red hat openshift container platform - doc.cloud.global ... · fujitsu cloud service k5 iaas - red...
TRANSCRIPT
J2UL-2344-05Z0(00)
FUJITSU Cloud Service K5 IaaS
Red Hat
OpenShift Container Platform
スタートガイド
3.0版
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
2
目次
本書をお読みになる前に ...................................................................................................... 5
概要 ....................................................................................................................... 12 1.
1.1 Red Hat OpenShift Container Platformとは ............................................................ 12
1.1.1 主な機能 ....................................................................................................... 12
1.1.2 アーキテクチャー ........................................................................................... 13
1.1.3 システム要件 ................................................................................................. 14
1.2 コンテナアプリケーションプラットフォーム .............................................................. 15
1.2.1 システム構成 ................................................................................................. 15
1.2.2 システム構築の流れ ........................................................................................ 17
コンテナアプリケーションプラットフォームの構築 ........................................................... 18 2.
2.1 想定システム構成 ................................................................................................. 18
2.2 リソースの作成 .................................................................................................... 20
2.2.1 ネットワーク環境の構築 ................................................................................... 21
2.2.1.1 仮想ネットワークおよびサブネットの作成 ......................................................... 21
2.2.1.2 仮想ルータの作成......................................................................................... 29
2.2.1.3 外部ネットワークと仮想ルータの接続 ............................................................... 32
2.2.1.4 仮想ルータとサブネットの接続 ....................................................................... 35
2.2.2 セキュリティグループ ..................................................................................... 39
2.2.2.1 通信を許可するポート ................................................................................... 40
2.2.2.2 セキュリティグループの作成 .......................................................................... 42
2.2.2.3 セキュリティグループのルール作成 .................................................................. 46
2.2.3 ファイアーウォール作成 ................................................................................... 51
2.2.3.1 ファイアーウォール設定手順 .......................................................................... 51
2.2.3.2 ファイアーウォールルールの作成 .................................................................... 52
2.2.3.3 ファイアーウォールポリシーの作成およびルールの登録 ........................................ 56
2.2.3.4 ファイアーウォールの作成 ............................................................................. 63
2.2.4 SSL-VPN接続 .................................................................................................. 68
2.2.4.1 VPNサービスの作成 ..................................................................................... 68
2.2.4.2 SSL-VPN接続の作成 .................................................................................... 72
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
3
2.2.4.3 VPNクライアントの設定 ............................................................................... 79
2.2.5 仮想サーバ作成 .............................................................................................. 82
2.2.5.1 キーペアの作成 ........................................................................................... 82
2.2.5.2 イメージ一覧の確認 ...................................................................................... 85
2.2.5.3 仮想サーバの作成......................................................................................... 87
2.2.5.4 仮想サーバへの接続(ログイン) ........................................................................ 96
2.2.5.5 仮想サーバ作成後の設定 ............................................................................... 100
2.3 コンテナアプリケーションプラットフォームのセットアップ ......................................... 106
2.3.1 ロードバランサーの作成 .................................................................................. 106
2.3.2 仮想サーバ間のネットワーク設定 ...................................................................... 116
2.3.2.1 Master サーバの公開鍵作成 ........................................................................... 116
2.3.2.2 全サーバの公開鍵設定 .................................................................................. 117
2.3.2.3 サーバ間の名前解決 ..................................................................................... 118
2.3.2.4 Master サーバから全サーバへの接続確認 ......................................................... 118
2.3.3 セットアップ用スクリプトの作成 ...................................................................... 120
2.3.4 セットアップ ................................................................................................ 127
2.3.5 セットアップの確認 ....................................................................................... 129
コンテナアプリケーションプラットフォーム構築後の設定 ................................................. 131 3.
3.1 Nodeサーバの追加 ............................................................................................. 131
3.1.1 仮想サーバの作成 .......................................................................................... 131
3.1.2 仮想サーバ間のネットワーク設定 ...................................................................... 131
3.1.2.1 Master サーバの公開鍵確認 ........................................................................... 131
3.1.2.2 追加するNode サーバの公開鍵設定 ................................................................. 132
3.1.2.3 サーバ間の名前解決 ..................................................................................... 132
3.1.2.4 Master サーバから追加するNodeサーバへの接続確認 ........................................ 133
3.1.3 Nodeサーバ追加のセットアップ .......................................................................... 134
3.1.3.1 セットアップ用スクリプトの編集 ................................................................... 134
3.1.3.2 セットアップ ............................................................................................. 135
3.1.3.3 セットアップの確認 ..................................................................................... 136
3.2 内部レジストリの永続化 ....................................................................................... 137
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
4
3.2.1 ストレージの準備 .......................................................................................... 138
3.2.2 PersistentVolume、および PersistentVolumeClaimの作成 ...................................... 138
3.2.3 registry podのストレージ永続化 ......................................................................... 138
3.3 修正適用 ........................................................................................................... 139
3.3.1 概要 ........................................................................................................... 139
3.3.2 適用手順 ...................................................................................................... 141
3.3.2.1 事前準備 ................................................................................................... 141
3.3.2.2 errata の適用 ............................................................................................. 141
3.3.2.3 適用後の操作 ............................................................................................. 144
3.4 バックアップ/リストア ....................................................................................... 146
修正履歴 ....................................................................................................................... 147
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
5
本書をお読みになる前に
本書をお読みになる前に
本書の目的 本書は FUJITSU Cloud Service K5 IaaS上で Red Hat OpenShift Container Platformを利用するため
の環境構築手順を示したものです。
本書は、以下の製品を対象に説明しています。
Red Hat OpenShift Container Platform 3.11
Red Hat OpenShift Container Platform 3.9
Red Hat OpenShift Container Platform 3.6
本書の読者 本書は FUJITSU Cloud Service K5 IaaS上で Red Hat OpenShift Container Platformをご利用になる
方を対象としております。本書のご利用にあたり、基本的な K5の操作方法、ネットワークの知識を有し
ていることを前提としております。ご了承ください。
本書の構成 章 内容
1 概要 Red Hat OpenShift Container Platformの製品概要について説明
しています。
2 コンテナアプリケーションプラ
ットフォームの構築
コンテナアプリケーションプラットフォームの構築手順について説
明しています。
3 コンテナアプリケーションプラ
ットフォーム構築後の設定
コンテナアプリケーションプラットフォームの構築後、運用・保守
で必要となる作業について説明しています。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
6
本書をお読みになる前に
製品表記 本文中の製品名称を、次のように略して表記します。
製品名称 本文中の表記
Red Hat OpenShift Container Platform 3.n *1 RHOCP3
Red Hat Enterprise Linux 7.n (for Intel64) *1 RHEL7
FUJITSU Cloud Service K5 K5
FUJITSU Cloud Service K5 IaaS K5 IaaS
Red Hat Satellite Satellite
*1:"n"にはマイナーリリースを示す数字が入ります。
本文中の記号
本文中では、次の記号を使用しています。
使用上の注意点や、してはいけないことを説明しています。必ずお読みください。
理解を助けるための補足情報などを説明しています。必要に応じてお読みください。
『』 関連したマニュアルを示しています。
任意のアルファベットまたは数字を次のように表記します。
A この文字列が表記されている箇所には、任意のアルファベットが表示されることを意味
します。
N この文字列が表記されている箇所には、0-9の数字が表示されることを意味します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
7
本書をお読みになる前に
コマンド入力
本文中では、コマンド入力を次のように表記しています。
ユーザー可変(ユーザー環境により異なる)文字列
次のように<>で括って表記します。
# e2label <device 名> <ラベル名>
追加/変更対象文字列
次のように、太字で表記します。
NETWORKING=yes
HOSTNAME=<ホスト名>
...
VLAN=yes
説明を有する文字列
次のように、文字列に下線を引き、枠外に説明文を記述しています。
# mount LABEL=/backlabel /backup
下線部分はラベル名です
コマンド実行ユーザー
次のように、コマンドプロンプトとして # と記述しているコマンドは、サーバの管理者アカウントで実
施します。
# ssh-keygen
一般的な管理者アカウントである rootユーザーへの切り替えは以下のコマンドで実施します。
$ sudo su -
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
8
本書をお読みになる前に
関連ドキュメント 目的・用途に合わせて、以下の関連ドキュメントもお読みください。
参照箇所の章、節の番号は変更される場合があります。
Red Hat 社から公開されているドキュメント
OpenShiftおよび RHELに関して、多岐に渡るドキュメントが公開されていますので、構築時だけでな
く、運用時にも参照する必要があります。
以下の URLより参照してください。
https://access.redhat.com/documentation/
ドキュメント名称
概要 本書での表記
OpenShift Container Platform 3.n
Installing Clusters
RHOCP3 のインストールについて
説明しています。 『Installing Clusters』
OpenShift Container Platform 3.n
Configuring Clusters
RHOCP3 の環境設定について説明
しています。 『Configuring Clusters』
OpenShift Container Platform 3.n
Installation and Configuration
RHOCP3 の環境構築について説明
しています。
『Installation and
Configuration』
OpenShift Container Platform 3.n
Developer Guide
RHOCP3の利用者(コンテナアプリ
ケーション開発者)としての各種操
作について説明しています。
『Developer Guide』
OpenShift Container Platform 3.n
Cluster Administration
RHOCP3 のクラスタ管理方法につ
いて説明しています。 『Cluster Administration』
OpenShift Container Platform 3.n
Day Two Operations Guide
RHOCP3 のクラスタ管理における
日常的な保守作業について説明し
ています。
『Day Two Operations
Guide』
Red Hat Enterprise Linux 7
Storage Administration Guide
RHEL7 のストレージ管理について
説明しています。
『Storage Administration
Guide』
Red Hat Enterprise Linux 7
Logical Volume Manager
Administration
RHEL7 の論理ボリューム管理につ
いて説明しています。
『Logical Volume Manager
Administration』
Red Hat Satellite 6.n
Installation Guide
Satellite 6の構築について説明して
います。
『Satellite6
Installation Guide』
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
9
本書をお読みになる前に
SupportDesk-Webサイトで公開されているドキュメント
RHOCPおよび RHELに関するソフトウェア説明書、制限事項/注意事項が公開されています。
以下の URLより参照してください。
http://eservice.fujitsu.com/supportdesk/
ドキュメント名称 概要 本書での表記
Red Hat OpenShift Container
Platform 3ソフトウェア説明書
RHOCP3 の利用方法を説明してい
ます。
『RHOCP3
ソフトウェア説明書』
Red Hat OpenfShift Container
Platform 3制限事項/注意事項
RHOCP3 を利用するうえでの制限
事項や注意事項について説明して
います。
『RHOCP3
制限事項/注意事項』
Red Hat Enterprise Linux 7
ソフトウェア説明書
RHEL7 の概要と対象機種をご使用
になるうえで確認していただきた
い情報を説明しています。
『RHEL7
ソフトウェア説明書』
Red Hat Enterprise Linux 7
Linuxユーザーズマニュアル
RHEL7 の設計・導入・運用・保守
に関する情報、および参考になる
情報について説明しています。
『RHEL7
ユーザーズマニュアル』
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
10
本書をお読みになる前に
K5 サイトで公開されている IaaS関連のドキュメント
K5 IaaSに関するドキュメントが公開されています。
以下の URLより参照してください。
https://k5-doc.jp-east-
1.paas.cloud.global.fujitsu.com/doc/jp/iaas/document/list/doclist_iaas.html
ドキュメント名称 概要 本書での表記
IaaS機能説明書 K5 IaaS で提供されている機能を
説明しています。 『IaaS機能説明書』(注)
IaaSサービスポータル
ユーザーズガイド
K5 IaaS ポータルの操作方法を説
明しています。
『IaaSサービスポータル
ユーザーズガイド』
IaaS APIユーザーズガイド K5 IaaSの API操作の手順を説明し
ています。
『IaaS API
ユーザーズガイド』(注)
IaaS制限事項・注意事項 K5 IaaSの制限事項や注意事項につ
いて説明しています。 『IaaS制限事項・注意事項』
IaaS FAQ IaaSに関するよくある質問と回答を
まとめています。 『IaaS FAQ』
Red Hat Satellite用設定情報 Satelliteサーバの設定情報について
説明しています。
『Red Hat Satellite用
設定情報』
FUJITSU Cloud Service K5 IaaS
設計・構築ガイド
~構成サンプルから理解する K5
とシステム設計時のポイント~
K5 IaaS利用時のシステム設計を行
う際に必要となるサービスの特徴や
留意事項を説明しています。
『設計・構築ガイド』
注:本書の説明では、PDF版の章・節番号で参照先を示しています。
オンラインマニュアル(manコマンド)
manコマンドは、マニュアルを参照するコマンドです。
IaaSサービスポータルについて 本ドキュメントでは、FUJITSU Cloud Service K5 IaaSの操作を、ブラウザアプリケーションである
IaaSサービスポータルを用いて行っています。IaaSサービスポータルの共通操作については、『IaaS
サービスポータルユーザーズガイド』の「第 3章 共通操作 」を参照してください。
また、IaaSサービスポータル画面の項目のうち、項目名右側に「*」(アスタリスク)がある項目は、入力必
須です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
11
本書をお読みになる前に
輸出管理規制について
本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出管理関連法規
等の規制をご確認のうえ、必要な手続きをおとりください。
商標
Red Hat、Red Hat Enterprise Linux、OpenShiftは米国およびその他の国において登録された Red
Hat, Inc.の商標です。
Linux®は米国及びその他の国における Linus Torvaldsの登録商標です。
Intelは、アメリカ合衆国およびその他の国における Intel Corporationの商標または登録商標です。
Microsoft、Windowsおよびその他のマイクロソフト製品の名称および製品名は、米国 Microsoft
Corporationの米国およびその他の国における登録商標または商標です。
その他の各製品名は、各社の商標、または登録商標です。その他の各製品は、各社の著作物です。
なお、本書に掲載されているシステム名、製品名などには、必ずしも商標表示(TMまたは®)を付記してお
りません。
Copyright FUJITSU LIMITED 2018
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
12
1.1 Red Hat OpenShift Container Platformとは
概要 1.
Red Hat OpenShift Container Platformの製品概要と FUJITSU Cloud Service K5 IaaSを用いて構築
するコンテナアプリケーションプラットフォームについて説明します。
1.1 Red Hat OpenShift Container Platformとは
Red Hat OpenShift Container Platform(以降、RHOCP)は、Red Hat Enterprise Linux、Docker、
Kubernetesをベースに、エンタープライズ用途で必要となる認証、ビルド、アクセス制御等を強化した
コンテナ運用管理製品です。
アプリケーション開発環境の構築やシステム管理の多くが自動化されるため、ビジネスが求めるアプリケ
ーション・サービスを迅速かつ安全に提供することが可能になります。
1.1.1 主な機能
RHOCPが提供する主な機能には、以下のものがあります。
コンテナオーケストレーション
ユーザー管理、認証、SDN、コマンドラインツール、Webコンソール等の機能を利用してコンテナの
運用管理が可能
自動アプリケーション提供フロー
アプリケーション提供までのビルド、配備等を自動化し、開発ライフサイクルの短縮が可能
マルチテナント
テナント毎のリソース分離とアクセス制御が可能
自動スケーリング
アプリケーションへの負荷の増減に対して自動でリソース割り当て可能
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
13
1.1 Red Hat OpenShift Container Platformとは
1.1.2 アーキテクチャー
RHOCPで構築するコンテナアプリケーションプラットフォームは、Nodeを管理する Master、コンテナ
レジストリや Nodeへのルーティングなどを行う Infra、コンテナを動作させる複数の Nodeで構成され
ます。
各 Nodeには、1つまたは複数のコンテナで構成される podと呼ばれる単位でコンテナが配備されおり、
Masterによってコンテナ配備や状況監視などの管理が pod単位に行われます。
図 1-1 RHOCPのアーキテクチャー
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
14
1.1 Red Hat OpenShift Container Platformとは
1.1.3 システム要件
RHOCPのシステム要件を説明します。コンテナアプリケーションプラットフォームの設計・構築・運用
を行う際には、このシステム要件に従ってください。
サーバの要件
a) CPU/メモリ
RHOCPが動作するサーバでは、以下の CPU(vCPU)数、メモリ量を必要とします。
Masterサーバ : 4CPU, 16GB RAM以上
Infraサーバ : 1CPU, 8GB RAM以上
Nodeサーバ : 1CPU, 8GB RAM以上
b) ディスク要件
RHOCPをインストールするには、boot、root、Dockerサービスごとのパーティション領域のために、
70GB以上のディスクを用意する必要があります。各パーティションのディスクサイズは以下のとおりで
す。
boot用のパーティション : 1GB
root用のパーティション : 54GB
Dockerサービス用のパーティション : 15GB
ソフトウェア要件
RHOCPでは、同梱する RHELのほか、インストーラ(Ansible)、コアコンポ―ネント(Docker、
Kubernetes)などのパッケージ版数が規定されており、この組合せでお使いになることが必要です。
このパッケージの組み合わせ条件については、以下をご確認ください。
「OpenShift Container Platform Tested Integrations」(Red Hat社)
https://access.redhat.com/articles/2176281
ライフサイクル
RHOCPは、Red Hat社の製品ライフサイクルに従って機能追加や修正提供が行われます。製品ライフサ
イクルについては、以下をご確認ください。
「Red Hat OpenShift Container Platform Life Cycle Policy」(Red Hat社)
https://access.redhat.com/support/policy/updates/openshift
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
15
1.2 コンテナアプリケーションプラットフォーム
1.2 コンテナアプリケーションプラットフォーム
FUJITSU Cloud Service K5 IaaS(以降、K5 IaaS)では、コンテナアプリケーションプラットフォームを
構築するために必要なパッケージがインストールされた RHOCPイメージを提供します。
この RHOCPイメージを用いて本書に記載した手順を実施することで、コンテナアプリケーションプラッ
トフォームを容易に構築することができます。
1.2.1 システム構成
業務運用にコンテナアプリケーションプラットフォームをお使いになるお客様を想定し、標準構成を決め
ました。冗長化や負荷分散などによる堅牢なシステムを構築することで、安定稼働が実現できます。また、
PoC(Proof of Concept)で課題抽出や対応策の検討を行うように、必ずしも堅牢性を必要としないシステ
ムでは、冗長化や負荷分散を省いて最小構成のシステムを構築することも可能です。業務運用にお使いに
なる堅牢なシステム構成を「標準構成」、PoCなどにお使いになる堅牢性を省き安価に構築できるシステ
ムを「最小構成」として説明します。
a) 標準構成
図 1-2 システム構成図 (標準構成)
システムの安定稼動のため、Masterサーバは 3台の冗長構成とする。
Nodeサーバは負荷分散が可能な最小数である2台が必要となる。
Nodeサーバを管理する Masterサーバは、ロードバランサーで負荷分散する。
Node サーバへのルーティングを行う Infra サーバは 2 台の冗長構成とし、ロードバランサーで負荷
分散する。
Nodeサーバは必要に応じて増設が可能。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
16
1.2 コンテナアプリケーションプラットフォーム
b) 最小構成
図 1-3 システム構成図 (最小構成)
Nodeサーバはコンテナの配備検証が可能な最小数である2台必要となる。
インフラ機能(コンテナレジストリとノードへのルーティング)は Masterサーバ上に実装する。
Nodeサーバは必要に応じて増設可能。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
17
1.2 コンテナアプリケーションプラットフォーム
1.2.2 システム構築の流れ
IaaSサービスポータルを利用してリソースを作成し、そのリソースを基にコンテナアプリケーションプ
ラットフォームを構築します。システム構築における各作業は以下のとおりです。
a) リソースの作成
ネットワーク環境の構築
セキュリティグループの作成
ファイアーウォールの作成
SSL-VPNの接続
仮想サーバの作成
b) コンテナアプリケーションプラットフォームの構築
ロードバランサーの作成
仮想サーバ間ネットワークの作成
セットアップ用スクリプトの作成
セットアップ
セットアップの確認
コンテナアプリケーションプラットフォームで利用するロードバランサーは、IaaSサービ
スポータルが提供するロードバランサー、または、お客様が用意したロードバランサーを
利用することができます。本書では、IaaSサービスポータルが提供するロードバランサー
機能を利用した、構築手順を 2章で説明します。ご利用のリージョンごとにロードバラン
サーの作成方法が異なりますので、ご利用のリージョンをお確かめの上、ロードバランサ
ーを作成してください。
RHOCPでコンテナアプリケーションプラットフォームを構築する際の制限事項および注
意事項を『RHOCP 制限事項/注意事項』に記載しております。
システム構築を行う前に、必ずお読みくださいますようお願いいたします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
18
2.1 想定システム構成
コンテナアプリケーションプラットフォームの構築 2.
