OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

使用 STS 和自定义配置创建 ROSA 集群

编辑

使用 AWS 安全令牌服务 (STS) 和自定义配置创建 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群。您可以使用 Red Hat OpenShift 集群管理器或 ROSA CLI (rosa) 部署集群。

使用本文档中的步骤,您还可以在创建所需的 AWS 身份和访问管理 (IAM) 资源时选择automanual 模式。

编辑

了解自动和手动部署模式

安装使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群时,您可以选择automanual 模式来创建所需的 AWS 身份和访问管理 (IAM) 资源。

auto 模式

在此模式下,ROSA CLI (rosa) 会立即在您的 AWS 账户中创建所需的 IAM 角色和策略以及 OpenID Connect (OIDC) 提供程序。

manual 模式

在此模式下,rosa 会输出创建 IAM 资源所需的aws 命令。相应的策略 JSON 文件也会保存到当前目录。使用manual 模式,您可以在手动运行之前查看生成的aws 命令。manual 模式还允许您将命令传递给组织中的其他管理员或组,以便他们可以创建资源。

如果您选择使用manual 模式,则集群安装将等待您手动创建集群特定的 Operator 角色和 OIDC 提供程序。创建资源后,安装将继续进行。有关更多信息,请参阅使用 OpenShift 集群管理器创建 Operator 角色和 OIDC 提供程序

有关使用 STS 安装 ROSA 所需的 AWS IAM 资源的更多信息,请参阅关于使用 STS 的集群的 IAM 资源

编辑

使用 OpenShift 集群管理器创建 Operator 角色和 OIDC 提供程序

如果您使用 Red Hat OpenShift 集群管理器安装集群并选择使用manual 模式创建所需的 AWS IAM Operator 角色和 OIDC 提供程序,系统会提示您选择以下方法之一来安装资源。提供这些选项是为了让您可以选择适合组织需求的资源创建方法。

AWS CLI (aws)

使用此方法,您可以下载并解压缩包含创建 IAM 资源所需的aws 命令和策略文件的存档文件。从包含策略文件的目录运行提供的 CLI 命令以创建 Operator 角色和 OIDC 提供程序。

AWS 上的 Red Hat OpenShift 服务 (ROSA) CLI,rosa

您可以运行此方法提供的命令,使用rosa 为您的集群创建 Operator 角色和 OIDC 提供程序。

如果您使用auto 模式,OpenShift 集群管理器将使用通过 OpenShift 集群管理器 IAM 角色提供的权限自动创建 Operator 角色和 OIDC 提供程序。要使用此功能,您必须对该角色应用管理员权限。

编辑

了解 AWS 账户关联

在您可以使用 Red Hat 混合云控制台 上的 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群之前,您必须将您的 AWS 账户与您的 Red Hat 组织关联。您可以通过创建和链接以下 IAM 角色来关联您的账户。

OpenShift 集群管理器角色

创建一个 OpenShift 集群管理器 IAM 角色并将其链接到您的 Red Hat 组织。

您可以对 OpenShift 集群管理器角色应用基本权限或管理员权限。基本权限允许使用 OpenShift 集群管理器进行集群维护。管理员权限允许使用 OpenShift 集群管理器自动部署集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序。

用户角色

创建一个用户 IAM 角色并将其链接到您的 Red Hat 用户账户。Red Hat 用户账户必须存在于链接到您的 OpenShift 集群管理器角色的 Red Hat 组织中。

当您使用 OpenShift 集群管理器混合云控制台安装集群和所需的 STS 资源时,Red Hat 会使用用户角色来验证您的 AWS 身份。

其他资源
编辑

IAM 角色和策略的 ARN 路径自定义

当您创建 AWS IAM 角色和策略(用于使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群)时,您可以指定自定义 Amazon 资源名称 (ARN) 路径。这使您可以使用符合组织安全要求的角色和策略 ARN 路径。

您可以在创建 OCM 角色、用户角色以及帐户范围的角色和策略时指定自定义 ARN 路径。

如果您在创建一组帐户范围的角色和策略时定义了自定义 ARN 路径,则相同的路径将应用于该组中的所有角色和策略。以下示例显示了一组帐户范围的角色和策略的 ARN。在示例中,ARN 使用自定义路径/test/path/dev/和自定义角色前缀test-env

  • arn:aws:iam::<account_id>:role/test/path/dev/test-env-Worker-Role

  • arn:aws:iam::<account_id>:role/test/path/dev/test-env-Support-Role

  • arn:aws:iam::<account_id>:role/test/path/dev/test-env-Installer-Role

  • arn:aws:iam::<account_id>:role/test/path/dev/test-env-ControlPlane-Role

  • arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Worker-Role-Policy

  • arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Support-Role-Policy

  • arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Installer-Role-Policy

  • arn:aws:iam::<account_id>:policy/test/path/dev/test-env-ControlPlane-Role-Policy

创建集群特定的 Operator 角色时,会自动检测并应用相关帐户范围安装程序角色的 ARN 路径到 Operator 角色。

有关 ARN 路径的更多信息,请参阅 AWS 文档中的Amazon 资源名称 (ARN)

其他资源
编辑

使用 STS 的 ROSA 集群的支持注意事项

创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群的支持方式是使用本产品文档中描述的步骤。

您可以使用 ROSA CLI (rosa) 的manual模式生成安装 STS 资源所需的 AWS 身份和访问管理 (IAM) 策略文件和aws命令。

生成的文件和aws命令仅供审查使用,不得以任何方式修改。对于使用策略文件或aws命令的修改版本部署的 ROSA 集群,Red Hat 无法提供支持。
编辑

非 PrivateLink ROSA 集群的 Amazon VPC 要求

要创建 Amazon VPC,您必须拥有以下内容:

  • 一个互联网网关;

  • 一个 NAT 网关;

  • 提供互联网连接以安装所需组件的私有和公共子网。

对于单可用区集群,您必须至少拥有一个私有和公共子网;对于多可用区集群,您需要至少三个私有和公共子网。

其他资源

  • 有关 AWS 集群所需默认组件的更多信息,请参阅 AWS 文档中的默认 VPC

  • 有关在 AWS 控制台中创建 VPC 的说明,请参阅 AWS 文档中的创建 VPC

编辑

创建 OpenID Connect 配置

使用 AWS 上的 Red Hat OpenShift 服务集群时,您可以在创建集群之前创建 OpenID Connect (OIDC) 配置。此配置已注册,可与 OpenShift 集群管理器一起使用。

