Memulai ROSA klasik menggunakan ROSA CLI dalam mode manual - Layanan OpenShift Red Hat di AWS
PrasyaratLangkah 1: Aktifkan ROSA dan konfigurasikan prasyaratLangkah 2: Buat cluster klasik ROSA dengan AWS STS dan mode ROSA CLI manualLangkah 3: Konfigurasikan penyedia identitas dan berikan klaster aksesLangkah 4: Berikan akses pengguna ke klasterLangkah 5: Berikan izin administrator kepada penggunaLangkah 6: Akses klaster melalui konsol webLangkah 7: Menyebarkan aplikasi dari Katalog PengembangLangkah 8: Cabut izin administrator dan akses penggunaLangkah 9: Hapus cluster dan AWS STS sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulai ROSA klasik menggunakan ROSA CLI dalam mode manual

Bagian berikut menjelaskan cara memulai menggunakan ROSA klasik AWS STS dan ROSA CLI. Untuk informasi selengkapnya tentang ROSA classic, lihat Opsi penerapan.

ROSACLI menggunakan auto mode atau manual mode untuk membuat IAM sumber daya yang diperlukan untuk menyediakan file. ROSA klaster automode segera membuat IAM peran dan kebijakan yang diperlukan dan penyedia OpenID Connect (OIDC). manualmode output AWS CLI perintah yang diperlukan untuk membuat IAM sumber daya. Dengan menggunakan manual mode, Anda dapat meninjau AWS CLI perintah yang dihasilkan sebelum menjalankannya secara manual. Anda juga dapat menggunakan manual untuk meneruskan perintah ke administrator atau grup lain di organisasi Anda sehingga mereka dapat membuat sumber daya.

Prosedur dalam dokumen ini menggunakan manual mode ROSA CLI untuk membuat IAM sumber daya yang diperlukan untuk ROSA Classic. Untuk opsi lainnya untuk memulai, lihat Memulai dengan ROSA.

Prasyarat

Sebelum memulai, pastikan Anda menyelesaikan tindakan ini:

  • Instal dan konfigurasikan yang terbaruAWS CLI. Untuk informasi selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

  • Instal dan konfigurasikan ROSA CLI terbaru dan OpenShift Container Platform CLI. Untuk informasi selengkapnya, lihat Memulai ROSA CLI.

  • Service Quotasharus memiliki kuota layanan yang diperlukan untukAmazon EC2,Amazon VPC,Amazon EBS, dan Elastic Load Balancing yang diperlukan untuk membuat dan menjalankan ROSA cluster. AWSatau Red Hat dapat meminta peningkatan kuota layanan atas nama Anda sebagaimana diperlukan untuk penyelesaian masalah. Untuk melihat kuota yang diperlukan, lihat Layanan OpenShift Red Hat di AWStitik akhir dan kuota di Referensi Umum. AWS

  • Untuk menerima AWS dukunganROSA, Anda harus mengaktifkan paket dukungan AWS Bisnis, Enterprise On-Ramp, atau Enterprise. Red Hat dapat meminta AWS dukungan atas nama Anda sebagaimana diperlukan untuk penyelesaian masalah. Untuk informasi selengkapnya, lihat Support untuk ROSA. Untuk mengaktifkanAWS Support, lihat AWS Supporthalaman.

  • Jika Anda menggunakan AWS Organizations untuk mengelola host ROSA layanan tersebut, kebijakan kontrol layanan organisasi (SCP) harus dikonfigurasi agar Red Hat dapat melakukan tindakan kebijakan yang tercantum dalam SCP tanpa batasan. Akun AWS Untuk informasi selengkapnya, lihat dokumentasi pemecahan masalah ROSA SCP. Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan (SCP).

  • Jika menerapkan ROSA klaster with AWS STS ke diaktifkan Wilayah AWS yang dinonaktifkan secara default, Anda harus memperbarui token keamanan ke versi 2 untuk semua Wilayah Akun AWS dengan perintah berikut.

    aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token

    Untuk informasi selengkapnya tentang mengaktifkan Wilayah, lihat Mengelola Wilayah AWS di Referensi Umum AWS.

Langkah 1: Aktifkan ROSA dan konfigurasikan prasyarat

Untuk membuat ROSAklaster, Anda harus terlebih dahulu mengaktifkan ROSA layanan di AWS ROSA konsol. AWSROSAKonsol memverifikasi apakah Anda Akun AWS memiliki AWS Marketplace izin yang diperlukan, kuota layanan, dan peran terkait layanan Elastic Load Balancing (ELB) bernama. AWSServiceRoleForElasticLoadBalancing Jika salah satu prasyarat ini hilang, konsol memberikan panduan tentang cara mengonfigurasi akun Anda untuk memenuhi prasyarat.

