OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

设置使用 STS 的环境

编辑

满足 AWS 先决条件后,设置您的环境并安装 Red Hat OpenShift Service on AWS (ROSA)。

AWS 安全令牌服务 (STS) 是安装和与 Red Hat OpenShift Service on AWS (ROSA) 上的集群交互的推荐凭据模式,因为它提供了增强的安全性。
编辑

设置 STS 的环境

在创建使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群之前,请完成以下步骤来设置您的环境。

先决条件

  • 查看并完成部署前提条件和策略。

  • 如果您还没有,请创建一个Red Hat 帐户。然后,检查您的电子邮件以获取验证链接。您将需要这些凭据才能安装 ROSA。

步骤

  1. 登录到您要使用的 Amazon Web Services (AWS) 帐户。

    建议使用专用的 AWS 帐户来运行生产集群。如果您使用的是 AWS Organizations,则可以在您的组织内使用 AWS 帐户,或者创建一个新的帐户

    如果您使用的是 AWS Organizations,并且需要将服务控制策略 (SCP) 应用于您计划使用的 AWS 帐户,则这些策略不得比集群所需的策略和角色更严格。

  2. 在 AWS 管理控制台中启用 ROSA 服务。

    1. 登录到您的AWS 帐户

    2. 要启用 ROSA,请转到ROSA 服务并选择**启用 OpenShift**。

  3. 安装和配置 AWS CLI。

    1. 按照 AWS 命令行界面文档进行安装配置适合您操作系统的 AWS CLI。

      .aws/credentials 文件中指定正确的 aws_access_key_idaws_secret_access_key。请参阅 AWS 文档中的AWS 配置基础知识

    2. 设置默认 AWS 区域。

      您可以使用环境变量来设置默认的 AWS 区域。

      ROSA 服务按以下优先级顺序评估区域

      1. 使用 --region 标志运行 rosa 命令时指定的区域。

      2. AWS_DEFAULT_REGION 环境变量中设置的区域。请参阅 AWS 文档中的用于配置 AWS CLI 的环境变量

      3. 在您的 AWS 配置文件中设置的默认区域。请参阅 AWS 文档中的使用 aws configure 进行快速配置

    3. 可选:使用 AWS 命名配置文件配置您的 AWS CLI 设置和凭据。rosa 按以下优先级顺序评估 AWS 命名配置文件

      1. 使用 --profile 标志运行 rosa 命令时指定的配置文件。

      2. AWS_PROFILE 环境变量中设置的配置文件。请参阅 AWS 文档中的命名配置文件

    4. 通过运行以下命令查询 AWS API 来验证 AWS CLI 是否已正确安装和配置

      $ aws sts get-caller-identity

  4. 安装最新版本的 ROSA CLI (rosa)。

    1. 下载适合您操作系统的ROSA CLI的最新版本。

    2. 可选:将您下载的文件重命名为 rosa 并使文件可执行。本文档使用 rosa 来指代可执行文件。

      $ chmod +x rosa

    3. 可选:将 rosa 添加到您的路径。

      $ mv rosa /usr/local/bin/rosa

    4. 输入以下命令以验证您的安装

      $ rosa
      示例输出
      Command line tool for Red Hat OpenShift Service on AWS.
For further documentation visit https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws

Usage:
  rosa [command]

Available Commands:
  completion  Generates completion scripts
  create      Create a resource from stdin
  delete      Delete a specific resource
  describe    Show details of a specific resource
  download    Download necessary tools for using your cluster
  edit        Edit a specific resource
  grant       Grant role to a specific resource
  help        Help about any command
  init        Applies templates to support Red Hat OpenShift Service on AWS
  install     Installs a resource into a cluster
  link        Link a ocm/user role from stdin
  list        List all resources of a specific type
  login       Log in to your Red Hat account
  logout      Log out
  logs        Show installation or uninstallation logs for a cluster
  revoke      Revoke role from a specific resource
  uninstall   Uninstalls a resource from a cluster
  unlink      UnLink a ocm/user role from stdin
  upgrade     Upgrade a resource
  verify      Verify resources are configured correctly for cluster install
  version     Prints the version of the tool
  whoami      Displays user account information

Flags:
      --color string   Surround certain characters with escape sequences to display them in color on the terminal. Allowed options are [auto never always] (default "auto")
      --debug          Enable debug mode.
  -h, --help           help for rosa

Use "rosa [command] --help" for more information about a command.

    5. 为 ROSA CLI 生成命令完成脚本。以下示例为 Linux 机器生成 Bash 完成脚本

      $ rosa completion bash | sudo tee /etc/bash_completion.d/rosa

    6. 使用这些脚本启用您现有终端中的 rosa 命令完成。以下示例在 Linux 机器上为 rosa 使用 Bash 完成脚本

      $ source /etc/bash_completion.d/rosa

  5. 使用 ROSA CLI 登录到您的 Red Hat 帐户。

    1. 输入以下命令。

      $ rosa login

    2. <my_offline_access_token> 替换为您的令牌。

      示例输出
      To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here: <my-offline-access-token>
      示例输出(续)
      I: Logged in as '<rh-rosa-user>' on 'https://api.openshift.com'

  6. 验证您的 AWS 帐户是否具有部署 ROSA 集群所需的配额。

    $ rosa verify quota [--region=<aws_region>]
    示例输出
    I: Validating AWS quota...
I: AWS quota ok

    有时您的 AWS 配额因区域而异。如果您收到任何错误,请尝试其他区域。

    如果您需要增加配额,请转到AWS 管理控制台并请求增加失败服务的配额。

    配额检查成功后,继续执行下一步。

  7. 准备您的 AWS 帐户以进行集群部署

    1. 运行以下命令以验证您的 Red Hat 和 AWS 凭据是否已正确设置。检查您的 AWS 帐户 ID、默认区域和 ARN 是否与您的预期相符。目前,您可以安全地忽略以 OpenShift Cluster Manager 开头的行。

      $ rosa whoami
      示例输出
      AWS Account ID:               000000000000
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::000000000000:user/hello
OCM API:                      https://api.openshift.com
OCM Account ID:               1DzGIdIhqEWyt8UUXQhSoWaaaaa
OCM Account Name:             Your Name
OCM Account Username:         [email protected]
OCM Account Email:            [email protected]
OCM Organization ID:          1HopHfA2hcmhup5gCr2uH5aaaaa
OCM Organization Name:        Red Hat
OCM Organization External ID: 0000000

  8. 从 ROSA (rosa) CLI 安装 OpenShift CLI (oc),版本 4.7.9 或更高版本。

    1. 输入此命令以下载最新版本的 oc CLI

      $ rosa download openshift-client

    2. 下载 oc CLI 后,将其解压缩并添加到您的路径。

    3. 输入此命令以验证 oc CLI 是否已正确安装

      $ rosa verify openshift-client
创建角色

完成这些步骤后,您就可以设置基于 IAM 和 OIDC 访问的角色了。

编辑

后续步骤

其他资源