Crea un cluster ROSA classico utilizzando ROSA CLI - Servizio Red Hat OpenShift su AWS
PrerequisitiCrea un cluster ROSA classico utilizzando il ROSA CLIe AWS STSConfigura un provider di identità e concedi cluster accediConcedi all'utente l'accesso a un clusterConfigura le cluster-admin autorizzazioniConfigura le dedicated-admin autorizzazioniAccedere a cluster tramite la console Red Hat Hybrid CloudDistribuisci un'applicazione dal Developer CatalogRevoca le cluster-admin autorizzazioni a un utenteRevoca le dedicated-admin autorizzazioni a un utenteRevoca l'accesso utente a un clusterEliminare un cluster e AWS STS risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un cluster ROSA classico utilizzando ROSA CLI

Le sezioni seguenti descrivono come iniziare a usare la ROSA versione classica AWS STS e il ROSA CLI. Per i passaggi per creare un cluster ROSA classico utilizzando Terraform, consulta la documentazione di Red Hat. Per saperne di più sul provider Terraform per la creazione ROSA cluster, consulta la documentazione Terraform.

Il ROSA CLIutilizza auto mode o manual mode per creare il IAM risorse necessarie per fornire a ROSA cluster. autola modalità crea immediatamente il necessario IAM ruoli e politiche e un provider OpenID Connect (OIDC). manualmode emette il AWS CLI comandi necessari per creare il IAM risorse. Utilizzando la manual modalità, è possibile rivedere i dati generati AWS CLI comandi prima di eseguirli manualmente. Con manual mode, puoi anche passare i comandi a un altro amministratore o gruppo dell'organizzazione in modo che possa creare le risorse.

Per altre opzioni per iniziare, consultaInizia con ROSA.

Prerequisiti

Completa le azioni preliminari elencate inConfigurazione per l'uso ROSA.

Crea un cluster ROSA classico utilizzando il ROSA CLIe AWS STS

Puoi creare un ROSA classico cluster utilizzando il ROSA CLIe AWS STS.

  1. Crea il richiesto IAM ruoli e politiche dell'account che utilizzano --mode auto o--mode manual.

    • rosa create account-roles --classic --mode auto

    • rosa create account-roles --classic --mode manual
      Nota

      Se il token di accesso offline è scaduto, ROSA CLIemette un messaggio di errore che indica che il token di autorizzazione deve essere aggiornato. Per la procedura di risoluzione dei problemi, consulta. Risolvi i problemi relativi ai token di ROSA CLI accesso offline scaduti

  2. Crea un cluster utilizzando --mode auto o--mode manual. autola modalità consente di creare un cluster più rapidamente. manualmode richiede di specificare impostazioni personalizzate per il cluster.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode auto
      Nota

      Quando si specifica--mode auto, il rosa create cluster comando crea l'operatore specifico del cluster IAM ruoli e OIDC provider automaticamente. Gli operatori utilizzano il OIDC provider per l'autenticazione.

      Nota

      Quando si utilizzano le --mode auto impostazioni predefinite, viene installata l'ultima OpenShift versione stabile.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode manual
      Importante

      Se si abilita la crittografia etcd in manual modalità, si incorre in un sovraccarico di prestazioni di circa il 20%. L'overhead è il risultato dell'introduzione di questo secondo livello di crittografia, oltre alla EBS crittografia Amazon predefinita che crittografa i volumi etcd.

      Nota

      Dopo aver eseguito la manual modalità di creazione del cluster, è necessario creare manualmente i IAM ruoli operatore specifici del cluster e il provider OpenID Connect utilizzato dagli operatori del cluster per l'autenticazione.

  3. Controlla lo stato del tuo cluster.

    rosa describe cluster -c <CLUSTER_NAME>
    Nota

    Se il processo di provisioning fallisce o il State campo non diventa pronto dopo 40 minuti, consultaRisoluzione dei problemi. Per contattare AWS Support o il supporto Red Hat per ricevere assistenza, consultaOttenere ROSA assistenza.

