Compute Engine API
- 文档
- OpenShift Container Platform
- 安装
- 在GCP上安装
- 配置GCP项目 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置GCP项目
- 快速在 GCP 上安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 在 GCP 中将集群安装到现有 VPC 中
- 在 GCP 中将集群安装到共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在 GCP 上将集群安装到共享 VPC 中
- 在 GCP 上使用用户配置的基础设施在受限网络中安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单个节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在IBM Cloud(经典版)上安装
- 在IBM Z和IBM LinuxONE上安装
- 在IBM Power上安装
- 在IBM Power虚拟服务器上安装
- 在OpenStack上安装
- 在OCI上安装
- 在VMware vSphere上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在OpenShift集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在Azure上创建具有多架构计算机器的集群
- 在AWS上创建具有多架构计算机器的集群
- 在GCP上创建具有多架构计算机器的集群
- 在裸机、IBM Power或IBM Z上创建具有多架构计算机器的集群
- 在使用z/VM的IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在LPAR中在IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在使用RHEL KVM的IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在IBM Power上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全与合规性
- 安全与合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性 Operator
- 文件完整性 Operator
- 安全配置文件 Operator
- NBDE Tang Server Operator
- Red Hat OpenShift 的 cert-manager 操作员
- Red Hat OpenShift 的 cert-manager 操作员概述
- Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作员
- 配置出站代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作员
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作员的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许基于 JavaScript 的访问来自其他主机的 API 服务器
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 网络绑定磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作员
- 网络安全
- 配置 Ingress 控制器以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围的代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 理解短暂存储
- 理解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联短暂卷
- 共享资源 CSI 驱动程序操作符
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 在非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作符
- AWS Elastic File Service CSI 驱动程序操作符
- Azure 磁盘 CSI 驱动程序操作符
- Azure 文件 CSI 驱动程序操作符
- Azure Stack Hub CSI 驱动程序操作符
- GCP PD CSI 驱动程序操作符
- GCP Filestore CSI 驱动程序操作符
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作符
