Language:
Format:

ROSA 클래식 클러스터 설치

Red Hat OpenShift Service on AWS 4

ROSA(AWS) 클러스터에 Red Hat OpenShift Service 설치, 액세스 및 삭제.

Red Hat OpenShift Documentation Team

초록

이 문서에서는 ROSA(Red Hat OpenShift Service) 클러스터에 설치하는 방법에 대한 정보를 제공합니다. 또한 클러스터에 액세스, ID 공급자를 구성하고, 클러스터 액세스를 취소하고, 클러스터를 삭제하는 방법에 대한 세부 정보도 제공합니다.

1장. 기본 옵션을 사용하여 STS를 사용하여 ROSA 클러스터 생성

참고

ROSA에 대한 빠른 시작 가이드를 찾고 있는 경우 Red Hat OpenShift Service on AWS 빠른 시작 가이드를 참조하십시오.

기본 옵션 및 자동 AWS IAM(Identity and Access Management) 리소스 생성을 사용하여 AWS(ROSA) 클러스터에서 Red Hat OpenShift Service를 빠르게 생성합니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(로사)를 사용하여 클러스터를 배포할 수 있습니다.

이 문서의 절차에서는 ROSA CLI(rosa) 및 OpenShift Cluster Manager의 자동 모드를 사용하여 현재 AWS 계정을 사용하여 필요한 IAM 리소스를 즉시 생성합니다. 필요한 리소스에는 계정 전체의 IAM 역할 및 정책, 클러스터별 Operator 역할 및 정책, OIDC(OpenID Connect) ID 공급자가 포함됩니다.

또는 수동 모드를 사용할 수 있습니다. 이 모드를 사용하면 자동으로 배포하는 대신 IAM 리소스를 생성하는 데 필요한 aws 명령을 출력할 수 있습니다. 수동 모드 또는 사용자 지정과 함께 ROSA 클러스터를 배포하는 단계는 사용자 정의를 사용하여 클러스터 생성을 참조하십시오.

다음 단계

AWS 사전 요구 사항을 완료했는지 확인하십시오.

1.1. 기본 클러스터 사양 개요

기본 설치 옵션을 사용하여 AWS(ROSA)에서 Red Hat OpenShift Service on AWS (STS) 클러스터를 빠르게 생성할 수 있습니다. 다음 요약에서는 기본 클러스터 사양을 설명합니다.

표 1.1. STS 클러스터 사양이 있는 기본 ROSA

구성 요소	기본 사양
계정 및 역할	기본 IAM 역할 접두사: `ManagedOpenShift`
클러스터 설정	기본 클러스터 버전: Latest Red Hat OpenShift Cluster Manager Hybrid Cloud Console을 사용한 설치 기본 AWS 리전: us-east-1 (US East, North Virginia) `rosa` CLI를 사용하여 설치 기본 AWS 리전: `aws` CLI 구성으로 정의 가용성: 데이터 플레인의 단일 영역 사용자 정의 프로젝트 모니터링: 활성화
암호화	클라우드 스토리지는 미사용 상태에서 암호화됩니다. 추가 etcd 암호화가 활성화되지 않음 기본 AWS KMS(Key Management Service) 키는 영구 데이터의 암호화 키로 사용됩니다.
컨트롤 플레인 노드 구성	컨트롤 플레인 노드 인스턴스 유형: m5.2xlarge (8 vCPU, 32GiB RAM) 컨트롤 플레인 노드 수: 3
인프라 노드 구성	인프라 노드 인스턴스 유형: r5.xlarge (4 vCPU, 32GiB RAM) 인프라 노드 수: 2
컴퓨팅 노드 시스템 풀	컴퓨팅 노드 인스턴스 유형: m5.xlarge (4 vCPU 16, GiB RAM) 컴퓨팅 노드 수: 2 autoscaling: Not enabled 추가 노드 라벨이 없음
네트워킹 구성	클러스터 개인 정보 보호: 공개 자체 VPC(Virtual Private Cloud)를 구성해야합니다. 클러스터 전체 프록시가 구성되지 않음
CIDR(Classless Inter-Domain Routing) 범위	시스템 CIDR: 10.0.0.0/16 Service CIDR: 172.30.0.0/16 Pod CIDR: 10.128.0.0/16 호스트 접두사: /23
클러스터 역할 및 정책	Operator 역할 및 OIDC(OpenID Connect) 공급자를 생성하는 데 사용되는 모드: `auto` 참고 OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 설치하려면 `자동` 모드에 관리자 권한이 있는 OpenShift Cluster Manager 역할이 필요합니다. 기본 Operator 역할 접두사: < `cluster_name>-<4_digit_random_string>`
클러스터 업데이트 전략	개별 업데이트 노드를 드레이닝하기 위한 1시간 유예 기간

1.2. AWS 계정 연결 이해

Red Hat OpenShift Cluster Manager 하이브리드 클라우드 콘솔을 사용하여 AWS(Security Token Service) 클러스터를 사용하는 ROLE(Red Hat OpenShift Service on AWS) 클러스터를 생성하기 전에 AWS 계정을 Red Hat 조직과 연결해야 합니다. 다음 IAM 역할을 생성하고 연결하여 계정을 연결할 수 있습니다.

OpenShift Cluster Manager 역할

OpenShift Cluster Manager IAM 역할을 생성하여 Red Hat 조직에 연결합니다.

OpenShift Cluster Manager 역할에 기본 또는 관리 권한을 적용할 수 있습니다. 기본 권한을 사용하면 OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 클러스터 유지 관리를 수행할 수 있습니다. 관리 권한을 사용하면 OpenShift Cluster Manager 하이브리드 클라우드 콘솔을 사용하여 클러스터별 Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 배포할 수 있습니다.

OpenShift Cluster Manager 역할과 함께 관리 권한을 사용하여 클러스터를 빠르게 배포할 수 있습니다.

사용자 역할

사용자 IAM 역할을 생성하여 Red Hat 사용자 계정에 연결합니다. OpenShift Cluster Manager 역할에 연결된 Red Hat 조직에 Red Hat 사용자 계정이 있어야 합니다.

Red Hat은 OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 클러스터 및 필요한 STS 리소스를 설치할 때 AWS ID를 확인하는 데 사용자 역할을 사용합니다.

추가 리소스

OpenShift Cluster Manager 및 사용자 IAM 역할을 생성하고 연결하는 방법에 대한 자세한 단계는 Red Hat 조직과 AWS 계정 지원을 참조하십시오.

1.3. OpenShift Cluster Manager를 사용하여 빠르게 클러스터 생성

Red Hat OpenShift Cluster Manager를 사용하여 AWS(Security Token Service) 클러스터를 사용하는 ROSA(Red Hat OpenShift Service on) 클러스터를 생성하는 경우 기본 옵션을 선택하여 클러스터를 빠르게 생성할 수 있습니다.

OpenShift Cluster Manager를 사용하여 STS 클러스터와 ROSA를 배포하기 전에 AWS 계정을 Red Hat 조직과 연결하고 필요한 계정 전체 STS 역할 및 정책을 생성해야 합니다.

1.3.1. AWS 계정을 Red Hat 조직과 연결

Red Hat OpenShift Cluster Manager 하이브리드 클라우드 콘솔을 사용하여 AWS(Security Token Service) 클러스터를 사용하는 ROLE(Red Hat OpenShift Service on AWS) 클러스터를 생성하기 전에 OpenShift Cluster Manager IAM 역할을 생성하고 Red Hat 조직에 연결합니다. 그런 다음 사용자 IAM 역할을 생성하여 동일한 Red Hat 조직의 Red Hat 사용자 계정에 연결합니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
rosa CLI를 사용하여 Red Hat 계정에 로그인했습니다.
Red Hat 조직에는 조직 관리자 권한이 있습니다.

절차

OpenShift Cluster Manager 역할을 생성하여 Red Hat 조직에 연결합니다.
참고
OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 클러스터별 Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 배포하려면 ROSA 클러스터를 생성하는 계정 및 역할 단계에서 Admin OCM 역할 명령을 선택하여 역할에 관리 권한을 적용해야 합니다. OpenShift Cluster Manager 역할의 기본 및 관리 권한에 대한 자세한 내용은 AWS 계정 연결 이해를 참조하십시오.
참고
OpenShift Cluster Manager 하이브리드 클라우드 콘솔에서 ROSA 클러스터를 생성하는 계정 및 역할 단계에서 기본 OCM 역할 명령을 선택하는 경우 수동 모드를 사용하여 ROSA 클러스터를 배포해야 합니다. 이후 단계에서 클러스터별 Operator 역할과 OIDC(OpenID Connect) 공급자를 구성하라는 메시지가 표시됩니다.
```
$ rosa create ocm-role
```
프롬프트에서 기본값을 선택하여 역할을 신속하게 생성하고 연결합니다.
사용자 역할을 생성하여 OpenShift Cluster Manager 사용자 계정에 연결합니다.
```
$ rosa create user-role
```
프롬프트에서 기본값을 선택하여 역할을 신속하게 생성하고 연결합니다.
참고
OpenShift Cluster Manager 역할에 연결된 Red Hat 조직에 Red Hat 사용자 계정이 있어야 합니다.

1.3.2. 계정 전체 STS 역할 및 정책 생성

Red Hat OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 AWS(Security Token Service) 클러스터를 사용하는 ROSA(Red Hat OpenShift Service on AWS) 클러스터를 생성하기 전에 Operator 정책을 포함하여 필요한 계정 전체 STS 역할과 정책을 생성합니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
rosa CLI를 사용하여 Red Hat 계정에 로그인했습니다.

절차

기존 역할 및 정책이 AWS 계정을 확인합니다.
```
$ rosa list account-roles
```
AWS 계정에 없는 경우 필요한 계정 전체 STS 역할 및 정책을 생성합니다.
```
$ rosa create account-roles
```
프롬프트에 기본값을 선택하여 역할 및 정책을 빠르게 생성합니다.

1.3.3. OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 기본 옵션으로 클러스터 생성

Red Hat OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 AWS(Security Token Service) 클러스터를 사용하는ROSA(Red Hat OpenShift Service on AWS) 클러스터를 생성하는 경우 기본 옵션을 선택하여 클러스터를 빠르게 생성할 수 있습니다. admin OpenShift Cluster Manager IAM 역할을 사용하여 클러스터별 Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 배포할 수도 있습니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
AWS 계정에 ELB(Elastic Load Balancing) 서비스 역할이 있는지 확인했습니다.
AWS 계정을 Red Hat 조직과 연결하셨습니다. 계정을 연결한 경우 OpenShift Cluster Manager 역할에 관리 권한을 적용합니다. 자세한 단계는 Red Hat 조직과 AWS 계정 지원을 참조하십시오.
필요한 계정 전체 STS 역할 및 정책을 생성했습니다. 자세한 단계는 계정 전체 STS 역할 및 정책 생성을 참조하십시오.

절차

OpenShift Cluster Manager Hybrid Cloud Console 로 이동하여 클러스터 생성을 선택합니다.
OpenShift 클러스터 생성 페이지의 ROSA(Red Hat OpenShift Service on AWS) 행에서 클러스터 생성을 선택합니다.
AWS 계정 ID가 연결 AWS 계정 드롭다운 메뉴에 나열되어 있으며 설치 프로그램, 지원, 작업자 및 컨트롤 플레인 계정 역할 Amazon Resource Names(ARN)가 계정 및 역할 페이지에 나열되어 있는지 확인합니다.
참고
AWS 계정 ID가 나열되지 않은 경우 AWS 계정을 Red Hat 조직과 성공적으로 연결했는지 확인합니다. 계정 역할 ARN이 나열되어 있지 않은 경우 필요한 계정 전체 STS 역할이 AWS 계정에 있는지 확인합니다.
다음을 클릭합니다.
클러스터 세부 정보 페이지에서 클러스터 이름을 입력합니다. 나머지 필드에 기본값을 그대로 두고 다음을 클릭합니다.
클러스터를 빠르게 배포하려면 클러스터 설정 ,네트워킹, 클러스터 역할 및 정책 및 클러스터 업데이트 페이지에서 기본 옵션을 그대로 두고 각 페이지에서 다음을 클릭합니다.
ROSA 클러스터 검토 페이지에서 선택 사항 요약을 검토하고 클러스터 생성을 클릭하여 설치를 시작합니다.

검증

클러스터의 개요 페이지에서 설치 진행 상황을 모니터링할 수 있습니다. 동일한 페이지에서 설치 로그를 볼 수 있습니다. 페이지의 세부 정보 섹션에 있는 Status 가 Ready 로 표시되면 클러스터가 준비 상태가 됩니다.
참고
설치에 실패하거나 약 40분 후에 클러스터 상태가 Ready 로 변경되지 않는 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.

1.4. CLI를 사용하여 빠르게 클러스터 생성

Red Hat OpenShift Service on AWS(ROSA) CLI(rosa)를 사용하여 AWS Security Token Service(STS)를 사용하는 클러스터를 생성하는 경우 기본 옵션을 선택하여 클러스터를 빠르게 생성할 수 있습니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
rosa CLI를 사용하여 Red Hat 계정에 로그인했습니다.
AWS 계정에 ELB(Elastic Load Balancing) 서비스 역할이 있는지 확인했습니다.

절차

Operator 정책을 포함하여 필요한 계정 전체 역할 및 정책을 생성합니다.
```
$ rosa create account-roles --mode auto
```
참고
auto 모드를 사용하는 경우 대화식 프롬프트를 바이패스하고 작업을 자동으로 확인하기 위해 -y 인수를 선택적으로 지정할 수 있습니다.
기본값을 사용하여 STS를 사용하여 클러스터를 생성합니다. 기본값을 사용하면 안정적인 최신 OpenShift 버전이 설치됩니다.
```
$ rosa create cluster --cluster-name <cluster_name> --sts --mode auto 1
```
1
& lt;cluster_name >을 클러스터 이름으로 바꿉니다.
참고
--mode auto 를 지정하면 rosa create cluster 명령에서 클러스터별 Operator IAM 역할과 OIDC 공급자를 자동으로 생성합니다. Operator는 OIDC 공급자를 사용하여 인증합니다.
클러스터 상태를 확인합니다.
```
$ rosa describe cluster --cluster <cluster_name|cluster_id>
```
클러스터 설치가 진행됨에 따라 다음 상태 필드 변경 사항이 출력에 나열됩니다.
- 대기 (OIDC 구성Waiting)
- 보류 (사전 계정)
- 설치 ( 진행 중인 DNS 설정)
- 설치
- Ready
  참고
  설치에 실패하거나 약 40분 후에 State 필드가 준비 상태가 아닌 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.
OpenShift 설치 프로그램 로그를 확인하여 클러스터 생성의 진행 상황을 추적합니다.
```
$ rosa logs install --cluster <cluster_name|cluster_id> --watch 1
```
1
설치가 진행되는 동안 새 로그 메시지를 조사하려면 --watch 플래그를 지정합니다. 이 인수는 선택 사항입니다.

1.5. 다음 단계

ROSA 클러스터에 액세스

1.6. 추가 리소스

수동 모드를 사용하여 ROSA 클러스터를 배포하는 단계는 사용자 지정을 사용하여 클러스터 생성을 참조하십시오.
STS를 사용하여 AWS에 Red Hat OpenShift Service를 배포하는 데 필요한 IAM(Identity Access Management) 리소스에 대한 자세한 내용은 STS를 사용하는 클러스터의 IAM 리소스 정보를 참조하십시오.
필요한 경우 Operator 역할 이름 접두사 설정에 대한 자세한 내용은 사용자 정의 Operator IAM 역할 접두사 정보를 참조하십시오.
STS를 사용하여 ROSA를 설치하기 위한 사전 요구 사항에 대한 자세한 내용은 STS를 사용하여 ROSA의 AWS 사전 요구 사항을 참조하십시오.
자동 및 수동 모드를 사용하여 필요한 STS 리소스를 생성하는 방법에 대한 자세한 내용은 자동 및 수동 배포 모드 이해를 참조하십시오.
AWS IAM에서 OpenID Connect(OIDC) ID 공급자를 사용하는 방법에 대한 자세한 내용은 AWS 문서의 OpenID Connect (OIDC) ID 공급자 생성을 참조하십시오.
ROSA 클러스터 설치 문제 해결에 대한 자세한 내용은 설치 문제 해결을 참조하십시오.
Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.

2장. 사용자 정의를 사용하여 STS를 사용하여 ROSA 클러스터 생성

중요

AWS ROSA 4.12 클러스터 생성 시 Red Hat OpenShift Service의 경우 시간이 오래 걸리거나 실패할 수 있습니다. ROSA의 기본 버전은 4.11로 설정되어 있으므로 기본 설정을 사용하여 계정 역할 또는 ROSA 클러스터를 생성할 때 4.11 리소스만 생성됩니다. 4.12의 계정 역할은 이전 버전과 호환되며 이는 account-role 정책 버전의 경우입니다. --version 플래그를 사용하여 4.12 리소스를 생성할 수 있습니다.

자세한 내용은 ROSA 4.12 클러스터 생성 실패 솔루션을 참조하십시오.

사용자 지정을 사용하여 AWS(ROSA) 클러스터를 생성하고 AWS Security Token Service(STS)를 생성합니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(로사)를 사용하여 클러스터를 배포할 수 있습니다.

이 문서의 절차에 따라 필요한 AWS Identity and Access Management(IAM) 리소스를 생성할 때 자동 모드와 수동 모드 중에서 선택할 수 있습니다.

2.1. 자동 및 수동 배포 모드 이해

AWS STS(Security Token Service)를 사용하는 AWS(ROSA) 클러스터에 Red Hat OpenShift Service를 설치할 때 자동 및 수동 ROSA CLI(rosa) 모드 중에서 선택하여 필요한 AWS Identity and Access Management(IAM) 리소스를 생성할 수 있습니다.

자동 모드: 이 모드에서 rosa 는 필요한 IAM 역할 및 정책과 AWS 계정에 OIDC(OpenID Connect) 공급자를 즉시 생성합니다.
수동 모드: 이 모드에서 rosa 는 IAM 리소스를 생성하는 데 필요한 aws 명령을 출력합니다. 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. 수동 모드를 사용하여 수동으로 실행하기 전에 생성된 aws 명령을 검토할 수 있습니다. 수동 모드를 사용하면 리소스를 생성할 수 있도록 조직의 다른 관리자 또는 그룹에 명령을 전달할 수도 있습니다.

중요

수동 모드를 사용하도록 선택하는 경우 클러스터 설치는 클러스터별 Operator 역할 및 OIDC 공급자를 수동으로 생성할 때까지 기다립니다. 리소스를 생성한 후 설치가 진행됩니다. 자세한 내용은 OpenShift Cluster Manager를 사용하여 Operator 역할 및 OIDC 공급자 생성을 참조하십시오.

STS를 사용하여 ROSA를 설치하는 데 필요한 AWS IAM 리소스에 대한 자세한 내용은 STS를 사용하는 클러스터의 IAM 리소스 정보를 참조하십시오.

2.1.1. OpenShift Cluster Manager를 사용하여 Operator 역할 및 OIDC 공급자 생성

Red Hat OpenShift Cluster Manager를 사용하여 클러스터를 설치하고 수동 모드를 사용하여 필요한 AWS IAM Operator 역할과 OIDC 공급자를 생성하도록 선택하는 경우 다음 방법 중 하나를 선택하여 리소스를 설치하라는 메시지가 표시됩니다. 조직의 요구 사항에 맞는 리소스 생성 방법을 선택할 수 있도록 옵션이 제공됩니다.

AWS CLI(aws): 이 방법을 사용하면 IAM 리소스를 생성하는 데 필요한 aws 명령 및 정책 파일이 포함된 아카이브 파일을 다운로드하여 압축을 풀 수 있습니다. 정책 파일이 포함된 디렉터리에서 제공된 CLI 명령을 실행하여 Operator 역할 및 OIDC 공급자를 생성합니다.
ROSA CLI (Rosa): 이 방법에서 제공하는 명령을 실행하여 rosa 를 사용하여 클러스터의 Operator 역할 및 OIDC 공급자를 생성할 수 있습니다.

자동 모드를 사용하는 경우 OpenShift Cluster Manager IAM 역할을 통해 제공되는 권한을 사용하여 OpenShift Cluster Manager에서 Operator 역할 및 OIDC 공급자를 자동으로 생성합니다. 이 기능을 사용하려면 admin 권한을 역할에 적용해야 합니다.

2.2. AWS 계정 연결 이해

OpenShift Cluster Manager 역할

OpenShift Cluster Manager IAM 역할을 생성하여 Red Hat 조직에 연결합니다.

OpenShift Cluster Manager 역할과 함께 관리 권한을 사용하여 클러스터를 빠르게 배포할 수 있습니다.

사용자 역할

사용자 IAM 역할을 생성하여 Red Hat 사용자 계정에 연결합니다. OpenShift Cluster Manager 역할에 연결된 Red Hat 조직에 Red Hat 사용자 계정이 있어야 합니다.

Red Hat은 OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 클러스터 및 필요한 STS 리소스를 설치할 때 AWS ID를 확인하는 데 사용자 역할을 사용합니다.

추가 리소스

OpenShift Cluster Manager 및 사용자 IAM 역할을 생성하고 연결하는 방법에 대한 자세한 단계는 OpenShift Cluster Manager 를 사용하여 사용자 지정으로 클러스터 생성을 참조하십시오.

2.3. IAM 역할 및 정책에 대한 ARN 경로 사용자 정의

AWS STS(Security Token Service)를 사용하는 ROSA(Red Hat OpenShift Service on AWS) 클러스터에 필요한 AWS IAM 역할 및 정책을 생성할 때 사용자 지정 Amazon Resource Name(ARN) 경로를 지정할 수 있습니다. 이를 통해 조직의 보안 요구 사항을 충족하는 역할 및 정책 ARN 경로를 사용할 수 있습니다.

OCM 역할, 사용자 역할 및 계정 전체 역할 및 정책을 생성할 때 사용자 지정 ARN 경로를 지정할 수 있습니다.

계정 전체 역할 및 정책 세트를 생성할 때 사용자 정의 ARN 경로를 정의하면 세트의 모든 역할 및 정책에 동일한 경로가 적용됩니다. 다음 예제에서는 계정 전체 역할 및 정책 세트의 ARN을 보여줍니다. 이 예에서 ARN은 사용자 정의 경로 /test/path/dev/ 와 사용자 정의 역할 접두사 test-env:를 사용합니다.

arn:aws:iam::<account_id>:role/test/path/dev/test-env-Worker-Role
arn:aws:iam::<account_id>:role/test/path/dev/test-env-Support-Role
arn:aws:iam::<account_id>:role/test/path/dev/test-env-Installer-Role
arn:aws:iam::<account_id>:role/test/path/dev/test-env-ControlPlane-Role
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Worker-Role-Policy
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Support-Role-Policy
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-Installer-Role-Policy
arn:aws:iam::<account_id>:policy/test/path/dev/test-env-ControlPlane-Role-Policy

클러스터별 Operator 역할을 생성하면 관련 계정 전체 설치 프로그램 역할의 ARN 경로가 자동으로 탐지되어 Operator 역할에 적용됩니다.

ARN 경로에 대한 자세한 내용은 AWS 문서 의 AMI(Amazon Resource Names) 를 참조하십시오.

추가 리소스

AWS 클러스터에서 Red Hat OpenShift Service를 생성할 때 IAM 리소스의 사용자 지정 ARN 경로를 지정하는 단계는 사용자 정의를 사용하여 클러스터 생성을 참조하십시오.

2.4. STS를 사용하는 ROSA 클러스터에 대한 지원 고려 사항

AWS STS(Security Token Service)를 사용하는 AWS 클러스터에서 지원되는 OpenShift Service를 생성하는 방법은 이 제품 문서에 설명된 단계를 사용하는 것입니다.

중요

AWS CLI(rosa)의 Red Hat OpenShift Service와 함께 수동 모드를 사용하여 STS 리소스를 설치하는 데 필요한 AWS IAM(Identity and Access Management) 정책 파일 및 aws 명령을 생성할 수 있습니다.

파일과 aws 명령은 검토 목적으로만 생성되며 어떤 방식으로든 수정하지 않아야 합니다. Red Hat은 수정된 버전의 정책 파일 또는 aws 명령을 사용하여 배포된 ROSA 클러스터에 대한 지원을 제공할 수 없습니다.

2.5. 사용자 정의를 사용하여 클러스터 생성

AWS STS(Security Token Service) 클러스터를 사용하여 사용자 환경의 요구 사항에 맞는 구성으로 AWS(ROSA)에 Red Hat OpenShift Service를 배포합니다. Red Hat OpenShift Cluster Manager 또는 ROSA CLI(rosa)를 사용하여 사용자 지정으로 클러스터를 배포할 수 있습니다.

2.5.1. OpenShift Cluster Manager를 사용하여 사용자 지정으로 클러스터 생성

AWS(ROSA) 클러스터를 사용하여 AWS(보안 토큰 서비스) 클러스터를 생성하는 경우 Red Hat OpenShift Cluster Manager를 사용하여 대화형으로 설치를 사용자 지정할 수 있습니다.