先决条件

  • 您已在安装主机上安装并配置了最新的 AWS 上的 Red Hat OpenShift 服务 (ROSA) CLI (rosa)。

步骤

  1. 要与 AWS 资源一起创建 OIDC 配置,请运行以下命令:

    $ rosa create oidc-config --mode=auto --yes

    此命令将返回以下信息。

    示例输出
    ? Would you like to create a Managed (Red Hat hosted) OIDC Configuration Yes
I: Setting up managed OIDC configuration
I: To create Operator Roles for this OIDC Configuration, run the following command and remember to replace <user-defined> with a prefix of your choice:
	rosa create operator-roles --prefix <user-defined> --oidc-config-id 13cdr6b
If you are going to create a Hosted Control Plane cluster please include '--hosted-cp'
I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/13cdr6b'

    创建集群时,您必须提供 OIDC 配置 ID。CLI 输出为--mode auto提供了此值,否则您必须根据--mode manualaws CLI 输出确定这些值。

  2. 可选:您可以将 OIDC 配置 ID 保存为变量以供以后使用。运行以下命令保存变量:

    $ export OIDC_ID=<oidc_config_id>(1)
    1 在上面的示例输出中,OIDC 配置 ID 为 13cdr6b。

    • 运行以下命令查看变量的值:

      $ echo $OIDC_ID
      示例输出
      13cdr6b
验证

  • 您可以列出与您的用户组织关联的集群可用的 OIDC 配置。运行以下命令:

    $ rosa list oidc-config
    示例输出
    ID                                MANAGED  ISSUER URL                                                             SECRET ARN
2330dbs0n8m3chkkr25gkkcd8pnj3lk2  true     https://dvbwgdztaeq9o.cloudfront.net/2330dbs0n8m3chkkr25gkkcd8pnj3lk2
233hvnrjoqu14jltk6lhbhf2tj11f8un  false    https://oidc-r7u1.s3.us-east-1.amazonaws.com                           aws:secretsmanager:us-east-1:242819244:secret:rosa-private-key-oidc-r7u1-tM3MDN
编辑

使用自定义设置创建集群

部署一个使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群,并使用适合您环境需求的配置。您可以使用 Red Hat OpenShift 集群管理器或 ROSA CLI (rosa) 部署具有自定义设置的集群。

编辑

使用 OpenShift 集群管理器创建具有自定义设置的集群

当您创建使用 AWS 安全令牌服务 (STS) 的 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群时,您可以使用 Red Hat OpenShift 集群管理器以交互方式自定义安装。

只有公共集群和 AWS PrivateLink 集群支持 STS。常规私有集群(非 PrivateLink)无法与 STS 一起使用。
先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新的 ROSA CLI (rosa)。运行rosa version查看您当前安装的 ROSA CLI 版本。如果可用较新版本,CLI 将提供下载此升级的链接。

  • 您已验证 AWS 弹性负载均衡 (ELB) 服务角色是否存在于您的 AWS 帐户中。

  • 如果您正在配置集群范围的代理,则您已验证该代理是否可从安装集群的 VPC 访问。代理还必须可从 VPC 的私有子网访问。

步骤

  1. 导航到OpenShift 集群管理器并选择**创建集群**。

  2. 在**创建 OpenShift 集群**页面上,选择**AWS 上的 Red Hat OpenShift 服务 (ROSA)**行中的**创建集群**。

  3. 如果自动检测到 AWS 账户,则账户 ID 会列在**关联的 AWS 账户**下拉菜单中。如果没有自动检测到 AWS 账户,请点击**选择账户** → **关联 AWS 账户**,然后按照以下步骤操作。

    1. 在**身份验证**页面,点击`rosa login`命令旁边的复制按钮。该命令包含您的 OpenShift 集群管理器 API 登录令牌。

      您也可以在 OpenShift 集群管理器的OpenShift 集群管理器 API 令牌页面加载您的 API 令牌。

    2. 在 CLI 中运行复制的命令以登录到您的 ROSA 账户。

      $ rosa login --token=<api_login_token> (1)
      1 <api_login_token>替换为复制的命令中提供的令牌。
      示例输出
      I: Logged in as '<username>' on 'https://api.openshift.com'

    3. 在 OpenShift 集群管理器的**身份验证**页面上,点击**下一步**。

    4. 在**OCM 角色**页面上,点击**基本 OCM 角色**或**管理员 OCM 角色**命令旁边的复制按钮。

      基本角色允许 OpenShift 集群管理器检测 ROSA 需要的 AWS IAM 角色和策略。管理员角色也允许检测角色和策略。此外,管理员角色允许使用 OpenShift 集群管理器自动部署集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序。

    5. 在 CLI 中运行复制的命令,并按照提示创建 OpenShift 集群管理器 IAM 角色。以下示例使用默认选项创建基本 OpenShift 集群管理器 IAM 角色。

      $ rosa create ocm-role
      示例输出
      I: Creating ocm role
? Role prefix: ManagedOpenShift (1)
? Enable admin capabilities for the OCM role (optional): No (2)
? Permissions boundary ARN (optional):  (3)
? Role Path (optional): (4)
? Role creation mode: auto (5)
I: Creating role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
? Create the 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role? Yes
I: Created role 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>
? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role with organization '<red_hat_organization_id>'? Yes (6)
I: Successfully linked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with organization account '<red_hat_organization_id>'
      1 指定要在 OCM IAM 角色名称中包含的前缀。默认为ManagedOpenShift。您只能为您的 Red Hat 组织在每个 AWS 账户中创建一个 OCM 角色。
      2 启用管理员 OpenShift 集群管理器 IAM 角色,这相当于指定--admin参数。如果您想使用**自动**模式通过 OpenShift 集群管理器自动预配集群特定的 Operator 角色和 OIDC 提供程序,则需要管理员角色。
      3 可选:为角色指定权限边界 Amazon 资源名称 (ARN)。更多信息,请参阅 AWS 文档中的IAM 实体的权限边界
      4 为您的 OCM 角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以/开头和结尾,例如/test/path/dev/。更多信息,请参阅 *IAM 角色和策略的 ARN 路径自定义*。
      5 选择角色创建模式。您可以使用auto模式自动创建 OpenShift 集群管理器 IAM 角色并将其链接到您的 Red Hat 组织账户。在manual模式下,ROSA CLI 会生成创建和链接角色所需的aws命令。在manual模式下,相应的策略 JSON 文件也会保存到当前目录。manual模式允许您在手动运行aws命令之前查看详细信息。
      6 将 OpenShift 集群管理器 IAM 角色链接到您的 Red Hat 组织账户。

