OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的中心)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

使用默认选项创建 ROSA 集群

编辑

如果您正在寻找 ROSA 的快速入门指南,请参阅 AWS 上的 Red Hat OpenShift 服务快速入门指南

使用默认选项和自动 AWS 身份和访问管理 (IAM) 资源创建,快速创建 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群。您可以使用 Red Hat OpenShift 集群管理器或 ROSA CLI (rosa) 部署集群。

本文档中的过程使用 ROSA CLI (rosa) 和 OpenShift 集群管理器中的auto模式,立即使用当前 AWS 帐户创建所需的 IAM 资源。所需的资源包括帐户范围的 IAM 角色和策略、集群特定的 Operator 角色和策略以及 OpenID Connect (OIDC) 身份提供程序。

或者,您可以使用manual模式,该模式会输出创建 IAM 资源所需的aws命令,而不是自动部署它们。有关使用manual模式或自定义设置部署 ROSA 集群的步骤,请参阅 使用自定义设置创建集群

后续步骤

ROSA CLI 1.2.7 对新集群的 OIDC 提供程序端点 URL 格式进行了更改。AWS 上的 Red Hat OpenShift 服务集群 OIDC 提供程序 URL 现在不再是区域性的。AWS CloudFront 实现提供了改进的访问速度和弹性,并减少了延迟。

由于此更改仅适用于使用 ROSA CLI 1.2.7 或更高版本创建的新集群,因此现有 OIDC 提供程序配置没有任何受支持的迁移路径。
编辑

默认集群规范概述

您可以使用默认安装选项快速创建使用安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群。以下摘要描述了默认集群规范。

表 1. 使用 STS 的默认 ROSA 集群规范
组件 默认规范

帐户和角色

  • 默认 IAM 角色前缀:ManagedOpenShift

  • 未创建集群管理员角色

集群设置

  • 默认集群版本:最新版本

  • 使用 Red Hat OpenShift 集群管理器混合云控制台安装的默认 AWS 区域:us-east-1(美国东部,北弗吉尼亚州)

  • 可用性:数据平面单区域

  • 启用了 EC2 实例元数据服务 (IMDS),并允许使用 IMDSv1 或 IMDSv2(可选令牌)

  • 用户定义项目的监控:已启用

加密

  • 云存储在静态时加密

  • 未启用额外的 etcd 加密

  • 默认 AWS 密钥管理服务 (KMS) 密钥用作持久性数据的加密密钥

控制平面节点配置

  • 控制平面节点实例类型:m5.2xlarge(8 个 vCPU,32 GiB RAM)

  • 控制平面节点数量:3

基础设施节点配置

  • 基础设施节点实例类型:r5.xlarge(4 个 vCPU,32 GiB RAM)

  • 基础设施节点数量:2

计算节点机器池

  • 计算节点实例类型:m5.xlarge(4 个 vCPU,16 GiB RAM)

  • 计算节点数量:2

  • 自动缩放:未启用

  • 无其他节点标签

网络配置

  • 集群隐私:公共

  • 您必须已配置您自己的虚拟私有云 (VPC)

  • 未配置集群范围代理

无类别域间路由 (CIDR) 范围

  • 机器 CIDR:10.0.0.0/16

  • 服务 CIDR:172.30.0.0/16

  • Pod CIDR:10.128.0.0/16

  • 主机前缀:/23

集群角色和策略

  • 用于创建 Operator 角色和 OpenID Connect (OIDC) 提供程序的模式:auto

    对于在混合云控制台上使用 OpenShift 集群管理器的安装,auto模式需要一个具有管理员权限的 OpenShift 集群管理器角色。

  • 默认 Operator 角色前缀:<cluster_name>-<4_digit_random_string>

集群更新策略

  • 个别更新

  • 节点排水 1 小时宽限期
编辑

了解 AWS 帐户关联

在您可以使用 Red Hat 混合云控制台 上的 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群之前,您必须将您的 AWS 帐户与您的 Red Hat 组织关联。您可以通过创建和链接以下 IAM 角色来关联您的帐户。

