# ...
install:
spec:
clusterPermissions:
- rules:
- apiGroups:
- "cloudcredential.openshift.io"
resources:
- credentialsrequests
verbs:
- create
- delete
- get
- list
- patch
- update
- watch- 文档
- OpenShift Container Platform
- Operators
- Operators 开发
- 令牌认证
- 基于 CCO 的工作流,用于使用 AWS STS 的 OLM 托管型 Operators history bug_report picture_as_pdf
OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义设置安装集群
- 在 GCP 上使用网络自定义设置安装集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC 中
- 将集群安装到 GCP 中的共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC 中
- 在使用用户预配的基础设施的受限网络中在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在Nutanix上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在IBM Cloud(经典版)上安装
- 在IBM Z和IBM LinuxONE上安装
- 在IBM Power上安装
- 在IBM Power虚拟服务器上安装
- 在OpenStack上安装
- 在OCI上安装
- 在VMware vSphere上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在OpenShift集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在Azure上创建具有多架构计算机器的集群
- 在AWS上创建具有多架构计算机器的集群
- 在GCP上创建具有多架构计算机器的集群
- 在裸机、IBM Power或IBM Z上创建具有多架构计算机器的集群
- 在使用z/VM的IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在LPAR中使用IBM Z和IBM LinuxONE创建具有多架构计算机器的集群
- 在使用RHEL KVM的IBM Z和IBM LinuxONE上创建具有多架构计算机器的集群
- 在IBM Power上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 用户准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性运算符
- 文件完整性运算符
- 安全配置文件运算符
- NBDE Tang 服务器运算符
- Red Hat OpenShift 的 cert-manager 操作员
- Red Hat OpenShift 的 cert-manager 操作员概述
- Red Hat OpenShift 的 cert-manager 操作员发行说明
- 安装 Red Hat OpenShift 的 cert-manager 操作员
- 配置出站代理
- 使用 cert-manager 操作员 API 字段自定义 cert-manager
- 验证 Red Hat OpenShift 的 cert-manager 操作员
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 Red Hat OpenShift 的 cert-manager 操作员保护路由
- 监控 Red Hat OpenShift 的 cert-manager 操作员
- 为 cert-manager 和 Red Hat OpenShift 的 cert-manager 操作员配置日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 操作员
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许从其他主机基于 JavaScript 访问 API 服务器
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表板
- 网络操作员
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标与网络连接关联
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源CSI驱动程序操作员
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非优雅节点关闭后分离CSI卷
- AWS弹性块存储CSI驱动程序操作员
- AWS弹性文件系统CSI驱动程序操作员
- Azure磁盘CSI驱动程序操作员
- Azure文件CSI驱动程序操作员
- Azure Stack Hub CSI驱动程序操作员
- GCP PD CSI驱动程序操作员
- GCP Filestore CSI驱动程序操作员
- IBM云块存储(VPC) CSI驱动程序操作员
- IBM Power虚拟服务器块存储CSI驱动程序操作员
- OpenStack Cinder CSI驱动程序操作员
- OpenStack Manila CSI驱动程序操作员
- Secrets Store CSI驱动程序操作员
- CIFS/SMB CSI驱动程序操作员
- VMware vSphere CSI驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作员
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 到节点的部署(调度)
- 使用作业和守护程序集
- 使用节点
- 容器操作
- 集群操作
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络边缘的挑战
- 准备中心集群以进行 ZTP
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用 Topology Aware Lifecycle Manager 更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- 资源访问审查 [authorization.openshift.io/v1]
- 自身主体规则审查 [authorization.openshift.io/v1]
- 主体访问审查 [authorization.openshift.io/v1]
- 主体规则审查 [authorization.openshift.io/v1]
- 自身主体审查 [authentication.k8s.io/v1]
- 令牌请求 [authentication.k8s.io/v1]
- 令牌审查 [authentication.k8s.io/v1]
- 本地主体访问审查 [authorization.k8s.io/v1]
- 自身主体访问审查 [authorization.k8s.io/v1]
- 自身主体规则审查 [authorization.k8s.io/v1]
- 主体访问审查 [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- API 服务器 [config.openshift.io/v1]