コンテナアプリケーションプラットフォームを構築する手順について説明します。
2.1 想定システム構成
本章で構築する「標準構成」のシステム構成の概念を図 2-1に示します。「最小構成」としてお使いにな
る場合は、図中のダークグレーのリソースのみで構築することが可能です。また本書の説明では、「最小
構成」として省略する手順を網掛けで示しています。
図 2-1 システム構成例
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
19
2.1 想定システム構成
コンテナアプリケーションプラットフォームで利用するロードバランサーは、IaaSサービ
スポータルが提供するロードバランサー、または、お客様が用意したロードバランサーを
利用することができます。本書では、IaaSサービスポータルが提供するロードバランサー
機能を利用した、構築手順を 2章で説明します。ご利用のリージョンごとにロードバラン
サーの作成方法が異なりますので、ご利用のリージョンをお確かめの上、ロードバランサ
ーを作成してください。
東日本リージョン 3/西日本リージョン 3をご利用の場合、ロードバランサーの作成手順
が異なります。ロードバランサーの作成手順は、『IaaSサービスポータルユーザーズガイ
ド』の「第 19章 ロードバランサー(東日本第 3/西日本第 3)」を参照してください。
なお、ロードバランサーの作成時に、ロードバランサーのセキュリティグループも自動的
に作成されるため、ロードバランサーのセキュリティグループの作成は不要です。
本書の説明手順で使う仮想サーバとロードバランサーの FQDNを表 2-1に示します。
表 2-1 FQDNの設定例 (標準構成)
FQDN
FQDN
Master1 サーバ <master1.example.com> ロードバランサー
(Master 用) <lbmaster.example.com>
Master2 サーバ <master2.example.com>
Master3 サーバ <master3.example.com> ロードバランサー
(Infra-http 用) <lbinfrahttp.example.com>
Infra1 サーバ <infra1.example.com>
Infra2 サーバ <infra2.example.com> ロードバランサー
(Infra-https 用) <lbinfrahttps.example.com>
Node1 サーバ <node1.example.com>
Node2 サーバ <node2.example.com>
ロードバランサーの FQDNは、K5 IaaSのロードバランサーサービスにより、ユニークな
FQDNが自動生成されます。詳細は、『IaaS機能説明書』の「5.8 ロードバランサー」を
参照してください。
お客様が構築を行う箇所は図 2-1破線枠内の「プロジェクト」です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
20
2.2 リソースの作成
2.2 リソースの作成
コンテナアプリケーションプラットフォームを構成する仮想ネットワークや仮想サーバなどのリソースを
IaaSサービスポータルで作成します。インターネットに公開しない仮想サーバに SSL-VPN接続を用いて
ログインするまでの手順を説明します。
図 2-2 IaaSサービスポータルで作成するシステム構成
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
21
2.2 リソースの作成
2.2.1 ネットワーク環境の構築
仮想サーバなどのリソースを配備するため、プロジェクト内に仮想ネットワークを作成します。
以下のドキュメントを確認の上、操作してください。
表 2-2 参照ドキュメント
ドキュメント 該当箇所
『IaaS機能説明書』 「5.1.1 ネットワーク管理」
「5.1.2 サブネット管理」
「5.1.4 仮想ルータ機能」
2.2.1.1 仮想ネットワークおよびサブネットの作成
仮想ネットワークおよびサブネットを作成します。
図 2-3 仮想ネットワークおよびサブネットの作成
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
22
2.2 リソースの作成
ネットワークに関する制限は、『IaaS機能説明書』の「A.1 制限値」ページ内の「ネッ
トワークに関する制限値」-「表 233 : ネットワークに関する制限値一覧」を参照してく
ださい。
以下の手順で作成します。
1. [仮想ネットワーク作成]画面を表示させます。
図 2-4 [仮想ネットワーク一覧]画面
a. IaaSサービスポータルのサイドバーから「ネットワーク」-「仮想ネットワーク」をクリック
します。
b. [仮想ネットワーク一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
「inf_az1_ext_net01」や「inf_az2_ext_net01」などのネットワークは外部ネットワー
クです。外部ネットワークは、あらかじめアベイラビリティゾーン(以下、AZ)ごとに複数
用意されています。利用者は作成できません。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
23
2.2 リソースの作成
2. [仮想ネットワーク作成]画面が表示されます。仮想ネットワークの設定を行います。
図 2-5 [仮想ネットワーク作成]画面
a. 仮想ネットワークを設定します。設定内容は表 2-3を参照してください。
b. [次へ]ボタンをクリックします。
表 2-3 [仮想ネットワーク]設定項目
No 項目 説明 本書の設定値
1 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
AZ については、『IaaS 機能説明書』の
「1.2.2 アベイラビリティゾーン」を参照
してください。
jp-west-2a AZ
2 仮想ネットワー
ク名
任意の名称を 1-255 バイト以内で入力し
ます。
使用可能な文字については、『IaaS 機能説
明書』の「A.21 命名時に使用可能な文
字」を参照してください。
Test-Network
3 管理状態 「Up/Down」を選択します。 Up
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
24
2.2 リソースの作成
3. サブネット作成の設定を行います。
図 2-6 [サブネット作成]画面
a. サブネットを設定します。設定内容は表 2-4を参照してください。
b. [次へ]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
25
2.2 リソースの作成
表 2-4 [サブネット]設定項目
No 項目 説明 本書での設定値
1 サブネット作成 「あり/なし」を選択します。 あり
2 サブネット名 任意の名称を 1-255バイト以内で入力します。
使用可能な文字については、『IaaS機能説明
書』の「A.21命名時に使用可能な文字」を参照
してください。
Test-Subnet
3 仮想ネットワー
クアドレス
CIDR形式で記入します。
作成したサブネットに対して
SSL-VPNで接続する場合は、ネットワークアド
レスのマスク値を「16bit~29bit」の範囲内で指
定する必要があります。
以下のプライベート IPアドレスの範囲内で、
CIDR表記で指定してください。
クラス A : 10.0.0.0~10.255.255.255
クラス B : 172.16.0.0~172.31.255.255
クラス C : 192.168.0.0~192.168.255.255
192.168.0.0/24
4 仮想ネットワー
ク ID
自動で設定されます。 -
5 ゲートウェイ 「あり/なし」を選択します。 あり
6 ゲートウェイ IP VPNサービスで指定する仮想ルータの IPアドレ
スを指定します。
2.2.1.4の「仮想ルータとサブ
ネットの接続」で作成する仮想ルータのプライ
ベート IPと一致させてください。(表 2-8参照)
192.168.0.1
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
26
2.2 リソースの作成
4. サブネット詳細の設定を行います。
図 2-7 [サブネット詳細設定]画面
a. サブネット詳細を設定します。設定内容は表 2-5を参照してください。
b. [次へ]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
27
2.2 リソースの作成
表 2-5 [サブネット詳細]設定項目
No 項目 説明 本書での設定値
1 DHCP 「有効/無効」を選択します。
必ず「有効」にしてくださ
い。「無効」にした場合、ゲートウェイアド
レスやスタティックルーティングの情報を
DHCPで取得できません。
有効
2 IPアドレス割
当プール
DHCPで仮想サーバに割り当てる IPアドレス
の範囲を指定します。
192.168.0.2-
192.168.0.100
3 DNSサーバ K5 共通ネットワークサービスから使用するリ
ージョン・AZに該当する DNSサーバの IPア
ドレスを設定します。
IaaSサービスポータルでは、
仮想ネットワーク作成後、DNSサーバの追加
はできません。
DNSサーバ(リージョン・AZ
ごとの DNSサーバの IPアドレス)は、『IaaS
機能説明書』の「A.4 共通ネットワークサー
ビス」ページ内の「DNSサーバ」を参照して
ください。複数の DNS サーバを設定する場合
は「追加」をクリックして登録します。
133.162.145.9
133.162.145.10
4 追加ルート設定 複数のルートを設定する場合は「追加」をク
リックします。
CIDR形式の宛先(Destination)と、その宛先
へ接続するルータの IPアドレス(Nexthop)を
設定します。
-
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
28
2.2 リソースの作成
5. これまでの設定内容を確認します。問題が無ければ[作成]ボタンをクリックします。
図 2-8 [確認]画面 例
6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-9 仮想ネットワーク作成完了の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
29
2.2 リソースの作成
仮想ネットワークとサブネットが作成できました。作成した仮想ネットワークの状態が「ACTIVE」
であることを確認してください。
図 2-10 仮想ネットワークおよびサブネットの作成結果の画面
2.2.1.2 仮想ルータの作成
外部ネットワークと仮想ネットワーク、または複数の仮想ネットワークを接続するための仮想ルータを作
成します。
図 2-11仮想ルータの作成
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
30
2.2 リソースの作成
以下の手順で作成します。
1. [仮想ルータ作成]画面を表示させます。
図 2-12 [仮想ルータ一覧]画面
a. IaaS サービスポータルのサイドバーから「ネットワーク」-「仮想ルータ」をクリックします。
b. [仮想ルータ一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
[仮想ルータ作成]画面が表示されます。
2. 仮想ルータを作成します。
図 2-13 [仮想ルータ作成]画面
a. 仮想ルータを設定します。設定内容は表 2-6を参照してください。
b. [作成]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
31
2.2 リソースの作成
表 2-6 [仮想ルータ]設定項目
No 項目 説明
本書での設定値
1 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
jp-west-2a AZ
2 仮想ルータ名 任意の名称を 1-255バイト以内で入力しま
す。
使用可能な文字については、『IaaS機能説
明書』の「A.21命名時に使用可能な文字」
を参照してください。
Test-Router
3. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-14 仮想ルータ作成依頼受付の画面
仮想ルータが作成できました。作成した仮想ルータの状態が「ACTIVE」であることを確認してください。
図 2-15 仮想ルータ作成結果の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
32
2.2 リソースの作成
2.2.1.3 外部ネットワークと仮想ルータの接続
仮想サーバからのインターネットアクセス、サービスのインターネット公開、共通ネットワークサービス
の利用(Satelliteサーバ、DNSなど)などを行うために、仮想サーバの外部ネットワークアクセスが必
要になります。このため、仮想サーバを接続するサブネットのゲートウェイになる仮想ルータを外部ネッ
トワークに接続します。
図 2-16外部ネットワークと仮想ルータの接続
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
33
2.2 リソースの作成
以下の手順で外部ネットワークと仮想ルータの接続を行います。
1. [仮想ルータ一覧]画面において、作成した仮想ルータの行の[アクション]-[ゲートウェイ設定]をク
リックします。
図 2-17 [仮想ルータ一覧]画面
2. [ゲートウェイ設定]画面が表示されます。
図 2-18 [ゲートウェイ設定]画面
a. ゲートウェイを設定します。設定内容は、表 2-7を参照ください。
b. [設定]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
34
2.2 リソースの作成
表 2-7 [ゲートウェイ設定]設定項目
No 項目 説明 本書での設定値
1 外部仮想ネット
ワーク
接続したい外部ネットワークを選択します。
「inf_az1_ext_net01」や
「inf_az2_ext_net01」などのネットワ
ークは外部ネットワークです。外部ネッ
トワークは、あらかじめ AZごとに複数用
意されています。
外部ネットワークは利用者が作成するこ
とはできません。
外部ネットワークの IP アドレスは、K5
が提供するアドレスプールから自動で割
り当てられます。割り当てられるグロー
バル IP アドレスの範囲を指定や任意のグ
ローバル IP アドレスを指定して取得する
ことはできません。
inf_az1_ext-net04
3. 以下の画面が表示されます。[設定]ボタンをクリックします。
図 2-19 ゲートウェイ設定確認の画面
外部ネットワークと仮想ルータを接続できました。対象の仮想ルータに、指定した外部仮想ネットワーク
が設定されていることを確認してください。
図 2-20 外部ネットワークと仮想ルータの接続完了後の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
35
2.2 リソースの作成
2.2.1.4 仮想ルータとサブネットの接続
仮想ルータへ K5 IaaS上の既存のサブネットを接続させます。
図 2-21 仮想ルータとサブネットの接続
以下の手順で作成します。
1. [仮想ルータ一覧]画面を表示させます。
図 2-22 [仮想ルータ一覧]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
36
2.2 リソースの作成
a. IaaS サービスポータルのサイドバーから「ネットワーク」-「仮想ルータ」をクリックします。
b. [仮想ルータ一覧]画面が表示されます。作成した仮想ルータ名をクリックします。
2. [仮想ルータ詳細]画面が表示されます。[インターフェース]欄の作成ボタン([+])をクリックします。
図 2-23 [仮想ルータ詳細]画面
3. [インターフェース追加]画面が表示されます。インターフェースを設定します。
図 2-24 [インターフェース追加]画面
a. インターフェース追加の設定を行います。設定内容は表 2-8を参照してください。
b. [追加]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
37
2.2 リソースの作成
表 2-8 [インターフェース追加]設定項目
No 項目 説明 本書での設定値
1 サブネット 接続したいサブネットを選択します。 Test-Subnet
2 IPアドレス サブネット作成時に指定したゲートウェイ
IPと同じ値を入力します。 (表 2-4参照)
192.168.0.1
「サブネットのゲートウェイ IP」と仮想ルータのインターフェースの「(プラ
イベート)IP アドレス」が一致していないと SSL-VPN 接続ができません。また、
SSL-VPNサービスを作成した後で、これら IPアドレスを一致させても SSL-
VPN接続ができない場合があります。その場合は、SSL-VPNサービスやルー
タの作り直しなどが発生しますのでご注意ください。必ず、SSL-VPNサービス
作成よりも先に、「サブネットのゲートウェイ IP」と仮想ルータのインターフ
ェースの「 (プライベート) IPアドレス」と一致させてください。
4. 以下の画面が表示されます。[追加]ボタンをクリックします。
図 2-25 インターフェース追加確認の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
38
2.2 リソースの作成
仮想ルータとサブネットが接続できました。仮想ルータのインターフェースにエントリが追加され、指定
した IPアドレスがプライベート IPとして表示されていることを確認してください。
図 2-26 仮想ルータとサブネットの接続完了の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
39
2.2 リソースの作成
2.2.2 セキュリティグループ
仮想サーバに接続されたポートには通信を遮断するデフォルトのセキュリティグループが自動的に設定さ
れています。そこで、必要に応じて新たにセキュリティグループを作成し、通信を許可するルールを設定
します。
セキュリティグループを用いると、仮想サーバに接続されたポートに対してパケットフィルタリングを行
うため、ルール設定をグルーピングして定義および設定することができます。
セキュリティグループには複数のルールを設定でき、1つのポートに設定されたセキュリティグループの
うち、どれか 1 つでもルールにマッチしたパケットは通信が許可され、それ以外の通信は遮断されます。
表 2-9 参照ドキュメント
ドキュメント 参照箇所
『IaaS機能説明書』 「5.1.3 セキュリティグループ機能」
『IaaS FAQ』 「セキュリティグループとファイアーウォールの違いについて
教えてください。」
『設計・構築ガイド』 実装作業(3) セキュリティグループ参考:セキュリティグル
ープとファイアーウォールの概略
参考:セキュリティグループとファイアーウォールの違い
参考:セキュリティグループとファイアーウォールの機能配
置
セキュリティグループ数、セキュリティグループに設定可能なルール数に関する制限は、
『IaaS機能説明書』の「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表
233 : ネットワークに関する制限値一覧」を参照してください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
40
2.2 リソースの作成
2.2.2.1 通信を許可するポート
コンテナアプリケーションプラットフォームを構築するために、仮想サーバに接続されたポートでのアク
セスを許可する必要があります。アクセスを許可するポートは次の通りです。
a) コンテナアプリケーションプラットフォームを構成する仮想サーバへのアクセス
Master/Infra/Nodeサーバと通信する際に使用するポート
ロードバランサーと通信する際に使用するポート
b) コンテナアプリケーションプラットフォームを運用するために必要なサーバへのアクセス
Satelliteサーバと通信する際に使用するポート
DNSサーバと通信する際に使用するポート
c) クライアント端末から仮想サーバへアクセス
SSL-VPN接続のネットワークアドレスから通信する際に使用するポート
アクセスを許可するポートを次のセキュリティグループに設定します。
a) 標準構成の場合
Masterサーバ
Infra/Nodeサーバ
ロードバランサー(Master用)
ロードバランサー(Infra-http用)
ロードバランサー(Infra-https用)
b) 最小構成の場合
Masterサーバ
Nodeサーバ
ポート番号の詳細は以下のとおりです。
a) Master/Infra/Nodeサーバと通信する際に使用するポート
以下のドキュメントを参照してください。
[RHOCP3.11の場合]
RHOCP3『Installing Clusters』の 2.2.2.3. Required Ports
[RHOCP3.9または RHOCP3.6の場合]
RHOCP3『Installation and Configuration』の 2.2.2.2.3. Required Ports
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
41
2.2 リソースの作成
Infraサーバで使用するポートは、Nodeサーバで使用するポートと同じです。また、最小構成のシ
ステムを構築する場合、Masterサーバで使用するポートに、Nodeサーバで使用するポートを追加
してください。
b) ロードバランサーと通信する際に使用するポート
表 2-10に使用するポートを示します。
c) Satelliteサーバと通信する際に使用するポート
『IaaS機能説明書』の「A.4 共通ネットワークサービス」ページ内の「Red Hat Satelliteサーバ」
を参照してください。
d) DNSサーバと通信する際に使用するポート
『IaaS機能説明書』の「A.4 共通ネットワークサービス」ページ内の「DNSサーバ」を参照してく
ださい。
e) SSL-VPN接続のネットワークアドレスから通信する際に使用するポート
SSHを利用して各サーバに接続するために TCP 22番ポートを許可してください。
表 2-10 ロードバランサーが使用するポート
ロードバランサー種別 From To
ロードバランサー
(Master用)
any:8443 ロードバランサー:8443
ロードバランサー:8443 Masterサーバ:8443
ロードバランサー
(Infra-http用)
any:80 ロードバランサー:80
ロードバランサー:80 Infraサーバ:80
ロードバランサー
(Infra-https用)
any:443 ロードバランサー:443
ロードバランサー:443 Infraサーバ:443
any は Masterサーバ、Nodeサーバ、Infraサーバ、および外部ネットワークと読み
替えることができます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
42
2.2 リソースの作成
2.2.2.2 セキュリティグループの作成
通信を許可するルールを設定するため、次のセキュリティグループを作成します。
a) 標準構成の場合
Masterサーバ
Infra/Nodeサーバ
ロードバランサー(Master用)
ロードバランサー(Infra-http用)