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作符
- OpenStack Cinder CSI 驱动程序操作符
- OpenStack Manila CSI 驱动程序操作符
- Secrets Store CSI 驱动程序操作符
- CIFS/SMB CSI 驱动程序操作符
- VMware vSphere CSI 驱动程序操作符
- 通用短暂卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 操作符概述
- 理解操作符
- 用户任务
- 管理员任务
- 开发操作符
- 集群 Operators 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙盒容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远端边缘的挑战
- 准备用于 ZTP 的中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- vDU 应用程序工作负载的推荐单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 预缓存单节点 OpenShift 部署的镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的日常运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- ImageContentSourcePolicy [operator.openshift.io/v1alpha1]
- ImagePruner [imageregistry.operator.openshift.io/v1]
- IngressController [operator.openshift.io/v1]
- InsightsOperator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- MachineConfiguration [operator.openshift.io/v1]
- Network [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- ServiceCA [operator.openshift.io/v1]
- Storage [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 供应 API
- 关于供应 API
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 关于调度和配额 API
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 API
- 关于安全 API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
配置GCP项目
在安装 OpenShift Container Platform 之前,必须配置一个 Google Cloud Platform (GCP) 项目来托管它。
创建 GCP 项目
要安装 OpenShift Container Platform,必须在 Google Cloud Platform (GCP) 帐户中创建一个项目来托管集群。
步骤
-
创建一个项目来托管您的 OpenShift Container Platform 集群。请参阅 GCP 文档中的创建和管理项目。
如果您使用的是安装程序预配的基础架构,则您的 GCP 项目必须使用高级网络服务层。标准网络服务层不支持使用安装程序安装的集群。安装程序会为
api-int.<cluster_name>.<base_domain>URL 配置内部负载平衡;高级层是内部负载平衡所必需的。
在 GCP 中启用 API 服务
您的 Google Cloud Platform (GCP) 项目需要访问多个 API 服务才能完成 OpenShift Container Platform 的安装。
先决条件
-
您已创建了一个项目来托管您的集群。
步骤
-
在托管您的集群的项目中启用以下必需的 API 服务。您还可以启用安装不需要的可选 API 服务。请参阅 GCP 文档中的启用服务。
表 1. 必需的 API 服务 API 服务 控制台服务名称 compute.googleapis.comCloud Resource Manager API
cloudresourcemanager.googleapis.comGoogle DNS API
dns.googleapis.comIAM 服务帐户凭据 API
iamcredentials.googleapis.com身份和访问管理 (IAM) API
