Débuter avec ROSA classic à l'aide de la ROSA CLI en mode manuel - Red Hat OpenShift Service on AWS
PrérequisÉtape 1 : activer ROSA et configurer les prérequisÉtape 2 : Création d'un cluster ROSA classic avec AWS STS et le manual mode ROSA CLIÉtape 3 : configurer un fournisseur d'identité et accorder cluster l'accèsÉtape 4 : Accorder à l'utilisateur l'accès à un clusterÉtape 5 : accorder des autorisations d'administrateur à un utilisateurÉtape 6 : Accédez à un cluster via la console WebÉtape 7 : Déployer une application depuis le catalogue des développeursÉtape 8 : Révoquer les autorisations d'administrateur et l'accès utilisateurÉtape 9 : Supprimer un cluster et AWS STS des ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Débuter avec ROSA classic à l'aide de la ROSA CLI en mode manuel

Les sections suivantes décrivent comment démarrer avec ROSA Classic en utilisant AWS STS la ROSA CLI. Pour plus d'informations sur ROSA classic, consultez la section Options de déploiement.

La ROSA CLI utilise le auto manual mode ou le mode pour créer les IAM ressources nécessaires au provisionnement d'un ROSAcluster. autole mode crée immédiatement les IAM rôles et les politiques requis ainsi qu'un fournisseur OpenID Connect (OIDC). manualle mode affiche les AWS CLI commandes nécessaires à la création des IAM ressources. En utilisant manual le mode, vous pouvez consulter les AWS CLI commandes générées avant de les exécuter manuellement. Vous pouvez également transmettre les commandes manual à un autre administrateur ou à un autre groupe de votre organisation afin qu'il puisse créer les ressources.

Les procédures décrites dans ce document utilisent le manual mode de la ROSA CLI pour créer les IAM ressources requises pour ROSA classic. Pour plus d'options de démarrage, consultez la section Mise en route avec ROSA.

Prérequis

Avant de commencer, assurez-vous d'avoir effectué les actions suivantes :

  • Installez et configurez la dernière versionAWS CLI. Pour plus d'informations, consultez Installation ou mise à jour de la version la plus récente de l’AWS CLI.

  • Installez et configurez les dernières ROSA CLI et OpenShift Container Platform CLI. Pour plus d'informations, consultez Getting started with the ROSA CLI.

  • Service Quotasdoit disposer des quotas de service requis définis pourAmazon EC2, Amazon VPCAmazon EBS, et nécessaires Elastic Load Balancing à la création et à l'exécution d'un ROSA cluster. AWSou Red Hat peut demander des augmentations de quota de service en votre nom, selon les besoins de résolution du problème. Pour consulter les quotas requis, consultez les Red Hat OpenShift Service on AWSpoints de terminaison et les quotas dans la référence AWS générale.

  • Pour bénéficier de l'AWSassistanceROSA, vous devez activer les plans de support AWS Business, Enterprise On-Ramp ou Enterprise. Red Hat peut demander une AWS assistance en votre nom pour résoudre le problème. Pour plus d'informations, consultez la section Support pour ROSA. Pour l'activerAWS Support, consultez la AWS Supportpage.

  • Si vous utilisez AWS Organizations pour gérer le service Comptes AWS qui héberge le ROSA service, la politique de contrôle des services (SCP) de l'organisation doit être configurée pour permettre à Red Hat d'exécuter les actions politiques répertoriées dans le SCP sans restriction. Pour plus d'informations, consultez la documentation de dépannage du ROSA SCP. Pour plus d'informations sur les SCP, consultez la section Politiques de contrôle des services (SCP).

  • Si vous déployez un ROSA cluster jeton de sécurité AWS STS dans une région activée Région AWS désactivée par défaut, vous devez mettre à jour le jeton de sécurité vers la version 2 pour toutes les régions du à l'Compte AWSaide de la commande suivante.

    aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token

    Pour plus d'informations sur l'activation des régions, consultez la section Gestion Régions AWS dans le manuel de référence général AWS.

Étape 1 : activer ROSA et configurer les prérequis

Pour créer un ROSAcluster, vous devez d'abord activer le ROSA service dans la AWS ROSA console. La AWS ROSA console vérifie si vous disposez Compte AWS des AWS Marketplace autorisations nécessaires, des quotas de service et du nom du rôle lié au service Elastic Load Balancing (ELB). AWSServiceRoleForElasticLoadBalancing Si l'un de ces prérequis est absent, la console fournit des instructions sur la façon de configurer votre compte afin qu'il réponde à ces prérequis.

  1. Accédez à la console ROSA.

  2. Sélectionnez Get started (Démarrer).

  3. Sur la page Vérifier ROSA les conditions requises, sélectionnez J'accepte de partager mes informations de contact avec Red Hat.