    6. 如果您在上一个命令中选择不将 OpenShift 集群管理器 IAM 角色链接到您的 Red Hat 组织账户,请从 OpenShift 集群管理器的**OCM 角色**页面复制rosa link命令并运行它。

      $ rosa link ocm-role <arn> (1)
      1 <arn>替换为上一个命令输出中包含的 OpenShift 集群管理器 IAM 角色的 ARN。

    7. 在 OpenShift 集群管理器的**OCM 角色**页面上选择**下一步**。

    8. 在**用户角色**页面上,点击**用户角色**命令的复制按钮并在 CLI 中运行该命令。Red Hat 使用用户角色在您使用 OpenShift 集群管理器安装集群和所需资源时验证您的 AWS 身份。

      按照提示创建用户角色。

      $ rosa create user-role
      示例输出
      I: Creating User role
? Role prefix: ManagedOpenShift (1)
? Permissions boundary ARN (optional): (2)
? Role Path (optional): [? for help] (3)
? Role creation mode: auto (4)
I: Creating ocm user role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
? Create the 'ManagedOpenShift-User-<red_hat_username>-Role' role? Yes
I: Created role 'ManagedOpenShift-User-<red_hat_username>-Role' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role'
I: Linking User role
? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role
? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' role with account '<red_hat_user_account_id>'? Yes (5)
I: Successfully linked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' with account '<red_hat_user_account_id>'
      1 指定要在用户角色名称中包含的前缀。默认为ManagedOpenShift
      2 可选:为角色指定权限边界 Amazon 资源名称 (ARN)。更多信息,请参阅 AWS 文档中的IAM 实体的权限边界
      3 为您的用户角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以/开头和结尾,例如/test/path/dev/。更多信息,请参阅 *IAM 角色和策略的 ARN 路径自定义*。
      4 选择角色创建模式。您可以使用auto模式自动创建用户角色并将其链接到您的 OpenShift 集群管理器用户账户。在manual模式下,ROSA CLI 会生成创建和链接角色所需的aws命令。在manual模式下,相应的策略 JSON 文件也会保存到当前目录。manual模式允许您在手动运行aws命令之前查看详细信息。
      5 将用户角色链接到您的 OpenShift 集群管理器用户账户。

    9. 如果您在上一个命令中选择不将用户角色链接到您的 OpenShift 集群管理器用户账户,请从 OpenShift 集群管理器的**用户角色**页面复制rosa link命令并运行它。

      $ rosa link user-role <arn> (1)
      1 <arn>替换为上一个命令输出中包含的用户角色的 ARN。

    10. 在 OpenShift 集群管理器的**用户角色**页面上,点击**确定**。

    11. 验证 AWS 账户 ID 是否列在**账户和角色**页面上的**关联的 AWS 账户**下拉菜单中。

    12. 如果所需的账户角色不存在,则会显示一条通知,指出**某些账户角色 ARN 未检测到**。您可以通过点击rosa create account-roles命令旁边的复制缓冲区并在 CLI 中运行该命令来创建 AWS 账户范围的角色和策略,包括 Operator 策略。

      $ rosa create account-roles
      示例输出
      I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
I: Validating AWS credentials...
I: AWS credentials are valid!
I: Validating AWS quota...
I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against http://docs.openshift.org.cn/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
I: Verifying whether OpenShift command-line tool is available...
I: Current OpenShift Client Version: .0
I: Creating account roles
? Role prefix: ManagedOpenShift (1)
? Permissions boundary ARN (optional): (2)
? Path (optional): [? for help] (3)
? Role creation mode: auto (4)
I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
? Create the 'ManagedOpenShift-Installer-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
? Create the 'ManagedOpenShift-Worker-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
? Create the 'ManagedOpenShift-Support-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
I: To create a cluster with these roles, run the following command:
rosa create cluster --sts
      1 指定要在 OpenShift 集群管理器 IAM 角色名称中包含的前缀。默认为ManagedOpenShift

      即使您为账户角色使用自定义 ARN 路径,也必须指定在您的 AWS 账户中唯一的账户范围角色前缀。
      2 可选:为角色指定权限边界 Amazon 资源名称 (ARN)。更多信息,请参阅 AWS 文档中的IAM 实体的权限边界
      3 为您的账户范围角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以/开头和结尾,例如/test/path/dev/。更多信息,请参阅 *IAM 角色和策略的 ARN 路径自定义*。
      4 选择角色创建模式。您可以使用auto模式自动创建账户范围的角色和策略。在manual模式下,ROSA CLI 会生成创建角色和策略所需的aws命令。在manual模式下,相应的策略 JSON 文件也会保存到当前目录。manual模式允许您在手动运行aws命令之前查看详细信息。
      5 创建帐户范围内的安装程序、控制平面、工作节点和支持角色以及相应的 IAM 策略。更多信息,请参见《帐户范围内的 IAM 角色和策略参考》。

      在此步骤中,ROSA CLI 还将自动创建帐户范围内的 Operator IAM 策略,这些策略由集群特定的 Operator 策略使用,以允许 ROSA 集群 Operator 执行核心 OpenShift 功能。更多信息,请参见《帐户范围内的 IAM 角色和策略参考》。

    13. 在**帐户和角色**页面上,单击**刷新 ARN**并验证安装程序、支持、工作节点和控制平面帐户角色 ARN 是否已列出。

      如果您的 AWS 帐户中针对您的集群版本有多个帐户角色集,则会提供**安装程序角色** ARN 的下拉列表。选择要与集群一起使用的安装程序角色的 ARN。集群将使用与所选安装程序角色相关的帐户范围内的角色和策略。

  4. 单击**下一步**。

    如果刷新了**帐户和角色**页面,您可能需要再次选中复选框以确认您已阅读并完成了所有先决条件。

  5. 在**集群详细信息**页面上,为您的集群提供名称并指定集群详细信息。

    1. 添加**集群名称**。

    2. 可选:集群创建会生成一个域名前缀,作为您在openshiftapps.com上配置的集群的子域。如果集群名称小于或等于 15 个字符,则该名称将用作域名前缀。如果集群名称超过 15 个字符,则域名前缀将随机生成一个 15 个字符的字符串。

      要自定义子域,请选中**创建自定义域名前缀**复选框,并在**域名前缀**字段中输入您的域名前缀名称。域名前缀不能超过 15 个字符,必须在您的组织内唯一,并且在集群创建后无法更改。

