Crea un HCP cluster ROSA con utilizzando ROSA CLI - Servizio Red Hat OpenShift su AWS
PrerequisitiCrea Amazon VPC architectureCrea il file richiesto IAM ruoli e configurazione OpenID ConnectCrea un HCP cluster ROSA with usando il ROSA CLIe AWS STSConfigura un provider di identità e concedi cluster accediConcedi all'utente l'accesso a clusterConfigura le cluster-admin autorizzazioniConfigura le dedicated-admin autorizzazioniAccedere a cluster tramite la console Red Hat Hybrid CloudDistribuisci un'applicazione dal Developer CatalogRevoca le cluster-admin autorizzazioni a un utenteRevoca le dedicated-admin autorizzazioni a un utenteRevoca l'accesso utente a clusterEliminare un cluster e AWS STS risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un HCP cluster ROSA con utilizzando ROSA CLI

Le sezioni seguenti descrivono come iniziare a utilizzare i ROSA piani di controllo ospitati (ROSAconHCP) utilizzando AWS STS e il ROSA CLI. Per i passaggi per creare un HCP cluster ROSA con Terraform, consulta la documentazione di Red Hat. Per saperne di più sul provider Terraform per la creazione ROSA cluster, consulta la documentazione Terraform.

Il ROSA CLIutilizza auto mode o manual mode per creare il IAM risorse e configurazione OpenID Connect (OIDC) necessarie per creare un ROSA cluster. autola modalità crea automaticamente il necessario IAM ruoli, politiche e OIDC provider. manualmode emette il AWS CLI comandi necessari per creare il IAM risorse manualmente. Utilizzando la manual modalità, è possibile rivedere i dati generati AWS CLI comandi prima di eseguirli manualmente. Con manual mode, puoi anche passare i comandi a un altro amministratore o gruppo dell'organizzazione in modo che possa creare le risorse.

Le procedure descritte in questo documento utilizzano la auto modalità di ROSA CLIper creare il necessario IAM risorse e OIDC configurazione per ROSA withHCP. Per altre opzioni per iniziare, consultaInizia con ROSA.

Prerequisiti

Completa le azioni preliminari elencate inConfigurazione per l'uso ROSA.

Crea Amazon VPC architecture

La procedura seguente crea Amazon VPC architettura che può essere utilizzata per ospitare un cluster. Tutti cluster le risorse sono ospitate nella sottorete privata. La sottorete pubblica indirizza il traffico in uscita dalla sottorete privata attraverso un NAT gateway verso la rete Internet pubblica. Questo esempio utilizza il blocco per CIDR 10.0.0.0/16 Amazon VPC. Tuttavia, puoi scegliere un CIDR blocco diverso. Per ulteriori informazioni, vedi VPCdimensionamento.

Importante

Se Amazon VPC i requisiti non sono soddisfatti, la creazione del cluster non riesce.

Terraform

  1. Installa TerraformCLI. Per ulteriori informazioni, consulta le istruzioni di installazione nella documentazione di Terraform.

  2. Apri una sessione di terminale e clona il repository VPC Terraform.

    git clone https://github.com/openshift-cs/terraform-vpc-example

  3. Passa alla directory creata.

    cd terraform-vpc-example

  4. Avvia il file Terraform.

    terraform init

    Una volta completato, CLI restituisce un messaggio che indica che Terraform è stato inizializzato con successo.

  5. Per creare un piano Terraform basato sul modello esistente, esegui il seguente comando. Il Regione AWS deve essere specificato. Facoltativamente, puoi scegliere di specificare un nome per il cluster.

    terraform plan -out rosa.tfplan -var region=<region>

    Una volta eseguito il comando, viene aggiunto un rosa.tfplan file alla hypershift-tf directory. Per opzioni più dettagliate, consulta il file del VPC repository Terraform. README

  6. Applica il file del piano per creare il. VPC

    terraform apply rosa.tfplan

    Una volta completato, ha CLI restituito un messaggio di successo che verifica le risorse aggiunte.

