Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai ROSA klasik menggunakan ROSA CLI dalam mode manual
Bagian berikut menjelaskan cara memulai menggunakan ROSA klasik AWS STS dan ROSA CLI. Untuk informasi selengkapnya tentang ROSA classic, lihat Opsi penerapan.
ROSACLI menggunakan auto
mode atau manual
mode untuk membuat IAM sumber daya yang diperlukan untuk menyediakan file. ROSA klaster auto
mode segera membuat IAM peran dan kebijakan yang diperlukan dan penyedia OpenID Connect (OIDC). manual
mode output AWS CLI perintah yang diperlukan untuk membuat IAM sumber daya. Dengan menggunakan manual
mode, Anda dapat meninjau AWS CLI perintah yang dihasilkan sebelum menjalankannya secara manual. Anda juga dapat menggunakan manual
untuk meneruskan perintah ke administrator atau grup lain di organisasi Anda sehingga mereka dapat membuat sumber daya.
Prosedur dalam dokumen ini menggunakan manual
mode ROSA CLI untuk membuat IAM sumber daya yang diperlukan untuk ROSA Classic. Untuk opsi lainnya untuk memulai, lihat Memulai dengan ROSA.
Topik
- Prasyarat
- Langkah 1: Aktifkan ROSA dan konfigurasikan prasyarat
- Langkah 2: Buat cluster klasik ROSA dengan AWS STS dan mode ROSA CLI manual
- Langkah 3: Konfigurasikan penyedia identitas dan berikan klaster akses
- Langkah 4: Berikan akses pengguna ke klaster
- Langkah 5: Berikan izin administrator kepada pengguna
- Langkah 6: Akses klaster melalui konsol web
- Langkah 7: Menyebarkan aplikasi dari Katalog Pengembang
- Langkah 8: Cabut izin administrator dan akses pengguna
- Langkah 9: Hapus cluster dan AWS STS sumber daya
Prasyarat
Sebelum memulai, pastikan Anda menyelesaikan tindakan ini:
-
Instal dan konfigurasikan yang terbaruAWS CLI. Untuk informasi selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.
-
Instal dan konfigurasikan ROSA CLI terbaru dan OpenShift Container Platform CLI. Untuk informasi selengkapnya, lihat Memulai ROSA CLI
. -
Service Quotasharus memiliki kuota layanan yang diperlukan untukAmazon EC2,Amazon VPC,Amazon EBS, dan Elastic Load Balancing yang diperlukan untuk membuat dan menjalankan ROSA cluster. AWSatau Red Hat dapat meminta peningkatan kuota layanan atas nama Anda sebagaimana diperlukan untuk penyelesaian masalah. Untuk melihat kuota yang diperlukan, lihat Layanan OpenShift Red Hat di AWStitik akhir dan kuota di Referensi Umum. AWS
-
Untuk menerima AWS dukunganROSA, Anda harus mengaktifkan paket dukungan AWS Bisnis, Enterprise On-Ramp, atau Enterprise. Red Hat dapat meminta AWS dukungan atas nama Anda sebagaimana diperlukan untuk penyelesaian masalah. Untuk informasi selengkapnya, lihat Support untuk ROSA. Untuk mengaktifkanAWS Support, lihat AWS Supporthalaman
. -
Jika Anda menggunakan AWS Organizations untuk mengelola host ROSA layanan tersebut, kebijakan kontrol layanan organisasi (SCP) harus dikonfigurasi agar Red Hat dapat melakukan tindakan kebijakan yang tercantum dalam SCP tanpa batasan. Akun AWS Untuk informasi selengkapnya, lihat dokumentasi pemecahan masalah ROSA SCP. Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan (SCP).
-
Jika menerapkan ROSA klaster with AWS STS ke diaktifkan Wilayah AWS yang dinonaktifkan secara default, Anda harus memperbarui token keamanan ke versi 2 untuk semua Wilayah Akun AWS dengan perintah berikut.