ロードバランサー(Infra-https用)
b) 最小構成の場合
Masterサーバ
Nodeサーバ
図 2-27セキュリティグループの作成
東日本リージョン 3/西日本リージョン 3をご利用の場合、ロードバランサーの作成時
にロードバランサーのセキュリティグループは自動的に作成されます。そのため、ロー
ドバランサーのセキュリティグループの作成は不要です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
43
2.2 リソースの作成
以下の手順で作成します。
1. [セキュリティグループ作成]画面を表示させます。
図 2-28 [セキュリティグループ一覧]画面
a. IaaSサービスポータルのサイドバーから「ネットワーク」-「セキュリティグループ」をクリ
ックします。
b. [セキュリティグループ一覧]画面が表示されます。右上の([+])をクリックします。
2. [セキュリティグループ作成]画面が表示されます。作成するセキュリティグループの設定を行います。
図 2-29 [セキュリティグループ詳細設定]画面
a. セキュリティグループを作成します。設定内容は表 2-11を参照してください。
b. [次へ]ボタンをクリックします。
[確認]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
44
2.2 リソースの作成
表 2-11 [セキュリティグループ作成]設定項目
No 項目 説明 本書での設定値
1 セキュリティグ
ループ名
任意の名称を 1-255 バイト以内で入力しま
す。
使用可能な文字については、『IaaS 機能説明
書』の「A.21 命名時に使用可能な文字」を参
照してください。
Test-Securitygroup
2 説明 セキュリティグループの使用目的などの説明
事項を、1-255 バイト以内で入力してくださ
い(任意)。
-
3. 内容を確認し、問題なければ[作成]ボタンをクリックします。
図 2-30 [セキュリティグループ作成確認]画面
4. 以下の画面が表示されます。[OK]ボタンをクリックします。
図 2-31 セキュリティグループ作成完了の画面
[セキュリティグループ一覧]画面に戻ります。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
45
2.2 リソースの作成
5. 作成したセキュリティグループ情報を確認します。
[セキュリティグループ一覧]画面で、詳細を確認したいセキュリティグループ名をクリックします。
図 2-32 [セキュリティグループ一覧]画面
6. [セキュリティグループ詳細]画面が表示されます。内容を確認します。
[セキュリティグループ詳細]画面には、「セキュリティグループ詳細」と「適用ルール」が表示され
ます。「セキュリティグループ詳細」では、セキュリティグループ ID、「適用ルール」では、デフ
ォルトで作成される適用ルール(表 2-13参照)が設定されていることを確認します。
図 2-33 [セキュリティグループ詳細]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
46
2.2 リソースの作成
2.2.2.3 セキュリティグループのルール作成
セキュリティグループのルールを作成します。
図 2-34セキュリティグループのルール作成
以下の手順で作成します。
1. セキュリティグループの[ルール管理]画面を表示させます。
i. [セキュリティグループ一覧]画面を表示させます。
ii. ルール管理を行うセキュリティグループ名の欄の右端にある[アクション]-[ルール管理]をクリ
ックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
47
2.2 リソースの作成
図 2-35 [セキュリティグループ一覧]画面 ルール管理
[セキュリティグループ ルール管理]画面が表示されます。
2. [ルールの追加]ボタンをクリックします。
図 2-36 [ルール管理]画面
[ルールの追加]画面が表示されます。
3. SSL-VPN接続のネットワークアドレスから仮想サーバへのアクセスを許可するために、以下のセキ
ュリティグループルールを設定します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
48
2.2 リソースの作成
図 2-37 [ルールの追加]画面
a. セキュリティグループルールを追加します。設定内容は表 2-12を参照してください。
b. [追加]ボタンをクリックします。
表 2-12 [ルールの追加]設定項目
No 項目 説明 本書での設定値
1 ルール プロトコルを選択します。 SSH
2 接続先 「CIDR/セキュリティグループ」を選択しま
す。
CIDR
3 CIDR 送信元の IP アドレスを CIDR 形式で入力し
ます。
特定の IPアドレスを入力する場合は
「xxx.xxx.xxx.xxx/32」の形式で入力しま
す。
「SSL-VPN 接続の作成」で
設定した「SSL-VPN 接続のクライアント IP
プール(CIDR)」の値を入力します。
192.168.246.0/24
SSH や DNS などを[ルール]欄で選択し画面項目に[方向]欄が表示されていない場合、
通信の方向はすべて「ingress」で設定されます。
[ルール]欄で指定する内容により、[ルールの追加]画面の項目が変化します。
a
b
a
b
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
49
2.2 リソースの作成
図 2-38 [ルールの追加]画面
4. 以下の画面が表示されます。[OK]ボタンをクリックします。
図 2-39 セキュリティグループルール追加確認の画面
[セキュリティグループ ルール管理]画面に戻ります。
5. 設定したセキュリティグループのルールが追加されているか確認します。
以下の設定例では、SSH のルールとして TCP の 22 番ポートを許可するルールが追加されています。
図 2-40 [ルールの追加]画面 設定後の表示例
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
50
2.2 リソースの作成
表 2-13は、セキュリティグループの新規作成時にデフォルトで作成されるルールで
す。セキュリティを高めたい場合はこのルールをセキュリティグループから削除し、
個別にルールの追加を行ってください。
表 2-13 セキュリティグループのルール(新規作成時)
方向 IPバージョン プロトコル種別 ポート範囲
Egress
(アウトバウンド)
IPv6 すべて すべて
Egress
(アウトバウンド)
IPv4 すべて すべて
仮想サーバはキーペア等のメタデータを K5 内部の特別なサーバから取得しています。
仮想サーバから仮想ルータを経由して「http://169.254.169.254」との通信ができ
るように、セキュリティグループとルーティングを設定する必要があります。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
51
2.2 リソースの作成
2.2.3 ファイアーウォール作成
K5 IaaSではファイアーウォールは細かな設定をすることが出来ますが、本節では構築に必要となるル
ールの作成方法を扱っています。実際の導入および運用に関しましてはお客様のセキュリティポリシーを
踏まえ設定してください。
詳細は、以下を参照してください。
表 2-14 参照ドキュメント
ドキュメント 参照箇所
『IaaS機能説明書』 「5.6.1 ファイアーウォールサービス」
『設計・構築ガイド』 実装作業(4) 仮想ルータ参考:セキュリティグループと
ファイアーウォールの概略
参考:セキュリティグループとファイアーウォールの違
い
参考:セキュリティグループとファイアーウォールの機
能配置
『IaaS サービスポータルユーザ
ーズガイド』
「第 17章 ファイアーウォール」
『IaaS APIユーザーズガイド』 「3.4 ファイアーウォール作成」
2.2.3.1 ファイアーウォール設定手順
ファイアーウォールの設定は次の要素から構成されます。
1. ファイアーウォールルールの作成
2. ファイアーウォールポリシーを作成し、ルール群を登録
3. ポリシーを指定してファイアーウォールを作成し、仮想ルータに関連付け
上記のとおり順番にフィルタリング情報を構成していき、ファイアーウォールを仮想ルータに関連付ける
ことで、設定したフィルタリングが行われるようにします。
デフォルトではすべてのトラフィックを遮断するようになっています。(ホワイトリスト形式)
許可ルール(AC=allow)によって定義されたトラフィックのみファイアーウォールを通過します。
自プロジェクト以外のファイアーウォールポリシー、またはルールが設定されたファイ
アーウォールは利用者自身での削除ができなくなり、K5基盤の管理者による削除が必要
になります。ファイアーウォールおよびそのポリシー/ルールは必ず RHOCPを構築する
対象のプロジェクト内で作成してください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
52
2.2 リソースの作成
2.2.3.2 ファイアーウォールルールの作成
ファイアーウォールルールを作成します。
図 2-41ファイアーウォールルールの作成
ファイアーウォール数、ルール数、ポリシー数に関する制限は、『IaaS機能説明書』の
「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表 233 : ネットワークに
関する制限値一覧」を参照してください。
実際の導入に際しては、所属する組織等のセキュリティポリシーに必ず従い、ルールの
作成を行ってください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
53
2.2 リソースの作成
以下の手順で作成します。
1. [ファイアーウォールルール作成]画面を表示させます。
i. [ファイアーウォール一覧]画面を表示させます。
図 2-42 [ファイアーウォール一覧]画面
a. IaaS サービスポータルのサイドバーから「ネットワーク」-「ファイアーウォール」をク
リックします。
b. 画面右上の[ルール一覧]ボタンをクリックします。
ii. [ファイアーウォールルール一覧]画面が表示されます。画面右上の作成ボタン([+])をクリック
します。
図 2-43 [ファイアーウォールルール一覧]画面
[ファイアーウォールルール作成]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
54
2.2 リソースの作成
2. ファイアーウォールルールを作成します。
図 2-44 [ファイアーウォールルール作成 ルール詳細]画面
a. ファイアーウォールルールを作成します。設定内容は表 2-15を参照してください。
b. [次へ]ボタンをクリックします。[確認]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
55
2.2 リソースの作成
表 2-15 [ファイアーウォールルール作成]設定項目
No 項目 説明 本書での設定値
1 ルール名 任意の名称を 255バイト以内で入力します。
使用可能な文字については、『IaaS 機能説明
書』の「A.21 命名時に使用可能な文字」を参
照してください。
Test-firewallRule
2 有効 「true/false」を選択します。 true
3 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
jp-west-2a
4 allow/deny 許可ルール(allow)を作成するのか、拒否ルー
ル(deny)を作成するのか選択します。
allow
5 プロトコル 「TCP/UDP/ICMP/null」を選択します。 tcp
6 送信元 IP アドレ
ス
使用可能な IPv4 アドレス(CIDR 指定可)を入
力します。
何も入力しない場合は 0.0.0.0/0 が設定され
ます(不可視)
192.168.246.0/24
7 送信元ポート 「1-65535」(半角数字)または「開始:終
了」(範囲指定)で入力します。
何も入力しない場合は「1-65535(全ポー
ト)」が設定されます(不可視)
-
8 宛先 IPアドレス 使用可能な IPv4 アドレス(CIDR 指定可)を入
力します。
何も入力しない場合は 0.0.0.0/0 が設定され
ます(不可視)
192.168.0.0/24
9 宛先ポート 「1-65535」(半角数字)または「開始:終
了」(範囲指定)で入力します。
何も入力しない場合は「1-65535(全ポー
ト)」が設定されます(不可視)
22
10 説明 1024バイト以内で入力します。(任意) -
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
56
2.2 リソースの作成
3. 設定内容を確認し、問題なければ[作成]ボタンをクリックします。
図 2-45 [ファイアーウォールルール作成 確認]画面
4. 以下の画面が表示されます。[OK]ボタンをクリックします。
図 2-46 ファイアーウォールルール作成完了の画面
2.2.3.3 ファイアーウォールポリシーの作成およびルールの登録
ファイアーウォールポリシーの作成およびルールの登録を行います。
複数のファイアーウォールルールのリストを、ファイアーウォールポリシーとして定義します。 優先順
位に従いリスト内のルールが順次検証され、通信の可否を制御します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
57
2.2 リソースの作成
図 2-47 ファイアーウォールポリシーの作成およびルールの登録
ポリシー内で自動的に「DENY ALL」ルールが最後尾に追加されます。これにより、許
可ルールの定義されないトラフィックはデフォルトで遮断されます。(ホワイトリスト方
式) この自動的に追加される「DENY ALL」ルールは暗黙ルールとなっており、ポリシー
の作成画面や編集画面には表示されません。
ファイアーウォール数、ルール数、ポリシー数に関する制限は、『IaaS機能説明書』の
「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表 233 : ネットワークに
関する制限値一覧」を参照してください。
以下の手順で作成します。
1. [ファイアーウォール一覧]画面を表示させます。
2. [ファイアーウォール一覧]画面の画面右上の[ポリシー一覧]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
58
2.2 リソースの作成
図 2-48 [ファイアーウォール一覧]画面
[ファイアーウォールポリシー一覧]画面が表示されます。
3. 画面右上の作成ボタン([+])をクリックします。
図 2-49 [ファイアーウォールポリシー一覧]画面
[ファイアーウォールポリシー作成]画面が表示されます。
4. ファイアーウォールポリシーの作成およびルールの登録を行います。
図 2-50 [ファイアーウォールポリシー作成 ポリシー詳細]画面
a. ファイアーウォールポリシーを作成します。設定内容は表 2-16を参照してください。
b. [次へ]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
59
2.2 リソースの作成
表 2-16 [ファイアーウォールポリシー作成]設定項目
No 項目 説明 本書での設定
1 ポリシー名 任意の名称を 255バイト以内で入力します。
使用可能な文字については、『IaaS 機能説明
書』の「A.21 命名時に使用可能な文字」を参
照してください。
Test-policy
2 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
jp-west-2a
3 ルール名 [設定]ボタンをクリックすると、[ファイアー
ウォールルールの選択]画面が表示されます。
(
図 2-51参照)
適用するルール名をチェックしてください。
SSH(22)と
SSL(443)を許可す
るルールを選択しま
す。
4 説明 1024バイト以内で入力してください。 -
図 2-51 [ファイアーウォールルールの選択]画面
ファイアーウォールルールにおいて送信元や宛先の IPアドレスやポート番号
が未設定の場合、送信元 IP[ポート]欄や宛先 IP[ポート]欄には「(any)」が表
示されます。
5. 以下の画面が表示されます。[作成]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
60
2.2 リソースの作成
図 2-52 [ファイアーウォールポリシー作成 確認]画面
6. 以下の画面が表示されます。[OK]ボタンをクリックします。
図 2-53 ファイアーウォールポリシー作成完了の画面
ファイアーウォールポリシーの作成およびルールの登録が完了しました。
7. 必要に応じてファイアーウォールルールの並び替えを行います。以下はファイアーウォールポリシ
ー作成後にファイアーウォールルールの並び替えを行う手順です。
ファイアーウォールポリシーに登録したルールは通信に対して上から順番にルールの
検証を行います。
i. [ファイアーウォールポリシー一覧]画面を表示させます。該当するファイアーウォールポリシ
ーの[アクション]ボタン-[編集]をクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
61
2.2 リソースの作成
図 2-54 [ファイアーウォールポリシー一覧]画面
ii. [ファイアーウォールポリシー編集]画面が表示されます。[ルール名]欄にある[並び替え]ボタ
ンをクリックします。
図 2-55 [ファイアーウォールポリシー編集]画面
iii. [ファイアーウォールルールの並び替え]画面が表示されます。変更したい並び順に数字を修正
し、[確定]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
62
2.2 リソースの作成
図 2-56 [ファイアーウォールルールの並び替え]画面
[並び順]欄に表示されている番号が現在の適用順です。
並び順の初期値(整数)は本ポータル上で定義した順序です。ルールの上限
値とは関係ありません。
並び順を 1より優先順位を高く設定したい場合は、マイナスの数値を指定
して並び順を変更することが可能です。[設定可能な値]は-999(高)~
999(低)の整数です。
複数のルールに対して同じ値を設定した場合、これらのルール間の並び替
えは行われません。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
63
2.2 リソースの作成
iv. [ファイアーウォールポリシー編集]画面が再度表示されます。[ルール名]欄に表示された並び
順が変更後の並び順です。内容を確認し、問題なければ、画面右上の更新ボタン( )をクリ
ックします。
図 2-57 [ファイアーウォールポリシー編集]画面
ファイアーウォールルールの並び替えは完了です。
2.2.3.4 ファイアーウォールの作成
ファイアーウォールポリシーを指定してファイアーウォールを作成し、仮想ルータを関連づけます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
64
2.2 リソースの作成
図 2-58 ファイアーウォールの作成
ファイアーウォール数、ルール数、ポリシー数に関する制限は、『IaaS機能説明書』の
「A.1 制限値」ページ内の「ネットワークに関する制限値」-「表 233 : ネットワークに
関する制限値一覧」を参照してください。
以下の手順で作成します。
1. [ファイアーウォール作成]画面を表示させます。
i. IaaSサービスポータルのサイドバーから「ネットワーク」-「ファイアーウォール」をクリッ
クします。
ii. [ファイアーウォール一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
図 2-59 [ファイアーウォール一覧]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
65
2.2 リソースの作成
2. [ファイアーウォール作成]画面が表示されます。
図 2-60 [ファイアーウォール作成]画面
a. ファイアーウォールを作成します。設定内容は表 2-17を参照してください。
b. [次へ]ボタンをクリックします。
[確認]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
66
2.2 リソースの作成
表 2-17 [ファイアーウォール作成]設定項目
No 項目 説明 本書での設定値
1 ファイアーウォ
ール名
任意の名称を 255バイト以内で入力します。
使用可能な文字については、『IaaS 機能説明
書』の「A.21 命名時に使用可能な文字」を参
照してください。
Test-FW
2 管理状態 「true(up)/false(down)」を選択します。 true(up)
3 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
jp-west-2a
4 ポリシー名 [設定]ボタンをクリックすると、[ファイアー
ウォールポリシーの選択]画面が表示されま
す。(図 2-61参照)
ファイアーウォールを関連づけるポリシー名
をチェックし、[設定]ボタンをクリックして
ください。
Test-policy
5 仮想ルータ名 [設定]ボタンをクリックすると、[仮想ルータ
の選択]画面が表示されます。(図 2-62参照)
適用する仮想ルータ名をチェックし、[設定]
ボタンをクリックしてください。
Test-Router
6 説明 1024バイト以内で入力します(任意)。 -
[ファイアーウォールポリシーの選択]画面
図 2-61 [ファイアーウォールポリシーの選択]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
67
2.2 リソースの作成
[仮想ルータの選択]画面
図 2-62 [仮想ルータの選択]画面
3. 設定内容を確認し、問題なければ[作成]ボタンをクリックします。
図 2-63 [ファイアーウォール作成 確認]画面
4. 以下の画面が表示されます。[OK]ボタンをクリックします。
図 2-64 ファイアーウォール作成確認画面
ファイアーウォールポリシーの作成およびルールの登録が完了しました。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
68
2.2 リソースの作成
2.2.4 SSL-VPN接続
K5上に構築した環境へ安全に接続するため SSL-VPN接続を行います。SSL-VPN接続を行うことでク
ライアント端末から安全に K5上の仮想サーバへアクセスし、操作することが可能です。
以下の手順で SSL-VPN接続(V2サービス/K5クライアント証明書利用)の設定をします。
詳細は、『IaaS機能説明書』の「5.5 VPN (SSL-VPN)」を参照してください。
SSL-VPNに関する一般的な説明は、「SSL-VPN入門(富士通公開サイト)」(*1)を参照してください。
*1 : 以下の URLより参照してください。
http://www.fujitsu.com/jp/products/network/security-bandwidth-control-load-
balancer/ipcom/material/data/2/1.html