  1. Navigasikan ke konsol ROSA tersebut.

  2. Pilih Mulai.

  3. Pada halaman Verifikasi ROSA prasyarat, pilih Saya setuju untuk membagikan informasi kontak saya dengan Red Hat.

  4. Pilih Aktifkan ROSA.

  5. Setelah halaman memverifikasi kuota layanan Anda memenuhi ROSA prasyarat dan peran terkait layanan ELB dibuat, buka sesi terminal baru untuk membuat yang pertama menggunakan CLI. ROSA klaster ROSA

Langkah 2: Buat cluster klasik ROSA dengan AWS STS dan mode ROSA CLI manual

Anda dapat membuat ROSA klasik klaster menggunakan AWS Security Token Service (AWS STS) dan manual mode yang disediakan di ROSA CLI.

Saat Anda membuatklaster, Anda dapat menjalankan rosa create cluster --interactive untuk menyesuaikan penerapan Anda dengan serangkaian petunjuk interaktif. Untuk informasi selengkapnya, lihat Referensi mode pembuatan klaster interaktif di dokumentasi Red Hat.

Setelah klaster disediakan, satu perintah disediakan dalam output. Jalankan perintah ini untuk menyebarkan cluster lebih lanjut yang menggunakan konfigurasi kustom yang sama persis.

catatan

AWSVPC bersama saat ini tidak didukung untuk ROSA instalasi.

  1. Buat peran dan kebijakan IAM akun yang diperlukan.

    rosa create account-roles --mode manual
    catatan

    Jika token akses offline Anda telah kedaluwarsa, ROSA CLI mengeluarkan pesan kesalahan yang menyatakan bahwa token otorisasi Anda perlu diperbarui. Untuk langkah-langkah untuk memecahkan masalah, lihat Memecahkan masalah ROSACLI token akses offline kedaluwarsa.

  2. Jalankan AWS CLI perintah yang dihasilkan dalam output untuk membuat peran dan kebijakan.

  3. Buat --interactive mode klaster with AWS STS in untuk menentukan pengaturan kustom apa pun.

    rosa create cluster --interactive --sts
    penting

    Setelah Anda mengaktifkan enkripsi etcd untuk nilai kunci di etcd, Anda akan dikenakan overhead kinerja sekitar 20%. Overhead adalah hasil dari memperkenalkan lapisan enkripsi kedua ini, selain Amazon EBS enkripsi default yang mengenkripsi volume etcd.

  4. Untuk membuat IAM peran operator khusus cluster, buat file JSON kebijakan operator di direktori kerja saat ini dan keluarkan perintah untuk ditinjau. AWS CLI

    rosa create operator-roles --mode manual --cluster <CLUSTER_NAME|CLUSTER_ID>

  5. Jalankan AWS CLI perintah dari output.

  6. Buat penyedia OpenID Connect (OIDC) yang digunakan klaster operator untuk mengautentikasi.

    rosa create oidc-provider --mode auto --cluster <CLUSTER_NAME|CLUSTER_ID>

  7. Periksa status Andaklaster.

    rosa describe cluster -c <CLUSTER_NAME>
    catatan

    Jika proses pembuatan gagal atau State bidang tidak berubah menjadi status siap setelah 40 menit, lihat Memecahkan masalah pembuatan ROSA klaster.

    Untuk menghubungi AWS Support atau dukungan Red Hat untuk bantuan, lihat Support untuk ROSA.

  8. Lacak kemajuan klaster pembuatan dengan menonton log OpenShift penginstal.

    rosa logs install -c <CLUSTER_NAME> --watch

Langkah 3: Konfigurasikan penyedia identitas dan berikan klaster akses

ROSAtermasuk server OAuth bawaan. Setelah klaster dibuat, Anda harus mengonfigurasi OAuth untuk menggunakan penyedia identitas. Anda kemudian dapat menambahkan pengguna ke penyedia identitas yang dikonfigurasi untuk memberi mereka akses ke layanan Andaklaster. Anda dapat memberikan pengguna cluster-admin atau dedicated-admin izin ini sesuai kebutuhan.

Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Andaklaster. Jenis yang didukung termasuk GitHub, GitHub Enterprise,, Google GitLab, LDAP, OpenID Connect, dan penyedia identitas HTPASSWD.

penting

Penyedia identitas HTPassWD disertakan hanya untuk memungkinkan satu pengguna administrator statis dibuat. htPassWD tidak didukung sebagai penyedia identitas penggunaan umum untuk. ROSA

Prosedur berikut mengkonfigurasi penyedia GitHub identitas sebagai contoh. Untuk petunjuk tentang cara mengonfigurasi setiap jenis penyedia identitas yang didukung, lihat Mengonfigurasi penyedia identitas untuk AWS STS.