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
Untuk informasi selengkapnya tentang mengaktifkan Wilayah, lihat Mengelola Wilayah AWS di Referensi Umum AWS.
Langkah 1: Aktifkan ROSA dan konfigurasikan prasyarat
Untuk membuat ROSAklaster, Anda harus terlebih dahulu mengaktifkan ROSA layanan di AWS ROSA konsol. AWSROSAKonsol memverifikasi apakah Anda Akun AWS memiliki AWS Marketplace izin yang diperlukan, kuota layanan, dan peran terkait layanan Elastic Load Balancing (ELB) bernama. AWSServiceRoleForElasticLoadBalancing
Jika salah satu prasyarat ini hilang, konsol memberikan panduan tentang cara mengonfigurasi akun Anda untuk memenuhi prasyarat.
-
Navigasikan ke konsol ROSA
tersebut. -
Pilih Mulai.
-
Pada halaman Verifikasi ROSA prasyarat, pilih Saya setuju untuk membagikan informasi kontak saya dengan Red Hat.
-
Pilih Aktifkan ROSA.
-
Setelah halaman memverifikasi kuota layanan Anda memenuhi ROSA prasyarat dan peran terkait layanan ELB dibuat, buka sesi terminal baru untuk membuat yang pertama menggunakan CLI. ROSA klaster ROSA
Langkah 2: Buat cluster klasik ROSA dengan AWS STS dan mode ROSA CLI manual
Anda dapat membuat ROSA klasik klaster menggunakan AWS Security Token Service (AWS STS) dan manual
mode yang disediakan di ROSA CLI.
Saat Anda membuatklaster, Anda dapat menjalankan rosa create cluster --interactive
untuk menyesuaikan penerapan Anda dengan serangkaian petunjuk interaktif. Untuk informasi selengkapnya, lihat Referensi mode pembuatan klaster interaktif
Setelah klaster disediakan, satu perintah disediakan dalam output. Jalankan perintah ini untuk menyebarkan cluster lebih lanjut yang menggunakan konfigurasi kustom yang sama persis.
catatan
AWSVPC bersama saat ini tidak didukung untuk ROSA instalasi.
-
Buat peran dan kebijakan IAM akun yang diperlukan.
rosa create account-roles --mode manual
catatan
Jika token akses offline Anda telah kedaluwarsa, ROSA CLI mengeluarkan pesan kesalahan yang menyatakan bahwa token otorisasi Anda perlu diperbarui. Untuk langkah-langkah untuk memecahkan masalah, lihat Memecahkan masalah ROSACLI token akses offline kedaluwarsa.
-
Jalankan AWS CLI perintah yang dihasilkan dalam output untuk membuat peran dan kebijakan.
-
Buat
--interactive
mode klaster with AWS STS in untuk menentukan pengaturan kustom apa pun.rosa create cluster --interactive --sts
penting
Setelah Anda mengaktifkan enkripsi etcd untuk nilai kunci di etcd, Anda akan dikenakan overhead kinerja sekitar 20%. Overhead adalah hasil dari memperkenalkan lapisan enkripsi kedua ini, selain Amazon EBS enkripsi default yang mengenkripsi volume etcd.
-
Untuk membuat IAM peran operator khusus cluster, buat file JSON kebijakan operator di direktori kerja saat ini dan keluarkan perintah untuk ditinjau. AWS CLI
rosa create operator-roles --mode manual --cluster <CLUSTER_NAME|CLUSTER_ID>
-
Jalankan AWS CLI perintah dari output.
-
Buat penyedia OpenID Connect (OIDC) yang digunakan klaster operator untuk mengautentikasi.
rosa create oidc-provider --mode auto --cluster <CLUSTER_NAME|CLUSTER_ID>
-
Periksa status Andaklaster.
rosa describe cluster -c <CLUSTER_NAME>
catatan
Jika proses pembuatan gagal atau
State
bidang tidak berubah menjadi status siap setelah 40 menit, lihat Memecahkan masalah pembuatan ROSA klaster.Untuk menghubungi AWS Support atau dukungan Red Hat untuk bantuan, lihat Support untuk ROSA.
