OpenShift 文档正在迁移,不久后将仅在docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

AWS 上 Red Hat OpenShift Service 的完整入门指南

编辑

如果您正在寻找 ROSA 的快速入门指南,请参阅 AWS 上 Red Hat OpenShift Service 快速入门指南

请按照本入门文档创建 AWS 上的 Red Hat OpenShift Service (ROSA) 集群,授予用户访问权限,部署您的第一个应用程序,并了解如何撤销用户访问权限和删除您的集群。

您可以使用或不使用 AWS 安全令牌服务 (STS) 来创建 ROSA 集群。本文档中的步骤使您可以创建使用 AWS STS 的集群。有关将 AWS STS 与 ROSA 集群一起使用的更多信息,请参阅 使用 AWS 安全令牌服务

编辑

先决条件

编辑

设置环境

在创建 AWS 上的 Red Hat OpenShift Service (ROSA) 集群之前,您必须通过完成以下任务来设置您的环境

  • 针对您的 AWS 和 Red Hat 帐户验证 ROSA 预先条件。

  • 安装和配置所需的命令行界面 (CLI) 工具。

  • 验证 CLI 工具的配置。

您可以按照本节中的步骤完成这些设置要求。

编辑

验证 ROSA 预先条件

使用此过程中的步骤在您的 AWS 帐户中启用 AWS 上的 Red Hat OpenShift Service (ROSA)。

先决条件

  • 您拥有一个 Red Hat 帐户。

  • 您拥有一个 AWS 帐户。

    考虑使用专用的 AWS 帐户来运行生产集群。如果您使用的是 AWS Organizations,则可以使用组织内的 AWS 帐户或 创建一个新的帐户
步骤

  1. 登录 AWS 管理控制台

  2. 导航到 ROSA 服务

  3. 点击开始使用

    将打开验证 ROSA 预先条件页面。

  4. ROSA 启用下,确保显示绿色复选标记和您之前已启用 ROSA

    如果没有,请按照以下步骤操作

    1. 选中我同意与 Red Hat 共享我的联系信息旁边的复选框。

    2. 点击启用 ROSA

      稍等片刻后,将显示绿色复选标记和您已启用 ROSA消息。

  5. 服务配额下,确保显示绿色复选标记和您的配额满足 ROSA 的要求

    如果您看到您的配额不满足最低要求,请记下错误消息中列出的配额类型和最小值。有关指导,请参阅 Amazon 有关 请求配额增加 的文档。Amazon 批准您的配额请求可能需要几个小时。

  6. ELB 服务关联角色下,确保显示绿色复选标记和AWSServiceRoleForElasticLoadBalancing 已存在

  7. 点击继续到 Red Hat

    将在新标签页中打开开始使用 AWS 上的 Red Hat OpenShift Service (ROSA) 页面。您已完成此页面上的步骤 1,现在可以继续步骤 2。

其他资源
编辑

安装和配置所需的 CLI 工具

使用以下步骤在您的工作站上安装和配置 AWS、AWS 上的 Red Hat OpenShift Service (ROSA) 和 OpenShift CLI 工具。

先决条件

  • 您拥有一个 AWS 帐户。

  • 您创建了一个 Red Hat 帐户。

    您可以通过导航到 console.redhat.com 并选择注册 Red Hat 帐户来创建一个 Red Hat 帐户。
步骤

  1. 安装并配置最新的 AWS CLI (aws)。

    1. 按照 AWS 命令行界面 文档为您的操作系统安装和配置 AWS CLI。

      .aws/credentials文件中指定您的aws_access_key_idaws_secret_access_keyregion。请参阅 AWS 文档中的 AWS 配置基础知识

      您可以选择使用AWS_DEFAULT_REGION环境变量来设置默认的 AWS 区域。

    2. 查询 AWS API 以验证 AWS CLI 是否已正确安装和配置

      $ aws sts get-caller-identity  --output text
      示例输出
      <aws_account_id>    arn:aws:iam::<aws_account_id>:user/<username>  <aws_user_id>

  2. 安装并配置最新的 ROSA CLI (rosa)。

    1. 从 Red Hat OpenShift 集群管理器混合云控制台上的 下载 页面下载适合您操作系统的最新版本的 ROSA CLI。

    2. 从下载的存档中解压缩rosa二进制文件。以下示例从 Linux tar 存档中解压缩二进制文件

      $ tar xvf rosa-linux.tar.gz

    3. rosa添加到您的路径。在以下示例中,用户的路径中包含/usr/local/bin目录

      $ sudo mv rosa /usr/local/bin/rosa

    4. 通过查询rosa版本来验证 ROSA CLI 是否已正确安装

      $ rosa version
      示例输出
      1.2.15
Your ROSA CLI is up to date.