iam.googleapis.com服务使用情况 API
serviceusage.googleapis.com表 2. 可选的 API 服务 API 服务 控制台服务名称 Google Cloud APIs
cloudapis.googleapis.com服务管理 API
servicemanagement.googleapis.comGoogle Cloud Storage JSON API
storage-api.googleapis.comCloud Storage
storage-component.googleapis.com
配置 GCP 的 DNS
要安装 OpenShift Container Platform,您使用的 Google Cloud Platform (GCP) 帐户必须在您托管 OpenShift Container Platform 集群的同一项目中拥有一个专用的公共托管区域。此区域必须对该域名具有权威性。DNS 服务为集群 DNS 解析以及与集群的外部连接的名称查找提供支持。
步骤
-
确定您的域名或子域名以及注册机构。您可以转移现有域名和注册机构,也可以通过 GCP 或其他来源获取新的域名和注册机构。
如果您购买新域名,则相关 DNS 更改的传播需要一些时间。有关通过 Google 购买域名的更多信息,请参阅 Google Domains。
-
在您的 GCP 项目中为您的域名或子域名创建一个公共托管区域。请参阅 GCP 文档中的 创建公共区域。
使用合适的根域名,例如
openshiftcorp.com,或子域名,例如clusters.openshiftcorp.com。 -
从托管区域记录中提取新的权威名称服务器。请参阅 GCP 文档中的 查找您的 Cloud DNS 名称服务器。
您通常有四个名称服务器。
-
更新您的域名使用的名称服务器的注册机构记录。例如,如果您在 Google Domains 注册了您的域名,请参阅 Google Domains 帮助中的以下主题:如何切换到自定义名称服务器。
-
如果您已将根域名迁移到 Google Cloud DNS,请迁移您的 DNS 记录。请参阅 GCP 文档中的 迁移到 Cloud DNS。
-
如果您使用子域名,请按照您公司的流程将它的委派记录添加到父域名。此过程可能包括向您公司的 IT 部门或控制公司根域名和 DNS 服务的部门发出请求。
GCP 帐户限制
OpenShift Container Platform 集群使用许多 Google Cloud Platform (GCP) 组件,但默认的 配额 不会影响您安装默认 OpenShift Container Platform 集群的能力。
默认集群包含三台计算机器和三台控制平面机器,它使用以下资源。请注意,某些资源仅在引导过程中需要,并在集群部署后删除。
| 服务 | 组件 | 位置 | 所需的总资源 | 引导后删除的资源 |
|---|---|---|---|---|
服务帐户 |
IAM |
全局 |
6 |
1 |
防火墙规则 |
计算 |
全局 |
11 |
1 |
转发规则 |
计算 |
全局 |
2 |
0 |
正在使用的全局 IP 地址 |
计算 |
全局 |
4 |
1 |
运行状况检查 |
计算 |
全局 |
3 |
0 |
镜像 |
计算 |
全局 |
1 |
0 |
网络 |
计算 |
全局 |
2 |
0 |
静态 IP 地址 |
计算 |
区域 |
4 |
1 |
路由器 |
计算 |
全局 |
1 |
0 |
路由 |
计算 |
全局 |
2 |
0 |
子网 |
计算 |
全局 |
2 |
0 |
目标池 |
计算 |
全局 |
3 |
0 |
CPU |
计算 |
区域 |
28 |
4 |
持久性磁盘 SSD (GB) |
计算 |
区域 |
896 |
128 |
|
如果在安装过程中任何配额不足,安装程序将显示一条错误消息,其中说明了超出哪个配额以及区域。 |
请务必考虑您的实际集群大小、计划的集群增长以及与您的帐户关联的其他集群的任何使用情况。CPU、静态 IP 地址和持久性磁盘 SSD(存储)配额最有可能不足。
如果您计划在以下区域之一中部署集群,您将超过最大存储配额,并且很可能超过 CPU 配额限制
-
asia-east2 -
asia-northeast2 -
asia-south1 -
australia-southeast1 -
europe-north1 -
europe-west2 -
europe-west3 -
europe-west6 -
northamerica-northeast1 -
southamerica-east1 -
us-west2
您可以从 GCP 控制台 增加资源配额,但您可能需要提交支持工单。请务必尽早规划您的集群大小,以便您可以在安装 OpenShift Container Platform 集群之前留出时间来解决支持工单。
在 GCP 中创建服务帐户