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Jika Anda tidak memiliki GitHub organisasi untuk digunakan untuk penyediaan identitas untuk Anda ROSAklaster, buat satu. Untuk informasi selengkapnya, lihat langkah-langkah dalam GitHub dokumentasi.

  3. Menggunakan mode interaktif ROSA CLI, konfigurasikan penyedia identitas untuk klaster Anda.

    rosa create idp --cluster=<CLUSTER_NAME> --interactive

  4. Ikuti petunjuk konfigurasi di output untuk membatasi klaster akses ke anggota organisasi Anda GitHub .

    I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <GITHUB_ORG_NAME>
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com
  - Click on 'Register application'
...

  5. Buka URL di output dengan perintah berikut. Ganti <GITHUB_ORG_NAME> dengan nama GitHub organisasi Anda.

  6. Di halaman GitHub web, pilih Daftar aplikasi untuk mendaftarkan aplikasi OAuth baru di organisasi Anda GitHub .

  7. Gunakan informasi dari halaman GitHub OAuth untuk mengisi prompt rosa create idp interaktif yang tersisa menggunakan perintah berikut. Ganti <GITHUB_CLIENT_ID> dan <GITHUB_CLIENT_SECRET> dengan kredensi dari aplikasi GitHub OAuth Anda.

    ...
? Client ID: <GITHUB_CLIENT_ID>
? Client Secret: [? for help] <GITHUB_CLIENT_SECRET>
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster '<CLUSTER_NAME>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
    catatan

    Mungkin diperlukan waktu sekitar dua menit agar konfigurasi penyedia identitas menjadi aktif. Jika Anda mengonfigurasi cluster-admin pengguna, Anda dapat menjalankan oc get pods -n openshift-authentication --watch perintah untuk melihat pod OAuth di-deploy ulang dengan konfigurasi yang diperbarui.

  8. Verifikasi penyedia identitas telah dikonfigurasi dengan benar menggunakan perintah berikut.

    rosa list idps --cluster=<CLUSTER_NAME>

Langkah 4: Berikan akses pengguna ke klaster

Anda dapat memberikan akses pengguna ke Anda klaster dengan menambahkannya ke penyedia identitas yang dikonfigurasi.

Prosedur berikut menambahkan pengguna ke GitHub organisasi yang dikonfigurasi untuk penyediaan identitas ke. klaster

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Undang pengguna yang memerlukan klaster akses ke GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Mengundang pengguna untuk bergabung dengan organisasi Anda dalam dokumentasi di Github.

Langkah 5: Berikan izin administrator kepada pengguna

Setelah menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat memberikan pengguna cluster-admin atau dedicated-admin izin untuk Andaklaster.

Konfigurasikan cluster-admin izin

  1. Berikan cluster-admin izin menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan nama pengguna dan cluster Anda.

    rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Konfigurasikan dedicated-admin izin

  1. Berikan dedicated-admin izin menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna dan klaster nama Anda.

    rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Langkah 6: Akses klaster melalui konsol web

Setelah membuat pengguna klaster administrator atau menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat masuk klaster melalui Red Hat Hybrid Cloud Console.

  1. Dapatkan URL konsol untuk Anda klaster dengan menggunakan perintah berikut. Ganti <CLUSTER_NAME> dengan nama Andaklaster.

    rosa describe cluster -c <CLUSTER_NAME> | grep Console

  2. Arahkan ke URL konsol di output dan masuk.

    • Jika Anda membuat cluster-admin pengguna, masuk menggunakan kredensi yang disediakan.

    • Jika Anda mengonfigurasi penyedia identitas untuk Andaklaster, pilih nama penyedia identitas di dialog Masuk dengan... dan lengkapi permintaan otorisasi apa pun yang disajikan oleh penyedia Anda.

Langkah 7: Menyebarkan aplikasi dari Katalog Pengembang

Dari Red Hat Hybrid Cloud Console, Anda dapat menerapkan aplikasi pengujian Katalog Pengembang dan mengeksposnya dengan rute.

  1. Arahkan ke Red Hat Hybrid Cloud Console dan pilih cluster tempat Anda ingin menerapkan aplikasi.

  2. Pada halaman cluster, pilih Open console.

  3. Dalam perspektif Administrator, pilih Home > Projects > Create Project.

  4. Masukkan nama untuk proyek Anda dan secara opsional tambahkan Nama Tampilan dan Deskripsi.

  5. Pilih Buat untuk membuat proyek.

  6. Beralih ke perspektif Pengembang dan pilih +Tambah. Pastikan bahwa proyek yang dipilih adalah yang baru saja dibuat.

  7. Dalam dialog Katalog Pengembang, pilih Semua layanan.

  8. Di halaman Katalog Pengembang, pilih Bahasa > JavaScriptdari menu.

  9. Pilih Node.js, lalu pilih Create Application untuk membuka halaman Create Source-to-Image Application.

    catatan

    Anda mungkin perlu memilih Hapus Semua Filter untuk menampilkan opsi Node.js.