OpenShift 集群管理器角色

创建一个 OpenShift 集群管理器 IAM 角色并将其链接到您的 Red Hat 组织。

您可以将基本权限或管理权限应用于 OpenShift 集群管理器角色。基本权限允许使用 OpenShift 集群管理器进行集群维护。管理权限允许使用 OpenShift 集群管理器自动部署集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序。

您可以将管理权限与 OpenShift 集群管理器角色一起使用以快速部署集群。

用户角色

创建一个用户 IAM 角色并将其链接到您的 Red Hat 用户帐户。Red Hat 用户帐户必须存在于与您的 OpenShift 集群管理器角色链接的 Red Hat 组织中。

当您使用 OpenShift 集群管理器混合云控制台安装集群和所需的 STS 资源时,Red Hat 使用用户角色来验证您的 AWS 身份。

其他资源
编辑

非 PrivateLink ROSA 集群的 Amazon VPC 要求

要创建 Amazon VPC,您必须拥有以下内容:

  • 一个互联网网关;

  • 一个 NAT 网关;

  • 具有提供互联网连接的私有和公共子网,用于安装所需组件。

对于单 AZ 集群,您必须至少有一个私有和公共子网,对于多 AZ 集群,您需要至少三个私有和公共子网。

其他资源

  • 有关 AWS 集群所需默认组件的更多信息,请参阅 AWS 文档中的 默认 VPC

  • 有关在 AWS 控制台中创建 VPC 的说明,请参阅 AWS 文档中的 创建 VPC

编辑

使用 OpenShift 集群管理器快速创建集群

当使用 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群时,您可以选择默认选项以快速创建集群。

在您可以使用 OpenShift 集群管理器部署使用 STS 集群的 ROSA 之前,您必须将您的 AWS 帐户与您的 Red Hat 组织关联,并创建所需的帐户范围 STS 角色和策略。

编辑

将您的 AWS 帐户与您的 Red Hat 组织关联

在使用 Red Hat 混合云控制台 上的 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群之前,请创建一个 OpenShift 集群管理器 IAM 角色并将其链接到您的 Red Hat 组织。然后,创建一个用户 IAM 角色并将其链接到同一 Red Hat 组织中的您的 Red Hat 用户帐户。

先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新版本的 ROSA CLI(rosa)。

    要成功安装 ROSA 集群,请使用最新版本的 ROSA CLI。

  • 您已使用 ROSA CLI 登录到您的 Red Hat 帐户。

  • 您在 Red Hat 组织中拥有组织管理员权限。

步骤

  1. 创建 OpenShift 集群管理器角色并将其链接到您的 Red Hat 组织

    要使用 OpenShift 集群管理器混合云控制台自动部署集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序,您必须通过在创建 ROSA 集群的“帐户和角色”步骤中选择“Admin OCM 角色”命令来为该角色应用管理员权限。有关 OpenShift 集群管理器角色的基本权限和管理员权限的更多信息,请参阅了解 AWS 帐户关联

    如果您在 OpenShift 集群管理器混合云控制台创建 ROSA 集群的“帐户和角色”步骤中选择“基本 OCM 角色”命令,则必须使用手动模式部署 ROSA 集群。您将在后续步骤中被提示配置集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序。

    		 
    $ rosa create ocm-role

    选择提示中的默认值以快速创建和链接角色。

  2. 创建用户角色并将其链接到您的 Red Hat 用户帐户

    $ rosa create user-role

    选择提示中的默认值以快速创建和链接角色。

    Red Hat 用户帐户必须存在于已链接到您的 OpenShift 集群管理器角色的 Red Hat 组织中。
编辑

创建帐户范围的 STS 角色和策略

在使用 Red Hat OpenShift 集群管理器混合云控制台创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群之前,请创建所需的帐户范围的 STS 角色和策略,包括 Operator 策略。

先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新版本的 ROSA CLI(rosa)。运行 rosa version 可查看您当前安装的 ROSA CLI 版本。如果可用较新版本,CLI 将提供下载此升级的链接。