    5. 可选:为 ROSA CLI 启用制表符补全。启用制表符补全后,您可以按两次Tab键来自动完成子命令并接收命令建议。

      rosa 命令支持不同 shell 类型下的 tab 自动补全功能。以下示例演示如何在 Linux 主机上的 Bash 中启用持久的 tab 自动补全功能。该命令会生成一个 rosa 的 Bash 自动补全配置文件,并将其保存到 /etc/bash_completion.d/ 目录。

      # rosa completion bash > /etc/bash_completion.d/rosa

      您需要打开一个新的终端来激活此配置。

      有关为不同 shell 类型配置 rosa tab 自动补全的步骤,请运行 rosa completion --help 查看帮助菜单。

    6. 使用 ROSA CLI 登录您的 Red Hat 账户。

      $ rosa login
      示例输出
      To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here:

      访问命令输出中列出的 URL 获取离线访问令牌。在 CLI 提示符处指定令牌以登录。

      您可以在运行 rosa login 命令时,使用 --token="<offline_access_token>" 参数来指定离线访问令牌。

    7. 验证您是否已成功登录并检查您的凭据。

      $ rosa whoami
      示例输出
      AWS Account ID:               <aws_account_number>
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
OCM API:                      https://api.openshift.com
OCM Account ID:               <red_hat_account_id>
OCM Account Name:             Your Name
OCM Account Username:         [email protected]
OCM Account Email:            [email protected]
OCM Organization ID:          <org_id>
OCM Organization Name:        Your organization
OCM Organization External ID: <external_org_id>

      在继续操作之前,请检查输出信息是否正确。

  3. 安装并配置最新的 OpenShift CLI (oc)。

    1. 使用 ROSA CLI 下载最新版本的 oc CLI。

      $ rosa download openshift-client

    2. 从下载的压缩包中解压 oc 可执行文件。以下示例演示如何从 Linux tar 压缩包中解压文件。

      $ tar xvf openshift-client-linux.tar.gz

    3. oc 可执行文件添加到您的 PATH 环境变量中。以下示例将 /usr/local/bin 目录添加到用户的 PATH 中。

      $ sudo mv oc /usr/local/bin/oc

    4. 验证 oc CLI 是否已正确安装。

      $ rosa verify openshift-client
      示例输出
      I: Verifying whether OpenShift command-line tool is available...
I: Current OpenShift Client Version: 4.9.12

使用 STS 创建 ROSA 集群

您可以选择以下方法之一来部署使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群。在每种情况下,您都可以使用 Red Hat OpenShift 集群管理器或 ROSA CLI (rosa) 部署集群。

其他资源
编辑

创建集群管理员用户以快速访问集群

在配置身份提供程序之前,您可以创建一个具有 cluster-admin 权限的用户,以便立即访问您的 Red Hat OpenShift Service on AWS (ROSA) 集群。

当您需要快速访问新部署的集群时,集群管理员用户非常有用。但是,请考虑根据需要配置身份提供程序并将集群管理员权限授予身份提供程序用户。有关为您的 ROSA 集群设置身份提供程序的更多信息,请参阅 *配置身份提供程序并授予集群访问权限*。
先决条件

  • 您拥有一个 AWS 帐户。

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

步骤

  1. 创建一个集群管理员用户。

    $ rosa create admin --cluster=<cluster_name> (1)
    1 <cluster_name> 替换为您集群的名称。
    示例输出
    W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster '<cluster_name>'.
I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
I: To login, run the following command:

   oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J

I: It may take up to a minute for the account to become active.

    cluster-admin 用户可能需要大约一分钟才能激活。

  2. 通过 CLI 登录集群。

    1. 运行上一步输出中提供的命令以登录。

      $ oc login <api_url> --username cluster-admin --password <cluster_admin_password> (1)
      1 <api_url><cluster_admin_password> 替换为您环境的 API URL 和集群管理员密码。

    2. 验证您是否已以 cluster-admin 用户身份登录到 ROSA 集群。

      $ oc whoami
      示例输出
      cluster-admin
其他资源
编辑

配置身份提供程序并授予集群访问权限

Red Hat OpenShift Service on AWS (ROSA) 包含一个内置的 OAuth 服务器。创建 ROSA 集群后,您必须配置 OAuth 以使用身份提供程序。然后,您可以将成员添加到已配置的身份提供程序中,以授予他们对集群的访问权限。

