Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez un HCP cluster ROSA avec à l'aide du ROSA CLI
Les sections suivantes décrivent comment démarrer ROSA avec les plans de contrôle hébergés (ROSAavecHCP) en utilisant AWS STS et le ROSA CLI. Pour savoir comment créer un HCP cluster ROSA with à l'aide de Terraform, consultez la documentation Red Hat
Le ROSA CLIutilise auto
le mode ou manual
le mode pour créer le IAM ressources et configuration OpenID Connect (OIDC) requises pour créer un ROSA
cluster. auto
le mode crée automatiquement le requis IAM rôles, politiques et OIDC fournisseur. manual
le mode affiche le AWS CLI commandes nécessaires pour créer le IAM ressources manuellement. En utilisant manual
le mode, vous pouvez consulter les AWS CLI commandes avant de les exécuter manuellement. Avec manual
le mode, vous pouvez également transmettre les commandes à un autre administrateur ou à un autre groupe de votre organisation afin qu'il puisse créer les ressources.
Les procédures décrites dans ce document utilisent le auto
mode de ROSA CLIpour créer le nécessaire IAM ressources et OIDC configuration pour ROSA withHCP. Pour plus d'options de démarrage, consultezCommencez avec ROSA.
Rubriques
- Prérequis
- Création Amazon VPC application
- Créez le requis IAM rôles et configuration d'OpenID Connect
- Créez un HCP cluster ROSA avec à l'aide du ROSA CLIet AWS STS
- Configuration d'un fournisseur d'identité et autorisation cluster accès
- Accorder à l'utilisateur l'accès à un cluster
- Configuration cluster-admin des autorisations
- Configuration dedicated-admin des autorisations
- Accédez à un cluster via la console Red Hat Hybrid Cloud
- Déployer une application depuis le catalogue des développeurs
- Révoquer cluster-admin les autorisations d'un utilisateur
- Révoquer dedicated-admin les autorisations d'un utilisateur
- Révoquer l'accès d'un utilisateur à un cluster
- Supprimer un cluster et AWS STS resources
Prérequis
Effectuez les actions préalables répertoriées dansConfigurer pour utiliser ROSA.
Création Amazon VPC application
La procédure suivante crée Amazon VPC architecture pouvant être utilisée pour héberger un cluster. Tous cluster les ressources sont hébergées dans le sous-réseau privé. Le sous-réseau public achemine le trafic sortant depuis le sous-réseau privé via une NAT passerelle vers l'Internet public. Cet exemple utilise le CIDR bloc 10.0.0.0/16
pour Amazon VPC. Vous pouvez toutefois choisir un autre CIDR bloc. Pour plus d'informations, consultez la section VPCDimensionnement.
Important
If Amazon VPC les exigences ne sont pas satisfaites, la création du cluster échoue.
Créez le requis IAM rôles et configuration d'OpenID Connect
Avant de créer un HCP cluster ROSA with, vous devez créer le nécessaire IAM les rôles et les politiques et la configuration d'OpenID Connect (OIDC). Pour plus d'informations sur IAM rôles et politiques pour ROSA withHCP, voirAWS politiques gérées pour ROSA.
Cette procédure utilise le auto
mode de ROSA CLIpour créer automatiquement la OIDC configuration nécessaire à la création d'un HCP cluster ROSA with.
-
Créez le requis IAM rôles et politiques du compte. Le
--force-policy-creation
paramètre met à jour tous les rôles et politiques existants. Si aucun rôle ni aucune politique n'est présent, la commande crée ces ressources à la place.rosa create account-roles --force-policy-creation
Note
Si votre jeton d'accès hors ligne a expiré, le ROSA CLIaffiche un message d'erreur indiquant que votre jeton d'autorisation doit être mis à jour. Pour connaître les étapes de résolution des problèmes, voirRésoudre les problèmes liés aux ROSA CLI jetons d'accès hors ligne expirés.
-
Créez la configuration OpenID Connect (OIDC) qui permet l'authentification des utilisateurs auprès du cluster. Cette configuration est enregistrée pour être utilisée avec OpenShift Cluster Manager (OCM).
rosa create oidc-config --mode=auto
-
Copiez l'ID de OIDC configuration fourni dans le ROSA CLIsortie. L'ID de OIDC configuration doit être fourni ultérieurement pour créer le HCP cluster ROSA with.