중요

STS에서 퍼블릭 및 AWS PrivateLink 클러스터만 지원됩니다. 일반 프라이빗 클러스터(비-PrivateLink)는 STS와 함께 사용할 수 없습니다.

참고

AWS Shared VPC는 현재 ROSA 설치에 지원되지 않습니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
AWS 계정에 ELB(Elastic Load Balancing) 서비스 역할이 있는지 확인했습니다.
클러스터 전체 프록시를 구성하는 경우 클러스터가 설치 중인 VPC에서 프록시에 액세스할 수 있는지 확인했습니다. VPC의 프라이빗 서브넷에서도 프록시에 액세스할 수 있어야 합니다.

절차

OpenShift Cluster Manager Hybrid Cloud Console 로 이동하여 클러스터 생성을 선택합니다.
OpenShift 클러스터 생성 페이지의 ROSA(Red Hat OpenShift Service on AWS) 행에서 클러스터 생성을 선택합니다.
AWS 계정이 자동으로 감지되면 계정 ID가 관련 AWS 계정 드롭다운 메뉴에 나열됩니다. AWS 계정이 자동으로 감지되지 않으면 Select an account → Associate AWS account 를 클릭하고 다음 단계를 수행합니다.
1. Authenticate 페이지에서 rosa login 명령 옆에 있는 복사 버튼을 클릭합니다. 이 명령에는 OpenShift Cluster Manager API 로그인 토큰이 포함되어 있습니다.
  참고
  OpenShift Cluster Manager의 OpenShift Cluster Manager API 토큰 페이지에 API 토큰 을 로드할 수도 있습니다.
2. CLI에서 복사한 명령을 실행하여 ROSA 계정에 로그인합니다.
```
$ rosa login --token=<api_login_token> 1
```
  1
  & lt;api_login_token >을 복사한 명령에 제공된 토큰으로 바꿉니다.
  출력 예
```
I: Logged in as '<username>' on 'https://api.openshift.com'
```
3. OpenShift Cluster Manager의 인증 페이지에서 다음을 클릭합니다.
4. OCM 역할 페이지에서 Basic OCM 역할 또는 Admin OCM 역할 명령 옆에 있는 복사 버튼을 클릭합니다.
  기본 역할을 통해 OpenShift Cluster Manager는 ROSA에 필요한 AWS IAM 역할 및 정책을 감지할 수 있습니다. 또한 admin 역할을 통해 역할 및 정책을 감지할 수 있습니다. 또한 admin 역할을 사용하면 OpenShift Cluster Manager를 사용하여 클러스터별 Operator 역할 및 OIDC(OpenID Connect) 공급자를 자동으로 배포할 수 있습니다.
5. CLI에서 복사된 명령을 실행하고 프롬프트에 따라 OpenShift Cluster Manager IAM 역할을 생성합니다. 다음 예제에서는 기본 옵션을 사용하여 기본 OpenShift Cluster Manager IAM 역할을 생성합니다.
```
$ rosa create ocm-role
```
  출력 예
```
I: Creating ocm role
? Role prefix: ManagedOpenShift 1
? Enable admin capabilities for the OCM role (optional): No 2
? Permissions boundary ARN (optional):  3
? Role Path (optional): 4
? Role creation mode: auto 5
I: Creating role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
? Create the 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role? Yes
I: Created role 'ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>'
I: Linking OCM role
? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>
? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role with organization '<red_hat_organization_id>'? Yes 6
I: Successfully linked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' with organization account '<red_hat_organization_id>'
```
  1
  OCM IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은 ManagedOpenShift 입니다. Red Hat 조직에 대해 AWS 계정당 하나의 OCM 역할만 생성할 수 있습니다.
  2
  --admin 인수를 지정하는 것과 동일한 admin OpenShift Cluster Manager IAM 역할을 활성화합니다. OpenShift Cluster Manager를 사용하여 Auto 모드를 사용하여 클러스터별 Operator 역할 및 OIDC 공급자를 자동으로 프로비저닝하려면 admin 역할이 필요합니다.
  3
  선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
  4
  OCM 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: /test / path/dev/ )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
  5
  역할 생성 모드를 선택합니다. 자동 모드를 사용하여 OpenShift Cluster Manager IAM 역할을 자동으로 생성하고 Red Hat 조직 계정에 연결할 수 있습니다. 수동 모드에서 rosa CLI는 역할을 생성하고 연결하는 데 필요한 aws 명령을 생성합니다. 수동 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
  6
  OpenShift Cluster Manager IAM 역할을 Red Hat 조직 계정에 연결합니다.
6. OpenShift Cluster Manager IAM 역할을 이전 명령의 Red Hat 조직 계정에 연결하지 않으려면 OpenShift Cluster Manager OCM 역할 페이지에서 rosa link 명령을 복사하여 실행합니다.
```
$ rosa link ocm-role <arn> 1
```
  1
  & lt;arn >을 이전 명령의 출력에 포함된 OpenShift Cluster Manager IAM 역할의 ARN으로 바꿉니다.
7. OpenShift Cluster Manager OCM 역할 페이지에서 다음을 선택합니다.
8. User 역할 페이지에서 User role 명령의 복사 버튼을 클릭하고 CLI에서 명령을 실행합니다. Red Hat은 OpenShift Cluster Manager를 사용하여 클러스터 및 필수 리소스를 설치할 때 사용자 역할을 사용하여 AWS ID를 확인합니다.
  프롬프트에 따라 사용자 역할을 생성합니다.
```
$ rosa create user-role
```
  출력 예
```
I: Creating User role
? Role prefix: ManagedOpenShift 1
? Permissions boundary ARN (optional): 2
? Role Path (optional): [? for help] 3
? Role creation mode: auto 4
I: Creating ocm user role using 'arn:aws:iam::<aws_account_id>:user/<aws_username>'
? Create the 'ManagedOpenShift-User-<red_hat_username>-Role' role? Yes
I: Created role 'ManagedOpenShift-User-<red_hat_username>-Role' with ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role'
I: Linking User role
? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role
? Link the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' role with account '<red_hat_user_account_id>'? Yes 5
I: Successfully linked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<red_hat_username>-Role' with account '<red_hat_user_account_id>'
```
  1
  사용자 역할 이름에 포함할 접두사를 지정합니다. 기본값은 ManagedOpenShift 입니다.
  2
  선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
  3
  사용자 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: /test / path/dev/ )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
  4
  역할 생성 모드를 선택합니다. 자동 모드를 사용하여 사용자 역할을 자동으로 생성하고 OpenShift Cluster Manager 사용자 계정에 연결할 수 있습니다. 수동 모드에서 rosa CLI는 역할을 생성하고 연결하는 데 필요한 aws 명령을 생성합니다. 수동 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
  5
  사용자 역할을 OpenShift Cluster Manager 사용자 계정에 연결합니다.
9. 이전 명령의 OpenShift Cluster Manager 사용자 계정에 사용자 역할을 연결하지 않으려면 OpenShift Cluster Manager 사용자 역할 페이지에서 rosa link 명령을 복사하여 실행합니다.
```
$ rosa link user-role <arn> 1
```
  1
  & lt;arn >을 이전 명령의 출력에 포함된 사용자 역할의 ARN으로 바꿉니다.
10. OpenShift Cluster Manager 사용자 역할 페이지에서 확인을 클릭합니다.
11. AWS 계정 ID가 계정 및 역할 페이지의 관련 AWS 계정 드롭다운 메뉴에 나열되어 있는지 확인합니다.
12. 필요한 계정 역할이 없는 경우 일부 계정 역할 ARN이 감지되지 않았음을 알리는 알림이 제공됩니다. rosa create account-roles 명령 옆에 있는 복사 버퍼를 클릭하고 CLI에서 명령을 실행하여 AWS 계정 전체 역할 및 정책을 생성할 수 있습니다.
```
$ rosa create account-roles
```
  출력 예
```
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
I: Validating AWS credentials...
I: AWS credentials are valid!
I: Validating AWS quota...
I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
I: Verifying whether OpenShift command-line tool is available...
I: Current OpenShift Client Version: 4.13.0
I: Creating account roles
? Role prefix: ManagedOpenShift 1
? Permissions boundary ARN (optional): 2
? Path (optional): [? for help] 3
? Role creation mode: auto 4
I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5
I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6
I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7
I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
? Create the 'ManagedOpenShift-Support-Role' role? Yes 8
I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
I: To create a cluster with these roles, run the following command:
rosa create cluster --sts
```
  1
  OpenShift Cluster Manager IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은 ManagedOpenShift 입니다.
  중요
  계정 역할에 사용자 지정 ARN 경로를 사용하는 경우에도 AWS 계정 전반에서 고유한 계정 전체 역할 접두사를 지정해야 합니다.
  2
  선택 사항: 역할에 대한 권한 경계를 지정합니다(Amazon Resource Name (ARN)). 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
  3
  계정 전체 역할에 대한 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: /test / path/dev/ )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
  4
  역할 생성 모드를 선택합니다. 자동 모드를 사용하여 계정의 다양한 역할 및 정책을 자동으로 생성할 수 있습니다. 수동 모드에서 rosa CLI는 역할 및 정책을 생성하는 데 필요한 aws 명령을 생성합니다. 수동 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
  5 6 7 8
  계정 전체의 설치 프로그램, 컨트롤 플레인, 작업자 및 지원 역할 및 해당 IAM 정책을 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
  참고
  이 단계에서 ROSA CLI는 ROSA 클러스터 Operator가 핵심 OpenShift 기능을 수행할 수 있도록 클러스터별 Operator 정책에서 사용하는 계정 전체 Operator IAM 정책도 자동으로 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
13. 계정 및 역할 페이지에서 새로 고침 ARN 을 클릭하고 설치 프로그램, 지원, 작업자 및 컨트롤 플레인 계정 역할 ARN이 나열되는지 확인합니다.
  클러스터 버전의 AWS 계정에 둘 이상의 계정 역할 세트가 있는 경우 설치 관리자 역할 ARN의 드롭다운 목록이 제공됩니다. 클러스터와 함께 사용할 설치 프로그램 역할의 ARN을 선택합니다. 클러스터는 선택한 설치 프로그램 역할과 관련된 계정 전체 역할 및 정책을 사용합니다.
다음을 클릭합니다.
참고
계정 및 역할 페이지가 새로 고쳐진 경우 확인란을 다시 선택하여 모든 사전 요구 사항을 읽고 완료해야 할 수 있습니다.
Cluster details 페이지에서 클러스터 이름을 제공하고 클러스터 세부 정보를 지정합니다.
1. 클러스터 이름을 추가합니다.
2. 버전 드롭다운 메뉴에서 클러스터 버전을 선택합니다.
3. 리전 드롭다운 메뉴에서 클라우드 공급자 리전 을 선택합니다.
4. 단일 영역 또는 다중 영역 구성을 선택합니다.
5. Enable user workload monitoring selected to monitor your own projects in isolation from Red Hat site Reliability Engineer (SRE) 플랫폼 메트릭과 별도로 자체 프로젝트를 모니터링하도록 선택한 사용자 워크로드 모니터링 활성화. 이 옵션은 기본적으로 활성화되어 있습니다.
6. 선택사항: etcd 키 값 암호화가 필요한 경우 추가 etcd 암호화 사용을 선택합니다. 이 옵션을 사용하면 etcd 키 값이 암호화되지만 키는 암호화되지 않습니다. 이 옵션은 기본적으로 AWS 클러스터의 Red Hat OpenShift Service에서 etcd 볼륨을 암호화하는 컨트롤 플레인 스토리지 암호화에 추가됩니다.
  참고
  etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. etcd 암호화를 특히 사용 사례에 필요한 경우에만 활성화하는 것이 좋습니다.
7. 선택 사항: AWS Key Management Service(KMS) 키 Amazon Resource Name(ARN)을 제공하려면 고객 키를 사용하여 영구 볼륨 암호화 를 선택합니다. 키는 클러스터의 영구 볼륨 암호화에 사용됩니다.
  중요
  기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 기본적으로 암호화됩니다.
  다른 스토리지 클래스를 사용하여 생성된 PV는 스토리지 클래스를 암호화하도록 구성된 경우에만 암호화됩니다.
  1. 선택 사항: 고객이 관리하는 KMS 키를 생성하려면 대칭 암호화 KMS 키를 생성하는 절차를 따르십시오.
    중요
    클러스터를 성공적으로 생성하려면 EBS Operator 역할이 계정 역할 외에 필요합니다.
    EBS Operator 역할의 예
    "ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
    Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
8. 다음을 클릭합니다.
Default 시스템 풀 페이지에서 컴퓨팅 노드 인스턴스 유형을 선택합니다.
참고
클러스터가 생성되면 클러스터의 컴퓨팅 노드 수를 변경할 수 있지만 기본 머신 풀에서 컴퓨팅 노드 인스턴스 유형을 변경할 수 없습니다. 사용 가능한 노드 수 및 유형은 단일 가용성 영역 또는 여러 가용성 영역의 사용 여부에 따라 달라집니다. 또한 AWS 계정 및 선택한 리전에서 사용 가능한 항목에 따라 다릅니다.
선택 사항: 기본 머신 풀의 자동 스케일링을 구성합니다.
1. 배포 요구에 맞게 기본 머신 풀의 머신 수를 자동으로 스케일링 하려면 자동 스케일링 활성화를 선택합니다.
2. 자동 스케일링에 대한 최소 및 최대 노드 수 제한을 설정합니다. 클러스터 자동 스케일러는 사용자가 지정한 제한을 초과하여 기본 머신 풀 노드 수를 줄이거나 늘리지 않습니다.
  - 단일 가용성 영역을 사용하여 클러스터를 배포한 경우 최소 노드 수 및 최대 노드 수 를 설정합니다. 이는 가용성 영역에 최소 및 최대 컴퓨팅 노드 제한을 정의합니다.
  - 여러 가용성 영역을 사용하여 클러스터를 배포한 경우 영역당 최소 노드 및 영역당 최대 노드를 설정합니다. 이는 영역당 최소 및 최대 컴퓨팅 노드 제한을 정의합니다.
  참고
  또는 머신 풀을 생성한 후 기본 머신 풀에 대한 자동 스케일링 기본 설정을 설정할 수 있습니다.
자동 스케일링을 활성화하지 않은 경우 기본 머신 풀의 컴퓨팅 노드 수를 선택합니다.
- 단일 가용성 영역을 사용하여 클러스터를 배포한 경우 드롭다운 메뉴에서 컴퓨팅 노드 수 를 선택합니다. 이 명령은 영역의 시스템 풀에 프로비저닝할 컴퓨팅 노드 수를 정의합니다.
- 여러 가용성 영역을 사용하여 클러스터를 배포한 경우 드롭다운 메뉴에서 컴퓨팅 노드 수(지역당) 를 선택합니다. 이는 영역당 시스템 풀에 프로비저닝할 컴퓨팅 노드 수를 정의합니다.
선택 사항: 노드 라벨 편집 을 확장하여 노드에 라벨을 추가합니다. 레이블 추가 를 클릭하여 노드 레이블을 추가하고 다음을 선택합니다.
네트워크 구성 페이지의 Cluster privacy 섹션에서 Public 또는 Private 를 선택하여 클러스터에 대한 공용 또는 프라이빗 API 끝점 및 애플리케이션 경로를 사용합니다.
중요
클러스터가 생성된 후에는 API 끝점을 공용과 프라이빗 간에 변경할 수 없습니다.
공용 API 끝점
클러스터에 대한 액세스를 제한하지 않으려면 Public 을 선택합니다. 인터넷에서 Kubernetes API 끝점 및 애플리케이션 경로에 액세스할 수 있습니다.
프라이빗 API 끝점
클러스터에 대한 네트워크 액세스를 제한하려면 Private 을 선택합니다. Kubernetes API 끝점 및 애플리케이션 경로는 직접 프라이빗 연결에서만 액세스할 수 있습니다.
중요
프라이빗 API 끝점을 사용하는 경우 클라우드 공급자 계정의 네트워크 설정을 업데이트할 때까지 클러스터에 액세스할 수 없습니다.
선택 사항: 공용 API 끝점을 사용하도록 선택하는 경우 기본적으로 클러스터에 대한 새 VPC가 생성됩니다. 대신 기존 VPC에 클러스터를 설치하려면 기존 VPC 에 설치를 선택합니다.
참고
프라이빗 API 엔드포인트를 사용하도록 선택하는 경우 기존 VPC 및 PrivateLink를 사용하고 Install을 기존 VPC에 사용해야 하며 PrivateLink 옵션 사용 옵션이 자동으로 선택됩니다. 이러한 옵션을 통해 Red Hat 사이트 안정성 엔지니어링(SRE) 팀은 AWS PrivateLink 끝점만 사용하여 지원을 지원하기 위해 클러스터에 연결할 수 있습니다.
선택 사항: 기존 VPC에 클러스터를 설치하는 경우 클러스터 전체 프록시 구성을 선택하여 클러스터에서 인터넷에 대한 직접 액세스를 거부하도록 HTTP 또는 HTTPS 프록시를 활성화합니다.
다음을 클릭합니다.
기존 AWS VPC에 클러스터를 설치하도록 선택한 경우 VPC(Virtual Private Cloud) 서브넷 설정을 제공합니다.
참고
클러스터를 설치할 각 가용성 영역의 퍼블릭 및 프라이빗 서브넷으로 VPC가 구성되어 있는지 확인해야 합니다. PrivateLink를 사용하도록 선택한 경우 프라이빗 서브넷만 필요합니다.
클러스터 전체 프록시를 구성하도록 선택하는 경우 클러스터 전체 프록시 페이지에 프록시 설정 세부 정보를 입력합니다.
1. 다음 필드 중 하나 이상에 값을 입력합니다.
  - 유효한 HTTP 프록시 URL 을 지정합니다.
  - 유효한 HTTPS 프록시 URL 을 지정합니다.
  - 추가 신뢰 번들 필드에서 PEM 인코딩 X.509 인증서 번들을 제공합니다. 번들은 클러스터 노드의 신뢰할 수 있는 인증서 저장소에 추가됩니다. 프록시의 ID 인증서가 RHCOS(Red Hat Enterprise Linux CoreOS) 신뢰 번들의 기관에서 서명하지 않는 한 추가 신뢰 번들 파일이 필요합니다.
    추가 프록시 구성은 필요하지 않아도 추가 인증 기관(CA)이 필요한 MITM 투명 프록시 네트워크를 사용하는 경우 MITM CA 인증서를 제공해야 합니다.
    참고
    HTTP 또는 HTTPS 프록시 URL을 지정하지 않고 추가 신뢰 번들 파일을 업로드하는 경우 해당 번들은 클러스터에 설정되지만 프록시와 함께 사용하도록 구성되지 않습니다.
2. 다음을 클릭합니다.
AWS에서 Red Hat OpenShift Service를 사용하여 프록시를 구성하는 방법에 대한 자세한 내용은 클러스터 전체 프록시 구성을 참조하십시오.
CIDR 범위 대화 상자에서 사용자 정의 CIDR(Classless inter-domain routing) 범위를 구성하거나 제공된 기본값을 사용하고 다음을 클릭합니다.
참고
VPC에 설치하는 경우 Machine CIDR 범위는 VPC 서브넷과 일치해야 합니다.
중요
CIDR 구성은 나중에 변경할 수 없습니다. 계속하기 전에 네트워크 관리자에게 선택 사항을 확인합니다.
Cluster roles and policies 페이지에서 기본 클러스터별 Operator IAM 역할 및 OIDC 공급자 생성 모드를 선택합니다.
수동 모드를 사용하면 rosa CLI 명령 또는 aws CLI 명령을 사용하여 클러스터에 필요한 Operator 역할 및 OIDC 공급자를 생성할 수 있습니다. 수동 모드를 사용하면 기본 옵션을 사용하여 IAM 리소스를 수동으로 생성하고 클러스터 설치를 완료할 수 있습니다.
또는 Auto 모드를 사용하여 Operator 역할 및 OIDC 공급자를 자동으로 생성할 수 있습니다. 자동 모드를 활성화하려면 OpenShift Cluster Manager IAM 역할에 관리자 기능이 있어야 합니다.
참고
연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지되어 Operator 역할에 적용됩니다. 사용자 정의 ARN 경로는 Manual 또는 Auto 모드를 사용하여 Operator 역할을 생성할 때 적용됩니다.
선택 사항: 클러스터별 Operator IAM 역할에 대한 사용자 정의 Operator 역할 접두사 를 지정합니다.
참고
기본적으로 클러스터별 Operator 역할 이름은 클러스터 이름 및 임의의 4자리 해시가 접두사로 지정됩니다. 필요한 경우 사용자 정의 접두사를 지정하여 역할 이름에서 < cluster_name>-<hash >를 교체할 수 있습니다. 접두사는 클러스터별 Operator IAM 역할을 생성할 때 적용됩니다. 접두사에 대한 자세한 내용은 사용자 정의 Operator IAM 역할 접두사 정보를 참조하십시오.
다음을 선택합니다.
Cluster update strategy 페이지에서 업데이트 기본 설정을 구성합니다.
1. 클러스터 업데이트 방법을 선택합니다.
  - 각 업데이트를 개별적으로 예약하려면 개별 업데이트를 선택합니다. 이는 기본 옵션입니다.
  - Recurring updates to update your cluster on your preferred day and start time, when updates are available을 선택합니다.
    중요
    반복 업데이트를 선택할 때에도 마이너 릴리스 간에 클러스터를 업그레이드하기 전에 계정 전체 및 클러스터별 IAM 리소스를 업데이트해야 합니다.
    참고
    AWS의 Red Hat OpenShift Service의 업데이트 라이프 사이클 설명서에서 라이프 종료 날짜를 검토할 수 있습니다. 자세한 내용은 Red Hat OpenShift Service on AWS 업데이트 라이프 사이클을 참조하십시오.
2. 반복 업데이트를 선택한 경우 해당 요일을 선택하고 드롭다운 메뉴에서 UTC로 시작 시간을 업그레이드하십시오.
3. 선택 사항: 클러스터 업그레이드 중에 노드 드레이닝 에 대한 유예 기간을 설정할 수 있습니다. 기본적으로 1시간 유예 기간이 설정됩니다.
4. 다음을 클릭합니다.
  참고
  클러스터의 보안 또는 안정성에 큰 영향을 미치는 심각한 보안 문제가 있는 경우 Red Hat 사이트 안정성 엔지니어링(SRE)은 영향을 받지 않는 최신 z-stream 버전에 대한 자동 업데이트를 예약할 수 있습니다. 업데이트는 고객 알림이 제공된 후 48시간 이내에 적용됩니다. 심각한 영향을 미치는 보안 등급에 대한 자세한 내용은 Red Hat 보안 등급 이해를 참조하십시오.
선택 사항 요약을 검토하고 클러스터 생성을 클릭하여 클러스터 설치를 시작합니다.
수동 모드를 사용하도록 선택하는 경우 클러스터별 Operator 역할 및 OIDC 공급자를 수동으로 생성하여 설치를 계속합니다.
1. 설치를 계속 수행하는 데 필요한 동작 대화 상자에서 AWS CLI 또는 ROSA CLI 탭을 선택하고 수동으로 리소스를 생성합니다.
  - AWS CLI 방법을 사용하도록 선택한 경우 .zip 다운로드를 클릭하고 파일을 저장한 다음 AWS CLI 명령 및 정책 파일을 추출합니다. 그런 다음 CLI에서 제공된 aws 명령을 실행합니다.
    참고
    정책 파일이 포함된 디렉터리에서 aws 명령을 실행해야 합니다.
  - ROSA CLI 메서드를 사용하도록 선택한 경우 rosa create 명령 옆에 있는 복사 버튼을 클릭하고 CLI에서 실행합니다.
    참고
    연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정한 경우 이러한 수동 방법을 사용하여 사용자 정의 경로를 생성할 때 사용자 정의 경로가 자동으로 감지되고 Operator 역할에 적용됩니다.
2. 설치를 계속 수행하는 데 필요한 작업 대화 상자에서 x 를 클릭하여 클러스터의 개요 페이지로 돌아갑니다.
3. 클러스터에 대한 개요 페이지의 세부 정보 섹션에 있는 클러스터 상태가 Waiting 에서 Installing 으로 변경되었는지 확인합니다. 상태가 변경되는 데 약 2분이라는 짧은 지연이 있을 수 있습니다.
참고
Auto 모드를 사용하도록 선택하는 경우 OpenShift Cluster Manager는 Operator 역할과 OIDC 공급자를 자동으로 생성합니다.
중요
클러스터를 성공적으로 생성하려면 계정 역할 외에도 EBS Operator 역할이 필요합니다. .Example EBS Operator 역할 "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.

검증

클러스터의 개요 페이지에서 설치 진행 상황을 모니터링할 수 있습니다. 동일한 페이지에서 설치 로그를 볼 수 있습니다. 페이지의 세부 정보 섹션에 있는 Status 가 Ready 로 표시되면 클러스터가 준비 상태가 됩니다.
참고
설치에 실패하거나 약 40분 후에 클러스터 상태가 Ready 로 변경되지 않는 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.

추가 리소스

ROSA CLI를 사용하여 오브젝트 관리에서 클러스터를 생성합니다.

