Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat cluster ROSA klasik yang menggunakan AWS PrivateLink
ROSAklaster klasik dapat digunakan dalam beberapa cara berbeda: publik, pribadi, atau pribadi dengan. AWS PrivateLink Untuk informasi lebih lanjut tentang ROSA klasik, lihatModel arsitektur. Untuk klaster konfigurasi publik dan pribadi, OpenShift klaster memiliki akses ke internet, dan privasi diatur pada beban kerja aplikasi di lapisan aplikasi.
Jika Anda memerlukan beban kerja aplikasi klaster dan aplikasi bersifat pribadi, Anda dapat mengonfigurasi AWS PrivateLink dengan ROSA klasik. AWS PrivateLink adalah teknologi yang sangat tersedia dan dapat diskalakan yang ROSA digunakan untuk membuat koneksi pribadi antara ROSA layanan dan sumber daya cluster di akun AWS pelanggan. Dengan AWS PrivateLink, tim rekayasa keandalan situs Red Hat (SRE) dapat mengakses klaster untuk tujuan dukungan dan remediasi dengan menggunakan subnet pribadi yang terhubung ke titik akhir cluster. AWS PrivateLink
Untuk informasi lebih lanjut tentang AWS PrivateLink, lihat Apa itu AWS PrivateLink?
Topik
- Prasyarat
- Buat Amazon VPC arsitektur untuk cluster
- Buat cluster ROSA klasik menggunakan ROSA CLI dan AWS PrivateLink
- Konfigurasikan AWS PrivateLink DNS penerusan
- Konfigurasikan penyedia identitas dan berikan klaster akses
- Memberikan akses pengguna ke klaster
- Konfigurasikan cluster-admin izin
- Konfigurasikan dedicated-admin izin
- Akses klaster melalui Red Hat Hybrid Cloud Console
- Menyebarkan aplikasi dari Katalog Pengembang
- Mencabut cluster-admin izin dari pengguna
- Mencabut dedicated-admin izin dari pengguna
- Mencabut akses pengguna ke klaster
- Hapus cluster dan AWS STS sumber daya
Prasyarat
Lengkapi tindakan prasyarat yang tercantum dalam. Siapkan untuk digunakan ROSA
Buat Amazon VPC arsitektur untuk cluster
Untuk membuat ROSA klaster yang menggunakan AWS PrivateLink, Anda harus terlebih dahulu mengkonfigurasi Amazon VPC arsitektur Anda sendiri untuk menyebarkan solusi Anda ke dalam. Prosedur berikut menggunakan AWS CLI untuk membuat subnet publik dan pribadi menjadi Availability Zone tunggal untuk cluster Single-AZ. Semua klaster sumber daya ada di subnet pribadi. Subnet publik merutekan lalu lintas keluar dengan menggunakan NAT gateway ke internet.
Contoh ini menggunakan CIDR blok 10.0.0.0/16
untuk Amazon VPC. Namun, Anda dapat memilih CIDR blok yang berbeda. Untuk informasi lebih lanjut, lihat VPCukuran.
penting
Jika Amazon VPC persyaratan tidak terpenuhi, pembuatan cluster gagal.
-
Tetapkan variabel lingkungan untuk klaster nama dengan menjalankan perintah berikut.
ROSA_CLUSTER_NAME=rosa-hcp
-
Buat VPC dengan
10.0.0.0/16
CIDR blok.aws ec2 create-vpc --cidr-block 10.0.0.0/16 --query Vpc.VpcId --output text
Perintah sebelumnya mengembalikan ID baru. VPC Berikut ini adalah output contoh.
vpc-0410832ee325aafea
-
Menggunakan VPC ID dari langkah sebelumnya, beri tag VPC menggunakan
ROSA_CLUSTER_NAME
variabel.aws ec2 create-tags --resources <VPC_ID_VALUE> --tags Key=Name,Value=$ROSA_CLUSTER_NAME
-
Aktifkan dukungan DNS nama host di file. VPC
aws ec2 modify-vpc-attribute --vpc-id <VPC_ID_VALUE> --enable-dns-hostnames
-
Buat subnet publik di
10.0.1.0/24
CIDR blok VPC with a, tentukan Availability Zone tempat sumber daya harus dibuat.penting
ROSAdengan HCP mengharuskan pelanggan mengonfigurasi setidaknya satu subnet publik dan pribadi per Availability Zone yang digunakan untuk membuat cluster. Untuk cluster Single-AZ, hanya satu Availability Zone yang diperlukan. Untuk cluster multi-AZ, diperlukan tiga Availability Zone. Jika persyaratan ini tidak terpenuhi, pembuatan cluster gagal.