OpenShift Container Platform 需要一个 Google Cloud Platform (GCP) 服务帐户,该帐户提供身份验证和授权以访问 Google API 中的数据。如果您没有现有包含项目中所需角色的 IAM 服务帐户,则必须创建一个。
先决条件
-
您已创建了一个项目来托管您的集群。
步骤
-
在您用于托管 OpenShift Container Platform 集群的项目中创建一个服务帐户。请参阅 GCP 文档中的 创建服务帐户。
-
授予服务帐户相应的权限。您可以授予以下各个权限,也可以为其分配
Owner角色。请参阅 为特定资源授予服务帐户的角色。虽然将服务帐户设为项目的拥有者是获得所需权限的最简单方法,但这意味着服务帐户对项目拥有完全控制权。您必须确定提供此权限所带来的风险是否可以接受。
-
您可以创建 JSON 格式的服务帐户密钥,或将服务帐户附加到 GCP 虚拟机。请参阅 GCP 文档中的 创建服务帐户密钥 和 为实例创建和启用服务帐户。
如果您使用附加了服务帐户的虚拟机来创建集群,则必须在安装之前在
install-config.yaml文件中设置credentialsMode: Manual。
必需的 GCP 角色
当您将 Owner 角色附加到您创建的服务帐户时,您会授予该服务帐户所有权限,包括安装 OpenShift Container Platform 所需的权限。如果贵组织的安全策略需要更严格的权限集,您可以使用以下权限创建服务帐户。如果您将集群部署到现有的虚拟专用云 (VPC),则服务帐户不需要某些网络权限,这些权限在以下列表中注明。
安装程序所需的权限
-
Compute 管理员
-
角色管理员
-
安全管理员
-
服务帐户管理员
-
服务帐户密钥管理员
-
服务帐户用户
-
存储管理员
安装期间创建网络资源所需的权限
-
DNS 管理员
在直通模式下使用 Cloud Credential Operator 所需的角色
-
计算负载平衡器管理员
-
标签用户
以下角色应用于控制平面和计算机器使用的服务帐户
| 帐户 | 角色 |
|---|---|
控制平面 |
|
|
|
|
|
|
|
|
|
计算 |
|
|
|
|
安装程序预配的基础架构所需的 GCP 权限
当您将 Owner 角色附加到您创建的服务帐户时,您会授予该服务帐户所有权限,包括安装 OpenShift Container Platform 所需的权限。
如果贵组织的安全策略需要更严格的权限集,您可以使用必要的权限创建 自定义角色。创建和删除 OpenShift Container Platform 集群的安装程序预配的基础架构需要以下权限。
创建网络资源所需的权限
-
compute.addresses.create -
compute.addresses.createInternal -
compute.addresses.delete -
compute.addresses.get -
compute.addresses.list -
compute.addresses.use -
compute.addresses.useInternal -
compute.firewalls.create -
compute.firewalls.delete -
compute.firewalls.get -
compute.firewalls.list -
compute.forwardingRules.create -
compute.forwardingRules.get -
计算引擎转发规则列表 -
计算引擎设置转发规则标签 -
创建计算引擎全局地址 -
获取计算引擎全局地址 -
使用计算引擎全局地址 -
创建计算引擎全局转发规则 -
获取计算引擎全局转发规则 -
设置计算引擎全局转发规则标签 -
创建计算引擎网络 -
获取计算引擎网络 -
列出计算引擎网络 -
更新计算引擎网络策略 -
使用计算引擎网络 -
创建计算引擎路由器 -
获取计算引擎路由器 -
列出计算引擎路由器 -
更新计算引擎路由器 -
列出计算引擎路由 -
创建计算引擎子网 -
获取计算引擎子网 -
列出计算引擎子网 -
使用计算引擎子网 -
使用计算引擎子网外部IP
创建负载均衡器资源所需的权限
-
创建计算引擎后端服务 -
获取计算引擎后端服务 -
列出计算引擎后端服务 -
更新计算引擎后端服务 -
使用计算引擎后端服务 -
创建计算引擎区域后端服务 -
获取计算引擎区域后端服务 -
列出计算引擎区域后端服务 -
更新计算引擎区域后端服务 -
使用计算引擎区域后端服务 -
向计算引擎目标池添加实例 -
创建计算引擎目标池 -
获取计算引擎目标池 -
列出计算引擎目标池 -
从计算引擎目标池移除实例 -
使用计算引擎目标池 -
创建计算引擎目标TCP代理 -
获取计算引擎目标TCP代理 -
使用计算引擎目标TCP代理
创建DNS资源所需的权限
-
创建DNS变更 -
获取DNS变更 -
创建DNS托管区域 -
获取DNS托管区域 -
列出DNS托管区域 -
绑定私有DNS区域到网络 -
创建DNS资源记录集 -
列出DNS资源记录集
创建服务帐号资源所需的权限
-
创建服务帐号密钥 -
