OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的所在地)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

在 AWS 上创建集群

您可以使用自己的 AWS 账户通过客户云订阅 (CCS) 模型,或使用 Red Hat 拥有的 AWS 基础设施账户,在 Amazon Web Services (AWS) 上部署 OpenShift Dedicated。

先决条件

在 AWS 上创建集群

使用客户云订阅 (CCS) 计费模型,您可以在您拥有的现有 Amazon Web Services (AWS) 账户中创建 OpenShift Dedicated 集群。

您还可以选择 Red Hat 云账户基础设施类型,以便在 Red Hat 拥有的云提供商账户中部署 OpenShift Dedicated。

完成以下先决条件,才能使用 CCS 模型将 OpenShift Dedicated 部署和管理到您的 AWS 账户中。

先决条件

  • 您已配置您的 AWS 账户以用于 OpenShift Dedicated。

  • 您尚未在您的 AWS 账户中部署任何服务。

  • 您已配置支持所需集群大小的 AWS 账户配额和限制。

  • 您拥有一个附加了 `AdministratorAccess` 策略的 `osdCcsAdmin` AWS 身份和访问管理 (IAM) 用户。

  • 您已在您的 AWS 组织中设置了服务控制策略 (SCP)。有关更多信息,请参见《最低要求的服务控制策略 (SCP)》。

  • 建议您拥有 AWS 的**商业支持**或更高等级的支持。

  • 如果您正在配置集群范围的代理,您已验证该代理是否可以从集群正在安装到的 VPC 访问。代理还必须可以从 VPC 的私有子网访问。

步骤

  1. 登录到OpenShift 集群管理器

  2. 在**概述**页面上,选择**Red Hat OpenShift Dedicated**卡片中的**创建集群**。

  3. 在**计费模型**下,配置订阅类型和基础设施类型

    1. 选择订阅类型。有关 OpenShift Dedicated 订阅选项的信息,请参见 OpenShift 集群管理器文档中的集群订阅和注册

      您可用的订阅类型取决于您的 OpenShift Dedicated 订阅和资源配额。有关更多信息,请联系您的销售代表或 Red Hat 支持。

    2. 选择**客户云订阅**基础设施类型,在您拥有的现有云提供商帐户中部署 OpenShift Dedicated;或者选择**Red Hat 云帐户**基础设施类型,在 Red Hat 拥有的云提供商帐户中部署 OpenShift Dedicated。

    3. 点击**下一步**。

  4. 选择**在 Amazon Web Services 上运行**。如果您在 AWS 帐户中配置集群,请完成以下子步骤

    1. 查看并完成列出的**前提条件**。

    2. 选中复选框,确认您已阅读并完成了所有前提条件。

    3. 提供您的 AWS 帐户详细信息

      1. 输入您的**AWS 帐户 ID**。

      2. 输入您的 AWS IAM 用户帐户的**AWS 访问密钥 ID**和**AWS 密钥**。

        在 AWS 中撤销这些凭证会导致丢失对使用这些凭证创建的任何集群的访问权限。

      3. 可选:您可以选择**绕过 AWS 服务控制策略 (SCP) 检查**以禁用 SCP 检查。

        即使您拥有所需的权限,某些 AWS SCP 也会导致安装失败。禁用 SCP 检查允许安装继续进行。即使绕过了检查,SCP 仍然强制执行。

  5. 点击**下一步**以验证您的云提供商帐户并转到**集群详细信息**页面。

  6. 在**集群详细信息**页面上,为您的集群提供名称并指定集群详细信息

    1. 添加**集群名称**。

    2. 可选:集群创建会生成一个域名前缀,作为您在 `openshiftapps.com` 上配置的集群的子域名。如果集群名称小于或等于 15 个字符,则该名称将用作域名前缀。如果集群名称超过 15 个字符,则域名前缀将随机生成一个 15 个字符的字符串。

      要自定义子域名,请选中**创建自定义域名前缀**复选框,并在**域名前缀**字段中输入您的域名前缀名称。域名前缀不能超过 15 个字符,必须在您的组织内唯一,并且在集群创建后无法更改。

