Erstellen Sie einen ROSA klassischen Cluster mit dem ROSA CLI - Red Hat OpenShift Service in AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen ROSA klassischen Cluster mit dem ROSA CLI

In den folgenden Abschnitten werden die ersten Schritte mit der ROSA klassischen Verwendung AWS STS und dem beschrieben ROSA CLI. Weitere Informationen zu ROSA Classic finden Sie unterArchitekturmodelle.

Der ROSA CLI verwendet den auto Modus oder manual Modus, um die IAM Ressourcen zu erstellen, die für die Bereitstellung von a erforderlich sind ROSA Cluster. automode erstellt sofort die erforderlichen IAM Rollen und Richtlinien sowie einen OpenID Connect (OIDC) -Anbieter. manualmode gibt die AWS CLI Befehle aus, die zum Erstellen der IAM Ressourcen benötigt werden. Wenn Sie manual den Modus verwenden, können Sie die generierten AWS CLI Befehle überprüfen, bevor Sie sie manuell ausführen. manualIm Modus können Sie die Befehle auch an einen anderen Administrator oder eine andere Gruppe in Ihrer Organisation weitergeben, sodass dieser die Ressourcen erstellen kann.

Weitere Optionen für den Einstieg finden Sie unterFangen Sie an mit ROSA.

Voraussetzungen

Führen Sie die erforderlichen Aktionen aus, die unter aufgeführt sindZur Verwendung eingerichtet ROSA.

Erstellen Sie einen ROSA klassischen Cluster mit dem ROSA CLI und AWS STS

Sie können einen ROSA Klassiker Cluster mit dem ROSA CLI und erstellen AWS STS.

  1. Erstellen Sie die erforderlichen IAM Kontorollen und Richtlinien mit --mode auto oder--mode manual.

    • rosa create account-roles --classic --mode auto
    • rosa create account-roles --classic --mode manual
      Anmerkung

      Wenn Ihr Offline-Zugriffstoken abgelaufen ist, wird eine Fehlermeldung ROSA CLI ausgegeben, die besagt, dass Ihr Autorisierungstoken aktualisiert werden muss. Schritte zur Problembehandlung finden Sie unterProblembehandlung bei ROSA CLI abgelaufenen Offline-Zugriffstoken.

  2. Erstellen Sie eine Cluster mit --mode auto oder--mode manual. autoIm Modus können Sie schneller einen Cluster erstellen. manualmode fordert Sie auf, benutzerdefinierte Einstellungen für Ihren Cluster anzugeben.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode auto
      Anmerkung

      Wenn Sie angeben--mode auto, erstellt der rosa create cluster Befehl automatisch die clusterspezifischen IAM Operatorrollen und den OIDC Anbieter. Die Operatoren verwenden den OIDC Anbieter zur Authentifizierung.

      Anmerkung

      Bei Verwendung der --mode auto Standardeinstellungen wird die neueste stabile OpenShift Version installiert.

    • rosa create cluster --cluster-name <CLUSTER_NAME> --sts --mode manual
      Wichtig

      Wenn Sie die etcd-Verschlüsselung im manual Modus aktivieren, entsteht ein Leistungsaufwand von ca. 20%. Der Mehraufwand ist auf die Einführung dieser zweiten Verschlüsselungsebene zusätzlich zur standardmäßigen EBS Amazon-Verschlüsselung zurückzuführen, die die etcd-Volumes verschlüsselt.

      Anmerkung

      Nach dem manual Ausführungsmodus zum Erstellen des Clusters müssen Sie clusterspezifische IAM Operatorrollen und den OpenID Connect-Anbieter, den Clusterbetreiber zur Authentifizierung verwenden, manuell erstellen.

  3. Überprüfen Sie den Status Ihres. Cluster

    rosa describe cluster -c <CLUSTER_NAME>
    Anmerkung

    Wenn der Bereitstellungsvorgang fehlschlägt oder das State Feld nach 40 Minuten nicht den Status „Bereit“ annimmt, finden Sie weitere Informationen unterFehlerbehebung. Wenn Sie Hilfe benötigen, AWS Support wenden Sie sich an unseren Red Hat Support, sieheROSA Unterstützung erhalten.