-
Lacak kemajuan klaster pembuatan dengan menonton log OpenShift penginstal.
rosa logs install -c <CLUSTER_NAME> --watch
Langkah 3: Konfigurasikan penyedia identitas dan berikan klaster akses
ROSAtermasuk server OAuth bawaan. Setelah klaster dibuat, Anda harus mengonfigurasi OAuth untuk menggunakan penyedia identitas. Anda kemudian dapat menambahkan pengguna ke penyedia identitas yang dikonfigurasi untuk memberi mereka akses ke layanan Andaklaster. Anda dapat memberikan pengguna cluster-admin
atau dedicated-admin
izin ini sesuai kebutuhan.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Andaklaster. Jenis yang didukung termasuk GitHub, GitHub Enterprise,, Google GitLab, LDAP, OpenID Connect, dan penyedia identitas HTPASSWD.
penting
Penyedia identitas HTPassWD disertakan hanya untuk memungkinkan satu pengguna administrator statis dibuat. htPassWD tidak didukung sebagai penyedia identitas penggunaan umum untuk. ROSA
Prosedur berikut mengkonfigurasi penyedia GitHub identitas sebagai contoh. Untuk petunjuk tentang cara mengonfigurasi setiap jenis penyedia identitas yang didukung, lihat Mengonfigurasi penyedia identitas untuk AWS STS
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Jika Anda tidak memiliki GitHub organisasi untuk digunakan untuk penyediaan identitas untuk Anda ROSAklaster, buat satu. Untuk informasi selengkapnya, lihat langkah-langkah dalam GitHub dokumentasi
. -
Menggunakan mode interaktif ROSA CLI, konfigurasikan penyedia identitas untuk klaster Anda.
rosa create idp --cluster=<CLUSTER_NAME> --interactive
-
Ikuti petunjuk konfigurasi di output untuk membatasi klaster akses ke anggota organisasi Anda GitHub .
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Type of identity provider: github ? Identity provider name: github-1 ? Restrict to members of: organizations ? GitHub organizations: <GITHUB_ORG_NAME> ? To use GitHub as an identity provider, you must first register the application: - Open the following URL: https://github.com/organizations/<GITHUB_ORG_NAME>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<CLUSTER_NAME>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<CLUSTER_NAME>/<RANDOM_STRING>.p1.openshiftapps.com - Click on 'Register application' ...
-
Buka URL di output dengan perintah berikut. Ganti
<GITHUB_ORG_NAME>
dengan nama GitHub organisasi Anda. -
Di halaman GitHub web, pilih Daftar aplikasi untuk mendaftarkan aplikasi OAuth baru di organisasi Anda GitHub .
-
Gunakan informasi dari halaman GitHub OAuth untuk mengisi prompt
rosa create idp
interaktif yang tersisa menggunakan perintah berikut. Ganti<GITHUB_CLIENT_ID>
dan<GITHUB_CLIENT_SECRET>
dengan kredensi dari aplikasi GitHub OAuth Anda.... ? Client ID: <GITHUB_CLIENT_ID> ? Client Secret: [? for help] <GITHUB_CLIENT_SECRET> ? GitHub Enterprise Hostname (optional): ? Mapping method: claim I: Configuring IDP for cluster '<CLUSTER_NAME>' I: Identity Provider 'github-1' has been created. It will take up to 1 minute for this configuration to be enabled. To add cluster administrators, see 'rosa grant user --help'. To login into the console, open https://console-openshift-console.apps.<CLUSTER_NAME>.<RANDOM_STRING>.p1.openshiftapps.com and click on github-1.
catatan
Mungkin diperlukan waktu sekitar dua menit agar konfigurasi penyedia identitas menjadi aktif. Jika Anda mengonfigurasi
cluster-admin
pengguna, Anda dapat menjalankanoc get pods -n openshift-authentication --watch
perintah untuk melihat pod OAuth di-deploy ulang dengan konfigurasi yang diperbarui. -
Verifikasi penyedia identitas telah dikonfigurasi dengan benar menggunakan perintah berikut.
rosa list idps --cluster=<CLUSTER_NAME>
Langkah 4: Berikan akses pengguna ke klaster
Anda dapat memberikan akses pengguna ke Anda klaster dengan menambahkannya ke penyedia identitas yang dikonfigurasi.