    3. 从**版本**下拉菜单中选择集群版本。

    4. 从**区域**下拉菜单中选择云提供商区域。

    5. 选择**单区域**或**多区域**配置。

    6. 保持选中**启用用户工作负载监控**,以便隔离 Red Hat 站点可靠性工程师 (SRE) 平台指标来监控您自己的项目。此选项默认启用。

    7. 可选:展开**高级加密**以更改加密设置。

      1. 接受默认设置**使用默认 KMS 密钥**以使用您的默认 AWS KMS 密钥,或选择**使用自定义 KMS 密钥**以使用自定义 KMS 密钥。

        1. 选中**使用自定义 KMS 密钥**后,在**密钥 ARN**字段中输入 AWS 密钥管理服务 (KMS) 自定义密钥 Amazon 资源名称 (ARN) ARN。该密钥用于加密集群中的所有控制平面、基础架构、工作节点根卷和持久卷。

        2. 可选:要创建客户管理的 KMS 密钥,请按照创建对称加密 KMS 密钥的过程操作。

          除了帐户角色外,还需要 EBS Operator 角色才能成功创建集群。

          此角色必须附加ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials策略,这是 ROSA 通过容器存储接口 (CSI) 管理后端存储所需的 IAM 策略。

          有关集群 Operator 需要哪些策略和权限的更多信息,请参见《帐户范围角色创建方法》。

          EBS Operator 角色示例

          "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

          创建 Operator 角色后,必须在 AWS 控制台的**密钥管理服务 (KMS)**页面中编辑密钥策略以添加角色。

      2. 可选:如果需要集群通过 FIPS 验证,请选择**启用 FIPS 加密**。

        如果选中**启用 FIPS 加密**,则默认启用**启用附加 etcd 加密**且无法禁用。您可以选择**启用附加 etcd 加密**而无需选择**启用 FIPS 加密**。

      3. 可选:如果需要 etcd 密钥值加密,请选择**启用附加 etcd 加密**。使用此选项,etcd 密钥值将被加密,但密钥不会被加密。此选项是对默认控制平面存储加密(默认情况下加密 Red Hat OpenShift Service on AWS 集群中的 etcd 卷)的补充。

        通过为 etcd 中的密钥值启用 etcd 加密,您将产生大约 20% 的性能开销。开销是由于除了默认的控制平面存储加密(加密 etcd 卷)外,又引入了第二层加密。仅当您具体需要它用于您的用例时,才考虑启用 etcd 加密。

    8. 单击**下一步**。

  6. 在**默认机器池**页面上,选择**计算节点实例类型**。

    创建集群后,您可以更改集群中计算节点的数量,但不能更改默认机器池中的计算节点实例类型。您可以使用的节点数量和类型取决于您使用的是单可用区还是多可用区。它们还取决于在您的 AWS 帐户和所选区域中启用了什么以及可用了什么。

  7. 可选:为默认机器池配置自动缩放

    1. 选择**启用自动缩放**以自动缩放默认机器池中的机器数量以满足部署需求。

    2. 设置自动缩放的最小和最大节点计数限制。集群自动缩放器不会将默认机器池节点计数减少或增加到您指定的限制之外。

      • 如果您使用单可用区部署了集群,请设置**最小节点数**和**最大节点数**。这定义了可用区中的最小和最大计算节点限制。

      • 如果您使用多个可用区部署了集群,请设置**每个区域的最小节点数**和**每个区域的最大节点数**。这定义了每个区域的最小和最大计算节点限制。

      或者,您可以在创建机器池后设置默认机器池的自动缩放首选项。

  8. 如果您没有启用自动缩放,请选择默认机器池的计算节点计数。

    • 如果您使用单可用区部署了集群,请从下拉菜单中选择**计算节点计数**。这定义了要为此区域的机器池配置的计算节点数量。

    • 如果您使用多个可用区部署了集群,请从下拉菜单中选择**计算节点计数(每个区域)**。这定义了要为每个区域的机器池配置的计算节点数量。

  9. 可选:选择 EC2 实例元数据服务 (IMDS) 配置 -optional(默认)或required - 以强制使用 IMDSv2。有关 IMDS 的更多信息,请参阅 AWS 文档中的实例元数据和用户数据

    创建集群后,无法更改实例元数据服务设置。

  10. 可选:展开**编辑节点标签**以向您的节点添加标签。单击**添加标签**以添加更多节点标签,然后选择**下一步**。

  11. 在**网络配置**页面的**集群隐私**部分,选择**公共**或**私有**以使用公共或私有 API 端点和应用程序路由。

    集群创建后,无法在公共和私有 API 端点之间切换。
    公共 API 端点

    如果您不想限制对集群的访问,请选择**公共**。您可以从互联网访问 Kubernetes API 端点和应用程序路由。

    私有 API 端点

    如果您想限制对集群的网络访问,请选择**私有**。Kubernetes API 端点和应用程序路由仅可通过直接私有连接访问。

    如果您使用私有 API 端点,则在更新云提供商帐户中的网络设置之前,无法访问您的集群。

  12. 可选:如果您选择使用公共 API 端点,则默认情况下会为您的集群创建一个新的 VPC。如果您想将集群安装到现有 VPC 中,请选择**安装到现有 VPC**。

    您不能将 ROSA 集群安装到由 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署过程中创建,并且必须仅与单个集群关联,以确保集群配置和删除操作能够正确运行。

    要验证 VPC 是否由 OpenShift 安装程序创建,请检查 kubernetes.io/cluster/<infra-id> 标签上的 owned 值。例如,当查看名为 mycluster-12abc-34def 的 VPC 的标签时,kubernetes.io/cluster/mycluster-12abc-34def 标签的值为 owned。因此,该 VPC 是由安装程序创建的,管理员不得修改它。

    如果您选择使用私有 API 端点,则必须使用现有 VPC 和 PrivateLink,并且会自动选择**安装到现有 VPC**和**使用 PrivateLink**选项。使用这些选项,Red Hat 站点可靠性工程 (SRE) 团队只能使用 AWS PrivateLink 端点连接到集群以提供支持。

  13. 可选:如果您将集群安装到现有 VPC 中,请选择**配置集群范围代理**以启用 HTTP 或 HTTPS 代理,从而拒绝从集群直接访问互联网。

  14. 单击**下一步**。

  15. 如果您选择将集群安装到现有的 AWS VPC 中,请提供您的**虚拟私有云 (VPC) 子网设置**。

    您必须确保您的 VPC 为您要安装集群的每个可用区配置了公共子网和私有子网。如果您选择使用 PrivateLink,则只需要私有子网。

    1. 可选:展开**附加安全组**并选择要应用于默认创建的机器池中节点的其他自定义安全组。您必须已经创建了安全组并将它们与您为此集群选择的 VPC 关联。创建集群后,您无法向默认机器池添加或编辑安全组。