    1. (Facoltativo) Crea variabili di ambiente per la sottorete IDs privata, pubblica e machinepool fornita da Terraform da utilizzare durante la creazione del cluster with. ROSA HCP

      export SUBNET_IDS=$(terraform output -raw cluster-subnets-string)

    2. (Facoltativo) Verifica che le variabili di ambiente siano state impostate correttamente.

      echo $SUBNET_IDS
Amazon VPC console

  1. Aprire Amazon VPC console.

  2. Nella VPC dashboard, scegli Crea VPC.

  3. Per creare risorse, scegli VPCe altro ancora.

  4. Mantieni selezionata la generazione automatica dei tag nome per creare i tag Nome per VPC le risorse o deselezionala per fornire i tuoi tag Nome per le VPC risorse.

  5. Per IPv4CIDRblocco, inserisci un intervallo di IPv4 indirizzi per. VPC Un VPC deve avere un intervallo di IPv4 indirizzi.

  6. (Facoltativo) Per supportare IPv6 il traffico, scegli IPv6CIDRblock, blocco fornito da Amazon IPv6 CIDR.

  7. Lascia Tenancy come. Default

  8. Per Numero di zone di disponibilità (AZs), scegli il numero che desideri. Per le implementazioni Multi-AZ, ROSA richiede tre zone di disponibilità. Per scegliere le AZs sottoreti, espandi Personalizza. AZs

    Nota

    Medio ROSA i tipi di istanza sono disponibili solo in zone di disponibilità selezionate. Puoi utilizzare il plugin ROSA CLIrosa list instance-typescomando per elencare tutto ROSA tipi di istanze disponibili. Per verificare se un tipo di istanza è disponibile per una determinata zona di disponibilità, usa AWS CLI comandoaws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values=<availability_zone> --region <region> --output text | egrep "<instance_type>".

  9. Per configurare le sottoreti, scegli i valori per Numero di sottoreti pubbliche e Numero di sottoreti private. Per scegliere gli intervalli di indirizzi IP per le sottoreti, espandi Personalizza i blocchi di CIDR sottoreti.

    Nota

    ROSAwith HCP richiede che i clienti configurino almeno una sottorete pubblica e privata per ogni zona di disponibilità utilizzata per creare i cluster.

  10. Per concedere alle risorse della sottorete privata l'accesso alla rete Internet pubblica tramiteIPv4, per i NATgateway, scegli il numero di gateway AZs in cui creare i gateway. NAT In produzione, consigliamo di implementare un NAT gateway in ogni AZ con risorse che richiedono l'accesso alla rete Internet pubblica.

  11. (Facoltativo) Se è necessario accedere Amazon S3 direttamente dal tuoVPC, scegli VPCendpoint, S3 Gateway.

  12. Lascia selezionate le DNS opzioni predefinite. ROSA richiede DNS il supporto del nome host su. VPC

  13. Espandi Tag aggiuntivi, scegli Aggiungi nuovo tag e aggiungi le seguenti chiavi di tag. ROSA utilizza controlli automatici di preflight che verificano l'utilizzo di questi tag.

    • Chiave: kubernetes.io/role/elb

    • Chiave: kubernetes.io/role/internal-elb

  14. Scegli Crea VPC.

AWS CLI

  1. Crea un VPC con un 10.0.0.0/16 CIDR blocco.

     aws ec2 create-vpc \
     --cidr-block 10.0.0.0/16 \
     --query Vpc.VpcId \
     --output text

    Il comando precedente restituisce l'VPCID. Di seguito è riportato un esempio di output.

    vpc-1234567890abcdef0

  2. Memorizza l'VPCID in una variabile di ambiente.

    export VPC_ID=vpc-1234567890abcdef0

  3. Crea un Name tag perVPC, utilizzando la variabile di VPC_ID ambiente.

    aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC

  4. Abilita DNS il supporto del nome host su. VPC

    aws ec2 modify-vpc-attribute \
    --vpc-id $VPC_ID \
    --enable-dns-hostnames

  5. Crea una sottorete pubblica e privata inVPC, specificando le zone di disponibilità in cui devono essere create le risorse.

    Importante

    ROSAwith HCP richiede che i clienti configurino almeno una sottorete pubblica e privata per ogni zona di disponibilità utilizzata per creare i cluster. Per le implementazioni Multi-AZ, sono necessarie tre zone di disponibilità. Se questi requisiti non vengono soddisfatti, la creazione del cluster non riesce.