2.5.2. CLI를 사용하여 사용자 지정으로 클러스터 생성

AWS(ROSA) 클러스터를 사용하여 AWS(보안 토큰 서비스) 클러스터를 생성하는 경우 대화식으로 설치를 사용자 지정할 수 있습니다.

클러스터 생성 시 rosa create cluster --interactive 를 실행하면 배포를 사용자 지정할 수 있는 일련의 대화형 프롬프트가 표시됩니다. 자세한 내용은 대화형 클러스터 생성 모드 참조 를 참조하십시오.

대화형 모드를 사용하여 클러스터 설치가 완료되면 동일한 사용자 지정 구성을 사용하여 추가 클러스터를 배포할 수 있는 단일 명령이 출력에 제공됩니다.

중요

STS에서 퍼블릭 및 AWS PrivateLink 클러스터만 지원됩니다. 일반 프라이빗 클러스터(비-PrivateLink)는 STS와 함께 사용할 수 없습니다.

참고

AWS Shared VPC는 현재 ROSA 설치에 지원되지 않습니다.

사전 요구 사항

STS를 사용하여 ROSA에 대한 AWS 사전 요구 사항을 완료했습니다.
사용 가능한 AWS 서비스 할당량이 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화했습니다.
설치 호스트에 최신 ROSA(rosa) 및 AWS(aws) CLI를 설치하고 구성했습니다.
참고
ROSA 클러스터를 성공적으로 설치하려면 최신 버전의 ROSA CLI를 사용합니다.
암호화에 고객이 관리하는 AWS KMS(Key Management Service) 키를 사용하려면 대칭 KMS 키를 생성해야 합니다. 클러스터를 생성할 때 ARM(Amazon Resource Name)을 제공해야 합니다. 고객이 관리하는 KMS 키를 생성하려면 대칭 암호화 KMS 키를 생성하는 절차를 따르십시오.
중요
클러스터를 성공적으로 생성하려면 EBS Operator 역할이 계정 역할 외에 필요합니다.
EBS Operator 역할의 예
"ARN:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.

절차

Operator 정책을 포함하여 필요한 계정 전체 역할 및 정책을 생성합니다.
1. 현재 작업 디렉터리에서 IAM 정책 JSON 파일을 생성하고 검토할 aws CLI 명령을 출력합니다.
```
$ rosa create account-roles --interactive \ 1
                            --mode manual 2
```
  1
  대화형 모드를 사용하면 대화형 프롬프트에서 구성 옵션을 지정할 수 있습니다. 자세한 내용은 대화형 클러스터 생성 모드 참조 를 참조하십시오.
  2
  수동 모드에서는 계정 전체의 역할 및 정책을 생성하는 데 필요한 aws CLI 명령 및 JSON 파일을 생성합니다. 검토 후에는 명령을 수동으로 실행하여 리소스를 생성해야 합니다.
  출력 예
```
I: Logged in as '<red_hat_username>' on 'https://api.openshift.com'
I: Validating AWS credentials...
I: AWS credentials are valid!
I: Validating AWS quota...
I: AWS quota ok. If cluster installation fails, validate actual AWS resource usage against https://docs.openshift.com/rosa/rosa_getting_started/rosa-required-aws-service-quotas.html
I: Verifying whether OpenShift command-line tool is available...
I: Current OpenShift Client Version: 4.13.0
I: Creating account roles
? Role prefix: ManagedOpenShift 1
? Permissions boundary ARN (optional): 2
? Path (optional): [? for help] 3
? Role creation mode: auto 4
I: Creating roles using 'arn:aws:iam::<aws_account_number>:user/<aws_username>'
? Create the 'ManagedOpenShift-Installer-Role' role? Yes 5
I: Created role 'ManagedOpenShift-Installer-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Installer-Role'
? Create the 'ManagedOpenShift-ControlPlane-Role' role? Yes 6
I: Created role 'ManagedOpenShift-ControlPlane-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-ControlPlane-Role'
? Create the 'ManagedOpenShift-Worker-Role' role? Yes 7
I: Created role 'ManagedOpenShift-Worker-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Worker-Role'
? Create the 'ManagedOpenShift-Support-Role' role? Yes 8
I: Created role 'ManagedOpenShift-Support-Role' with ARN 'arn:aws:iam::<aws_account_number>:role/ManagedOpenShift-Support-Role'
I: To create a cluster with these roles, run the following command:
rosa create cluster --sts
```
  1
  OpenShift Cluster Manager IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은 ManagedOpenShift 입니다.
  중요
  계정 역할에 사용자 지정 ARN 경로를 사용하는 경우에도 AWS 계정 전반에서 고유한 계정 전체 역할 접두사를 지정해야 합니다.
  2
  선택 사항: 역할에 대한 권한 경계를 ARM(Amazon Resource Name)으로 지정합니다. 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
  3
  계정 전체 역할에 대한 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: /test / path/dev/ )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
  4
  역할 생성 모드를 선택합니다. 자동 모드를 사용하여 계정의 다양한 역할 및 정책을 자동으로 생성할 수 있습니다. 수동 모드에서 rosa CLI는 역할 및 정책을 생성하는 데 필요한 aws 명령을 생성합니다. 수동 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
  5 6 7 8
  계정 전체의 설치 프로그램, 컨트롤 플레인, 작업자 및 지원 역할 및 해당 IAM 정책을 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
  참고
  이 단계에서 ROSA CLI는 ROSA 클러스터 Operator가 핵심 OpenShift 기능을 수행할 수 있도록 클러스터별 Operator 정책에서 사용하는 계정 전체 Operator IAM 정책도 자동으로 생성합니다. 자세한 내용은 계정 전체 IAM 역할 및 정책 참조 를 참조하십시오.
2. 검토 후 aws 명령을 수동으로 실행하여 역할 및 정책을 생성합니다. 또는 --mode auto 로 이전 명령을 실행하여 aws 명령을 즉시 실행할 수 있습니다.

선택 사항: 자체 AWS KMS 키를 사용하여 컨트롤 플레인, 인프라, 작업자 노드 루트 볼륨 및 PV(영구 볼륨)를 암호화하는 경우 계정 전체 설치 프로그램의 ARN을 KMS 키 정책에 추가합니다.

중요

기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 이 특정 키로 암호화됩니다.

다른 스토리지 클래스를 사용하여 생성한 PV는 계속 암호화되지만 스토리지 클래스가 이 키를 사용하도록 특별히 구성되지 않는 한 PV는 이 키로 암호화되지 않습니다.

KMS 키의 키 정책을 로컬 머신의 파일에 저장합니다. 다음 예제에서는 현재 작업 디렉터리의 kms-key-policy.json 에 출력을 저장합니다.
```
$ aws kms get-key-policy --key-id <key_id_or_arn> --policy-name default --output text > kms-key-policy.json 1
```
1
& lt;key_id_or_arn >을 KMS 키의 ID 또는 ARN으로 바꿉니다.

이전 단계에서 작성한 계정 전체 설치 관리자 역할의 ARN을 파일의 Statement.Principal.AWS 섹션에 추가합니다. 다음 예에서는 기본 ManagedOpenShift-Installer-Role 역할의 ARN이 추가되었습니다.

{
    "Version": "2012-10-17",
    "Id": "key-rosa-policy-1",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<aws-account-id>:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow ROSA use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Support-Role", 1
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Installer-Role",
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Worker-Role",
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-ControlPlane-Role",
                    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 2
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Support-Role", 3
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Installer-Role",
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-Worker-Role",
                    "arn:aws:iam::<aws-account-id>:role/ManagedOpenShift-ControlPlane-Role",
                    "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent" 4
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}

1 3: ROSA 클러스터를 생성할 때 사용할 계정 전체 역할에 ARN을 지정해야 합니다. 섹션에 나열된 ARN은 쉼표로 구분해야 합니다.
2 4: ROSA 클러스터를 생성할 때 사용할 operator 역할에 ARN을 지정해야 합니다. 섹션에 나열된 ARN은 쉼표로 구분해야 합니다.

KMS 키 정책에 변경 사항을 적용합니다.
```
$ aws kms put-key-policy --key-id <key_id_or_arn> \ 1
    --policy file://kms-key-policy.json \ 2
    --policy-name default
```
1
& lt;key_id_or_arn >을 KMS 키의 ID 또는 ARN으로 바꿉니다.
2
로컬 파일에서 키 정책을 참조할 때 file:// 접두사를 포함해야 합니다.
다음 단계에서 클러스터를 생성할 때 KMS 키의 ARN을 참조할 수 있습니다.