    3. 从**版本**下拉菜单中选择集群版本。

    4. 从**区域**下拉菜单中选择云提供商区域。

    5. 选择**单区域**或**多区域**配置。

    6. 保留选中**启用用户工作负载监控**以独立于 Red Hat 站点可靠性工程师 (SRE) 平台指标监控您自己的项目。此选项默认启用。

    7. 可选:展开**高级加密**以更改加密设置。

      1. 接受默认设置**使用默认 KMS 密钥**以使用您的默认 AWS KMS 密钥,或选择**使用自定义 KMS 密钥**以使用自定义 KMS 密钥。

        1. 选中**使用自定义 KMS 密钥**后,在**密钥 ARN**字段中输入 AWS 密钥管理服务 (KMS) 自定义密钥 Amazon 资源名称 (ARN) ARN。该密钥用于加密集群中的所有控制平面、基础设施、工作节点根卷和持久卷。

      2. 可选:如果您需要您的集群经过 FIPS 验证,请选择**启用 FIPS 加密**。

        如果选中**启用 FIPS 加密**,则**启用附加 etcd 加密**默认启用且无法禁用。您可以选择**启用附加 etcd 加密**而不选择**启用 FIPS 加密**。

      3. 可选:如果您需要 etcd 密钥值加密,请选择**启用附加 etcd 加密**。使用此选项,etcd 密钥值将被加密,但密钥不会被加密。此选项是除了控制平面存储加密之外的附加选项,该加密默认情况下会加密 OpenShift Dedicated 集群中的 etcd 卷。

        通过为 etcd 中的密钥值启用 etcd 加密,您将产生大约 20% 的性能开销。开销是由于引入了第二层加密,除了默认的控制平面存储加密(加密 etcd 卷)之外。仅当您专门需要它用于您的用例时,才考虑启用 etcd 加密。

    8. 点击**下一步**。

  7. 在**默认机器池**页面上,从下拉菜单中选择**计算节点实例类型**。

  8. 可选:选中**启用自动缩放**复选框以启用自动缩放。

    1. 点击**编辑集群自动缩放设置**以更改自动缩放设置。

    2. 完成所需更改后,点击**关闭**。

    3. 选择最小和最大节点数。可以通过使用可用的加号和减号或将所需的节点数输入数字输入字段来选择节点数。

  9. 从下拉菜单中选择**计算节点数**。

    创建集群后,您可以更改集群中计算节点的数量,但不能更改机器池中计算节点的实例类型。您可以使用的节点数量和类型取决于您的 OpenShift Dedicated 订阅。

  10. 选择您对实例元数据服务 (IMDS) 类型的偏好,可以使用 IMDSv1 和 IMDSv2 类型,或者要求您的 EC2 实例仅使用 IMDSv2。您可以通过两种方式访问正在运行的实例中的实例元数据

    • 实例元数据服务版本 1 (IMDSv1) - 请求/响应方法

    • 实例元数据服务版本 2 (IMDSv2) - 面向会话的方法

      创建集群后,无法更改实例元数据服务设置。

      IMDSv2 使用面向会话的请求。使用面向会话的请求,您可以创建一个会话令牌,该令牌定义会话持续时间,会话持续时间范围为最少一秒到最多六小时。在指定的持续时间内,您可以将相同的会话令牌用于后续请求。在指定的持续时间过期后,您必须创建一个新的会话令牌才能用于将来的请求。

      有关 IMDS 的更多信息,请参阅 AWS 文档中的实例元数据和用户数据

  11. 可选:展开**编辑节点标签**以向节点添加标签。点击**添加标签**以添加更多节点标签,然后选择**下一步**。

  12. 在**网络配置**页面上,选择**公共**或**私有**以使用公共或私有 API 端点和集群的应用程序路由。

    如果您使用的是私有 API 端点,则在更新云提供商帐户中的网络设置之前,您无法访问您的集群。

  13. 可选:要将集群安装到现有的 AWS 虚拟专用云 (VPC)

    1. 选择**安装到现有 VPC**。

    2. 如果您安装到现有 VPC 并选择使用私有 API 端点,您可以选择**使用 PrivateLink**。此选项允许 Red Hat 站点可靠性工程 (SRE) 仅使用 AWS PrivateLink 端点连接到集群。