catatan
Saat membuat subnet, pastikan subnet dibuat ke Availability Zone yang memiliki tipe ROSA instance yang tersedia. Jika Anda tidak memilih Availability Zone tertentu, subnet dibuat di salah satu Availability Zone dalam Wilayah AWS yang Anda tentukan.
Untuk menentukan Availability Zone tertentu, gunakan
--availability zone
argumen dalamcreate-subnet
perintah. Anda dapat menggunakanrosa list instance-types
perintah untuk membuat daftar semua jenis ROSA instance yang tersedia. Untuk memeriksa apakah jenis instance tersedia untuk Availability Zone tertentu, gunakan perintah berikut.aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values=<availability_zone> --region <region> --output text | egrep "<instance_type>"
aws ec2 create-subnet --vpc-id <VPC_ID_VALUE> --cidr-block 10.0.1.0/24 --availability-zone <AZ_NAME> --query Subnet.SubnetId --output text
Perintah sebelumnya mengembalikan ID subnet baru. Berikut ini adalah output contoh.
subnet-0b6a7e8cbc8b75920
-
Dengan menggunakan subnet ID dari langkah sebelumnya, beri tag subnet menggunakan variabel.
ROSA_CLUSTER_NAME-public
aws ec2 create-tags --resources <PUBLIC_SUBNET_ID> --tags Key=Name,Value=$ROSA_CLUSTER_NAME-public
-
Buat subnet pribadi di
10.0.0.0/24
CIDR blok VPC with a, tentukan Availability Zone yang sama dengan subnet publik yang digunakan.aws ec2 create-subnet --vpc-id <VPC_ID_VALUE> --cidr-block 10.0.0.0/24 --availability-zone <AZ_NAME> --query Subnet.SubnetId --output text
Perintah sebelumnya mengembalikan ID subnet baru. Berikut ini adalah output contoh.
subnet-0b6a7e8cbc8b75920
-
Dengan menggunakan subnet ID dari langkah sebelumnya, beri tag subnet menggunakan variabel.
ROSA_CLUSTER_NAME-private
aws ec2 create-tags --resources <PRIVATE_SUBNET_ID> --tags Key=Name,Value=$ROSA_CLUSTER_NAME-private
-
Buat gateway internet untuk lalu lintas keluar dan lampirkan ke. VPC
aws ec2 create-internet-gateway --query InternetGateway.InternetGatewayId --output text aws ec2 attach-internet-gateway --vpc-id <VPC_ID_VALUE> --internet-gateway-id <IG_ID_VALUE>
-
Tandai gateway internet dengan
ROSA_CLUSTER_NAME
variabel.aws ec2 create-tags --resources <IG_ID_VALUE> --tags Key=Name,Value=$ROSA_CLUSTER_NAME
-
Buat tabel rute untuk lalu lintas keluar, kaitkan ke subnet publik, dan konfigurasikan lalu lintas untuk rute ke gateway internet.
aws ec2 create-route-table --vpc-id <VPC_ID_VALUE> --query RouteTable.RouteTableId --output text aws ec2 associate-route-table --subnet-id <PUBLIC_SUBNET_ID> --route-table-id <PUBLIC_RT_ID> aws ec2 create-route --route-table-id <PUBLIC_RT_ID> --destination-cidr-block 0.0.0.0/0 --gateway-id <IG_ID_VALUE>
-
Tandai tabel rute publik dengan
ROSA_CLUSTER_NAME
variabel dan verifikasi bahwa tabel rute telah dikonfigurasi dengan benar.aws ec2 create-tags --resources <PUBLIC_RT_ID> --tags Key=Name,Value=$ROSA_CLUSTER_NAME aws ec2 describe-route-tables --route-table-id <PUBLIC_RT_ID>
-
Buat NAT gateway di subnet publik dengan alamat IP elastis untuk mengaktifkan lalu lintas ke subnet pribadi.