사용자 지정 설치 옵션을 사용하여 STS로 클러스터를 생성합니다. --interactive 모드를 사용하여 대화형으로 사용자 지정 설정을 지정할 수 있습니다.
```
$ rosa create cluster --interactive --sts
```
출력 예
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Cluster name: <cluster_name>
? OpenShift version: 4.8.9 1
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role for the Installer role 2
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role for the ControlPlane role
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role for the Worker role
I: Using arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role for the Support role
? External ID (optional):
? Operator roles prefix: <cluster_name>-<random_string> 3
? Multiple availability zones (optional): No 4
? AWS region: us-east-1
? PrivateLink cluster (optional): No
? Install into an existing VPC (optional): No
? Select availability zones (optional): No
? Enable Customer Managed key (optional): No 5
? Compute nodes instance type (optional):
? Enable autoscaling (optional): No
? Compute nodes: 2
? Machine CIDR: 10.0.0.0/16
? Service CIDR: 172.30.0.0/16
? Pod CIDR: 10.128.0.0/14
? Host prefix: 23
? Encrypt etcd data (optional): No 6
? Disable Workload monitoring (optional): No
I: Creating cluster '<cluster_name>'
I: To create this cluster again in the future, you can run:
   rosa create cluster --cluster-name <cluster_name> --role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role --support-role-arn arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role --master-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role --worker-iam-role arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role --operator-roles-prefix <cluster_name>-<random_string> --region us-east-1 --version 4.8.9 --compute-nodes 2 --machine-cidr 10.0.0.0/16 --service-cidr 172.30.0.0/16 --pod-cidr 10.128.0.0/14 --host-prefix 23 7
I: To view a list of clusters and their status, run 'rosa list clusters'
I: Cluster '<cluster_name>' has been created.
I: Once the cluster is installed you will need to add an Identity Provider before you can login into the cluster. See 'rosa create idp --help' for more information.
...
```
1
클러스터를 생성할 때 나열된 OpenShift 버전 옵션에는 메이저, 마이너 및 패치 버전이 포함됩니다(예: 4.8.9).
2
클러스터 버전에 대해 AWS 계정에 두 개 이상의 계정 역할 세트가 있는 경우 대화형 옵션 목록이 제공됩니다.
3
선택 사항: 기본적으로 클러스터별 Operator 역할 이름 앞에 클러스터 이름 및 임의 4자리 해시가 있습니다. 필요한 경우 사용자 정의 접두사를 지정하여 역할 이름에서 < cluster_name>-<hash >를 교체할 수 있습니다. 접두사는 클러스터별 Operator IAM 역할을 생성할 때 적용됩니다. 접두사에 대한 자세한 내용은 Operator IAM 역할 접두사 정의를 참조하십시오.
참고
연결된 계정 전체 역할을 만들 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지됩니다. 사용자 정의 경로는 이후 단계에서 생성할 때 클러스터별 Operator 역할에 적용됩니다.
4
프로덕션 워크로드에는 여러 가용성 영역이 권장됩니다. 기본값은 단일 가용성 영역입니다.
5
자체 AWS KMS 키를 사용하여 컨트롤 플레인, 인프라, 작업자 노드 루트 볼륨 및 PV를 암호화하는 경우 이 옵션을 활성화합니다. 이전 단계에서 계정 전체 역할 ARN에 추가한 KMS 키의 ARN을 지정합니다.
중요
기본 스토리지 클래스에서 생성된 PV(영구 볼륨)만 이 특정 키로 암호화됩니다.
다른 스토리지 클래스를 사용하여 생성한 PV는 계속 암호화되지만 스토리지 클래스가 이 키를 사용하도록 특별히 구성되지 않는 한 PV는 이 키로 암호화되지 않습니다.
6
기본적으로 etcd 볼륨을 암호화하는 컨트롤 플레인 스토리지 암호화 외에도 사용 사례에 etcd 키 값 암호화가 필요한 경우에만 이 옵션을 활성화합니다. 이 옵션을 사용하면 etcd 키 값이 암호화되지만 키는 암호화되지 않습니다.
중요
etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. 특히 사용 사례에 필요한 경우에만 etcd 암호화를 활성화하는 것이 좋습니다.
7
출력에는 나중에 동일한 구성으로 클러스터를 생성하기 위해 실행할 수 있는 사용자 지정 명령이 포함됩니다.
--interactive 모드를 사용하는 대신 rosa create cluster 를 실행할 때 사용자 지정 옵션을 직접 지정할 수 있습니다. 사용 가능한 CLI 옵션 목록을 보려면 rosa create cluster --help 를 실행하거나 ROSA CLI를 사용하여 오브젝트 관리에서 클러스터 생성을 참조하십시오.
중요
Operator IAM 역할 및 OIDC(OpenID Connect) 공급자를 생성하여 클러스터 상태를 준비 상태로 이동하려면 다음 단계를 완료해야 합니다.
클러스터별 Operator IAM 역할을 생성합니다.
1. 현재 작업 디렉터리에서 Operator IAM 정책 JSON 파일을 생성하고 검토할 aws CLI 명령을 출력합니다.
```
$ rosa create operator-roles --mode manual --cluster <cluster_name|cluster_id> 1
```
  1
  수동 모드는 Operator 역할을 생성하는 데 필요한 aws CLI 명령 및 JSON 파일을 생성합니다. 검토 후에는 명령을 수동으로 실행하여 리소스를 생성해야 합니다.
2. 검토 후 aws 명령을 수동으로 실행하여 Operator IAM 역할을 생성하고 관리 Operator 정책을 연결합니다. 또는 --mode auto 를 사용하여 이전 명령을 다시 실행하여 aws 명령을 즉시 실행할 수 있습니다.
  참고
  이전 단계에서 접두사를 지정한 경우 사용자 정의 접두사가 Operator 역할 이름에 적용됩니다.
  연결된 계정 전체 역할을 생성할 때 사용자 정의 ARN 경로를 지정하면 사용자 정의 경로가 자동으로 탐지되어 Operator 역할에 적용됩니다.
  중요
  클러스터를 성공적으로 생성하려면 계정 역할 외에도 EBS Operator 역할이 필요합니다. .Example EBS Operator 역할 "arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent"
  Operator 역할을 생성한 후에는 역할을 추가하려면 AWS 콘솔의KMS(Key Management Service) 페이지에서 키 정책을 편집해야 합니다.
클러스터 Operator가 인증하는 데 사용하는 OpenID Connect(OIDC) 공급자를 생성합니다.
```
$ rosa create oidc-provider --mode auto --cluster <cluster_name|cluster_id> 1
```
1
Auto 모드는 OIDC 공급자를 생성하는 aws CLI 명령을 즉시 실행합니다.

클러스터 상태를 확인합니다.

$ rosa describe cluster --cluster <cluster_name|cluster_id>

출력 예

Name:                       <cluster_name>
ID:                         <cluster_id>
External ID:                <external_id>
OpenShift Version:          <version>
Channel Group:              stable
DNS:                        <cluster_name>.xxxx.p1.openshiftapps.com
AWS Account:                <aws_account_id>
API URL:                    https://api.<cluster_name>.xxxx.p1.openshiftapps.com:6443
Console URL:                https://console-openshift-console.apps.<cluster_name>.xxxx.p1.openshiftapps.com
Region:                     <aws_region>
Multi-AZ:                   false
Nodes:
 - Master:                  3
 - Infra:                   2
 - Compute:                 2
Network:
 - Service CIDR:            172.30.0.0/16
 - Machine CIDR:            10.0.0.0/16
 - Pod CIDR:                10.128.0.0/14
 - Host Prefix:             /23
STS Role ARN:               arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role
Support Role ARN:           arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role
Instance IAM Roles:
 - Master:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role
 - Worker:                  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role
Operator IAM Roles:
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-machine-api-aws-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-cloud-credential-operator-cloud-crede
 - arn:aws:iam::<aws_account_id>:role/<cluster_name>-xxxx-openshift-image-registry-installer-cloud-creden
State:                      ready
Private:                    No
Created:                    Oct  1 2021 08:12:25 UTC
Details Page:               https://console.redhat.com/openshift/details/s/<subscription_id>
OIDC Endpoint URL:          https://rh-oidc.s3.<aws_region>.amazonaws.com/<cluster_id>

클러스터 설치가 진행됨에 따라 다음 상태 필드 변경 사항이 출력에 나열됩니다.

대기 (OIDC 구성Waiting)
보류 (사전 계정)
설치 ( 진행 중인 DNS 설정)
설치
Ready
참고
설치에 실패하거나 약 40분 후에 State 필드가 준비 상태가 아닌 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오. 자세한 내용은 설치 문제 해결을 참조하십시오. Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.

OpenShift 설치 프로그램 로그를 확인하여 클러스터 생성의 진행 상황을 추적합니다.
```
$ rosa logs install --cluster <cluster_name|cluster_id> --watch 1
```
1
설치가 진행되는 동안 새 로그 메시지를 조사하려면 --watch 플래그를 지정합니다. 이 인수는 선택 사항입니다.

2.6. 다음 단계

ROSA 클러스터에 액세스

2.7. 추가 리소스

STS를 사용하여 AWS에 Red Hat OpenShift Service를 배포하는 데 필요한 IAM(Identity Access Management) 리소스에 대한 자세한 내용은 STS를 사용하는 클러스터의 IAM 리소스 정보를 참조하십시오.
필요한 경우 Operator 역할 이름 접두사 설정에 대한 자세한 내용은 사용자 정의 Operator IAM 역할 접두사 정보를 참조하십시오.
대화형 모드를 사용하여 AWS IAM 리소스 및 클러스터를 생성할 때 제공되는 옵션에 대한 개요는 대화형 클러스터 생성 모드 참조 를 참조하십시오.
STS를 사용하여 ROSA를 설치하기 위한 사전 요구 사항에 대한 자세한 내용은 STS를 사용하여 ROSA의 AWS 사전 요구 사항을 참조하십시오.
AWS IAM에서 OpenID Connect(OIDC) ID 공급자를 사용하는 방법에 대한 자세한 내용은 AWS 문서의 OpenID Connect (OIDC) ID 공급자 생성을 참조하십시오.
etcd 암호화에 대한 자세한 내용은 etcd 암호화 서비스 정의를 참조하십시오.
ROSA를 사용하여 프록시를 구성하는 방법에 대한 자세한 내용은 클러스터 전체 프록시 구성을 참조하십시오.
ROSA 클러스터 설치 문제 해결에 대한 자세한 내용은 클러스터 배포 문제 해결을 참조하십시오.
Red Hat 지원에 문의하여 지원을 받으려면 AWS에서 Red Hat OpenShift Service 지원 가져오기 를 참조하십시오.

3장. 대화형 클러스터 생성 모드 참조

이 섹션에서는 ROSA CLI(rosa)를 사용하여 OCM 역할, 사용자 역할 및 AWS(ROSA) 클러스터에서 Red Hat OpenShift Service on AWS를 생성할 때 제공되는 옵션에 대한 개요를 제공합니다.

3.1. 대화형 OCM 및 사용자 역할 생성 모드 옵션

Red Hat OpenShift Cluster Manager를 사용하여 AWS(Security Token Service) 클러스터를 사용하는 ROSA(Red Hat OpenShift Service on) 클러스터를 생성하기 전에 OCM 및 사용자 역할을 생성 및 연결하여 AWS 계정을 Red Hat 조직과 연결해야 합니다. rosa create ocm-role 또는 rosa create user-role 에서 --interactive 옵션을 지정하여 대화형 모드를 활성화할 수 있습니다.

다음 표에서는 대화형 OCM 역할 생성 모드 옵션에 대해 설명합니다.

표 3.1. --interactive OCM 역할 생성 모드 옵션

필드	설명
`역할 접두사`	OCM IAM 역할 이름에 포함할 접두사를 지정합니다. 기본값은 `ManagedOpenShift` 입니다. Red Hat 조직에 대해 AWS 계정당 하나의 OCM 역할만 생성할 수 있습니다.
`OCM 역할에 대한 관리자 기능 활성화(선택 사항)`	`--admin` 인수를 지정하는 것과 동일한 admin OCM IAM 역할을 활성화합니다. OpenShift Cluster Manager를 사용하여 클러스터별 Operator 역할과 OIDC 공급자를 자동으로 프로비저닝하려면 `자동` 모드를 사용하려면 admin 역할이 필요합니다.
`권한 경계 ARN (선택 사항)`	OCM 역할에 대한 권한 경계를 지정합니다. 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
`역할 경로(선택 사항)`	OCM 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: `/test / path/dev/` )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
`역할 생성 모드`	역할 생성 모드를 선택합니다. `자동` 모드를 사용하여 OCM 역할을 자동으로 생성하여 Red Hat 조직 계정에 연결할 수 있습니다. `수동` 모드에서 `rosa` CLI는 역할을 생성하고 연결하는 데 필요한 `aws` 명령을 생성합니다. `수동` 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. `수동` 모드를 사용하면 `aws` 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
`'<ocm_role_name>' 역할을 생성합니까?`	OCM 역할을 생성할지 확인합니다.
`'<ocm_role_arn>' 역할을 '<red_hat_organization_id>'와 함께 연결합니까?`	OCM 역할을 Red Hat 조직과 연결하려는지 확인합니다.

다음 표에서는 대화형 사용자 역할 생성 모드 옵션에 대해 설명합니다.

표 3.2. --interactive 사용자 역할 생성 모드 옵션

필드	설명
`역할 접두사`	사용자 역할 이름에 포함할 접두사를 지정합니다. 기본값은 `ManagedOpenShift` 입니다.
`권한 경계 ARN (선택 사항)`	사용자 역할에 대한 권한 경계를 지정합니다. 자세한 내용은 AWS 문서의 IAM 엔티티의 권한 경계를 참조하십시오.
`역할 경로(선택 사항)`	사용자 역할의 사용자 정의 ARN 경로를 지정합니다. 경로는 영숫자만 포함해야 하며 /(예: `/test / path/dev/` )로 시작하고 끝나야 합니다. 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
`역할 생성 모드`	역할 생성 모드를 선택합니다. `자동` 모드를 사용하여 사용자 역할을 자동으로 생성하고 OpenShift Cluster Manager 사용자 계정에 연결할 수 있습니다. `수동` 모드에서 `rosa` CLI는 역할을 생성하고 연결하는 데 필요한 `aws` 명령을 생성합니다. `수동` 모드에서 해당 정책 JSON 파일도 현재 디렉터리에 저장됩니다. `수동` 모드를 사용하면 `aws` 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.
`'<user_role_name>' 역할을 생성합니까?`	사용자 역할을 생성할지 확인합니다.
`계정 '<red_hat_user_account_id>'를 사용하여 '<user_role_arn>' 역할을 연결합니까?`	사용자 역할을 Red Hat 사용자 계정과 연결하려는지 확인합니다.

3.2. 대화형 클러스터 생성 모드 옵션

대화형 모드를 사용하여 AWS STS(보안 토큰 서비스)로 AWS 클러스터에서 Red Hat OpenShift Service를 생성할 수 있습니다. rosa create cluster 를 실행할 때 --interactive 옵션을 지정하여 모드를 활성화할 수 있습니다.

다음 표에서는 대화형 클러스터 생성 모드 옵션을 설명합니다.

표 3.3. --interactive 클러스터 생성 모드 옵션

필드	설명
`클러스터 이름`	클러스터의 이름을 입력합니다(예: `my-rosa-cluster` ).
`AWS STS를 사용하여 클러스터 배포`	AWS STS(Security Token Service)를 사용하여 구성 요소별 AWS Identity and Access Management(IAM) 역할에 대해 제한된 임시 인증 정보를 할당하는 OpenShift 클러스터를 생성합니다. 이 서비스를 사용하면 클러스터 구성 요소가 보안 클라우드 리소스 관리 방법을 사용하여 AWS API를 호출할 수 있습니다. 기본값은 `Yes` 입니다.
`OpenShift 버전`	설치할 OpenShift 버전을 선택합니다(예: `4.13` ). 기본값은 최신 버전입니다.
`설치 프로그램 역할 ARN`	클러스터 버전의 AWS 계정에 계정 역할 세트가 두 개 이상 있는 경우 설치 프로그램 역할 ARN 목록이 제공됩니다. 클러스터와 함께 사용할 설치 프로그램 역할의 ARN을 선택합니다. 클러스터는 선택한 설치 프로그램 역할과 관련된 계정 전체 역할 및 정책을 사용합니다.
`외부 ID (선택 사항)`	계정 역할을 가정할 때 OpenShift Cluster Manager 및 OpenShift 설치 프로그램에서 전달하는 고유 식별자를 지정합니다. 이 옵션은 외부 ID가 필요한 사용자 지정 계정 역할에만 필요합니다.
`Operator 역할 접두사`	클러스터별 Operator IAM 역할에 할당할 접두사를 입력합니다. 기본값은 클러스터 이름과 4자리 임의 문자열(예: `my-rosa-cluster-a0b` 1)입니다.
`다중 가용성 영역 (선택 사항)`	클러스터를 AWS 리전의 여러 가용성 영역에 배포합니다. 기본값은 `No` 이며, 이로 인해 클러스터가 단일 가용성 영역에 배포됩니다. 클러스터를 여러 가용성 영역에 배포하는 경우 AWS 리전에 가용성 영역이 3개 이상 있어야 합니다. 프로덕션 워크로드에는 여러 가용성 영역이 권장됩니다.
`AWS 리전`	클러스터를 배포할 AWS 리전을 지정합니다. 그러면 `AWS_REGION` 환경 변수가 재정의됩니다.
`PrivateLink 클러스터 (선택 사항)`	AWS PrivateLink를 사용하여 클러스터를 생성합니다. 이 옵션은 트래픽을 공용 인터넷에 노출하지 않고 VPC(Virtual Private Cloud), AWS 서비스 및 온프레미스 네트워크 간의 프라이빗 연결을 제공합니다. 지원을 제공하기 위해 Red Hat 사이트 안정성 엔지니어링(SRE)은 AWS PrivateLink Virtual Private Cloud (VPC) 끝점을 사용하여 클러스터에 연결할 수 있습니다. 이 옵션은 클러스터를 생성한 후에는 변경할 수 없습니다. 기본값은 `No` 입니다.
`기존 VPC에 설치 (선택 사항)`	기존 AWS VPC에 클러스터를 설치합니다. 이 옵션을 사용하려면 클러스터를 설치하는 각 가용성 영역의 두 서브넷이 VPC에 있어야 합니다. 기본값은 `No` 입니다.
`가용성 영역 선택(선택 사항)`	기존 AWS VPC에 설치할 때 사용할 가용성 영역을 지정합니다. 쉼표로 구분된 목록을 사용하여 가용성 영역을 제공합니다. `No` 를 지정하면 설치 프로그램이 가용성 영역을 자동으로 선택합니다.
`고객 관리 키 활성화 (선택 사항)`	특정 AWS KMS(Key Management Service) 키를 영구 데이터의 암호화 키로 사용하려면 이 옵션을 활성화합니다. 이 키는 컨트롤 플레인, 인프라 및 작업자 노드 루트 볼륨의 암호화 키로 작동합니다. 키는 기본 스토리지 클래스로 생성된 영구 볼륨이 특정 KMS 키로 암호화되도록 기본 스토리지 클래스에도 구성됩니다. 비활성화되면 지정된 리전의 계정 KMS 키가 기본적으로 사용되어 영구 데이터가 항상 암호화되도록 합니다. 기본값은 `No` 입니다.
`컴퓨팅 노드 인스턴스 유형`	컴퓨팅 노드 인스턴스 유형을 선택합니다. 기본값은 `m5.xlarge` 입니다.
`자동 스케일링 활성화 (선택 사항)`	컴퓨팅 노드 자동 스케일링을 활성화합니다. 자동 스케일러는 배포 요구에 맞게 클러스터 크기를 조정합니다. 기본값은 `No` 입니다.
`컴퓨팅 노드`	각 가용성 영역에 프로비저닝할 컴퓨팅 노드 수를 지정합니다. 단일 가용성 영역에 배포된 클러스터에는 노드가 2개 이상 필요합니다. 여러 영역에 배포된 클러스터에는 노드가 3개 이상 있어야 합니다. 최대 작업자 노드 수는 180개입니다. 기본값은 `2`입니다.
`머신 CIDR`	VPC 서브넷의 모든 CIDR 주소 범위를 포함해야 하는 머신(클러스터 노드)의 IP 주소 범위를 지정합니다. 서브넷이 연속되어야 합니다. 단일 가용성 영역 배포에 대해 서브넷 접두사 `/25` 를 사용하는 최소 128 주소 범위가 지원됩니다. 여러 가용 영역을 사용하는 배포에는 서브넷 접두사 `/24` 를 사용하는 최소 주소 범위 256 주소가 지원됩니다. 기본값은 `10.0.0.0/16` 입니다. 이 범위는 연결된 네트워크와 충돌해서는 안 됩니다.
`Service CIDR`	서비스의 IP 주소 범위를 지정합니다. 범위는 워크로드를 수용할 수 있을 만큼 충분히 커야 합니다. address 블록은 클러스터 내에서 액세스한 외부 서비스와 겹치지 않아야 합니다. 기본값은 `172.30.0.0/16`입니다. 클러스터 간에 동일한 것이 좋습니다.
`Pod CIDR`	Pod의 IP 주소 범위를 지정합니다. 범위는 워크로드를 수용할 수 있을 만큼 충분히 커야 합니다. address 블록은 클러스터 내에서 액세스한 외부 서비스와 겹치지 않아야 합니다. 기본값은 `10.128.0.0/14` 입니다. 클러스터 간에 동일한 것이 좋습니다.
`호스트 접두사`	개별 머신에 예약된 Pod에 할당된 서브넷 접두사 길이를 지정합니다. 호스트 접두사는 각 머신의 Pod IP 주소 풀을 결정합니다. 예를 들어 호스트 접두사를 `/23` 으로 설정하면 Pod CIDR 주소 범위의 `/23` 서브넷이 각 시스템에 할당됩니다. 기본값은 `/23` 입니다. 이는 노드당 512개의 클러스터 노드와 512 Pod를 허용하고 둘 다 지원되는 최대값을 초과합니다. 지원되는 최대값에 대한 자세한 내용은 아래의 추가 리소스 섹션을 참조하십시오.
`FIPS (선택 사항)`	FIPS 모드를 활성화 또는 비활성화합니다. 기본값은 `false`(비활성화)입니다. FIPS 모드가 활성화된 경우 AWS에서 Red Hat OpenShift Service가 실행되는 RHCOS(Red Hat Enterprise Linux CoreOS) 머신은 기본 Kubernetes 암호화 제품군을 우회하고 RHCOS와 함께 제공되는 암호화 모듈을 사용합니다. 중요 진행 중인 FIPS 검증 / 모듈 암호화 라이브러리 사용은 `x86_64` 아키텍처의 AWS 배포 시 Red Hat OpenShift Service에서만 지원됩니다.
`etcd 데이터 암호화 (선택 사항)`	AWS의 Red Hat OpenShift Service에서 컨트롤 플레인 스토리지는 기본적으로 암호화되며 여기에는 etcd 볼륨의 암호화가 포함됩니다. `etcd 데이터 암호화 옵션을 활성화하여 etcd` 의 일부 리소스에 대한 키 값을 암호화할 수 있지만 키는 암호화할 수 없습니다. 중요 etcd의 키 값에 etcd 암호화를 활성화하면 약 20%의 성능 오버헤드가 발생합니다. 오버헤드는 etcd 볼륨을 암호화하는 기본 컨트롤 플레인 스토리지 암호화 외에도 이 두 번째 암호화 계층이 도입된 결과입니다. 특히 사용 사례에 필요한 경우에만 etcd 암호화를 활성화하는 것이 좋습니다.
`워크로드 모니터링 비활성화 (선택 사항)`	사용자 정의 프로젝트에 대한 모니터링을 비활성화합니다. 사용자 정의 프로젝트에 대한 모니터링은 기본적으로 활성화되어 있습니다.

3.3. 추가 리소스

OCM 역할, 사용자 역할 및 계정 전체 역할에 대한 사용자 지정 ARN 경로를 사용하는 방법에 대한 자세한 내용은 IAM 역할 및 정책에 대한 ARN 경로 사용자 지정을 참조하십시오.
지원되는 최대값 목록은 ROSA 테스트된 클러스터 최대값을 참조하십시오.
AWS IAM 리소스를 포함하여 STS를 사용하여 ROSA 클러스터를 빠르게 생성하는 자세한 단계는 기본 옵션을 사용하여 STS를 사용하여 ROSA 클러스터 생성을 참조하십시오.
AWS IAM 리소스를 포함한 사용자 정의를 사용하여 STS를 사용하여 ROSA 클러스터를 생성하는 방법에 대한 자세한 단계는 사용자 정의를 사용하여 STS를 사용하여 ROSA 클러스터 생성을 참조하십시오.
etcd 암호화에 대한 자세한 내용은 etcd 암호화 서비스 정의를 참조하십시오.
VPC 아키텍처 예제는 이 샘플 VPC 아키텍처를 참조하십시오.

4장. ROSA에서 AWS PrivateLink 클러스터 생성

이 문서에서는 AWS PrivateLink를 사용하여 ROSA 클러스터를 생성하는 방법을 설명합니다.

4.1. AWS PrivateLink 이해

AWS의 Red Hat OpenShift Service는 퍼블릭 서브넷, 인터넷 게이트웨이 또는 NAT(네트워크 주소 변환) 게이트웨이에 대한 요구 사항 없이 생성할 수 있습니다. 이 설정에서 Red Hat은 AWS PrivateLink를 사용하여 클러스터를 관리하고 모니터링하여 모든 공용 수신 네트워크 트래픽을 방지합니다. 공용 서브넷이 없으면 애플리케이션 라우터를 공용으로 구성할 수 없습니다. 프라이빗 애플리케이션 라우터 구성은 유일한 옵션입니다.

자세한 내용은 AWS 웹 사이트의 AWS PrivateLink 를 참조하십시오.

중요

설치 시 PrivateLink 클러스터만 만들 수 있습니다. 설치 후에는 클러스터를 PrivateLink로 변경할 수 없습니다.

4.2. AWS PrivateLink 클러스터 사용 요구사항

AWS PrivateLink 클러스터, 인터넷 게이트웨이, NAT 게이트웨이 및 퍼블릭 서브넷의 경우 필수 구성 요소를 설치하기 위해 프라이빗 서브넷에 인터넷 연결이 제공되어야 합니다. 단일 AZ 클러스터에는 하나 이상의 프라이빗 서브넷이 필요하며 Multi-AZ 클러스터에는 3개 이상의 프라이빗 서브넷이 필요합니다. 다음 표는 설치에 필요한 AWS 리소스를 보여줍니다.

표 4.1. 필요한 AWS 리소스

구성 요소

AWS 유형

설명

VPC

AWS::EC2::VPC
AWS::EC2::VPCEndpoint

클러스터에서 사용할 VPC를 제공해야 합니다.

네트워크 액세스 제어

AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry

다음 포트에 대한 액세스를 허용해야 합니다.

포트	이유
80	인바운드 HTTP 트래픽
443	인바운드 HTTPS 트래픽
22	인바운드 SSH 트래픽
1024-65535	인바운드 임시 트래픽
0-65535	아웃바운드 임시 트래픽

프라이빗 서브넷

AWS::EC2::Subnet
AWS::EC2::RouteTable
AWS::EC2::SubnetRouteTableAssociation

VPC에는 단일 배포의 경우 하나의 가용성 영역에 프라이빗 서브넷이 있거나 Multi-AZ 배포를 위한 3개의 가용성 영역이 있어야 합니다. 적절한 경로 및 라우팅 테이블을 제공해야 합니다.

4.3. AWS PrivateLink 클러스터 생성

rosa CLI를 사용하여 AWS PrivateLink 클러스터를 생성할 수 있습니다.

참고

AWS PrivateLink는 기존 VPC에서만 지원됩니다.

사전 요구 사항

AWS에 Red Hat OpenShift Service를 설치했습니다.

절차

클러스터를 생성하는 데 최대 40분이 걸릴 수 있습니다.

AWS PrivateLink를 사용하면 단일 가용성 영역(Single-AZ) 또는 다중 가용성 영역(Multi-AZ)으로 클러스터를 생성할 수 있습니다. 두 경우 모두 시스템의 CIDR(Classless inter-domain routing)이 가상 프라이빗 클라우드의 CIDR과 일치해야 합니다. 자세한 내용은 자체 VPC 및 VPC 유효성 검사 사용 요구사항을 참조하십시오.
중요
방화벽을 사용하는 경우 AWS의 Red Hat OpenShift Service가 작동하는 데 필요한 사이트에 액세스할 수 있도록 방화벽을 구성해야 합니다.
자세한 내용은 AWS PrivateLink 방화벽 사전 요구 사항 섹션을 참조하십시오.
- 단일 AZ 클러스터를 생성하려면 다음을 수행합니다.
```
$ rosa create cluster --private-link --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id>
```
- Multi-AZ 클러스터를 생성하려면 다음을 수행합니다.
```
$ rosa create cluster --private-link --multi-az --cluster-name=<cluster-name> [--machine-cidr=<VPC CIDR>/16] --subnet-ids=<private-subnet-id1>,<private-subnet-id2>,<private-subnet-id3>
```
다음 명령을 입력하여 클러스터 상태를 확인합니다. 클러스터 생성 중에 출력의 State 필드가 pending 에서 설치 로 전환되고 마지막으로 준비 상태가 됩니다.
```
$ rosa describe cluster --cluster=<cluster_name>
```
참고
설치에 실패하거나 40분 후에 State 필드가 준비 상태가 아닌 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오.
다음 명령을 입력하여 OpenShift 설치 프로그램 로그를 추적하여 클러스터의 진행 상황을 추적합니다.
```
$ rosa logs install --cluster=<cluster_name> --watch
```

4.4. AWS PrivateLink DNS 전달 구성

AWS PrivateLink 클러스터를 사용하면 퍼블릭 호스팅 영역과 개인 호스팅 영역이 Route 53에서 생성됩니다. 프라이빗 호스팅 영역에서는 해당 영역 내의 레코드는 VPC 내에서 할당된 레코드만 확인할 수 있습니다.

Let's Encrypt DNS-01 검증에는 도메인에 유효한 공개적으로 신뢰할 수 있는 인증서를 발급할 수 있도록 퍼블릭 영역이 필요합니다. 검증 레코드는 Let's Encrypt 검증이 완료된 후에도 삭제되지만, 일반적으로 60일마다 필요한 이러한 인증서를 발행하고 갱신해야 합니다. 이러한 영역은 일반적으로 비어 있지만 검증 프로세스에서 중요한 역할을 수행합니다.

개인 호스팅 영역에 대한 자세한 내용은 AWS 프라이빗 호스팅 영역 설명서를 참조하십시오. 공개 호스팅 영역에 대한 자세한 내용은 AWS 공개 호스팅 영역 설명서를 참조하십시오.

사전 요구 사항

회사 네트워크 또는 다른 VPC에 연결되어 있습니다.
DNS 쿼리를 허용하기 위해 네트워크에서 UDP 포트 53 및 TCP 포트 53 ARE 활성화
AWS의 Red Hat OpenShift Service를 사용하여 AWS PrivateLink 클러스터를 생성했습니다.

절차

api.<cluster_domain > 및 *.apps.<cluster_domain >과 같은 레코드가 VPC 외부에서 해결될 수 있도록 하려면 Route 53 Resolver Inbound Endpoint를 구성합니다.
인바운드 끝점을 구성할 때 클러스터를 만들 때 사용한 VPC 및 프라이빗 서브넷을 선택합니다.
엔드포인트가 작동하고 연결된 후 D row-pl-01.htno.p1.openshiftapps.com 과 같은 최상위 클러스터 도메인의 해당 IP 주소로 DNS 쿼리를 전달하도록 회사 네트워크를 구성합니다.
한 VPC에서 다른 VPC로 DNS 쿼리를 전달하는 경우 전달 규칙을 구성합니다.
원격 네트워크 DNS 서버를 구성하는 경우 특정 DNS 서버 설명서를 참조하여 설치된 클러스터 도메인에 대한 선택적 DNS 전달을 구성합니다.

4.5. 다음 단계

ID 공급자 구성

4.6. 추가 리소스

5장. ROSA 클러스터에 액세스

IDP(ID 공급자) 계정을 사용하여 ROSA(Red Hat OpenShift Service on AWS) 클러스터에 액세스하는 것이 좋습니다. 그러나 클러스터를 생성한 클러스터 관리자는 빠른 액세스 절차를 사용하여 액세스할 수 있습니다.

이 문서에서는 클러스터에 액세스하고 rosa CLI를 사용하여 IDP를 설정하는 방법을 설명합니다. 또는 OpenShift Cluster Manager 콘솔을 사용하여 IDP 계정을 생성할 수도 있습니다.

5.1. 빠르게 클러스터에 액세스

이 빠른 액세스 절차를 사용하여 클러스터에 로그인할 수 있습니다.

참고

대신 IDP 계정으로 클러스터에 액세스하는 것이 좋습니다.

절차

다음 명령을 실행합니다.

$ rosa create admin --cluster=<cluster_name>

출력 예

W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster 'cluster_name'. It may take up to a minute for the account to become active.
I: To login, run the following command:
oc login https://api.cluster-name.t6k4.i1.oragnization.org:6443 \
--username cluster-admin \
--password FWGYL-2mkJI-3ZTTZ-rINns

이전 명령의 출력에서 oc login 명령, 사용자 이름, 암호를 입력합니다.

출력 예

$ oc login https://api.cluster_name.t6k4.i1.oragnization.org:6443 \
>  --username cluster-admin \
>  --password FWGYL-2mkJI-3ZTTZ-rINns
Login successful.                                                                                                                                                                                                                                                       You have access to 77 projects, the list has been suppressed. You can list all projects with ' projects'

기본 프로젝트를 사용하여 이 oc 명령을 입력하여 클러스터 관리자 액세스 권한이 생성되었는지 확인합니다.
```
$ oc whoami
```
출력 예
```
cluster-admin
```

5.2. IDP 계정으로 클러스터에 액세스

클러스터에 로그인하려면 IDP(ID 공급자)를 구성할 수 있습니다. 이 절차에서는 GitHub를 예제 IDP로 사용합니다. 다른 지원되는 IDP를 보려면 rosa create idp --help 명령을 실행합니다.

참고

또는 클러스터를 생성한 사용자로 빠른 액세스 절차를 사용할 수 있습니다.

절차

IDP 계정을 사용하여 클러스터에 액세스하려면 다음을 수행합니다.

IDP를 추가합니다.

다음 명령은 GitHub에서 지원하는 IDP를 생성합니다. 명령을 실행한 후 출력의 대화형 프롬프트에 따라 GitHub 개발자 설정에 액세스하고 새 OAuth 애플리케이션을 구성합니다.
```
$ rosa create idp --cluster=<cluster_name> --interactive
```

다음 값을 입력합니다.

ID 공급자 유형: github
구성원으로 제한: 조직 ( GitHub 조직이 없는 경우 지금 생성할 수 있습니다)
GitHub 조직: rh-test-org (조직 이름 입력)

출력 예

I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Restrict to members of: organizations
? GitHub organizations: rh-test-org
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/rh-rosa-test-cluster/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.rh-rosa-test-cluster.z7v0.s1.devshift.org%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=rh-rosa-test-cluster-stage&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.rh-rosa-test-cluster.z7v0.s1.devshift.org
  - Click on 'Register application'
...

출력의 URL을 따르고 애플리케이션 등록을 선택하여 GitHub 조직에 새 OAuth 애플리케이션을 등록합니다. 애플리케이션을 등록하면 ROSA에 빌드된 OAuth 서버를 활성화하여 GitHub 조직의 멤버를 클러스터에 인증할 수 있습니다.
참고
새 OAuth 애플리케이션 GitHub 양식의 필드는 rosa CLI 툴에서 정의한 URL을 통해 필요한 값으로 자동으로 채워집니다.

생성한 GitHub 애플리케이션의 정보를 사용하고 프롬프트를 계속합니다. 다음 값을 입력합니다.

클라이언트 ID: & lt;my_github_client_id>
클라이언트 시크릿: [? for help] &lt ;my_github_client_secret>
hostname: (선택 사항, 지금 비워 둘 수 있음)
매핑 방법: 클레임

연속된 예제 출력

...
? Client ID: <my_github_client_id>
? Client Secret: [? for help] <my_github_client_secret>
? Hostname:
? Mapping method: claim
I: Configuring IDP for cluster 'rh_rosa_test_cluster'
I: Identity Provider 'github-1' has been created. You need to ensure that there is a list of cluster administrators defined. See 'rosa create user --help' for more information. To login into the console, open https://console-openshift-console.apps.rh-test-org.z7v0.s1.devshift.org and click on github-1

IDP는 클러스터 내에서 1-2 분 정도 걸릴 수 있습니다.

다음 명령을 입력하여 IDP가 올바르게 구성되었는지 확인합니다.

$ rosa list idps --cluster=<cluster_name>

출력 예

NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.rh-rosa-test-cluster1.j9n4.s1.devshift.org/oauth2callback/github-1

클러스터에 로그인합니다.

다음 명령을 입력하여 클러스터의 콘솔 URL 을 가져옵니다.

$ rosa describe cluster --cluster=<cluster_name>

출력 예

Name:        rh-rosa-test-cluster1
ID:          1de87g7c30g75qechgh7l5b2bha6r04e
External ID: 34322be7-b2a7-45c2-af39-2c684ce624e1
API URL:     https://api.rh-rosa-test-cluster1.j9n4.s1.devshift.org:6443
Console URL: https://console-openshift-console.apps.rh-rosa-test-cluster1.j9n4.s1.devshift.org
Nodes:       Master: 3, Infra: 3, Compute: 4
Region:      us-east-2
State:       ready
Created:     May 27, 2020

콘솔 URL 로 이동하여 Github 자격 증명을 사용하여 로그인합니다.
OpenShift 콘솔 오른쪽 상단에서 이름을 클릭하고 Copy Login Command 를 클릭합니다.
추가한 IDP 이름(예: github-1)을 선택하고 토큰 표시를 클릭합니다.

oc login 명령을 복사하여 터미널에 붙여넣습니다.

$ oc login --token=z3sgOGVDk0k4vbqo_wFqBQQTnT-nA-nQLb8XEmWnw4X --server=https://api.rh-rosa-test-cluster1.j9n4.s1.devshift.org:6443

출력 예

Logged into "https://api.rh-rosa-cluster1.j9n4.s1.devshift.org:6443" as "rh-rosa-test-user" using the token provided.

You have access to 67 projects, the list has been suppressed. You can list all projects with 'oc projects'

Using project "default".

간단한 oc 명령을 입력하여 모든 항목이 올바르게 설정되어 있고 로그인되었는지 확인합니다.
```
$ oc version
```
출력 예
```
Client Version: 4.4.0-202005231254-4a4cd75
Server Version: 4.3.18
Kubernetes Version: v1.16.2
```

5.3. `cluster-admin` 액세스 권한 부여

클러스터를 생성한 사용자가 최대 관리자 권한을 갖도록 계정에 cluster-admin 사용자 역할을 추가합니다. 이러한 권한은 클러스터를 생성할 때 사용자 계정에 자동으로 할당되지 않습니다.

또한 클러스터를 생성한 사용자만 다른 cluster-admin 또는 dedicated-admin 사용자에게 클러스터 액세스 권한을 부여할 수 있습니다. dedicated-admin 액세스 권한이 있는 사용자는 더 적은 권한을 갖습니다. cluster-admin 사용자 수를 가능한 한 적은 수로 제한하는 것이 좋습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
생성 중인 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

사용자에게 cluster-admin 권한을 부여합니다.

$ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>

사용자가 클러스터 관리자로 나열되어 있는지 확인합니다.

$ rosa list users --cluster=<cluster_name>

출력 예

GROUP             NAME
cluster-admins    rh-rosa-test-user
dedicated-admins  rh-rosa-test-user

다음 명령을 입력하여 이제 사용자에게 cluster-admin 액세스 권한이 있는지 확인합니다. 클러스터 관리자는 오류 없이 이 명령을 실행할 수 있지만 전용 관리자는 실행할 수 없습니다.

$ oc get all -n openshift-apiserver

출력 예

NAME                  READY   STATUS    RESTARTS   AGE
pod/apiserver-6ndg2   1/1     Running   0          17h
pod/apiserver-lrmxs   1/1     Running   0          17h
pod/apiserver-tsqhz   1/1     Running   0          17h
NAME          TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)   AGE
service/api   ClusterIP   172.30.23.241   <none>        443/TCP   18h
NAME                       DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR                     AGE
daemonset.apps/apiserver   3         3         3       3            3           node-role.kubernetes.io/master=   18h

5.4. `dedicated-admin` 액세스 권한 부여

클러스터를 생성한 사용자만 다른 cluster-admin 또는 dedicated-admin 사용자에게 클러스터 액세스 권한을 부여할 수 있습니다. dedicated-admin 액세스 권한이 있는 사용자는 더 적은 권한을 갖습니다. 모범 사례로 대부분의 관리자에게 dedicated-admin 액세스 권한을 부여합니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
생성 중인 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

다음 명령을 입력하여 사용자를 dedicated-admin 으로 승격합니다.

$ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

다음 명령을 입력하여 이제 사용자에게 dedicated-admin 액세스 권한이 있는지 확인합니다.
```
$ oc get groups dedicated-admins
```
출력 예
```
NAME               USERS
dedicated-admins   rh-rosa-test-user
```
참고
dedicated-admin 권한이 없는 사용자가 이 명령을 실행하면 Forbidden 오류가 표시됩니다.

5.5. 추가 리소스

6장. STS에 대한 ID 공급자 구성

ROSA(Red Hat OpenShift Service on AWS) 클러스터가 생성되면 사용자가 클러스터에 로그인하는 방법을 결정하도록 ID 공급자를 구성해야 합니다.

다음 주제에서는 OpenShift Cluster Manager 콘솔을 사용하여 ID 공급자를 구성하는 방법을 설명합니다. 또는 rosa CLI를 사용하여 ID 공급자를 구성하고 클러스터에 액세스할 수 있습니다.

6.1. ID 공급자 이해

AWS의 Red Hat OpenShift Service에는 내장 OAuth 서버가 포함되어 있습니다. 개발자와 관리자는 OAuth 액세스 토큰을 가져와 API 인증을 수행합니다. 관리자는 클러스터를 설치한 후 ID 공급자를 지정하도록 OAuth를 구성할 수 있습니다. ID 공급자를 구성하면 사용자가 클러스터에 로그인하고 액세스할 수 있습니다.

6.1.1. 지원되는 ID 공급자

다음 유형의 ID 공급자를 구성할 수 있습니다.

ID 공급자	설명
GitHub 또는 GitHub Enterprise	GitHub 또는 GitHub Enterprise의 OAuth 인증 서버에 대해 사용자 이름 및 암호의 유효성을 확인하도록 GitHub ID 공급자를 구성합니다.
GitLab	GitLab.com 또는 기타 GitLab 인스턴스를 ID 공급자로 사용하도록 GitLab ID 공급자를 구성합니다.
Google	Google 의 OpenID Connect 통합을 사용하여 Google ID 공급자를 구성합니다.
LDAP	간단한 바인드 인증을 사용하여 LDAPv3 서버에 대해 사용자 이름 및 암호의 유효성을 확인하도록 LDAP ID 공급자를 구성합니다.
OpenID Connect	인증 코드 Flow 를 사용하여 OIDC ID 공급자와 통합하도록 OIDC(OpenID Connect) ID 공급자를 구성합니다.
HTPasswd	단일 정적 관리 사용자에 대해 htpasswd ID 공급자를 구성합니다. 사용자로 클러스터에 로그인하여 문제를 해결할 수 있습니다. 중요 htpasswd ID 공급자 옵션은 정적 단일 관리 사용자를 생성할 수 있도록만 포함되어 있습니다. htpasswd는 AWS의 Red Hat OpenShift Service의 일반적인 ID 공급자로 지원되지 않습니다. 단일 사용자를 구성하는 단계는 htpasswd ID 공급자 구성을 참조하십시오.

6.1.2. ID 공급자 매개변수