    Nota

    Medio ROSA i tipi di istanza sono disponibili solo in zone di disponibilità selezionate. Puoi utilizzare il plugin ROSA CLIrosa list instance-typescomando per elencare tutto ROSA tipi di istanze disponibili. Per verificare se un tipo di istanza è disponibile per una determinata zona di disponibilità, usa AWS CLI comandoaws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values=<availability_zone> --region <region> --output text | egrep "<instance_type>".

    aws ec2 create-subnet \
    --vpc-id $VPC_ID \
    --cidr-block 10.0.1.0/24 \
    --availability-zone us-east-1a \
    --query Subnet.SubnetId \
    --output text
aws ec2 create-subnet \
    --vpc-id $VPC_ID \
    --cidr-block 10.0.0.0/24 \
    --availability-zone us-east-1a \
    --query Subnet.SubnetId \
    --output text

  6. Memorizza la sottorete pubblica e privata IDs in variabili di ambiente.

    export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0

  7. Crea i seguenti tag per le tue VPC sottoreti. ROSA utilizza controlli automatici di preflight che verificano l'utilizzo di questi tag.

    Nota

    È necessario etichettare almeno una sottorete privata e, se applicabile, una sottorete pubblica.

    aws ec2 create-tags --resources $PUBLIC_SUB --tags Key=kubernetes.io/role/elb,Value=1
aws ec2 create-tags --resources $PRIVATE_SUB --tags Key=kubernetes.io/role/internal-elb,Value=1

  8. Crea un gateway Internet e una tabella di routing per il traffico in uscita. Crea una tabella di routing e un indirizzo IP elastico per il traffico privato.

    aws ec2 create-internet-gateway \
    --query InternetGateway.InternetGatewayId \
    --output text
aws ec2 create-route-table \
    --vpc-id $VPC_ID \
    --query RouteTable.RouteTableId \
    --output text
aws ec2 allocate-address \
    --domain vpc \
    --query AllocationId \
    --output text
aws ec2 create-route-table \
    --vpc-id $VPC_ID \
    --query RouteTable.RouteTableId \
    --output text

  9. IDsMemorizza le variabili di ambiente.

    export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0

  10. Collega il gateway Internet aVPC.

    aws ec2 attach-internet-gateway \
    --vpc-id $VPC_ID \
    --internet-gateway-id $IGW

  11. Associa la tabella delle rotte pubbliche alla sottorete pubblica e configura il traffico da indirizzare verso il gateway Internet.

    aws ec2 associate-route-table \
    --subnet-id $PUBLIC_SUB \
    --route-table-id $PUBLIC_RT
aws ec2 create-route \
    --route-table-id $PUBLIC_RT \
    --destination-cidr-block 0.0.0.0/0 \
    --gateway-id $IGW

  12. Crea il NAT gateway e associalo all'indirizzo IP elastico per abilitare il traffico verso la sottorete privata.

    aws ec2 create-nat-gateway \
    --subnet-id $PUBLIC_SUB \
    --allocation-id $EIP \
    --query NatGateway.NatGatewayId \
    --output text

  13. Associa la tabella di routing privata alla sottorete privata e configura il traffico per l'instradamento verso il NAT gateway.

    aws ec2 associate-route-table \
    --subnet-id $PRIVATE_SUB \
    --route-table-id $PRIVATE_RT
aws ec2 create-route \
    --route-table-id $PRIVATE_RT \
    --destination-cidr-block 0.0.0.0/0 \
    --gateway-id $NATGW

  14. (Facoltativo) Per le implementazioni Multi-AZ, ripeti i passaggi precedenti per configurare altre due zone di disponibilità con sottoreti pubbliche e private.

Crea il file richiesto IAM ruoli e configurazione OpenID Connect

Prima di creare un HCP cluster ROSA with, è necessario creare il necessario IAM ruoli e politiche e la configurazione OpenID Connect (OIDC). Per ulteriori informazioni sull' IAM ruoli e politiche per ROSA withHCP, vediAWS politiche gestite per ROSA.

Questa procedura utilizza la auto modalità di ROSA CLIper creare automaticamente la OIDC configurazione necessaria per creare un HCP cluster ROSA with.