Prosedur berikut menambahkan pengguna ke GitHub organisasi yang dikonfigurasi untuk penyediaan identitas ke. klaster
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Undang pengguna yang memerlukan klaster akses ke GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Mengundang pengguna untuk bergabung dengan organisasi Anda
dalam dokumentasi di Github.
Langkah 5: Berikan izin administrator kepada pengguna
Setelah menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat memberikan pengguna cluster-admin
atau dedicated-admin
izin untuk Andaklaster.
Konfigurasikan cluster-admin
izin
-
Berikan
cluster-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan nama pengguna dan cluster Anda.rosa grant user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Konfigurasikan dedicated-admin
izin
-
Berikan
dedicated-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa grant user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Langkah 6: Akses klaster melalui konsol web
Setelah membuat pengguna klaster administrator atau menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat masuk klaster melalui Red Hat Hybrid Cloud Console.
-
Dapatkan URL konsol untuk Anda klaster dengan menggunakan perintah berikut. Ganti
<CLUSTER_NAME>
dengan nama Andaklaster.rosa describe cluster -c <CLUSTER_NAME> | grep Console
-
Arahkan ke URL konsol di output dan masuk.
-
Jika Anda membuat
cluster-admin
pengguna, masuk menggunakan kredensi yang disediakan. -
Jika Anda mengonfigurasi penyedia identitas untuk Andaklaster, pilih nama penyedia identitas di dialog Masuk dengan... dan lengkapi permintaan otorisasi apa pun yang disajikan oleh penyedia Anda.
-
Langkah 7: Menyebarkan aplikasi dari Katalog Pengembang
Dari Red Hat Hybrid Cloud Console, Anda dapat menerapkan aplikasi pengujian Katalog Pengembang dan mengeksposnya dengan rute.
-
Arahkan ke Red Hat Hybrid Cloud Console
dan pilih cluster tempat Anda ingin menerapkan aplikasi. -
Pada halaman cluster, pilih Open console.
-
Dalam perspektif Administrator, pilih Home > Projects > Create Project.
-
Masukkan nama untuk proyek Anda dan secara opsional tambahkan Nama Tampilan dan Deskripsi.
-
Pilih Buat untuk membuat proyek.
-
Beralih ke perspektif Pengembang dan pilih +Tambah. Pastikan bahwa proyek yang dipilih adalah yang baru saja dibuat.
-
Dalam dialog Katalog Pengembang, pilih Semua layanan.
-
Di halaman Katalog Pengembang, pilih Bahasa > JavaScriptdari menu.
-
Pilih Node.js, lalu pilih Create Application untuk membuka halaman Create Source-to-Image Application.
catatan
Anda mungkin perlu memilih Hapus Semua Filter untuk menampilkan opsi Node.js.
-
Di bagian Git, pilih Coba Sampel.
-
Di bidang Nama, tambahkan nama unik.
-
Pilih Create (Buat).
catatan
Aplikasi baru membutuhkan waktu beberapa menit untuk digunakan.
-
Saat penerapan selesai, pilih URL rute untuk aplikasi.
Tab baru di browser terbuka dengan pesan yang mirip dengan yang berikut ini.
Welcome to your Node.js application on OpenShift
-
(Opsional) Hapus aplikasi dan bersihkan sumber daya.
-
Dalam perspektif Administrator, pilih Home > Projects.
-
Buka menu tindakan untuk proyek Anda dan pilih Hapus Proyek.