  • 您已使用 ROSA CLI 登录到您的 Red Hat 帐户。

步骤

  1. 检查您的 AWS 帐户中是否存在现有角色和策略

    $ rosa list account-roles

  2. 如果您的 AWS 帐户中不存在这些角色和策略,请创建所需的帐户范围的 STS 角色和策略

    $ rosa create account-roles

    选择提示中的默认值以快速创建角色和策略。

编辑

创建 OpenID Connect 配置

使用 Red Hat OpenShift Service on AWS 集群时,您可以在创建集群之前创建 OpenID Connect (OIDC) 配置。此配置已注册,可与 OpenShift 集群管理器一起使用。

先决条件

  • 您已在安装主机上安装并配置了最新版本的 Red Hat OpenShift Service on AWS (ROSA) CLI,rosa

步骤

  1. 要与 AWS 资源一起创建 OIDC 配置,请运行以下命令

    $ rosa create oidc-config --mode=auto --yes

    此命令将返回以下信息。

    示例输出
    ? Would you like to create a Managed (Red Hat hosted) OIDC Configuration Yes
I: Setting up managed OIDC configuration
I: To create Operator Roles for this OIDC Configuration, run the following command and remember to replace <user-defined> with a prefix of your choice:
	rosa create operator-roles --prefix <user-defined> --oidc-config-id 13cdr6b
If you are going to create a Hosted Control Plane cluster please include '--hosted-cp'
I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/13cdr6b'

    创建集群时,您必须提供 OIDC 配置 ID。CLI 输出为--mode auto 提供此值,否则您必须根据--mode manualaws CLI 输出确定这些值。

  2. 可选:您可以将 OIDC 配置 ID 保存为变量以供以后使用。运行以下命令保存变量

    $ export OIDC_ID=<oidc_config_id>(1)
    1 在上例输出中,OIDC 配置 ID 为 13cdr6b。

    • 运行以下命令查看变量的值

      $ echo $OIDC_ID
      示例输出
      13cdr6b
验证

  • 您可以列出与您的用户组织关联的集群可用的 OIDC 配置。运行以下命令

    $ rosa list oidc-config
    示例输出
    ID                                MANAGED  ISSUER URL                                                             SECRET ARN
2330dbs0n8m3chkkr25gkkcd8pnj3lk2  true     https://dvbwgdztaeq9o.cloudfront.net/2330dbs0n8m3chkkr25gkkcd8pnj3lk2
233hvnrjoqu14jltk6lhbhf2tj11f8un  false    https://oidc-r7u1.s3.us-east-1.amazonaws.com                           aws:secretsmanager:us-east-1:242819244:secret:rosa-private-key-oidc-r7u1-tM3MDN
编辑

使用 OpenShift 集群管理器创建具有默认选项的集群

当在Red Hat 混合云控制台上使用 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群时,您可以选择默认选项以快速创建集群。您还可以使用管理员 OpenShift 集群管理器 IAM 角色来启用集群特定 Operator 角色和 OpenID Connect (OIDC) 提供程序的自动部署。

先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新版本的 ROSA CLI(rosa)。运行 rosa version 可查看您当前安装的 ROSA CLI 版本。如果可用较新版本,CLI 将提供下载此升级的链接。

  • 您已验证 AWS 弹性负载均衡 (ELB) 服务角色存在于您的 AWS 帐户中。

  • 您已将您的 AWS 帐户与您的 Red Hat 组织关联。关联帐户时,您已将管理员权限应用于 OpenShift 集群管理器角色。有关详细步骤,请参阅将您的 AWS 帐户与您的 Red Hat 组织关联

  • 您已创建所需的帐户范围的 STS 角色和策略。有关详细步骤,请参阅创建帐户范围的 STS 角色和策略

步骤

  1. 导航到OpenShift 集群管理器 并选择创建集群

  2. 创建 OpenShift 集群页面上,选择Red Hat OpenShift Service on AWS (ROSA) 行中的创建集群

  3. 验证您的 AWS 帐户 ID 是否列在关联的 AWS 帐户下拉菜单中,以及安装程序、支持、工作程序和控制平面帐户角色 Amazon 资源名称 (ARN) 是否列在帐户和角色页面上。

    如果您的 AWS 帐户 ID 未列出,请检查您是否已成功将您的 AWS 帐户与您的 Red Hat 组织关联。如果您的帐户角色 ARN 未列出,请检查您的 AWS 帐户中是否存在所需的帐户范围的 STS 角色。

