OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

在 GCP 上创建集群

以下主题介绍了如何使用服务帐户密钥在 Google Cloud Platform (GCP) 上创建 OpenShift Dedicated 集群,这将创建集群访问所需的凭据。服务帐户密钥会生成长期有效的凭据。要使用工作负载身份联合 (WIF) 安装和与 Google Cloud Platform (GCP) 上的 OpenShift Dedicated 集群交互(这是推荐的身份验证类型,因为它提供了增强的安全性),请参见主题 使用工作负载身份联合在 GCP 上创建集群

您可以使用您自己的 GCP 帐户(通过客户云订阅 (CCS) 模型)或使用 Red Hat 拥有的 GCP 基础设施帐户来安装 Google Cloud Platform (GCP) 上的 OpenShift Dedicated。

先决条件

使用 CCS 在 GCP 上创建集群

使用客户云订阅 (CCS) 计费模型,您可以在您拥有的现有 Google Cloud Platform (GCP) 帐户中创建 OpenShift Dedicated 集群。

如果您使用 CCS 模型将 OpenShift Dedicated 部署和管理到您的 GCP 帐户中,则必须满足一些先决条件。

先决条件

  • 您已配置您的 GCP 帐户以用于 OpenShift Dedicated。

  • 您已配置 GCP 帐户配额和限制,以支持所需的集群大小。

  • 您已创建 GCP 项目。

  • 您已在 GCP 项目中启用了 Google Cloud 资源管理器 API。有关为您的项目启用 API 的更多信息,请参阅 Google Cloud 文档

  • 您在 GCP 中有一个名为 osd-ccs-admin 的 IAM 服务帐户,并附加了以下角色:

    • 计算管理员

    • DNS 管理员

    • 安全管理员

    • 服务帐户管理员

    • 服务帐户密钥管理员

    • 服务帐户用户

    • 组织策略查看器

    • 服务管理管理员

    • 服务使用管理员

    • 存储管理员

    • 计算负载均衡器管理员

    • 角色查看器

    • 角色管理员

  • 您已为您的 osd-ccs-admin GCP 服务帐户创建一个密钥,并将其导出到名为 osServiceAccount.json 的文件中。

    有关为您的 GCP 服务帐户创建密钥并将其导出到 JSON 文件的更多信息,请参阅 Google Cloud 文档中的 创建服务帐户密钥

  • 建议从 GCP 获取 增强型支持 或更高版本。

  • 为避免潜在冲突,建议在安装 OpenShift Dedicated 之前,项目中不要配置其他资源。

  • 如果您正在配置集群范围代理,则您已验证该代理是否可以从集群正在安装到的 VPC 访问。

步骤

  1. 登录到 OpenShift 集群管理器 并单击“创建集群”。

  2. 在“创建 OpenShift 集群”页面上,选择“Red Hat OpenShift Dedicated”行中的“创建集群”。

  3. 在“计费模型”下,配置订阅类型和基础设施类型。

    1. 选择订阅类型。有关 OpenShift Dedicated 订阅选项的信息,请参阅 OpenShift 集群管理器文档中的集群订阅和注册

      可用的订阅类型取决于您的 OpenShift Dedicated 订阅和资源配额。Red Hat 建议您使用通过 Google Cloud Platform (GCP) Marketplace 购买的按需订阅类型部署集群。此选项提供灵活的按需计费,增加容量非常便捷,无需 Red Hat 干预。有关更多信息,请联系您的销售代表或 Red Hat 支持。

    2. 选择**客户云订阅**基础设施类型,以便在您拥有的现有云提供商帐户中部署 OpenShift Dedicated。

    3. 点击**下一步**。

  4. 选择**在 Google Cloud Platform 上运行**。

  5. 选择**服务帐户**作为身份验证类型。

    Red Hat 建议使用工作负载身份联合作为身份验证类型。有关更多信息,请参阅使用工作负载身份联合在 GCP 上创建集群

  6. 查看并完成列出的**先决条件**。

  7. 选中复选框以确认您已阅读并完成了所有先决条件。

  8. 提供您的 GCP 服务帐户私钥(JSON 格式)。您可以点击**浏览**来查找并附加 JSON 文件,或者在**服务帐户 JSON**字段中添加详细信息。

  9. 点击**下一步**以验证您的云提供商帐户并转到**集群详细信息**页面。

  10. 在**集群详细信息**页面上,为您的集群提供名称并指定集群详细信息。

    1. 添加**集群名称**。

    2. 可选:集群创建会生成一个域前缀,作为您在openshiftapps.com上配置的集群的子域。如果集群名称小于或等于 15 个字符,则该名称将用作域前缀。如果集群名称超过 15 个字符,则域前缀将随机生成一个 15 个字符的字符串。