-
Langkah 8: Cabut izin administrator dan akses pengguna
Anda dapat mencabut cluster-admin
atau dedicated-admin
izin dari pengguna dengan menggunakan CLI. ROSA
Untuk mencabut akses dari pengguna, Anda harus menghapus pengguna dari penyedia identitas yang dikonfigurasi.
Mencabut cluster-admin
izin dari pengguna
-
Cabut
cluster-admin
izin dengan menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa revoke user cluster-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna tidak terdaftar sebagai anggota
cluster-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Mencabut dedicated-admin
izin dari pengguna
-
Cabut
dedicated-admin
izin menggunakan perintah berikut. Ganti<IDP_USER_NAME>
dan<CLUSTER_NAME>
dengan pengguna dan klaster nama Anda.rosa revoke user dedicated-admin --user=<IDP_USER_NAME> --cluster=<CLUSTER_NAME>
-
Verifikasi bahwa pengguna tidak terdaftar sebagai anggota
dedicated-admins
grup.rosa list users --cluster=<CLUSTER_NAME>
Mencabut akses pengguna ke klaster
Anda dapat mencabut klaster akses untuk pengguna penyedia identitas dengan menghapusnya dari penyedia identitas yang dikonfigurasi.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Andaklaster. Prosedur berikut mencabut klaster akses untuk anggota GitHub organisasi.
-
Arahkan ke github.com
dan masuk ke akun Anda. GitHub -
Hapus pengguna dari GitHub organisasi Anda. Untuk informasi selengkapnya, lihat Menghapus anggota dari organisasi Anda
di GitHub dokumentasi.
Langkah 9: Hapus cluster dan AWS STS sumber daya
Anda dapat menggunakan ROSA CLI untuk menghapus klaster yang menggunakan AWS Security Token Service ()AWS STS. Anda juga dapat menggunakan ROSA CLI untuk menghapus IAM peran dan penyedia OIDC yang dibuat oleh. ROSA Untuk menghapus IAM kebijakan yang dibuat olehROSA, Anda dapat menggunakan IAM konsol.
penting
IAMperan dan kebijakan yang dibuat oleh ROSA mungkin digunakan oleh ROSA cluster lain di akun yang sama.
-
Hapus klaster dan perhatikan log. Ganti
<CLUSTER_NAME>
dengan nama atau ID Andaklaster.rosa delete cluster --cluster=<CLUSTER_NAME> --watch
penting
Anda harus menunggu penghapusan sepenuhnya sebelum menghapus IAM peran, kebijakan, dan penyedia OIDC. klaster Peran IAM akun diperlukan untuk menghapus sumber daya yang dibuat oleh penginstal. Peran IAM operator diperlukan untuk membersihkan sumber daya yang dibuat oleh OpenShift operator. Operator menggunakan penyedia OIDC untuk mengautentikasi.
-
Hapus penyedia OIDC yang digunakan klaster operator untuk mengautentikasi dengan menjalankan perintah berikut.
rosa delete oidc-provider -c <CLUSTER_ID> --mode auto
-
Hapus peran operator khusus cluster. IAM
rosa delete operator-roles -c <CLUSTER_ID> --mode auto
-
Hapus peran IAM akun menggunakan perintah berikut. Ganti
<PREFIX>
dengan awalan peran IAM akun yang akan dihapus. Jika Anda menetapkan awalan kustom saat membuat peran IAM akun, tentukan awalan defaultManagedOpenShift
.rosa delete account-roles --prefix <PREFIX> --mode auto
-
Hapus IAM kebijakan yang dibuat olehROSA.
-
Masuk ke IAMkonsol
. -
Di menu sebelah kiri di bawah Manajemen akses, pilih Kebijakan.
-
Pilih kebijakan yang ingin Anda hapus dan pilih Tindakan > Hapus.
-
Masukkan nama kebijakan dan pilih Hapus.
-
Ulangi langkah ini untuk menghapus setiap kebijakan IAM untuk. klaster
-