  4. Verfolgen Sie den Fortschritt der Cluster Erstellung, indem Sie sich die OpenShift Installationsprotokolle ansehen.

    rosa logs install -c <CLUSTER_NAME> --watch

Konfigurieren Sie einen Identitätsanbieter und gewähren Cluster Sie Zugriff

ROSA beinhaltet einen integrierten OAuth Server. Nachdem Sie Ihren Cluster erstellt haben, müssen Sie ihn OAuth für die Verwendung eines Identitätsanbieters konfigurieren. Anschließend können Sie Benutzer zu Ihrem konfigurierten Identitätsanbieter hinzufügen, um ihnen Zugriff auf Ihren zu gewähren Cluster. Sie können diesen Benutzern cluster-admin oder dedicated-admin Berechtigungen nach Bedarf gewähren.

Sie können verschiedene Identitätsanbietertypen für Ihren konfigurieren ROSA Cluster. Zu den unterstützten Typen gehören GitHub Enterprise GitHub GitLab, GoogleLDAP, OpenID Connect und HTPasswd Identity Providers.

Wichtig

Der HTPasswd Identitätsanbieter ist nur enthalten, um die Erstellung eines einzelnen statischen Administratorbenutzers zu ermöglichen. HTPasswdwird nicht als allgemein verwendbarer Identitätsanbieter für unterstützt. ROSA

Das folgende Verfahren konfiguriert als Beispiel einen GitHub Identitätsanbieter. Anweisungen zur Konfiguration der einzelnen unterstützten Identitätsanbietertypen finden Sie unter Konfiguration von Identitätsanbietern für AWS STS.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Wenn Sie keine GitHub Organisation haben, die Sie für die Bereitstellung von Identitäten verwenden können Cluster, erstellen Sie eine. Weitere Informationen finden Sie in den Schritten in der GitHub Dokumentation.

  3. Konfigurieren Sie im interaktiven Modus einen Identitätsanbieter für Ihren Cluster. ROSA CLI

    rosa create idp --cluster=<CLUSTER_NAME> --interactive
  4. Folgen Sie den Konfigurationsanweisungen in der Ausgabe, um den Cluster Zugriff auf Mitglieder Ihrer GitHub Organisation zu beschränken.

    I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Type of identity provider: github ? Identity provider name: github-1 ? Restrict to members of: organizations ? GitHub organizations: <GITHUB_ORG_NAME> ? To use GitHub as an identity provider, you must first register the application: - Open the following URL: https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com - Click on 'Register application' ...
  5. Öffnen Sie das URL in der Ausgabe und <GITHUB_ORG_NAME> ersetzen Sie es durch den Namen Ihrer GitHub Organisation.

  6. Wählen Sie auf der GitHub Webseite Anwendung registrieren aus, um eine neue OAuth Anwendung in Ihrer GitHub Organisation zu registrieren.

  7. Verwenden Sie die Informationen GitHub OAuth auf der Seite, um die verbleibenden rosa create idp interaktiven Eingabeaufforderungen auszufüllen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie <GITHUB_CLIENT_ID> und <GITHUB_CLIENT_SECRET> durch die Anmeldeinformationen aus Ihrer GitHub OAuth Anwendung.

    ... ? Client ID: <GITHUB_CLIENT_ID> ? Client Secret: [? for help] <GITHUB_CLIENT_SECRET> ? GitHub Enterprise Hostname (optional): ? Mapping method: claim I: Configuring IDP for cluster '<CLUSTER_NAME>' I: Identity Provider 'github-1' has been created. It will take up to 1 minute for this configuration to be enabled. To add cluster administrators, see 'rosa grant user --help'. To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    Anmerkung

    Es kann ungefähr zwei Minuten dauern, bis die Identity Provider-Konfiguration aktiv wird. Wenn Sie einen cluster-admin Benutzer konfiguriert haben, können Sie ihn ausführen, oc get pods -n openshift-authentication --watch um zu beobachten, wie die OAuth Pods mit der aktualisierten Konfiguration erneut bereitgestellt werden.

  8. Stellen Sie sicher, dass der Identitätsanbieter korrekt konfiguriert ist.

    rosa list idps --cluster=<CLUSTER_NAME>

Gewähren Sie dem Benutzer Zugriff auf eine Cluster

Sie können einem Benutzer Zugriff auf Ihre gewähren, Cluster indem Sie ihn dem konfigurierten Identitätsanbieter hinzufügen.