您还可以根据需要授予身份提供程序用户 cluster-admindedicated-admin 权限。

编辑

配置身份提供程序

您可以为您的 Red Hat OpenShift Service on AWS (ROSA) 集群配置不同类型的身份提供程序。支持的类型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 htpasswd 身份提供程序。

htpasswd 身份提供程序选项仅用于创建单个静态管理员用户。htpasswd 不支持作为 Red Hat OpenShift Service on AWS 的通用身份提供程序。

以下步骤以配置 GitHub 身份提供程序为例。

先决条件

  • 您拥有一个 AWS 帐户。

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

  • 您拥有一个 GitHub 用户帐户。

步骤

  1. 访问 github.com 并登录您的 GitHub 帐户。

  2. 如果您没有现有的 GitHub 组织可用于为您的 ROSA 集群进行身份配置,请创建一个。请按照 GitHub 文档 中的步骤操作。

  3. 为您的集群配置一个 GitHub 身份提供程序,该提供程序仅限于您的 GitHub 组织的成员。

    1. 使用交互模式配置身份提供程序。

      $ rosa create idp --cluster=<cluster_name> --interactive (1)
      1 <cluster_name> 替换为您集群的名称。
      示例输出
      I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <github_org_name> (1)
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
  - Click on 'Register application'
...
      1 <github_org_name> 替换为您 GitHub 组织的名称。

    2. 按照输出中的 URL 并选择“注册应用程序”以在您的 GitHub 组织中注册一个新的 OAuth 应用程序。通过注册应用程序,您可以启用 ROSA 中内置的 OAuth 服务器,以将您的 GitHub 组织的成员身份验证到您的集群。

      “注册新的 OAuth 应用程序”GitHub 表单中的字段将通过 ROSA CLI 定义的 URL 自动填充所需的值。

    3. 使用 GitHub OAuth 应用程序页面中的信息来填充其余的 rosa create idp 交互式提示。

      继续示例输出
      ...
? Client ID: <github_client_id> (1)
? Client Secret: [? for help] <github_client_secret> (2)
? GitHub Enterprise Hostname (optional):
? Mapping method: claim (3)
I: Configuring IDP for cluster '<cluster_name>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.
      1 <github_client_id> 替换为您 GitHub OAuth 应用程序的客户端 ID。
      2 <github_client_secret> 替换为您 GitHub OAuth 应用程序的客户端密钥。
      3 指定 claim 作为映射方法。

      身份提供商配置生效大约需要两分钟。如果您已配置了cluster-admin用户,可以通过运行oc get pods -n openshift-authentication --watch来监视OAuth pod使用更新后的配置重新部署。

    4. 输入以下命令以验证身份提供商是否已正确配置

      $ rosa list idps --cluster=<cluster_name>
      示例输出
      NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1
其他资源
编辑

授予用户对集群的访问权限

您可以通过将用户添加到已配置的身份提供商来授予他们对您的AWS上的Red Hat OpenShift服务(ROSA)集群的访问权限。

您可以为您的ROSA集群配置不同类型的身份提供商。以下示例过程将用户添加到配置为向集群提供身份的GitHub组织。

先决条件

  • 您拥有一个 AWS 帐户。

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

  • 您拥有一个 GitHub 用户帐户。

  • 您已为集群配置了GitHub身份提供商。

步骤

  1. 导航到github.com并登录您的GitHub帐户。

  2. 邀请需要访问ROSA集群的用户加入您的GitHub组织。请按照GitHub文档中邀请用户加入您的组织中的步骤操作。

编辑

授予用户管理员权限

将用户添加到已配置的身份提供商后,您可以授予该用户对您的AWS上的Red Hat OpenShift服务(ROSA)集群的cluster-admindedicated-admin权限。

先决条件

  • 您拥有一个 AWS 帐户。

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

  • 您已为集群配置了GitHub身份提供商并添加了身份提供商用户。

步骤

  • 要为身份提供商用户配置cluster-admin权限

    1. 授予用户cluster-admin权限

      $ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name> (1)
      1 <idp_user_name><cluster_name>替换为身份提供商用户的名称和您的集群名称。
      示例输出
      I: Granted role 'cluster-admins' to user '<idp_user_name>' on cluster '<cluster_name>'

