指定要在 OCM IAM 角色名称中包含的前缀。默认为 ManagedOpenShift。您只能为您的 Red Hat 组织的每个 AWS 账户创建一个 OCM 角色。
×
交互式集群创建模式参考
本节概述了使用交互模式通过 ROSA CLI (rosa) 创建 OCM 角色、用户角色和 Red Hat OpenShift Service on AWS (ROSA) 集群时显示的选项。
交互式OCM和用户角色创建模式选项
在使用 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群之前,必须通过创建和关联 OCM 和用户角色来将您的 AWS 账户与 Red Hat 组织关联。您可以通过在运行 rosa create ocm-role 命令或 rosa create user-role 命令时指定 --interactive 选项来启用交互模式。
下表描述了交互式 OCM 角色创建模式选项
| 字段 | 描述 |
|---|---|
|
|
|
启用管理员 OCM IAM 角色,这等同于指定 |
|
为 OCM 角色指定权限边界 Amazon 资源名称 (ARN)。更多信息,请参见 AWS 文档中的 IAM 实体的权限边界。 |
|
为您的 OCM 角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以 |
|
选择角色创建模式。您可以使用 |
|
确认您是否要创建 OCM 角色。 |
|
确认您是否要将 OCM 角色与您的 Red Hat 组织关联。 |
下表描述了交互式用户角色创建模式选项
| 字段 | 描述 |
|---|---|
|
指定要在用户角色名称中包含的前缀。默认为 |
|
为用户角色指定权限边界 Amazon 资源名称 (ARN)。更多信息,请参见 AWS 文档中的 IAM 实体的权限边界。 |
|
为您的用户角色指定自定义 ARN 路径。路径必须仅包含字母数字字符,并且以 |
|
选择角色创建模式。您可以使用 |
|
确认您是否要创建用户角色。 |
|
确认您是否要将用户角色与您的 Red Hat 用户账户关联。 |
交互式集群创建模式选项
您可以使用交互模式创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS 集群。您可以在运行 rosa create cluster 命令时指定 --interactive 选项来启用该模式。
下表描述了交互式集群创建模式选项
| 字段 | 描述 | ||
|---|---|---|---|
|
输入集群名称,例如 |
||
|
输入集群子域的域名前缀名称,例如 |
||
|
启用托管控制平面的使用。 |
||
|
为您的集群创建一个本地管理员用户 ( |
||
|
为 |
||
|
创建一个使用 AWS 安全令牌服务 (STS) 为特定组件的 AWS 身份和访问管理 (IAM) 角色分配临时、有限权限凭据的 OpenShift 集群。该服务使集群组件能够使用安全的云资源管理实践来进行 AWS API 调用。默认为 |
||
|
选择要安装的 OpenShift 版本,例如。默认为最新版本。 |
||
|
指定所有 EC2 实例是否同时使用 EC2 实例元数据服务 (IMDS) 的 v1 和 v2 端点(可选)或仅使用 IMDSv2(必需)。 |
||
|
如果您在 AWS 账户中为集群版本拥有多个账户角色集,则会提供安装程序角色 ARN 列表。选择要与集群一起使用的安装程序角色的 ARN。集群使用与所选安装程序角色相关的账户范围角色和策略。 |
||
|
指定由 OpenShift 集群管理器和 OpenShift 安装程序在假定账户角色时传递的唯一标识符。此选项仅对于需要外部 ID 的自定义账户角色才需要。 |
||
|
输入一个前缀来分配给集群特定的 Operator IAM 角色。默认为集群名称和一个 4 位随机字符串,例如 |
||
|
指定您是要使用预配置的 OIDC 配置,还是要创建一个新的 OIDC 配置作为集群创建过程的一部分。 |
||
|
指定一个标签,该标签用于 AWS 中 Red Hat OpenShift Service on AWS 创建的所有资源。标签可以帮助您管理、标识、组织、搜索和筛选 AWS 中的资源。标签用逗号分隔,例如:“key value, foo bar”。
|
||
|
将集群部署到 AWS 区域中的多个可用区。默认为 |
||
|
指定要在其中部署集群的 AWS 区域。这将覆盖 |
||
|
