Buat cluster ROSA klasik menggunakan ROSA CLI - Layanan OpenShift Red Hat di AWS
PrasyaratBuat cluster ROSA klasik menggunakan ROSA CLIdan AWS STSKonfigurasikan penyedia identitas dan hibah klaster aksesMemberikan akses pengguna ke klasterKonfigurasikan cluster-admin izinKonfigurasikan dedicated-admin izinAkses a klaster melalui Red Hat Hybrid Cloud ConsoleMenyebarkan aplikasi dari Katalog PengembangMencabut cluster-admin izin dari penggunaMencabut dedicated-admin izin dari penggunaMencabut akses pengguna ke klasterHapus klaster dan AWS STS sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat cluster ROSA klasik menggunakan ROSA CLI

Bagian berikut menjelaskan cara memulai dengan penggunaan ROSA klasik AWS STS dan ROSA CLI. Untuk langkah-langkah membuat klaster ROSA klasik menggunakan Terraform, lihat dokumentasi Red Hat. Untuk mempelajari lebih lanjut tentang penyedia Terraform untuk membuat ROSA cluster, lihat dokumentasi Terraform.

Bagian ROSA CLImenggunakan auto mode atau manual mode untuk membuat IAM sumber daya yang dibutuhkan untuk menyediakan ROSA klaster. automodus segera menciptakan yang diperlukan IAM peran dan kebijakan serta penyedia OpenID Connect (OIDC). manualmodus output AWS CLI perintah yang diperlukan untuk membuat IAM sumber daya. Dengan menggunakan manual mode, Anda dapat meninjau yang dihasilkan AWS CLI perintah sebelum menjalankannya secara manual. Dengan manual mode, Anda juga dapat meneruskan perintah ke administrator atau grup lain di organisasi Anda sehingga mereka dapat membuat sumber daya.

Untuk opsi lainnya untuk memulai, lihatMemulai dengan ROSA.

Prasyarat

Lengkapi tindakan prasyarat yang tercantum dalam. Siapkan untuk digunakan ROSA

Buat cluster ROSA klasik menggunakan ROSA CLIdan AWS STS

Anda dapat membuat ROSA klasik klaster menggunakan ROSA CLIdan AWS STS.

  1. Buat yang dibutuhkan IAM peran akun dan kebijakan menggunakan --mode auto atau--mode manual.

    • rosa create account-roles --classic --mode auto

    • rosa create account-roles --classic --mode manual
      catatan

      Jika token akses offline Anda telah kedaluwarsa, ROSA CLImengeluarkan pesan kesalahan yang menyatakan bahwa token otorisasi Anda perlu diperbarui. Untuk langkah-langkah untuk memecahkan masalah, lihat. Memecahkan masalah token akses offline yang ROSA CLI kedaluwarsa

  2. Buat klaster menggunakan --mode auto atau--mode manual. automode memungkinkan Anda untuk membuat cluster lebih cepat. manualmode meminta Anda untuk menentukan pengaturan khusus untuk cluster Anda.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode auto
      catatan

      Saat Anda menentukan--mode auto, rosa create cluster perintah akan membuat operator khusus cluster IAM peran dan OIDC penyedia secara otomatis. Operator menggunakan OIDC penyedia untuk mengautentikasi.

      catatan

      Saat menggunakan --mode auto default, OpenShift versi stabil terbaru diinstal.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode manual
      penting

      Jika Anda mengaktifkan enkripsi etcd dalam manual mode, Anda dikenakan overhead kinerja sekitar 20%. Overhead adalah hasil dari memperkenalkan lapisan enkripsi kedua ini, selain enkripsi Amazon default yang EBS mengenkripsi volume etcd.

      catatan

      Setelah menjalankan manual mode untuk membuat cluster, Anda perlu membuat IAM peran operator khusus cluster secara manual dan penyedia OpenID Connect yang digunakan operator klaster untuk mengautentikasi.

  3. Periksa status Anda klaster.

    rosa describe cluster -c <CLUSTER_NAME>
    catatan

    Jika proses penyediaan gagal atau State bidang tidak berubah menjadi status siap setelah 40 menit, lihat. Pemecahan Masalah Untuk menghubungi AWS Support atau dukungan Red Hat untuk bantuan, lihatMendapatkan ROSA dukungan.