- 身份认证 [config.openshift.io/v1]
- 构建 [config.openshift.io/v1]
- 集群操作符 [config.openshift.io/v1]
- 集群版本 [config.openshift.io/v1]
- 控制台 [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- 特性开关 [config.openshift.io/v1]
- Helm 图表仓库 [helm.openshift.io/v1beta1]
- 镜像 [config.openshift.io/v1]
- 镜像摘要镜像集 [config.openshift.io/v1]
- 镜像内容策略 [config.openshift.io/v1]
- 镜像标签镜像集 [config.openshift.io/v1]
- 基础设施 [config.openshift.io/v1]
- 入口 [config.openshift.io/v1]
- 网络 [config.openshift.io/v1]
- 节点 [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- 项目 [config.openshift.io/v1]
- 项目 Helm 图表仓库 [helm.openshift.io/v1beta1]
- 代理 [config.openshift.io/v1]
- 调度器 [config.openshift.io/v1]
- 控制台 API
- 扩展 API
- 镜像 API
- 机器 API
- 关于机器 API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet 配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager 配置 [monitoring.coreos.com/v1beta1]
- 告警重新标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod 监控器 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus 规则 [monitoring.coreos.com/v1]
- 服务监控器 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod 指标 [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有 IP 配置 [cloud.network.openshift.io/v1]
- 出站防火墙 [k8s.ovn.org/v1]
- 出站 IP [k8s.ovn.org/v1]
- 出站 QoS [k8s.ovn.org/v1]
- 出站服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出站路由器 [network.operator.openshift.io/v1]
- 入口 [networking.k8s.io/v1]
- 入口类 [networking.k8s.io/v1]
- IP 池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围 IP 预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod 网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点 API
- OAuth API
- Operator API
- 关于 Operator API
- 身份认证 [operator.openshift.io/v1]
- 云凭证 [operator.openshift.io/v1]
- 集群 CSI 驱动程序 [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSI 快照控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS 记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容来源策略 [operator.openshift.io/v1alpha1]
- 镜像修剪器 [imageregistry.operator.openshift.io/v1]
- 入口控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- Kube API 服务器 [operator.openshift.io/v1]
- Kube 控制器管理器 [operator.openshift.io/v1]
- Kube 调度器 [operator.openshift.io/v1]
- Kube 存储版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShift API 服务器 [operator.openshift.io/v1]
- OpenShift 控制器管理器 [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务 CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于 OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM 配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator 条件 [operators.coreos.com/v2]
- Operator 组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略 API
- 项目 API
- 供应 API
- 关于供应 API
- BMCEventSubscription [metal3.io/v1alpha1]
- BareMetalHost [metal3.io/v1alpha1]
- DataImage [metal3.io/v1alpha1]
- FirmwareSchema [metal3.io/v1alpha1]
- HardwareData [metal3.io/v1alpha1]
- HostFirmwareComponents [metal3.io/v1alpha1]
- HostFirmwareSettings [metal3.io/v1alpha1]
- Metal3Remediation [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3RemediationTemplate [infrastructure.cluster.x-k8s.io/v1beta1]
- PreprovisioningImage [metal3.io/v1alpha1]
- Provisioning [metal3.io/v1alpha1]
- RBAC API
- 角色 API
- 调度和配额 API
- 关于调度和配额 API
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 API
- 关于安全 API
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- BuildConfig [build.openshift.io/v1]
- Build [build.openshift.io/v1]
- BuildLog [build.openshift.io/v1]