aws ec2 allocate-address --domain vpc --query AllocationId --output text aws ec2 create-nat-gateway --subnet-id <PUBLIC_SUBNET_ID> --allocation-id <EIP_ADDRESS> --query NatGateway.NatGatewayId --output text
-
Tandai NAT gateway dan alamat IP elastis dengan
$ROSA_CLUSTER_NAME
variabel.aws ec2 create-tags --resources <EIP_ADDRESS> --resources <NAT_GATEWAY_ID> --tags Key=Name,Value=$ROSA_CLUSTER_NAME
-
Buat tabel rute untuk lalu lintas subnet pribadi, kaitkan ke subnet pribadi, dan konfigurasikan lalu lintas untuk merutekan ke gateway. NAT
aws ec2 create-route-table --vpc-id <VPC_ID_VALUE> --query RouteTable.RouteTableId --output text aws ec2 associate-route-table --subnet-id <PRIVATE_SUBNET_ID> --route-table-id <PRIVATE_RT_ID> aws ec2 create-route --route-table-id <PRIVATE_RT_ID> --destination-cidr-block 0.0.0.0/0 --gateway-id <NAT_GATEWAY_ID>
-
Tandai tabel rute pribadi dan alamat IP elastis dengan
$ROSA_CLUSTER_NAME-private
variabel.aws ec2 create-tags --resources <PRIVATE_RT_ID> <EIP_ADDRESS> --tags Key=Name,Value=$ROSA_CLUSTER_NAME-private
Buat cluster ROSA klasik menggunakan ROSA CLI dan AWS PrivateLink
Anda dapat menggunakan ROSA CLI dan {privatelinkg} untuk membuat klaster dengan Availability Zone tunggal (Single-AZ) atau beberapa Availability Zone (Multi-AZ). Dalam kedua kasus, CIDR nilai mesin Anda harus sesuai dengan CIDR nilai AndaVPC.
Prosedur berikut menggunakan rosa create cluster
perintah untuk membuat Single-AZ ROSA
klaster. Untuk membuat Multi-AZ klaster, tentukan multi-az
dalam perintah dan subnet pribadi IDs untuk setiap subnet pribadi yang ingin Anda gunakan.
catatan
Jika Anda menggunakan firewall, Anda harus mengkonfigurasinya sehingga ROSA dapat mengakses situs yang diperlukan untuk berfungsi.
Untuk informasi selengkapnya, lihat prasyarat AWS firewall
-
Buat Single-AZ klaster dengan menjalankan perintah berikut.
rosa create cluster --private-link --cluster-name=<CLUSTER_NAME> --machine-cidr=10.0.0.0/16 --subnet-ids=<PRIVATE_SUBNET_ID>
catatan
Untuk membuat klaster yang menggunakan kredensial AWS PrivateLink dengan AWS Security Token Service (AWS STS) berumur pendek, tambahkan
--sts --mode auto
atau--sts --mode manual
ke akhir perintah.rosa create cluster
-
Buat IAM peran klaster operator dengan mengikuti petunjuk interaktif.
rosa create operator-roles --interactive -c <CLUSTER_NAME>
-
Buat penyedia OpenID Connect (OIDC) yang digunakan klaster operator untuk mengautentikasi.
rosa create oidc-provider --interactive -c <CLUSTER_NAME>
-
Periksa status Anda klaster.
rosa describe cluster -c <CLUSTER_NAME>
catatan
Mungkin diperlukan waktu hingga 40 menit bagi klaster
State
lapangan untuk menunjukkanready
status. Jika penyediaan gagal atau tidak ditampilkanready
setelah 40 menit, lihat. Pemecahan MasalahUntuk menghubungi AWS Support atau dukungan Red Hat untuk bantuan, lihatMendapatkan ROSA dukungan.
-
Lacak kemajuan klaster pembuatan dengan menonton log OpenShift penginstal.
rosa logs install -c <CLUSTER_NAME> --watch
Konfigurasikan AWS PrivateLink DNS penerusan
Cluster yang menggunakan AWS PrivateLink membuat zona yang dihosting publik dan zona host pribadi di Route 53. Catatan dalam zona host Route 53 pribadi hanya dapat diselesaikan dari dalam tempat VPC ia ditugaskan.