  4. Monitora lo stato di avanzamento del cluster creazione guardando i log dell' OpenShift installatore.

    rosa logs install -c <CLUSTER_NAME> --watch

Configura un provider di identità e concedi cluster accedi

ROSA include un OAuth server integrato. Dopo il tuo cluster è stato creato, è necessario configurarlo OAuth per utilizzare un provider di identità. È quindi possibile aggiungere utenti al provider di identità configurato per concedere loro l'accesso al cluster. È possibile concedere tali utenti cluster-admin o dedicated-admin autorizzazioni in base alle esigenze.

Puoi configurare diversi tipi di provider di identità per ROSA cluster. I tipi supportati includono GitHub Enterprise GitHub GitLab, GoogleLDAP, OpenID Connect e provider di HTPasswd identità.

Importante

Il provider di HTPasswd identità è incluso solo per consentire la creazione di un singolo utente amministratore statico. HTPasswdnon è supportato come provider di identità di uso generico per ROSA.

La procedura seguente configura un provider di GitHub identità come esempio. Per istruzioni su come configurare ciascuno dei tipi di provider di identità supportati, vedere Configurazione dei provider di identità per AWS STS.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Se non disponi di un' GitHub organizzazione da utilizzare per la fornitura di identità per cluster, creane uno. Per ulteriori informazioni, consulta i passaggi indicati nella GitHub documentazione.

  3. Utilizzo di ROSA CLI, configura un provider di identità per il tuo cluster.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Segui le istruzioni di configurazione nell'output per limitare cluster accesso ai membri della tua GitHub organizzazione.

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Apri il file URL nell'output, sostituendolo <GITHUB_ORG_NAME> con il nome della tua GitHub organizzazione.

  6. Nella pagina GitHub web, scegli Registra applicazione per registrare una nuova OAuth applicazione nella tua GitHub organizzazione.

  7. Utilizza le informazioni della GitHub OAuth pagina per compilare i prompt rosa create idp interattivi rimanenti eseguendo il comando seguente. Sostituisci <GITHUB_CLIENT_ID> e <GITHUB_CLIENT_SECRET> con le credenziali dell'applicazione. GitHub OAuth

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    Nota

    Potrebbero essere necessari circa due minuti prima che la configurazione del provider di identità diventi attiva. Se hai configurato un cluster-admin utente, puoi correre oc get pods -n openshift-authentication --watch a guardare i OAuth pod ridistribuirsi con la configurazione aggiornata.

  8. Verifica che il provider di identità sia configurato correttamente.

    rosa list idps --cluster=<CLUSTER_NAME>

Concedi all'utente l'accesso a un cluster

Puoi concedere a un utente l'accesso al tuo cluster aggiungendoli al provider di identità configurato.

La procedura seguente aggiunge un utente a un' GitHub organizzazione configurata per il provisioning delle identità al cluster.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Invita gli utenti che lo richiedono cluster accesso alla tua GitHub organizzazione. Per ulteriori informazioni, vedi Invitare gli utenti a entrare a far parte della tua organizzazione nella GitHub documentazione.

Configura le cluster-admin autorizzazioni

  1. Concedi le cluster-admin autorizzazioni eseguendo il comando seguente. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il nome utente e del cluster.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Configura le dedicated-admin autorizzazioni

  1. Concedi le dedicated-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome eseguendo il comando seguente.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Accedere a cluster tramite la console Red Hat Hybrid Cloud

Dopo aver creato un cluster utente amministratore o aggiunto un utente al provider di identità configurato, puoi accedere al cluster tramite la Red Hat Hybrid Cloud Console.

  1. Procurati la console URL per il tuo cluster usando il seguente comando. Sostituisci <CLUSTER_NAME> con il nome del tuo cluster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Vai alla console URL nell'output e accedi.

    • Se hai creato un cluster-admin utente, accedi utilizzando le credenziali fornite.

    • Se hai configurato un provider di identità per il tuo cluster, scegli il nome del provider di identità nella finestra di dialogo Accedi con... e completa tutte le richieste di autorizzazione presentate dal provider.

Distribuisci un'applicazione dal Developer Catalog

Dalla Red Hat Hybrid Cloud Console, puoi implementare un'applicazione di test del Developer Catalog ed esporla con un percorso.

