PASSTHROUGH モードの使用

passthrough モードは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)、Red Hat OpenStack Platform (RHOSP)、Red Hat Virtualization (RHV)、および VMware

vSphere でサポートされます。

passthrough モードでは、Cloud Credential Operator (CCO) は提供されるクラウド認証情報を、コン ポーネントを要求するコンポーネントに渡します。認証情報には、インストールを実行し、クラスター 内のコンポーネントで必要な操作を完了するためのパーミッションが必要ですが、認証情報を新たに作 成する必要はありません。CCO は、passthrough モードで、追加の制限されたスコープの認証情報の 作成を試行しません。

18.3.1. passthrough モードのパーミッション要件

passthrough モードで CCO を使用する場合、指定する認証情報が OpenShift Container Platform を実 行し、インストールしているクラウドの各種要件を満たしていることを確認してください。CCO が

CredentialsRequest CR を作成するコンポーネントに渡す指定された認証情報が不十分な場合に、その

コンポーネントは、パーミッションがない API の呼び出しを試行する際にエラーを報告します。

18.3.1.1. Amazon Web Services (AWS) パーミッションパーミッション

AWS の passthrough モードに指定する認証情報には、実行し、インストールしている OpenShift

Container Platform のバージョンで必要なすべての CredentialsRequest CR に必要なすべての必須 パーミッションがなければなりません。

必要な CredentialsRequest CR を見つけるには、AWS の IAM の手動作成について参照してください。 18.3.1.2. Microsoft Azure パーミッションパーミッション

Azure の passthrough モードに指定する認証情報には、実行し、インストールしている OpenShift Container Platform のバージョンで必要なすべての CredentialsRequest CR に必要なすべての必須 パーミッションがなければなりません。

必要な CredentialsRequest CR を見つけるには、Azure の IAM の手動作成について参照してくださ い。

18.3.1.3. Google Cloud Platform (GCP) パーミッションパーミッション

GCP の passthrough モードに指定する認証情報には、実行し、インストールしている OpenShift

Container Platform のバージョンで必要なすべての CredentialsRequest CR に必要なすべての必須 パーミッションがなければなりません。

必要な CredentialsRequest CR を見つけるには、GCP の IAM の手動作成について参照してください。 18.3.1.4. Red Hat OpenStack Platform (RHOSP) パーミッションパーミッション

OpenShift Container Platform クラスターを RHOSP にインストールするには、CCO では member ユーザーロールのパーミッションと共に認証情報が必要になります。

18.3.1.5. Red Hat Virtualization (RHV) パーミッションパーミッション

OpenShift Container Platform クラスターを RHV にインストールするには、CCO には、以下の権限と 共に認証情報が必要になります。

DiskOperator DiskCreator

UserTemplateBasedVm TemplateOwner

TemplateCreator

OpenShift Container Platform デプロイメントにターゲットが設定される特定クラスターの

ClusterAdmin

18.3.1.6. VMware vSphere パーミッションパーミッション

OpenShift Container Platform クラスターを VMware vSphere にインストールするには、CCO には以

下の vSphere 権限と共に認証情報が必要になります。

表

表18.2 必要な必要な vSphere 権限権限

カテゴリー

カテゴリー 権限権限

データストア 領域の割り当て領域の割り当て

フォルダー フォルダーの作成フォルダーの作成、フォルダーの削除フォルダーの削除

vSphere タグ すべての権限

ネットワーク ネットワークの割り当てネットワークの割り当て

リソース 仮想マシンのリソースプールへの割り当て仮想マシンのリソースプールへの割り当て

プロファイル駆動型ストレージ すべての権限

vApp すべての権限

仮想マシン すべての権限

18.3.2. passthrough モードの認証情報のメンテナンス

CredentialsRequest CR がクラスターのアップグレード時に変更される場合、各種要件を満たすために

passthrough モードの認証情報を手動で更新する必要があります。アップグレード時の認証情報の問題

を回避するには、アップグレードの前に、新規バージョンの OpenShift Container Platform のリリース イメージで CredentialsRequest CR を確認します。クラウドプロバイダーに必要な

CredentialsRequest CRを見つけるには、AWS、Azure 、または GCP の IAM の手動作成について参照の手動作成について参照 してください

してください。

18.3.3. インストール後のパーミッションの縮小

passthrough モードを使用する場合、各コンポーネントには他のすべてのコンポーネントによって使用

されるパーミッションと同じパーミッションがあります。インストール後にパーミッションを縮小しな い場合、すべてのコンポーネントにはインストーラーの実行に必要な幅広いパーミッションが付与され ます。

インストール後に、認証情報のパーミッションを、クラスターの実行に必要なパーミッションに制限で きます。これは、使用している OpenShift Container Platform バージョンのリリースイメージの CredentialsRequest CR で定義されます。

AWS、Azure、または GCP に必要な CredentialsRequest CR を見つけ、CCOが使用するパーミッショ ンを変更する方法については、AWS、Azure 、または GCP の IAM の手動作成について参照してくださの手動作成について参照してくださ い

い。

18.3.4. 追加リソース

AWS の IAM の手動作成 Azure の IAM の手動作成 GCP の IAM の手動作成