다음 매개변수는 모든 ID 공급자에 공통입니다.

매개변수 설명

매개변수	설명
`name`	공급자 사용자 이름에 접두어로 공급자 이름을 지정하여 ID 이름을 만듭니다.
`mappingMethod`	사용자가 로그인할 때 새 ID를 사용자에게 매핑하는 방법을 정의합니다. 다음 값 중 하나를 입력하십시오. claim 기본값입니다. 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 해당 사용자 이름의 사용자가 이미 다른 ID에 매핑되어 있는 경우 실패합니다. lookup 기존 ID, 사용자 ID 매핑 및 사용자를 조회하지만 사용자 또는 ID를 자동으로 프로비저닝하지는 않습니다. 클러스터 관리자는 이를 통해 수동으로 또는 외부 프로세스를 사용하여 ID 및 사용자를 설정할 수 있습니다. 이 방법을 사용하려면 사용자를 수동으로 프로비저닝해야 합니다. generate 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 기본 사용자 이름을 가진 사용자가 이미 기존 ID에 매핑되어 있는 경우 고유한 사용자 이름이 생성됩니다. 예를 들면 `myuser2`입니다. 이 방법은 AWS 사용자 이름과 ID 공급자 사용자 이름(예: LDAP 그룹 동기화)의 Red Hat OpenShift Service가 정확히 일치해야 하는 외부 프로세스와 함께 사용해서는 안 됩니다. add 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 해당 사용자 이름을 가진 사용자가 이미 존재하는 경우 ID가 기존 사용자에게 매핑되고 그 사용자의 기존 ID 매핑에 추가됩니다. 동일한 사용자 집합을 식별하고 동일한 사용자 이름에 매핑되는 ID 공급자를 여럿 구성한 경우 필요합니다.

name

공급자 사용자 이름에 접두어로 공급자 이름을 지정하여 ID 이름을 만듭니다.

mappingMethod

사용자가 로그인할 때 새 ID를 사용자에게 매핑하는 방법을 정의합니다. 다음 값 중 하나를 입력하십시오.

claim: 기본값입니다. 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 해당 사용자 이름의 사용자가 이미 다른 ID에 매핑되어 있는 경우 실패합니다.
lookup: 기존 ID, 사용자 ID 매핑 및 사용자를 조회하지만 사용자 또는 ID를 자동으로 프로비저닝하지는 않습니다. 클러스터 관리자는 이를 통해 수동으로 또는 외부 프로세스를 사용하여 ID 및 사용자를 설정할 수 있습니다. 이 방법을 사용하려면 사용자를 수동으로 프로비저닝해야 합니다.
generate: 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 기본 사용자 이름을 가진 사용자가 이미 기존 ID에 매핑되어 있는 경우 고유한 사용자 이름이 생성됩니다. 예를 들면 myuser2입니다. 이 방법은 AWS 사용자 이름과 ID 공급자 사용자 이름(예: LDAP 그룹 동기화)의 Red Hat OpenShift Service가 정확히 일치해야 하는 외부 프로세스와 함께 사용해서는 안 됩니다.
add: 사용자에게 ID의 기본 사용자 이름을 프로비저닝합니다. 해당 사용자 이름을 가진 사용자가 이미 존재하는 경우 ID가 기존 사용자에게 매핑되고 그 사용자의 기존 ID 매핑에 추가됩니다. 동일한 사용자 집합을 식별하고 동일한 사용자 이름에 매핑되는 ID 공급자를 여럿 구성한 경우 필요합니다.

참고

ID 공급자를 추가하거나 변경할 때 mappingMethod 매개변수를 add로 설정하면 새 공급자의 ID를 기존 사용자에게 매핑할 수 있습니다.

6.2. GitHub ID 공급자 구성

GitHub 또는 GitHub Enterprise의 OAuth 인증 서버에 대해 사용자 이름과 암호를 검증하고 AWS 클러스터의 Red Hat OpenShift Service에 액세스하도록 GitHub ID 공급자를 구성합니다. OAuth는 AWS의 Red Hat OpenShift Service와 GitHub 또는 GitHub Enterprise 간의 토큰 교환 흐름을 용이하게 합니다.

주의

GitHub 인증을 구성하면 사용자는 GitHub 자격 증명을 사용하여 AWS의 Red Hat OpenShift Service에 로그인할 수 있습니다. GitHub 사용자 ID가 있는 사람이 AWS 클러스터에서 Red Hat OpenShift Service에 로그인하지 못하도록 특정 GitHub 조직 또는 팀의 사용자에 대한 액세스만 제한해야 합니다.

사전 요구 사항

OAuth 애플리케이션은 GitHub 조직 관리자가 GitHub 조직 설정에서 직접 생성해야 합니다.
GitHub 조직 또는 팀은 GitHub 계정에 설정됩니다.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고
클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
드롭다운 메뉴에서 GitHub 를 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
- OAuth 콜백 URL 은 제공된 필드에 자동으로 생성됩니다. 이를 사용하여 GitHub 애플리케이션을 등록합니다.
```
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
```
  예를 들면 다음과 같습니다.
```
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/github
```
GitHub에 애플리케이션을 등록 합니다.
AWS에서 Red Hat OpenShift Service로 돌아가서 드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
GitHub에서 제공하는 클라이언트 ID 및 클라이언트 시크릿 을 입력합니다.
호스트 이름을 입력합니다. 호스팅된 GitHub Enterprise 인스턴스를 사용하는 경우 호스트 이름을 입력해야 합니다.
선택 사항: CA(인증 기관) 파일을 사용하여 구성된 GitHub Enterprise URL에 대한 서버 인증서를 검증할 수 있습니다. 찾아보기를 클릭하여 CA 파일을 찾아 ID 공급자에 연결합니다.
Use organizations or Use teams to restrict access to a particular GitHub organization or a GitHub team을 선택합니다.
액세스를 제한하려는 조직 또는 팀의 이름을 입력합니다. 추가 를 클릭하여 사용자가 멤버가 될 수 있는 여러 조직 또는 팀을 지정합니다.
Confirm 을 클릭합니다.

검증

이제 구성된 ID 공급자가 Clusters 페이지의 액세스 제어 탭에 표시됩니다.

6.3. GitLab ID 공급자 구성

GitLab.com 또는 기타 GitLab 인스턴스를 ID 공급자로 사용하도록 GitLab ID 공급자를 구성합니다.

사전 요구 사항

GitLab 버전 7.7.0~11.0을 사용하는 경우 OAuth 통합을 사용하여 연결합니다. GitLab 버전 11.1 이상을 사용하는 경우 OAuth 대신 OpenID Connect(OIDC)를 사용하여 연결할 수 있습니다.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고
클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
드롭다운 메뉴에서 GitLab 을 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
- OAuth 콜백 URL 은 제공된 필드에 자동으로 생성됩니다. 이 URL을 GitLab에 제공합니다.
```
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
```
  예를 들면 다음과 같습니다.
```
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/gitlab
```
GitLab에 새 애플리케이션을 추가합니다.
AWS에서 Red Hat OpenShift Service로 돌아가서 드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
GitLab에서 제공하는 클라이언트 ID 및 클라이언트 시크릿 을 입력합니다.
GitLab 공급자의 URL 을 입력합니다.
선택 사항: CA(인증 기관) 파일을 사용하여 구성된 GitLab URL에 대한 서버 인증서를 검증할 수 있습니다. 찾아보기를 클릭하여 CA 파일을 찾아 ID 공급자에 연결합니다.
Confirm 을 클릭합니다.

검증

이제 구성된 ID 공급자가 Clusters 페이지의 액세스 제어 탭에 표시됩니다.

6.4. Google ID 공급자 구성

사용자가 Google 자격 증명으로 인증할 수 있도록 Google ID 공급자를 구성합니다.

주의

Google을 ID 공급자로 사용하면 모든 Google 사용자가 서버 인증을 수행할 수 있습니다. hostedDomain 구성 속성을 사용하여 특정 호스트 도메인의 멤버 인증을 제한할 수 있습니다.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고
클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
드롭다운 메뉴에서 Google 을 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
- OAuth 콜백 URL 은 제공된 필드에 자동으로 생성됩니다. 이 URL을 Google에 제공합니다.
```
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
```
  예를 들면 다음과 같습니다.
```
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/google
```
Google 의 OpenID Connect 통합을 사용하여 Google ID 공급자를 구성합니다.
AWS에서 Red Hat OpenShift Service로 돌아가서 드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
등록된 Google 프로젝트의 클라이언트 ID 와 Google에서 발행한 클라이언트 시크릿 을 입력합니다.
사용자를 Google Apps 도메인으로 제한하려면 호스팅 도메인을 입력합니다.
Confirm 을 클릭합니다.

검증

이제 구성된 ID 공급자가 Clusters 페이지의 액세스 제어 탭에 표시됩니다.

6.5. LDAP ID 공급자 구성

간단한 바인드 인증을 사용하여 LDAPv3 서버에 대해 사용자 이름 및 암호의 유효성을 확인하도록 LDAP ID 공급자를 구성합니다.

사전 요구 사항

LDAP ID 공급자를 구성할 때 구성된 LDAP URL 을 입력해야 합니다. 구성된 URL은 RFC 2255 URL로, 사용할 LDAP 호스트 및 검색 매개변수를 지정합니다. URL 구문은 다음과 같습니다.

ldap://host:port/basedn?attribute?scope?filter

URL 구성 요소	설명
`ldap`	일반 LDAP의 경우 `ldap` 문자열을 사용합니다. 보안 LDAP(LDAPS)의 경우 대신 `ldaps`를 사용합니다.
`host:port`	LDAP 서버의 이름 및 포트입니다. ldap의 경우 기본값은 `localhost:389` 이고 LDAPS의 경우 `localhost:636`입니다.
`basedn`	모든 검색을 시작해야 하는 디렉터리 분기의 DN입니다. 적어도 디렉터리 트리의 맨 위에 있어야 하지만 디렉터리에 하위 트리를 지정할 수도 있습니다.
`attribute`	검색할 속성입니다. RFC 2255에서는 쉼표로 구분된 속성 목록을 사용할 수 있지만 제공되는 속성 수와 관계없이 첫 번째 속성만 사용됩니다. 속성이 제공되지 않는 경우 기본값은 `uid`를 사용하는 것입니다. 사용할 하위 트리의 모든 항목에서 고유한 속성을 선택하는 것이 좋습니다.
`scope`	검색 범위입니다. `one` 또는 `sub`일 수 있습니다. 범위가 제공되지 않는 경우 기본값은 `sub` 범위를 사용하는 것입니다.
`filter`	유효한 LDAP 검색 필터입니다. 제공하지 않는 경우 기본값은 `(objectClass=*)`입니다.

검색을 수행할 때 속성, 필터, 제공된 사용자 이름을 결합하여 다음과 같은 검색 필터가 생성됩니다.

(&(<filter>)(<attribute>=<username>))

중요

LDAP 디렉터리에서 검색에 인증이 필요한 경우 항목을 검색하는 데 사용할 bindDN 및 bindPassword를 지정하십시오.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고
클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
드롭다운 메뉴에서 LDAP 를 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
사용할 LDAP 검색 매개변수를 지정하려면 LDAP URL 을 입력합니다.
선택 사항: DN 바인딩 을 입력하고 암호를 바인딩 합니다.
LDAP 속성을 ID에 매핑할 속성을 입력합니다.
- 해당 값을 사용자 ID 로 사용해야 하는 ID 특성을 입력합니다. 추가 를 클릭하여 여러 ID 특성을 추가합니다.
- 선택 사항: 표시 이름으로 값을 사용해야 하는 미리 정의된 사용자 이름 특성을 입력합니다. 추가 를 클릭하여 여러 기본 사용자 이름 속성을 추가합니다.
- 선택 사항: 이메일 주소로 값을 사용해야 하는 Email 특성을 입력합니다. 추가 를 클릭하여 여러 이메일 속성을 추가합니다.
선택 사항: 고급 옵션 표시를 클릭하여 LDAP ID 공급자에 CA(인증 기관) 파일을 추가하여 구성된 URL의 서버 인증서를 검증합니다. 찾아보기를 클릭하여 CA 파일을 찾아 ID 공급자에 연결합니다.
선택 사항: 고급 옵션 아래 LDAP 공급자를 Insecure 로 설정할 수 있습니다. 이 옵션을 선택하면 CA 파일을 사용할 수 없습니다.
중요
비보안 LDAP 연결(ldap:// 또는 포트 389)을 사용하는 경우 구성 마법사에서 Insecure 옵션을 확인해야 합니다.
Confirm 을 클릭합니다.

검증

이제 구성된 ID 공급자가 Clusters 페이지의 액세스 제어 탭에 표시됩니다.

6.6. OpenID ID 공급자 구성

인증 코드 흐름을 사용하여 OpenID Connect ID 공급자와 통합하도록 OpenID ID 공급자를 구성합니다.

중요

AWS의 Red Hat OpenShift Service의 Authentication Operator는 구성된 OpenID Connect ID 공급자가 OpenID Connect 검색 사양을 구현해야 합니다.

클레임은 OpenID ID 공급자에서 반환된 JWT id_token 및 Issuer URL에서 반환하는 JSON에서 읽습니다.

사용자 ID로 사용할 하나 이상의 클레임을 구성해야 합니다.

또한 사용자의 기본 사용자 이름, 표시 이름, 이메일 주소로 사용할 클레임을 나타낼 수도 있습니다. 여러 클레임이 지정되는 경우 비어 있지 않은 값이 있는 첫 번째 클레임이 사용됩니다. 표준 클레임은 다음과 같습니다.

클레임	설명
`preferred_username`	사용자를 프로비저닝할 때 사용하는 기본 사용자 이름입니다. 사용자가 사용하고자 하는 약칭입니다(예: `janedoe`). 일반적으로 인증 시스템의 사용자 로그인 또는 사용자 이름에 해당하는 값입니다(예: 사용자 이름 또는 이메일).
`email`	이메일 주소입니다.
`name`	표시 이름입니다.

자세한 내용은 OpenID 클레임 설명서를 참조하십시오.

사전 요구 사항

OpenID Connect를 구성하기 전에 AWS 클러스터에서 Red Hat OpenShift Service와 함께 사용할 Red Hat 제품 또는 서비스의 설치 사전 요구 사항을 확인하십시오.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 ID 공급자를 구성하는 데 필요한 클러스터를 선택합니다.
액세스 제어 탭을 클릭합니다.
ID 공급자 추가를 클릭합니다.
참고
클러스터 생성 후 표시된 경고 메시지에서 Oauth 구성 추가 링크를 클릭하여 ID 공급자를 구성할 수도 있습니다.
드롭다운 메뉴에서 OpenID 를 선택합니다.
ID 공급자의 고유 이름을 입력합니다. 이 이름은 나중에 변경할 수 없습니다.
- OAuth 콜백 URL 은 제공된 필드에 자동으로 생성됩니다.
```
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
```
  예를 들면 다음과 같습니다.
```
https://oauth-openshift.apps.openshift-cluster.example.com/oauth2callback/openid
```
인증 코드 흐름을 사용하여 권한 부여 요청을 만듭니다.
AWS에서 Red Hat OpenShift Service로 돌아가서 드롭다운 메뉴에서 매핑 방법을 선택합니다. 대부분의 경우 클레임 이 권장됩니다.
Open ID에서 제공하는 클라이언트 ID 및 클라이언트 시크릿 을 입력합니다.
발급자 URL 을 입력합니다. OpenID 공급자가 발급자 식별자로 간주하는 URL입니다. URL 쿼리 매개변수 또는 조각이 없는 https 스키마를 사용해야 합니다.
이메일 주소로 값을 사용해야 하는 Email 속성을 입력합니다. 추가 를 클릭하여 여러 이메일 속성을 추가합니다.
기본 사용자 이름으로 사용해야 하는 Name 속성을 입력합니다. 추가 를 클릭하여 여러 기본 사용자 이름을 추가합니다.
표시 이름으로 값을 사용해야 하는 Preferred username 속성을 입력합니다. 추가 를 클릭하여 여러 디스플레이 이름을 추가합니다.
선택 사항: 고급 옵션 표시를 클릭하여 OpenID ID 공급자에 CA(인증 기관) 파일을 추가합니다.
선택 사항: 고급 옵션 아래 추가 범위를 추가할 수 있습니다. 기본적으로 OpenID 범위가 요청됩니다.
Confirm 을 클릭합니다.

검증

이제 구성된 ID 공급자가 Clusters 페이지의 액세스 제어 탭에 표시됩니다.

6.7. htpasswd ID 공급자 구성

htpasswd ID 공급자를 구성하여 클러스터 관리 권한이 있는 단일 정적 사용자를 생성합니다. 사용자로 클러스터에 로그인하여 문제를 해결할 수 있습니다.

중요

htpasswd ID 공급자 옵션은 정적 단일 관리 사용자를 생성할 수 있도록만 포함되어 있습니다. htpasswd는 AWS의 Red Hat OpenShift Service의 일반적인 ID 공급자로 지원되지 않습니다.

절차

OpenShift Cluster Manager Hybrid Cloud Console 에서 클러스터 페이지로 이동하여 클러스터를 선택합니다.
액세스 제어 → ID 공급자를 선택합니다.
ID 공급자 추가를 클릭합니다.
Identity Provider 드롭다운 메뉴에서 HTPasswd 를 선택합니다.
ID 공급자의 이름 필드에 고유한 이름을 추가합니다.
정적 사용자에 대해 제안된 사용자 이름과 암호를 사용하거나 고유한 사용자 이름을 만듭니다.
참고
이 단계에서 정의된 인증 정보는 다음 단계에서 추가 를 선택하면 표시되지 않습니다. 인증 정보가 손실된 경우 ID 공급자를 다시 생성하고 인증 정보를 다시 정의해야 합니다.
추가 를 선택하여 htpasswd ID 공급자 및 단일 정적 사용자를 생성합니다.
클러스터를 관리할 수 있는 정적 사용자 권한을 부여합니다.
1. 액세스 제어 → 클러스터 역할 및 액세스에서 사용자 추가 를 선택합니다.
2. 이전 단계에서 생성한 정적 사용자의 사용자 ID 를 입력합니다.
3. 그룹을 선택합니다. dedicated-admins 그룹의 사용자는 AWS의 Red Hat OpenShift Service에 대한 표준 관리 권한이 있습니다. cluster-admins 그룹의 사용자는 클러스터에 대한 전체 관리 액세스 권한이 있습니다.
4. Add user 를 선택하여 사용자에게 관리 권한을 부여합니다.

검증

구성된 htpasswd ID 공급자는 액세스 제어 → ID 공급자 페이지에 표시됩니다.
참고
ID 공급자를 생성한 후 일반적으로 동기화는 2분 이내에 완료됩니다. htpasswd ID 공급자를 사용 가능한 후 사용자로 클러스터에 로그인할 수 있습니다.
단일 관리 사용자는 액세스 제어 → 클러스터 역할 및 액세스 페이지에 표시됩니다. 사용자의 관리 그룹 멤버십도 표시됩니다.

6.8. 추가 리소스

7장. ROSA 클러스터에 대한 액세스 해지

ID 공급자(IDP)는 AWS(ROSA) 클러스터에 대한 Red Hat OpenShift Service에 대한 액세스를 제어합니다. 클러스터에 대한 사용자의 액세스를 취소하려면 인증을 위해 설정된 IDP 내에서 사용자를 구성해야 합니다.

7.1. `rosa` CLI를 사용하여 관리자 액세스 취소

관리자 권한 없이 클러스터에 액세스할 수 있도록 사용자의 관리자 액세스를 취소할 수 있습니다. 사용자의 관리자 액세스를 제거하려면 dedicated-admin 또는 cluster-admin 권한을 취소해야 합니다. rosa 명령줄 유틸리티를 사용하거나 OpenShift Cluster Manager 콘솔을 사용하여 관리자 권한을 취소할 수 있습니다.

7.1.1. `rosa` CLI를 사용하여 `전용 관리자` 액세스 취소

클러스터, 조직 관리자 사용자 또는 슈퍼 관리자 사용자인 경우 dedicated-admin 사용자에 대한 액세스를 취소할 수 있습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
사용자는 권한을 취소하는 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

다음 명령을 입력하여 사용자의 dedicated-admin 액세스를 취소합니다.
```
$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
```
다음 명령을 입력하여 사용자에게 더 이상 전용 관리자 액세스 권한이 없는지 확인합니다. 출력에 취소된 사용자가 나열되지 않습니다.
```
$ oc get groups dedicated-admins
```

7.1.2. `rosa` CLI를 사용하여 `cluster-admin` 액세스 취소

클러스터를 생성한 사용자만 cluster-admin 사용자에 대한 액세스를 취소할 수 있습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
사용자는 권한을 취소하는 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

다음 명령을 입력하여 사용자의 cluster-admin 액세스를 취소합니다.
```
$ rosa revoke user cluster-admins --user=myusername --cluster=mycluster
```
다음 명령을 입력하여 사용자에게 더 이상 cluster-admin 액세스 권한이 없는지 확인합니다. 출력에 취소된 사용자가 나열되지 않습니다.
```
$ oc get groups cluster-admins
```

7.2. OpenShift Cluster Manager 콘솔을 사용하여 관리자 액세스 해지

OpenShift Cluster Manager 콘솔을 통해 사용자의 dedicated-admin 또는 cluster-admin 액세스를 취소할 수 있습니다. 사용자가 관리자 권한 없이 클러스터에 액세스할 수 있습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
사용자는 권한을 취소하는 사용자의 IDP 사용자 이름이 있습니다.
클러스터, 조직 관리자 또는 슈퍼 관리자 사용자를 생성하는 데 사용한 OpenShift Cluster Manager 계정을 사용하여 OpenShift Cluster Manager 콘솔에 로그인되어 있습니다.

절차

OpenShift Cluster Manager의 클러스터 탭에서 클러스터 이름을 선택하여 클러스터 세부 정보를 확인합니다.
액세스 제어 > 클러스터 역할 및 액세스를 선택합니다.
제거할 사용자의 경우 사용자 및 그룹 조합 오른쪽에 있는 옵션 메뉴 를 클릭하고 삭제 를 클릭합니다.

8장. ROSA 클러스터 삭제

이 문서에서는 AWS STS(Security Token Service)를 사용하는 AWS(ROSA) 클러스터에서 Red Hat OpenShift Service를 삭제하는 단계를 설명합니다. 클러스터를 삭제한 후 클러스터에서 사용하는 AWS IAM(Identity and Access Management) 리소스를 삭제할 수도 있습니다.

8.1. 사전 요구 사항

AWS에서 Red Hat OpenShift Service가 VPC를 생성한 경우 클러스터를 성공적으로 삭제하기 전에 클러스터에서 다음 항목을 제거해야 합니다.
- VPN 구성 및 VPC 피어링 연결과 같은 네트워크 구성
- VPC에 추가된 추가 서비스

이러한 구성 및 서비스가 남아 있으면 클러스터가 제대로 삭제되지 않습니다.

8.2. ROSA 클러스터 및 클러스터별 IAM 리소스 삭제

ROSA CLI(rosa) 또는 Red Hat OpenShift Cluster Manager를 사용하여 AWS(STS) 클러스터에서 Red Hat OpenShift Service on AWS(ROSA)를 삭제할 수 있습니다.

클러스터를 삭제한 후 ROSA CLI(rosa)를 사용하여 AWS 계정의 클러스터별 IAM(Identity and Access Management) 리소스를 정리할 수 있습니다. 클러스터별 리소스에는 Operator 역할과 OIDC(OpenID Connect) 공급자가 포함됩니다.

중요

클러스터 삭제 및 정리 프로세스에서 리소스가 사용되므로 IAM 리소스를 제거하기 전에 클러스터 삭제를 완료해야 합니다.

애드온이 설치되면 클러스터가 삭제되기 전에 애드온이 제거되므로 클러스터 삭제 시간이 더 오래 걸립니다. 시간은 애드온의 수와 크기에 따라 다릅니다.

사전 요구 사항

ROSA 클러스터가 설치되어 있습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.

절차

클러스터 ID, 클러스터별 Operator 역할에 대한 ARM(Amazon Resource Names) 및 OIDC 공급자의 끝점 URL을 가져옵니다.

$ rosa describe cluster --cluster=<cluster_name> 1

1: & lt;cluster_name >을 클러스터 이름으로 바꿉니다.

출력 예

Name:                       mycluster
ID:                         1s3v4x39lhs8sm49m90mi0822o34544a 1
...
Operator IAM Roles: 2
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-machine-api-aws-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cloud-credential-operator-cloud-crede
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-image-registry-installer-cloud-creden
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cloud-network-config-controller-cloud
State:                      ready
Private:                    No
Created:                    May 13 2022 11:26:15 UTC
Details Page:               https://console.redhat.com/openshift/details/s/296kyEFwzoy1CREQicFRdZybrc0
OIDC Endpoint URL:          https://rh-oidc.s3.us-east-1.amazonaws.com/1s5v4k39lhm8sm59m90mi0822o31844a 3

1: 클러스터 ID를 나열합니다.
2: 클러스터별 Operator 역할의 ARN을 지정합니다. 예를 들어 샘플 출력에서 Machine Config Operator에 필요한 역할의 ARN은 arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-api-aws-cloud-credentials 입니다.
3: 클러스터별 OIDC 공급자의 끝점 URL을 지정합니다.

중요

클러스터를 삭제한 후 ROSA CLI(rosa)를 사용하여 클러스터별 STS 리소스를 삭제하려면 클러스터 ID가 필요합니다.

클러스터를 삭제합니다.
- Red Hat OpenShift Cluster Manager를 사용하여 클러스터를 삭제하려면 다음을 수행합니다.
  1. OpenShift Cluster Manager Hybrid Cloud Console 로 이동합니다.
  2. 클러스터 옆에 있는 옵션 메뉴를 클릭하고 클러스터 삭제 를 선택합니다.
  3. 프롬프트에 클러스터 이름을 입력하고 삭제 를 클릭합니다.
- ROSA CLI(rosa)를 사용하여 클러스터를 삭제하려면 다음을 수행합니다.
  1. 다음 명령을 입력하여 클러스터를 삭제하고 로그를 감시하고 < cluster_name >을 클러스터 이름 또는 ID로 바꿉니다.
    $ rosa delete cluster --cluster=<cluster_name> --watch
    중요
    Operator 역할 및 OIDC 공급자를 제거하기 전에 클러스터 삭제가 완료될 때까지 기다려야 합니다. OpenShift Operator에서 생성한 리소스를 정리하려면 클러스터별 Operator 역할이 필요합니다. Operator는 OIDC 공급자를 사용하여 인증합니다.
클러스터 Operator가 인증하는 데 사용하는 OIDC 공급자를 삭제합니다.
```
$ rosa delete oidc-provider -c <cluster_id> --mode auto 1
```
1
& lt;cluster_id& gt;를 클러스터 ID로 바꿉니다.
참고
-y 옵션을 사용하여 프롬프트에 yes를 자동으로 응답할 수 있습니다.
선택 사항: 클러스터별 Operator IAM 역할을 삭제합니다.
중요
계정 전체 IAM 역할은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거합니다.
```
$ rosa delete operator-roles -c <cluster_id> --mode auto 1
```
1
& lt;cluster_id& gt;를 클러스터 ID로 바꿉니다.

추가 리소스

계정 전체의 IAM 역할 및 정책을 삭제하는 단계는 계정 전체 IAM 역할 및 정책 삭제를 참조하십시오.
OpenShift Cluster Manager 및 사용자 IAM 역할을 삭제하는 단계는 OpenShift Cluster Manager 및 사용자 IAM 역할 연결 해제 및 삭제를 참조하십시오.

8.3. 계정 전체 IAM 리소스 삭제

계정 전체의 AWS ID 및 액세스 관리(IAM) 리소스에 의존하는 AWS STS(Security Token Services) 클러스터를 사용하여 AWS(ROSA)의 모든 OpenShift Service를 삭제한 후 계정 전체의 리소스를 삭제할 수 있습니다.

Red Hat OpenShift Cluster Manager를 사용하여 STS 클러스터를 사용하여 ROSA를 설치할 필요가 없는 경우 OpenShift Cluster Manager 및 사용자 IAM 역할을 삭제할 수도 있습니다.

중요

계정 전체 IAM 역할 및 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 리소스를 제거해야 합니다.

OpenShift Cluster Manager를 사용하여 동일한 AWS 계정에서 다른 ROSA 클러스터를 설치, 관리 및 삭제하려면 OpenShift Cluster Manager 및 사용자 IAM 역할이 필요합니다. OpenShift Cluster Manager를 사용하여 계정에 ROSA 클러스터를 더 이상 설치할 필요가 없는 경우에만 역할을 제거해야 합니다. 이러한 역할이 삭제되기 전에 제거된 경우 클러스터 복구에 대한 정보는 "ECDHE resources" 섹션을 참조하십시오.

8.3.1. 계정 전체 IAM 역할 및 정책 삭제

이 섹션에서는 계정 수준 Operator 정책과 함께 STS 배포를 위해 ROSA용으로 생성한 계정 전체 IAM 역할 및 정책을 삭제하는 단계를 제공합니다. 여기에 의존하는 AWS STS(Security Token Services) 클러스터를 사용하여 ROSA(Red Hat OpenShift Service on AWS)를 모두 삭제한 후에만 계정 전체의 AWS IAM(Identity and Access Management) 역할 및 정책을 삭제할 수 있습니다.

중요

계정 전체 IAM 역할 및 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.

사전 요구 사항

ROSA 클러스터가 설치되어 있습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.

절차

계정 전체 역할을 삭제합니다.

ROSA CLI(rosa)를 사용하여 AWS 계정의 계정 전체 역할을 나열합니다.

$ rosa list account-roles

출력 예

I: Fetching account roles
ROLE NAME                           ROLE TYPE      ROLE ARN                                                           OPENSHIFT VERSION
ManagedOpenShift-ControlPlane-Role  Control plane  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-ControlPlane-Role  4.10
ManagedOpenShift-Installer-Role     Installer      arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Installer-Role     4.10
ManagedOpenShift-Support-Role       Support        arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Support-Role       4.10
ManagedOpenShift-Worker-Role        Worker         arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-Worker-Role        4.10

계정 전체 역할을 삭제합니다.
```
$ rosa delete account-roles --prefix <prefix> --mode auto 1
```
1
--< prefix> 인수를 포함해야 합니다. & lt;prefix >를 삭제할 계정 전체 역할의 접두사로 바꿉니다. 계정 전체 역할을 생성할 때 사용자 정의 접두사를 지정하지 않은 경우 기본 접두사인 ManagedOpenShift 를 지정합니다.
중요
계정 전체 IAM 역할은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.

계정 전체의 인라인 및 Operator 정책을 삭제합니다.
1. AWS IAM 콘솔 의 정책 페이지에서 계정 전체 역할 및 정책을 생성할 때 지정한 접두사로 정책 목록을 필터링합니다.
  참고
  계정 전체 역할을 생성할 때 사용자 정의 접두사를 지정하지 않은 경우 기본 접두사인 ManagedOpenShift 를 검색합니다.
2. AWS IAM 콘솔 을 사용하여 계정 전체의 인라인 정책 및 Operator 정책을 삭제합니다. AWS IAM 콘솔을 사용하여 IAM 정책 삭제에 대한 자세한 내용은 AWS 문서의 IAM 정책 삭제 를 참조하십시오.
  중요
  계정 전체의 인라인 및 Operator IAM 정책은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용될 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거해야 합니다.

8.3.2. OpenShift Cluster Manager 및 사용자 IAM 역할 연결 해제 및 삭제

Red Hat OpenShift Cluster Manager를 사용하여 AWS에 Red Hat OpenShift Service on AWS를 설치한 경우 OpenShift Cluster Manager 및 IAM(사용자 ID 및 액세스 관리) 역할을 생성하고 이를 Red Hat 조직에 연결했습니다. 클러스터를 삭제한 후 ROSA CLI(rosa)를 사용하여 역할의 연결을 해제하고 삭제할 수 있습니다.

중요

OpenShift Cluster Manager를 사용하여 동일한 AWS 계정의 다른 ROSA 클러스터를 설치하고 관리하려면 OpenShift Cluster Manager 및 사용자 IAM 역할이 필요합니다. 더 이상 ROSA 클러스터를 설치하기 위해 OpenShift Cluster Manager를 사용할 필요가 없는 경우에만 역할을 제거해야 합니다.

사전 요구 사항

OpenShift Cluster Manager 및 사용자 IAM 역할을 생성하고 Red Hat 조직에 연결했습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.
Red Hat 조직에는 조직 관리자 권한이 있습니다.

절차

Red Hat 조직에서 OpenShift Cluster Manager IAM 역할을 연결 해제하고 역할을 삭제합니다.

AWS 계정의 OpenShift Cluster Manager IAM 역할을 나열합니다.

$ rosa list ocm-roles

출력 예

I: Fetching ocm roles
ROLE NAME                           ROLE ARN                                                                      LINKED  ADMIN
ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>  Yes     Yes

이전 명령의 출력에 연결된 OpenShift Cluster Manager IAM 역할이 나열된 경우 Red Hat 조직의 역할을 연결 해제합니다.
```
$ rosa unlink ocm-role --role-arn <arn> 1
```
1
& lt;arn >을 OpenShift Cluster Manager IAM 역할의 ARM(Amazon Resource Name)으로 바꿉니다. ARN은 이전 명령의 출력에 지정됩니다. 이전 예에서 ARN은 arn:aws:iam::<aws_account_external_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id > 형식으로 되어 있습니다.
출력 예
```
I: Unlinking OCM role
? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' role from organization '<red_hat_organization_id>'? Yes
I: Successfully unlinked role-arn 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' from organization account '<red_hat_organization_id>'
```
OpenShift Cluster Manager IAM 역할 및 정책을 삭제합니다.
```
$ rosa delete ocm-role --role-arn <arn>
```
출력 예
```
I: Deleting OCM role
? OCM Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>
? Delete 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-OCM-Role-<red_hat_organization_external_id>' ocm role? Yes
? OCM role deletion mode: auto 1
I: Successfully deleted the OCM role
```
1
삭제 모드를 지정합니다. 자동 모드를 사용하여 OpenShift Cluster Manager IAM 역할 및 정책을 자동으로 삭제할 수 있습니다. 수동 모드에서 rosa CLI는 역할 및 정책을 삭제하는 데 필요한 aws 명령을 생성합니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.

Red Hat 조직에서 사용자 IAM 역할을 연결 해제하고 역할을 삭제합니다.

AWS 계정의 사용자 IAM 역할을 나열합니다.

$ rosa list user-roles

출력 예

I: Fetching user roles
ROLE NAME                                  ROLE ARN                                                                  LINKED
ManagedOpenShift-User-<ocm_user_name>-Role  arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role  Yes

이전 명령의 출력에 연결된 사용자 IAM 역할이 나열된 경우 Red Hat 조직의 역할을 연결 해제합니다.
```
$ rosa unlink user-role --role-arn <arn> 1
```
1
& lt;arn >을 사용자 IAM 역할의 Amazon 리소스 이름(ARN)으로 바꿉니다. ARN은 이전 명령의 출력에 지정됩니다. 이전 예에서 ARN은 arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role 형식으로 되어 있습니다.
출력 예
```
I: Unlinking user role
? Unlink the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the current account '<ocm_user_account_id>'? Yes
I: Successfully unlinked role ARN 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' from account '<ocm_user_account_id>'
```
사용자 IAM 역할을 삭제합니다.
```
$ rosa delete user-role --role-arn <arn>
```
출력 예
```
I: Deleting user role
? User Role ARN: arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role
? Delete the 'arn:aws:iam::<aws_account_id>:role/ManagedOpenShift-User-<ocm_user_name>-Role' role from the AWS account? Yes
? User role deletion mode: auto 1
I: Successfully deleted the user role
```
1
삭제 모드를 지정합니다. 자동 모드를 사용하여 사용자 IAM 역할을 자동으로 삭제할 수 있습니다. 수동 모드에서 rosa CLI는 역할을 삭제하는 데 필요한 aws 명령을 생성합니다. 수동 모드를 사용하면 aws 명령을 수동으로 실행하기 전에 세부 정보를 검토할 수 있습니다.

8.4. 추가 리소스

STS를 사용하는 ROSA 클러스터의 AWS IAM 리소스에 대한 자세한 내용은 STS를 사용하는 ROSA 클러스터의 IAM 리소스 정보를 참조하십시오.
IAM 역할이 누락되어 있는 클러스터 오류에 대한 자세한 내용은 삭제할 수 없는 클러스터의 압축을 참조하십시오.

9장. AWS STS 없이 ROSA 배포

9.1. ROSA의 AWS 사전 요구 사항

Red Hat OpenShift Service on AWS(ROSA)는 Red Hat이 고객의 기존 AWS(Amazon Web Service) 계정에 클러스터를 배포할 수 있는 모델을 제공합니다.

ROSA를 설치하기 전에 사전 요구 사항이 충족되었는지 확인해야 합니다. 이 요구 사항 문서는 AWS STS(Security Token Service)에는 적용되지 않습니다. STS를 사용하는 경우 STS별 요구 사항을 참조하십시오.

작은 정보

AWS STS(Security Token Service)는 강화된 보안을 제공하기 때문에 AWS의 Red Hat OpenShift Service on AWS(ROSA)에 클러스터를 설치하고 상호 작용하는 데 권장되는 인증 정보 모드입니다.

9.1.1. 배포 사전 요구 사항

Red Hat OpenShift Service on AWS (ROSA)를 기존 AWS(Amazon Web Services) 계정에 배포하려면 Red Hat에서 몇 가지 사전 요구 사항을 충족해야 합니다.

Red Hat은 AWS 조직을 사용하여 여러 AWS 계정을 관리할 것을 권장합니다. 고객이 관리하는 AWS 조직은 여러 AWS 계정을 호스팅합니다. 조직에는 모든 계정이 계정 계층에서 참조할 루트 계정이 있습니다.

ROSA 클러스터를 AWS 조직 단위 내의 AWS 계정에서 호스팅하는 것이 모범 사례입니다. AWS 하위 계정에서 액세스할 수 있는 서비스를 관리하는 AWS Organizational Unit에 SCP(서비스 제어 정책)가 생성되고 적용됩니다. SCP는 조직 단위 내의 모든 AWS 하위 계정에 대해 단일 AWS 계정 내에서 사용 가능한 권한에만 적용됩니다. SCP를 단일 AWS 계정에 적용할 수도 있습니다. 고객의 AWS 조직의 다른 모든 계정은 고객이 요구하는 방식으로 관리합니다. Red Hat 사이트 안정성 엔지니어(SRE)는 AWS 조직 내에서 SCP를 제어할 수 없습니다.

9.1.2. 고객 요구 사항

Red Hat OpenShift Service on AWS (ROSA) 클러스터는 배포하기 전에 몇 가지 사전 요구 사항을 충족해야 합니다.

참고

클러스터를 생성하려면 사용자가 가정된 역할 또는 STS 사용자가 아닌 IAM 사용자로 로그인해야 합니다.

9.1.2.1. 계정

고객은 AWS 제한이 고객의 AWS 계정 내에서 프로비저닝된 AWS에서 Red Hat OpenShift Service를 지원하기에 충분합니다.
고객의 AWS 계정은 해당 SCP(서비스 제어 정책)가 적용된 고객의 AWS 조직에 있어야 합니다.
참고
고객의 계정이 AWS 조직 내에 있거나 SCP를 적용할 필요는 없지만 Red Hat은 제한 없이 SCP에 나열된 모든 조치를 수행할 수 있어야 합니다.
고객의 AWS 계정은 Red Hat으로 이전할 수 없습니다.
고객은 Red Hat 활동에 AWS 사용 제한을 적용하지 않을 수 있습니다. 제한 사항을 부과하면 Red Hat의 사고 대응 능력을 크게 방해할 수 있습니다.
고객은 동일한 AWS 계정 내에 기본 AWS 서비스를 배포할 수 있습니다.
참고
고객은 AWS 및 기타 Red Hat 지원 서비스에 Red Hat OpenShift Service를 호스팅하는 VPC와 별도로 VPC(Virtual Private Cloud)에 리소스를 배포하는 것이 좋지만 필수는 아닙니다.

9.1.2.2. 액세스 요구 사항

AWS에서 Red Hat OpenShift Service를 적절하게 관리하려면 Red Hat은 관리자 역할에 항상 AdministratorAccess 정책을 적용해야 합니다. 이 요구 사항은 AWS STS(Security Token Service)를 사용하는 경우에는 적용되지 않습니다.
참고
이 정책은 고객이 제공하는 AWS 계정의 리소스를 변경할 수 있는 권한 및 기능만 Red Hat에 제공합니다.
Red Hat은 고객이 제공하는 AWS 계정에 대한 AWS 콘솔 액세스 권한이 있어야 합니다. 이 액세스는 Red Hat에서 보호 및 관리합니다.
고객은 AWS 계정을 사용하여 AWS 클러스터의 Red Hat OpenShift Service 내에서 권한을 강화해서는 안 됩니다.
rosa CLI 유틸리티 또는 OpenShift Cluster Manager Hybrid Cloud Console 에서 사용할 수 있는 작업은 고객의 AWS 계정에서 직접 수행할 수 없습니다.

9.1.2.3. 지원 요구사항

Red Hat은 고객이 최소한 AWS의 비즈니스 지원을 받을 것을 권장합니다.
Red Hat은 고객으로부터 AWS 지원을 요청할 권한을 갖습니다.
Red Hat은 고객 계정의 AWS 리소스 제한을 요청할 권한이 있습니다.
Red Hat은 이 요구 사항 섹션에 달리 지정하지 않는 한 AWS 클러스터의 모든 Red Hat OpenShift Service의 제한 사항, 제한 사항, 기대치 및 기본값을 동일한 방식으로 관리합니다.

9.1.2.4. 보안 요구사항

볼륨 스냅샷은 고객의 AWS 계정 및 고객 지정 리전 내에 유지됩니다.
Red Hat은 허용된 IP 주소에서 EC2 호스트 및 API 서버에 대한 수신 액세스 권한이 있어야 합니다.
Red Hat은 시스템 및 감사 로그를 Red Hat 관리 중앙 로깅 스택으로 전달할 수 있는 송신이 있어야 합니다.

9.1.3. 필요한 고객 절차

ROSA(Red Hat OpenShift Service on AWS)를 배포하기 전에 다음 단계를 완료합니다.

절차

고객이 AWS 조직을 사용하는 경우 조직 내에서 AWS 계정을 사용하거나 새 조직을 생성해야 합니다.
Red Hat이 필요한 작업을 수행할 수 있도록 하려면 SCP(서비스 제어 정책)를 생성하거나 AWS 계정에 적용되지 않았는지 확인해야 합니다.
AWS 계정에 SCP를 연결합니다.
환경 설정에 대한 ROSA 절차를 따르십시오.

9.1.3.1. SCP(서비스 제어 정책)에 대한 최소 유효 권한 세트

SCP(서비스 제어 정책)는 조직 내의 권한을 관리하는 조직 정책의 유형입니다. SCP는 조직 내의 계정이 정의된 액세스 제어 지침에 따라 유지되도록 합니다. 이러한 정책은 AWS 조직에서 유지 관리되며 연결된 AWS 계정 내에서 사용 가능한 서비스를 제어합니다. SCP 관리는 고객의 책임입니다.

참고

AWS STS(Security Token Service)를 사용할 때는 최소 SCP 요구 사항이 적용되지 않습니다. STS에 대한 자세한 내용은 STS를 사용하는 ROSA의 AWS 사전 요구 사항을 참조하십시오.

SCP(서비스 제어 정책)에서 이러한 필수 권한을 제한하지 않는지 확인합니다.

	Service	작업	효과
필수 항목	Amazon EC2	All	허용
	Amazon EC2 Auto Scaling	All	허용
	Amazon S3	All	허용
	ID 및 액세스 관리	All	허용
	Elastic Load Balancing	All	허용
	Elastic Load Balancing V2	All	허용
	Amazon CloudWatch	All	허용
	Amazon CloudWatch Events	All	허용
	Amazon CloudWatch Logs	All	허용
	AWS 지원	All	허용
	AWS 키 관리 서비스	All	허용
	AWS 보안 토큰 서비스	All	허용
	AWS Marketplace	Subscription 구독 취소 서브스크립션 보기	허용
	AWS 리소스 태그	All	허용
	AWS Route53 DNS	All	허용
	AWS 서비스 할당량	ListServices GetRequestedServiceQuotaChange GetServiceQuota RequestServiceQuotaIncrease ListServiceQuotas	허용
선택 사항	AWS billinging	ViewAccount Viewbilling ViewUsage	허용
	AWS Cost and Usage Report	All	허용
	AWS Cost Explorer Services	All	허용

추가 리소스

9.1.4. AWS에 대한 Red Hat 관리 IAM 참조

Red Hat은 IAM 정책, IAM 사용자 및 IAM 역할 등 AWS(Amazon Web Services) 리소스를 생성하고 관리합니다.

9.1.4.1. IAM 정책

참고

IAM 정책은 AWS에서 Red Hat OpenShift Service 기능 변경으로 변경될 수 있습니다.

AdministratorAccess 정책은 관리 역할에서 사용합니다. 이 정책은 Red Hat에 고객의 AWS 계정에서 ROSA(Red Hat OpenShift Service on AWS) 클러스터를 관리하는 데 필요한 액세스 권한을 제공합니다.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
```

