Erstellen Sie einen ROSA HCP With-Cluster mit dem ROSA CLI - Red Hat OpenShift Service in AWS
VoraussetzungenErstellen Amazon VPC Anwendung ansehenErstellen Sie die erforderlichen IAM Rollen und OpenID Connect-KonfigurationErstellen Sie einen ROSA HCP With-Cluster mit dem ROSA CLIund AWS STSKonfigurieren Sie einen Identitätsanbieter und gewähren Sie Cluster accessGewähren Sie dem Benutzer Zugriff auf eine Clustercluster-adminBerechtigungen konfigurierenKonfigurieren Sie die dedicated-admin BerechtigungenGreifen Sie auf ein Cluster über die Red Hat Hybrid Cloud ConsoleStellen Sie eine Anwendung aus dem Entwicklerkatalog bereitWiderrufen cluster-admin Sie die Berechtigungen eines BenutzersWiderrufen dedicated-admin Sie die Berechtigungen eines BenutzersWiderrufen Sie den Benutzerzugriff auf eine ClusterLöschen Sie einen Cluster und AWS STS Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen ROSA HCP With-Cluster mit dem ROSA CLI

In den folgenden Abschnitten werden die ersten Schritte ROSA mit gehosteten Steuerungsebenen (ROSAmitHCP) beschrieben AWS STS und das ROSA CLI. Die Schritte zum Erstellen eines HCP With-Clusters ROSA mithilfe von Terraform finden Sie in der Red Hat-Dokumentation. Um mehr über den Terraform-Anbieter für die Erstellung zu erfahren ROSA Cluster finden Sie in der Terraform-Dokumentation.

Das Tool ROSA CLIverwendet auto Modus oder manual Modus, um das zu erstellen IAM Ressourcen und OpenID Connect (OIDC) -Konfiguration erforderlich, um eine zu erstellen ROSA Cluster. autoDer Modus erstellt automatisch das Erforderliche IAM Rollen und Richtlinien sowie OIDC Anbieter. manualmode gibt die aus AWS CLI Befehle, die benötigt werden, um das zu erstellen IAM Ressourcen manuell. Wenn Sie manual den Modus verwenden, können Sie die generierten Daten überprüfen AWS CLI Befehle, bevor Sie sie manuell ausführen. Mit dem manual Modus können Sie die Befehle auch an einen anderen Administrator oder eine andere Gruppe in Ihrer Organisation weitergeben, sodass dieser die Ressourcen erstellen kann.

Die Verfahren in diesem Dokument verwenden den auto Modus ROSA CLIum das erforderliche zu erstellen IAM Ressourcen und OIDC Konfiguration für ROSA mitHCP. Weitere Optionen für den Einstieg finden Sie unterFangen Sie an mit ROSA.

Voraussetzungen

Führen Sie die erforderlichen Aktionen aus, die unter aufgeführt sindZur Verwendung eingerichtet ROSA.

Erstellen Amazon VPC Anwendung ansehen

Das folgende Verfahren erstellt Amazon VPC Architektur, die zum Hosten eines Clusters verwendet werden kann. Alle Cluster Ressourcen werden im privaten Subnetz gehostet. Das öffentliche Subnetz leitet ausgehenden Verkehr vom privaten Subnetz über ein NAT Gateway zum öffentlichen Internet weiter. Dieses Beispiel verwendet den Block für CIDR 10.0.0.0/16 Amazon VPC. Sie können jedoch einen anderen CIDR Block wählen. Weitere Informationen finden Sie unter VPCGröße.

Wichtig

Wenn Amazon VPC Die Anforderungen werden nicht erfüllt, die Clustererstellung schlägt fehl.

Terraform

  1. Installieren Sie die TerraformCLI. Weitere Informationen finden Sie in den Installationsanweisungen in der Terraform-Dokumentation.

  2. Öffnen Sie eine Terminalsitzung und klonen Sie das VPC Terraform-Repository.

    git clone https://github.com/openshift-cs/terraform-vpc-example

  3. Navigieren Sie zum erstellten Verzeichnis.

    cd terraform-vpc-example

  4. Initiieren Sie die Terraform-Datei.

    terraform init

    Sobald der Vorgang abgeschlossen ist, wird eine Meldung CLI zurückgegeben, dass Terraform erfolgreich initialisiert wurde.