Das folgende Verfahren fügt einen Benutzer zu einer GitHub Organisation hinzu, die für die Identitätsbereitstellung im Cluster konfiguriert ist.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Laden Sie Benutzer ein, die Cluster Zugriff auf Ihre GitHub Organisation benötigen. Weitere Informationen finden Sie in der GitHub Dokumentation unter Benutzer einladen, Ihrer Organisation beizutreten.

cluster-adminBerechtigungen konfigurieren

  1. Erteilen Sie die cluster-admin Berechtigungen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer- und Clusternamen.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
  2. Stellen Sie sicher, dass der Benutzer als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

dedicated-adminBerechtigungen konfigurieren

  1. Erteilen Sie die dedicated-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster Namen, indem Sie den folgenden Befehl ausführen.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
  2. Stellen Sie sicher, dass der Benutzer als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Greifen Sie Cluster über die Red Hat Hybrid Cloud Console auf a zu

Nachdem Sie einen Cluster Administratorbenutzer erstellt oder einen Benutzer zu Ihrem konfigurierten Identity Provider hinzugefügt haben, können Sie sich Cluster über die Red Hat Hybrid Cloud Console bei Ihrem anmelden.

  1. Rufen Sie die Konsole URL für Sie Cluster mit dem folgenden Befehl ab. <CLUSTER_NAME>Ersetzen Sie durch den Namen Ihres Cluster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console
  2. Navigieren Sie URL in der Ausgabe zur Konsole und melden Sie sich an.

    • Wenn Sie einen cluster-admin Benutzer erstellt haben, melden Sie sich mit den angegebenen Anmeldeinformationen an.

    • Wenn Sie einen Identitätsanbieter für Ihren konfiguriert haben Cluster, wählen Sie den Namen des Identitätsanbieters im Dialogfeld Anmelden mit... aus und füllen Sie alle Autorisierungsanfragen Ihres Anbieters aus.

Stellen Sie eine Anwendung aus dem Entwicklerkatalog bereit

Von der Red Hat Hybrid Cloud Console aus können Sie eine Developer Catalog-Testanwendung bereitstellen und sie mit einer Route verfügbar machen.

  1. Navigieren Sie zur Red Hat Hybrid Cloud Console und wählen Sie den Cluster aus, in dem Sie die App bereitstellen möchten.

  2. Wählen Sie auf der Seite des Clusters Open Console aus.

  3. Wählen Sie in der Administratorperspektive Startseite > Projekte > Projekt erstellen aus.

  4. Geben Sie einen Namen für Ihr Projekt ein und fügen Sie optional einen Anzeigenamen und eine Beschreibung hinzu.

  5. Wählen Sie Erstellen, um das Projekt zu erstellen.

  6. Wechseln Sie zur Entwicklerperspektive und wählen Sie +Hinzufügen. Stellen Sie sicher, dass das ausgewählte Projekt das ist, das gerade erstellt wurde.

  7. Wählen Sie im Dialogfeld „Entwicklerkatalog“ die Option Alle Dienste aus.

  8. Wählen Sie auf der Seite mit dem Entwicklerkatalog im Menü Sprachen > JavaScriptaus.

  9. Wählen Sie „Node.js“ und anschließend „Anwendung erstellen“, um die Seite „Source-to-Image-Anwendung erstellen“ zu öffnen.

    Anmerkung

    Möglicherweise müssen Sie Alle Filter löschen auswählen, um die Option Node.js anzuzeigen.

  10. Wählen Sie im Abschnitt Git die Option Try Sample aus.

  11. Fügen Sie im Feld Name einen eindeutigen Namen hinzu.

  12. Wählen Sie Create (Erstellen) aus.

    Anmerkung

    Die Bereitstellung der neuen Anwendung dauert mehrere Minuten.

  13. Wenn die Bereitstellung abgeschlossen ist, wählen Sie die Route URL für die Anwendung aus.

    Im Browser wird eine neue Registerkarte mit einer Meldung geöffnet, die der folgenden ähnelt.