SSL-VPN接続機能を利用せずに仮想サーバに直接ログインする場合は、この手順は必要
ありません。
K5 IaaSには SSL-VPN接続機能だけでなく、IPsec VPN機能もあります。オンプレミス
環境との接続、またはリージョン間のシステム接続の際にご利用可能です。
自己署名証明書を利用する場合は、以下を参照してください。
『IaaS機能説明書』の「A.11 SSL-VPN接続を利用した仮想サーバ OSへの接続」
『IaaS APIユーザーズガイド』の「3.5.2.6 VPNクライアントとの接続設定(V2サ
ービス/自己署名証明書利用)」
2.2.4.1 VPNサービスの作成
VPNサービスを作成する前に、以下の「ネットワークの構築」に関する操作を行ってください。
仮想ネットワークおよびサブネットの作成
仮想ルータの作成
外部ネットワークと仮想ルータの接続
仮想ルータとサブネットの接続
VPNサービスを作成する前に、以下の点を確認してください。確認できない場合は、2.2
リソースの作成からやり直してください。
「サブネットのゲートウェイ IP」と仮想ルータのインターフェースの「(プライベー
ト)IPアドレス」が一致していることを確認してください。詳細は、『IaaSサービス
ポータルユーザーズガイド』の「第 21章 VPNサービス(SSL-VPN)」を参照してくだ
さい。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
69
2.2 リソースの作成
作成したサブネットにおいて、ネットワークアドレスのマスク値が「16bit~29bit」の
範囲内で指定してあることを確認してください。
仮想ルータに VPNサービスを設定します。
図 2-65 VPNサービスの作成
1つの仮想ルータにつき、作成できる VPNサービスは 1つだけです。複数のサブネット
に対して SSL-VPN 接続を行う場合は、仮想ルータおよび SSL-VPN 機能(VPN サービス、
SSL-VPN接続)をサブネットごとに作成してください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
70
2.2 リソースの作成
以下の手順で作成します。
1. [VPNサービス作成]画面を表示させます。
図 2-66 [VPNサービス一覧]画面
a. IaaSサービスポータルのサイドバーから「ネットワーク」-「VPNサービス」をクリックし
ます。
b. [VPNサービス一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
2. [VPNサービス作成]画面が表示されます。
図 2-67 [VPNサービス作成]画面
a. VPNサービスを作成します。設定内容は表 2-18を参照してください。
b. [作成]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
71
2.2 リソースの作成
表 2-18 [VPNサービス作成]設定項目
No 項目 説明 本書での設定値
1 AZ リソースを作成する AZを選択します。
例: リージョンごとの AZ名
西日本 2の AZ1:jp-west-2a
西日本 2の AZ2:jp-west-2b
AZ 選択後、対応する仮想ルータの選択が可能
になります。
事前に準備した仮想ルータ作成
時に指定した AZ を必ず選択してください。誤
った AZ を選択すると、適切な仮想ルータが表
示されません。
jp-west-2a AZ
2 仮想ルータ名 上記項目で選択した AZ において利用可能な仮
想ルータが表示されるので選択します。
仮想ルータ選択後、サブネット名の指定が可能
になります。
Test-Router
3 サブネット名 利用可能なサブネットが表示されるので選択し
ます。
Test-Subnet
4 VPN サービス
名
任意の名称を 1-255 バイト以内で入力します。
使用可能な文字については、『IaaS 機能説明
書』の「A.21命名時に使用可能な文字」を参照
してください。
Test-Vpn
5 説明 VPN サービスについての説明事項を入力してく
ださい。(任意)
-
6 管理状態 「true/false」を選択できます。初期値:true true
2. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-68 VPNサービス作成依頼受付の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
72
2.2 リソースの作成
3. VPNサービスの作成が完了しているか確認します。VPNサービスの作成完了後、[VPNサービス一
覧]画面に作成した VPNサービスが表示されます。作成した VPNサービスの状態が
「PENDING_CREATE」になっていることを確認してください。
図 2-69 VPNサービス作成後の画面
2.2.4.2 SSL-VPN接続の作成
SSL-VPN接続を作成します。
図 2-70 SSL-VPN接続の作成
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
73
2.2 リソースの作成
ネットワークに関する制限は、『IaaS機能説明書』の「A.1 制限値」ページ内の「ネット
ワークに関する制限値」-「表 233 : ネットワークに関する制限値一覧」を参照してくだ
さい。
以下の手順で作成します。
1. [VPNサービス詳細]画面を表示させます。
[VPNサービス一覧]画面において、接続作成したい VPNサービス名をクリックします。
図 2-71 [VPNサービス一覧]画面
2. [VPNサービス詳細]画面が表示されます。[VPNサービス詳細]画面下部の[SSL-VPN接続]欄の右
側にある作成ボタン([+])をクリックします。
図 2-72 [VPNサービス詳細]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
74
2.2 リソースの作成
3. [SSL-VPN接続作成]画面が表示されます。
図 2-73 [SSL-VPN接続作成]画面
a. SSL-VPN接続を作成します。設定内容は表 2-19を参照してください。
b. [次へ]ボタンをクリックします。
表 2-19 [SSL-VPN接続作成]設定項目
No 項目 説明 本書での設定値
1 SSL-VPN 接続
名
任意の名称を 1-255バイト以内で入力します。 Test-SSL-VPN
2 プロトコル 「TCP/UDP」を選択できます。初期値:TCP TCP
3 管理状態 「true/false」を選択できます。初期値:true true
4 証明書 使用する証明書を選択します。
K5 証明書以外の証明書を使用
する場合は、事前に API で証明書を登録してく
ださい。
K5証明書
(デフォルト)
5 セキュリティグ
ループ
使用するセキュリティグループにチェックを入
れます。
何もチェックしない場合は、
SSL-VPN 接続用に全ての通信が許可されたセ
キュリティグループが自動的に作成されます。
セキュリティグループは 6 個まで指定できま
す。
-
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
75
2.2 リソースの作成
4. アクセスポイントを設定します。
図 2-74 [SSL-VPN接続作成 アクセスポイント設定]画面
a. アクセスポイントの設定を行います。設定内容は表 2-20を参照してください。
b. [次へ]ボタンをクリックします。
表 2-20 [SSL-VPN接続作成 アクセスポイント]設定項目
No 項目 説明 本書での設定値
1 グローバル IP 使用するグローバル IP アドレスを選択しま
す。
自動割当
2 クライアント IP
プール
SSL-VPN クライアントに割り当てる IP アド
レスの範囲を CIDR形式で設定します。
クライアント IP プールのネットワークア
ドレス(CIDR 形式)のプレフィックス長は
16~29ビットを指定してください。
K5 で使用しているネットワークアドレス
やクライアント PC が接続しているローカ
ルネットワークアドレスと競合しないネッ
トワークアドレスを指定してください。
「192.168.122.0/24」は利用できませ
ん。『IaaS 制限事項・注意事項』の「注
意事項 2-80」を参照してください。
192.168.246.0/24
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
76
2.2 リソースの作成
5. [確認]画面が表示されます。内容を確認し問題がなければ、[作成]ボタンをクリックします。
図 2-75 [SSL-VPN接続作成 確認]画面
6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-76 SSL-VPN接続作成依頼受付の画面
以上で SSL-VPN接続の作成作業は完了です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
77
2.2 リソースの作成
7. SSL-VPN接続の状態を確認します。
i. 作成直後は SSL-VPN接続の状態は「PENDING_CREATE」です。
SSL-VPN接続作成後、SSL-VPN接続の状態が「PENDING_CREATE」から
「ACTIVE」になるまでに 10分程度かかります(待機時間は場合によって変化
します)。
図 2-77 [VPNサービス詳細]画面 SSL-VPN接続の状態
ii. 1分程度待機した後、画面右上の更新ボタン( )をクリックします。作成した SSL-VPN接続
の状態が「ACTIVE」になっていることを確認します。
図 2-78 [VPNサービス詳細]画面 SSL-VPN接続 ACTIVE状態
「VPNクライアントの設定」時に使用するため、SSL-VPN接続のグローバル
IPアドレスを控えておいてください。
8. VPNサービスの状態を確認します。
[VPNサービス一覧]画面を表示させます。
画面右上の更新ボタン( )をクリックし、作成した VPNサービスの状態が「ACTIVE」になるこ
とを確認します。
SSL-VPN接続の状態が「ACTIVE」になるまで、VPNサービスの接続状態は、
「PENDING_CREATE」のままです。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
78
2.2 リソースの作成
図 2-79 [VPNサービス一覧]画面 VPNサービス ACTIVE状態
本書の手順で SSL-VPN 接続を作成した場合、以下の設定が自動的に追加されます。
スタティックルーティング
SSL-VPN接続用に SSL-VPN接続に設定したクライアント IPプールのルーテ
ィング設定が仮想ルータに追加されます。
グローバル IPアドレス
SSL-VPN接続に割り当てられるグローバル IPアドレスが払い出されます。(グ
ローバル IPを「自動割当」に設定したため)
セキュリティグループ
SSL-VPN接続用に全ての通信許可が設定されたセキュリティグループが作成
されます。(セキュリティグループ設定時にセキュリティグループを指定しなか
ったため)
SSL-VPN接続のセキュリティグループのルールを変更する場合、以下の許可
ルールが含まれるよう、注意してください。
表 2-21 SSL-VPN接続のセキュリティグループにに必要な許可ルール
本書の手順で SSL-VPN接続を作成した場合、SSL-VPNコネクションへのアクセス
を許可するファイアーウォールルール(443/TCP または 1194/UDP)が自動的に追
加されます。「送信元 IPアドレス」は「省略」と設定され、すべての IPアドレス
からの通信が許可されますので、必要に応じて「送信元 IPアドレス」を指定してく
ださい。
方向 通信相手 プロトコル種別 開始ポート番号 終了ポート番号
インバウンド
(Ingress)
SSL-VPN クラ
イアント
tcpまたは udp 443または 1194 開始ポート番
号と同じ値
アウトバウン
ド(Egress)
仮想サーバ(接
続先サーバ)
SSL-VPN コネク
ション通過後の通
信プロトコル
SSL-VPN コネク
ション通過後の通
信ポート番号
開始ポート番
号と同じ値
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
79
2.2 リソースの作成
2.2.4.3 VPNクライアントの設定
VPNクライアントの設定を行います。
図 2-80 VPNクライアントの設定
Windows環境のクライアント PCから OpenVPNを使用して、SSL-VPN接続(K5クライアント証明書
利用)を行う場合の手順について説明します。
東日本リージョン 3/西日本リージョン 3をご利用の場合、VPNクライアントの設定に
OpenVPNは使用できません。SSL-VPNクライアントを使用してください。SSL-VPNク
ライアントの設定手順は、『IaaS機能説明書』の以下の記事を参照してください。
1. 「A.9.3 SSL-VPNクライアントのセットアップ(Windows編)」
2. 「A.9.4 SSL-VPNクライアントのダウンロード(Windows編)」
3. 「A.9.5 SSL-VPNクライアントからの接続・切断(Windows編)」
以下は、証明書の形式変換に OpenSSL1.1.0を使用する場合のWindows7における手順の例です。
以下の手順で作成します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
80
2.2 リソースの作成
1. 『IaaS APIユーザーズガイド』の「3.5.1.3 VPNクライアントとの接続設定(V2サービス/K5クラ
イアント証明書利用)」を参照し、以下を作成してください。
i. CA証明書(例:ca.crt)
ii. クライアント証明書(例:client.crt)
iii. クライアント秘密鍵(例:client.key)
2. 『IaaS機能説明書』の「A.9.1 OpenVPNクライアントのセットアップ(Windows編)」を参照
し、OpenVPNクライアントをセットアップします。
3. OpenVPNクライアントから SSL-VPNに接続します。
i. 「OpenVPN GUI アイコン」を右クリックし、[管理者として実行]を選択し、OpenVPNクラ
イアントを管理者権限で起動します。
図 2-81 [OpenVPN GUI アイコン]画面
ii. OpenVPNクライアント起動後、PC端末の起動タスクトレイ上に OpenVPNアイコンが表示さ
れます。タスクトレイ上の OpenVPNアイコンを右クリックし、[接続]メニューをクリックし
ます。
図 2-82 [タスクトレイ OpenVPN icon 参考]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
81
2.2 リソースの作成
iii. SSL-VPNリソースへの接続が成功すると、タスクトレイのアイコンがグリーンに切り替わりま
す。
SSL-VPNクライアント PCから仮想サーバのプライベート IPアドレスを指定することで接続
が可能となります。
図 2-83 [OpenVPN icon 参考]画面
iv. アイコンにカーソルをホバーするとクライアント PCに割り当てられた IPが表示されます。
(例:192.168.246.6)
参考: SSL-VPN接続を切断したい場合は、タスクトレイ上の OpenVPNアイコンを右クリックし、[切
断]をクリックします。タスクトレイ上の OpenVPNアイコンがグレーに切り替わると切断完了で
す。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
82
2.2 リソースの作成
2.2.5 仮想サーバ作成
コンテナアプリケーションプラットフォームを構成するmasterサーバ、infraサーバ、nodeサーバに使
う仮想サーバを作成します。仮想サーバは、1.1.3 システム要件に適合した仮想サーバタイプを選んで作
成します。ここでは仮想サーバを作成し、クライアント PC(Windows)からリモート接続を試みるまでを
説明します。
なお、利用中の仮想サーバは不要になった時点でいつでも削除できますので、ご利用シーンにあわせて作
成、削除を行ってください。
2.2.5.1 キーペアの作成
仮想サーバへのログイン時に使用するキーペア(*.pem)を作成します(SSHログイン認証時にキーペアを
使用します)。
図 2-84キーペアの作成
仮想サーバ作成時に登録済みキーペアを指定する必要があるため、仮想サーバ作成前にキ
ーペアの作成・登録を行います。
キーペアは AZごとに作成します。また、キーペアはユーザーに関連づけられます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
83
2.2 リソースの作成
キーペアを作成するユーザーと、仮想サーバを作成するユーザーは同一ユーザーであ
る必要があります。
以下の手順で作成します。
1. [キーペア作成]画面を表示させます。
図 2-85 [キーペア一覧]画面
a. IaaSサービスポータルのサイドバーから「コンピュート」-「キーペア」をクリックします。
b. [キーペア一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
[キーペア作成]画面が表示されます。
2. キーペアを作成します。
図 2-86 [キーペア作成]画面
a. キーペアを作成します。設定内容は表 2-22を参照してください。
b. [次へ]ボタンをクリックします。
[確認]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
84
2.2 リソースの作成
表 2-22 [キーペア作成]設定項目
No 項目 説明 本書での設定値
1 キーペア名 任意の名前を設定します。半角英数字・アン
ダースコア・ハイフン、255 文字以内で入力
してください。
キーペア名には空白文字を含
めないでください。空白文字を含むキーペア
名を指定した場合、ログインできない仮想サ
ーバが作成されます。
Test-Keypair
2 作成先 AZ 仮想サーバを作成するネットワークがある AZ
を選択します。
jp-west-2a
3. 内容を確認し、[作成]ボタンをクリックします。
図 2-87 [キーペア作成 確認]画面
4. 以下の画面が表示されます。[OK]ボタンをクリックすると、ダウンロードが開始されます。
図 2-88 秘密鍵ダウンロード開始の画面
SSH認証用の秘密鍵(.pem)のファイルがダウンロードされます(例 Test-Keypair.pem)。
ダウンロードした秘密鍵は厳重に保管してください。
秘密鍵を紛失すると、そのキーペアを割り当てた仮想サーバにログインできません。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
85
2.2 リソースの作成
新たなキーペアを既存の仮想サーバに割り当てることはできないため、仮想サーバ
の再構築が必要となります(作成済のキーペアの秘密鍵を再度ダウンロードする方法
もありません)。
5. 作成したキーペアが[キーペア一覧]画面に表示されていることを確認します。
図 2-89 [キーペア一覧 確認]画面
2.2.5.2 イメージ一覧の確認
OS提供サービスで提供している仮想サーバの OSイメージの一覧を確認します。
1. [イメージ一覧]画面を表示させます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
86
2.2 リソースの作成
図 2-90 [イメージ一覧]画面
a. IaaS サービスポータルのサイドバーから「コンピュート」-「イメージ」をクリックします。
b. [イメージ一覧]画面が表示されます。
[イメージ一覧]画面から、利用可能なイメージ一覧とその状態等を確認することができます。
以下のイメージが表示されていることを確認してください。
[RHOCP3.11でシステムを構築する場合]
Red Hat OpenShift (Master) 3.11 64bit (English) 01
Red Hat OpenShift (Node) 3.11 64bit (English) 01
[RHOCP3.9でシステムを構築する場合]
Red Hat OpenShift (Master) 3.9 64bit (English) 01
Red Hat OpenShift (Node) 3.9 64bit (English) 01
[RHOCP3.6でシステムを構築する場合]
Red Hat OpenShift (Master) 3.6 64bit (English) 01
Red Hat OpenShift (Node) 3.6 64bit (English) 01
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
87
2.2 リソースの作成
2.2.5.3 仮想サーバの作成
コンテナアプリケーションプラットフォームを構成するmasterサーバ、infraサーバ、nodeサーバに
使う仮想サーバを作成し、仮想ネットワークに配備します。
仮想サーバを作成する前に、仮想サーバが接続する仮想ネットワークを作成しておく必要
があります。
SSL-VPNで接続する仮想サーバを作成する場合は以下の内容を確認した上で、仮想サー
バを作成してください。
仮想サーバを接続する仮想ネットワークのサブネットの設定で、DHCPが有効にな
っていること
仮想サーバを接続する仮想ネットワークのサブネットの設定で、「サブネットのゲ
ートウェイ IP」と仮想ルータのインターフェースの「(プライベート)IPアドレス」
が一致していること
仮想サーバのポートに適用するセキュリティグループにおいて、以下の通信許可が
設定されていること
表 2-23 通信許可設定
方向 IPバージョン プロトコル種別 ポート範囲 宛先
egress
(アウトバウンド)
IPv4 TCP 80 169.254.169.254/32
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
88
2.2 リソースの作成
図 2-91 仮想サーバの作成
masterサーバ、infraサーバ、nodeサーバとして使う仮想サーバごとに以下の手順を繰り返して作成し
ます。
1. [仮想サーバ作成]画面を表示させます。
図 2-92 [仮想サーバ一覧]画面
a. IaaS サービスポータルのサイドバーから「コンピュート」-「仮想サーバ」をクリックします。
b. [仮想サーバ一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
[仮想サーバ作成]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
89
2.2 リソースの作成
2. 仮想サーバを作成します。
図 2-93 [仮想サーバ作成]画面
a. 各仮想サーバを作成します。設定内容は表 2-24を参照してください。
b. [次へ]ボタンをクリックします。
[仮想サーバ作成 仮想ネットワーク設定]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
90
2.2 リソースの作成
表 2-24 [仮想サーバ作成]設定項目
No 項目 説明 本書での設定値
1 AZ 接続するネットワーク
が配備されている AZ
を選択します。
jp-west-2a AZ
2.2.1.1 で作成した仮想ネットワーク
が属する AZを選択
2 仮想サーバ名 任意の名前を入力しま
す。
Test-VM1
任意のサーバ名を入力
3 仮想サーバタイプ*1 利用する仮想サーバタ
イプを選びます。
仮想サーバタイプの選
