTargets

  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener

  • elasticloadbalancing:SetSecurityGroups

OpenShift Container Platform 使用 ELB 和 ELBv2 两种 API 服务来配置负载均衡器。权限列表显示了这两种服务所需的权限。AWS Web 控制台中存在一个已知问题,即两种服务都使用相同的elasticloadbalancing操作前缀,但并不识别相同的操作。您可以忽略关于服务不识别某些elasticloadbalancing操作的警告。
安装所需的 IAM 权限

  • iam:AddRoleToInstanceProfile

  • iam:CreateInstanceProfile

  • iam:CreateRole

  • iam:DeleteInstanceProfile

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:GetInstanceProfile

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:GetUser

  • iam:ListInstanceProfilesForRole

  • iam:ListRoles

  • iam:ListUsers

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:RemoveRoleFromInstanceProfile

  • iam:SimulatePrincipalPolicy

  • iam:TagInstanceProfile

  • iam:TagRole

  • 如果您在install-config.yaml文件中指定了现有的 IAM 角色,则不需要以下 IAM 权限:iam:CreateRoleiam:DeleteRoleiam:DeleteRolePolicyiam:PutRolePolicy

  • 如果您尚未在 AWS 账户中创建负载均衡器,则 IAM 用户还需要iam:CreateServiceLinkedRole权限。
安装所需的 Route 53 权限

  • route53:ChangeResourceRecordSets

  • route53:ChangeTagsForResource

  • route53:CreateHostedZone

  • route53:DeleteHostedZone

  • route53:GetChange

  • route53:GetHostedZone

  • route53:ListHostedZones

  • route53:ListHostedZonesByName

  • route53:ListResourceRecordSets

  • route53:ListTagsForResource

  • route53:UpdateHostedZoneComment

安装所需的 Amazon 简单存储服务 (S3) 权限

  • s3:CreateBucket

  • s3:DeleteBucket

  • s3:GetAccelerateConfiguration

  • s3:GetBucketAcl

  • s3:GetBucketCors

  • s3:GetBucketLocation

  • s3:GetBucketLogging

  • s3:GetBucketObjectLockConfiguration

  • s3:GetBucketPolicy

  • s3:GetBucketRequestPayment

  • s3:GetBucketTagging

  • s3:GetBucketVersioning

  • s3:GetBucketWebsite

  • s3:GetEncryptionConfiguration

  • s3:GetLifecycleConfiguration

  • s3:GetReplicationConfiguration

  • s3:ListBucket

  • s3:PutBucketAcl

  • s3:PutBucketPolicy

  • s3:PutBucketTagging

  • s3:PutEncryptionConfiguration

集群操作员所需的 S3 权限

  • s3:DeleteObject

  • s3:GetObject

  • s3:GetObjectAcl

  • s3:GetObjectTagging

  • s3:GetObjectVersion

  • s3:PutObject

  • s3:PutObjectAcl

  • s3:PutObjectTagging

删除基础集群资源所需的权限

  • autoscaling:DescribeAutoScalingGroups

  • ec2:DeleteNetworkInterface

  • ec2:DeletePlacementGroup

  • ec2:DeleteVolume

  • elasticloadbalancing:DeleteTargetGroup

  • elasticloadbalancing:DescribeTargetGroups

  • iam:DeleteAccessKey

  • iam:DeleteUser

  • iam:DeleteUserPolicy

  • iam:ListAttachedRolePolicies

  • iam:ListInstanceProfiles

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • s3:DeleteObject

  • s3:ListBucketVersions

  • tag:GetResources

删除网络资源所需的权限

  • ec2:DeleteDhcpOptions

  • ec2:DeleteInternetGateway

  • ec2:DeleteNatGateway

  • ec2:DeleteRoute

  • ec2:DeleteRouteTable

  • ec2:DeleteSubnet

  • ec2:DeleteVpc

  • ec2:DeleteVpcEndpoints

  • ec2:DetachInternetGateway

  • ec2:DisassociateRouteTable

  • ec2:ReleaseAddress

  • ec2:ReplaceRouteTableAssociation

如果您使用现有的 VPC,您的账户不需要这些权限来删除网络资源。相反,您的账户只需要tag:UntagResources权限来删除网络资源。
使用自定义密钥管理服务 (KMS) 密钥安装集群的可选权限