    Welcome to your Node.js application on OpenShift
  14. (Optional) Löschen Sie die Anwendung und bereinigen Sie die Ressourcen:

    1. Wählen Sie in der AdministratorperspektiveStartseite“ > „Projekte“.

    2. Öffnen Sie das Aktionsmenü für Ihr Projekt und wählen Sie Projekt löschen.

Widerrufen cluster-admin Sie die Berechtigungen eines Benutzers

  1. Widerrufen Sie die cluster-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster Namen.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
  2. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der cluster-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Widerrufen dedicated-admin Sie die Berechtigungen eines Benutzers

  1. Widerrufen Sie die dedicated-admin Berechtigungen mit dem folgenden Befehl. Ersetzen Sie <IDP_USER_NAME> und <CLUSTER_NAME> durch Ihren Benutzer und Cluster Namen.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
  2. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der dedicated-admins Gruppe aufgeführt ist.

    rosa list users --cluster=<CLUSTER_NAME>

Widerrufen Sie den Benutzerzugriff auf eine Cluster

Sie können einem Identity Provider-Benutzer den Cluster Zugriff entziehen, indem Sie ihn aus dem konfigurierten Identity Provider entfernen.

Sie können verschiedene Arten von Identitätsanbietern für Ihren konfigurieren Cluster. Mit dem folgenden Verfahren wird einem Mitglied einer GitHub Organisation der Cluster Zugriff entzogen.

  1. Navigieren Sie zu github.com und melden Sie sich bei Ihrem GitHub Konto an.

  2. Entferne den Benutzer aus deiner GitHub Organisation. Weitere Informationen finden Sie in der GitHub Dokumentation unter Ein Mitglied aus Ihrer Organisation entfernen.

Löschen Sie einen Cluster und AWS STS Ressourcen

Sie können den verwenden ROSA CLI, um eine zu löschen Cluster , die AWS Security Token Service (AWS STS) verwendet. Sie können den auch verwenden ROSA CLI, um die IAM Rollen und den OIDC Anbieter zu löschen, die von erstellt wurden ROSA. Um die von erstellten IAM Richtlinien zu löschen ROSA, können Sie die IAM Konsole verwenden.

Wichtig

IAM Rollen und Richtlinien, die von erstellt wurden, ROSA können von anderen ROSA Clustern im selben Konto verwendet werden.

  1. Löschen Sie die Cluster und sehen Sie sich die Protokolle an. <CLUSTER_NAME>Ersetzen Sie durch den Namen oder die ID Ihres Cluster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    Wichtig

    Sie müssen warten Cluster , bis der vollständig gelöscht ist, bevor Sie die IAM Rollen, Richtlinien und den OIDC Anbieter entfernen. Die IAM Kontorollen sind erforderlich, um die vom Installationsprogramm erstellten Ressourcen zu löschen. Die IAM Operatorrollen sind erforderlich, um die von den OpenShift Operatoren erstellten Ressourcen zu bereinigen. Die Betreiber verwenden den OIDC Anbieter zur Authentifizierung.

  2. Löschen Sie den OIDC Anbieter, den die Cluster Operatoren zur Authentifizierung verwenden, indem Sie den folgenden Befehl ausführen.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto
  3. Löschen Sie die clusterspezifischen Operatorrollen. IAM

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto
  4. Löschen Sie die IAM Kontorollen mit dem folgenden Befehl. <PREFIX>Ersetzen Sie es durch das Präfix der zu löschenden IAM Kontorollen. Wenn Sie beim Erstellen der IAM Kontorollen ein benutzerdefiniertes Präfix angegeben haben, geben Sie das ManagedOpenShift Standardpräfix an.

    rosa delete account-roles --prefix <PREFIX> --mode auto
  5. Löschen Sie die IAM Richtlinien, die von erstellt wurden ROSA.

    1. Melden Sie sich bei der IAM -Konsole an.

    2. Wählen Sie im linken Menü unter Zugriffsverwaltung die Option Richtlinien aus.

    3. Wählen Sie die Richtlinie aus, die Sie löschen möchten, und wählen Sie Aktionen > Löschen.

    4. Geben Sie den Namen der Richtlinie ein und wählen Sie Löschen.

    5. Wiederholen Sie diesen Schritt, um alle IAM Richtlinien für zu löschen Cluster.