      创建集群后,无法更改**使用 PrivateLink**选项。

    3. 如果您要安装到现有 VPC 中,并且想要为集群启用 HTTP 或 HTTPS 代理,请选择配置集群范围的代理

  14. 如果您选择将集群安装到现有的 AWS VPC 中,请提供您的虚拟私有云 (VPC) 子网设置,然后选择下一步。您必须已创建云网络地址转换 (NAT) 和云路由器。有关云 NAT 和 Google VPC 的信息,请参阅“其他资源”部分。

    您必须确保您的 VPC 为您想要安装集群的每个可用区配置了公共子网和私有子网。如果您选择使用 PrivateLink,则只需要私有子网。

    1. 可选:展开附加安全组,然后选择要应用于默认情况下创建的机器池中节点的附加自定义安全组。您必须已经创建了安全组并将其与您为此集群选择的 VPC 关联。创建集群后,无法向默认机器池添加或编辑安全组。

      默认情况下,您指定的安全组将添加到所有节点类型中。清除将相同的安全组应用于所有节点类型复选框,即可为每个节点类型应用不同的安全组。

      有关更多信息,请参阅其他资源下的安全组要求。

  15. 接受默认的应用程序入口设置,或者要创建您自己的自定义设置,请选择自定义设置

    1. 可选:提供路由选择器。

    2. 可选:提供排除的命名空间。

    3. 选择命名空间所有权策略。

    4. 选择通配符策略。

      有关自定义应用程序入口设置的更多信息,请单击每个设置提供的 信息图标。

  16. 如果您选择配置集群范围的代理,请在集群范围的代理页面上提供您的代理配置详细信息。

    1. 至少在一个字段中输入值。

      • 指定有效的HTTP 代理 URL

      • 指定有效的HTTPS 代理 URL

      • 附加信任捆绑包字段中,提供 PEM 编码的 X.509 证书捆绑包。该捆绑包将添加到集群节点的受信任证书存储中。如果您使用 TLS 检查代理,则需要一个附加的信任捆绑包文件,除非代理的标识证书是由 Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包中的机构签名的。无论代理是透明的还是需要使用http-proxyhttps-proxy参数进行显式配置,此要求都适用。

    2. 点击**下一步**。

      有关使用 OpenShift Dedicated 配置代理的更多信息,请参阅配置集群范围的代理

  17. CIDR 范围对话框中,配置自定义无类别域间路由 (CIDR) 范围或使用提供的默认值。

    如果您要安装到 VPC 中,则机器 CIDR范围必须与 VPC 子网匹配。

    CIDR 配置以后无法更改。在继续操作之前,请与您的网络管理员确认您的选择。

  18. 集群更新策略页面上,配置您的更新首选项。

    1. 选择集群更新方法。

      • 如果您想单独安排每个更新,请选择单独更新。这是默认选项。

      • 选择定期更新,以便在更新可用时,在您首选的日期和开始时间更新您的集群。

        您可以查看 OpenShift Dedicated 更新生命周期文档中的生命周期结束日期。有关更多信息,请参阅OpenShift Dedicated 更新生命周期

    2. 如果您选择定期更新,请从下拉菜单中选择首选的星期几和升级开始时间(UTC)。

    3. 可选:您可以在集群升级期间为节点驱逐设置宽限期。默认情况下设置1 小时的宽限期。

    4. 点击**下一步**。

      如果出现严重影响集群安全或稳定性的严重安全问题,Red Hat 站点可靠性工程 (SRE) 可能会安排自动更新到不受影响的最新 z 流版本。在提供客户通知后 48 小时内应用更新。有关严重影响安全评级的说明,请参阅了解 Red Hat 安全评级

  19. 查看您选择的摘要,然后单击创建集群以开始集群安装。安装大约需要 30-40 分钟才能完成。

  20. 可选:在概述选项卡上,您可以通过选择启用(位于删除保护:已禁用正下方)来启用删除保护功能。这将防止您的集群被删除。要禁用删除保护,请选择禁用。默认情况下,集群在创建时会禁用删除保护功能。

验证

  • 您可以在集群的概述页面中监控安装进度。您可以在同一页面上查看安装日志。当页面的详细信息部分中的状态列为就绪时,您的集群就已准备就绪。

其他资源