Validasi Let's Encrypt DNS -01 memerlukan zona publik sehingga sertifikat yang valid dan dipercaya publik dapat dikeluarkan untuk domain tersebut. Catatan validasi dihapus setelah validasi Let's Encrypt selesai. Zona ini masih diperlukan untuk menerbitkan dan memperbarui sertifikat ini, yang biasanya diperlukan setiap 60 hari. Meskipun zona ini biasanya tampak kosong, zona publik memainkan peran penting dalam proses validasi.
Untuk informasi selengkapnya tentang zona yang dihosting AWS pribadi, lihat Bekerja dengan zona pribadi. Untuk informasi selengkapnya tentang zona yang dihosting publik, lihat Bekerja dengan zona yang dihosting publik.
Konfigurasikan Route 53 Resolver titik akhir masuk
Untuk memungkinkan catatan seperti api.<cluster_domain>
dan *.apps.<cluster_domain>
untuk menyelesaikan di luarVPC, konfigurasikan titik akhir Route 53 Resolver masuk.
-
Buka Route 53 konsol.
-
Di panel navigasi di bawah Resolver, pilih Endpoint Inbound.
-
Pilih Konfigurasi titik akhir.
-
Di kanan atas, gunakan Wilayah AWS pemilih untuk memilih yang berisi Wilayah AWS yang VPC digunakan untuk cluster.
-
Di bawah Konfigurasi dasar, pilih Inbound only dan kemudian pilih Next.
-
Pada halaman Configure inbound endpoint, lengkapi bagian General settings for inbound endpoint. Di bawah Grup keamanan untuk titik akhir ini, pilih grup keamanan yang memungkinkan masuk UDP dan TCP lalu lintas dari jaringan jarak jauh pada port tujuan 53.
-
Di bagian alamat IP, pilih Availability Zones dan subnet pribadi yang digunakan saat membuat cluster dan pilih Next.
-
(Opsional) Lengkapi bagian Tag.
-
Pilih Kirim.
Konfigurasikan DNS penerusan untuk cluster
Setelah endpoint Route 53 Resolver internal dikaitkan dan operasional, konfigurasikan DNS penerusan sehingga DNS kueri dapat ditangani oleh server yang ditunjuk di jaringan Anda.
-
Konfigurasikan jaringan perusahaan Anda untuk meneruskan DNS kueri ke alamat IP tersebut untuk domain tingkat atas, seperti.
drow-pl-01.htno.p1.openshiftapps.com
-
Jika Anda meneruskan DNS kueri dari satu VPC ke yang lainVPC, ikuti petunjuk dalam Mengelola aturan penerusan.
-
Jika Anda mengonfigurasi DNS server jaringan jarak jauh, lihat dokumentasi DNS server spesifik Anda untuk mengonfigurasi DNS penerusan selektif untuk domain cluster yang diinstal.
Konfigurasikan penyedia identitas dan berikan klaster akses
ROSA termasuk OAuth server bawaan. Setelah ROSA
klaster dibuat, Anda harus mengonfigurasi OAuth untuk menggunakan penyedia identitas. Anda kemudian dapat menambahkan pengguna ke penyedia identitas yang dikonfigurasi untuk memberi mereka akses ke layanan Anda klaster. Anda dapat memberikan pengguna cluster-admin
atau dedicated-admin
izin ini sesuai kebutuhan.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Anda klaster. Jenis yang didukung termasuk GitHub, GitHub Enterprise, GitLab, Google,LDAP, OpenID Connect, dan penyedia HTPasswd identitas.
penting
Penyedia HTPasswd identitas disertakan hanya untuk memungkinkan satu pengguna administrator statis dibuat. HTPasswdtidak didukung sebagai penyedia identitas penggunaan umum untuk. ROSA
Prosedur berikut mengkonfigurasi penyedia GitHub identitas sebagai contoh. Untuk petunjuk tentang cara mengonfigurasi setiap jenis penyedia identitas yang didukung, lihat Mengonfigurasi penyedia identitas untuk AWS STS
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Jika Anda tidak memiliki GitHub organisasi untuk digunakan untuk penyediaan identitas untuk Anda ROSA klaster, buat satu. Untuk informasi selengkapnya, lihat langkah-langkah dalam GitHub dokumentasi
. -
Menggunakan mode interaktif, konfigurasikan penyedia identitas untuk klaster Anda dengan menjalankan perintah berikut. ROSA CLI
rosa create idp --cluster=<CLUSTER_NAME> --interactive
-
Ikuti petunjuk konfigurasi di output untuk membatasi klaster akses ke anggota organisasi Anda GitHub .