      要自定义子域,请选中**创建自定义域前缀**复选框,并在**域前缀**字段中输入您的域前缀名称。域前缀不能超过 15 个字符,必须在您的组织内唯一,并且在集群创建后无法更改。

    3. 从**版本**下拉菜单中选择集群版本。

      仅 OpenShift Dedicated 4.17 及更高版本支持配置了私有服务连接 (PSC) 的集群。有关 PSC 的更多信息,请参阅“附加资源”部分中的《私有服务概述》。

    4. 从**区域**下拉菜单中选择云提供商区域。

    5. 选择**单区域**或**多区域**配置。

    6. 可选:选择**为屏蔽虚拟机启用安全启动**以在安装集群时使用屏蔽虚拟机。有关更多信息,请参阅屏蔽虚拟机

      要成功创建集群,如果您的组织启用了策略约束constraints/compute.requireShieldedVm,则必须选择**为屏蔽虚拟机启用安全启动支持**。有关 GCP 组织策略约束的更多信息,请参阅组织策略约束

    7. 保持选中**启用用户工作负载监控**以独立于 Red Hat 站点可靠性工程师 (SRE) 平台指标监控您自己的项目。此选项默认启用。

    8. 可选:展开**高级加密**以更改加密设置。

      1. 选择**使用自定义 KMS 密钥**以使用自定义 KMS 密钥。如果您不想使用自定义 KMS 密钥,请保留默认设置**使用默认 KMS 密钥**。

        要使用自定义 KMS 密钥,必须向 IAM 服务帐户osd-ccs-admin授予**Cloud KMS CryptoKey 加密器/解密器**角色。有关在资源上授予角色的更多信息,请参阅在资源上授予角色

        选中**使用自定义 KMS 密钥**后

        1. 从**密钥环位置**下拉菜单中选择密钥环位置。

        2. 从**密钥环**下拉菜单中选择密钥环。

        3. 从**密钥名称**下拉菜单中选择密钥名称。

        4. 提供**KMS 服务帐户**。

      2. 可选:如果您需要您的集群通过 FIPS 验证,请选择**启用 FIPS 加密**。

        如果选中**启用 FIPS 加密**,则**启用附加 etcd 加密**默认启用且无法禁用。您可以选择**启用附加 etcd 加密**而不选择**启用 FIPS 加密**。

      3. 可选:如果您需要 etcd 密钥值加密,请选择**启用附加 etcd 加密**。使用此选项,etcd 密钥值将被加密,但密钥不会被加密。此选项是对默认控制平面存储加密(默认情况下对 OpenShift Dedicated 集群中的 etcd 卷进行加密)的补充。

        启用附加 etcd 加密后,您将产生大约 20% 的性能开销。开销是由于除了默认的控制平面存储加密(对 etcd 卷进行加密)之外,又引入了第二层加密。仅当您专门需要它用于您的用例时,才考虑启用 etcd 加密。

    9. 点击**下一步**。

  11. 在**默认机器池**页面上,从下拉菜单中选择**计算节点实例类型**。

  12. 可选:选中**启用自动缩放**复选框以启用自动缩放。

    1. 点击**编辑集群自动缩放设置**以更改自动缩放设置。

    2. 完成所需更改后,点击**关闭**。

    3. 选择最小和最大节点数。可以通过使用可用的加号和减号或将所需的节点数输入数字输入字段来选择节点数。

  13. 从下拉菜单中选择**计算节点数**。

    如果您使用多个可用区,则计算节点数为每个可用区。创建集群后,您可以更改集群中的计算节点数,但不能更改机器池中的计算节点实例类型。可用的节点数量和类型取决于您的 OpenShift Dedicated 订阅。

  14. 可选:展开**添加节点标签**以向您的节点添加标签。点击**添加附加标签**以添加附加节点标签并选择**下一步**。

    此步骤指的是 Kubernetes 中的标签,而不是 Google Cloud。有关 Kubernetes 标签的更多信息,请参阅标签和选择器

  15. 在**网络配置**页面上,选择**公共**或**私有**以使用公共或私有 API 端点和集群的应用程序路由。如果您选择**私有**并在集群版本中选择了 OpenShift Dedicated 4.17 或更高版本,则默认情况下会选中**使用私有服务连接**。私有服务连接 (PSC) 是 Google Cloud 的安全增强型网络功能。您可以点击**使用私有服务连接**复选框禁用 PSC。