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:Encrypt

  • kms:GenerateDataKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:ListGrants

  • kms:RevokeGrant

删除具有共享实例角色的集群所需的权限

  • iam:UntagRole

创建清单所需的额外 IAM 和 S3 权限

  • iam:GetUserPolicy

  • iam:ListAccessKeys

  • iam:PutUserPolicy

  • iam:TagUser

  • s3:AbortMultipartUpload

  • s3:GetBucketPublicAccessBlock

  • s3:ListBucket

  • s3:ListBucketMultipartUploads

  • s3:PutBucketPublicAccessBlock

  • s3:PutLifecycleConfiguration

如果您使用 mint 模式管理云提供商凭据,则 IAM 用户还需要iam:CreateAccessKeyiam:CreateUser权限。
安装实例和配额检查的可选权限

  • ec2:DescribeInstanceTypeOfferings

  • servicequotas:ListAWSDefaultServiceQuotas

在共享 VPC 上安装集群时,集群所有者帐户的可选权限

  • sts:AssumeRole

启用安装的自带公共 IPv4 地址 (BYOIP) 功能所需的权限

  • ec2:DescribePublicIpv4Pools

  • ec2:DisassociateAddress

创建 IAM 用户

每个 Amazon Web Services (AWS) 账户都包含一个基于您用于创建账户的电子邮件地址的根用户账户。这是一个特权极高的账户,建议仅将其用于初始账户和账单配置、创建初始用户组以及保护账户。

在安装 OpenShift Container Platform 之前,请创建一个辅助 IAM 管理员用户。在完成AWS 文档中的在您的 AWS 账户中创建 IAM 用户步骤时,请设置以下选项

步骤

  1. 指定 IAM 用户名并选择Programmatic access

  2. 附加AdministratorAccess策略以确保账户具有创建集群的足够权限。此策略使集群能够向每个 OpenShift Container Platform 组件授予凭据。集群仅向组件授予其所需的凭据。

    虽然可以创建一个授予所有必需 AWS 权限并将其附加到用户的策略,但这并不是首选选项。集群将无法向各个组件授予额外的凭据,因此所有组件都使用相同的凭据。

  3. 可选:通过附加标签向用户添加元数据。

  4. 确认您指定的用户名已获得AdministratorAccess策略。

  5. 记录访问密钥 ID 和秘密访问密钥值。在配置本地机器以运行安装程序时,必须使用这些值。

    在部署集群时,您不能使用在使用多因素身份验证设备进行身份验证时生成的临时会话令牌进行 AWS 身份验证。集群将继续使用您当前的 AWS 凭据为集群的整个生命周期创建 AWS 资源,因此您必须使用基于密钥的长期凭据。

IAM 策略和 AWS 身份验证

默认情况下,安装程序将为引导程序、控制平面和计算实例创建具有集群运行所需权限的实例配置文件。

要在单节点 OpenShift 集群中将从 Amazon Elastic Container Registry (ECR) 拉取镜像作为安装后任务启用,您必须将AmazonEC2ContainerRegistryReadOnly策略添加到与集群控制平面角色关联的 IAM 角色。

但是,您可以创建您自己的 IAM 角色,并将其指定为安装过程的一部分。您可能需要指定您自己的角色来部署集群或在安装后管理集群。例如:

  • 您的组织安全策略要求您使用更严格的权限集来安装集群。

  • 安装后,集群将配置一个操作员,该操作员需要访问其他服务。

如果您选择指定您自己的 IAM 角色,您可以执行以下步骤:

  • 从默认策略开始,根据需要进行调整。有关更多信息,请参阅“IAM 实例配置文件的默认权限”。

  • 要创建基于集群活动的策略模板,请参阅“使用 AWS IAM Analyzer 创建策略模板”。

IAM 实例配置文件的默认权限

默认情况下,安装程序会为引导程序、控制平面和工作程序实例创建具有集群运行所需权限的 IAM 实例配置文件。

以下列表指定了控制平面和计算机的默认权限

控制平面实例配置文件的默认 IAM 角色权限

  • ec2:AttachVolume

  • ec2:AuthorizeSecurityGroupIngress

  • ec2:CreateSecurityGroup

  • ec2:CreateTags

  • ec2:CreateVolume

  • ec2:DeleteSecurityGroup

  • ec2:DeleteVolume

  • ec2:Describe*

  • ec2:DetachVolume

  • ec2:ModifyInstanceAttribute

  • ec2:ModifyVolume

  • ec2:RevokeSecurityGroupIngress

  • elasticloadbalancing:AddTags

  • elasticloadbalancing:AttachLoadBalancerToSubnets

  • elasticloadbalancing:ApplySecurityGroupsToLoadBalancer

  • elasticloadbalancing:CreateListener

  • elasticloadbalancing:CreateLoadBalancer

  • elasticloadbalancing:CreateLoadBalancerPolicy

  • elasticloadbalancing:CreateLoadBalancerListeners

  • elasticloadbalancing:CreateTargetGroup

  • elasticloadbalancing:ConfigureHealthCheck

  • elasticloadbalancing:DeleteListener

  • elasticloadbalancing:DeleteLoadBalancer

  • elasticloadbalancing:DeleteLoadBalancerListeners

  • elasticloadbalancing:DeleteTargetGroup

  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer

  • elasticloadbalancing:DeregisterTargets

  • elasticloadbalancing:Describe*

  • elasticloadbalancing:DetachLoadBalancerFromSubnets

  • elasticloadbalancing:ModifyListener

  • elasticloadbalancing:ModifyLoadBalancerAttributes

  • elasticloadbalancing:ModifyTargetGroup

  • elasticloadbalancing:ModifyTargetGroupAttributes

  • elasticloadbalancing:RegisterInstancesWithLoadBalancer

  • elasticloadbalancing:RegisterTargets

  • elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer

  • elasticloadbalancing:SetLoadBalancerPoliciesOfListener

  • kms:DescribeKey

计算实例配置文件的默认 IAM 角色权限

  • ec2:DescribeInstances

  • ec2:DescribeRegions

指定现有 IAM 角色

您可以使用 `install-config.yaml` 文件为控制平面和计算实例指定现有 IAM 角色,而不是允许安装程序创建具有默认权限的 IAM 实例配置文件。

先决条件

  • 您有一个现有的 `install-config.yaml` 文件。

步骤

  1. 使用现有角色更新 `compute.platform.aws.iamRole`,用于计算机器。

    包含计算实例 IAM 角色的 `install-config.yaml` 文件示例
    compute:
- hyperthreading: Enabled
  name: worker
  platform:
    aws:
      iamRole: ExampleRole

  2. 使用现有角色更新 `controlPlane.platform.aws.iamRole`,用于控制平面机器。

    包含控制平面实例 IAM 角色的 `install-config.yaml` 文件示例
    controlPlane:
  hyperthreading: Enabled
  name: master
  platform:
    aws:
      iamRole: ExampleRole

  3. 保存文件并在安装 OpenShift Container Platform 集群时引用它。

要更改或更新集群安装后 IAM 帐户,请参阅 RHOCP 4 AWS 云凭据访问密钥已过期(Red Hat 知识库)。
其他资源

使用 AWS IAM Analyzer 创建策略模板

控制平面和计算实例配置文件所需的最小权限集取决于集群如何配置其日常操作。

确定集群实例需要哪些权限的一种方法是使用 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) 创建策略模板。