  4. Choisissez Activer ROSA.

  5. Une fois que la page a vérifié que vos quotas de service répondent aux ROSA prérequis et que le rôle lié au service ELB est créé, ouvrez une nouvelle session de terminal pour créer votre première session à l'aide ROSA cluster de la CLI. ROSA

Étape 2 : Création d'un cluster ROSA classic avec AWS STS et le manual mode ROSA CLI

Vous pouvez créer un ROSA classic cluster en utilisant AWS Security Token Service (AWS STS) et le manual mode fourni dans la ROSA CLI.

Lorsque vous créez uncluster, vous pouvez exécuter rosa create cluster --interactive pour personnaliser votre déploiement à l'aide d'une série d'instructions interactives. Pour plus d'informations, consultez la section Référence du mode de création de clusters interactifs dans la documentation Red Hat.

Une fois cluster le provisionnement effectué, une seule commande est fournie dans la sortie. Exécutez cette commande pour déployer d'autres clusters utilisant exactement la même configuration personnalisée.

Note

AWSLes VPC partagés ne sont actuellement pas pris en charge pour les ROSA installations.

  1. Créez les rôles et politiques de IAM compte requis.

    rosa create account-roles --mode manual
    Note

    Si votre jeton d'accès hors ligne a expiré, la ROSA CLI affiche un message d'erreur indiquant que votre jeton d'autorisation doit être mis à jour. Pour connaître les étapes de résolution des problèmes, voir Résoudre les problèmes liés aux jetons d'accès hors ligne expirés par la ROSA CLI.

  2. Exécutez les AWS CLI commandes générées dans la sortie pour créer les rôles et les politiques.

  3. Créez un --interactive mode cluster with AWS STS in pour spécifier des paramètres personnalisés.

    rosa create cluster --interactive --sts
    Important

    Une fois que vous avez activé le chiffrement etcd pour les valeurs clés dans etcd, vous subissez une surcharge de performance d'environ 20 %. La surcharge résulte de l'introduction de cette deuxième couche de chiffrement, en plus du Amazon EBS chiffrement par défaut qui chiffre les volumes etcd.

  4. Pour créer les IAM rôles d'opérateur spécifiques au cluster, générez les fichiers JSON de politique d'opérateur dans le répertoire de travail actuel et publiez les AWS CLI commandes pour examen.

    rosa create operator-roles --mode manual --cluster <CLUSTER_NAME|CLUSTER_ID>

  5. Exécutez les AWS CLI commandes depuis la sortie.

  6. Créez le fournisseur OpenID Connect (OIDC) que les cluster opérateurs utilisent pour s'authentifier.

    rosa create oidc-provider --mode auto --cluster <CLUSTER_NAME|CLUSTER_ID>

  7. Vérifiez l'état de votrecluster.

    rosa describe cluster -c <CLUSTER_NAME>
    Note

    Si le processus de création échoue ou si le State champ ne passe pas à l'état « prêt » après 40 minutes, voir Résoudre les problèmes liés à la création de ROSA clusters.

    Pour contacter le support AWS Support ou obtenir de l'aide de Red Hat, consultez la section Support pour ROSA.

  8. Suivez la progression de la cluster création en consultant les journaux du OpenShift programme d'installation.

    rosa logs install -c <CLUSTER_NAME> --watch

Étape 3 : configurer un fournisseur d'identité et accorder cluster l'accès

ROSAinclut un serveur OAuth intégré. Une fois votre cluster compte créé, vous devez configurer OAuth pour utiliser un fournisseur d'identité. Vous pouvez ensuite ajouter des utilisateurs à votre fournisseur d'identité configuré pour leur accorder l'accès à votrecluster. Vous pouvez accorder ces utilisateurs cluster-admin ou dedicated-admin autorisations selon les besoins.

Vous pouvez configurer différents types de fournisseurs d'identité pour votrecluster. Les types pris en charge incluent les fournisseurs d'identité GitHub Enterprise GitHub GitLab, Google, LDAP, OpenID Connect et HTPasswd.

Important

Le fournisseur d'identité HTPasswd est inclus uniquement pour permettre la création d'un seul utilisateur administrateur statique. HTPasswd n'est pas pris en charge en tant que fournisseur d'identité à usage général pour. ROSA

La procédure suivante configure un fournisseur d' GitHub identité à titre d'exemple. Pour obtenir des instructions sur la configuration de chacun des types de fournisseurs d'identité pris en charge, consultez la section Configuration des fournisseurs d'identité pour AWS STS.

  1. Accédez à github.com et connectez-vous à votre GitHub compte.

  2. Si vous n'avez aucune GitHub organisation à utiliser pour vous fournir des identités ROSAcluster, créez-en une. Pour plus d'informations, consultez les étapes décrites dans la GitHub documentation.