  4. 单击下一步

  5. 集群详细信息页面上,在集群名称字段中为您的集群提供名称。保留其余字段中的默认值,然后单击下一步

    集群创建会生成一个域名前缀作为您在openshiftapps.com 上配置的集群的子域名。如果集群名称小于或等于 15 个字符,则使用该名称作为域名前缀。如果集群名称超过 15 个字符,则域名前缀将随机生成一个 15 个字符的字符串。要自定义子域名,请选中创建自定义域名前缀复选框,并在域名前缀字段中输入您的域名前缀名称。

  6. 要快速部署集群,请保留集群设置网络集群角色和策略以及集群更新页面中的默认选项,并在每个页面上单击下一步

  7. 查看您的 ROSA 集群页面上,查看所选项的摘要,然后单击创建集群以开始安装。

  8. 可选:在概述选项卡上,您可以通过选择启用(位于删除保护:已禁用正下方)来启用删除保护功能。这将防止您的集群被删除。要禁用删除保护,请选择禁用。默认情况下,集群创建时删除保护功能处于禁用状态。

    验证

    • 您可以在集群的概述页面中检查安装进度。您可以在同一页面上查看安装日志。当页面的详细信息部分中的状态显示为就绪时,您的集群已准备就绪。

      如果安装失败或集群状态在大约 40 分钟后未更改为就绪,请检查安装故障排除文档以了解详细信息。有关更多信息,请参阅安装故障排除。有关联系 Red Hat 支持寻求帮助的步骤,请参阅获取 Red Hat OpenShift Service on AWS 的支持
编辑

使用 CLI 快速创建集群

当使用 Red Hat OpenShift Service on AWS (ROSA) CLI,rosa,创建使用 AWS 安全令牌服务 (STS) 的集群时,您可以选择默认选项以快速创建集群。

先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新版本的 ROSA CLI(rosa)。运行 rosa version 可查看您当前安装的 ROSA CLI 版本。如果可用较新版本,CLI 将提供下载此升级的链接。

  • 您已使用 ROSA CLI 登录到您的 Red Hat 帐户。

  • 您已验证 AWS 弹性负载均衡 (ELB) 服务角色存在于您的 AWS 帐户中。

步骤

  1. 创建所需的帐户范围的角色和策略,包括 Operator 策略

    $ rosa create account-roles --mode auto

    使用auto 模式时,您可以选择指定-y 参数以绕过交互式提示并自动确认操作。

  2. 使用 STS 创建集群,并使用默认设置。使用默认设置时,将安装最新的稳定版 OpenShift。

    $ rosa create cluster --cluster-name <cluster_name> \ (1)
--sts --mode auto (2)
    1 <cluster_name>替换为您的集群名称。
    2 当您指定--mode auto时,rosa create cluster命令会自动创建集群特定的 Operator IAM 角色和 OIDC 提供程序。Operators 使用 OIDC 提供程序进行身份验证。

    如果您的集群名称超过 15 个字符,则会在*.openshiftapps.com上为您配置的集群的子域中包含自动生成的域前缀。

    要自定义子域,请使用--domain-prefix标志。域前缀不能超过 15 个字符,必须唯一,并且在集群创建后无法更改。

  3. 检查集群状态

    $ rosa describe cluster --cluster <cluster_name|cluster_id>

    集群安装进度中,输出中会列出以下State字段的变化

    • waiting (等待 OIDC 配置)

    • pending (准备账户)

    • installing (DNS 设置正在进行中)

    • installing (安装中)

    • ready (已准备就绪)

      如果安装失败或State字段在大约 40 分钟后仍未更改为ready,请查看安装故障排除文档了解详情。更多信息,请参见安装故障排除。有关联系 Red Hat 支持寻求帮助的步骤,请参见AWS 上 Red Hat OpenShift 服务的支持

  4. 通过监视 OpenShift 安装日志来跟踪集群创建进度

    $ rosa logs install --cluster <cluster_name|cluster_id> --watch (1)
    1 指定--watch标志以在安装过程中监视新的日志消息。此参数是可选的。
编辑

后续步骤

其他资源