  5. Führen Sie den folgenden Befehl aus, um einen Terraform-Plan auf der Grundlage der vorhandenen Vorlage zu erstellen. Das Tool AWS-Region muss angegeben werden. Optional können Sie einen Clusternamen angeben.

    terraform plan -out rosa.tfplan -var region=<region>

    Sobald der Befehl ausgeführt wurde, wird dem hypershift-tf Verzeichnis eine rosa.tfplan Datei hinzugefügt. Ausführlichere Optionen finden Sie in der Datei des VPC Terraform-Repositorys README.

  6. Wenden Sie die Plandatei an, um die zu erstellen. VPC

    terraform apply rosa.tfplan

    Nach Abschluss des Vorgangs wurde eine Erfolgsmeldung CLI zurückgegeben, in der die hinzugefügten Ressourcen bestätigt wurden.

    1. (Optional) Erstellen Sie Umgebungsvariablen für das von Terraform bereitgestellte private, öffentliche und IDs Machinepool-Subnetz, die Sie bei der Erstellung Ihres With-Clusters verwenden können. ROSA HCP

      export SUBNET_IDS=$(terraform output -raw cluster-subnets-string)

    2. (Optional) Stellen Sie sicher, dass die Umgebungsvariablen korrekt festgelegt wurden.

      echo $SUBNET_IDS
Amazon VPC console

  1. Öffnen Sie Amazon VPC Konsole.

  2. Wählen Sie im VPC Dashboard die Option Erstellen ausVPC.

  3. Wählen Sie unter Zu erstellende Ressourcen die Option VPCund mehr aus.

  4. Lassen Sie die automatische Generierung von Namensschildern aktiviert, um Namensschilder für die VPC Ressourcen zu erstellen, oder deaktivieren Sie die Option, um eigene Namensschilder für die VPC Ressourcen bereitzustellen.

  5. Geben Sie im Feld IPv4CIDRBlock einen IPv4 Adressbereich für den VPC ein. A VPC muss einen IPv4 Adressbereich haben.

  6. (Optional) Um IPv6 Traffic zu unterstützen, wählen Sie IPv6CIDRBlock, von Amazon bereitgestellter Block IPv6 CIDR.

  7. Belassen Sie Tenancy als. Default

  8. Wählen Sie unter Anzahl der Availability Zones (AZs) die Anzahl aus, die Sie benötigen. Für Multi-AZ-Bereitstellungen ROSA erfordert drei Availability Zones. Erweitern Sie Anpassen AZs, um die AZs für Ihre Subnetze auszuwählen.

    Anmerkung

    Etwas ROSA Instanztypen sind nur in ausgewählten Availability Zones verfügbar. Sie können das ROSA CLIBefehl rosa list instance-types Befehl, um alle aufzulisten ROSA Verfügbare Instanztypen. Um zu überprüfen, ob ein Instance-Typ für eine bestimmte Availability Zone verfügbar ist, verwenden Sie den AWS CLI Befehlaws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values=<availability_zone> --region <region> --output text | egrep "<instance_type>".

  9. Um Ihre Subnetze zu konfigurieren, wählen Sie Werte für Anzahl der öffentlichen Subnetze und Anzahl der privaten Subnetze. Um die IP-Adressbereiche für Ihre Subnetze auszuwählen, erweitern Sie die Option Subnetzblöcke CIDR anpassen.

    Anmerkung

    ROSAmit HCP erfordert, dass Kunden mindestens ein öffentliches und ein privates Subnetz pro Availability Zone konfigurieren, die zur Erstellung von Clustern verwendet wird.

  10. Um Ressourcen im privaten Subnetz Zugriff auf das öffentliche Internet zu gewährenIPv4, wählen Sie bei Gateways die Anzahl der NATGateways aus, AZs in denen Gateways erstellt werden sollen. NAT In der Produktion empfehlen wir, in jeder AZ ein NAT Gateway mit Ressourcen bereitzustellen, die Zugriff auf das öffentliche Internet benötigen.

  11. (Optional) Wenn Sie darauf zugreifen müssen Amazon S3 direkt von IhremVPC, ausgewählten VPCEndpunkt, S3 Gateway.

  12. Behalten Sie die ausgewählten DNS Standardoptionen bei. ROSA erfordert DNS Hostnamen-Unterstützung auf demVPC.

  13. Erweitern Sie Zusätzliche Tags, wählen Sie Neues Tag hinzufügen und fügen Sie die folgenden Tag-Schlüssel hinzu. ROSA verwendet automatische Preflight-Checks, die überprüfen, ob diese Tags verwendet werden.