    2. 验证用户是否列在cluster-admins组中

      $ rosa list users --cluster=<cluster_name>
      示例输出
      ID                 GROUPS
<idp_user_name>    cluster-admins

  • 要为身份提供商用户配置dedicated-admin权限

    1. 授予用户dedicated-admin权限

      $ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
      示例输出
      I: Granted role 'dedicated-admins' to user '<idp_user_name>' on cluster '<cluster_name>'

    2. 验证用户是否列在dedicated-admins组中

      $ rosa list users --cluster=<cluster_name>
      示例输出
      ID                 GROUPS
<idp_user_name>    dedicated-admins
其他资源
编辑

通过Web控制台访问集群

创建集群管理员用户或将用户添加到已配置的身份提供商后,您可以通过Web控制台登录到您的AWS上的Red Hat OpenShift服务(ROSA)集群。

先决条件

  • 您拥有一个 AWS 帐户。

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

  • 您已创建集群管理员用户或将您的用户帐户添加到已配置的身份提供商。

步骤

  1. 获取集群的控制台URL

    $ rosa describe cluster -c <cluster_name> | grep Console (1)
    1 <cluster_name> 替换为您集群的名称。
    示例输出
    Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

  2. 转到上一步输出中的控制台URL并登录。

    • 如果您创建了cluster-admin用户,请使用提供的凭据登录。

    • 如果您为集群配置了身份提供商,请选择**使用…登录**对话框中的身份提供商名称,并完成提供商提出的任何授权请求。

编辑

从开发者目录部署应用程序

在AWS上的Red Hat OpenShift服务Web控制台中,您可以从开发者目录部署测试应用程序,并使用路由公开它。

先决条件

  • 您已登录到Red Hat混合云控制台

  • 您已创建了AWS上的Red Hat OpenShift服务集群。

  • 您已为集群配置了身份提供商。

  • 您已将您的用户帐户添加到已配置的身份提供商。

步骤

  1. 转到OpenShift集群管理器中的**集群列表**页面。

  2. 单击要查看的集群旁边的选项图标(⋮)。

  3. 单击**打开控制台**。

  4. 您的集群控制台将在新的浏览器窗口中打开。使用您已配置的身份提供商凭据登录您的Red Hat帐户。

  5. 在**管理员**视角中,选择**主页**→**项目**→**创建项目**。

  6. 输入项目的名称,并可选择添加**显示名称**和**说明**。

  7. 单击**创建**以创建项目。

  8. 切换到**开发者**视角并选择**+添加**。验证选择的**项目**是您刚刚创建的项目。

  9. 在**开发者目录**对话框中,选择**所有服务**。

  10. 在**开发者目录**页面中,从菜单中选择**语言**→**JavaScript**。

  11. 单击**Node.js**,然后单击**创建**以打开**创建源到镜像应用程序**页面。

    您可能需要单击**清除所有过滤器**才能显示**Node.js**选项。

  12. 在**Git**部分,单击**尝试示例**。

  13. 在**名称**字段中添加一个唯一的名称。该值将用于命名关联的资源。

  14. 确认已选中**部署**和**创建路由**。

  15. 单击**创建**以部署应用程序。pod部署需要几分钟时间。

  16. 可选:通过选择您的**Node.js**应用程序并查看其侧边栏,在**拓扑**窗格中检查pod的状态。在继续之前,您必须等待nodejs构建完成并且nodejs pod处于**运行**状态。

  17. 部署完成后,单击应用程序的路由URL,其格式类似于以下内容

    https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/

    浏览器中将打开一个新标签页,其中显示类似于以下内容的消息

    Welcome to your Node.js application on OpenShift

  18. 可选:删除应用程序并清理您创建的资源

    1. 在**管理员**视角中,导航到**主页**→**项目**。

    2. 单击项目的动作菜单,然后选择**删除项目**。

编辑

撤销管理员权限和用户访问权限

您可以使用AWS上的Red Hat OpenShift服务(ROSA) CLI,rosa,撤销用户的cluster-admindedicated-admin权限。

要撤销用户的集群访问权限,您必须将其从已配置的身份提供商中删除。

请按照本节中的步骤操作,以撤销用户的管理员权限或集群访问权限。

编辑

撤销用户的管理员权限

请按照本节中的步骤操作,以撤销用户的cluster-admindedicated-admin权限。

先决条件

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

  • 您已为集群配置了GitHub身份提供商并添加了身份提供商用户。

  • 您已向用户授予cluster-admindedicated-admin权限。

步骤

  • 要撤销身份提供商用户的cluster-admin权限

    1. 撤销cluster-admin权限

      $ rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name> (1)
      1 <idp_user_name><cluster_name>替换为身份提供商用户的名称和您的集群名称。
      示例输出
      ? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