9.1.4.2. IAM 사용자

osdManagedAdmin 사용자는 ROSA를 고객의 AWS 계정에 설치한 직후 생성됩니다.

9.1.5. 프로비저닝된 AWS 인프라

이는 배포된 Red Hat OpenShift Service on AWS(ROSA) 클러스터에 프로비저닝된 AWS(Amazon Web Services) 구성 요소에 대한 개요입니다. 프로비저닝된 모든 AWS 구성 요소의 자세한 목록은 OpenShift Container Platform 설명서 를 참조하십시오.

9.1.5.1. EC2 인스턴스

AWS EC2 인스턴스는 AWS 퍼블릭 클라우드에 ROSA의 컨트롤 플레인 및 데이터 플레인 기능을 배포하는 데 필요합니다.

인스턴스 유형은 작업자 노드 수에 따라 컨트롤 플레인 및 인프라 노드에 따라 다를 수 있습니다. 최소한 다음 EC2 인스턴스가 배포됩니다.

3개의 m5.2xlarge 컨트롤 플레인 노드
r5.xlarge 인프라 노드 2개
2개의 m5.xlarge 사용자 정의 작업자 노드

작업자 노드 수에 대한 자세한 내용은 이 페이지의 "ECDHE 리소스" 섹션에 나열된 "Limits and scalability" 주제의 초기 계획 고려 사항에 대한 정보를 참조하십시오.

9.1.5.2. AWS EBS(Elastic Block Store) 스토리지

Amazon EBS 블록 스토리지는 로컬 노드 스토리지 및 영구 볼륨 스토리지 모두에 사용됩니다.

각 EC2 인스턴스의 볼륨 요구 사항:

컨트롤 플레인 볼륨
- 크기: 350GB
- 유형: io1
- 초당 입력/출력 작업: 1000개
인프라 볼륨
- 크기: 300GB
- 유형: gp3
- 초당 입력/출력 작업: 900
작업자 볼륨
- 크기: 300GB
- 유형: gp3
- 초당 입력/출력 작업: 900

참고

OpenShift Container Platform 4.11 릴리스 전에 배포된 클러스터는 기본적으로 gp2 유형 스토리지를 사용합니다.