    • Schlüssel: kubernetes.io/role/elb

    • Schlüssel: kubernetes.io/role/internal-elb

  14. Wählen Sie „Erstellen VPC“.

AWS CLI

  1. Erstellen Sie eine VPC mit einem 10.0.0.0/16 CIDR Block.

     aws ec2 create-vpc \
     --cidr-block 10.0.0.0/16 \
     --query Vpc.VpcId \
     --output text

    Der vorherige Befehl gibt die VPC ID zurück. Im Folgenden finden Sie eine Beispielausgabe.

    vpc-1234567890abcdef0

  2. Speichern Sie die VPC ID in einer Umgebungsvariablen.

    export VPC_ID=vpc-1234567890abcdef0

  3. Erstellen Sie mithilfe der VPC VPC_ID Umgebungsvariablen ein Name Tag für die.

    aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC

  4. Aktivieren Sie die DNS Hostnamen-Unterstützung auf demVPC.

    aws ec2 modify-vpc-attribute \
    --vpc-id $VPC_ID \
    --enable-dns-hostnames

  5. Erstellen Sie ein öffentliches und privates Subnetz in der und geben Sie die Availability Zones anVPC, in denen die Ressourcen erstellt werden sollen.

    Wichtig

    ROSAmit HCP erfordert, dass Kunden mindestens ein öffentliches und privates Subnetz pro Availability Zone konfigurieren, die zur Erstellung von Clustern verwendet wird. Für Multi-AZ-Bereitstellungen sind drei Availability Zones erforderlich. Wenn diese Anforderungen nicht erfüllt sind, schlägt die Clustererstellung fehl.

    Anmerkung

    Etwas ROSA Instanztypen sind nur in ausgewählten Availability Zones verfügbar. Sie können das ROSA CLIBefehl rosa list instance-types Befehl, um alle aufzulisten ROSA Verfügbare Instanztypen. Um zu überprüfen, ob ein Instance-Typ für eine bestimmte Availability Zone verfügbar ist, verwenden Sie den AWS CLI Befehlaws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values=<availability_zone> --region <region> --output text | egrep "<instance_type>".

    aws ec2 create-subnet \
    --vpc-id $VPC_ID \
    --cidr-block 10.0.1.0/24 \
    --availability-zone us-east-1a \
    --query Subnet.SubnetId \
    --output text
aws ec2 create-subnet \
    --vpc-id $VPC_ID \
    --cidr-block 10.0.0.0/24 \
    --availability-zone us-east-1a \
    --query Subnet.SubnetId \
    --output text

  6. Speichern Sie das öffentliche und private Subnetz IDs in Umgebungsvariablen.

    export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0

  7. Erstellen Sie die folgenden Tags für Ihre VPC Subnetze. ROSA verwendet automatische Preflight-Checks, die sicherstellen, dass diese Tags verwendet werden.

    Anmerkung

    Sie müssen mindestens ein privates Subnetz und gegebenenfalls ein öffentliches Subnetz taggen.

    aws ec2 create-tags --resources $PUBLIC_SUB --tags Key=kubernetes.io/role/elb,Value=1
aws ec2 create-tags --resources $PRIVATE_SUB --tags Key=kubernetes.io/role/internal-elb,Value=1

  8. Erstellen Sie ein Internet-Gateway und eine Routing-Tabelle für ausgehenden Verkehr. Erstellen Sie eine Routentabelle und eine elastische IP-Adresse für privaten Datenverkehr.

    aws ec2 create-internet-gateway \
    --query InternetGateway.InternetGatewayId \
    --output text
aws ec2 create-route-table \
    --vpc-id $VPC_ID \
    --query RouteTable.RouteTableId \
    --output text
aws ec2 allocate-address \
    --domain vpc \
    --query AllocationId \
    --output text
aws ec2 create-route-table \
    --vpc-id $VPC_ID \
    --query RouteTable.RouteTableId \
    --output text

  9. Speichern Sie die Variablen IDs in der Umgebung.

    export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0

  10. Verbinden Sie das Internet-Gateway mit demVPC.

    aws ec2 attach-internet-gateway \
    --vpc-id $VPC_ID \
    --internet-gateway-id $IGW

  11. Ordnen Sie die Tabelle für öffentliche Routen dem öffentlichen Subnetz zu und konfigurieren Sie den Datenverkehr so, dass er zum Internet-Gateway weitergeleitet wird.