-
Pour vérifier les OIDC configurations disponibles pour les clusters associés à votre organisation d'utilisateurs, exécutez la commande suivante.
rosa list oidc-config
-
Créez le requis IAM rôles d'opérateur, en les
<OIDC_CONFIG_ID>
remplaçant par l'ID de OIDC configuration copié précédemment.Important
Vous devez fournir un préfixe
<PREFIX_NAME>
lors de la création des rôles d'opérateur. Si vous ne le faites pas, une erreur se produit.rosa create operator-roles --prefix <PREFIX_NAME> --oidc-config-id <OIDC_CONFIG_ID> --hosted-cp
-
Pour vérifier IAM les rôles d'opérateur ont été créés, exécutez la commande suivante :
rosa list operator-roles
Créez un HCP cluster ROSA avec à l'aide du ROSA CLIet AWS STS
Vous pouvez créer un ROSA avec HCP cluster utilisant AWS Security Token Service (AWS STS) et le auto
mode fourni dans le ROSA CLI. Vous avez la possibilité de créer un cluster avec une entrée publique API ou une entrée privée API et une entrée.
Vous pouvez créer un cluster avec une seule zone de disponibilité (mono-AZ) ou plusieurs zones de disponibilité (multi-AZ). Dans les deux cas, la CIDR valeur de votre machine doit correspondre à VPC la CIDR vôtre.
La procédure suivante utilise la rosa create cluster --hosted-cp
commande pour créer un mono-AZ ROSA avec HCP cluster. Pour créer un Multi-AZ cluster, spécifiez multi-az
dans la commande et le sous-réseau privé IDs pour chaque sous-réseau privé sur lequel vous souhaitez effectuer le déploiement.
-
Créez un HCP cluster ROSA with à l'aide de l'une des commandes suivantes.
-
Créez un HCP cluster ROSA avec un cluster public API et une entrée, en spécifiant le nom du cluster, le préfixe du rôle d'opérateur, l'ID de OIDC configuration et le sous-réseau public et privé. IDs
rosa create cluster --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --operator-roles-prefix <OPERATOR_ROLE_PREFIX> --oidc-config-id <OIDC_CONFIG_ID> --subnet-ids=<PUBLIC_SUBNET_ID>,<PRIVATE_SUBNET_ID>
-
Créez un HCP cluster ROSA with avec un private API et une entrée, en spécifiant le nom du cluster, le préfixe du rôle d'opérateur, l'ID de OIDC configuration et le sous-réseau privé. IDs
rosa create cluster --private --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --subnet-ids=<PRIVATE_SUBNET_ID>
-
-
Vérifiez l'état de votre cluster.
rosa describe cluster -c <CLUSTER_NAME>
Note
Si le processus de création échoue ou si le
State
champ ne passe pas à l'état « prêt » au bout de 10 minutes, consultezRésolution des problèmes.Pour contacter AWS Support ou le support Red Hat pour obtenir de l'aide, consultezObtenir de ROSA l'aide.
-
Suivez la progression du cluster création en regardant les journaux du OpenShift programme d'installation.
rosa logs install -c <CLUSTER_NAME> --watch
Configuration d'un fournisseur d'identité et autorisation cluster accès
ROSA inclut un OAuth serveur intégré. Après votre cluster est créé, vous devez le configurer OAuth pour utiliser un fournisseur d'identité. Vous pouvez ensuite ajouter des utilisateurs à votre fournisseur d'identité configuré pour leur accorder l'accès à votre cluster. Vous pouvez accorder ces utilisateurs cluster-admin
ou dedicated-admin
autorisations selon les besoins.
Vous pouvez configurer différents types de fournisseurs d'identité pour votre ROSA cluster. Les types pris en charge incluent GitHub Enterprise GitHub GitLab, GoogleLDAP, OpenID Connect et les fournisseurs HTPasswd d'identité.
Important
Le fournisseur HTPasswd d'identité est inclus uniquement pour permettre la création d'un seul utilisateur administrateur statique. HTPasswdn'est pas pris en charge en tant que fournisseur d'identité à usage général pour ROSA.
La procédure suivante configure un fournisseur d' GitHub identité à titre d'exemple. Pour obtenir des instructions sur la configuration de chacun des types de fournisseurs d'identité pris en charge, voir Configuration des fournisseurs d'identité pour AWS STS
-
Accédez à github.com
et connectez-vous à votre GitHub compte. -
Si vous n'avez aucune GitHub organisation à utiliser pour le provisionnement des identités pour votre cluster, créez-en un. Pour plus d'informations, consultez les étapes décrites dans la GitHub documentation
. -
Utilisation de ROSA CLIen mode interactif, configurez un fournisseur d'identité pour votre cluster.
rosa create idp --cluster=<CLUSTER_NAME> --interactive
-
Suivez les instructions de configuration dans la sortie pour restreindre cluster accès aux membres de votre GitHub organisation.