    Red Hat 建议在 Google Cloud 上部署私有 OpenShift Dedicated 集群时使用私有服务连接。私有服务连接确保 Red Hat 基础架构、站点可靠性工程 (SRE) 和私有 OpenShift Dedicated 集群之间存在安全的私有连接。

    如果您使用的是私有API端点,则在更新云提供商帐户中的网络设置之前,无法访问您的集群。

  16. 可选:在现有GCP虚拟私有云 (VPC) 中安装集群

    1. 选择 **安装到现有 VPC**。

      私有服务连接仅支持 **安装到现有 VPC**。

    2. 如果您要安装到现有VPC中,并且想要为您的集群启用HTTP或HTTPS代理,请选择 **配置集群范围的代理**。

      为了为您的集群配置集群范围的代理,您必须首先创建云网络地址转换 (NAT) 和云路由器。有关更多信息,请参见“其他资源”部分。

  17. 接受默认的应用程序入口设置,或者要创建您自己的自定义设置,请选择 **自定义设置**。

    1. 可选:提供路由选择器。

    2. 可选:提供排除的命名空间。

    3. 选择命名空间所有权策略。

    4. 选择通配符策略。

      有关自定义应用程序入口设置的更多信息,请点击每个设置提供的 信息图标。

  18. 点击**下一步**。

  19. 可选:将集群安装到GCP共享VPC中

    要在共享VPC中安装集群,必须使用OpenShift Dedicated 4.13.15或更高版本。此外,主机项目的VPC所有者必须在其Google Cloud控制台中启用项目作为主机项目。有关更多信息,请参见 启用主机项目

    1. 选择 **安装到GCP共享VPC**。

    2. 指定 **主机项目 ID**。如果指定的主机项目ID不正确,则集群创建将失败。

      完成集群配置向导中的步骤并点击 **创建集群** 后,集群将进入“安装等待”状态。此时,您必须联系主机项目的VPC所有者,该所有者必须为动态生成的Service Account分配以下角色:**计算网络管理员**、**计算安全管理员**、**项目 IAM 管理员** 和 **DNS 管理员**。主机项目的VPC所有者有30天的时间授予列出的权限,否则集群创建将失败。有关共享VPC权限的信息,请参见 配置共享VPC

  20. 如果您选择在现有的GCP VPC中安装集群,请提供您的 **虚拟私有云 (VPC) 子网设置** 并选择 **下一步**。您必须已创建云网络地址转换 (NAT) 和云路由器。有关云NAT和Google VPC的信息,请参见“其他资源”部分。

    如果您正在将集群安装到共享VPC中,则VPC名称和子网将从主机项目共享。

  21. 如果您选择配置集群范围的代理,请在 **集群范围代理** 页面上提供您的代理配置详细信息。

    1. 至少在一个字段中输入一个值

      • 指定有效的 **HTTP代理URL**。

      • 指定有效的 **HTTPS代理URL**。

      • 在 **附加信任捆绑包** 字段中,提供PEM编码的X.509证书捆绑包。该捆绑包将添加到集群节点的受信任证书存储中。如果您使用TLS检查代理,则需要一个附加的信任捆绑包文件,除非代理的身份证书是由Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包中的权威机构签名的。无论代理是透明的还是需要使用http-proxyhttps-proxy参数进行显式配置,此要求都适用。

    2. 点击**下一步**。

      有关使用OpenShift Dedicated配置代理的更多信息,请参见 *配置集群范围的代理*。

  22. 在 **CIDR范围** 对话框中,配置自定义无类别域间路由 (CIDR) 范围或使用提供的默认值。

    如果您安装到VPC中,则 **机器CIDR** 范围必须与VPC子网匹配。

    CIDR配置以后无法更改。在继续操作之前,请与您的网络管理员确认您的选择。

  23. 在 **集群更新策略** 页面上,配置您的更新首选项。

    1. 选择集群更新方法

      • 如果您想单独安排每个更新,请选择 **单独更新**。这是默认选项。

      • 选择 **定期更新** 以在可用更新时,在您首选的日期和开始时间更新您的集群。

        您可以在OpenShift Dedicated的更新生命周期文档中查看生命周期结束日期。有关更多信息,请参见 OpenShift Dedicated更新生命周期

    2. 根据您的集群更新方法提供管理员批准

      • 单独更新:如果您选择的更新版本需要批准,请提供管理员的确认并点击 **批准并继续**。

      • 定期更新:如果您为集群选择了定期更新,请提供管理员的确认并点击 **批准并继续**。如果没有收到管理员的确认,OpenShift集群管理器将不会启动计划的y流次要版本更新。