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Type of identity provider: github ? Identity provider name: github-1 ? Restrict to members of: organizations ? GitHub organizations: <GITHUB_ORG_NAME> ? To use GitHub as an identity provider, you must first register the application: - Open the following URL: https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com - Click on 'Register application' ...
-
Buka URL di output, ganti
<GITHUB_ORG_NAME>
dengan nama GitHub organisasi Anda. -
Di halaman GitHub web, pilih Daftarkan aplikasi untuk mendaftarkan OAuth aplikasi baru di GitHub organisasi Anda.
-
Gunakan informasi dari GitHub OAuth halaman untuk mengisi permintaan
rosa create idp
interaktif yang tersisa, mengganti<GITHUB_CLIENT_ID>
dan<GITHUB_CLIENT_SECRET>
dengan kredensi dari aplikasi Anda. GitHub OAuth... ? Client ID: <GITHUB_CLIENT_ID> ? Client Secret: [? for help] <GITHUB_CLIENT_SECRET> ? GitHub Enterprise Hostname (optional): ? Mapping method: claim I: Configuring IDP for cluster '<CLUSTER_NAME>' I: Identity Provider 'github-1' has been created. It will take up to 1 minute for this configuration to be enabled. To add cluster administrators, see 'rosa grant user --help'. To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
catatan
Mungkin diperlukan waktu sekitar dua menit agar konfigurasi penyedia identitas menjadi aktif. Jika Anda mengonfigurasi
cluster-admin
pengguna, Anda dapat menjalankanoc get pods -n openshift-authentication --watch
perintah untuk melihat OAuth pod di-deploy ulang dengan konfigurasi yang diperbarui. -
Verifikasi penyedia identitas telah dikonfigurasi dengan benar.
rosa list idps --cluster=<CLUSTER_NAME>
Memberikan akses pengguna ke klaster
Anda dapat memberikan akses pengguna ke Anda klaster dengan menambahkannya ke penyedia identitas yang dikonfigurasi.
Prosedur berikut menambahkan pengguna ke GitHub organisasi yang dikonfigurasi untuk penyediaan identitas ke cluster.
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Undang pengguna yang memerlukan klaster akses ke GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Mengundang pengguna untuk bergabung dengan organisasi Anda
dalam GitHub dokumentasi.
Konfigurasikan cluster-admin
izin
-
Berikan
cluster-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan nama pengguna dan cluster Anda.rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Konfigurasikan dedicated-admin
izin
-
Berikan
dedicated-admin
izin dengan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Akses klaster melalui Red Hat Hybrid Cloud Console
Setelah membuat pengguna klaster administrator atau menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat masuk klaster melalui Red Hat Hybrid Cloud Console.
-
Dapatkan konsol URL untuk Anda klaster menggunakan perintah berikut. Ganti
<CLUSTER_NAME>
dengan nama Anda klaster.rosa describe cluster -c <CLUSTER_NAME> | grep Console
-
Arahkan ke konsol URL di output dan masuk.
-
Jika Anda membuat
cluster-admin
pengguna, masuk menggunakan kredensi yang disediakan. -
Jika Anda mengonfigurasi penyedia identitas untuk Anda klaster, pilih nama penyedia identitas di dialog Masuk dengan... dan lengkapi permintaan otorisasi apa pun yang disajikan oleh penyedia Anda.
-
Menyebarkan aplikasi dari Katalog Pengembang
Dari Red Hat Hybrid Cloud Console, Anda dapat menerapkan aplikasi pengujian Katalog Pengembang dan mengeksposnya dengan rute.
-
Arahkan ke Red Hat Hybrid Cloud Console
dan pilih cluster tempat Anda ingin menerapkan aplikasi. -
Pada halaman cluster, pilih Open console.
-
Dalam perspektif Administrator, pilih Home > Projects > Create Project.
-
Masukkan nama untuk proyek Anda dan secara opsional tambahkan Nama Tampilan dan Deskripsi.