  1. Crea il richiesto IAM ruoli e politiche dell'account. Il --force-policy-creation parametro aggiorna tutti i ruoli e le politiche esistenti presenti. Se non sono presenti ruoli e politiche, il comando crea invece queste risorse.

    rosa create account-roles --force-policy-creation
    Nota

    Se il token di accesso offline è scaduto, ROSA CLIemette un messaggio di errore che indica che il token di autorizzazione deve essere aggiornato. Per la procedura di risoluzione dei problemi, consulta. Risolvi i problemi relativi ai token di ROSA CLI accesso offline scaduti

  2. Crea la configurazione OpenID Connect (OIDC) che abilita l'autenticazione degli utenti nel cluster. Questa configurazione è registrata per essere utilizzata con OpenShift Cluster Manager (OCM).

    rosa create oidc-config --mode=auto

  3. Copia l'ID di OIDC configurazione fornito nel ROSA CLIuscita. L'ID di OIDC configurazione deve essere fornito in seguito per creare il HCP cluster ROSA with.

  4. Per verificare le OIDC configurazioni disponibili per i cluster associati all'organizzazione degli utenti, esegui il comando seguente.

    rosa list oidc-config

  5. Crea il file richiesto IAM ruoli dell'operatore, sostituiti <OIDC_CONFIG_ID> con l'ID di OIDC configurazione copiato in precedenza.

    Importante

    È necessario fornire un prefisso in <PREFIX_NAME> quando si creano i ruoli Operator. In caso contrario, si verificherà un errore.

    rosa create operator-roles --prefix <PREFIX_NAME> --oidc-config-id <OIDC_CONFIG_ID> --hosted-cp

  6. Per verificare il IAM i ruoli operatore sono stati creati, esegui il comando seguente:

    rosa list operator-roles

Crea un HCP cluster ROSA with usando il ROSA CLIe AWS STS

Puoi creare ROSA un HCP cluster utilizzo di AWS Security Token Service (AWS STS) e la auto modalità fornita in ROSA CLI. Hai la possibilità di creare un cluster con un ingresso pubblico API e un ingresso privatoAPI.

È possibile creare un cluster con una singola zona di disponibilità (Single-AZ) o più zone di disponibilità (Multi-AZ). In entrambi i casi, il CIDR valore della macchina deve corrispondere al valore VPC del CIDR tuo.

La procedura seguente utilizza il rosa create cluster --hosted-cp comando per creare un Single-AZ con ROSA HCP cluster. Per creare un Multi-AZ cluster, specifica multi-az nel comando e nella sottorete privata IDs per ogni sottorete privata in cui desiderate effettuare la distribuzione.

  1. Crea un HCP cluster ROSA with con uno dei seguenti comandi.

    • Crea un HCP cluster ROSA with con un public API e un Ingress, specificando il nome del cluster, il prefisso del ruolo dell'operatore, l'ID di OIDC configurazione e la sottorete pubblica e privata. IDs

      rosa create cluster --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --operator-roles-prefix <OPERATOR_ROLE_PREFIX> --oidc-config-id <OIDC_CONFIG_ID> --subnet-ids=<PUBLIC_SUBNET_ID>,<PRIVATE_SUBNET_ID>

    • Crea un HCP cluster ROSA with con un cluster privato API e Ingress, specificando il nome del cluster, il prefisso del ruolo dell'operatore, l'ID di configurazione e la sottorete privata. OIDC IDs

      rosa create cluster --private --cluster-name=<CLUSTER_NAME> --sts --mode=auto --hosted-cp --subnet-ids=<PRIVATE_SUBNET_ID>

  2. Controlla lo stato del tuo cluster.

    rosa describe cluster -c <CLUSTER_NAME>
    Nota

    Se il processo di creazione fallisce o il State campo non diventa pronto dopo 10 minuti, consultaRisoluzione dei problemi.

    Per contattare Supporto o il supporto Red Hat per ricevere assistenza, consultaOttenere ROSA assistenza.

  3. Monitora lo stato di avanzamento del cluster creazione guardando i log dell' OpenShift installatore.

    rosa logs install -c <CLUSTER_NAME> --watch

Configura un provider di identità e concedi cluster accedi

ROSA include un OAuth server integrato. Dopo il tuo cluster è stato creato, è necessario configurarlo OAuth per utilizzare un provider di identità. Puoi quindi aggiungere utenti al tuo provider di identità configurato per concedere loro l'accesso al tuo cluster. È possibile concedere tali utenti cluster-admin o dedicated-admin autorizzazioni in base alle esigenze.