    aws ec2 associate-route-table \
    --subnet-id $PUBLIC_SUB \
    --route-table-id $PUBLIC_RT
aws ec2 create-route \
    --route-table-id $PUBLIC_RT \
    --destination-cidr-block 0.0.0.0/0 \
    --gateway-id $IGW

  12. Erstellen Sie das NAT Gateway und ordnen Sie es der elastischen IP-Adresse zu, um den Verkehr zum privaten Subnetz zu ermöglichen.

    aws ec2 create-nat-gateway \
    --subnet-id $PUBLIC_SUB \
    --allocation-id $EIP \
    --query NatGateway.NatGatewayId \
    --output text

  13. Ordnen Sie die private Routing-Tabelle dem privaten Subnetz zu und konfigurieren Sie den Datenverkehr so, dass er zum NAT Gateway weitergeleitet wird.

    aws ec2 associate-route-table \
    --subnet-id $PRIVATE_SUB \
    --route-table-id $PRIVATE_RT
aws ec2 create-route \
    --route-table-id $PRIVATE_RT \
    --destination-cidr-block 0.0.0.0/0 \
    --gateway-id $NATGW

  14. (Optional) Wiederholen Sie bei Multi-AZ-Bereitstellungen die obigen Schritte, um zwei weitere Availability Zones mit öffentlichen und privaten Subnetzen zu konfigurieren.

Erstellen Sie die erforderlichen IAM Rollen und OpenID Connect-Konfiguration

Bevor Sie einen ROSA HCP With-Cluster erstellen, müssen Sie den erforderlichen IAM Rollen und Richtlinien und die OpenID Connect (OIDC) -Konfiguration. Weitere Informationen zur IAM Rollen und Richtlinien für ROSA withHCP, sieheAWS verwaltete Richtlinien für ROSA.

Dieses Verfahren verwendet den auto Modus von ROSA CLIum automatisch die OIDC Konfiguration zu erstellen, die für die Erstellung eines ROSA HCP With-Clusters erforderlich ist.

  1. Erstellen Sie die erforderlichen IAM Kontorollen und Richtlinien. Der --force-policy-creation Parameter aktualisiert alle vorhandenen Rollen und Richtlinien. Wenn keine Rollen und Richtlinien vorhanden sind, erstellt der Befehl stattdessen diese Ressourcen.

    rosa create account-roles --force-policy-creation
    Anmerkung

    Wenn Ihr Offline-Zugriffstoken abgelaufen ist, ROSA CLIgibt eine Fehlermeldung aus, die besagt, dass Ihr Autorisierungstoken aktualisiert werden muss. Schritte zur Fehlerbehebung finden Sie unterProblembehandlung bei ROSA CLI abgelaufenen Offline-Zugriffstoken.

  2. Erstellen Sie die OpenID Connect (OIDC) -Konfiguration, die die Benutzerauthentifizierung für den Cluster ermöglicht. Diese Konfiguration ist für die Verwendung mit OpenShift Cluster Manager (OCM) registriert.

    rosa create oidc-config --mode=auto

  3. Kopieren Sie die OIDC Konfigurations-ID aus dem ROSA CLIAusgabe. Die OIDC Konfigurations-ID muss später angegeben werden, um den HCP With-Cluster ROSA zu erstellen.

  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, welche OIDC Konfigurationen für Cluster verfügbar sind, die Ihrer Benutzerorganisation zugeordnet sind.

    rosa list oidc-config

  5. Erstellen Sie das erforderliche IAM Operatorrollen, die <OIDC_CONFIG_ID> durch die zuvor kopierte OIDC Konfigurations-ID ersetzt werden.

    Wichtig

    <PREFIX_NAME>Bei der Erstellung der Operatorrollen müssen Sie ein Präfix angeben. Wenn Sie dies nicht tun, wird ein Fehler ausgegeben.

    rosa create operator-roles --prefix <PREFIX_NAME> --oidc-config-id <OIDC_CONFIG_ID> --hosted-cp

  6. Um das zu überprüfen IAM Operatorrollen wurden erstellt. Führen Sie den folgenden Befehl aus:

    rosa list operator-roles

Erstellen Sie einen ROSA HCP With-Cluster mit dem ROSA CLIund AWS STS

Sie können eine ROSA mit erstellen HCP Cluster verwenden AWS Security Token Service (AWS STS) und der auto Modus, der in der ROSA CLI. Sie haben die Möglichkeit, einen Cluster mit einem öffentlichen API und einem Ingress oder einem privaten API und einem Ingress zu erstellen.