9.1.5.3. Elastic Load Balancing

API용 최대 두 개의 NLB(Network Load Balancer)와 애플리케이션 라우터용 최대 2개의 클래식 로드 밸런서(CLB)입니다. 자세한 내용은 AWS에 대한 ELB 설명서를 참조하십시오.

9.1.5.4. S3 스토리지

이미지 레지스트리는 AWS S3 스토리지에서 지원합니다. 리소스 정리는 S3 사용량 및 클러스터 성능을 최적화하기 위해 정기적으로 수행됩니다.

참고

일반적인 크기가 2TB인 경우 각각 두 개의 버킷이 필요합니다.

9.1.5.5. VPC

고객은 클러스터당 하나의 VPC를 확인해야 합니다. 또한 VPC에는 다음 구성이 필요합니다.

서브넷: 단일 가용성 영역이 있는 클러스터의 두 서브넷 또는 여러 가용성 영역이 있는 클러스터의 경우 6개의 서브넷입니다.
참고
공용 서브넷 은 인터넷 게이트웨이를 통해 인터넷에 직접 연결됩니다. 사설 서브넷 은 NAT(네트워크 주소 변환) 게이트웨이를 통해 인터넷에 연결됩니다.
라우팅 테이블: 프라이빗 서브넷당 하나의 라우팅 테이블과 클러스터당 하나의 추가 테이블입니다.
인터넷 게이트웨이: 클러스터당 하나의 인터넷 게이트웨이.
NAT 게이트웨이: 퍼블릭 서브넷당 하나의 NAT 게이트웨이.

9.1.5.5.1. 샘플 VPC 아키텍처

9.1.5.6. 보안 그룹

AWS 보안 그룹은 프로토콜 및 포트 액세스 수준의 보안을 제공하며 EC2 인스턴스 및 Elastic Load Balancer와 연결됩니다. 각 보안 그룹에는 EC2 인스턴스가 들어오고 나가는 트래픽을 필터링하는 규칙 세트가 포함되어 있습니다. 네트워크에서 OpenShift 설치에 필요한 포트가 열려 있고 호스트 간 액세스를 허용하도록 구성되어 있는지 확인해야 합니다.

그룹	유형	IP 프로토콜	포트 범위
MasterSecurityGroup	`AWS::EC2::SecurityGroup`	`icmp`	`0`
		`tcp`	`22`
		`tcp`	`6443`
		`tcp`	`22623`
WorkerSecurityGroup	`AWS::EC2::SecurityGroup`	`icmp`	`0`
WorkerSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`22`
BootstrapSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`22`
BootstrapSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`19531`

9.1.6. AWS 방화벽 사전 요구 사항

중요

PrivateLink를 사용하여 배포된 ROSA 클러스터만 방화벽을 사용하여 송신 트래픽을 제어할 수 있습니다.

이 섹션에서는 AWS 클러스터의 Red Hat OpenShift Service에서 송신 트래픽을 제어하는 데 필요한 세부 정보를 제공합니다. 방화벽을 사용하여 송신 트래픽을 제어하는 경우 아래의 도메인 및 포트 조합에 대한 액세스 권한을 부여하도록 방화벽을 구성해야 합니다. AWS의 Red Hat OpenShift Service에는 완전히 관리되는 OpenShift 서비스를 제공하기 위해 이 액세스 권한이 필요합니다.

절차

패키지 및 툴을 설치 및 다운로드하는 데 사용되는 다음 URL을 허용 목록에 추가하십시오.

domain	포트	함수
`registry.redhat.io`	443	코어 컨테이너 이미지를 제공합니다.
`quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`*.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`sso.redhat.com`	443, 80	필수 항목입니다. `https://console.redhat.com/openshift` 사이트에서는 `sso.redhat.com` 의 인증을 사용하여 풀 시크릿을 다운로드하고 Red Hat SaaS 솔루션을 사용하여 서브스크립션, 클러스터 인벤토리, 예상 보고 등을 쉽게 모니터링할 수 있습니다.
`quay-registry.s3.amazonaws.com`	443	코어 컨테이너 이미지를 제공합니다.
`ocm-quay-production-s3.s3.amazonaws.com`	443	코어 컨테이너 이미지를 제공합니다.
`quayio-production-s3.s3.amazonaws.com`	443	코어 컨테이너 이미지를 제공합니다.
`cart-rhcos-ci.s3.amazonaws.com`	443	RHCOS(Red Hat Enterprise Linux CoreOS) 이미지를 제공합니다.
`openshift.org`	443	RHCOS(Red Hat Enterprise Linux CoreOS) 이미지를 제공합니다.
`registry.access.redhat.com`	443	개발자가 OpenShift 및 Kubernetes에서 빌드하는 데 도움이 되는 `odo` CLI 툴에 대한 액세스를 제공합니다.
`console.redhat.com`	443, 80	필수 항목입니다. 클러스터와 OpenShift Console Manager 간의 상호 작용을 통해 예약 업그레이드와 같은 기능을 활성화할 수 있습니다.
`sso.redhat.com`	443	`https://console.redhat.com/openshift` 사이트에서 `sso.redhat.com` 의 인증을 사용합니다.
`pull.q1w2.quay.rhcloud.com`	443	quay.io를 사용할 수 없는 경우 코어 컨테이너 이미지를 폴백으로 제공합니다.
`.q1w2.quay.rhcloud.com`	443	quay.io를 사용할 수 없는 경우 코어 컨테이너 이미지를 폴백으로 제공합니다.
`www.okd.io`	443	`openshift.org` 사이트는 `www.okd.io` 을 통해 리디렉션됩니다.
`www.redhat.com`	443, 80	`sso.redhat.com` 사이트는 `www.redhat.com` 을 통해 리디렉션됩니다.
`aws.amazon.com`	443	`iam.amazonaws.com` 및 `sts.amazonaws.com` 사이트는 `aws.amazon.com` 을 통해 리디렉션됩니다.
`catalog.redhat.com`	443	`registry.access.redhat.com` 및 `https://registry.redhat.io` 사이트는 `catalog.redhat.com` 을 통해 리디렉션됩니다.

허용 목록에 quay.io와 같은 사이트를 추가할 때 *.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽 블록에 액세스하는 경우 초기 다운로드 요청이 cdn01.quay.io와 같은 호스트 이름에 리디렉션될 때 이미지 다운로드가 거부됩니다.

cdn01.quay.io 와 같은 CDN 호스트 이름은 허용 목록에 .quay.io 와 같은 와일드카드 항목을 추가할 때 적용됩니다.

다음 Telemetry URL을 허용 목록에 추가합니다.

domain	포트	함수
`cert-api.access.redhat.com`	443	Telemetry에 필요합니다.
`api.access.redhat.com`	443	Telemetry에 필요합니다.
`infogw.api.openshift.com`	443	Telemetry에 필요합니다.
`console.redhat.com`	443	Telemetry 및 Red Hat Insights에 필요합니다.
`observatorium.api.openshift.com`	443	관리형 OpenShift별 Telemetry에 필요합니다.

관리형 클러스터를 사용하려면 Telemetry를 통해 Red Hat이 문제에 보다 신속하게 대응하고, 고객 지원을 개선하며, 제품 업그레이드가 클러스터에 미치는 영향을 보다 잘 이해할 수 있어야 합니다. Red Hat에서 원격 상태 모니터링 데이터를 사용하는 방법에 대한 자세한 내용은 원격 상태 모니터링 정보를 참조하십시오.

다음 AWS(Amazon Web Services) API URls를 나열하십시오.

domain	포트	함수
`.amazonaws.com`	443	AWS 서비스 및 리소스에 액세스하는데 필요합니다.

또는 AWS(Amazon Web Services) API에 와일드카드를 사용하지 않도록 선택하는 경우 다음 URL을 허용해야 합니다.

domain	포트	함수
`ec2.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`events.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`iam.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`route53.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`sts.amazonaws.com`	443	AWS STS에 글로벌 끝점을 사용하도록 구성된 클러스터의 경우 AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`sts.<aws_region>.amazonaws.com`	443	AWS STS에 지역화된 끝점을 사용하도록 구성된 클러스터의 경우 AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다. 자세한 내용은 AWS STS 지역화된 엔드 포인트에서 참조하십시오.
`tagging.us-east-1.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다. 이 끝점은 클러스터가 배포된 지역에 관계없이 항상 us-east-1입니다.
`ec2.<aws_region>.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`elasticloadbalancing.<aws_region>.amazonaws.com`	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
`servicequotas.<aws_region>.amazonaws.com`	443, 80	필수 항목입니다. 서비스 배포에 대한 할당량을 확인하는 데 사용됩니다.
`tagging.<aws_region>.amazonaws.com`	443, 80	태그 형태로 AWS 리소스에 대한 메타데이터를 할당할 수 있습니다.

다음 OpenShift URL을 허용 목록에 추가합니다.

domain	포트	함수
`mirror.openshift.com`	443	미러링된 설치 콘텐츠 및 이미지에 액세스하는 데 사용됩니다. 이 사이트는 릴리스 이미지 서명의 소스이기도 하지만 CVO(Cluster Version Operator)에는 단일 기능 소스만 필요합니다.
`storage.googleapis.com/openshift-release` (권장)	443	mirror.openshift.com/에 대한 대체 사이트입니다. 클러스터에서 사용하는 플랫폼 릴리스 서명을 다운로드하여 quay.io에서 가져올 이미지를 확인하는 데 사용됩니다.
`api.openshift.com`	443	클러스터에 사용 가능한 업데이트가 있는지 확인하는 데 사용됩니다.

Allowlist the following site reliability engineering (SRE) 및 관리 URL:

domain	포트	함수
`api.pagerduty.com`	443	이 경고 서비스는 클러스터 내 alertmanager가 수행할 이벤트의 Red Hat SRE에 알리는 경고를 보내는 데 사용됩니다.
`events.pagerduty.com`	443	이 경고 서비스는 클러스터 내 alertmanager가 수행할 이벤트의 Red Hat SRE에 알리는 경고를 보내는 데 사용됩니다.
`api.deadmanssnitch.com`	443	AWS에서 Red Hat OpenShift Service에서 클러스터가 사용 가능하고 실행 중인지를 나타내는 주기적인 ping을 보내는 데 사용하는 경고 서비스입니다.
`nosnch.in`	443	AWS에서 Red Hat OpenShift Service에서 클러스터가 사용 가능하고 실행 중인지를 나타내는 주기적인 ping을 보내는 데 사용하는 경고 서비스입니다.
`*.osdsecuritylogs. splunkcloud.comOR inputs1`.osdsecuritylogs.complunkcloud.comcom`inputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.comsinputs.splunkcloud.com storeds.complunkcloud.com`	9997	`splunk-forwarder-operator` 에서 로그 기반 경고에 사용할 로깅 전달 끝점으로 사용합니다.
`http-inputs-osdsecuritylogs.splunkcloud.com`	443	필수 항목입니다. `splunk-forwarder-operator` 에서 로그 기반 경고에 사용할 로깅 전달 끝점으로 사용합니다.
`SFTP.access.redhat.com` (권장)	22	클러스터 문제를 해결하기 위해 진단 로그를 업로드하기 위해 `must-gather-operator` 에서 사용하는 SFTP 서버입니다.

AWS(Amazon Web Services) API에 와일드카드를 허용하지 않은 경우 내부 OpenShift 레지스트리에 사용된 S3 버킷도 허용해야 합니다. 해당 끝점을 검색하려면 클러스터가 성공적으로 프로비저닝된 후 다음 명령을 실행합니다.
```
$ oc -n openshift-image-registry get pod -l docker-registry=default -o json | jq '.items[].spec.containers[].env[] | select(.name=="REGISTRY_STORAGE_S3_BUCKET")'
```
S3 끝점은 '<cluster-name>-<random-string>-image-registry-<cluster-region>-<random-string>.s3.dualstack.<cluster-region>.amazonaws.com 형식이어야 합니다.
빌드에 필요한 언어 또는 프레임 워크에 대한 리소스를 제공하는 사이트를 허용 목록에 추가합니다.
OpenShift에 사용된 언어 및 프레임워크에 의존하는 아웃바운드 URL을 허용 목록에 추가합니다. 방화벽 또는 프록시에서 허용되는 권장 URL 목록은 OpenShift Outbound URL을 참조하십시오.

9.1.7. 다음 단계

필요한 AWS 서비스 할당량 검토

9.1.8. 추가 리소스

9.2. ROSA 배포 워크플로 이해

AWS STS(Security Token Service)를 사용하는 GCP(Red Hat OpenShift Service on AWS) 클러스터를 생성하기 전에 AWS 사전 요구 사항을 완료하고 필요한 AWS 서비스 할당량을 사용할 수 있는지 확인하고 환경을 설정해야 합니다.

이 문서에서는 STS 배포 워크플로우 단계가 있는 ROSA에 대한 개요를 제공하고 각 단계에 대한 자세한 리소스를 참조합니다.

작은 정보

9.2.1. ROSA 배포 워크플로 개요

이 섹션에 설명된 워크플로 단계에 따라 ROSA(Red Hat OpenShift Service on AWS) 클러스터를 설정하고 액세스할 수 있습니다.

AWS 사전 요구 사항을 수행합니다. ROSA 클러스터를 배포하려면 AWS 계정이 사전 요구 사항을 충족해야 합니다.
필요한 AWS 서비스 할당량을 검토합니다. 클러스터 배포를 준비하려면 ROSA 클러스터를 실행하는 데 필요한 AWS 서비스 할당량을 검토하십시오.
AWS 계정을 구성하십시오. ROSA 클러스터를 생성하기 전에 AWS 계정에서 ROSA를 활성화하고 AWS CLI (aws) 툴을 설치 및 구성하고 AWS CLI 툴 구성을 확인해야 합니다.
ROSA 및 OpenShift CLI 툴을 설치하고 AWS 서비스 할당량을 확인합니다. ROSA CLI(rosa) 및 OpenShift CLI(oc)를 설치하고 구성합니다. ROSA CLI를 사용하여 필요한 AWS 리소스 할당량을 사용할 수 있는지 확인할 수 있습니다.
ROSA 클러스터를 생성하거나 AWS PrivateLink를 사용하여 ROSA 클러스터를 만듭니다. ROSA CLI(rosa)를 사용하여 클러스터를 생성합니다. 선택적으로 AWS PrivateLink를 사용하여 ROSA 클러스터를 생성할 수 있습니다.
클러스터에 액세스. 필요에 따라 ID 공급자를 구성하고 ID 공급자 사용자에게 클러스터 관리자 권한을 부여할 수 있습니다. cluster-admin 사용자를 구성하여 새로 배포된 클러스터에 빠르게 액세스할 수도 있습니다.
사용자에 대한 ROSA 클러스터에 대한 액세스를 취소합니다. ROSA CLI 또는 웹 콘솔을 사용하여 사용자의 ROSA 클러스터에 대한 액세스를 취소할 수 있습니다.
ROSA 클러스터를 삭제합니다. ROSA CLI(로사)를 사용하여 ROSA 클러스터를 삭제할 수 있습니다.

9.2.2. 추가 리소스

ROSA 배포 워크플로를 사용하여 AWS Security Token Service(STS)를 사용하는 클러스터를 생성하는 방법에 대한 자세한 내용은 STS 배포 워크플로를 사용하여 ROSA 이해를 참조하십시오.
ID 공급자 구성
클러스터 삭제
클러스터에 대한 액세스 삭제
클러스터 및 사용자 생성을 위한 명령 빠른 참조

9.3. 필수 AWS 서비스 할당량

AWS 클러스터에서 Red Hat OpenShift Service를 실행하는 데 필요한 필수 AWS(Amazon Web Service) 서비스 할당량 목록을 검토합니다.

작은 정보

9.3.1. 필수 AWS 서비스 할당량

아래 표는 AWS 클러스터에서 Red Hat OpenShift Service를 생성하고 실행하는 데 필요한 AWS 서비스 할당량 및 수준을 설명합니다.

참고

AWS SDK를 사용하면 ROSA에서 할당량을 확인할 수 있지만 AWS SDK 계산에서는 기존 사용량을 고려하지 않습니다. 따라서 할당량 검사가 AWS SDK에 전달할 수 있지만 클러스터 생성에 실패할 수 있습니다. 이 문제를 해결하려면 할당량을 늘립니다.

특정 할당량을 수정하거나 늘려야 하는 경우 할당량 증가를 요청하는 Amazon 문서를 참조하십시오. 대규모 할당량 요청은 검토를 위해 Amazon 지원에 제출되며 승인되는 데 시간이 다소 걸립니다. 할당량 요청이 긴급하면 AWS 지원에 문의하십시오.

중요

온 디맨드 표준(A, C, D, H, I, M, R, T, Z) Amazon EC2 인스턴스의 경우 ROSA 클러스터를 생성하려면 100개의 vCPU 이상이 필요합니다. 할당량을 늘리려면 AWS 콘솔에서 Service Quotas 콘솔을 엽니다.

표 9.1. ROSA-required 서비스 할당량

할당량 이름	서비스 코드	할당량 코드	Default	최소 요구 사항	설명
온 디맨드 표준 실행 (A, C, D, H, I, M, R, T, Z) 인스턴스 실행	ec2	L-1216C47A	100	100	실행 중인 온 디맨드 표준(A, C, D, H, I, M, R, T, Z) 인스턴스에 할당된 최대 vCPU 수입니다. ROSA 클러스터를 생성하기 위해 vCPU 5개의 값으로는 충분하지 않습니다. ROSA에는 클러스터 생성을 위해 최소 100개의 vCPU가 필요합니다.
TiB의 범용 SSD(gp2) 볼륨 스토리지용 스토리지	ebs	L-D18FCD1D	50	300	이 리전의 일반 용도 SSD(gp2) 볼륨에서 프로비저닝할 수 있는 최대 집계된 스토리지 양입니다.
TiB의 범용 SSD(gp3) 볼륨 스토리지용 스토리지	ebs	L-7A658B76	50	300	이 리전의 일반 용도 SSD(gp3) 볼륨에서 프로비저닝할 수 있는 최대 집계된 스토리지 양입니다. 300TiB의 스토리지는 최적의 성능을 위해 필요한 최소 용량입니다.
TiB에서 프로비저닝된 IOPS SSD(io1) 볼륨의 스토리지	ebs	L-FD252861	50	300	이 리전에서 프로비저닝된 IOPS SSD(io1) 볼륨에서 프로비저닝할 수 있는 최대 집계된 스토리지 양입니다. 300TiB의 스토리지는 최적의 성능을 위해 필요한 최소 용량입니다.

표 9.2. 일반 AWS 서비스 할당량

할당량 이름	서비스 코드	할당량 코드	Default	최소 요구 사항	설명
EC2-VPC Elastic IP	ec2	L-0263D0A3	5	5	이 리전에서 EC2-VPC에 할당할 수 있는 최대 Elastic IP 주소 수입니다.
리전당 VPC	vpc	L-F678F1CE	5	5	리전당 최대 VPC 수입니다. 이 할당량은 리전당 최대 인터넷 게이트웨이 수에 직접 연결됩니다.
리전당 인터넷 게이트웨이	vpc	L-A4707A72	5	5	리전당 최대 인터넷 게이트웨이 수입니다. 이 할당량은 리전당 최대 VPC 수에 직접 연결됩니다. 이 할당량을 늘리려면 리전당 VPC 수를 늘립니다.
리전당 네트워크 인터페이스	vpc	L-DF5E4CA3	5,000	5,000	리전당 최대 네트워크 인터페이스 수입니다.
리전당 스냅샷	ebs	L-309BACF6	10,000	10,000	리전당 최대 스냅샷 수
프로비저닝된 IOPS SSD(Io1) 볼륨의 IOPS	ebs	L-B3A130E6	300,000	300,000	이 리전의 프로비저닝된 IOPS SDD(io1) 볼륨에서 프로비저닝할 수 있는 최대 집계된 IOPS 수입니다.
리전당 애플리케이션 로드 밸런서	elasticloadbalancing	L-53DA6B97	50	50
리전당 클래식 로드 밸런서	elasticloadbalancing	L-E9E9831D	20	20

9.3.1.1. 추가 리소스

9.3.2. 다음 단계

AWS 계정 구성

9.3.3. 추가 리소스

ROSA 배포 워크플로 이해

9.4. AWS 계정 구성

AWS 사전 요구 사항을 완료한 후 AWS 계정을 구성하고 AWS(ROSA)에서 Red Hat OpenShift Service on AWS 서비스를 활성화합니다.

작은 정보

9.4.1. AWS 계정 구성

ROSA 서비스를 사용하도록 AWS 계정을 구성하려면 다음 단계를 완료합니다.

사전 요구 사항

배포 사전 요구 사항 및 정책을 검토하고 완료합니다.
아직 없는 경우 Red Hat 계정을 생성합니다. 그런 다음 이메일에서 확인 링크를 확인하십시오. ROSA를 설치하려면 이러한 인증 정보가 필요합니다.

절차

사용하려는 AWS(Amazon Web Services) 계정에 로그인합니다.
프로덕션 클러스터를 실행하려면 전용 AWS 계정이 권장됩니다. AWS 조직을 사용하는 경우 조직 내에서 AWS 계정을 사용하거나 새 조직을 생성할 수 있습니다.
AWS 조직을 사용하고 있으며 사용하려는 AWS 계정에 SCP(서비스 제어 정책)를 적용해야 하는 경우 필요한 최소 SCP에 대한 자세한 내용은 AWS 사전 요구 사항에서 참조하십시오.
클러스터 생성 프로세스의 일부로 rosa 는 osdCcsAdmin IAM 사용자를 설정합니다. 이 사용자는 AWS CLI를 구성할 때 제공하는 IAM 인증 정보를 사용합니다.
참고
이 사용자에게 는 프로그래밍 액세스가 활성화되고 AdministratorAccess 정책이 연결되어 있습니다.
AWS 콘솔에서 ROSA 서비스를 활성화합니다.
1. AWS 계정에 로그인합니다.
2. ROSA를 활성화하려면 ROSA 서비스로 이동하여 OpenShift 사용을 선택합니다. https://console.aws.amazon.com/rosa/
AWS CLI를 설치하고 구성합니다.
1. AWS 명령줄 인터페이스 설명서에 따라 운영 체제에 대한 AWS CLI를 설치하고 구성합니다.
  .aws/credentials 파일에 올바른 aws_access_key_id 및 aws_secret_access_key 를 지정합니다. AWS 문서의 AWS 구성 기본 사항을 참조하십시오.
2. 기본 AWS 리전을 설정합니다.
  참고
  환경 변수를 사용하여 기본 AWS 리전을 설정하는 것이 좋습니다.
  ROSA 서비스는 다음 우선 순위 순서로 영역을 평가합니다.
  1. --region 플래그를 사용하여 rosa 명령을 실행할 때 지정된 영역입니다.
  2. AWS_DEFAULT_REGION 환경 변수에 설정된 리전입니다. AWS 문서 의 AWS CLI를 구성하려면 환경 변수 를 참조하십시오.
  3. AWS 구성 파일에 설정된 기본 리전입니다. AWS 문서의 aws 구성을 사용한 빠른 구성을 참조하십시오.
3. 선택 사항: AWS named profile을 사용하여 AWS CLI 설정 및 인증 정보를 구성합니다. Rosa 는 다음 우선 순위 순서로 프로필이라는 AWS를 평가합니다.
  1. --profile 플래그를 사용하여 rosa 명령을 실행할 때 지정된 프로필입니다.
  2. AWS_PROFILE 환경 변수에 설정된 프로필입니다. AWS 문서의 이름이 지정된 프로필 을 참조하십시오.
4. 다음 명령을 실행하여 AWS API를 쿼리하여 AWS CLI가 올바르게 설치되어 구성되었는지 확인합니다.
```
$ aws sts get-caller-identity
```
  출력 예
```
---------------------------------------------------------------------------------
|                                GetCallerIdentity                              |
+-------------------------------------------------------------------------------+
|+-----------------------------------+-----------------------+-----------------+|
||      Account        |                Arn              |       UserID        ||
|+-----------------------------------+-----------------------+-----------------+|
||  <account_name>     |  arn:aws:iam<string>:user:name  |      <userID>       ||
|+-----------------------------------+-----------------------+-----------------+|
```
  이러한 단계를 완료한 후 ROSA를 설치합니다.

9.4.2. 다음 단계

ROSA CLI 설치

9.4.3. 추가 리소스

9.5. ROSA CLI 설치

AWS 계정을 구성한 후 ROSA CLI(rosa)를 설치하고 구성합니다.

작은 정보

9.5.1. ROSA CLI 설치 및 구성

ROSA CLI(로사)를 설치하고 구성합니다. OpenShift CLI(oc)를 설치하고 ROSA CLI를 사용하여 필요한 AWS 리소스 할당량을 사용할 수 있는지 확인할 수도 있습니다.

사전 요구 사항

AWS 사전 요구 사항 및 ROSA 정책을 검토하고 완료합니다.
아직 없는 경우 Red Hat 계정을 생성합니다. 그런 다음 이메일에서 확인 링크를 확인하십시오. ROSA를 설치하려면 이러한 인증 정보가 필요합니다.
AWS 계정을 구성하고 AWS 계정에서 ROSA 서비스를 활성화합니다.