    2. 验证用户未列在cluster-admins组中

      $ rosa list users --cluster=<cluster_name>
      示例输出
      W: There are no users configured for cluster '<cluster_name>'

  • 要撤销身份提供商用户的dedicated-admin权限

    1. 撤销dedicated-admin权限

      $ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
      示例输出
      ? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

    2. 验证用户未列在dedicated-admins组中

      $ rosa list users --cluster=<cluster_name>
      示例输出
      W: There are no users configured for cluster '<cluster_name>'
编辑

吊销用户对集群的访问权限

您可以通过从已配置的身份提供程序中删除用户来吊销其对集群的访问权限。

您可以为您的 ROSA 集群配置不同类型的身份提供程序。以下示例过程将吊销已配置为向集群提供身份的 GitHub 组织成员的集群访问权限。

先决条件

  • 您拥有一个 ROSA 集群。

  • 您拥有一个 GitHub 用户帐户。

  • 您已为集群配置了GitHub身份提供商并添加了身份提供商用户。

步骤

  1. 导航到github.com并登录您的GitHub帐户。

  2. 从您的 GitHub 组织中删除用户。请按照 GitHub 文档中从您的组织中删除成员中的步骤操作。

编辑

删除 ROSA 集群和 AWS STS 资源

您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI(即 `rosa` 命令)删除使用 AWS 安全令牌服务 (STS) 的 ROSA 集群。您还可以使用 ROSA CLI 删除 AWS 身份和访问管理 (IAM) 帐户范围的角色、集群特定的 Operator 角色和 OpenID Connect (OIDC) 提供程序。要删除帐户范围的内联策略和 Operator 策略,您可以使用 AWS IAM 控制台。

帐户范围的 IAM 角色和策略可能被同一 AWS 帐户中的其他 ROSA 集群使用。只有在这些资源不被其他集群需要时,您才必须删除它们。
先决条件

  • 您已在您的工作站上安装并配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI,即 rosa

  • 您已使用 ROSA CLI (rosa) 登录到您的 Red Hat 帐户。

  • 您已创建了一个 ROSA 集群。

步骤

  1. 删除集群并监视日志,将<cluster_name>替换为您的集群名称或 ID

    $ rosa delete cluster --cluster=<cluster_name> --watch

    您必须等待集群删除完成之后才能删除 IAM 角色、策略和 OIDC 提供程序。删除安装程序创建的资源需要帐户范围的角色。清理 OpenShift Operators 创建的资源需要集群特定的 Operator 角色。Operators 使用 OIDC 提供程序进行身份验证。

  2. 删除集群 Operators 用于身份验证的 OIDC 提供程序

    $ rosa delete oidc-provider -c <cluster_id> --mode auto (1)
    1 <cluster_id>替换为集群的 ID。

    您可以使用 `-y` 选项自动回答是。

  3. 删除集群特定的 Operator IAM 角色

    $ rosa delete operator-roles -c <cluster_id> --mode auto (1)
    1 <cluster_id>替换为集群的 ID。

  4. 删除帐户范围的角色

    帐户范围的 IAM 角色和策略可能被同一 AWS 帐户中的其他 ROSA 集群使用。只有在这些资源不被其他集群需要时,您才必须删除它们。

    		 
    $ rosa delete account-roles --prefix <prefix> --mode auto (1)
    1 您必须包含 `--<prefix>` 参数。将<prefix>替换为要删除的帐户范围角色的前缀。如果您在创建帐户范围的角色时未指定自定义前缀,请指定默认前缀 `ManagedOpenShift`。

  5. 删除为使用 STS 的 ROSA 部署创建的帐户范围的内联和 Operator IAM 策略

    1. 登录到AWS IAM 控制台

    2. 导航到 **访问管理** → **策略**,然后选择其中一个帐户范围策略的复选框。

    3. 选中策略后,单击 **操作** → **删除** 以打开删除策略对话框。

    4. 输入策略名称以确认删除,然后选择 **删除** 以删除策略。

    5. 重复此步骤以删除集群的每个帐户范围的内联和 Operator 策略。

后续步骤

其他资源