      默认情况下,您指定的安全组将被添加到所有节点类型。取消选中**将相同的安全组应用于所有节点类型(控制平面、基础设施和工作节点)**复选框,以便为每种节点类型选择不同的安全组。

      有关更多信息,请参阅《附加资源》下的《安全组》要求。

  16. 如果您选择配置集群范围代理,请在**集群范围代理**页面上提供您的代理配置详细信息。

    1. 至少在一个字段中输入一个值

      • 指定有效的**HTTP 代理 URL**。

      • 指定有效的**HTTPS 代理 URL**。

      • 在**附加信任捆绑包**字段中,提供 PEM 编码的 X.509 证书捆绑包。该捆绑包将添加到集群节点的受信任证书存储区。如果您使用 TLS 检查代理,则需要一个附加的信任捆绑包文件,除非代理的身份证书是由 Red Hat Enterprise Linux CoreOS (RHCOS) 信任捆绑包中的机构签名的。无论代理是透明的还是需要使用 http-proxy 和 https-proxy 参数进行显式配置,此要求都适用。

    2. 单击**下一步**。

      有关使用 AWS 上的 Red Hat OpenShift 服务配置代理的更多信息,请参阅《配置集群范围代理》。

  17. 在**CIDR 范围**对话框中,配置自定义无类别域间路由 (CIDR) 范围或使用提供的默认值,然后单击**下一步**。

    如果您安装到 VPC 中,则**机器 CIDR**范围必须与 VPC 子网匹配。

    CIDR 配置以后无法更改。在继续操作之前,请与您的网络管理员确认您的选择。

  18. 在**集群角色和策略**页面下,选择您首选的集群特定 Operator IAM 角色和 OIDC 提供程序创建模式。

    使用**手动**模式,您可以使用 rosa CLI 命令或 aws CLI 命令为您的集群生成所需的 Operator 角色和 OIDC 提供程序。**手动**模式使您可以在使用首选选项手动创建 IAM 资源并完成集群安装之前查看详细信息。

    或者,您可以使用**自动**模式自动创建 Operator 角色和 OIDC 提供程序。要启用**自动**模式,OpenShift 集群管理器 IAM 角色必须具有管理员权限。

    如果您在创建关联的帐户范围角色时指定了自定义 ARN 路径,则会自动检测并应用自定义路径到 Operator 角色。当使用**手动**或**自动**模式创建 Operator 角色时,将应用自定义 ARN 路径。

  19. 可选:为您的集群特定 Operator IAM 角色指定**自定义 Operator 角色前缀**。

    默认情况下,集群特定的 Operator 角色名称以集群名称和随机的 4 位哈希值作为前缀。您可以选择指定自定义前缀来替换角色名称中的 <cluster_name>-<hash>。创建集群特定的 Operator IAM 角色时,将应用该前缀。有关前缀的信息,请参阅《关于自定义 Operator IAM 角色前缀》。

  20. 选择**下一步**。

  21. 在**集群更新策略**页面上,配置您的更新首选项。

    1. 选择集群更新方法

      • 如果您想单独安排每个更新,请选择**个别更新**。这是默认选项。

      • 选择**定期更新**,以便在有更新可用时,在您首选的日期和开始时间更新您的集群。

        即使您选择定期更新,也必须在次要版本之间升级集群之前更新帐户范围和集群特定的 IAM 资源。

        您可以在 AWS 上的 Red Hat OpenShift 服务的更新生命周期文档中查看生命周期结束日期。有关更多信息,请参阅《AWS 上的 Red Hat OpenShift 服务更新生命周期》。

    2. 如果您选择定期更新,请从下拉菜单中选择首选的星期几和 UTC 的升级开始时间。

    3. 可选:您可以在集群升级期间为**节点移除**设置宽限期。默认情况下设置了**1 小时**的宽限期。

    4. 单击**下一步**。

      如果存在严重影响集群安全或稳定性的严重安全问题,Red Hat 站点可靠性工程 (SRE) 可能会安排自动更新到不受影响的最新 z 流版本。在提供客户通知后 48 小时内应用更新。有关严重影响安全等级的说明,请参阅了解 Red Hat 安全等级

  22. 查看您选择的摘要,然后单击**创建集群**以开始集群安装。

  23. 如果您选择使用**手动**模式,请手动创建集群特定的 Operator 角色和 OIDC 提供程序以继续安装。

    1. 在**需要采取的操作才能继续安装**对话框中,选择**AWS CLI**或**ROSA CLI**选项卡,然后手动创建资源。

      • 如果您选择使用AWS CLI方法,请点击下载 .zip,保存文件,然后解压AWS CLI命令和策略文件。然后,在CLI中运行提供的aws命令。

        您必须在包含策略文件的目录中运行aws命令。

      • 如果您选择使用ROSA CLI方法,请点击rosa create命令旁边的复制按钮,并在CLI中运行它们。

        如果您在创建关联的帐户级角色时指定了自定义ARN路径,则在使用这些手动方法创建Operator角色时,系统会自动检测并应用自定义路径。

    2. 继续安装所需的步骤对话框中,点击x返回到集群的概述页面。

    3. 验证集群概述页面详细信息部分中的集群状态是否已从等待中更改为安装中。状态更改之前可能会有大约两分钟的短暂延迟。

    如果您选择使用自动模式,OpenShift集群管理器会自动创建Operator角色和OIDC提供程序。

    除了帐户角色外,还需要 EBS Operator 角色才能成功创建集群。

    此角色必须附加ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials策略,这是 ROSA 通过容器存储接口 (CSI) 管理后端存储所需的 IAM 策略。

    有关集群 Operator 需要哪些策略和权限的更多信息,请参见《帐户范围角色创建方法》。

    EBS Operator 角色示例

    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

    创建 Operator 角色后,必须在 AWS 控制台的**密钥管理服务 (KMS)**页面中编辑密钥策略以添加角色。
验证

  • 您可以在集群的概述页面监控安装进度。您可以在同一页面上查看安装日志。当页面详细信息部分中的状态显示为就绪时,您的集群就已准备就绪。

    如果安装失败或集群状态在大约40分钟后未更改为就绪,请查看安装故障排除文档以了解详细信息。有关更多信息,请参阅安装故障排除。有关联系Red Hat支持寻求帮助的步骤,请参阅获取AWS上Red Hat OpenShift服务的支持
其他资源
编辑

