4 環境の作成
重要:
このドキュメントで説明されているソフトウェアは、Extended SupportまたはSustaining Supportにあります。 詳細は、「Oracleオープン・ソース・サポート・ポリシー」を参照してください。
このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお勧めします。
Kubernetesクラスタを作成するための最初のステップは、環境の作成です。 それぞれの環境に潜在的に複数のモジュールが含まれている、複数の環境を作成できます。 各環境およびモジュールに名前を付けると、Oracle Cloud Native Environmentのデプロイ済コンポーネントの管理が容易になります。
ノート:
複数の環境で同じノードを使用しないでください。
環境を作成するには、operatorノードでolcnectl environment create
コマンドを使用します。 olcnectl environment create
コマンドの構文の詳細は、「プラットフォーム・コマンドライン・インタフェース」を参照してください。
ヒント:
構成ファイルを使用して環境を作成することもできます。 構成ファイルは、デプロイする環境およびモジュールに関する情報を含むYAMLファイルです。 構成ファイルを使用すると、olcnectl
コマンドで指定する必要がある情報が削減されます。 構成ファイルの作成および使用の詳細は、「プラットフォーム・コマンドライン・インタフェース」を参照してください。
この項では、環境の作成にVaultを使用する方法と、各ノードのファイル・システムにコピーした独自の証明書を使用する方法を示します。 X.509証明書の設定の詳細は、「KubernetesノードのX.509証明書の設定」を参照してください。
Vaultで管理された証明書を使用した環境の作成
この項では、証明書の提供と管理にVaultを使用する環境の作成方法を示します。
operatorノードで、olcnectl environment create
コマンドを使用して環境を作成します。 たとえば、https://192.0.2.20:8200
にあるVaultインスタンスから生成された証明書を使用して、myenvironment
という環境を作成するには、次のようにします。:
olcnectl environment create \ --api-server 127.0.0.1:8091 \ --environment-name myenvironment \ --secret-manager-type vault \ --vault-token s.3QKNuRoTqLbjXaGBOmO6Psjh \ --vault-address https://192.0.2.20:8200 \ --update-config
--api-server
オプションは、Platform API Serverサービスのロケーションを設定します。 この例では、Platform API Serverがオペレータ・ノード(localhost)で実行され、ポート8091
でリスニングしています。
--environment-name
オプションは環境の名前を設定します。この例ではmyenvironment
です。
--secret-manager-type
オプションは、証明書マネージャをVaultに設定します。
--vault-token
は、Vaultにアクセスするためのトークンに置き換えてください。
--vault-address
は、Vaultインスタンスの場所に置き換えてください。
デフォルトでは、Vaultによって生成された証明書は$HOME/.olcne/certificates/environment_name/
に保存されます。 証明書の保存先に別の場所を指定する場合は、オプションの--olcne-node-cert-path
、--olcne-ca-path
および--olcne-node-key-path
を使用します。 たとえば、olcnectl environment create
コマンドに次のオプションを追加します:
--olcne-node-cert-path /path/node.cert \ --olcne-ca-path /path/ca.cert \ --olcne-node-key-path /path/node.key
--update-config
オプションは、環境に関する情報を$HOME/.olcne/olcne.conf
にあるローカル構成ファイルに書き込み、この構成はプラットフォームAPIサーバーへの将来の呼び出しに使用されます。 このオプションを使用する場合は、将来の
コマンドでPlatform APIサーバー(olcnectl
--api-server
オプションを使用)を指定する必要はありません。 Platform API Serverの設定の詳細は、プラットフォーム・コマンドライン・インタフェースを参照してください。
証明書を使用した環境の作成
この項では、独自の証明書(各ノードにコピーしたもの)を使用して環境を作成する方法を示します。 この例では、証明書が/etc/olcne/certificates/
ディレクトリ内のすべてのノードで使用できることを前提としています。
operatorノードで、olcnectl environment create
コマンドを使用して環境を作成します。 たとえば:
olcnectl environment create \ --api-server 127.0.0.1:8091 \ --environment-name myenvironment \ --secret-manager-type file \ --olcne-node-cert-path /etc/olcne/certificates/node.cert \ --olcne-ca-path /etc/olcne/certificates/ca.cert \ --olcne-node-key-path /etc/olcne/certificates/node.key \ --update-config
--api-server
オプションは、Platform API Serverサービスのロケーションを設定します。 この例では、Platform API Serverがオペレータ・ノード(localhost)で実行され、ポート8091
でリスニングしています。
--environment-name
オプションは環境の名前を設定します。この例ではmyenvironment
です。
--secret-manager-type
オプションは、ファイルベースの証明書を使用するように証明書マネージャを設定します。
--olcne-node-cert-path
、--olcne-ca-path
、および--olcne-ca-path
オプションは、証明書ファイルのロケーションを設定します。 オプションで、環境変数を使用して証明書ファイルのロケーションを設定できます。olcnectl
では、これらが設定されている場合はこれらのファイルが使用されます。 次の環境変数は、olcnectl environment create
コマンド・オプションにマップされます:
表4-1 証明書オプション
コマンド・オプション | 環境変数 | 用途 |
---|---|---|
|
|
ノード証明書のパス。 |
|
|
認証局証明書へのパス。 |
|
|
ノード証明書のキーへのパス。 |
たとえば、同じ環境の環境変数を使用して証明書情報を設定するには、次を使用できます:
export OLCNE_SM_CA_PATH=/etc/olcne/certificates/ca.cert export OLCNE_SM_CERT_PATH=/etc/olcne/certificates/node.cert export OLCNE_SM_KEY_PATH=/etc/olcne/certificates/node.key olcnectl environment create \ --api-server 127.0.0.1:8091 \ --environment-name myenvironment \ --secret-manager-type file \ --update-config
--update-config
オプションは、環境に関する情報を$HOME/.olcne/olcne.conf
にあるローカル構成ファイルに書き込み、この構成はプラットフォームAPIサーバーへの将来の呼び出しに使用されます。 このオプションを使用する場合は、将来の
コマンドでPlatform APIサーバー(olcnectl
--api-server
オプションを使用)を指定する必要はありません。 Platform API Serverの設定の詳細は、プラットフォーム・コマンドライン・インタフェースを参照してください。