  3. À l'aide du mode interactif de l'ROSAinterface de ligne de commande, configurez un fournisseur d'identité pour votre cluster.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Suivez les instructions de configuration affichées dans le résultat pour restreindre cluster l'accès aux membres de votre GitHub organisation.

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Ouvrez l'URL dans le résultat à l'aide de la commande suivante. Remplacez <GITHUB_ORG_NAME> par le nom de votre GitHub organisation.

  6. Sur la page GitHub Web, choisissez Enregistrer une application pour enregistrer une nouvelle application OAuth dans votre GitHub organisation.

  7. Utilisez les informations de la page GitHub OAuth pour renseigner les autres invites rosa create idp interactives à l'aide de la commande suivante. Remplacez <GITHUB_CLIENT_ID> et <GITHUB_CLIENT_SECRET> par les informations d'identification de votre application GitHub OAuth.

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    Note

    L'activation de la configuration du fournisseur d'identité peut prendre environ deux minutes. Si vous avez configuré un cluster-admin utilisateur, vous pouvez exécuter la oc get pods -n openshift-authentication --watch commande pour voir les pods OAuth se redéployer avec la configuration mise à jour.

  8. Vérifiez que le fournisseur d'identité a été correctement configuré à l'aide de la commande suivante.

    rosa list idps --cluster=<CLUSTER_NAME>

Étape 4 : Accorder à l'utilisateur l'accès à un cluster

Vous pouvez accorder à un utilisateur l'accès à votre cluster compte en l'ajoutant au fournisseur d'identité configuré.

La procédure suivante ajoute un utilisateur à une GitHub organisation configurée pour le provisionnement d'identité auprès de. cluster

  1. Accédez à github.com et connectez-vous à votre GitHub compte.

  2. Invitez les utilisateurs qui ont besoin cluster d'accéder à votre GitHub organisation. Pour plus d'informations, consultez Inviter des utilisateurs à rejoindre votre organisation dans la documentation sur Github.

Étape 5 : accorder des autorisations d'administrateur à un utilisateur

Après avoir ajouté un utilisateur à votre fournisseur d'identité configuré, vous pouvez lui accorder des dedicated-admin autorisations cluster-admin ou des autorisations pour votrecluster.

Configuration cluster-admin des autorisations

  1. Accordez les cluster-admin autorisations à l'aide de la commande suivante. Remplacez <IDP_USER_NAME> et <CLUSTER_NAME> par votre nom d'utilisateur et de cluster.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Vérifiez que l'utilisateur est répertorié comme membre du cluster-admins groupe.

    rosa list users --cluster=<CLUSTER_NAME>

Configuration dedicated-admin des autorisations

  1. Accordez les dedicated-admin autorisations à l'aide de la commande suivante. Remplacez <IDP_USER_NAME> et <CLUSTER_NAME> par votre nom d'utilisateur et votre cluster nom.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Vérifiez que l'utilisateur est répertorié comme membre du cluster-admins groupe.

    rosa list users --cluster=<CLUSTER_NAME>

Étape 6 : Accédez à un cluster via la console Web

Après avoir créé un utilisateur cluster administrateur ou ajouté un utilisateur à votre fournisseur d'identité configuré, vous pouvez vous connecter cluster via la Red Hat Hybrid Cloud Console.

  1. Obtenez l'URL de la console correspondante à cluster l'aide de la commande suivante. Remplacez <CLUSTER_NAME> par le nom de votre cluster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Accédez à l'URL de la console dans la sortie et connectez-vous.

    • Si vous créez un cluster-admin utilisateur, connectez-vous à l'aide des informations d'identification fournies.

    • Si vous configurez un fournisseur d'identité pour vouscluster, choisissez le nom du fournisseur d'identité dans la boîte de dialogue Se connecter avec... et répondez à toutes les demandes d'autorisation présentées par votre fournisseur.

Étape 7 : Déployer une application depuis le catalogue des développeurs

À partir de la console Red Hat Hybrid Cloud, vous pouvez déployer une application de test Developer Catalog et l'exposer à l'aide d'un itinéraire.

  1. Accédez à Red Hat Hybrid Cloud Console et choisissez le cluster dans lequel vous souhaitez déployer l'application.

  2. Sur la page du cluster, choisissez Open console.

  3. Du point de vue de l'administrateur, choisissez Accueil > Projets > Créer un projet.

  4. Entrez un nom pour votre projet et ajoutez éventuellement un nom d'affichage et une description.

  5. Choisissez Create pour créer le projet.

  6. Passez au point de vue Développeur et choisissez +Ajouter. Assurez-vous que le projet sélectionné est bien celui qui vient d'être créé.

  7. Dans la boîte de dialogue Developer Catalog, sélectionnez Tous les services.

  8. Sur la page du catalogue pour développeurs, choisissez Langues > dans le JavaScriptmenu.

  9. Choisissez Node.js, puis choisissez Create Application pour ouvrir la page Create Source-to-Image Application.

    Note

    Vous devrez peut-être choisir Effacer tous les filtres pour afficher l'option Node.js.