  • 策略模板包含集群在指定时间段内已使用的权限。

  • 然后,您可以使用该模板创建具有细粒度权限的策略。

步骤

整个过程可能如下:

  1. 确保已启用 CloudTrail。CloudTrail 记录 AWS 帐户中的所有操作和事件,包括创建策略模板所需的 API 调用。有关更多信息,请参阅 AWS 关于 使用 CloudTrail 的文档。

  2. 为控制平面实例和计算实例创建一个实例配置文件。请务必为每个角色分配一个宽松的策略,例如 PowerUserAccess。有关更多信息,请参阅 AWS 关于 创建实例配置文件角色 的文档。

  3. 在开发环境中安装集群并根据需要进行配置。请务必部署集群将在生产环境中托管的所有应用程序。

  4. 彻底测试集群。测试集群可确保记录所有必需的 API 调用。

  5. 使用 IAM Access Analyzer 为每个实例配置文件创建一个策略模板。有关更多信息,请参阅 AWS 关于 基于 CloudTrail 日志生成策略 的文档。

  6. 创建并将细粒度策略添加到每个实例配置文件。

  7. 从每个实例配置文件中删除宽松的策略。

  8. 使用具有新策略的现有实例配置文件部署生产集群。

您可以向策略中添加 IAM 条件,使其更严格并符合您组织的安全要求。

支持的 AWS Marketplace 区域

使用 AWS Marketplace 映像安装 OpenShift Container Platform 集群可供在北美购买该产品的客户使用。

虽然必须在北美购买该产品,但您可以将集群部署到以下任何受支持的分区:

  • 公共区域

  • GovCloud

使用 AWS Marketplace 映像部署 OpenShift Container Platform 集群不受 AWS 秘密区域或中国区域的支持。

支持的 AWS 区域

您可以将 OpenShift Container Platform 集群部署到以下区域。

您的 IAM 用户必须在us-east-1区域具有tag:GetResources权限才能删除基础集群资源。作为 AWS API 要求的一部分,OpenShift Container Platform 安装程序会在该区域执行各种操作。

AWS 公共区域

支持以下 AWS 公共区域:

  • af-south-1(开普敦)

  • ap-east-1(香港)

  • ap-northeast-1(东京)

  • ap-northeast-2(首尔)

  • ap-northeast-3(大阪)

  • ap-south-1(孟买)

  • ap-south-2(海得拉巴)

  • ap-southeast-1(新加坡)

  • ap-southeast-2(悉尼)

  • ap-southeast-3(雅加达)

  • ap-southeast-4(墨尔本)

  • ca-central-1(中部)

  • ca-west-1(卡尔加里)

  • eu-central-1(法兰克福)

  • eu-central-2(苏黎世)

  • eu-north-1(斯德哥尔摩)

  • eu-south-1(米兰)

  • eu-south-2(西班牙)

  • eu-west-1(爱尔兰)

  • eu-west-2(伦敦)

  • eu-west-3(巴黎)

  • il-central-1(特拉维夫)

  • me-central-1(阿联酋)

  • me-south-1(巴林)

  • sa-east-1(圣保罗)

  • us-east-1(北弗吉尼亚)

  • us-east-2(俄亥俄州)

  • us-west-1(北加州)

  • us-west-2(俄勒冈州)

AWS GovCloud 区域

支持以下 AWS GovCloud 区域:

  • us-gov-west-1

  • us-gov-east-1

AWS SC2S 和 C2S 秘密区域

支持以下 AWS 秘密区域:

  • us-isob-east-1 秘密商业云服务 (SC2S)

  • us-iso-east-1 商业云服务 (C2S)

AWS 中国区域

支持以下 AWS 中国区域:

  • cn-north-1(北京)

  • cn-northwest-1(宁夏)

后续步骤