使用CLI创建具有自定义设置的集群

当您创建使用AWS安全令牌服务(STS)的AWS上的Red Hat OpenShift服务(ROSA)集群时,您可以交互式地自定义安装。

当您在集群创建时运行rosa create cluster --interactive命令时,会显示一系列交互式提示,使您可以自定义部署。有关更多信息,请参阅交互式集群创建模式参考

使用交互模式完成集群安装后,输出中会提供单个命令,使您可以使用相同的自定义配置部署更多集群。

只有公共集群和 AWS PrivateLink 集群支持 STS。常规私有集群(非 PrivateLink)无法与 STS 一起使用。
先决条件

  • 您已完成使用 STS 的 ROSA 的 AWS 预先要求。

  • 您可以使用 AWS 服务配额。

  • 您已在 AWS 控制台中启用 ROSA 服务。

  • 您已在安装主机上安装并配置了最新的ROSA CLI,rosa。运行rosa version查看您当前安装的ROSA CLI版本。如果可用更新版本,CLI将提供下载此更新的链接。

  • 如果您想使用客户管理的AWS密钥管理服务(KMS)密钥进行加密,则必须创建一个对称KMS密钥。创建集群时,必须提供Amazon资源名称(ARN)。要创建客户管理的KMS密钥,请按照创建对称加密KMS密钥中的步骤操作。

    除了帐户角色外,还需要 EBS Operator 角色才能成功创建集群。

    此角色必须附加ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials策略,这是 ROSA 通过容器存储接口 (CSI) 管理后端存储所需的 IAM 策略。

    有关集群 Operator 需要哪些策略和权限的更多信息,请参见《帐户范围角色创建方法》。

    EBS Operator 角色示例

    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

    创建 Operator 角色后,必须在 AWS 控制台的**密钥管理服务 (KMS)**页面中编辑密钥策略以添加角色。
步骤

  1. 创建必需的帐户级角色和策略,包括Operator策略

    1. 在当前工作目录中生成IAM策略JSON文件,并输出aws CLI命令以供查看

      $ rosa create account-roles --interactive \ (1)
                            --mode manual (2)
      1 interactive模式允许您在交互式提示中指定配置选项。有关更多信息,请参阅交互式集群创建模式参考
      2 manual模式会生成创建帐户级角色和策略所需的aws CLI命令和JSON文件。查看后,您必须手动运行这些命令才能创建资源。
      示例输出
      I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
I: Validating AWS credentials...
I: AWS credentials are valid!
I: Validating AWS quota...
I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against http://docs.openshift.org.cn/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
I: Verifying whether OpenShift command-line tool is available...
I: Current OpenShift Client Version: .0
I: Creating account roles
? Role prefix: ManagedOpenShift (1)
? Permissions boundary ARN (optional): (2)
? Path (optional): [? for help] (3)
? Role creation mode: auto (4)
I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
? Create the 'ManagedOpenShift-Installer-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
? Create the 'ManagedOpenShift-Worker-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
? Create the 'ManagedOpenShift-Support-Role' role? Yes (5)
I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
I: To create a cluster with these roles, run the following command:
rosa create cluster --sts
      1 指定要在 OpenShift 集群管理器 IAM 角色名称中包含的前缀。默认为ManagedOpenShift

      即使您为账户角色使用自定义 ARN 路径,也必须指定在您的 AWS 账户中唯一的账户范围角色前缀。
      2 可选:为角色指定权限边界Amazon资源名称(ARN)。有关更多信息,请参阅AWS文档中的IAM实体的权限边界
      3 为您的账户范围角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以/开头和结尾,例如/test/path/dev/。更多信息,请参阅 *IAM 角色和策略的 ARN 路径自定义*。
      4 选择角色创建模式。您可以使用auto模式自动创建帐户级角色和策略。在manual模式下,rosa CLI会生成创建角色和策略所需的aws命令。在manual模式下,相应的策略JSON文件也会保存到当前目录。manual模式允许您在手动运行aws命令之前查看详细信息。
      5 创建帐户范围内的安装程序、控制平面、工作节点和支持角色以及相应的 IAM 策略。更多信息,请参见《帐户范围内的 IAM 角色和策略参考》。

      在此步骤中,ROSA CLI还会自动创建帐户级Operator IAM策略,集群特定的Operator策略会使用这些策略来允许ROSA集群Operator运行核心OpenShift功能。有关更多信息,请参阅帐户级IAM角色和策略参考

      1. 查看后,请手动运行aws命令以创建角色和策略。或者,您可以使用--mode auto运行前面的命令立即运行aws命令。

  2. 可选:如果您使用自己的AWS KMS密钥来加密控制平面、基础设施、工作节点根卷和持久卷(PV),请将帐户级安装程序角色的ARN添加到您的KMS密钥策略中。

    只有从默认存储类创建的持久卷(PV)使用此特定密钥进行加密。

    使用任何其他存储类创建的PV仍然会被加密,但是除非存储类专门配置为使用此密钥,否则这些PV不会使用此密钥加密。

    1. 将KMS密钥的密钥策略保存到本地机器上的文件中。以下示例将输出保存到当前工作目录中的kms-key-policy.json

      $ aws kms get-key-policy --key-id <key_id_or_arn> --policy-name default --output text > kms-key-policy.json (1)
      1 <key_id_or_arn>替换为KMS密钥的ID或ARN。

    2. 将您在上一步中创建的帐户级安装程序角色的ARN添加到文件中的Statement.Principal.AWS部分。在以下示例中,添加了默认ManagedOpenShift-Installer-Role角色的ARN

      {
    "Version": "2012-10-17",
    "Id": "key-rosa-policy-1",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws_account_id>:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow ROSA use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", (1)
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role",
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role",
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role",
                    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" (2)
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role", (1)
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role",
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role",
                    "arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role",
                    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" (2)
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}
      1 您必须指定创建ROSA集群时将使用的帐户级角色的ARN。此部分中列出的ARN必须用逗号分隔。
      2 您必须指定创建ROSA集群时将使用的operator角色的ARN。此部分中列出的ARN必须用逗号分隔。

    3. 将更改应用于您的KMS密钥策略

      $ aws kms put-key-policy --key-id <key_id_or_arn> \ (1)
    --policy file://kms-key-policy.json \ (2)
    --policy-name default
      1 <key_id_or_arn>替换为KMS密钥的ID或ARN。
      2 引用本地文件中的密钥策略时,必须包含file://前缀。