  4. Lacak kemajuan klaster pembuatan dengan menonton log OpenShift penginstal.

    rosa logs install -c <CLUSTER_NAME> --watch

Konfigurasikan penyedia identitas dan hibah klaster akses

ROSA termasuk OAuth server bawaan. Setelah Anda klaster dibuat, Anda harus mengkonfigurasi OAuth untuk menggunakan penyedia identitas. Anda kemudian dapat menambahkan pengguna ke penyedia identitas yang dikonfigurasi untuk memberi mereka akses ke klaster. Anda dapat memberikan pengguna cluster-admin atau dedicated-admin izin ini sesuai kebutuhan.

Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk ROSA klaster. Jenis yang didukung termasuk GitHub, GitHub Enterprise, GitLab, Google,LDAP, OpenID Connect, dan penyedia HTPasswd identitas.

penting

Penyedia HTPasswd identitas disertakan hanya untuk memungkinkan satu pengguna administrator statis dibuat. HTPasswdtidak didukung sebagai penyedia identitas penggunaan umum untuk ROSA.

Prosedur berikut mengkonfigurasi penyedia GitHub identitas sebagai contoh. Untuk petunjuk tentang cara mengonfigurasi setiap jenis penyedia identitas yang didukung, lihat Mengonfigurasi penyedia identitas untuk AWS STS.

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Jika Anda tidak memiliki GitHub organisasi untuk digunakan untuk penyediaan identitas untuk Anda klaster, buat satu. Untuk informasi selengkapnya, lihat langkah-langkah dalam GitHub dokumentasi.

  3. Menggunakan ROSA CLImode interaktif, konfigurasikan penyedia identitas untuk klaster Anda.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Ikuti petunjuk konfigurasi di output untuk membatasi klaster akses ke anggota GitHub organisasi Anda.

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Buka URL di output, ganti <GITHUB_ORG_NAME> dengan nama GitHub organisasi Anda.

  6. Di halaman GitHub web, pilih Daftarkan aplikasi untuk mendaftarkan OAuth aplikasi baru di GitHub organisasi Anda.

  7. Gunakan informasi dari GitHub OAuth halaman untuk mengisi prompt rosa create idp interaktif yang tersisa dengan menjalankan perintah berikut. Ganti <GITHUB_CLIENT_ID> dan <GITHUB_CLIENT_SECRET> dengan kredensil dari aplikasi Anda GitHub OAuth.

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    catatan

    Mungkin diperlukan waktu sekitar dua menit agar konfigurasi penyedia identitas menjadi aktif. Jika Anda mengonfigurasi cluster-admin pengguna, Anda dapat menjalankan oc get pods -n openshift-authentication --watch untuk melihat OAuth pod di-deploy ulang dengan konfigurasi yang diperbarui.

  8. Verifikasi bahwa penyedia identitas dikonfigurasi dengan benar.

    rosa list idps --cluster=<CLUSTER_NAME>

Memberikan akses pengguna ke klaster

Anda dapat memberikan akses pengguna ke klaster dengan menambahkannya ke penyedia identitas yang dikonfigurasi.

Prosedur berikut menambahkan pengguna ke GitHub organisasi yang dikonfigurasi untuk penyediaan identitas ke cluster.

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Mengundang pengguna yang membutuhkan klaster akses ke GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Mengundang pengguna untuk bergabung dengan organisasi Anda dalam GitHub dokumentasi.

Konfigurasikan cluster-admin izin

  1. Berikan cluster-admin izin dengan menjalankan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan nama pengguna dan cluster Anda.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Konfigurasikan dedicated-admin izin

  1. Berikan dedicated-admin izin dengan menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna Anda dan klaster nama dengan menjalankan perintah berikut.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Akses a klaster melalui Red Hat Hybrid Cloud Console

Setelah Anda membuat klaster pengguna administrator atau menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat masuk ke klaster melalui Red Hat Hybrid Cloud Console.

  1. Dapatkan konsol URL untuk Anda klaster menggunakan perintah berikut. Ganti <CLUSTER_NAME> dengan nama Anda klaster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Arahkan ke konsol URL di output dan masuk.

    • Jika Anda membuat cluster-admin pengguna, masuk menggunakan kredensi yang disediakan.

    • Jika Anda mengonfigurasi penyedia identitas untuk klaster, pilih nama penyedia identitas di dialog Masuk dengan... dan lengkapi permintaan otorisasi yang disajikan oleh penyedia Anda.

Menyebarkan aplikasi dari Katalog Pengembang

Dari Red Hat Hybrid Cloud Console, Anda dapat menerapkan aplikasi pengujian Katalog Pengembang dan mengeksposnya dengan rute.