절차

AWS 명령줄 인터페이스(CLI)에 Red Hat OpenShift Service를 설치합니다.

운영 체제에 대한 Rosa CLI의 최신 릴리스를 다운로드합니다.
선택 사항: 로사에 다운로드한 실행 파일의 이름을 변경합니다. 이 문서에서는 rosa 를 사용하여 실행 파일을 참조합니다.
선택 사항: 경로에 rosa 를 추가합니다.
예제
```
$ mv rosa /usr/local/bin/rosa
```

다음 명령을 입력하여 설치를 확인합니다.

$ rosa

출력 예

Command line tool for Red Hat OpenShift Service on AWS.
For further documentation visit https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws

Usage:
  rosa [command]

Available Commands:
  completion  Generates completion scripts
  create      Create a resource from stdin
  delete      Delete a specific resource
  describe    Show details of a specific resource
  download    Download necessary tools for using your cluster
  edit        Edit a specific resource
  grant       Grant role to a specific resource
  help        Help about any command
  init        Applies templates to support Red Hat OpenShift Service on AWS
  install     Installs a resource into a cluster
  link        Link a ocm/user role from stdin
  list        List all resources of a specific type
  login       Log in to your Red Hat account
  logout      Log out
  logs        Show installation or uninstallation logs for a cluster
  revoke      Revoke role from a specific resource
  uninstall   Uninstalls a resource from a cluster
  unlink      UnLink a ocm/user role from stdin
  upgrade     Upgrade a resource
  verify      Verify resources are configured correctly for cluster install
  version     Prints the version of the tool
  whoami      Displays user account information

Flags:
      --color string   Surround certain characters with escape sequences to display them in color on the terminal. Allowed options are [auto never always] (default "auto")
      --debug          Enable debug mode.
  -h, --help           help for rosa

Use "rosa [command] --help" for more information about a command.

선택 사항: rosa CLI에 대한 명령 완료 스크립트를 생성합니다. 다음 예제에서는 Linux 시스템에 대한 Bash 완료 스크립트를 생성합니다.
```
$ rosa completion bash | sudo tee /etc/bash_completion.d/rosa
```
선택 사항: 기존 터미널에서 rosa 명령 완료를 활성화합니다. 다음 예제에서는 Linux 시스템의 기존 터미널에서 rosa 에 대한 Bash 완료를 활성화합니다.
```
$ source /etc/bash_completion.d/rosa
```

rosa 를 사용하여 Red Hat 계정에 로그인합니다.

다음 명령을 입력합니다.
```
$ rosa login
```

&lt ;my_offline_access_token> 을 토큰으로 바꿉니다.

출력 예

To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here: <my-offline-access-token>

계속된 출력 예

I: Logged in as 'rh-rosa-user' on 'https://api.openshift.com'

다음 명령을 입력하여 AWS 계정에 필요한 권한이 있는지 확인합니다.
```
$ rosa verify permissions
```
출력 예
```
I: Validating SCP policies...
I: AWS SCP policies ok
```
참고
이 명령은 AWS STS(보안 토큰 서비스)를 사용하지 않는 ROSA 클러스터에 대해서만 권한을 확인합니다.
AWS 계정에 AWS 클러스터에 Red Hat OpenShift Service를 배포하는 데 필요한 할당량이 있는지 확인합니다.
```
$ rosa verify quota --region=us-west-2
```
출력 예
```
I: Validating AWS quota...
I: AWS quota ok
```
참고
AWS 할당량이 리전에 따라 다를 수 있습니다. 오류가 발생하면 다른 리전을 사용해 보십시오.
할당량을 늘려야 하는 경우 AWS 콘솔 로 이동하여 실패한 서비스에 대한 할당량 증가를 요청합니다.
권한 및 할당량 검사가 모두 통과되면 다음 단계를 진행합니다.

클러스터 배포를 위해 AWS 계정을 준비합니다.

다음 명령을 실행하여 Red Hat 및 AWS 인증 정보가 올바르게 설정되었는지 확인합니다. AWS 계정 ID, 기본 리전 및 ARN이 예상한 내용과 일치하는지 확인합니다. OCM 으로 시작하는 행은 무시해도 됩니다.

$ rosa whoami

출력 예

AWS Account ID:               000000000000
AWS Default Region:           us-east-2
AWS ARN:                      arn:aws:iam::000000000000:user/hello
OCM API:                      https://api.openshift.com
OCM Account ID:               1DzGIdIhqEWyt8UUXQhSoWaaaaa
OCM Account Name:             Your Name
OCM Account Username:         you@domain.com
OCM Account Email:            you@domain.com
OCM Organization ID:          1HopHfA2hcmhup5gCr2uH5aaaaa
OCM Organization Name:        Red Hat
OCM Organization External ID: 0000000

AWS 계정을 초기화합니다. 이 단계에서는 클러스터 배포 및 관리를 위해 AWS 계정을 준비하는 CloudFormation 템플릿을 실행합니다. 이 단계는 일반적으로 완료하는 데 1-2 분이 걸립니다.

$ rosa init

출력 예

I: Logged in as 'rh-rosa-user' on 'https://api.openshift.com'
I: Validating AWS credentials...
I: AWS credentials are valid!
I: Validating SCP policies...
I: AWS SCP policies ok
I: Validating AWS quota...
I: AWS quota ok
I: Ensuring cluster administrator user 'osdCcsAdmin'...
I: Admin user 'osdCcsAdmin' created successfully!
I: Verifying whether OpenShift command-line tool is available...
E: OpenShift command-line tool is not installed.
Run 'rosa download oc' to download the latest version, then add it to your PATH.

rosa CLI에서 OpenShift CLI(oc)를 설치합니다.
1. 이 명령을 입력하여 oc CLI의 최신 버전을 다운로드합니다.
```
$ rosa download oc
```
2. oc CLI를 다운로드한 후 압축을 풀고 경로에 추가합니다.
3. 다음 명령을 입력하여 oc CLI가 올바르게 설치되었는지 확인합니다.
```
$ rosa verify oc
```

ROSA를 설치한 후 클러스터를 생성할 준비가 된 것입니다.

9.5.2. 다음 단계

ROSA 클러스터를 생성하거나 ROSA 에서 AWS PrivateLink 클러스터를 만듭니다.

9.5.3. 추가 리소스

9.6. AWS STS 없이 ROSA 클러스터 생성

환경을 설정하고 AWS(ROSA)에 Red Hat OpenShift Service를 설치한 후 클러스터를 생성합니다.

이 문서에서는 ROSA 클러스터를 설정하는 방법을 설명합니다. 또는 AWS PrivateLink를 사용하여 ROSA 클러스터를 생성할 수 있습니다.

작은 정보

9.6.1. 클러스터 생성

rosa CLI를 사용하여 AWS 클러스터에서 Red Hat OpenShift Service를 생성할 수 있습니다.

사전 요구 사항

AWS에 Red Hat OpenShift Service를 설치했습니다.

참고

AWS 공유 VPC는 현재 ROSA 설치에서 지원되지 않습니다.

절차

기본 설정을 사용하거나 대화형 모드를 사용하여 사용자 지정 설정을 지정하여 클러스터를 생성할 수 있습니다. 클러스터를 생성할 때 다른 옵션을 보려면 rosa create cluster --help 를 입력합니다.
클러스터를 생성하는 데 최대 40분이 걸릴 수 있습니다.
참고
프로덕션 워크로드에는 여러 가용 영역(AZ)이 권장됩니다. 기본값은 단일 가용성 영역입니다. 이 옵션을 수동으로 설정하거나 대화형 모드를 사용하여 이 설정을 요청하는 방법에 대한 예는 --help 를 사용합니다.
- 기본 클러스터 설정으로 클러스터를 생성하려면 다음을 수행합니다.
```
$ rosa create cluster --cluster-name=<cluster_name>
```
  출력 예
```
I: Creating cluster with identifier '1de87g7c30g75qechgh7l5b2bha6r04e' and name 'rh-rosa-test-cluster1'
I: To view list of clusters and their status, run `rosa list clusters`
I: Cluster 'rh-rosa-test-cluster1' has been created.
I: Once the cluster is 'Ready' you will need to add an Identity Provider and define the list of cluster administrators. See `rosa create idp --help` and `rosa create user --help` for more information.
I: To determine when your cluster is Ready, run `rosa describe cluster rh-rosa-test-cluster1`.
```
- 대화형 프롬프트를 사용하여 클러스터를 생성하려면 다음을 수행합니다.
```
$ rosa create cluster --interactive
```
- 네트워킹 IP 범위를 구성하려면 다음 기본 범위를 사용할 수 있습니다. 수동 모드를 사용할 때 자세한 내용은 rosa create cluster --help | grep cidr 을 사용합니다. 대화형 모드에서는 설정을 입력하라는 메시지가 표시됩니다.
  - 노드 CIDR: 10.0.0.0/16
  - Service CIDR: 172.30.0.0/16
  - Pod CIDR: 10.128.0.0/14

다음 명령을 입력하여 클러스터 상태를 확인합니다. 클러스터 생성 중에 출력의 State 필드가 pending 에서 설치 로 전환되고 마지막으로 준비 상태가 됩니다.

$ rosa describe cluster --cluster=<cluster_name>

출력 예

Name: rh-rosa-test-cluster1
OpenShift Version: 4.6.8
DNS: *.example.com
ID: uniqueidnumber
External ID: uniqueexternalidnumber
AWS Account: 123456789101
API URL: https://api.rh-rosa-test-cluster1.example.org:6443
Console URL: https://console-openshift-console.apps.rh-rosa-test-cluster1.example.or
Nodes: Master: 3, Infra: 2, Compute: 2
Region: us-west-2
Multi-AZ: false
State: ready
Channel Group: stable
Private: No
Created: Jan 15 2021 16:30:55 UTC
Details Page: https://console.redhat.com/examplename/details/idnumber

참고

설치에 실패하거나 40분 후에 State 필드가 준비 상태가 아닌 경우 자세한 내용은 설치 문제 해결 설명서를 확인하십시오.

OpenShift 설치 프로그램 로그를 확인하여 클러스터 생성의 진행 상황을 추적합니다.
```
$ rosa logs install --cluster=<cluster_name> --watch
```

9.6.2. 다음 단계

ID 공급자 구성

9.6.3. 추가 리소스

9.7. 프라이빗 클러스터 설정

AWS 클러스터의 Red Hat OpenShift Service는 내부 애플리케이션을 회사 네트워크 내에서 호스팅할 수 있도록 비공개로 만들 수 있습니다. 또한 보안을 강화하기 위해 내부 API 엔드포인트만 갖도록 프라이빗 클러스터를 구성할 수 있습니다.

클러스터 생성 중 또는 클러스터가 설정된 후 개인 정보 설정을 구성할 수 있습니다.

9.7.1. 새 클러스터에서 프라이빗 클러스터 활성화

AWS 클러스터에서 새 Red Hat OpenShift Service를 생성할 때 프라이빗 클러스터 설정을 활성화할 수 있습니다.

중요

프라이빗 클러스터는 AWS STS(보안 토큰 서비스)와 함께 사용할 수 없습니다. 그러나 STS는 AWS PrivateLink 클러스터를 지원합니다.

사전 요구 사항

AWS VPC 피어링, VPN, DirectConnect 또는 TransitGateway 는 개인 액세스를 허용하도록 구성되어 있습니다.

절차

다음 명령을 입력하여 새 개인 클러스터를 생성합니다.

$ rosa create cluster --cluster-name=<cluster_name> --private

참고

또는 각 클러스터 옵션에 대해 --interactive 를 입력하라는 메시지가 표시됩니다.

9.7.2. 기존 클러스터에서 프라이빗 클러스터 활성화

클러스터가 생성되면 나중에 클러스터를 프라이빗으로 활성화할 수 있습니다.

중요

프라이빗 클러스터는 AWS STS(보안 토큰 서비스)와 함께 사용할 수 없습니다. 그러나 STS는 AWS PrivateLink 클러스터를 지원합니다.

사전 요구 사항

AWS VPC 피어링, VPN, DirectConnect 또는 TransitGateway 는 개인 액세스를 허용하도록 구성되어 있습니다.

절차

다음 명령을 입력하여 기존 클러스터에서 --private 옵션을 활성화합니다.

$ rosa edit cluster --cluster=<cluster_name> --private

참고

프라이빗과 퍼블릭 간에 클러스터를 전환하는 데 몇 분이 걸릴 수 있습니다.

9.7.3. 추가 리소스

ROSA에서 AWS PrivateLink 클러스터 생성

9.8. ROSA 클러스터에 대한 액세스 삭제

rosa 명령줄을 사용하여 ROSA(Red Hat OpenShift Service on AWS) 클러스터에 대한 액세스를 삭제합니다.

작은 정보

9.8.1. `rosa` CLI를 사용하여 `전용 관리자` 액세스 취소

클러스터, 조직 관리자 사용자 또는 슈퍼 관리자 사용자인 경우 dedicated-admin 사용자에 대한 액세스를 취소할 수 있습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
사용자는 권한을 취소하는 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

다음 명령을 입력하여 사용자의 dedicated-admin 액세스를 취소합니다.
```
$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
```
다음 명령을 입력하여 사용자에게 더 이상 전용 관리자 액세스 권한이 없는지 확인합니다. 출력에 취소된 사용자가 나열되지 않습니다.
```
$ oc get groups dedicated-admins
```

9.8.2. `rosa` CLI를 사용하여 `cluster-admin` 액세스 취소

클러스터를 생성한 사용자만 cluster-admin 사용자에 대한 액세스를 취소할 수 있습니다.

사전 요구 사항

IDP(ID 공급자)를 클러스터에 추가했습니다.
사용자는 권한을 취소하는 사용자의 IDP 사용자 이름이 있습니다.
클러스터에 로그인되어 있습니다.

절차

다음 명령을 입력하여 사용자의 cluster-admin 액세스를 취소합니다.
```
$ rosa revoke user cluster-admins --user=myusername --cluster=mycluster
```
다음 명령을 입력하여 사용자에게 더 이상 cluster-admin 액세스 권한이 없는지 확인합니다. 출력에 취소된 사용자가 나열되지 않습니다.
```
$ oc get groups cluster-admins
```

9.9. ROSA 클러스터 삭제

rosa 명령줄을 사용하여 AWS(ROSA) 클러스터에서 Red Hat OpenShift Service를 삭제합니다.

작은 정보

9.9.1. 사전 요구 사항

AWS에서 Red Hat OpenShift Service가 VPC를 생성한 경우 클러스터를 성공적으로 삭제하기 전에 클러스터에서 다음 항목을 제거해야 합니다.
- VPN 구성 및 VPC 피어링 연결과 같은 네트워크 구성
- VPC에 추가된 추가 서비스

이러한 구성 및 서비스가 남아 있으면 클러스터가 제대로 삭제되지 않습니다.

9.9.2. ROSA 클러스터 및 클러스터별 IAM 리소스 삭제

ROSA CLI(rosa) 또는 Red Hat OpenShift Cluster Manager를 사용하여 AWS(STS) 클러스터에서 Red Hat OpenShift Service on AWS(ROSA)를 삭제할 수 있습니다.

중요

클러스터 삭제 및 정리 프로세스에서 리소스가 사용되므로 IAM 리소스를 제거하기 전에 클러스터 삭제를 완료해야 합니다.

사전 요구 사항

ROSA 클러스터가 설치되어 있습니다.
설치 호스트에 최신 ROSA CLI(rosa)를 설치하고 구성했습니다.

절차

클러스터 ID, 클러스터별 Operator 역할에 대한 ARM(Amazon Resource Names) 및 OIDC 공급자의 끝점 URL을 가져옵니다.

$ rosa describe cluster --cluster=<cluster_name> 1

1: & lt;cluster_name >을 클러스터 이름으로 바꿉니다.

출력 예

Name:                       mycluster
ID:                         1s3v4x39lhs8sm49m90mi0822o34544a 1
...
Operator IAM Roles: 2
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-machine-api-aws-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cloud-credential-operator-cloud-crede
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-image-registry-installer-cloud-creden
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cluster-csi-drivers-ebs-cloud-credent
 - arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-cloud-network-config-controller-cloud
State:                      ready
Private:                    No
Created:                    May 13 2022 11:26:15 UTC
Details Page:               https://console.redhat.com/openshift/details/s/296kyEFwzoy1CREQicFRdZybrc0
OIDC Endpoint URL:          https://rh-oidc.s3.us-east-1.amazonaws.com/1s5v4k39lhm8sm59m90mi0822o31844a 3

1: 클러스터 ID를 나열합니다.
2: 클러스터별 Operator 역할의 ARN을 지정합니다. 예를 들어 샘플 출력에서 Machine Config Operator에 필요한 역할의 ARN은 arn:aws:iam::<aws_account_id>:role/mycluster-x4q9-openshift-api-aws-cloud-credentials 입니다.
3: 클러스터별 OIDC 공급자의 끝점 URL을 지정합니다.

중요

클러스터를 삭제한 후 ROSA CLI(rosa)를 사용하여 클러스터별 STS 리소스를 삭제하려면 클러스터 ID가 필요합니다.

클러스터를 삭제합니다.
- Red Hat OpenShift Cluster Manager를 사용하여 클러스터를 삭제하려면 다음을 수행합니다.
  1. OpenShift Cluster Manager Hybrid Cloud Console 로 이동합니다.
  2. 클러스터 옆에 있는 옵션 메뉴를 클릭하고 클러스터 삭제 를 선택합니다.
  3. 프롬프트에 클러스터 이름을 입력하고 삭제 를 클릭합니다.
- ROSA CLI(rosa)를 사용하여 클러스터를 삭제하려면 다음을 수행합니다.
  1. 다음 명령을 입력하여 클러스터를 삭제하고 로그를 감시하고 < cluster_name >을 클러스터 이름 또는 ID로 바꿉니다.
    $ rosa delete cluster --cluster=<cluster_name> --watch
    중요
    Operator 역할 및 OIDC 공급자를 제거하기 전에 클러스터 삭제가 완료될 때까지 기다려야 합니다. OpenShift Operator에서 생성한 리소스를 정리하려면 클러스터별 Operator 역할이 필요합니다. Operator는 OIDC 공급자를 사용하여 인증합니다.
클러스터 Operator가 인증하는 데 사용하는 OIDC 공급자를 삭제합니다.
```
$ rosa delete oidc-provider -c <cluster_id> --mode auto 1
```
1
& lt;cluster_id& gt;를 클러스터 ID로 바꿉니다.
참고
-y 옵션을 사용하여 프롬프트에 yes를 자동으로 응답할 수 있습니다.
선택 사항: 클러스터별 Operator IAM 역할을 삭제합니다.
중요
계정 전체 IAM 역할은 동일한 AWS 계정의 다른 ROSA 클러스터에서 사용할 수 있습니다. 다른 클러스터에 필요하지 않은 경우에만 역할을 제거합니다.
```
$ rosa delete operator-roles -c <cluster_id> --mode auto 1
```
1
& lt;cluster_id& gt;를 클러스터 ID로 바꿉니다.

9.10. 클러스터 및 사용자 생성을 위한 명령 빠른 참조

작은 정보

9.10.1. 명령 빠른 참조 목록

첫 번째 클러스터 및 사용자를 이미 생성한 경우 이 목록은 추가 클러스터 및 사용자를 생성할 때 명령 빠른 참조 목록 역할을 할 수 있습니다.

## Configures your AWS account and ensures everything is setup correctly
$ rosa init

## Starts the cluster creation process (~30-40minutes)
$ rosa create cluster --cluster-name=<cluster_name>

## Connect your IDP to your cluster
$ rosa create idp --cluster=<cluster_name> --interactive

## Promotes a user from your IDP to dedicated-admin level
$ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

## Checks if your install is ready (look for State: Ready),
## and provides your Console URL to login to the web console.
$ rosa describe cluster --cluster=<cluster_name>

9.10.2. 추가 리소스

ROSA 배포 워크플로 이해

법적 공지

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Language and Page Formatting Options

ROSA 클래식 클러스터 설치

ROSA(AWS) 클러스터에 Red Hat OpenShift Service 설치, 액세스 및 삭제.

1장. 기본 옵션을 사용하여 STS를 사용하여 ROSA 클러스터 생성

1.1. 기본 클러스터 사양 개요

1.2. AWS 계정 연결 이해

1.3. OpenShift Cluster Manager를 사용하여 빠르게 클러스터 생성

1.3.1. AWS 계정을 Red Hat 조직과 연결

1.3.2. 계정 전체 STS 역할 및 정책 생성

1.3.3. OpenShift Cluster Manager Hybrid Cloud Console을 사용하여 기본 옵션으로 클러스터 생성

1.4. CLI를 사용하여 빠르게 클러스터 생성

1.5. 다음 단계

1.6. 추가 리소스

2장. 사용자 정의를 사용하여 STS를 사용하여 ROSA 클러스터 생성

2.1. 자동 및 수동 배포 모드 이해

2.1.1. OpenShift Cluster Manager를 사용하여 Operator 역할 및 OIDC 공급자 생성

2.2. AWS 계정 연결 이해

2.3. IAM 역할 및 정책에 대한 ARN 경로 사용자 정의

2.4. STS를 사용하는 ROSA 클러스터에 대한 지원 고려 사항

2.5. 사용자 정의를 사용하여 클러스터 생성

2.5.1. OpenShift Cluster Manager를 사용하여 사용자 지정으로 클러스터 생성

2.5.2. CLI를 사용하여 사용자 지정으로 클러스터 생성

2.6. 다음 단계

2.7. 추가 리소스

3장. 대화형 클러스터 생성 모드 참조

3.1. 대화형 OCM 및 사용자 역할 생성 모드 옵션

3.2. 대화형 클러스터 생성 모드 옵션

3.3. 추가 리소스

4장. ROSA에서 AWS PrivateLink 클러스터 생성

4.1. AWS PrivateLink 이해

4.2. AWS PrivateLink 클러스터 사용 요구사항

4.3. AWS PrivateLink 클러스터 생성

4.4. AWS PrivateLink DNS 전달 구성

4.5. 다음 단계

4.6. 추가 리소스

5장. ROSA 클러스터에 액세스

5.1. 빠르게 클러스터에 액세스

5.2. IDP 계정으로 클러스터에 액세스

5.3. cluster-admin 액세스 권한 부여

5.4. dedicated-admin 액세스 권한 부여

5.5. 추가 리소스

6장. STS에 대한 ID 공급자 구성

6.1. ID 공급자 이해

6.1.1. 지원되는 ID 공급자

6.1.2. ID 공급자 매개변수

6.2. GitHub ID 공급자 구성

6.3. GitLab ID 공급자 구성

6.4. Google ID 공급자 구성

6.5. LDAP ID 공급자 구성

6.6. OpenID ID 공급자 구성

6.7. htpasswd ID 공급자 구성

6.8. 추가 리소스

7장. ROSA 클러스터에 대한 액세스 해지

7.1. rosa CLI를 사용하여 관리자 액세스 취소

7.1.1. rosa CLI를 사용하여 전용 관리자 액세스 취소

7.1.2. rosa CLI를 사용하여 cluster-admin 액세스 취소

7.2. OpenShift Cluster Manager 콘솔을 사용하여 관리자 액세스 해지

8장. ROSA 클러스터 삭제

8.1. 사전 요구 사항

8.2. ROSA 클러스터 및 클러스터별 IAM 리소스 삭제

8.3. 계정 전체 IAM 리소스 삭제

8.3.1. 계정 전체 IAM 역할 및 정책 삭제

8.3.2. OpenShift Cluster Manager 및 사용자 IAM 역할 연결 해제 및 삭제

8.4. 추가 리소스

9장. AWS STS 없이 ROSA 배포

9.1. ROSA의 AWS 사전 요구 사항

9.1.1. 배포 사전 요구 사항

9.1.2. 고객 요구 사항

9.1.2.1. 계정

9.1.2.2. 액세스 요구 사항

9.1.2.3. 지원 요구사항

9.1.2.4. 보안 요구사항

9.1.3. 필요한 고객 절차

9.1.3.1. SCP(서비스 제어 정책)에 대한 최소 유효 권한 세트

9.1.4. AWS에 대한 Red Hat 관리 IAM 참조

9.1.4.1. IAM 정책

9.1.4.2. IAM 사용자

9.1.5. 프로비저닝된 AWS 인프라

9.1.5.1. EC2 인스턴스

9.1.5.2. AWS EBS(Elastic Block Store) 스토리지

5.3. `cluster-admin` 액세스 권한 부여

5.4. `dedicated-admin` 액세스 권한 부여

7.1. `rosa` CLI를 사용하여 관리자 액세스 취소

7.1.1. `rosa` CLI를 사용하여 `전용 관리자` 액세스 취소

7.1.2. `rosa` CLI를 사용하여 `cluster-admin` 액세스 취소

9.8.1. `rosa` CLI를 사용하여 `전용 관리자` 액세스 취소

9.8.2. `rosa` CLI를 사용하여 `cluster-admin` 액세스 취소