Puoi configurare diversi tipi di provider di identità per ROSA cluster. I tipi supportati includono GitHub Enterprise GitHub GitLab, GoogleLDAP, OpenID Connect e provider di HTPasswd identità.

Importante

Il provider di HTPasswd identità è incluso solo per consentire la creazione di un singolo utente amministratore statico. HTPasswdnon è supportato come provider di identità di uso generico per ROSA.

La procedura seguente configura un provider di GitHub identità come esempio. Per istruzioni su come configurare ciascuno dei tipi di provider di identità supportati, vedere Configurazione dei provider di identità per AWS STS.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Se non disponi di un' GitHub organizzazione da utilizzare per la fornitura di identità per il tuo cluster, creane uno. Per ulteriori informazioni, consulta i passaggi indicati nella GitHub documentazione.

  3. Utilizzo di ROSA CLI, configura un provider di identità per il tuo cluster.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Segui le istruzioni di configurazione nell'output per limitare cluster accesso ai membri della tua GitHub organizzazione.

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Apri il file URL nell'output, sostituendolo <GITHUB_ORG_NAME> con il nome della tua GitHub organizzazione.

  6. Nella pagina GitHub web, scegli Registra applicazione per registrare una nuova OAuth applicazione nella tua GitHub organizzazione.

  7. Utilizza le informazioni della GitHub OAuth pagina per compilare i prompt rosa create idp interattivi rimanenti eseguendo il comando seguente. Sostituisci <GITHUB_CLIENT_ID> e <GITHUB_CLIENT_SECRET> con le credenziali dell'applicazione. GitHub OAuth

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    Nota

    Potrebbero essere necessari circa due minuti prima che la configurazione del provider di identità diventi attiva. Se hai configurato un cluster-admin utente, puoi correre oc get pods -n openshift-authentication --watch a guardare i OAuth pod ridistribuirsi con la configurazione aggiornata.

  8. Verifica che il provider di identità sia configurato correttamente.

    rosa list idps --cluster=<CLUSTER_NAME>

Concedi all'utente l'accesso a cluster

Puoi concedere a un utente l'accesso a cluster aggiungendoli al provider di identità configurato.

La procedura seguente aggiunge un utente a un' GitHub organizzazione configurata per il provisioning delle identità al cluster.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Invita gli utenti che lo richiedono cluster accesso alla tua GitHub organizzazione. Per ulteriori informazioni, vedi Invitare gli utenti a entrare a far parte della tua organizzazione nella GitHub documentazione.

Configura le cluster-admin autorizzazioni

  1. Concedi le cluster-admin autorizzazioni eseguendo il comando seguente. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il nome utente e del cluster.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Configura le dedicated-admin autorizzazioni

  1. Concedi le dedicated-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome eseguendo il comando seguente.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Accedere a cluster tramite la console Red Hat Hybrid Cloud

Accedi al tuo cluster tramite la Red Hat Hybrid Cloud Console.

  1. Procurati la console URL per cluster usando il seguente comando. Sostituisci <CLUSTER_NAME> con il nome del tuo cluster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Vai alla console URL nell'output e accedi.

    Nella finestra di dialogo Accedi con..., scegli il nome del provider di identità e completa tutte le richieste di autorizzazione presentate dal provider.

Distribuisci un'applicazione dal Developer Catalog

Dalla Red Hat Hybrid Cloud Console, puoi implementare un'applicazione di test del Developer Catalog ed esporla con un percorso.

  1. Accedi a Red Hat Hybrid Cloud Console e scegli il cluster in cui vuoi implementare l'app.

  2. Nella pagina del cluster, scegli Open console.

  3. Nella prospettiva dell'amministratore, scegli Home > Progetti > Crea progetto.

  4. Immettete un nome per il progetto e, facoltativamente, aggiungete un nome visualizzato e una descrizione.

  5. Scegli Crea per creare il progetto.

  6. Passa alla prospettiva dello sviluppatore e scegli +Aggiungi. Assicurati che il progetto selezionato sia quello appena creato.

