$ aws configure
×
使用 STS 部署 ROSA 的前提条件清单
这是一个创建使用STS的 AWS 上 Red Hat OpenShift 服务 (ROSA) 经典集群所需的先决条件清单。
|
这是一个高级别清单,您的实现可能会有所不同。 |
在运行安装过程之前,请验证您是从具有访问权限的机器部署此过程的
-
您要配置到的云的 API 服务。
-
访问
api.openshift.com、oidc.op1.openshiftapps.com和sso.redhat.com。 -
您要配置到的网络上的主机。
-
互联网以获取安装介质。
|
从 ROSA CLI 1.2.7 版本开始,新集群上的所有 OIDC 提供程序端点 URL 都使用 Amazon CloudFront 和oidc.op1.openshiftapps.com 域名。此更改提高了访问速度,降低了延迟,并提高了使用 ROSA CLI 1.2.7 或更高版本创建的新集群的弹性。对于现有的 OIDC 提供程序配置,没有受支持的迁移路径。 |
帐户和 CLI 预先要求
部署集群必须安装的帐户和 CLI。
AWS 账户
-
收集以下详细信息
-
AWS IAM 用户
-
AWS 访问密钥 ID
-
AWS 密钥访问密钥
-
-
确保您具有如ROSA 的 AWS 托管 IAM 策略和关于使用 STS 的 ROSA 集群的 IAM 资源中详述的正确权限。
-
有关更多详细信息,请参阅帐户。
-
有关关联帐户的说明,请参阅将您的 AWS 账户与您的 Red Hat 组织关联。
AWS CLI (aws)
-
如果您尚未安装,请从AWS 命令行界面安装。
-
配置 CLI
-
在终端中输入
aws configure -
输入 AWS 访问密钥 ID 并按Enter键。
-
输入 AWS 密钥访问密钥并按Enter键。
-
输入您要部署到的默认区域。
-
输入所需的输出格式,“table”或“json”。
-
通过运行以下命令验证输出
$ aws sts get-caller-identity -
通过运行以下命令确保 ELB 的服务角色已存在
$ aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"-
如果不存在,请运行
$ aws iam create-service-linked-role --aws-service-name "elasticloadbalancing.amazonaws.com"
-
-
Red Hat 账户
-
如果您尚未创建,请创建一个Red Hat Hybrid Cloud 控制台帐户。
ROSA CLI (rosa)
-
如果您尚未启用,请在AWS 控制台上启用来自您的 AWS 账户的 ROSA。
-
从安装 AWS 上 Red Hat OpenShift 服务 (ROSA) CLI,rosa或从 OpenShift 控制台AWS 控制台安装 CLI。
-
在终端中输入
rosa login,这将提示您通过控制台访问令牌页面$ rosa login -
使用您的 Red Hat 帐户凭据登录。
-
单击加载令牌按钮。
-
复制令牌并将其粘贴回 CLI 提示符中,然后按Enter键。
-
或者,您可以复制完整的
$ rosa login --token=abc…命令并将其粘贴到终端中$ rosa login --token=<abc..>
-
-
通过运行以下命令验证您的凭据
$ rosa whoami -
通过运行以下命令确保您有足够的配额
$ rosa verify quota-
有关为 ROSA 集群配置的 AWS 服务的更多详细信息,请参阅已配置的 AWS 基础设施。
-
有关 AWS 服务配额的更多详细信息,请参阅所需的 AWS 服务配额。
-
OpenShift CLI (oc)
-
从OpenShift CLI 入门或从 OpenShift 控制台命令行界面 (CLI) 工具安装。
-
通过运行以下命令验证 OpenShift CLI 是否已正确安装
$ rosa verify openshift-client
安装并启用上述先决条件后,请继续执行下一步。
将您的 AWS 账户与您的 Red Hat 组织关联
在使用Red Hat Hybrid Cloud 控制台上的 Red Hat OpenShift 集群管理器创建使用 AWS 安全令牌服务 (STS) 的 AWS 上 Red Hat OpenShift 服务 (ROSA) 集群之前,请创建一个 OpenShift 集群管理器 IAM 角色并将其链接到您的 Red Hat 组织。然后,在同一个 Red Hat 组织中创建用户 IAM 角色并将其链接到您的 Red Hat 用户帐户。