删除服务帐号密钥 -
获取服务帐号密钥 -
列出服务帐号密钥 -
以服务帐号身份运行 -
创建服务帐号 -
删除服务帐号 -
获取服务帐号 -
列出服务帐号 -
获取资源管理器项目 -
获取资源管理器项目的IAM策略 -
设置资源管理器项目的IAM策略
创建计算资源所需的权限
-
创建计算引擎磁盘 -
获取计算引擎磁盘 -
列出计算引擎磁盘 -
设置计算引擎磁盘标签 -
创建计算引擎实例组 -
删除计算引擎实例组 -
获取计算引擎实例组 -
列出计算引擎实例组 -
更新计算引擎实例组 -
使用计算引擎实例组 -
创建计算引擎实例 -
删除计算引擎实例 -
获取计算引擎实例 -
列出计算引擎实例 -
设置计算引擎实例标签 -
设置计算引擎实例元数据 -
设置计算引擎实例服务帐号 -
设置计算引擎实例标签 -
使用计算引擎实例 -
获取计算引擎机器类型 -
列出计算引擎机器类型
创建存储资源所需权限
-
创建存储桶 -
删除存储桶 -
获取存储桶 -
列出存储桶 -
创建存储对象 -
删除存储对象 -
获取存储对象 -
列出存储对象
创建健康检查资源所需的权限
-
创建计算引擎健康检查 -
获取计算引擎健康检查 -
列出计算引擎健康检查 -
以只读模式使用计算引擎健康检查 -
创建计算引擎HTTP健康检查 -
获取计算引擎HTTP健康检查 -
列出计算引擎HTTP健康检查 -
以只读模式使用计算引擎HTTP健康检查 -
创建计算引擎区域健康检查 -
获取计算引擎区域健康检查 -
以只读模式使用计算引擎区域健康检查
获取GCP区域和可用区相关信息的所需权限
-
获取计算引擎全局操作 -
获取计算引擎区域操作 -
获取计算引擎区域 -
列出计算引擎区域 -
获取计算引擎可用区操作 -
获取计算引擎可用区 -
列出计算引擎可用区
检查服务和配额所需的权限
-
列出监控时间序列 -
获取服务使用配额 -
列出服务使用服务
安装所需的IAM权限
-
创建IAM角色 -
获取IAM角色 -
更新IAM角色
无需服务帐号密钥进行身份验证时的所需权限
-
使用服务帐号签名Blob
安装所需的可选镜像权限
-
列出计算引擎镜像
运行收集引导程序的可选权限
-
获取计算引擎实例串口输出
删除网络资源所需的权限
-
compute.addresses.delete -
删除内部地址 -
compute.addresses.list -
设置地址标签 -
compute.firewalls.delete -
compute.firewalls.list -
删除计算引擎转发规则 -
计算引擎转发规则列表 -
删除计算引擎全局地址 -
列出计算引擎全局地址 -
删除计算引擎全局转发规则 -
列出计算引擎全局转发规则 -
删除计算引擎网络 -
列出计算引擎网络 -
更新计算引擎网络策略 -
删除计算引擎路由器 -
列出计算引擎路由器 -
列出计算引擎路由 -
删除计算引擎子网 -
列出计算引擎子网
删除负载均衡器资源所需的权限
-
删除计算引擎后端服务 -
列出计算引擎后端服务 -
删除计算引擎区域后端服务 -
列出计算引擎区域后端服务 -
删除计算引擎目标池 -
列出计算引擎目标池 -
删除计算引擎目标TCP代理 -
列出计算引擎目标TCP代理
删除DNS资源所需的权限
-
创建DNS变更 -
删除DNS托管区域 -
获取DNS托管区域 -
列出DNS托管区域 -
删除DNS资源记录集 -
列出DNS资源记录集
删除服务帐号资源所需的权限
-
删除服务帐号 -
获取服务帐号 -
列出服务帐号 -
获取资源管理器项目的IAM策略 -
设置资源管理器项目的IAM策略
删除计算资源所需的权限
-
删除计算引擎磁盘 -
列出计算引擎磁盘 -
删除计算引擎实例组 -
列出计算引擎实例组 -
删除计算引擎实例 -
列出计算引擎实例 -
停止计算引擎实例 -
列出计算引擎机器类型
删除存储资源所需权限
-
删除存储桶 -
获取存储桶的IAM策略 -
列出存储桶 -
删除存储对象 -
列出存储对象
删除健康检查资源所需的权限
-
删除计算引擎健康检查 -
列出计算引擎健康检查 -
删除计算引擎HTTP健康检查 -
列出计算引擎HTTP健康检查 -
删除计算引擎区域健康检查 -
列出计算引擎区域健康检查
删除镜像所需的权限
-
列出计算引擎镜像
共享VPC安装所需的GCP权限
将集群安装到共享VPC时,必须为主机项目和服务项目配置服务帐号。如果您不是安装到共享VPC,则可以跳过此部分。
必须将上面列出的标准安装所需的最小角色应用于服务项目。
|
您可以为在手动或Mint凭据模式下运行的云凭据操作员使用细粒度权限。您不能在直通凭据模式下使用细粒度权限。 |
确保主机项目对服务帐户应用以下配置之一
在主机项目中创建防火墙所需的权限
-
projects/<host-project>/roles/dns.networks.bindPrivateDNSZone -
roles/compute.networkAdmin -
roles/compute.securityAdmin
在主机项目中删除防火墙所需的权限
-