- BuildRequest [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 了解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
基于 CCO 的工作流,用于使用 AWS STS 的 OLM 托管型 Operators
当在 AWS 上运行的 OpenShift Container Platform 集群处于安全令牌服务 (STS) 模式时,这意味着集群正在利用 AWS 和 OpenShift Container Platform 的功能在应用程序级别使用 IAM 角色。STS 使应用程序能够提供可以承担 IAM 角色的 JSON Web 令牌 (JWT)。
JWT 包含用于 `sts:AssumeRoleWithWebIdentity` IAM 操作的 Amazon 资源名称 (ARN),以允许为服务帐户授予临时权限。JWT 包含 AWS IAM 可以验证的 `ProjectedServiceAccountToken` 的签名密钥。服务帐户令牌本身(已签名)用作承担 AWS 角色所需的 JWT。
云凭证操作符 (CCO) 是在云提供商上运行的 OpenShift Container Platform 集群中默认安装的集群操作符。对于 STS,CCO 提供以下功能:
-
检测它是否在启用 STS 的集群上运行
-
检查 `CredentialsRequest` 对象中是否存在提供授予 Operator 访问 AWS 资源所需信息的字段
即使在手动模式下,CCO 也会执行此检测。正确配置后,CCO 会将包含所需访问信息的 `Secret` 对象投影到 Operator 命名空间。
从 OpenShift Container Platform 4.14 开始,CCO 可以通过扩展使用 `CredentialsRequest` 对象来半自动化此任务,该对象可以请求创建包含 STS 工作流所需信息的 `Secrets`。用户可以在从 Web 控制台或 CLI 安装 Operator 时提供角色 ARN。
|
不建议使用自动批准更新的订阅,因为在更新之前可能需要进行权限更改。使用手动批准更新的订阅可确保管理员有机会验证更高版本的权限,采取必要的步骤,然后进行更新。 |
作为准备在 OpenShift Container Platform 4.14 或更高版本中与更新的 CCO 一起使用的 Operator 的 Operator 作者,除了处理 STS 令牌身份验证(如果您的 Operator 尚未启用 STS)之外,您还应指导用户并添加代码来处理与早期 CCO 版本的差异。推荐的方法是提供一个带有正确填充的 STS 字段的 `CredentialsRequest` 对象,并让 CCO 为您创建 `Secret`。
|
如果您计划支持早于 4.14 版本的 OpenShift Container Platform 集群,请考虑向用户提供有关如何使用 CCO 实用程序 ( `ccoctl` ) 手动创建包含启用 STS 的信息的密钥的说明。早期版本的 CCO 无法识别集群上的 STS 模式,无法为您创建密钥。 您的代码应检查从未出现的密钥,并警告用户遵循您提供的回退说明。有关更多信息,请参见“替代方法”小节。 |
启用 Operator 以支持使用 AWS STS 的基于 CCO 的工作流
作为将您的项目设计为在 Operator Lifecycle Manager (OLM) 上运行的 Operator 作者,您可以通过自定义您的项目以支持云凭证操作符 (CCO) 来使您的 Operator 能够在启用 STS 的 OpenShift Container Platform 集群上对 AWS 进行身份验证。
使用此方法,Operator 负责并需要 RBAC 权限才能创建 `CredentialsRequest` 对象和读取生成的 `Secret` 对象。
|
默认情况下,与 Operator 部署相关的 Pod 会挂载 `serviceAccountToken` 卷,以便可以在生成的 `Secret` 对象中引用服务帐户令牌。 |
先决条件
-
OpenShift Container Platform 4.14 或更高版本
-
处于 STS 模式的集群
-
基于 OLM 的 Operator 项目
步骤
-
更新您的 Operator 项目的 `ClusterServiceVersion` (CSV) 对象
-
确保您的 Operator 具有创建 `CredentialsRequests` 对象的 RBAC 权限
`clusterPermissions` 列表示例
-
添加以下注释以声明支持此使用 AWS STS 的基于 CCO 的工作流的方法
# ... metadata: annotations: features.operators.openshift.io/token-auth-aws: "true"
-
-
更新您的 Operator 项目代码
-
从 `Subscription` 对象在 Pod 上设置的环境变量获取角色 ARN。例如:
// Get ENV var roleARN := os.Getenv("ROLEARN") setupLog.Info("getting role ARN", "role ARN = ", roleARN) webIdentityTokenPath := "/var/run/secrets/openshift/serviceaccount/token" -
确保您已准备好要修补和应用的 `CredentialsRequest` 对象。例如:
`CredentialsRequest` 对象创建示例
import ( minterv1 "github.com/openshift/cloud-credential-operator/pkg/apis/cloudcredential/v1" corev1 "k8s.io/api/core/v1" metav1 "k8s.io/apimachinery/pkg/apis/meta/v1" ) var in = minterv1.AWSProviderSpec{ StatementEntries: []minterv1.StatementEntry{ { Action: []string{ "s3:*", }, Effect: "Allow", Resource: "arn:aws:s3:*:*:*", }, }, STSIAMRoleARN: "<role_arn>", } var codec = minterv1.Codec var ProviderSpec, _ = codec.EncodeProviderSpec(in.DeepCopyObject()) const ( name = "<credential_request_name>" namespace = "<namespace_name>" ) var CredentialsRequestTemplate = &minterv1.CredentialsRequest{ ObjectMeta: metav1.ObjectMeta{ Name: name, Namespace: "openshift-cloud-credential-operator", }, Spec: minterv1.CredentialsRequestSpec{ ProviderSpec: ProviderSpec, SecretRef: corev1.ObjectReference{ Name: "<secret_name>", Namespace: namespace, }, ServiceAccountNames: []string{ "<service_account_name>", }, CloudTokenPath: "", }, }或者,如果您从 YAML 格式的 `CredentialsRequest` 对象(例如,作为您 Operator 项目代码的一部分)开始,您可以以不同的方式处理它