步骤
-
创建一个 OpenShift 集群管理器角色并将其链接到您的 Red Hat 组织
要使用 OpenShift 集群管理器混合云控制台自动部署特定于集群的运算符角色和 OpenID Connect (OIDC) 提供程序,您必须通过在创建 ROSA 集群的“帐户和角色”步骤中选择“管理员 OCM 角色”命令来将管理权限应用于该角色。有关 OpenShift 集群管理器角色的基本权限和管理权限的更多信息,请参阅“了解 AWS 帐户关联”。
如果您在 OpenShift 集群管理器混合云控制台中创建 ROSA 集群的“帐户和角色”步骤中选择“基本 OCM 角色”命令,则必须使用手动模式部署 ROSA 集群。您将在后续步骤中被提示配置特定于集群的运算符角色和 OpenID Connect (OIDC) 提供程序。
$ rosa create ocm-role选择提示中的默认值以快速创建和链接角色。
-
创建一个用户角色并将其链接到您的 Red Hat 用户帐户
$ rosa create user-role选择提示中的默认值以快速创建和链接角色。
Red Hat 用户帐户必须存在于已链接到您的 OpenShift 集群管理器角色的 Red Hat 组织中。
SCP 预先要求
ROSA集群托管在AWS账户中的AWS组织单元内。一个服务控制策略 (SCP)被创建并应用于AWS组织单元,用于管理允许AWS子账户访问哪些服务。
-
确保您组织的SCP不会比集群所需的策略和角色更严格。
-
当您从控制台选择**启用ROSA**时,请确保您的SCP配置为允许所需的
aws-marketplace:Subscribe权限,更多详情请参见AWS组织服务控制策略 (SCP) 拒绝所需的AWS Marketplace权限。 -
当您创建一个ROSA经典集群时,会创建一个相关的AWS OpenID Connect (OIDC)身份提供商。
-
此OIDC提供商配置依赖于位于
us-east-1AWS区域的公钥。 -
拥有AWS SCP的客户必须允许使用
us-east-1AWS区域,即使这些集群部署在不同的区域。
-
网络前提条件
从网络角度需要的先决条件。
最小带宽
在集群部署期间,AWS上的Red Hat OpenShift服务需要在集群资源和公共互联网资源之间至少有120 Mbps的带宽。当网络连接速度低于120 Mbps时(例如,通过代理连接),集群安装过程会超时并导致部署失败。
部署后,网络需求由您的工作负载决定。但是,至少120 Mbps的带宽有助于确保集群和操作员及时升级。
防火墙
-
配置您的防火墙以允许访问AWS防火墙前提条件中列出的域名和端口。
其他自定义安全组
当您使用现有的非托管VPC创建集群时,您可以在创建集群期间添加其他自定义安全组。在创建集群之前完成这些先决条件。
-
在创建集群之前,在AWS中创建自定义安全组。
-
将自定义安全组与您用于创建集群的VPC关联。不要将自定义安全组与任何其他VPC关联。
-
您可能需要为
网络接口的安全组申请额外的AWS配额。
更多详情请参见安全组的详细要求。
PrivateLink前提条件
如果您选择部署PrivateLink集群,请确保在预先存在的BYO VPC中部署集群。
-
为集群使用的每个AZ创建一个公共子网和私有子网。
-
或者,实现具有适当路由的互联网和出口的转接网关。
-
-
VPC的CIDR块必须包含
Networking.MachineCIDR范围,这是集群机器的IP地址。-
子网CIDR块必须属于您指定的机器CIDR。
-
-
将
enableDnsHostnames和enableDnsSupport都设置为true。-
这样,集群可以使用附加到VPC的Route 53区域来解析集群内部DNS记录。
-
-
通过运行以下命令验证路由表
---- $ aws ec2 describe-route-tables --filters "Name=vpc-id,Values=<vpc-id>" -----
确保集群可以通过公共子网中的NAT网关或通过转接网关出口。
-
确保您要遵循的任何UDR都已设置。
-
-
您还可以在安装期间或之后配置集群范围的代理。配置集群范围的代理了解更多详情。
|
您可以在预先存在的BYO VPC中安装非PrivateLink ROSA集群。 |