Sie können einen erstellen Cluster mit einer einzigen Availability Zone (Single-AZ) oder mehreren Availability Zones (Multi-AZ). In beiden Fällen muss der Wert Ihrer Maschine mit Ihrem CIDR VPC Wert übereinstimmen. CIDR

Im folgenden Verfahren wird der rosa create cluster --hosted-cp Befehl verwendet, um eine Single-AZ ROSA mit zu erstellen HCP Cluster. Um ein Multi-AZ zu erstellen Cluster, geben Sie multi-az im Befehl und das private Subnetz IDs für jedes private Subnetz an, in dem Sie die Bereitstellung durchführen möchten.

  1. Erstellen Sie ROSA mit einem der folgenden Befehle einen HCP With-Cluster.

    • Erstellen Sie einen ROSA HCP With-Cluster mit einem öffentlichen API und einem Ingress-Cluster und geben Sie dabei den Clusternamen, das Operator-Rollenpräfix, die OIDC Konfigurations-ID sowie das öffentliche und private IDs Subnetz an.

      rosa create cluster --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --operator-roles-prefix <OPERATOR_ROLE_PREFIX> --oidc-config-id <OIDC_CONFIG_ID> --subnet-ids=<PUBLIC_SUBNET_ID>,<PRIVATE_SUBNET_ID>

    • Erstellen Sie einen ROSA HCP With-Cluster mit einem privaten API und einem Ingress-Cluster und geben Sie dabei den Clusternamen, das Operatorrollenpräfix, die OIDC Konfigurations-ID und das private Subnetz an. IDs

      rosa create cluster --private --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --subnet-ids=<PRIVATE_SUBNET_ID>

  2. Überprüfen Sie den Status Ihres Cluster.

    rosa describe cluster -c <CLUSTER_NAME>
    Anmerkung

    Wenn der Erstellungsvorgang fehlschlägt oder das State Feld nach 10 Minuten nicht den Status „Bereit“ annimmt, finden Sie weitere Informationen unterFehlerbehebung.

    Um Kontakt aufzunehmen AWS Support oder Unterstützung durch den Red Hat Support finden Sie unterROSA Unterstützung erhalten.

  3. Verfolgen Sie den Fortschritt des Cluster Erstellung, indem Sie sich die OpenShift Installationsprotokolle ansehen.

    rosa logs install -c <CLUSTER_NAME> --watch

Konfigurieren Sie einen Identitätsanbieter und gewähren Sie Cluster access

ROSA beinhaltet einen integrierten OAuth Server. Nach deinem Cluster erstellt wurde, müssen Sie für OAuth die Verwendung eines Identitätsanbieters konfigurieren. Anschließend können Sie Benutzer zu Ihrem konfigurierten Identitätsanbieter hinzufügen, um ihnen Zugriff auf Ihren Cluster. Sie können diesen Benutzern cluster-admin oder dedicated-admin Berechtigungen nach Bedarf gewähren.

Sie können verschiedene Identitätsanbietertypen für Ihre konfigurieren ROSA Cluster. Zu den unterstützten Typen gehören GitHub Enterprise GitHub GitLab, GoogleLDAP, OpenID Connect und HTPasswd Identity Providers.

Wichtig

Der HTPasswd Identitätsanbieter ist nur enthalten, um die Erstellung eines einzelnen statischen Administratorbenutzers zu ermöglichen. HTPasswdwird nicht als allgemein verwendbarer Identitätsanbieter für unterstützt ROSA.

Im folgenden Verfahren wird ein GitHub Identitätsanbieter als Beispiel konfiguriert. Anweisungen zur Konfiguration der einzelnen unterstützten Identitätsanbietertypen finden Sie unter Konfiguration von Identitätsanbietern für AWS STS.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Wenn Sie keine GitHub Organisation haben, die Sie für die Identitätsbereitstellung für Ihr Cluster, erstellen Sie eine. Weitere Informationen finden Sie in den Schritten in der GitHub Dokumentation.

  3. Verwendung der ROSA CLIKonfigurieren Sie im interaktiven Modus einen Identitätsanbieter für Ihren Cluster.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Folgen Sie den Konfigurationsanweisungen in der Ausgabe, um einzuschränken Cluster Zugriff auf Mitglieder Ihrer GitHub Organisation.