択は、*1を参考にし
て選択します。
Master
サーバ
S-4
4vCPU, 16GB RAM以上の
スペックを選択
Infra
サーバ
M-1
1vCPU, 8GB RAM 以上の
スペックを選択 Node
サーバ
4 仮想サーバのブートソ
ース
利用したいブートソー
スを選択します。
「イメージ」を選択
すると以下の記入欄
が表示されます。
「イメージ」を選択
5 イメージ パブリック/
プライベー
ト
仮想サーバに適用する
イメージを選択しま
す。
「パブリック」を選択
イメージ名 イメージ名を選択しま
す。
イメージ名は、*2から
選択します。
RHOCP 3.6 Masterの場合なら、
「Red Hat OpenShift (Master) 3.6
64bit (English) 01」
6 ディスクサイズ(GB) 仮想サーバに割り当て
るディスクのサイズ
を GB単位で記入し
ます。
Master
サーバ
70
70GB以上を入力*3
Infra
サーバ
Node
サーバ
7 デバイス名 ブロックストレージパ
ス(「/dev/vda」の形
式で指定)を記入しま
す。
/dev/vdc
任意のデバイス名を選択
*1:利用可能な仮想サーバタイプ(フレーバー)の詳細は、
『IaaS機能説明書』の「2.1.1.1仮想サーバの作成/削除」の「仮想サーバタイプ(フレ
ーバー)」でご確認ください。
*2:構築するシステム環境に応じて、以下のイメージを選択してください。
[RHOCP3.11でシステムを構築する場合]
Masterサーバ : 「Red Hat OpenShift (Master) 3.11 64bit (English) 01」
Infraサーバ : 「Red Hat OpenShift (Master) 3.11 64bit (English) 01」
Nodeサーバ : 「Red Hat OpenShift (Node) 3.11 64bit (English) 01」
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
91
2.2 リソースの作成
[RHOCP3.9でシステムを構築する場合]
Masterサーバ : 「Red Hat OpenShift (Master) 3.9 64bit (English) 01」
Infraサーバ : 「Red Hat OpenShift (Master) 3.9 64bit (English) 01」
Nodeサーバ : 「Red Hat OpenShift (Node) 3.9 64bit (English) 01」
[RHOCP3.6でシステムを構築する場合]
Masterサーバ : 「Red Hat OpenShift (Master) 3.6 64bit (English) 01」
Nodeサーバ : 「Red Hat OpenShift (Node) 3.6 64bit (English) 01」
*3:RHOCPイメージは、70GBのディスクサイズを使用します。
仮想サーバ作成時に指定したディスクサイズから 70GB を差し引いたディスクの空き領域、
または、K5 IaaS上でブロックストレージを作成して、仮想サーバに接続した場合の追加
のディスク領域は、RHEL7『Storage Administration Guide』、RHEL7『Logical
Volume Manager Administration』を参照し、利用用途に応じて活用してください。
3. 仮想ネットワークを選択します。
図 2-94 [仮想サーバ作成]仮想ネットワーク選択画面-1
a. [利用可能な仮想ネットワーク]欄に仮想ネットワークの一覧が表示されます。仮想サーバを接
続する仮想ネットワークをクリックします。
b. 選択した仮想ネットワークの欄の背景が青に変わります。[選択]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
92
2.2 リソースの作成
図 2-95 [仮想サーバ作成]仮想ネットワーク選択画面-2
選択した仮想ネットワークが[選択済み仮想ネットワーク]欄へ移動します。[次へ]ボタン
をクリックします。
[仮想サーバ作成 アクセスとセキュリティ]画面が表示されます。
4. アクセスとセキュリティに関する設定を行います。
図 2-96 [仮想サーバ作成 アクセスとセキュリティ設定]画面
a. 構築するシステムに応じて、各仮想サーバの設定を行います。設定内容は表 2-25を参照し
てください。
b. [次へ]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
93
2.2 リソースの作成
表 2-25 [仮想サーバ作成 アクセスとセキュリティ]設定項目
No 項目 説明 本書での設定値
1 キーペア 使用するキーペアを選
択します。
「Keypair」を選択
2.2.5.1で作成したキーペアを選択
2 セキュリティ
グループ
使用するセキュリティ
グループのチェックボ
ックスにチェックを入
れます。
Master
サーバ
「sgmaster」を選択
2.2.2で作成した Masterサーバ
用のセキュリティグループにチェ
ック
Infraサ
ーバ
2.2.2で作成した Infra/Nodeサ
ーバ用のセキュリティグループに
チェック
Nodeサ
ーバ
2.2.2で作成した Infra/Nodeサ
ーバ用のセキュリティグループに
チェック
5. オプションの設定を行います。
図 2-97[仮想サーバ作成 オプション設定]画面
プロビジョニングスクリプト機能を使用しないため、設定項目は入力せずに「次へ」ボタンをク
リックします。
[仮想サーバ作成 確認]画面が表示されます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
94
2.2 リソースの作成
6. 内容を確認し、問題が無ければ[作成]ボタンをクリックします。
図 2-98 [仮想サーバ作成 確認]画面
7. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-99 仮想サーバ作成依頼受付の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
95
2.2 リソースの作成
8. [仮想サーバ一覧]画面が表示されます。
a. 仮想サーバ作成直後は仮想サーバのビルドが行われており、該当する仮想サーバの状態は
「BUILD」です。
図 2-100 [仮想サーバ一覧]画面 BUILD状態
b. 仮想サーバの状態が「BUILD」から「ACTIVE」になるまで、しばらくお待ちください。
図 2-101 [仮想サーバ一覧]画面 ACTIVE状態
時間を空けても状態が変わらない場合は、画面右上の更新ボタン( )をクリ
ックしてください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
96
2.2 リソースの作成
2.2.5.4 仮想サーバへの接続(ログイン)
クライアント PC(Windows)から仮想サーバへリモート接続を行います。
仮想サーバへログインするには、仮想サーバ作成時に指定した登録済みキーペアを使用して、SSH経由
でログインします。
端末エミュレータ「Tera Term」を利用した方法を示します。以下、「Tera Term」は導入済みの前提
で説明します。
図 2-102 仮想サーバへの接続(ログイン)
以下の手順で仮想サーバへ接続します。
1. ログインする前に以下を確認してください。
ログイン対象仮想サーバに割り当てられた IPアドレスのステータスが"ACTIVE"であること
セキュリティグループルールが利用環境に対して正しく設定されていること
ファイアーウォールルールおよびポリシーが利用環境に対して正しく設定されていること
クライアント PC上で秘密鍵ファイル(.pem)が作業ディレクトリに存在すること
クライアント PC上で OpenVPNを管理者権限で実行し、SSL-VPN接続済であること
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
97
2.2 リソースの作成
2. 「Tera Term」を起動させます。[新しい接続]画面で設定を行います。
図 2-103 Tera Term[新しい接続]画面
a. TeraTermの接続設定を行います。設定内容は表 2-26を参照してください。
b. [OK]ボタンをクリックします。
c. 初めて接続する際は、ホスト認証の確認が行われます。(図 2-104参照)
そのまま[続行]ボタンをクリックします。
表 2-26 Tera Term[新しい接続]設定項目
No 項目 説明 本書での設定値
1 ホスト 接続先ホストのアドレスを記入します。ここ
ではログイン対象の仮想サーバに割り当てら
れた IPアドレスを記入します。「仮想サーバ
一覧画面」で確認できます。
192.168.0.4
2 サービス 「SSH」を指定します。 SSH
3 TCPポート 「22」を入力します。 22
4 SSHバージョン 「SSH2」を指定します。 SSH2
5 プロトコル 「UNSPEC」を指定します。 UNSPEC
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
98
2.2 リソースの作成
図 2-104 Tera Term [セキュリティ警告]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
99
2.2 リソースの作成
3. [SSH認証]画面が表示されます。設定を行います。
図 2-105 Tera Term[SSH認証]画面
a. SSH認証の設定を行います。設定内容は表 2-27を参照してください。
b. [OK]ボタンをクリックします。
表 2-27 Tera Term[SSH認証]設定項目
No 項目 説明 本書での設定値
1 ユーザ名 ログインユーザー名を入力します。
管理者ユーザー名はデフォルトで「k5user」に
設定されています。
k5user
2 RSA/DSA/ECD
SA/ED25519鍵
を使う
「RSA/DSA/ECDSA/ED25519鍵を使う」にチ
ェックを入れ、[秘密鍵]ボタンをクリックし、
キーペア作成時にダウンロードした秘密鍵ファ
イルを指定します。
Test-Keypair.pem
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
100
2.2 リソースの作成
4. 画面に「[k5user@仮想サーバ名~]$」と表示されていることを確認します。
図 2-106 Tera Term [ログイン後]画面
クライアント PC(Windows)から仮想サーバへ接続できました。
2.2.5.5 仮想サーバ作成後の設定
仮想サーバ作成後に以下の作業を行います。
OSパッチ/アップデートの設定
パッケージの最新化
RHOCPの日本語化設定
RHELシステムの環境設定
OSパッチ/アップデート設定
OSパッチ/アップデート設定は、必ず実施してください。
この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し
ます。
コンテナアプリケーションプラットフォームのセットアップおよび修正適用に、必要なパッチを入手する
ための設定を行います。
(1) Satelliteサーバの証明書登録
コンテナアプリケーションプラットフォームのセットアップおよび修正適用に、必要なパッチを入手する
ために、K5が提供する Satelliteサーバの証明書登録を行います。
K5が提供する Satelliteサーバはコンテナイメージを配布していません。パッチのみ配布
しています。
以下のコマンドを実施し、SSLパブリック証明書を Satelliteサーバからコピーします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
101
2.2 リソースの作成
コマンドで指定する Satelliteサーバの FQDNは、『Red Hat Satellite 用設定情報』を参照してくださ
い。
# rpm -Uvh http://<Satellite サーバの FQDN>/pub/katello-ca-consumer-
latest.noarch.rpm
『Red Hat Satellite 用設定情報』を参照いただく際には、お客様の契約者情報が必要です。
以下のコマンドを実施し、組織名とアクティベーションキーを Satelliteサーバへ登録します。
コマンドで指定する組織名、および、アクティベーションキーの情報は、『Red Hat Satellite 用設定情
報』を参照してください。
# subscription-manager register --org=<組織名> --activationkey=<アクティベ
ーションキー>
(2) リポジトリの有効化
コンテナアプリケーションプラットフォームのセットアップに必要なリポジトリを有効化する前に、
以下のコマンドを実施し、全てのリポジトリを無効化します。
# subscription-manager repos --disable="*"
全てのリポジトリが無効化されているか確認します。
# yum repolist
yumコマンドの結果として、以下の「repolist:0」が表示されていることを確認してください。
repolist: 0
「repolist: 0」でない場合は、以下のコマンドを実施します。
# yum-config-manager --disable \*
以下のコマンドを実施し、必要なリポジトリを有効化します。
[RHOCP3.11の場合]
# subscription-manager repos \
--enable="rhel-7-server-rpms" \
--enable="rhel-7-server-extras-rpms" \
--enable="rhel-7-server-ose-3.11-rpms" \
--enable="rhel-7-server-ansible-2.6-rpms" \
--enable="rhel-7-server-debug-rpms"
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
102
2.2 リソースの作成
[RHOCP3.9の場合]
# subscription-manager repos \
--enable="rhel-7-server-rpms" \
--enable="rhel-7-server-extras-rpms" \
--enable="rhel-7-server-ose-3.9-rpms" \
--enable="rhel-7-fast-datapath-rpms" \
--enable="rhel-7-server-ansible-2.4-rpms" \
--enable="rhel-7-server-debug-rpms"
[RHOCP3.6の場合]
# subscription-manager repos \
--enable="rhel-7-server-rpms" \
--enable="rhel-7-server-extras-rpms" \
--enable="rhel-7-server-ose-3.6-rpms" \
--enable="rhel-7-fast-datapath-rpms" \
--enable="rhel-7-server-debug-rpms"
(3) 有効化されたリポジトリの確認
コンテナアプリケーションプラットフォームのセットアップに必要なリポジトリが有効化されているか確
認します。
# yum repolist
下記の「repo id」が表示されていることを確認してください。
[RHOCP3.11の場合]
repo id repo name
status
rhel-7-server-ansible-2.6-rpms/x86_64 Red Hat Ansible Engine 2.6
RPMs for Red Hat Enterprise Linux 7 Server 12
rhel-7-server-debug-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (Debug RPMs) 8,049
rhel-7-server-extras-rpms/x86_64 Red Hat Enterprise Linux 7
Server - Extras (RPMs) 967
rhel-7-server-ose-3.11-rpms/x86_64 Red Hat OpenShift Container
Platform 3.11 (RPMs) 228
rhel-7-server-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (RPMs) 23,176
repolist: 32,432
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
103
2.2 リソースの作成
[RHOCP3.9の場合]
repo id repo name
status
rhel-7-fast-datapath-rpms/7Server/x86_64 Red Hat Enterprise Linux Fa
st Datapath (RHEL 7 Server) (RPMs) 76
rhel-7-server-ansible-2.4-rpms/x86_64 Red Hat Ansible Engine 2.4
RPMs for Red Hat Enterprise Linux 7 Server 19
rhel-7-server-debug-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (Debug RPMs) 7,233
rhel-7-server-extras-rpms/x86_64 Red Hat Enterprise Linux 7
Server - Extras (RPMs) 838
rhel-7-server-ose-3.9-rpms/x86_64 Red Hat OpenShift Container
Platform 3.9 (RPMs) 610
rhel-7-server-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (RPMs) 20,490
repolist: 29,266
[RHOCP3.6の場合]
repo id repo name
status
rhel-7-fast-datapath-rpms/7Server/x86_64 Red Hat Enterprise Linux Fa
st Datapath (RHEL 7 Server) (RPMs) 46
rhel-7-server-debug-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (Debug RPMs) 6,392
rhel-7-server-extras-rpms/x86_64 Red Hat Enterprise Linux 7
Server - Extras (RPMs) 710
rhel-7-server-ose-3.6-rpms/x86_64 Red Hat OpenShift Container
Platform 3.6 (RPMs) 603
rhel-7-server-rpms/7Server/x86_64 Red Hat Enterprise Linux 7
Server (RPMs) 17,802
repolist: 25,553
パッケージの最新化
パッケージの最新化は、必ず実施してください。
この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し
ます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
104
2.2 リソースの作成
以下のとおり、ご利用のシステム環境に応じて、パッケージの最新化を行ってください。
[RHOCP3.11の場合]
全てのサーバで、下記コマンドを実施してください。
# yum update openshift-ansible
[RHOCP3.9の場合]
全てのサーバで、下記コマンドを実施してください。
# yum update atomic-openshift-utils
[RHOCP3.6の場合]
全てのサーバで、下記コマンドを実施してください。
# yum update docker-1.12.6-71.git3e8e77d.el7.x86_64
# yum update atomic-openshift-utils
# yum install openvswitch-2.6.1 glusterfs-fuse-3.8.4-18.4.el7
RHOCPの日本語化設定
K5 IaaS の OS提供サービスで提供している RHOCPイメージは英語版のみです。
日本語化が必要な場合は、日本語化の設定を行ってください。
タイムゾーンの設定(時刻の設定)
言語の変更
キーボードの設定 など
設定方法は、日本語化したい仮想サーバにログインし、コマンドによって設定を行います。
詳しくは、『IaaS機能説明書』の「2.1.3.4 RHEL7.x / CentOS 7.x / RHOCP3.x の日本語化設定」を
参照してください。
RHELシステムの環境設定
RHELシステムの環境設定は、必ず実施してください。
この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し
ます。
作成された仮想サーバの RHELシステムの環境設定を行います。
以下のシステム環境は、『RHEL7 ユーザーズマニュアル』を参照して、必要に応じて設定してください。
コアダンプファイルの設定
システム動作状況収集の設定
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
105
2.2 リソースの作成
OOM Killerの動作
ログローテーションの設定
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
106
2.3 コンテナアプリケーションプラットフォームのセットアップ
2.3 コンテナアプリケーションプラットフォームのセットアップ
コンテナアプリケーションプラットフォームのセットアップを行うためのシステム環境を構築し、セット
アップを行います。
2.3.1 ロードバランサーの作成
masterサーバ、infraサーバ(http用)、infraサーバ(https用)の負荷分散を行うため、各ロードバランサ
ーを作成し、負荷分散させるサーバを登録します。
図 2-107 ロードバランサーの作成
東日本リージョン 3/西日本リージョン 3をご利用の場合、ロードバランサーの作成手順
が異なります。ロードバランサーの作成手順は、『IaaSサービスポータルユーザーズガイ
ド』の「第 19章 ロードバランサー(東日本第 3/西日本第 3)」を参照してください。
最小構成のシステムを構築する場合、ロードバランサーの作成は不要です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
107
2.3 コンテナアプリケーションプラットフォームのセットアップ
(1) ロードバランサーの作成
masterサーバ、infraサーバ(http用)、infraサーバ(https用)の負荷分散を行う各ロードバランサーを
作成します。
各ロードバランサーは、以下の手順を繰り返して作成します。
1. [ロードバランサー作成]画面を表示させます。
図 2-108 [ロードバランサー一覧]画面
a. IaaS サービスポータルのサイドバーから「ネットワーク」-[ロードバランサー」をクリックし
ます。