compute.firewalls.delete -
更新计算引擎网络策略
最低所需权限
-
projects/<host-project>/roles/dns.networks.bindPrivateDNSZone -
roles/compute.networkUser
如果您未在install-config.yaml文件中为控制平面节点提供服务帐户,请将以下权限授予主机项目中的服务帐户。如果您未在install-config.yaml文件中为计算节点提供服务帐户,请将以下权限授予主机项目中的服务帐户以进行集群销毁。
详情
-
获取资源管理器项目的IAM策略 -
设置资源管理器项目的IAM策略
用户提供的服务帐户所需的GCP权限
安装集群时,计算节点和控制平面节点需要各自的服务帐号。默认情况下,安装程序会为控制平面和计算节点创建服务帐号。安装程序使用的服务帐号需要《在 GCP 中创建服务帐号》部分列出的角色和权限,以及 `resourcemanager.projects.getIamPolicy` 和 `resourcemanager.projects.setIamPolicy` 权限。这些权限应应用于主机项目中的服务帐号。如果此方法不符合贵组织的安全要求,则可以在 `install-config.yaml` 文件中为控制平面节点或计算节点提供服务帐号电子邮件地址。有关更多信息,请参阅《GCP 的安装配置参数》页面。如果在安装到共享 VPC 时为控制平面节点提供服务帐号,则必须在主机项目中向该服务帐号授予 `roles/compute.networkUser` 角色。如果希望安装程序在提供控制平面服务帐号时自动创建防火墙规则,则必须在主机项目中向该服务帐号授予 `roles/compute.networkAdmin` 和 `roles/compute.securityAdmin` 角色。如果只提供 `roles/compute.networkUser` 角色,则必须手动创建防火墙规则。
|
以下是控制平面节点和计算节点分别所需的用户提供的服务帐号的角色。 |
控制平面节点所需的角色
-
roles/compute.instanceAdmin -
roles/compute.networkAdmin -
roles/compute.securityAdmin -
roles/storage.admin
计算节点所需的角色
-
roles/compute.viewer -
roles/storage.admin -
roles/artifactregistry.reader
支持的 GCP 区域
您可以将 OpenShift Container Platform 集群部署到以下 Google Cloud Platform (GCP) 区域
-
africa-south1(南非约翰内斯堡) -
asia-east1(台湾彰化县) -
asia-east2(香港) -
asia-northeast1(日本东京) -
asia-northeast2(日本大阪) -
asia-northeast3(韩国首尔) -
asia-south1(印度孟买) -
asia-south2(印度德里) -
asia-southeast1(新加坡裕廊西) -
asia-southeast2(印度尼西亚雅加达) -
australia-southeast1(澳大利亚悉尼) -
australia-southeast2(澳大利亚墨尔本) -
europe-central2(波兰华沙) -
europe-north1(芬兰哈米纳) -
europe-southwest1(西班牙马德里) -
europe-west1(比利时圣吉斯兰) -
europe-west2(英国伦敦) -
europe-west3(德国法兰克福) -
europe-west4(荷兰艾姆沙芬) -
europe-west6(瑞士苏黎世) -
europe-west8(意大利米兰) -
europe-west9(法国巴黎) -
europe-west12(意大利都灵) -
me-central1(卡塔尔多哈,中东) -
me-central2(沙特阿拉伯达曼,中东) -
me-west1(以色列特拉维夫) -
northamerica-northeast1(加拿大魁北克蒙特利尔) -
northamerica-northeast2(加拿大安大略多伦多) -
southamerica-east1(巴西圣保罗) -
southamerica-west1(智利圣地亚哥) -
us-central1(美国爱荷华州卡унсил布拉夫斯) -
us-east1(美国南卡罗来纳州蒙克斯角) -
us-east4(美国弗吉尼亚州北部阿什本) -
us-east5(俄亥俄州哥伦布) -
us-south1(美国德克萨斯州达拉斯) -
us-west1(美国俄勒冈州达尔斯) -
us-west2(美国加利福尼亚州洛杉矶) -
us-west3(美国犹他州盐湖城) -
us-west4(美国内华达州拉斯维加斯)
|
要确定按区域和区域划分的可用机器类型实例,请参阅 Google 文档。 |