-
Pilih Buat untuk membuat proyek.
-
Beralih ke perspektif Pengembang dan pilih +Tambah. Pastikan bahwa proyek yang dipilih adalah yang baru saja dibuat.
-
Dalam dialog Katalog Pengembang, pilih Semua layanan.
-
Di halaman Katalog Pengembang, pilih Bahasa > JavaScriptdari menu.
-
Pilih Node.js, lalu pilih Create Application untuk membuka halaman Create Source-to-Image Application.
catatan
Anda mungkin perlu memilih Hapus Semua Filter untuk menampilkan opsi Node.js.
-
Di bagian Git, pilih Coba Sampel.
-
Di bidang Nama, tambahkan nama unik.
-
Pilih Buat.
catatan
Aplikasi baru membutuhkan waktu beberapa menit untuk digunakan.
-
Ketika penyebaran selesai, pilih rute URL untuk aplikasi.
Tab baru di browser terbuka dengan pesan yang mirip dengan berikut ini.
Welcome to your Node.js application on OpenShift
-
(Opsional) Hapus aplikasi dan bersihkan sumber daya.
-
Dalam perspektif Administrator, pilih Home > Projects.
-
Buka menu tindakan untuk proyek Anda dan pilih Hapus Proyek.
-
Mencabut cluster-admin
izin dari pengguna
-
Cabut
cluster-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna tidak terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Mencabut dedicated-admin
izin dari pengguna
-
Cabut
dedicated-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna tidak terdaftar sebagai anggota
dedicated-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Mencabut akses pengguna ke klaster
Anda dapat mencabut klaster akses untuk pengguna penyedia identitas dengan menghapusnya dari penyedia identitas yang dikonfigurasi.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Anda klaster. Prosedur berikut mencabut klaster akses untuk anggota GitHub organisasi.
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Hapus pengguna dari GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Menghapus anggota dari organisasi Anda
di GitHub dokumentasi.
Hapus cluster dan AWS STS sumber daya
Anda dapat menggunakan ROSA CLI untuk menghapus klaster yang menggunakan AWS Security Token Service (AWS STS). Anda juga dapat menggunakan ROSA CLI untuk menghapus IAM peran dan OIDC penyedia yang dibuat oleh ROSA. Untuk menghapus IAM kebijakan yang dibuat oleh ROSA, Anda dapat menggunakan IAM konsol.
penting
IAM peran dan kebijakan yang dibuat oleh ROSA mungkin digunakan oleh ROSA cluster lain di akun yang sama.
-
Hapus klaster dan perhatikan log. Ganti
<CLUSTER_NAME>
dengan nama atau ID Anda klaster.rosa delete cluster --cluster=<CLUSTER_NAME> --watch
penting
Anda harus menunggu penghapusan sepenuhnya sebelum menghapus IAM peran, kebijakan, dan OIDC penyedia. klaster IAMPeran akun diperlukan untuk menghapus sumber daya yang dibuat oleh penginstal. IAMPeran operator diperlukan untuk membersihkan sumber daya yang dibuat oleh OpenShift operator. Operator menggunakan OIDC penyedia untuk mengautentikasi.
-
Hapus OIDC penyedia yang digunakan klaster operator untuk mengautentikasi dengan menjalankan perintah berikut.
rosa delete oidc-provider -c <CLUSTER_ID> --mode auto
-
Hapus peran operator khusus cluster. IAM
rosa delete operator-roles -c <CLUSTER_ID> --mode auto
-
Hapus IAM peran akun menggunakan perintah berikut. Ganti
<PREFIX>
dengan awalan IAM peran akun yang akan dihapus. Jika Anda menetapkan awalan kustom saat membuat IAM peran akun, tentukanManagedOpenShift
awalan default.rosa delete account-roles --prefix <PREFIX> --mode auto
-
Hapus IAM kebijakan yang dibuat oleh ROSA.
-
Masuk ke IAM konsol
. -
Di menu sebelah kiri di bawah Manajemen akses, pilih Kebijakan.
-
Pilih kebijakan yang ingin Anda hapus dan pilih Tindakan > Hapus.
-
Masukkan nama kebijakan dan pilih Hapus.
-
Ulangi langkah ini untuk menghapus setiap IAM kebijakan untuk klaster.
-