  1. Arahkan ke Red Hat Hybrid Cloud Console dan pilih cluster tempat Anda ingin menerapkan aplikasi.

  2. Pada halaman cluster, pilih Open console.

  3. Dalam perspektif Administrator, pilih Home > Projects > Create Project.

  4. Masukkan nama untuk proyek Anda dan secara opsional tambahkan Nama Tampilan dan Deskripsi.

  5. Pilih Buat untuk membuat proyek.

  6. Beralih ke perspektif Pengembang dan pilih +Tambah. Pastikan bahwa proyek yang dipilih adalah yang baru saja dibuat.

  7. Dalam dialog Katalog Pengembang, pilih Semua layanan.

  8. Di halaman Katalog Pengembang, pilih Bahasa > JavaScriptdari menu.

  9. Pilih Node.js, lalu pilih Create Application untuk membuka halaman Create Source-to-Image Application.

    catatan

    Anda mungkin perlu memilih Hapus Semua Filter untuk menampilkan opsi Node.js.

  10. Di bagian Git, pilih Coba Sampel.

  11. Di bidang Nama, tambahkan nama unik.

  12. Pilih Buat.

    catatan

    Aplikasi baru membutuhkan waktu beberapa menit untuk digunakan.

  13. Ketika penyebaran selesai, pilih rute URL untuk aplikasi.

    Tab baru di browser terbuka dengan pesan yang mirip dengan berikut ini.

    Welcome to your Node.js application on OpenShift

  14. (Opsional) Hapus aplikasi dan bersihkan sumber daya:

    1. Dalam perspektif Administrator, pilih Home > Projects.

    2. Buka menu tindakan untuk proyek Anda dan pilih Hapus Proyek.

Mencabut cluster-admin izin dari pengguna

  1. Cabut cluster-admin izin menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna Anda dan klaster nama.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Mencabut dedicated-admin izin dari pengguna

  1. Cabut dedicated-admin izin dengan menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna Anda dan klaster nama.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota dedicated-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Mencabut akses pengguna ke klaster

Anda dapat mencabut klaster akses untuk pengguna penyedia identitas dengan menghapusnya dari penyedia identitas yang dikonfigurasi.

Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk klaster. Prosedur berikut mencabut klaster akses untuk anggota GitHub organisasi.

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Hapus pengguna dari GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Menghapus anggota dari organisasi Anda di GitHub dokumentasi.

Hapus klaster dan AWS STS sumber daya

Anda dapat menggunakan ROSA CLIuntuk menghapus klaster yang menggunakan AWS Security Token Service (AWS STS). Anda juga dapat menggunakan ROSA CLIuntuk menghapus IAM peran dan OIDC penyedia yang dibuat oleh ROSA. Untuk menghapus IAM kebijakan yang dibuat oleh ROSA, Anda dapat menggunakan IAM konsol.

penting

IAM peran dan kebijakan yang dibuat oleh ROSA dapat digunakan oleh orang lain ROSA cluster di akun yang sama.

  1. Hapus klaster dan perhatikan log. Ganti <CLUSTER_NAME> dengan nama atau ID Anda klaster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    penting

    Anda harus menunggu klaster untuk menghapus sepenuhnya sebelum Anda menghapus IAM peran, kebijakan, dan OIDC penyedia. IAMPeran akun diperlukan untuk menghapus sumber daya yang dibuat oleh penginstal. IAMPeran operator diperlukan untuk membersihkan sumber daya yang dibuat oleh OpenShift operator. Operator menggunakan OIDC penyedia untuk mengautentikasi.

  2. Hapus OIDC penyedia yang klaster operator gunakan untuk mengautentikasi dengan menjalankan perintah berikut.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Hapus operator khusus cluster IAM peran.

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Hapus IAM peran akun menggunakan perintah berikut. Ganti <PREFIX> dengan awalan IAM peran akun yang akan dihapus. Jika Anda menetapkan awalan kustom saat membuat IAM peran akun, tentukan ManagedOpenShift awalan default.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Hapus IAM kebijakan yang dibuat oleh ROSA.

    1. Masuk ke IAM konsol.

    2. Di menu sebelah kiri di bawah Manajemen akses, pilih Kebijakan.

    3. Pilih kebijakan yang ingin Anda hapus dan pilih Tindakan > Hapus.

    4. Masukkan nama kebijakan dan pilih Hapus.

    5. Ulangi langkah ini untuk menghapus setiap IAM kebijakan untuk klaster.