b. [ロードバランサー一覧]画面が表示されます。画面右上の作成ボタン([+])をクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
108
2.3 コンテナアプリケーションプラットフォームのセットアップ
2. [ロードバランサー作成]画面が表示されます。ロードバランサーの設定を行います。
図 2-109 [ロードバランサー作成]画面
a. ロードバランサーを作成します。設定内容は表 2-28を参照してください。
b. [次へ]ボタンをクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
109
2.3 コンテナアプリケーションプラットフォームのセットアップ
表 2-28 [ロードバランサー作成]設定項目
No 項目 説明 本書での設定値
1 ロードバランサ
ー名
ロードバランサーを識別するための名称を
指定します。
プロジェクト内で一意と
なっている必要があります。
LB01
2 タイプ 用途に合わせて以下の 2 タイプから指定し
ます。
public:インターネットからのトラフ
ィックを負荷分散
internal:プライベートネットワーク内
だけで負荷分散
publicのロードバランサー
を作成する場合、ロードバランサーの
FQDN を共通ネットワークサービスで提供
される公開 DNS サーバに登録してくださ
い。
public
3 グレード ロードバランサーの処理性能を以下の 3 タ
イプから指定します。
Standard:標準性能版
Middle:中間性能版
High:高性能版
ロードバランサーは、1 つ
のサブネットに対して、グレードごとに以
下の個数の IPアドレスが必要です。
必要な個数の IP アドレスを確保できる構
成にしてください。
Standard:4個
Middle:8個
High:12個
Standard
4 ロードバランサ
ープロトコル
ロードバランサープロトコル
(HTTP/HTTPS/TCP/SSL)を指定します。
TCP
5 ロードバランサ
ーポート
ロードバランサー受け待ちポート番号を指
定します。
Master用 8443
Infra-http用 80
Infra-https用 443
6 仮想サーバ
プロトコル
仮想サーバプロトコル
(HTTP/HTTPS/TCP/SSL)を指定します。
TCP
7 仮想サーバのポ
ート
仮想サーバの待ち受けポート番号を指定し
ます。
Master用 8443
Infra-http用 80
Infra-https用 443
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
110
2.3 コンテナアプリケーションプラットフォームのセットアップ
8 証明書 ロードバランサープロトコルとして、
HTTPS または SSL を選択した場合にサー
バ証明書を指定します。
証明書の指定は不要で
す。
3. サブネットの設定を行います。
図 2-110 [ロードバランサー作成 サブネット選択]画面
a. 表 2-29に示すサブネットをクリックし、[選択]ボタンをクリックします。
b. [次へ]ボタンをクリックします。
表 2-29 [ロードバランサー作成 サブネット選択]設定項目
No 項目 説明 本書での設定値
1 サブネット設定 仮想サーバが属するサブ
ネットを選択します。
Master用 stsubnet
2.2.1.1 で作成した仮
想サーバが属するサブ
ネットを選択
Infra-http用
Infra-https用
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
111
2.3 コンテナアプリケーションプラットフォームのセットアップ
4. セキュリティグループ設定を行います。
図 2-111 [ロードバランサー作成 セキュリティグループ選択]画面
a. 表 2-30に示すセキュリティグループをクリックし、[選択]ボタンをクリックします。
b. [次へ]ボタンをクリックします。
表 2-30 [ロードバランサー作成 セキュリティグループ選択]設定項目
No 項目 説明 本書での設定値
1 セキュリティ
グループ
ロードバランサーの
セキュリティグルー
プを選択します。
Master用 stmaster
ロードバランサー(Master用)
に作成したセキュリティグループ
Infra-http用 ロードバランサー(Infra-http用)
に作成したセキュリティグループ
Infra-https用 ロードバランサー(Infra-https用)
に作成したセキュリティグループ
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
112
2.3 コンテナアプリケーションプラットフォームのセットアップ
5. これまでの設定内容を確認します。
図 2-112 [ロードバランサー作成 確認]画面
a. 問題が無ければ[作成]ボタンをクリックします。
6. 以下の画面が表示されます。[閉じる]ボタンをクリックします。
図 2-113 ロードバランサー作成依頼受付の画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
113
2.3 コンテナアプリケーションプラットフォームのセットアップ
ロードバランサーが作成できました。作成したロードバランサーの状態が「InService」となってい
ることを確認してください。
図 2-114 [ロードバランサー一覧]画面 作成後
(2) ロードバランサーへの仮想サーバ追加
負荷分散するmasterサーバ、infraサーバ(http用)、infraサーバ(https用)をそれぞれのロードバラン
サーに登録します。各ロードバランサーへの登録は、以下の手順を繰り返して行います。
1. [ロードバランサー一覧]画面を表示します。
図 2-115 [ロードバランサー一覧]画面
a. ロードバランサーの行の[アクション]-[仮想サーバ]-[追加]をクリックします。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
114
2.3 コンテナアプリケーションプラットフォームのセットアップ
2. [仮想サーバ設定]画面が表示されます。
図 2-116 [仮想サーバ追加]画面
a. ロードバランサーに追加する仮想サーバ(表 2-31参照)の行の[アクション]-[追加]をクリック
します。
表 2-31 追加する仮想サーバ
No ロードバランサー 追加する仮想サーバ
1 Master用 Master1、Master2、Master3サーバ
2 Infra-http用 Infra1、Infra2サーバ
3 Infra-https用 Infra1、Infra2サーバ
3. 以下の画面が表示されます。[追加]ボタンをクリックします。
図 2-117 仮想サーバ追加確認画面
ロードバランサーに仮想サーバを追加できました。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
115
2.3 コンテナアプリケーションプラットフォームのセットアップ
4. [ロードバランサー一覧]画面で、追加したロードバランサー名をクリックします。
図 2-118 [ロードバランサー一覧]画面 仮想サーバ追加後
5. [ロードバランサー詳細]画面で、仮想サーバが追加されているか確認します。
図 2-119 [ロードバランサー詳細]画面
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
116
2.3 コンテナアプリケーションプラットフォームのセットアップ
2.3.2 仮想サーバ間のネットワーク設定
仮想サーバ間のネットワーク(SSH接続)設定を行います。
セットアップを実行した Masterサーバからネットワーク経由で、全てのサーバにコンテ
ナアプリケーションプラットフォームとして必要な設定を行います。
その際、Masterサーバから他の全てのサーバへの接続時にパスワード入力を不要とするた
め、FQDNによる公開鍵認証を用いた SSH接続が可能となるよう設定します。
2.3.2.1 Masterサーバの公開鍵作成
セットアップを行うmasterサーバから、コンテナアプリケーションプラットフォームを構成する仮想サ
ーバに SSHログイン認証でログインするときに使用する公開鍵を作成します。
この作業は、セットアップを実施する Masterサーバで実施してください。
図 2-120 Masterサーバの公開鍵作成
下記コマンドを実施し、SSH接続で利用する認証用の鍵を生成します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
117
2.3 コンテナアプリケーションプラットフォームのセットアップ
# ssh-keygen
コンテナアプリケーションプラットフォームのセットアップ(SSH接続)時にパスワードを要求されないよ
うに「Enter passphrase」では、パスワードを設定せず、Enterキーを押してください。
詳細は ssh-keygenのmanを確認してください。
設定を行う下線部三か所で Enterキーを押してください。
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
ssh-keygenコマンド実施後、Masterサーバに公開鍵(/root/.ssh/id_rsa.pub)が作成されます。
下記コマンドを実施し、Masterサーバの公開鍵(/root/.ssh/id_rsa.pub)の内容を表示します。
# cat /root/.ssh/id_rsa.pub
下記形式で Masterサーバの公開鍵が確認できます。公開鍵は、2.3.2.2で使用します。
ssh-rsa ...<[email protected]>
2.3.2.2 全サーバの公開鍵設定
コンテナアプリケーションプラットフォームを構成するすべての仮想サーバに対して、セットアップを行
うmasterサーバで作成した公開鍵を設定します。
この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し
てください。
2.3.2.1で作成した Masterサーバの公開鍵の内容を、全てのサーバの公開鍵ファイル
(/root/.ssh/authorized_keys)へ追加します。
下記コマンドを実施し、公開鍵ファイル(/root/.ssh/authorized_keys)を編集します。
# vi /root/.ssh/authorized_keys
公開鍵ファイルの末尾を改行した後に、Masterサーバの公開鍵の内容を追加し、保存してください。
ssh-rsa ...<[email protected]>
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
118
2.3 コンテナアプリケーションプラットフォームのセットアップ
公開鍵認証を使用して SSH接続ができるようになります。
2.3.2.3 サーバ間の名前解決
コンテナアプリケーションプラットフォームを構成するすべての仮想サーバにおいて、FQDNでの名前解
決が行えるようにします。
この作業は、全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)で実施し
てください。
下記コマンドを実施し、hostsファイル(/etc/hosts)に全仮想サーバの FQDNの設定を追加します。
# vi /etc/hosts
hostsファイル(/etc/hosts)に、全てのサーバの IP、FQDN、ホスト名を順に記述し、保存します。
構築したい環境に合わせて設定内容を記載してください。以下は、図 2-1および表 2-1で示したシステ
ム構成の場合の例です。
仮想サーバの IPは、[仮想サーバ一覧]画面 ACTIVE状態(図 2-101)で確認できます。
最小構成の場合、網掛け部分の記述は不要です。
<192.168.10.24 master1.example.com master1>
<192.168.10.25 master2.example.com master2>
<192.168.10.26 master3.example.com master3>
<192.168.10.27 infra1.example.com infra1>
<192.168.10.28 infra2.example.com infra2>
<192.168.10.29 node1.example.com node1>
<192.168.10.30 node2.example.com node2>
2.3.2.4 Masterサーバから全サーバへの接続確認
セットアップを行うmasterサーバから、コンテナアプリケーションプラットフォームを構成するすべて
の仮想サーバに対して、FQDNを用いた SSH接続が行えることを確認します。
下記コマンドを実施し、仮想サーバ間の接続を確認します。
この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバ 1台で実施してください。
最小構成の場合、網掛け部分の操作は不要です。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
119
2.3 コンテナアプリケーションプラットフォームのセットアップ
、SSH接続が行えないと、コンテナアプリケーションプラットフォームのセットアップが失
敗します。
# ssh <master1.example.com>
# exit
# ssh <master2.example.com>
# exit
# ssh <master3.example.com>
# exit
# ssh <infra1.example.com>
# exit
# ssh <infra2.example.com>
# exit
# ssh <node1.example.com>
# exit
# ssh <node2.example.com>
# exit
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
120
2.3 コンテナアプリケーションプラットフォームのセットアップ
2.3.3 セットアップ用スクリプトの作成
コンテナアプリケーションプラットフォームのセットアップを行うためのスクリプトを作成します。
この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバで実施してください。
コンテナアプリケーションプラットフォームのセットアップには Ansibleを利用します。
Ansibleとは構成管理ツールで、スクリプトを実行することで、スクリプトに記述した構成で環境を構築
することができます。
下記コマンドを実施し、セットアップ用の Ansibleスクリプト(/etc/ansible/hosts)を編集します。
# vi /etc/ansible/hosts
構築したい環境に合わせて設定内容を記載してください。
設定内容の詳細については、以下のドキュメントを参照してください。
[RHOCP3.11の場合]
RHOCP3『Installing Clusters』
[RHOCP3.9または RHOCP3.6の場合]
RHOCP3『Installation and Configuration』
以下に、コンテナアプリケーションプラットフォーム環境を構築するための Ansibleスクリプトのサン
プルを記載します。
RHOCP3.11の Ansibleスクリプト
[RHOCP3.11で標準構成を構築する場合の Ansibleスクリプト]
[OSEv3:children]
masters
nodes
etcd
[OSEv3:vars]
ansible_ssh_user=root
os_firewall_use_firewalld=True
openshift_deployment_type=openshift-enterprise
openshift_disable_check=docker_image_availability
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':
'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider'}]
openshift_master_cluster_method=native
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
121
2.3 コンテナアプリケーションプラットフォームのセットアップ
openshift_master_cluster_hostname=<lbmaster.example.com>
openshift_master_cluster_public_hostname=<lbmaster.example.com>
openshift_enable_service_catalog=false
oreg_url=registry.access.redhat.com/openshift3/ose-${component}:${version}
openshift_examples_modify_imagestreams=true
[masters]
<master1.example.com>
<master2.example.com>
<master3.example.com>
[etcd]
<master1.example.com>
<master2.example.com>
<master3.example.com>
[nodes]
<master1.example.com> openshift_node_group_name='node-config-master'
<master2.example.com> openshift_node_group_name='node-config-master'
<master3.example.com> openshift_node_group_name='node-config-master'
<infra1.example.com> openshift_node_group_name='node-config-infra'
<infra2.example.com> openshift_node_group_name='node-config-infra'
<node1.example.com> openshift_node_group_name='node-config-compute'
<node2.example.com> openshift_node_group_name='node-config-compute'
スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。
2台のロードバランサー(Infra-http用、Infra-https用)は、Ansibleスクリプトによる設定
不要です。
外部ネットワーク上のクライアント PC等からロードバランサー(Master用)の FQDNを使用
してコンテナアプリケーションプラットフォーム環境にログインする際には、クライアント
PC上でロードバランサー(Master用)のドメイン名を名前解決できる必要があります。ロー
ドバランサー(Master用)の FQDNには、DNSサービスに登録済みの名前解決が可能なドメ
イン名をご指定ください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
122
2.3 コンテナアプリケーションプラットフォームのセットアップ
[RHOCP3.11で最小構成を構築する場合の Ansibleスクリプト]
[OSEv3:children]
masters
nodes
etcd
[OSEv3:vars]
ansible_ssh_user=root
os_firewall_use_firewalld=true
openshift_deployment_type=openshift-enterprise
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':
'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider'}]
openshift_disable_check=docker_image_availability
openshift_enable_service_catalog=false
oreg_url=registry.access.redhat.com/openshift3/ose-${component}:${version}
openshift_examples_modify_imagestreams=true
[masters]
<master1.example.com>
[etcd]
<master1.example.com>
[nodes]
<master1.example.com> openshift_node_group_name='node-config-master-
infra' openshift_schedulable=true
<node1.example.com> openshift_node_group_name='node-config-compute'
<node2.example.com> openshift_node_group_name='node-config-compute'
スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。
コンテナアプリケーションプラットフォーム環境外のクライアント PC等から
Masterサーバの FQDNを使用してコンテナアプリケーションプラットフォーム
環境にログインする際には、クライアント PC上で Masterサーバのドメイン名を
名前解決できる必要があります。Masterサーバの FQDNには、DNSサービスに
登録済みの名前解決が可能なドメイン名をご指定ください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
123
2.3 コンテナアプリケーションプラットフォームのセットアップ
RHOCP3.9の Ansibleスクリプト
[RHOCP3.9で標準構成を構築する場合の Ansibleスクリプト]
[OSEv3:children]
masters
nodes
etcd
[OSEv3:vars]
ansible_ssh_user=root
os_firewall_use_firewalld=True
openshift_deployment_type=openshift-enterprise
openshift_disable_check=docker_image_availability
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':
'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider',
'filename': '/etc/origin/master/htpasswd'}]
openshift_master_cluster_method=native
openshift_master_cluster_hostname=<lbmaster.example.com>
openshift_master_cluster_public_hostname=<lbmaster.example.com>
osm_default_node_selector="region=primary"
openshift_enable_service_catalog=false
[masters]
<master1.example.com>
<master2.example.com>
<master3.example.com>