  1. Accedi a Red Hat Hybrid Cloud Console e scegli il cluster in cui vuoi implementare l'app.

  2. Nella pagina del cluster, scegli Open console.

  3. Nella prospettiva dell'amministratore, scegli Home > Progetti > Crea progetto.

  4. Immettete un nome per il progetto e, facoltativamente, aggiungete un nome visualizzato e una descrizione.

  5. Scegli Crea per creare il progetto.

  6. Passa alla prospettiva dello sviluppatore e scegli +Aggiungi. Assicurati che il progetto selezionato sia quello appena creato.

  7. Nella finestra di dialogo Developer Catalog, scegli Tutti i servizi.

  8. Nella pagina del catalogo per sviluppatori, scegliete Lingue > JavaScriptdal menu.

  9. Scegliete Node.js, quindi scegliete Crea applicazione per aprire la pagina Crea applicazione Source-to-Image.

    Nota

    Potrebbe essere necessario scegliere Cancella tutti i filtri per visualizzare l'opzione Node.js.

  10. Nella sezione Git, scegli Try Sample.

  11. Nel campo Nome, aggiungi un nome univoco.

  12. Scegli Create (Crea) .

    Nota

    La distribuzione della nuova applicazione richiede diversi minuti.

  13. Una volta completata la distribuzione, scegli il percorso URL per l'applicazione.

    Si apre una nuova scheda nel browser con un messaggio simile al seguente.

    Welcome to your Node.js application on OpenShift

  14. (Facoltativo) Eliminare l'applicazione e ripulire le risorse:

    1. Nella prospettiva dell'amministratore, scegliete Home > Progetti.

    2. Apri il menu delle azioni per il tuo progetto e scegli Elimina progetto.

Revoca le cluster-admin autorizzazioni a un utente

  1. Revoca le cluster-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente non sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Revoca le dedicated-admin autorizzazioni a un utente

  1. Revoca le dedicated-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente non sia elencato come membro del dedicated-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Revoca l'accesso utente a un cluster

Puoi revocare cluster accedere a un utente del provider di identità rimuovendolo dal provider di identità configurato.

Puoi configurare diversi tipi di provider di identità per cluster. La seguente procedura revoca cluster accesso per un membro di un' GitHub organizzazione.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Rimuovi l'utente dalla tua organizzazione. GitHub Per ulteriori informazioni, consulta Rimuovere un membro dall'organizzazione nella GitHub documentazione.

Eliminare un cluster e AWS STS risorse

Puoi utilizzare il plugin ROSA CLIeliminare un cluster che usa AWS Security Token Service (AWS STS). Puoi anche usare il ROSA CLIper eliminare il IAM ruoli e OIDC provider creati da ROSA. Per eliminare il IAM politiche create da ROSA, è possibile utilizzare il IAM console.

Importante

IAM ruoli e politiche creati da ROSA potrebbe essere usato da altri ROSA cluster nello stesso account.

  1. Elimina le foto o i video cluster e guarda i log. Sostituisci <CLUSTER_NAME> con il nome o l'ID del tuo cluster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    Importante

    Devi aspettare il cluster da eliminare completamente prima di rimuovere il IAM ruoli, politiche e OIDC provider. I IAM ruoli dell'account sono necessari per eliminare le risorse create dall'installatore. I IAM ruoli degli operatori sono necessari per ripulire le risorse create dagli OpenShift operatori. Gli operatori utilizzano il OIDC provider per l'autenticazione.

  2. Eliminare il OIDC provider che cluster gli operatori utilizzano per autenticarsi eseguendo il comando seguente.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Eliminare l'operatore specifico del cluster IAM ruoli.

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Eliminare i IAM ruoli dell'account utilizzando il seguente comando. Sostituisci <PREFIX> con il prefisso dei IAM ruoli dell'account da eliminare. Se hai specificato un prefisso personalizzato durante la creazione dei IAM ruoli dell'account, specifica il prefisso predefinitoManagedOpenShift.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Elimina le foto o i video IAM politiche create da ROSA.

    1. Effettua il login a IAM console.

    2. Nel menu a sinistra in Gestione degli accessi, scegli Politiche.

    3. Seleziona la politica che desideri eliminare e scegli Azioni > Elimina.

    4. Inserisci il nome della politica e scegli Elimina.

    5. Ripeti questo passaggio per eliminare ciascuna delle IAM politiche per cluster.