      您可以在下一步创建集群时引用KMS密钥的ARN。

  3. 使用自定义安装选项创建使用STS的集群。您可以使用--interactive模式交互式地指定自定义设置

    您不能将 ROSA 集群安装到由 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署过程中创建,并且必须仅与单个集群关联,以确保集群配置和删除操作能够正确运行。

    要验证 VPC 是否由 OpenShift 安装程序创建,请检查 kubernetes.io/cluster/<infra-id> 标签上的 owned 值。例如,当查看名为 mycluster-12abc-34def 的 VPC 的标签时,kubernetes.io/cluster/mycluster-12abc-34def 标签的值为 owned。因此,该 VPC 是由安装程序创建的,管理员不得修改它。

    		 
    $ rosa create cluster --interactive --sts
    示例输出
    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Cluster name: <cluster_name>
? Domain prefix: <domain_prefix> (1)
? Deploy cluster with Hosted Control Plane (optional): No
? Create cluster admin user: Yes (2)
? Create custom password for cluster admin: No (3)
I: cluster admin user is cluster-admin
I: cluster admin password is password
? OpenShift version: <openshift_version> (4)
? Configure the use of IMDSv2 for ec2 instances optional/required (optional): (5)
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role for the Installer role (6)
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role for the ControlPlane role
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role for the Worker role
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role for the Support role
? External ID (optional): (7)
? Operator roles prefix: <cluster_name>-<random_string> (8)
? Deploy cluster using pre registered OIDC Configuration ID:
? Tags (optional) (9)
? Multiple availability zones (optional): No (10)
? AWS region: us-east-1
? PrivateLink cluster (optional): No
? Machine CIDR: 10.0.0.0/16
? Service CIDR: 172.30.0.0/16
? Pod CIDR: 10.128.0.0/14
? Install into an existing VPC (optional): Yes (11)
? Subnet IDs (optional):
? Select availability zones (optional): No
? Enable Customer Managed key (optional): No (12)
? Compute nodes instance type (optional):
? Enable autoscaling (optional): No
? Compute nodes: 2
? Worker machine pool labels (optional):
? Host prefix: 23
? Additional Security Group IDs (optional): (13)
? > [*]  sg-0e375ff0ec4a6cfa2 ('sg-1')
? > [ ]  sg-0e525ef0ec4b2ada7 ('sg-2')
? Enable FIPS support: No (14)
? Encrypt etcd data: No (15)
? Disable Workload monitoring (optional): No
I: Creating cluster '<cluster_name>'
I: To create this cluster again in the future, you can run:
   rosa create cluster --cluster-name <cluster_name> --role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role --support-role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role --master-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role --worker-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role --operator-roles-prefix <cluster_name>-<random_string> --region us-east-1 --version 4.17.0 --additional-compute-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-infra-security-group-ids sg-0e375ff0ec4a6cfa2 --additional-control-plane-security-group-ids sg-0e375ff0ec4a6cfa2 --replicas 2 --machine-cidr 10.0.0.0/16 --service-cidr 172.30.0.0/16 --pod-cidr 10.128.0.0/14 --host-prefix 23 (16)
I: To view a list of clusters and their status, run 'rosa list clusters'
I: Cluster '<cluster_name>' has been created.
I: Once the cluster is installed you will need to add an Identity Provider before you can login into the cluster. See 'rosa create idp --help' for more information.
...
    1 可选。创建集群时,您可以使用--domain-prefix标志自定义集群在*.openshiftapps.com上的子域名。此标志的值必须在您的组织内唯一,长度不能超过15个字符,并且在集群创建后无法更改。如果未提供此标志,则会创建一个自动生成的值,该值取决于集群名称的长度。如果集群名称少于或等于15个字符,则使用该名称作为域名前缀。如果集群名称超过15个字符,则域名前缀将随机生成一个15个字符的字符串。
    2 创建集群时,您可以为集群创建一个本地管理员用户(cluster-admin)。这会自动为cluster-admin用户配置一个htpasswd身份提供程序。
    3 您可以为cluster-admin用户创建自定义密码,或让系统生成密码。如果您不创建自定义密码,则生成的密码将显示在命令行输出中。如果您指定自定义密码,则密码必须至少包含14个字符(ASCII标准),且不包含任何空格。定义后,密码将被哈希并安全传输。
    4 创建集群时,列出的OpenShift版本选项包括主版本、次版本和修补程序版本,例如4.17.0
    5 可选:指定optional以配置所有EC2实例使用EC2实例元数据服务(IMDS)的v1和v2端点。这是默认值。指定required以配置所有EC2实例仅使用IMDSv2。

    创建集群后,无法更改实例元数据服务设置。
    6 如果您的Amazon Web Services (AWS)账户中有多个针对集群版本的账户角色集,则会提供一个交互式选项列表。
    7 可选:指定由AWS上的Red Hat OpenShift Service和OpenShift安装程序在承担账户角色时传递的唯一标识符。此选项仅对于需要外部ID的自定义账户角色才需要。
    8 默认情况下,特定于集群的Operator角色名称以集群名称和一个随机的4位哈希值作为前缀。您可以选择指定自定义前缀来替换角色名称中的<cluster_name>-<hash>。在创建特定于集群的Operator IAM角色时应用此前缀。有关前缀的信息,请参见《关于自定义Operator IAM角色前缀》。

    如果您在创建关联的帐户范围角色时指定了自定义ARN路径,则会自动检测自定义路径。在您稍后步骤中创建特定于集群的Operator角色时,将应用自定义路径。
    9 可选:指定一个标签,该标签用于AWS中AWS上的Red Hat OpenShift Service创建的所有资源。标签可以帮助您管理、识别、组织、搜索和筛选AWS中的资源。标签用逗号分隔,例如:key value, data input

    AWS上的Red Hat OpenShift Service仅支持在集群创建期间向Red Hat OpenShift资源添加自定义标签。添加后,无法删除或编辑这些标签。Red Hat添加的标签对于集群保持符合Red Hat生产服务级别协议 (SLA) 是必需的。这些标签不得删除。

    AWS上的Red Hat OpenShift Service不支持添加ROSA集群管理资源之外的其他标签。当AWS资源由ROSA集群管理时,这些标签可能会丢失。在这些情况下,您可能需要自定义解决方案或工具来协调标签并保持其完整性。
    10 可选:建议生产工作负载使用多个可用区。默认为单个可用区。
    11 可选:您可以在现有VPC中创建集群,也可以让ROSA创建一个新的VPC。

    您不能将 ROSA 集群安装到由 OpenShift 安装程序创建的现有 VPC 中。这些 VPC 在集群部署过程中创建,并且必须仅与单个集群关联,以确保集群配置和删除操作能够正确运行。