[etcd]
<master1.example.com>
<master2.example.com>
<master3.example.com>
[nodes]
<master1.example.com>
<master2.example.com>
<master3.example.com>
<infra1.example.com> openshift_node_labels="{'region': 'infra', 'zone':
'<default>'}"
<infra2.example.com> openshift_node_labels="{'region': 'infra', 'zone':
'<default>'}"
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
124
2.3 コンテナアプリケーションプラットフォームのセットアップ
<node1.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<east>'}"
<node2.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<west>'}"
スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。
2台のロードバランサー(Infra-http用、Infra-https用)は、Ansibleスクリプトによる設定
不要です。
外部ネットワーク上のクライアント PC等からロードバランサー(Master用)の FQDNを使用
してコンテナアプリケーションプラットフォーム環境にログインする際には、クライアント
PC上でロードバランサー(Master用)のドメイン名を名前解決できる必要があります。ロー
ドバランサー(Master用)の FQDNには、DNSサービスに登録済みの名前解決が可能なドメ
イン名をご指定ください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
125
2.3 コンテナアプリケーションプラットフォームのセットアップ
[RHOCP3.9で最小構成を構築する場合の Ansibleスクリプト]
[OSEv3:children]
masters
nodes
etcd
[OSEv3:vars]
ansible_ssh_user=root
os_firewall_use_firewalld=True
openshift_deployment_type=openshift-enterprise
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':
'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider',
'filename': '/etc/origin/master/htpasswd'}]
openshift_disable_check=docker_image_availability
osm_default_node_selector="region=primary"
openshift_enable_service_catalog=false
[masters]
<master1.example.com>
[etcd]
<master1.example.com>
[nodes]
<master1.example.com> openshift_node_labels="{'region': 'infra', 'zone':
'<default>'}" openshift_schedulable=true
<node1.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<east>'}"
<node2.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<west>'}"
スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。
コンテナアプリケーションプラットフォーム環境外のクライアント PC等から
Masterサーバの FQDNを使用してコンテナアプリケーションプラットフォーム
環境にログインする際には、クライアント PC上で Masterサーバのドメイン名を
名前解決できる必要があります。Masterサーバの FQDNには、DNSサービスに
登録済みの名前解決が可能なドメイン名をご指定ください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
126
2.3 コンテナアプリケーションプラットフォームのセットアップ
RHOCP3.6の Ansibleスクリプト
[RHOCP3.6で最小構成を構築する場合の Ansibleスクリプト]
[OSEv3:children]
masters
nodes
[OSEv3:vars]
ansible_ssh_user=root
openshift_deployment_type=openshift-enterprise
openshift_master_identity_providers=[{'name': 'htpasswd_auth', 'login':
'true', 'challenge': 'true', 'kind': 'HTPasswdPasswordIdentityProvider',
'filename': '/etc/origin/master/htpasswd'}]
openshift_disable_check=docker_image_availability
osm_default_node_selector="region=primary"
[masters]
<master1.example.com>
[nodes]
<master1.example.com> openshift_node_labels="{'region': 'infra', 'zone':
'<default>'}" openshift_schedulable=true
<node1.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<east>'}"
<node2.example.com> openshift_node_labels="{'region': 'primary', 'zone':
'<west>'}"
スクリプトに設定する FQDNはお客様の環境の仕様に合わせて変更してください。
コンテナアプリケーションプラットフォーム環境外のクライアント PC等から
Masterサーバの FQDNを使用してコンテナアプリケーションプラットフォーム
環境にログインする際には、クライアント PC上で Masterサーバのドメイン名を
名前解決できる必要があります。Masterサーバの FQDNには、DNSサービスに
登録済みの名前解決が可能なドメイン名をご指定ください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
127
2.3 コンテナアプリケーションプラットフォームのセットアップ
2.3.4 セットアップ
コンテナアプリケーションプラットフォームのセットアップを行います。
この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバで実施してください。
図 2-121 セットアップ
Ansibleスクリプトを編集後、下記コマンドを実施し、Ansibleスクリプトを実行します。
[RHOCP3.11の場合]
1. prerequisites.ymlを指定して、ansible-playbookコマンドを実行します。
# cd /usr/share/ansible/openshift-ansible
# ansible-playbook playbooks/prerequisites.yml
2. deploy_cluster.ymlを指定して、ansible-playbookコマンドを実行します。
# cd /usr/share/ansible/openshift-ansible
# ansible-playbook playbooks/deploy_cluster.yml
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
128
2.3 コンテナアプリケーションプラットフォームのセットアップ
[RHOCP3.9の場合]
1. prerequisites.ymlを指定して、ansible-playbookコマンドを実行します。
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/prerequisites.yml
2. deploy_cluster.ymlを指定して、ansible-playbookコマンドを実行します。
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/deploy_cluster.yml
[RHOCP3.6の場合]
1. config.ymlを指定して、ansible-playbookコマンドを実行します。
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/byo/config.yml
Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認します。
最小構成の場合、網掛け部分は表示されません。
…
PLAY RECAP
************************************************************************
infra1.example.com : ok=251 changed=14 unreachable=0 failed=0
infra2.example.com : ok=251 changed=14 unreachable=0 failed=0
master1.example.com : ok=673 changed=62 unreachable=0 failed=0
master2.example.com : ok=462 changed=34 unreachable=0 failed=0
master3.example.com : ok=462 changed=34 unreachable=0 failed=0
node1.example.com : ok=251 changed=14 unreachable=0 failed=0
node2.example.com : ok=251 changed=14 unreachable=0 failed=0
localhost : ok=14 changed=0 unreachable=0 failed=0
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
129
2.3 コンテナアプリケーションプラットフォームのセットアップ
2.3.5 セットアップの確認
コンテナアプリケーションプラットフォームのセットアップが完了したことを確認します。
この作業は、2.3.2.1で公開鍵作成を実施した Masterサーバで実施してください。
下記コマンドを実施し、Masterサーバ、Infraサーバ、および Nodeサーバの稼働状態を確認します。
# oc get nodes
全ての仮想サーバの「STATUS」が「Ready」となっていることを確認してください。
最小構成の場合、網掛け部分は表示されません。
NAME STATUS AGE VERSION
infra1.example.com Ready 4d v1.6.1+5115d708d7
infra2.example.com Ready 4d v1.6.1+5115d708d7
master1.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
master2.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
master3.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
node1.example.com Ready 4d v1.6.1+5115d708d7
node2.example.com Ready 4d v1.6.1+5115d708d7
「Ready」を確認できた場合、podの稼動状態を確認します。
下記コマンドを実施し、system:adminユーザーでログインを行ってください。
# oc login –u system:admin
ログイン後、下記コマンドを実施し「default」プロジェクトへの切り替えを行います。
# oc project default
下記コマンドを実施し、podが起動されていることを確認します。
# oc get pods
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
130
2.3 コンテナアプリケーションプラットフォームのセットアップ
以下の「NAME」の podが表示され、STATUSが「Running」であることを確認します。
最小構成の場合、網掛け部分は表示されません。
NAME READY STATUS RESTARTS AGE
docker-registry-1-9jnsx 1/1 Running 0 4d
registry-console-1-nr922 1/1 Running 0 4d
router-1-1jv0x 1/1 Running 0 4d
router-1-q08ms 1/1 Running 0 4d
docker-registry、registry-console、routerに続く英数字は podを作成する度に変化します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
131
3.1 Nodeサーバの追加
コンテナアプリケーションプラットフォーム構築後の設定 3.
構築されたコンテナアプリケーションプラットフォームで、以下の作業を行います。なお、本作業は、必
要に応じて実施してください。
Nodeサーバの追加
内部レジストリの永続化
修正適用
バックアップ/リストア
3.1 Nodeサーバの追加
構築されたコンテナアプリケーションプラットフォームに Nodeサーバを追加します。
3.1.1 仮想サーバの作成
コンテナアプリケーションプラットフォームに追加する nodeサーバに使う仮想サーバを作成します。
2.2.5.3を参照して、仮想サーバを作成してください。
3.1.2 仮想サーバ間のネットワーク設定
仮想サーバ間のネットワーク(SSH接続)設定を行います。
セットアップを実行した Masterサーバからネットワーク経由で、追加する Nodeサーバ
にコンテナアプリケーションプラットフォームとして必要な設定を行います。
その際、Masterサーバから追加する Nodeのサーバへの接続時にパスワード入力を不要と
するため、FQDNによる公開鍵認証を用いた SSH接続が可能となるよう設定します。
3.1.2.1 Masterサーバの公開鍵確認
セットアップを行うmasterサーバで作成した公開鍵を確認します。
これから Nodeサーバを追加するコンテナアプリケーションプラットフォームのセットア
ップに使われた Masterサーバ(Ansibleスクリプトを実行した Masterサーバ)で実施して
ください。
セットアップを実施したmasterサーバは、セットアップスクリプト(/etc/ansible/hosts)
が、2.3.3、または、3.1.3.1で示した内容となっていることを確認してください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
132
3.1 Nodeサーバの追加
Masterサーバ上で、下記コマンドを実施し、Masterサーバの公開鍵(/root/.ssh/id_rsa.pub)の内容を
表示します。
# cat /root/.ssh/id_rsa.pub
下記形式で Masterサーバの公開鍵が確認できます。公開鍵は、3.1.2.2で使用します。
ssh-rsa ...<[email protected]>
3.1.2.2 追加する Nodeサーバの公開鍵設定
コンテナアプリケーションプラットフォームに追加する nodeサーバに対して、セットアップを行った
masterサーバで作成した公開鍵を設定します。
この作業は、追加する Nodeサーバで実施してください。
3.1.2.1で準備した Masterサーバの公開鍵の内容を、追加する Nodeサーバの公開鍵ファイル
(/root/.ssh/authorized_keys)へ追加します。
下記コマンドを実施し、公開鍵ファイル(/root/.ssh/authorized_keys)を編集します。
# vi /root/.ssh/authorized_keys
公開鍵ファイルの末尾を改行した後に、Masterサーバの公開鍵の内容を追加し、保存してください。
ssh-rsa ...<[email protected]>
公開鍵認証を使用して SSH接続できるようになります。
3.1.2.3 サーバ間の名前解決
追加する Nodeサーバを含めて、コンテナアプリケーションプラットフォームを構成するすべての仮想サ
ーバにおいて、FQDNでの名前解決が行えるようにします。
この作業は、構築済みの全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサー
バ)、および追加する Nodeサーバで実施してください。
全てのサーバ間で FQDNの名前解決が行えるように、下記コマンドを実施し、hostsファイル
(/etc/hosts)に設定を追加します。
# vi /etc/hosts
[追加する Nodeサーバの場合]
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
133
3.1 Nodeサーバの追加
hostsファイル(/etc/hosts)に、追加する Nodeサーバも含めた全てのサーバの IP、FQDN、ホスト名を
順に記述し、保存します。
仮想サーバの IPは、[仮想サーバ一覧]画面 ACTIVE状態(図 2-101)で確認できます。
最小構成の場合、網掛け部分の記述は不要です。
<192.168.10.24 master1.example.com master1>
<192.168.10.25 master2.example.com master2>
<192.168.10.26 master3.example.com master3>
<192.168.10.27 infra1.example.com infra1>
<192.168.10.28 infra2.example.com infra2>
<192.168.10.29 node1.example.com node1>
<192.168.10.30 node2.example.com node2>
<192.168.10.xx new-node.example.com new-node>
[構築済みの全てのサーバ(Masterサーバ、Infraサーバ、および Nodeサーバ)の場合]
hostsファイル(/etc/hosts)に、追加する Nodeサーバの IP、FQDN、ホスト名を追加し、保存します。
<192.168.10.xx new-node.example.com new-node>
3.1.2.4 Masterサーバから追加する Nodeサーバへの接続確認
Masterサーバから追加する Nodeサーバへ接続できることを確認します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
134
3.1 Nodeサーバの追加
この作業は、3.1.2.1で公開鍵を確認した Masterサーバで実施してください。
Nodeサーバ追加のセットアップ前に、Masterサーバから追加する Nodeサーバの FQDNに対して SSH
接続を行い、接続に成功することを確認します。接続に失敗する場合、Nodeサーバ追加のセットアップ
が失敗します。
下記コマンドを実施し、Masterサーバから追加する Nodeサーバに対して SSH接続をします。
# ssh <new-node.example.com>
# exit
3.1.3 Nodeサーバ追加のセットアップ
追加する Nodeサーバを含む、コンテナアプリケーションプラットフォームを再構築するために、セット
アップを行います。
この作業は、3.1.2.1で公開鍵を確認した Masterサーバで実施してください。
3.1.3.1 セットアップ用スクリプトの編集
コンテナアプリケーションプラットフォームのセットアップに使用した Ansibleスクリプト
(/etc/ansible/hosts)を編集します。
# vi /etc/ansible/hosts
Ansibleスクリプトに追加する Nodeサーバの設定を追記します。
[RHOCP3.11の場合]
Nodeを追加するために、下線部分を Ansibleスクリプトに追加します。
[OSEv3:children]
(省略)
new_nodes
[OSEv3:vars]
(省略)
:
(末尾)
[new_nodes]
<new-node.example.com> openshift_node_group_name='node-config-compute'
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
135
3.1 Nodeサーバの追加
[RHOCP3.9または RHOCP3.6の場合]
Nodeを追加するために、下線部分を Ansibleスクリプトに追加します。
Nodeサーバ(new-node.example.com)の FQDNをお客様の環境の仕様に合わせて変更してくだ
さい。
3.1.3.2 セットアップ
コンテナアプリケーションプラットフォームのセットアップを行います。
Ansibleスクリプト編集後、下記コマンドを実施し、Ansibleスクリプトを実行します。
[RHOCP3.11の場合]
# cd /usr/share/ansible/openshift-ansible
# ansible-playbook playbooks/openshift-node/scaleup.yml
[RHOCP3.9の場合]
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/openshift-node/scaleup.yml
[RHOCP3.6の場合]
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/byo/openshift-
node/scaleup.yml
[OSEv3:children]
(省略)
new_nodes
[OSEv3:vars]
(省略)
:
(末尾)
[new_nodes]
<new-node.example.com> openshift_node_labels="{'region': 'primary',
'zone': '<west>'}"
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
136
3.1 Nodeサーバの追加
Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認します。
最小構成の場合、網掛け部分は表示されません。
…
PLAY RECAP
************************************************************************
infra1.example.com : ok=4 changed=0 unreachable=0 failed=0