  7. Nella finestra di dialogo Developer Catalog, scegli Tutti i servizi.

  8. Nella pagina del catalogo per sviluppatori, scegliete Lingue > JavaScriptdal menu.

  9. Scegliete Node.js, quindi scegliete Crea applicazione per aprire la pagina Crea applicazione Source-to-Image.

    Nota

    Potrebbe essere necessario scegliere Cancella tutti i filtri per visualizzare l'opzione Node.js.

  10. Nella sezione Git, scegli Try Sample.

  11. Nel campo Nome, aggiungi un nome univoco.

  12. Scegli Create (Crea) .

    Nota

    La distribuzione della nuova applicazione richiede diversi minuti.

  13. Una volta completata la distribuzione, scegli il percorso URL per l'applicazione.

    Si apre una nuova scheda nel browser con un messaggio simile al seguente.

    Welcome to your Node.js application on OpenShift

  14. (Facoltativo) Eliminare l'applicazione e ripulire le risorse:

    1. Nella prospettiva dell'amministratore, scegliete Home > Progetti.

    2. Apri il menu delle azioni per il tuo progetto e scegli Elimina progetto.

Revoca le cluster-admin autorizzazioni a un utente

  1. Revoca le cluster-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente non sia elencato come membro del cluster-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Revoca le dedicated-admin autorizzazioni a un utente

  1. Revoca le dedicated-admin autorizzazioni utilizzando il seguente comando. Sostituisci <IDP_USER_NAME> e <CLUSTER_NAME> con il tuo utente e cluster nome.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifica che l'utente non sia elencato come membro del dedicated-admins gruppo.

    rosa list users --cluster=<CLUSTER_NAME>

Revoca l'accesso utente a cluster

Puoi revocare cluster accedere a un utente del provider di identità rimuovendolo dal provider di identità configurato.

Puoi configurare diversi tipi di provider di identità per i tuoi cluster. La seguente procedura revoca cluster accesso per un membro di un' GitHub organizzazione.

  1. Vai su github.com e accedi al tuo account. GitHub

  2. Rimuovi l'utente dalla tua organizzazione. GitHub Per ulteriori informazioni, consulta Rimuovere un membro dall'organizzazione nella GitHub documentazione.

Eliminare un cluster e AWS STS risorse

Puoi utilizzare il plugin ROSA CLIeliminare un cluster che usa AWS Security Token Service (AWS STS). Puoi anche usare il ROSA CLIper eliminare il IAM ruoli e OIDC provider creati da ROSA. Per eliminare il IAM politiche create da ROSA, è possibile utilizzare il IAM console.

Nota

IAM ruoli e politiche creati da ROSA potrebbe essere usato da altri ROSA cluster nello stesso account.

  1. Elimina le foto o i video cluster e guarda i log. Sostituisci <CLUSTER_NAME> con il nome o l'ID del tuo cluster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    Importante

    Devi aspettare il cluster da eliminare completamente prima di rimuovere il IAM ruoli, politiche e OIDC provider. I IAM ruoli dell'account sono necessari per eliminare le risorse create dal programma di installazione. I IAM ruoli degli operatori sono necessari per ripulire le risorse create dagli OpenShift operatori. Gli operatori utilizzano il OIDC provider per l'autenticazione.

  2. Eliminare il OIDC provider che cluster gli operatori utilizzano per autenticarsi eseguendo il comando seguente.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Eliminare l'operatore specifico del cluster IAM ruoli.

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Eliminare i IAM ruoli dell'account utilizzando il seguente comando. Sostituisci <PREFIX> con il prefisso dei IAM ruoli dell'account da eliminare. Se hai specificato un prefisso personalizzato durante la creazione dei IAM ruoli dell'account, specifica il prefisso predefinitoManagedOpenShift.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Elimina le foto o i video IAM politiche create da ROSA.

    1. Effettua il login a IAM console.

    2. Nel menu a sinistra in Gestione degli accessi, scegli Politiche.

    3. Seleziona la politica che desideri eliminare e scegli Azioni > Elimina.

    4. Inserisci il nome della politica e scegli Elimina.

    5. Ripeti questo passaggio per eliminare ciascuna delle IAM politiche per cluster.