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Öffnen Sie das URL in der Ausgabe und <GITHUB_ORG_NAME> ersetzen Sie es durch den Namen Ihrer GitHub Organisation.

  6. Wählen Sie auf der GitHub Webseite Anwendung registrieren aus, um eine neue OAuth Anwendung in Ihrer GitHub Organisation zu registrieren.

  7. Verwenden Sie die Informationen GitHub OAuth auf der Seite, um die verbleibenden rosa create idp interaktiven Eingabeaufforderungen auszufüllen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie <GITHUB_CLIENT_ID> und <GITHUB_CLIENT_SECRET> durch die Anmeldeinformationen aus Ihrer GitHub OAuth Anwendung.

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    Anmerkung

    Es kann ungefähr zwei Minuten dauern, bis die Identity Provider-Konfiguration aktiv wird. Wenn Sie einen cluster-admin Benutzer konfiguriert haben, können Sie ihn ausführen, oc get pods -n openshift-authentication --watch um zu beobachten, wie die OAuth Pods mit der aktualisierten Konfiguration erneut bereitgestellt werden.

  8. Stellen Sie sicher, dass der Identitätsanbieter korrekt konfiguriert ist.

    rosa list idps --cluster=<CLUSTER_NAME>

Gewähren Sie dem Benutzer Zugriff auf eine Cluster

Sie können einem Benutzer Zugriff auf Ihr gewähren Cluster indem Sie sie dem konfigurierten Identity Provider hinzufügen.

Das folgende Verfahren fügt einen Benutzer zu einer GitHub Organisation hinzu, die für die Identitätsbereitstellung im Cluster konfiguriert ist.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Laden Sie Benutzer ein, die Folgendes benötigen Cluster Zugriff auf Ihre GitHub Organisation. Weitere Informationen finden Sie in der GitHub Dokumentation unter Benutzer einladen, Ihrer Organisation beizutreten.

cluster-adminBerechtigungen konfigurieren

  1. Erteilen Sie die cluster-admin Berechtigungen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer- und Clusternamen.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Stellen Sie sicher, dass der Benutzer als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Konfigurieren Sie die dedicated-admin Berechtigungen

  1. Erteilen Sie die dedicated-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster name, indem Sie den folgenden Befehl ausführen.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Stellen Sie sicher, dass der Benutzer als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Greifen Sie auf ein Cluster über die Red Hat Hybrid Cloud Console

Loggen Sie sich in Ihr Cluster über die Red Hat Hybrid Cloud Console.

  1. Besorgen Sie sich die Konsole URL für Cluster mit dem folgenden Befehl. <CLUSTER_NAME>Ersetze es durch den Namen deines Cluster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Navigieren Sie URL in der Ausgabe zur Konsole und melden Sie sich an.

    Wählen Sie im Dialogfeld Anmelden mit... den Namen des Identitätsanbieters und füllen Sie alle Autorisierungsanfragen Ihres Anbieters aus.

Stellen Sie eine Anwendung aus dem Entwicklerkatalog bereit

Von der Red Hat Hybrid Cloud Console aus können Sie eine Developer Catalog-Testanwendung bereitstellen und sie mit einer Route verfügbar machen.

  1. Navigieren Sie zur Red Hat Hybrid Cloud Console und wählen Sie den Cluster aus, in dem Sie die App bereitstellen möchten.

  2. Wählen Sie auf der Seite des Clusters Open Console aus.

  3. Wählen Sie in der Administratorperspektive Startseite > Projekte > Projekt erstellen aus.

  4. Geben Sie einen Namen für Ihr Projekt ein und fügen Sie optional einen Anzeigenamen und eine Beschreibung hinzu.

  5. Wählen Sie Erstellen, um das Projekt zu erstellen.

  6. Wechseln Sie zur Entwicklerperspektive und wählen Sie +Hinzufügen. Stellen Sie sicher, dass das ausgewählte Projekt das ist, das gerade erstellt wurde.

  7. Wählen Sie im Dialogfeld „Entwicklerkatalog“ die Option Alle Dienste aus.

  8. Wählen Sie auf der Seite mit dem Entwicklerkatalog im Menü Sprachen > JavaScriptaus.

  9. Wählen Sie Node.js und dann Anwendung erstellen, um die Seite „Source-to-Image-Anwendung erstellen“ zu öffnen.

    Anmerkung

    Möglicherweise müssen Sie Alle Filter löschen auswählen, um die Option Node.js anzuzeigen.