  10. Dans la section Git, choisissez Try Sample.

  11. Dans le champ Nom, ajoutez un nom unique.

  12. Sélectionnez Create (Créer).

    Note

    Le déploiement de la nouvelle application prend plusieurs minutes.

  13. Lorsque le déploiement est terminé, choisissez l'URL de route pour l'application.

    Un nouvel onglet du navigateur s'ouvre avec un message similaire au suivant.

    Welcome to your Node.js application on OpenShift

  14. (Facultatif) Supprimez l'application et nettoyez les ressources.

    1. Du point de vue de l'administrateur, choisissez Accueil > Projets.

    2. Ouvrez le menu d'actions de votre projet et choisissez Supprimer le projet.

Étape 8 : Révoquer les autorisations d'administrateur et l'accès utilisateur

Vous pouvez révoquer cluster-admin dedicated-admin les autorisations accordées à un utilisateur à l'aide de la ROSA CLI.

Pour révoquer l'accès d'un utilisateur, vous devez le supprimer de votre fournisseur d'identité configuré.

Révoquer cluster-admin les autorisations d'un utilisateur

  1. Révoquez l'cluster-adminautorisation à l'aide de la commande suivante. Remplacez <IDP_USER_NAME> et <CLUSTER_NAME> par votre nom d'utilisateur et votre cluster nom.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Vérifiez que l'utilisateur n'est pas répertorié comme membre du cluster-admins groupe.

    rosa list users --cluster=<CLUSTER_NAME>

Révoquer dedicated-admin les autorisations d'un utilisateur

  1. Révoquez l'dedicated-adminautorisation à l'aide de la commande suivante. Remplacez <IDP_USER_NAME> et <CLUSTER_NAME> par votre nom d'utilisateur et votre cluster nom.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Vérifiez que l'utilisateur n'est pas répertorié comme membre du dedicated-admins groupe.

    rosa list users --cluster=<CLUSTER_NAME>

Révoquer l'accès d'un utilisateur à un cluster

Vous pouvez révoquer cluster l'accès d'un utilisateur du fournisseur d'identité en le supprimant du fournisseur d'identité configuré.

Vous pouvez configurer différents types de fournisseurs d'identité pour votrecluster. La procédure suivante révoque cluster l'accès d'un membre d'une GitHub organisation.

  1. Accédez à github.com et connectez-vous à votre GitHub compte.

  2. Supprimez l'utilisateur de votre GitHub organisation. Pour plus d'informations, consultez la section Suppression d'un membre de votre organisation dans la GitHub documentation.

Étape 9 : Supprimer un cluster et AWS STS des ressources

Vous pouvez utiliser la ROSA CLI pour supprimer un cluster qui utilise AWS Security Token Service (AWS STS). Vous pouvez également utiliser la ROSA CLI pour supprimer les IAM rôles et le fournisseur OIDC créés parROSA. Pour supprimer les IAM politiques créées parROSA, vous pouvez utiliser la IAM console.

Important

IAMles rôles et les politiques créés par ROSA peuvent être utilisés par d'autres ROSA clusters du même compte.

  1. clusterSupprimez-les et observez les journaux. Remplacez <CLUSTER_NAME> par le nom ou l'identifiant de votrecluster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    Important

    Vous devez attendre que la suppression cluster soit complète avant de supprimer les IAM rôles, les politiques et le fournisseur OIDC. Les rôles IAM du compte sont nécessaires pour supprimer les ressources créées par le programme d'installation. Les rôles IAM des opérateurs sont nécessaires pour nettoyer les ressources créées par les OpenShift opérateurs. Les opérateurs utilisent le fournisseur OIDC pour s'authentifier.

  2. Supprimez le fournisseur OIDC que les cluster opérateurs utilisent pour s'authentifier en exécutant la commande suivante.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Supprimez les rôles d'opérateur spécifiques au cluster. IAM

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Supprimez les rôles IAM du compte à l'aide de la commande suivante. <PREFIX>Remplacez-le par le préfixe du compte IAM roles à supprimer. Si vous avez spécifié un préfixe personnalisé lors de la création des rôles IAM du compte, spécifiez le préfixe par défautManagedOpenShift.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Supprimez les IAM politiques créées parROSA.

    1. Connectez-vous à la console IAM.

    2. Dans le menu de gauche, sous Gestion des accès, sélectionnez Politiques.

    3. Sélectionnez la politique que vous souhaitez supprimer, puis sélectionnez Actions > Supprimer.

    4. Entrez le nom de la politique et choisissez Supprimer.

    5. Répétez cette étape pour supprimer chacune des politiques IAM pour lecluster.