    3. 如果您选择了定期更新,请从下拉菜单中选择首选的星期几和UTC升级开始时间。

    4. 可选:您可以在集群升级期间为 **节点清空** 设置宽限期。默认情况下设置 **1小时** 的宽限期。

    5. 点击**下一步**。

      如果出现严重影响集群安全或稳定性的严重安全问题,Red Hat站点可靠性工程 (SRE) 可能会安排自动更新到不受影响的最新z流版本。在提供客户通知后48小时内应用更新。有关严重影响安全评级的说明,请参见 了解Red Hat安全评级

  24. 查看您选择的摘要,然后点击 **创建集群** 以开始集群安装。安装大约需要30-40分钟才能完成。

  25. 可选:在 **概述** 选项卡上,您可以通过选择 **启用** 来启用删除保护功能,该功能位于 **删除保护:已禁用** 正下方。这将防止您的集群被删除。要禁用删除保护,请选择 **禁用**。默认情况下,集群是在禁用删除保护功能的情况下创建的。

    如果您删除了安装到GCP共享VPC中的集群,请通知主机项目的VPC所有者删除在集群创建期间引用的Service Account授予的IAM策略角色。
验证

  • 您可以在集群的 **概述** 页面中监控安装进度。您可以在同一页面上查看安装日志。当页面的 **详细信息** 部分中的 **状态** 显示为 **就绪** 时,您的集群已准备好。

使用Red Hat云帐户在GCP上创建集群

通过 OpenShift集群管理器,您可以使用Red Hat拥有的标准云提供商帐户在Google Cloud Platform (GCP) 上创建OpenShift Dedicated集群。

步骤

  1. 登录到 OpenShift 集群管理器 并单击“创建集群”。

  2. 在 **云** 选项卡中,点击 **Red Hat OpenShift Dedicated** 行中的 **创建集群**。

  3. 在“计费模型”下,配置订阅类型和基础设施类型。

    1. 选择年度订阅类型。当您使用 Red Hat 云帐户部署集群时,只有年度订阅类型可用。

      有关 OpenShift Dedicated 订阅选项的信息,请参阅 OpenShift 集群管理器文档中的集群订阅和注册

      您必须拥有年度订阅类型所需的资源配额才能使用。有关更多信息,请联系您的销售代表或 Red Hat 支持。

    2. 选择Red Hat 云帐户基础架构类型,以便在 Red Hat 拥有的云提供商帐户中部署 OpenShift Dedicated。

    3. 点击**下一步**。

  4. 选择在 Google Cloud Platform 上运行,然后单击下一步

  5. 在**集群详细信息**页面上,为您的集群提供名称并指定集群详细信息。

    1. 添加**集群名称**。

    2. 可选:集群创建会生成一个域名前缀,作为您在openshiftapps.com上配置的集群的子域名。如果集群名称小于或等于 15 个字符,则该名称将用作域名前缀。如果集群名称超过 15 个字符,则域名前缀将随机生成一个 15 个字符的字符串。

      要自定义子域名,请选择创建自定义域名前缀复选框,并在域名前缀字段中输入您的域名前缀名称。域名前缀不能超过 15 个字符,必须在您的组织内唯一,并且在集群创建后不能更改。

    3. 从**版本**下拉菜单中选择集群版本。

    4. 从**区域**下拉菜单中选择云提供商区域。

    5. 选择**单区域**或**多区域**配置。

    6. 为集群选择持久性存储容量。有关更多信息,请参阅 OpenShift Dedicated 服务定义中的存储部分。

    7. 指定集群所需的负载均衡器数量。有关更多信息,请参阅 OpenShift Dedicated 服务定义中的负载均衡器部分。

    8. 可选:选择**为屏蔽虚拟机启用安全启动**以在安装集群时使用屏蔽虚拟机。有关更多信息,请参阅屏蔽虚拟机

      要成功创建集群,如果您的组织启用了策略约束constraints/compute.requireShieldedVm,则必须选择**为屏蔽虚拟机启用安全启动支持**。有关 GCP 组织策略约束的更多信息,请参阅组织策略约束