YAML 格式的 `CredentialsRequest` 对象创建示例
// CredentialsRequest is a struct that represents a request for credentials type CredentialsRequest struct { APIVersion string `yaml:"apiVersion"` Kind string `yaml:"kind"` Metadata struct { Name string `yaml:"name"` Namespace string `yaml:"namespace"` } `yaml:"metadata"` Spec struct { SecretRef struct { Name string `yaml:"name"` Namespace string `yaml:"namespace"` } `yaml:"secretRef"` ProviderSpec struct { APIVersion string `yaml:"apiVersion"` Kind string `yaml:"kind"` StatementEntries []struct { Effect string `yaml:"effect"` Action []string `yaml:"action"` Resource string `yaml:"resource"` } `yaml:"statementEntries"` STSIAMRoleARN string `yaml:"stsIAMRoleARN"` } `yaml:"providerSpec"` // added new field CloudTokenPath string `yaml:"cloudTokenPath"` } `yaml:"spec"` } // ConsumeCredsRequestAddingTokenInfo is a function that takes a YAML filename and two strings as arguments // It unmarshals the YAML file to a CredentialsRequest object and adds the token information. func ConsumeCredsRequestAddingTokenInfo(fileName, tokenString, tokenPath string) (*CredentialsRequest, error) { // open a file containing YAML form of a CredentialsRequest file, err := os.Open(fileName) if err != nil { return nil, err } defer file.Close() // create a new CredentialsRequest object cr := &CredentialsRequest{} // decode the yaml file to the object decoder := yaml.NewDecoder(file) err = decoder.Decode(cr) if err != nil { return nil, err } // assign the string to the existing field in the object cr.Spec.CloudTokenPath = tokenPath // return the modified object return cr, nil }目前不支持向 Operator 包中添加 `CredentialsRequest` 对象。
-
将角色 ARN 和 Web 身份令牌路径添加到凭据请求,并在 Operator 初始化期间应用它
在 Operator 初始化期间应用 `CredentialsRequest` 对象的示例
// apply CredentialsRequest on install credReq := credreq.CredentialsRequestTemplate credReq.Spec.CloudTokenPath = webIdentityTokenPath c := mgr.GetClient() if err := c.Create(context.TODO(), credReq); err != nil { if !errors.IsAlreadyExists(err) { setupLog.Error(err, "unable to create CredRequest") os.Exit(1) } } -
确保您的 Operator 可以等待 CCO 显示 `Secret` 对象,如下面的示例所示,该示例与您在 Operator 中协调的其他项目一起调用
`Secret` 对象等待示例
// WaitForSecret is a function that takes a Kubernetes client, a namespace, and a v1 "k8s.io/api/core/v1" name as arguments // It waits until the secret object with the given name exists in the given namespace // It returns the secret object or an error if the timeout is exceeded func WaitForSecret(client kubernetes.Interface, namespace, name string) (*v1.Secret, error) { // set a timeout of 10 minutes timeout := time.After(10 * time.Minute) (1) // set a polling interval of 10 seconds ticker := time.NewTicker(10 * time.Second) // loop until the timeout or the secret is found for { select { case <-timeout: // timeout is exceeded, return an error return nil, fmt.Errorf("timed out waiting for secret %s in namespace %s", name, namespace) // add to this error with a pointer to instructions for following a manual path to a Secret that will work on STS case <-ticker.C: // polling interval is reached, try to get the secret secret, err := client.CoreV1().Secrets(namespace).Get(context.Background(), name, metav1.GetOptions{}) if err != nil { if errors.IsNotFound(err) { // secret does not exist yet, continue waiting continue } else { // some other error occurred, return it return nil, err } } else { // secret is found, return it return secret, nil } } } }1 timeout值基于对 CCO 检测新增CredentialsRequest对象并生成Secret对象速度的估计。您可能需要考虑缩短时间,或为集群管理员创建自定义反馈,以解释操作符为何尚未访问云资源。 -