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Type of identity provider: github ? Identity provider name: github-1 ? Restrict to members of: organizations ? GitHub organizations: <GITHUB_ORG_NAME> ? To use GitHub as an identity provider, you must first register the application: - Open the following URL: https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com - Click on 'Register application' ...
-
Ouvrez le URL dans la sortie, en le
<GITHUB_ORG_NAME>
remplaçant par le nom de votre GitHub organisation. -
Sur la page GitHub Web, choisissez Enregistrer une application pour enregistrer une nouvelle OAuth application dans votre GitHub organisation.
-
Utilisez les informations de la GitHub OAuth page pour remplir les autres invites
rosa create idp
interactives en exécutant la commande suivante. Remplacez<GITHUB_CLIENT_ID>
et<GITHUB_CLIENT_SECRET>
par les informations d'identification de votre GitHub OAuth application.... ? Client ID: <GITHUB_CLIENT_ID> ? Client Secret: [? for help] <GITHUB_CLIENT_SECRET> ? GitHub Enterprise Hostname (optional): ? Mapping method: claim I: Configuring IDP for cluster '<CLUSTER_NAME>' I: Identity Provider 'github-1' has been created. It will take up to 1 minute for this configuration to be enabled. To add cluster administrators, see 'rosa grant user --help'. To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
Note
L'activation de la configuration du fournisseur d'identité peut prendre environ deux minutes. Si vous avez configuré un
cluster-admin
utilisateur, vous pouvez couriroc get pods -n openshift-authentication --watch
pour regarder les OAuth pods se redéployer avec la configuration mise à jour. -
Vérifiez que le fournisseur d'identité est correctement configuré.
rosa list idps --cluster=<CLUSTER_NAME>
Accorder à l'utilisateur l'accès à un cluster
Vous pouvez accorder à un utilisateur l'accès à votre cluster en les ajoutant au fournisseur d'identité configuré.
La procédure suivante ajoute un utilisateur à une GitHub organisation configurée pour l'attribution d'identités au cluster.
-
Accédez à github.com
et connectez-vous à votre GitHub compte. -
Inviter les utilisateurs qui ont besoin cluster accès à votre GitHub organisation. Pour plus d'informations, consultez la section Inviter des utilisateurs à rejoindre votre organisation
dans la GitHub documentation.
Configuration cluster-admin
des autorisations
-
Accordez les
cluster-admin
autorisations en exécutant la commande suivante. Remplacez<IDP_USER_NAME>
et<CLUSTER_NAME>
par votre nom d'utilisateur et de cluster.rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Vérifiez que l'utilisateur est répertorié comme membre du
cluster-admins
groupe.rosa list users --cluster=<CLUSTER_NAME>
Configuration dedicated-admin
des autorisations
-
Accordez les
dedicated-admin
autorisations à l'aide de la commande suivante. Remplacez<IDP_USER_NAME>
et<CLUSTER_NAME>
par votre utilisateur et cluster nom en exécutant la commande suivante.rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Vérifiez que l'utilisateur est répertorié comme membre du
cluster-admins
groupe.rosa list users --cluster=<CLUSTER_NAME>
Accédez à un cluster via la console Red Hat Hybrid Cloud
Connectez-vous à votre cluster via la console Red Hat Hybrid Cloud.
-
Procurez-vous la console URL pour votre cluster à l'aide de la commande suivante. Remplacez
<CLUSTER_NAME>
par le nom de votre cluster.rosa describe cluster -c <CLUSTER_NAME> | grep Console
-
Accédez à la console URL dans la sortie et connectez-vous.
Dans la boîte de dialogue Se connecter avec..., choisissez le nom du fournisseur d'identité et complétez toutes les demandes d'autorisation présentées par votre fournisseur.
Déployer une application depuis le catalogue des développeurs
À partir de la console Red Hat Hybrid Cloud, vous pouvez déployer une application de test Developer Catalog et l'exposer à l'aide d'un itinéraire.
-
Accédez à Red Hat Hybrid Cloud Console
et choisissez le cluster dans lequel vous souhaitez déployer l'application. -
Sur la page du cluster, choisissez Open console.
-
Du point de vue de l'administrateur, choisissez Accueil > Projets > Créer un projet.
-
Entrez un nom pour votre projet et ajoutez éventuellement un nom d'affichage et une description.
-
Choisissez Create pour créer le projet.
-
Passez au point de vue Développeur et choisissez +Ajouter. Assurez-vous que le projet sélectionné est bien celui qui vient d'être créé.
-
Dans la boîte de dialogue Developer Catalog, sélectionnez Tous les services.
-
Sur la page du catalogue pour développeurs, choisissez Langues > dans le JavaScriptmenu.
-
Choisissez Node.js, puis choisissez Create Application pour ouvrir la page Create Source-to-Image Application.