    9. 保持选中**启用用户工作负载监控**以独立于 Red Hat 站点可靠性工程师 (SRE) 平台指标监控您自己的项目。此选项默认启用。

  6. 可选:展开**高级加密**以更改加密设置。

    1. 可选:如果您需要您的集群通过 FIPS 验证,请选择**启用 FIPS 加密**。

      如果选中**启用 FIPS 加密**,则**启用附加 etcd 加密**默认启用且无法禁用。您可以选择**启用附加 etcd 加密**而不选择**启用 FIPS 加密**。

    2. 可选:如果您需要 etcd 密钥值加密,请选择启用附加 etcd 加密。使用此选项,etcd 密钥值将被加密,但密钥不会被加密。此选项是对默认控制平面存储加密的补充,默认控制平面存储加密默认情况下会加密 OpenShift Dedicated 集群中的 etcd 卷。

      通过为 etcd 中的密钥值启用 etcd 加密,您将承受大约 20% 的性能开销。开销是由于除了默认的控制平面存储加密(加密 etcd 卷)之外,还引入了这一第二层加密。仅当您在用例中特别需要时,才考虑启用 etcd 加密。

    3. 点击**下一步**。

  7. 默认机器池页面上,选择计算节点实例类型计算节点数量。可用的节点数量和类型取决于您的 OpenShift Dedicated 订阅。如果您使用多个可用区,则计算节点数量为每个可用区。

    创建集群后,您可以更改计算节点的数量,但不能更改机器池中的计算节点实例类型。对于使用 CCS 模型的集群,您可以在安装后添加使用不同实例类型的机器池。您可以使用的节点数量和类型取决于您的 OpenShift Dedicated 订阅。

  8. 可选:展开编辑节点标签以向您的节点添加标签。单击添加标签以添加更多节点标签,然后选择下一步

  9. 集群隐私对话框中,选择公共私有以使用公共或私有 API 端点和集群的应用程序路由。

  10. 点击**下一步**。

  11. 在 **CIDR范围** 对话框中,配置自定义无类别域间路由 (CIDR) 范围或使用提供的默认值。

    CIDR配置以后无法更改。在继续操作之前,请与您的网络管理员确认您的选择。

    如果集群隐私设置为私有,则在您配置云提供商中的私有连接之前,您无法访问您的集群。

  12. 在 **集群更新策略** 页面上,配置您的更新首选项。

    1. 选择集群更新方法

      • 如果您想单独安排每个更新,请选择 **单独更新**。这是默认选项。

      • 选择 **定期更新** 以在可用更新时,在您首选的日期和开始时间更新您的集群。

        您可以在OpenShift Dedicated的更新生命周期文档中查看生命周期结束日期。有关更多信息,请参见 OpenShift Dedicated更新生命周期

    2. 根据您的集群更新方法提供管理员批准

      • 单独更新:如果您选择的更新版本需要批准,请提供管理员的确认并点击 **批准并继续**。

      • 定期更新:如果您为集群选择了定期更新,请提供管理员的确认并点击 **批准并继续**。如果没有收到管理员的确认,OpenShift集群管理器将不会启动计划的y流次要版本更新。

    3. 如果您选择了定期更新,请从下拉菜单中选择首选的星期几和UTC升级开始时间。

    4. 可选:您可以在集群升级期间为 **节点清空** 设置宽限期。默认情况下设置 **1小时** 的宽限期。

    5. 点击**下一步**。

      如果出现严重影响集群安全或稳定性的严重安全问题,Red Hat站点可靠性工程 (SRE) 可能会安排自动更新到不受影响的最新z流版本。在提供客户通知后48小时内应用更新。有关严重影响安全评级的说明,请参见 了解Red Hat安全评级

  13. 查看您选择的摘要,然后点击 **创建集群** 以开始集群安装。安装大约需要30-40分钟才能完成。

  14. 可选:在 **概述** 选项卡上,您可以通过选择 **启用** 来启用删除保护功能,该功能位于 **删除保护:已禁用** 正下方。这将防止您的集群被删除。要禁用删除保护,请选择 **禁用**。默认情况下,集群是在禁用删除保护功能的情况下创建的。

    验证

    • 您可以在集群的 **概述** 页面中监控安装进度。您可以在同一页面上查看安装日志。当页面的 **详细信息** 部分中的 **状态** 显示为 **就绪** 时,您的集群已准备好。

其他资源