  10. Wählen Sie im Abschnitt Git die Option Try Sample aus.

  11. Fügen Sie im Feld Name einen eindeutigen Namen hinzu.

  12. Wählen Sie Create (Erstellen) aus.

    Anmerkung

    Die Bereitstellung der neuen Anwendung dauert mehrere Minuten.

  13. Wenn die Bereitstellung abgeschlossen ist, wählen Sie die Route URL für die Anwendung aus.

    Im Browser wird eine neue Registerkarte mit einer Meldung geöffnet, die der folgenden ähnelt.

    Welcome to your Node.js application on OpenShift

  14. (Optional) Löschen Sie die Anwendung und bereinigen Sie die Ressourcen:

    1. Wählen Sie in der AdministratorperspektiveStartseite“ > „Projekte“.

    2. Öffnen Sie das Aktionsmenü für Ihr Projekt und wählen Sie Projekt löschen.

Widerrufen cluster-admin Sie die Berechtigungen eines Benutzers

  1. Widerrufen Sie die cluster-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster Name.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Widerrufen dedicated-admin Sie die Berechtigungen eines Benutzers

  1. Widerrufen Sie die dedicated-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster Name.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der dedicated-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Widerrufen Sie den Benutzerzugriff auf eine Cluster

Sie können widerrufen Cluster Zugriff für einen Identity Provider-Benutzer, indem Sie ihn aus dem konfigurierten Identity Provider entfernen.

Sie können verschiedene Arten von Identitätsanbietern für Ihre konfigurieren Cluster. Das folgende Verfahren widerruft Cluster Zugriff für ein Mitglied einer GitHub Organisation.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Entferne den Benutzer aus deiner GitHub Organisation. Weitere Informationen finden Sie in der GitHub Dokumentation unter Ein Mitglied aus Ihrer Organisation entfernen.

Löschen Sie einen Cluster und AWS STS Ressourcen

Sie können das ROSA CLIum einen zu löschen Cluster das benutzt AWS Security Token Service (AWS STS). Sie können auch die verwenden ROSA CLIum das zu löschen IAM Rollen und OIDC Anbieter, erstellt von ROSA. Um das zu löschen IAM Richtlinien erstellt von ROSA, Sie können das verwenden IAM console.

Anmerkung

IAM Rollen und Richtlinien, erstellt von ROSA könnte von anderen verwendet werden ROSA Cluster im selben Konto.

  1. Löschen Sie die Cluster und sieh dir die Protokolle an. Ersetze es <CLUSTER_NAME> durch den Namen oder die ID deines Cluster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    Wichtig

    Sie müssen auf das warten Cluster um es vollständig zu löschen, bevor Sie das entfernen IAM Rollen, Richtlinien und OIDC Anbieter. Die IAM Kontorollen sind erforderlich, um die vom Installationsprogramm erstellten Ressourcen zu löschen. Die IAM Operatorrollen sind erforderlich, um die von den OpenShift Operatoren erstellten Ressourcen zu bereinigen. Die Betreiber verwenden den OIDC Anbieter zur Authentifizierung.

  2. Löschen Sie den OIDC Anbieter, den Cluster Operatoren verwenden, um sich zu authentifizieren, indem sie den folgenden Befehl ausführen.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Löschen Sie den clusterspezifischen Operator IAM Rollen.

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Löschen Sie die IAM Kontorollen mit dem folgenden Befehl. <PREFIX>Ersetzen Sie es durch das Präfix der zu löschenden IAM Kontorollen. Wenn Sie beim Erstellen der IAM Kontorollen ein benutzerdefiniertes Präfix angegeben haben, geben Sie das ManagedOpenShift Standardpräfix an.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Löschen Sie die IAM Richtlinien wurden erstellt von ROSA.

    1. Loggen Sie sich ein in IAM Konsole.

    2. Wählen Sie im linken Menü unter Zugriffsverwaltung die Option Richtlinien aus.

    3. Wählen Sie die Richtlinie aus, die Sie löschen möchten, und wählen Sie Aktionen > Löschen.

    4. Geben Sie den Richtliniennamen ein und wählen Sie Löschen aus.

    5. Wiederholen Sie diesen Schritt, um alle IAM Richtlinien für das zu löschen Cluster.