Note
Vous devrez peut-être choisir Effacer tous les filtres pour afficher l'option Node.js.
-
Dans la section Git, choisissez Try Sample.
-
Dans le champ Nom, ajoutez un nom unique.
-
Sélectionnez Create (Créer).
Note
Le déploiement de la nouvelle application prend plusieurs minutes.
-
Lorsque le déploiement est terminé, choisissez l'itinéraire URL de l'application.
Un nouvel onglet du navigateur s'ouvre avec un message similaire au suivant.
Welcome to your Node.js application on OpenShift
-
(Facultatif) Supprimez l'application et nettoyez les ressources :
-
Du point de vue de l'administrateur, choisissez Accueil > Projets.
-
Ouvrez le menu d'actions de votre projet et choisissez Supprimer le projet.
-
Révoquer cluster-admin
les autorisations d'un utilisateur
-
Révoquez les
cluster-admin
autorisations à l'aide de la commande suivante. Remplacez<IDP_USER_NAME>
et<CLUSTER_NAME>
par votre utilisateur et cluster nom.rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Vérifiez que l'utilisateur n'est pas répertorié comme membre du
cluster-admins
groupe.rosa list users --cluster=<CLUSTER_NAME>
Révoquer dedicated-admin
les autorisations d'un utilisateur
-
Révoquez les
dedicated-admin
autorisations à l'aide de la commande suivante. Remplacez<IDP_USER_NAME>
et<CLUSTER_NAME>
par votre utilisateur et cluster nom.rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Vérifiez que l'utilisateur n'est pas répertorié comme membre du
dedicated-admins
groupe.rosa list users --cluster=<CLUSTER_NAME>
Révoquer l'accès d'un utilisateur à un cluster
Vous pouvez révoquer cluster accès pour un utilisateur du fournisseur d'identité en le supprimant du fournisseur d'identité configuré.
Vous pouvez configurer différents types de fournisseurs d'identité pour votre cluster. La procédure suivante révoque cluster accès pour un membre d'une GitHub organisation.
-
Accédez à github.com
et connectez-vous à votre GitHub compte. -
Supprimez l'utilisateur de votre GitHub organisation. Pour plus d'informations, consultez la section Suppression d'un membre de votre organisation
dans la GitHub documentation.
Supprimer un cluster et AWS STS resources
Vous pouvez utiliser le plugin ROSA CLIpour supprimer un cluster qui utilise AWS Security Token Service (AWS STS). Vous pouvez également utiliser ROSA CLIpour supprimer le IAM rôles et OIDC fournisseur créés par ROSA. Pour supprimer le IAM politiques créées par ROSA, vous pouvez utiliser IAM console.
Note
IAM rôles et politiques créés par ROSA pourrait être utilisé par d'autres ROSA clusters dans le même compte.
-
Supprimez les photos ou les vidéos cluster et regardez les journaux. Remplacez
<CLUSTER_NAME>
par le nom ou l'identifiant de votre cluster.rosa delete cluster --cluster=<CLUSTER_NAME> --watch
Important
Vous devez attendre le cluster à supprimer complètement avant de supprimer le IAM rôles, politiques et OIDC fournisseur. Les IAM rôles de compte sont nécessaires pour supprimer les ressources créées par le programme d'installation. Les IAM rôles d'opérateur sont nécessaires pour nettoyer les ressources créées par les OpenShift opérateurs. Les opérateurs utilisent le OIDC fournisseur pour s'authentifier.
-
Supprimez le OIDC fournisseur qui cluster les opérateurs utilisent pour s'authentifier en exécutant la commande suivante.
rosa delete oidc-provider -c <CLUSTER_ID> --mode auto
-
Supprimer l'opérateur spécifique au cluster IAM rôles.
rosa delete operator-roles -c <CLUSTER_ID> --mode auto
-
Supprimez les IAM rôles du compte à l'aide de la commande suivante. Remplacez
<PREFIX>
par le préfixe des IAM rôles de compte à supprimer. Si vous avez spécifié un préfixe personnalisé lors de la création des IAM rôles de compte, spécifiez leManagedOpenShift
préfixe par défaut.rosa delete account-roles --prefix <PREFIX> --mode auto
-
Supprimez les photos ou les vidéos IAM politiques créées par ROSA.
-
Connectez-vous au IAM console
. -
Dans le menu de gauche, sous Gestion des accès, sélectionnez Politiques.
-
Sélectionnez la politique que vous souhaitez supprimer, puis sélectionnez Actions > Supprimer.
-
Entrez le nom de la politique et choisissez Supprimer.
-
Répétez cette étape pour supprimer chacune des IAM politiques du cluster.
-