Red Hat Summit3.3. Composants de ROSA avec HCP
- Infrastructure AWS - L’infrastructure requise pour le cluster, y compris les instances Amazon EC2, le stockage Amazon EBS et les composants de réseau. Consultez les types de calcul AWS pour voir les types d’instance pris en charge pour les nœuds de calcul et l’infrastructure AWS provisionnée pour plus d’informations sur la configuration des ressources cloud.
- AWS STS - Une méthode pour accorder des jetons dynamiques à court terme pour fournir aux utilisateurs les autorisations nécessaires pour interagir temporairement avec les ressources de votre compte AWS.
- Connexion OpenID (OIDC) - Un mécanisme permettant aux opérateurs de clusters d’authentifier avec AWS, d’assumer les rôles de cluster grâce à une politique de confiance et d’obtenir des informations d’identification temporaires d’AWS IAM STS pour effectuer les appels API requis.
Les rôles et les politiques - Les rôles et les politiques utilisés par ROSA avec HCP peuvent être divisés en rôles et politiques à l’échelle de la comptabilité et rôles et politiques des opérateurs.
Les politiques déterminent les actions autorisées pour chacun des rôles. Consultez les ressources de l’IAM pour plus de détails sur les rôles et les politiques individuels. Consultez la ressource de rôle ROSA IAM pour plus de détails sur les politiques de confiance.
Les rôles à l’échelle du compte sont les suivants:
-
<prefix>-HCP-ROSA-Worker-Role -
<préfixe>-HCP-ROSA-Support-Role -
<préfixe>-HCP-ROSA-Installer-Role
-
Les politiques gérées par AWS à l’échelle du compte sont:
- La politique de ROSAInstaller
- La politique de ROSAWorkerInstance
- La politique de ROSASRESupport
- La politique de ROSAIngressOperator
- La politique de ROSAAmazonEBSCSIDriverOperator
- Accueil > ROSACloudNetworkConfigOperatorPolicy
- La politique de ROSAControlPlaneOperator
- Fiche technique de ROSAImageRegistryOperatorPolicy
- Informations sur ROSAKMSProviderPolicy
- La politique de contrôle ROSAKubeControlly
- Abonnement ROSAManageSubscription
- La politique de gestion de ROSANodePool
NoteCertaines stratégies sont utilisées par les rôles d’opérateur de cluster, énumérés ci-dessous. Les rôles d’opérateur sont créés dans une deuxième étape parce qu’ils dépendent d’un nom de cluster existant et ne peuvent pas être créés en même temps que les rôles à l’échelle du compte.
Les rôles d’opérateur sont:
- <operator_role_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credentials
- <operator_role_prefix>-openshift-cloud-network-config-controller-cloud-credentials
- <operator_role_prefix>-openshift-machine-api-aws-cloud-credentials
- <operator_role_prefix>-openshift-cloud-credential-operator-cloud-credentials
- <operator_role_prefix>-openshift-image-registry-installer-cloud-credentials
- <operator_role_prefix>-openshift-ingress-operator-cloud-credentials
- Des politiques de confiance sont créées pour chaque rôle à l’échelle du compte et pour chaque rôle d’opérateur.