使用 AWS PrivateLink 创建集群。此选项可在虚拟私有云 (VPC)、AWS 服务和您的本地网络之间提供私有连接,而不会将您的流量暴露给公共互联网。为了提供支持,Red Hat 站点可靠性工程 (SRE) 可以使用 AWS PrivateLink 虚拟私有云 (VPC) 端点连接到集群。此选项在创建集群后无法更改。默认为 |
||
|
指定机器(集群节点)的 IP 地址范围,该范围必须包含 VPC 子网的所有 CIDR 地址范围。子网必须连续。对于单可用区部署,支持至少 128 个 IP 地址的范围,使用子网前缀 |
||
|
指定服务的 IP 地址范围。建议(但不是必需)集群之间使用相同的地址块。这不会创建 IP 地址冲突。该范围必须足够大以适应您的工作负载。地址块不得与从集群内部访问的任何外部服务重叠。默认为 |
||
|
指定 Pod 的 IP 地址范围。建议(但不是必需)集群之间使用相同的地址块。这不会创建 IP 地址冲突。该范围必须足够大以适应您的工作负载。地址块不得与从集群内部访问的任何外部服务重叠。默认为 |
||
|
将集群安装到现有的 AWS VPC 中。要使用此选项,您的 VPC 必须为要安装集群的每个可用区拥有 2 个子网。默认为 |
||
|
指定安装到现有 AWS VPC 时使用的可用区。使用逗号分隔的列表来提供可用区。如果指定 |
||
|
启用此选项以使用特定的 AWS 密钥管理服务 (KMS) 密钥作为持久性数据的加密密钥。此密钥充当控制平面、基础设施和工作节点根卷的加密密钥。该密钥还在默认存储类上配置,以确保使用默认存储类创建的持久卷将使用特定的 KMS 密钥进行加密。禁用后,指定区域的帐户 KMS 密钥将默认使用,以确保持久性数据始终加密。默认为 |
||
|
选择计算节点实例类型。默认为 |
||
|
启用计算节点自动缩放。自动缩放器会调整集群的大小以满足您的部署需求。默认为 |
||
|
选择与集群一起创建的标准机器池一起使用的附加自定义安全组 ID。默认情况下未选择任何内容。仅显示与所选 VPC 关联的安全组。最多可以选择 5 个附加安全组。 |
||
|
选择与集群一起创建的基础设施节点一起使用的附加自定义安全组 ID。默认情况下未选择任何内容。仅显示与所选 VPC 关联的安全组。最多可以选择 5 个附加安全组。 |
||
|
选择与集群一起创建的控制平面节点一起使用的附加自定义安全组 ID。默认情况下未选择任何内容。仅显示与所选 VPC 关联的安全组。最多可以选择 5 个附加安全组。 |
||
|
指定要配置到每个可用区的计算节点数。在单个可用区中部署的集群需要至少 2 个节点。在多个可用区中部署的集群必须至少有 3 个节点。工作节点的最大数量为 180 个节点。默认值为 |
||
|
指定默认机器池的标签。标签格式应为键值对的逗号分隔列表。此列表将持续覆盖对节点标签所做的任何修改。 |
||
|
指定分配给计划到各个机器的 Pod 的子网前缀长度。主机前缀确定每台机器的 Pod IP 地址池。例如,如果主机前缀设置为 |
||
|
指定机器池根磁盘的大小。此值必须包含单位后缀,例如 GiB 或 TiB,例如默认值 |
||
|
启用或禁用 FIPS 模式。默认为
|
||
|
在 AWS 上的 Red Hat OpenShift 服务中,控制平面存储默认情况下处于加密状态,这包括 etcd 卷的加密。您还可以启用
|
||
|
禁用对用户定义项目的监控。默认情况下启用对用户定义项目的监控。 |
||
|
指定入口的路由选择器。格式应为键值对的逗号分隔列表。如果您未指定标签,则所有路由都将在两个路由器上公开。对于旧版入口支持,这些标签是包含标签;否则,它们将被视为排除标签。 |
||
|
指定入口的排除命名空间。格式应为逗号分隔列表 |
||
|
为您的入口选择通配符策略。选项包括 |
||
|
为您的入口选择命名空间所有权策略。选项包括 |
其他资源
-
有关使用自定义 ARN 路径用于 OCM 角色、用户角色和帐户范围角色的更多信息,请参阅 IAM 角色和策略的 ARN 路径自定义。
-
有关支持的最大值的列表,请参阅 ROSA 测试的集群最大值。
-
有关使用 STS 快速创建 ROSA 集群的详细步骤,包括 AWS IAM 资源,请参阅 使用默认选项创建 ROSA 集群。
-
有关使用自定义项使用 STS 创建 ROSA 集群的详细步骤,包括 AWS IAM 资源,请参阅 使用自定义项创建 ROSA 集群。
-
有关 etcd 加密的更多信息,请参阅 etcd 加密服务定义。
-
有关 VPC 架构示例,请参阅 此示例 VPC 架构。