infra2.example.com : ok=4 changed=0 unreachable=0 failed=0
master1.example.com : ok=45 changed=0 unreachable=0 failed=0
master2.example.com : ok=24 changed=0 unreachable=0 failed=0
master3.example.com : ok=24 changed=0 unreachable=0 failed=0
node1.example.com : ok=4 changed=0 unreachable=0 failed=0
node2.example.com : ok=4 changed=0 unreachable=0 failed=0
new-node.example.com : ok=174 changed=58 unreachable=0 failed=0
localhost : ok=14 changed=0 unreachable=0 failed=0
3.1.3.3 セットアップの確認
コンテナアプリケーションプラットフォームのセットアップが完了したことを確認します。
下記コマンドを実施し、Masterサーバ、Nodeサーバの稼働状態を確認します。
# oc get nodes
全ての仮想サーバの「STATUS」が「Ready」となっていることを確認してください。
最小構成の場合、網掛け部分は表示されません。
NAME STATUS AGE
infra1.example.com Ready 3d
infra2.example.com Ready 3d
master1.example.com Ready 3d
master2.example.com Ready 3d
master3.example.coml Ready 3d
node1.example.com Ready 3d
node2.example.com Ready 3d
new-node.example.com Ready 31m
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
137
3.2 内部レジストリの永続化
Nodeサーバの追加後、Nodeサーバの追加に使用した Ansibleスクリプト(/etc/ansible/hosts)を編集し
ます。
[OSEv3:children]
(省略)
new_nodes
[OSEv3:vars]
(省略)
:
[nodes]
(省略)
<new-node.example.com> openshift_node_labels="{'region': 'primary',
'zone': '<west>'}"
[new_nodes]
次回 Ansibleスクリプト実行時に、本手順で追加済みの Nodeサーバを新規 Nodeサーバとして
誤って再度追加することがないように、追加済みの Nodeサーバの記述を[new_nodes]から
[nodes]に移動させます。
3.2 内部レジストリの永続化
構築されたコンテナアプリケーションプラットフォーム内のコンテナイメージレジストリである、内部レ
ジストリの永続化を行います。
内部レジストリには、システム利用者(コンテナアプリケーション運用者、開発者)が外部から取得したコ
ンテナイメージや、コンテナアプリケーションプラットフォーム内で作成されたコンテナイメージが格納
されます。
内部レジストリは、registry podとして動作します。内部レジストリの registry podに格納されたコン
テナイメージは、registry pod削除後に保持することはできません。
registry podのストレージを永続化(NFSなどのストレージにデータを保持する設定)することで、稼働し
ていた registry podが削除された場合でも、コンテナイメージを保持することができます。
registry podに限らず、コンテナ内で作成されたデータを、コンテナ削除後に保持するこ
とはできません。コンテナが削除されても残しておくべきデータは、永続化により保持し
てください。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
138
3.2 内部レジストリの永続化
3.2.1 ストレージの準備
registry pod のコンテナイメージを格納するためのストレージを準備します。
使用できるストレージの種別、および、その設定については、以下のドキュメントを参照してください。
[RHOCP3.11の場合]
RHOCP3『Configuring Clusters』の 26. Configuring Persistent Storage
[RHOCP3.9または RHOCP3.6の場合]
RHOCP3『Installation and Configuration』の 22. Configuring Persistent Storage
3.2.2 PersistentVolume、および PersistentVolumeClaimの作成
PersistentVolumeおよび PersistentVolumeClaimを作成します。
3.2.1で準備したストレージをコンテナアプリケーションプラットフォーム内で利用するために、
PersistentVolume(コンテナアプリケーションプラットフォーム内で管理されるストレージリソースオブ
ジェクト。以下、PV)を作成します。また、作成した PVを registry podで利用するために、
PersistentVolumeClaim(コンテナアプリケーションプラットフォーム内のリソースとして管理されるス
トレージリソース要求オブジェクト、以下、PVC)を作成します。PVCを作成することで、コンテナアプ
リケーションプラットフォーム内で PVC の要求内容に見合った PV が選出され、PVC と紐付けされます。
PV、および PVCの作成方法については、以下のドキュメントを参照してください。
[RHOCP3.11の場合]
RHOCP3『Configuring Clusters』の 26. Configuring Persistent Storage、
RHOCP3『Developer Guide』の 27. Using Persistent Volumes
[RHOCP3.9または RHOCP3.6の場合]
RHOCP3『Installation and Configuration』の 22. Configuring Persistent Storage、
RHOCP3『Developer Guide』の 26. Using Persistent Volumes
3.2.3 registry podのストレージ永続化
registry podのストレージを永続化します。
3.2.2で作成した PVCと podを紐付けることで、podのストレージを永続化します。podのストレージ
の永続化については、以下のドキュメントを参照してください。
[RHOCP3.11の場合]
RHOCP3『Configuring Clusters』の 2.2.5.1. Production Use
[RHOCP3.9または RHOCP3.6の場合]
RHOCP3『Installation and Configuration』の 3.2.5.1 Production Use
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
139
3.3 修正適用
3.3 修正適用
Red Hat社では、ソフトウェアの修正を errataという形で公開しています。コンテナアプリケーション
プラットフォームを安定稼働させるためには、公開されている errataを適用して既知の問題を避ける必
要があります。
3.3.1 概要
errata情報
errata の情報は、Red Hat Product Errata (*1)から公開されており、以下の種類の errata があります。
お客様の環境で必要となるものを適用してください。
RHSA (Red Hat Security Advisory)
セキュリティ修正です。バグ修正や機能強化が含まれることがあります。
RHBA (Red Hat Bug Advisory)
バグ修正です。機能強化が含まれることがあります。セキュリティ修正を含むことはありません。
RHEA (Red Hat Enhancement Advisory)
機能強化または新機能の修正です。バグ修正もセキュリティ修正も含むことはありません。
*1 : 以下の URLより参照してください。
https://access.redhat.com/errata/
版数管理
RHOCPでは、同梱する RHELのほか、インストーラ(Ansible)、コアコンポ―ネント(Docker、
Kubernetes)などのパッケージ版数が OpenShift Container Platform Tested Integrations (*2) で規定
されており、この組合せ条件でお使いになることが推奨されています。
また、コンテナアプリケーションプラットフォームを構築するために必要なパッケージの依存関係を維持
するために、これらのパッケージを最新にすることが必要になります。このため RHOCPの修正適用は、
以下のように行います。
1. errata情報の確認
2. パッケージの整合性確認
3. コンテナアプリケーションプラットフォームを構築するパッケージの最新化(依存関係の保証)
*2 : 以下の URLより参照してください。
https://access.redhat.com/articles/2176281/
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
140
3.3 修正適用
修正パッケージの入手
修正に必要なパッケージは、Satelliteサーバに格納されています。修正を適用する仮想サーバで Satellite
サーバを利用するための設定は、2.2.5.5で行います。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
141
3.3 修正適用
3.3.2 適用手順
修正適用の手順を以下に示します。
errataの適用は、全ての仮想サーバに対して実施してください。
3.3.2.1 事前準備
errataの適用前に必要な準備作業を行います。
errata適用後の問題発生に備え、バックアップを採取します。また、errata適用前後において、サ
ービスの起動レベルが変更される場合があるので、sosreportコマンドを使用して現在の RHELシス
テムの情報を採取することを推奨します。
RHOCPに含まれていないプログラムを停止します。ISV製品または富士通ミドルウェアなどの
RHOCP以外から導入したプログラムは、すべて停止します。停止しない場合、errata適用が正常に
行われない場合があります
3.3.2.2 errataの適用
以下の手順で errataを適用します。
1. Red Hat Product Errata (*1)を参照し、適用したい errataと、そのパッケージと版数を確認しま
す。
*1 : 以下の URLより参照してください。
https://access.redhat.com/errata/
2. OpenShift Container Platform Tested Integrations (*2)を参照し、使用している RHOCPマイナ
ーリリース版数に適用できるパッケージの版数条件を確認します。
1.で提供が確認できているパッケージでも、版数条件があわない場合には、RHOCPの動作に不具
合が発生する可能性があるため、適用できません。
条件の記載がないパッケージについては、最新のパッケージが適用できます。
*2 : 以下の URLより参照してください。
https://access.redhat.com/articles/2176281
3. yumキャッシュディレクトリをクリアします。
# yum clean all
4. 適用したい errataのパッケージが Satelliteサーバに登録されていることを確認します。
Satelliteサーバに登録している機器から実施してください。
# yum check-update kernel
Loaded plugins: langpacks, product-id,search-disabled-repos,
subscription-manager
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
142
3.3 修正適用
kernel.x86_64 3.10.0-862.6.3.el7 rhel-7-server-rpms
(1) .(2) (3)
出力結果は、5.で使用します。それぞれの意味は以下のとおりです。
(1) <packagename>
(2) <architecture>
(3) <version>
5. 適用対象の全てのサーバで yumコマンドを使いパッケージを適用します。
版数条件があるパッケージ
yumの引数に、4.で確認した<packagename>、<architecture>、<version>を指定してくださ
い。指定した版数のパッケージが適用されます。
# yum update <packagename>-<version>.<architecture>
(例)
# yum update kernel-3.10.0-862.6.3.el7.x86_64
版数条件がないパッケージ
引数にパッケージ名だけ指定してください。最新のパッケージが適用されます。
# yum update <package name>
6. Masterサーバで Ansibleを実行します。
この作業は、手順5におけるパッケージの適用が全てのサーバで完了した後に、構
築済みのコンテナアプリケーションプラットフォームのセットアップ(Ansibleス
クリプト)を実行した Masterサーバで実施してください。
セットアップスクリプト(/etc/ansible/hosts)が、2.3.3、または、3.1.3.1で示し
た内容となっていることを確認してください。
RHOCP3.6の場合、Ansible実行前に、RHOCPの設定ファイルを以下のように修
正してください。
修正しない場合、RHOCPの内部ファイルが消去され、RHOCPが動作しなくなり
ます。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
143
3.3 修正適用
# vi /usr/share/ansible/openshift-
ansible/roles/openshift_master/templates/atomic-openshift-master.j2
...
{# Preserve existing OPENSHIFT_DEFAULT_REGISTRY settings in scale up
runs #}
{% if openshift_master_is_scaleup_host %}
{{ openshift_master_default_registry_value }}
{% elif openshift_push_via_dns | default(true) %}
OPENSHIFT_DEFAULT_REGISTRY=docker-registry.default.svc:5000
falseから trueに変更してください。
下記コマンドを実施し、Ansibleスクリプトを実行します。
[RHOCP3.11の場合]
# cd /usr/share/ansible/openshift-ansible
# ansible-playbook \
playbooks/byo/openshift-cluster/upgrades/v3_11/upgrade.yml
[RHOCP3.9の場合]
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/byo/openshift-
cluster/upgrades/v3_9/upgrade.yml
[RHOCP3.6の場合]
# ansible-playbook \
/usr/share/ansible/openshift-ansible/playbooks/byo/openshift-
cluster/upgrades/v3_6/upgrade.yml
Ansibleスクリプトを実行後、全ての仮想サーバの結果が「failed=0」になっていることを確認しま
す。
最小構成の場合、網掛け部分は表示されません。
…
PLAY RECAP
*********************************************************************
infra1.example.com : ok=251 changed=14 unreachable=0 failed=0
infra2.example.com : ok=251 changed=14 unreachable=0 failed=0
master1.example.com : ok=673 changed=62 unreachable=0 failed=0
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
144
3.3 修正適用
master2.example.com : ok=462 changed=34 unreachable=0 failed=0
master3.example.com : ok=462 changed=34 unreachable=0 failed=0
node1.example.com : ok=251 changed=14 unreachable=0 failed=0
node2.example.com : ok=251 changed=14 unreachable=0 failed=0
localhost : ok=14 changed=0 unreachable=0 failed=0
3.3.2.3 適用後の操作
errata適用後、以下の手順で、システムの再起動と動作確認を行います。
単体修正の適用が完了した後、システムを再起動します。
# systemctl reboot
再起動後に以下の手順を Master サーバで実行し、Master サーバ、Node サーバの稼働状態を確認します。
# oc get nodes
全ての仮想サーバの「STATUS」が「Ready」となっていることを確認してください。
最小構成の場合、網掛け部分は表示されません。
NAME STATUS AGE VERSION
infra1.example.com Ready 4d v1.6.1+5115d708d7
infra2.example.com Ready 4d v1.6.1+5115d708d7
master1.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
master2.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
master3.example.com Ready,SchedulingDisabled 4d v1.6.1+5115d708d7
node1.example.com Ready 4d v1.6.1+5115d708d7
node2.example.com Ready 4d v1.6.1+5115d708d7
「Ready」を確認できた場合、podの稼動状態を確認します。
下記コマンドを実施し、system:adminユーザーでログインを行ってください。
# oc login –u system:admin
ログイン後、下記コマンドを実施し「default」プロジェクトへの切り替えを行います。
# oc project default
下記コマンドを実施し、podが起動されていることを確認します。
# oc get pods
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
145
3.3 修正適用
以下の「NAME」の podが表示され、STATUSが「Running」であることを確認します。
最小構成の場合、網掛け部分は表示されません。
NAME READY STATUS RESTARTS AGE
docker-registry-1-9jnsx 1/1 Running 0 4d
registry-console-1-nr922 1/1 Running 0 4d
router-1-1jv0x 1/1 Running 0 4d
router-1-q08ms 1/1 Running 0 4d
docker-registry、registry-console、routerに続く数字は podを作成する度に変化します。
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
146
3.4 バックアップ/リストア
コンテナアプリケーションプラットフォームのバックアップ/リストアについて説明します。
コンテナアプリケーションプラットフォームのバックアップとリストアは、下記のクラスタレベルで行う
ことができます。
各マスタの etcdデータ
APIオブジェクト
レジストリストレージ
ボリュームストレージ
バックアップ/リストアの方法については、以下のドキュメントを参照してください。
[RHOCP3.11または RHOCP3.9の場合]
バックアップについては、RHOCP3『Day Two Operations Guide』の
CHAPTER 4. CREATING AN ENVIRONMENT-WIDE BACKUP
リストアについては、RHOCP3『Cluster Administration』の
CHAPTER 3. RESTORING OPENSHIFT CONTAINER PLATFORM COMPONENTS
[RHOCP3.6の場合]
バックアップ/リストアについては、RHOCP3『Cluster Administration』の
CHAPTER 34. BACKUP AND RESTORE
FUJITSU Cloud Service K5 IaaS - Red Hat OpenShift Container Platform スタートガイド
147
修正履歴
修正履歴
版数と変更の内容を説明しています。
版数 変更日 変更箇所 修正概要
1.0版 2018年 3月 22日 全章 1.0版作成
1.1版 2018年 5月 31日 3.4.3 パッケージの更新 説明修正
2.0版
2018年7月 31日 全章
ドキュメントの構成変更
全章
RHOCP3.9サポート
・標準構成
2.1版 2018年 8月 30日 1.2.2 システム構築の流れ
2.1 想定システム構成
2.2.2.2 セキュリティグループの
作成
2.3.1 ロードバランサーの作成
東日本リージョン 3/西日本リー
ジョン 3対応
3.0版 2018年 12月 20日 2.2.2.1 通信を許可するポート
2.2.5.2 イメージ一覧の確認
2.2.5.3 仮想サーバの作成
2.2.5.5 仮想サーバ作成後の設定
2.3.3 セットアップ用スクリプト
の作成
2.3.4 セットアップ
3.1.3.1 セットアップ用スクリプ
トの編集
3.1.3.2 セットアップ
3.2.1 ストレージの準備
3.2.2 PersistentVolume、および
PersistentVolumeClaimの作成
3.2.3 registry podのストレージ
永続化
3.3.2.2 errataの適用
3.4 バックアップ/リストア
RHOCP3.11サポート
2.2.1.1 仮想ネットワークおよび
サブネットの作成
2.2.3.2 ファイアーウォールルー
ルの作成
2.2.4.3 VPNクライアントの設定
説明修正