  10. Di bagian Git, pilih Coba Sampel.

  11. Di bidang Nama, tambahkan nama unik.

  12. Pilih Create (Buat).

    catatan

    Aplikasi baru membutuhkan waktu beberapa menit untuk digunakan.

  13. Saat penerapan selesai, pilih URL rute untuk aplikasi.

    Tab baru di browser terbuka dengan pesan yang mirip dengan yang berikut ini.

    Welcome to your Node.js application on OpenShift

  14. (Opsional) Hapus aplikasi dan bersihkan sumber daya.

    1. Dalam perspektif Administrator, pilih Home > Projects.

    2. Buka menu tindakan untuk proyek Anda dan pilih Hapus Proyek.

Langkah 8: Cabut izin administrator dan akses pengguna

Anda dapat mencabut cluster-admin atau dedicated-admin izin dari pengguna dengan menggunakan CLI. ROSA

Untuk mencabut akses dari pengguna, Anda harus menghapus pengguna dari penyedia identitas yang dikonfigurasi.

Mencabut cluster-admin izin dari pengguna

  1. Cabut cluster-admin izin dengan menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna dan klaster nama Anda.

    rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota cluster-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Mencabut dedicated-admin izin dari pengguna

  1. Cabut dedicated-admin izin menggunakan perintah berikut. Ganti <IDP_USER_NAME> dan <CLUSTER_NAME> dengan pengguna dan klaster nama Anda.

    rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>

  2. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota dedicated-admins grup.

    rosa list users --cluster=<CLUSTER_NAME>

Mencabut akses pengguna ke klaster

Anda dapat mencabut klaster akses untuk pengguna penyedia identitas dengan menghapusnya dari penyedia identitas yang dikonfigurasi.

Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Andaklaster. Prosedur berikut mencabut klaster akses untuk anggota GitHub organisasi.

  1. Arahkan ke github.com dan masuk ke akun Anda. GitHub

  2. Hapus pengguna dari GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Menghapus anggota dari organisasi Anda di GitHub dokumentasi.

Langkah 9: Hapus cluster dan AWS STS sumber daya

Anda dapat menggunakan ROSA CLI untuk menghapus klaster yang menggunakan AWS Security Token Service ()AWS STS. Anda juga dapat menggunakan ROSA CLI untuk menghapus IAM peran dan penyedia OIDC yang dibuat oleh. ROSA Untuk menghapus IAM kebijakan yang dibuat olehROSA, Anda dapat menggunakan IAM konsol.

penting

IAMperan dan kebijakan yang dibuat oleh ROSA mungkin digunakan oleh ROSA cluster lain di akun yang sama.

  1. Hapus klaster dan perhatikan log. Ganti <CLUSTER_NAME> dengan nama atau ID Andaklaster.

    rosa delete cluster --cluster=<CLUSTER_NAME> --watch
    penting

    Anda harus menunggu penghapusan sepenuhnya sebelum menghapus IAM peran, kebijakan, dan penyedia OIDC. klaster Peran IAM akun diperlukan untuk menghapus sumber daya yang dibuat oleh penginstal. Peran IAM operator diperlukan untuk membersihkan sumber daya yang dibuat oleh OpenShift operator. Operator menggunakan penyedia OIDC untuk mengautentikasi.

  2. Hapus penyedia OIDC yang digunakan klaster operator untuk mengautentikasi dengan menjalankan perintah berikut.

    rosa delete oidc-provider -c <CLUSTER_ID> --mode auto

  3. Hapus peran operator khusus cluster. IAM

    rosa delete operator-roles -c <CLUSTER_ID> --mode auto

  4. Hapus peran IAM akun menggunakan perintah berikut. Ganti <PREFIX> dengan awalan peran IAM akun yang akan dihapus. Jika Anda menetapkan awalan kustom saat membuat peran IAM akun, tentukan awalan defaultManagedOpenShift.

    rosa delete account-roles --prefix <PREFIX> --mode auto

  5. Hapus IAM kebijakan yang dibuat olehROSA.

    1. Masuk ke IAMkonsol.

    2. Di menu sebelah kiri di bawah Manajemen akses, pilih Kebijakan.

    3. Pilih kebijakan yang ingin Anda hapus dan pilih Tindakan > Hapus.

    4. Masukkan nama kebijakan dan pilih Hapus.

    5. Ulangi langkah ini untuk menghapus setiap kebijakan IAM untuk. klaster