    要验证 VPC 是否由 OpenShift 安装程序创建,请检查 kubernetes.io/cluster/<infra-id> 标签上的 owned 值。例如,当查看名为 mycluster-12abc-34def 的 VPC 的标签时,kubernetes.io/cluster/mycluster-12abc-34def 标签的值为 owned。因此,该 VPC 是由安装程序创建的,管理员不得修改它。
    12 可选:如果您正在使用您自己的AWS KMS密钥来加密控制平面、基础架构、工作节点根卷和PV,请启用此选项。指定您在前面步骤中添加到帐户范围角色ARN的KMS密钥的ARN。

    只有从默认存储类创建的持久卷(PV)使用此特定密钥进行加密。

    使用任何其他存储类创建的PV仍然会被加密,但是除非存储类专门配置为使用此密钥,否则这些PV不会使用此密钥加密。
    13 可选:您可以选择在集群中使用的其他自定义安全组。您必须已经创建了安全组并将它们与您为此集群选择的VPC关联。创建机器池后,无法添加或编辑默认机器池的安全组。有关更多信息,请参见《附加资源》下的《安全组》要求。
    14 可选:如果您需要您的集群经过FIPS验证,请启用此选项。选择此选项意味着默认情况下启用加密etcd数据选项,并且无法禁用。您可以加密etcd数据而不启用FIPS支持。
    15 可选:如果您的用例只需要etcd键值加密以及默认情况下加密etcd卷的控制平面存储加密,请启用此选项。使用此选项,etcd键值将被加密,但密钥不会被加密。

    通过为etcd中的键值启用etcd加密,您将产生大约20%的性能开销。开销是由于除了默认的控制平面存储加密(加密etcd卷)之外,还引入了第二层加密。Red Hat建议您仅在您的用例特别需要时才启用etcd加密。
    16 输出包括一个自定义命令,您可以运行该命令来创建具有相同配置的另一个集群。

    作为使用--interactive模式的替代方法,您可以在运行rosa create cluster命令时直接指定自定义选项。运行rosa create cluster --help命令以查看可用的CLI选项列表,或参见《使用ROSA CLI管理对象》中的《创建集群》。

    您必须完成以下步骤才能创建Operator IAM角色和OpenID Connect (OIDC)提供程序,以将集群状态更改为ready

  4. 创建特定于集群的Operator IAM角色

    1. 在当前工作目录中生成Operator IAM策略JSON文件,并输出aws CLI命令以供审查

      $ rosa create operator-roles --mode manual --cluster <cluster_name|cluster_id> (1)
      1 manual模式生成创建Operator角色所需的aws CLI命令和JSON文件。审查后,您必须手动运行这些命令才能创建资源。

    2. 审查后,手动运行aws命令以创建Operator IAM角色并将托管的Operator策略附加到它们。或者,您可以再次使用--mode auto运行前面的命令以立即运行aws命令。

      如果您在前面步骤中指定了前缀,则自定义前缀将应用于Operator角色名称。

      如果您在创建关联的帐户范围角色时指定了自定义ARN路径,则会自动检测自定义路径并将其应用于Operator角色。

      除了帐户角色外,还需要 EBS Operator 角色才能成功创建集群。

      此角色必须附加ManagedOpenShift-openshift-cluster-csi-drivers-ebs-cloud-credentials策略,这是 ROSA 通过容器存储接口 (CSI) 管理后端存储所需的 IAM 策略。

      有关集群Operators所需的策略和权限的更多信息,请参见《帐户范围角色创建方法》。示例EBS Operator角色"arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"

      创建 Operator 角色后,必须在 AWS 控制台的**密钥管理服务 (KMS)**页面中编辑密钥策略以添加角色。

  5. 创建集群Operators用于身份验证的OpenID Connect (OIDC)提供程序

    $ rosa create oidc-provider --mode auto --cluster <cluster_name|cluster_id> (1)
    1 auto 模式会立即运行创建 OIDC 提供程序的 aws CLI 命令。

  6. 检查集群状态

    $ rosa describe cluster --cluster <cluster_name|cluster_id>
    示例输出
    Name:                       <cluster_name>
ID:                         <cluster_id>
External ID:                <external_id>
OpenShift Version:          <version>
Channel Group:              stable
DNS:                        <cluster_name>.xxxx.p1.openshiftapps.com
AWS Account:                <aws_account_id>
API URL:                    https://api.<cluster_name>.xxxx.p1.openshiftapps.com:6443
Console URL:                https://console-openshift-console.apps.<cluster_name>.xxxx.p1.openshiftapps.com
Region:                     <aws_region>
Multi-AZ:                   false
Nodes:
 - Master:                  3
 - Infra:                   2
 - Compute:                 2
Network:
 - Service CIDR:            172.30.0.0/16
 - Machine CIDR:            10.0.0.0/16
 - Pod CIDR:                10.128.0.0/14
 - Host Prefix:             /23
STS Role ARN:               arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role
Support Role ARN:           arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role
Instance IAM Roles:
 - Master:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role
 - Worker:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role
Operator IAM Roles:
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-machine-api-aws-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cloud-credential-operator-cloud-crede
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-image-registry-installer-cloud-creden
Ec2 Metadata Http Tokens:   optional
State:                      ready
Private:                    No
Created:                    Oct  1 2021 08:12:25 UTC
Details Page:               https://console.redhat.com/openshift/details/s/<subscription_id>
OIDC Endpoint URL:          https://oidc.op1.openshiftapps.com/<cluster_id>|<oidc_config_id> \ (1)

    1. 端点 URL 取决于 BYO OIDC 配置。如果您预先创建 OIDC 配置,则 URL 以 <oidc_config_id> 值结尾;否则,URL 以 <cluster-ID> 值结尾。

    随着集群安装的进行,输出中会列出以下 State 字段的变化

    • waiting(等待 OIDC 配置)

    • pending(正在准备账户)

    • installing(DNS 设置正在进行中)

    • installing

    • ready

      如果安装失败或大约 40 分钟后 State 字段未更改为 ready,请查看安装故障排除文档了解详情。更多信息,请参见《安装故障排除》。有关联系 Red Hat 支持寻求帮助的步骤,请参见《获取 Red Hat OpenShift Service on AWS 的支持》。

  7. 通过监视 OpenShift 安装程序日志来跟踪集群创建的进度

    $ rosa logs install --cluster <cluster_name|cluster_id> --watch (1)
    1 指定 --watch 标志以在安装过程中监视新的日志消息。此参数是可选的。
其他资源
编辑

后续步骤

其他资源