通过读取 CCO 从凭据请求创建的密钥并创建包含该密钥数据的 AWS 配置文件来设置 AWS 配置。
AWS 配置创建示例
func SharedCredentialsFileFromSecret(secret *corev1.Secret) (string, error) { var data []byte switch { case len(secret.Data["credentials"]) > 0: data = secret.Data["credentials"] default: return "", errors.New("invalid secret for aws credentials") } f, err := ioutil.TempFile("", "aws-shared-credentials") if err != nil { return "", errors.Wrap(err, "failed to create file for shared credentials") } defer f.Close() if _, err := f.Write(data); err != nil { return "", errors.Wrapf(err, "failed to write credentials to %s", f.Name()) } return f.Name(), nil }假设密钥已存在,但在使用此密钥时,您的操作符代码应等待并重试,以便为 CCO 创建密钥留出时间。
此外,等待时间最终应该超时并警告用户 OpenShift Container Platform 集群版本(以及 CCO)可能是一个较早的版本,不支持使用 STS 检测的
CredentialsRequest对象工作流。在这种情况下,请指示用户必须使用其他方法添加密钥。 -
配置 AWS SDK 会话,例如
AWS SDK 会话配置示例
sharedCredentialsFile, err := SharedCredentialsFileFromSecret(secret) if err != nil { // handle error } options := session.Options{ SharedConfigState: session.SharedConfigEnable, SharedConfigFiles: []string{sharedCredentialsFile}, }
-
角色规范
操作符描述应包含安装前需要创建的角色的详细信息,理想情况下应以管理员可以运行的脚本形式呈现。例如
角色创建脚本示例
#!/bin/bash
set -x
AWS_ACCOUNT_ID=$(aws sts get-caller-identity --query "Account" --output text)
OIDC_PROVIDER=$(oc get authentication cluster -ojson | jq -r .spec.serviceAccountIssuer | sed -e "s/^https:\/\///")
NAMESPACE=my-namespace
SERVICE_ACCOUNT_NAME="my-service-account"
POLICY_ARN_STRINGS="arn:aws:iam::aws:policy/AmazonS3FullAccess"
read -r -d '' TRUST_RELATIONSHIP <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::${AWS_ACCOUNT_ID}:oidc-provider/${OIDC_PROVIDER}"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"${OIDC_PROVIDER}:sub": "system:serviceaccount:${NAMESPACE}:${SERVICE_ACCOUNT_NAME}"
}
}
}
]
}
EOF
echo "${TRUST_RELATIONSHIP}" > trust.json
aws iam create-role --role-name "$SERVICE_ACCOUNT_NAME" --assume-role-policy-document file://trust.json --description "role for demo"
while IFS= read -r POLICY_ARN; do
echo -n "Attaching $POLICY_ARN ... "
aws iam attach-role-policy \
--role-name "$SERVICE_ACCOUNT_NAME" \
--policy-arn "${POLICY_ARN}"
echo "ok."
done <<< "$POLICY_ARN_STRINGS"故障排除
身份验证失败
如果身份验证不成功,请确保您可以使用提供给操作符的令牌通过 Web 身份假定角色。
步骤
-
从 Pod 中提取令牌
$ oc exec operator-pod -n <namespace_name> \ -- cat /var/run/secrets/openshift/serviceaccount/token -
从 Pod 中提取角色 ARN
$ oc exec operator-pod -n <namespace_name> \ -- cat /<path>/<to>/<secret_name> (1)1 路径不要使用 root。 -
尝试使用 Web 身份令牌假定角色
$ aws sts assume-role-with-web-identity \ --role-arn $ROLEARN \ --role-session-name <session_name> \ --web-identity-token $TOKEN
替代方法
作为操作符作者的替代方法,您可以指示用户负责在安装操作符之前为云凭据操作符 (CCO) 创建 CredentialsRequest 对象。
操作符说明必须向用户指示以下内容:
-
提供
CredentialsRequest对象的 YAML 版本,可以通过在说明中内联提供 YAML 或引导用户到下载位置来实现。 -
指示用户创建
CredentialsRequest对象。
在 OpenShift Container Platform 4.14 及更高版本中,在添加了相应的 STS 信息后,CredentialsRequest 对象出现在集群上,操作符随后可以读取 CCO 生成的 Secret 或挂载它,并在集群服务版本 (CSV) 中定义了挂载点。
对于早期版本的 OpenShift Container Platform,操作符说明还必须向用户指示以下内容:
-
使用 CCO 实用程序 (
ccoctl) 从CredentialsRequest对象生成SecretYAML 对象。 -
将
Secret对象应用于适当命名空间中的集群。
操作符仍然必须能够使用生成的密钥与云 API 通信。因为在这种情况下,密钥是在安装操作符之前由用户创建的,所以操作符可以执行以下任一操作:
-
在 CSV 中的
Deployment对象中定义显式挂载。 -
以编程方式从 API 服务器读取
Secret对象,如推荐的“使操作符能够支持基于 CCO 的 AWS STS 工作流”方法中所示。