Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

4.3. Autres principes sur votre ROSA avec le cluster HCP

Les rôles AWS Identity and Access Management (IAM) peuvent être autorisés en tant que directeurs supplémentaires pour vous connecter au point de terminaison privé du serveur API de votre cluster.

Il est possible d’accéder à votre ROSA avec le point de terminaison API Server du cluster HCP à partir de l’Internet public ou du point de terminaison de l’interface créé dans les sous-réseaux privés VPC. Par défaut, vous pouvez accéder en privé à votre ROSA avec HCP API Server en utilisant le rôle -kube-system-kube-controller-manager Operator. Afin de pouvoir accéder directement à ROSA avec un serveur d’API HCP à partir d’un autre compte sans utiliser le compte principal où le cluster est installé, vous devez inclure les rôles intercomptes IAM en tant que directeurs supplémentaires. Cette fonctionnalité vous permet de simplifier l’architecture de votre réseau et de réduire les coûts de transfert de données en évitant le peering ou en attachant des VPC multicomptes au VPC de cluster.

Aperçu de l’accès au compte cross AWS
View larger image
Aperçu de l’accès au compte cross AWS

Dans ce diagramme, le cluster de création de compte est désigné comme Compte A. Ce compte désigne qu’un autre compte, le compte B, devrait avoir accès au serveur API.

Note

Après avoir configuré d’autres principes autorisés, vous devez créer le point de terminaison VPC de l’interface à partir de l’endroit où vous souhaitez accéder au compte croisé ROSA avec le serveur d’API HCP. Ensuite, créez une zone hébergée privée dans Route53 pour acheminer les appels effectués pour croiser le compte ROSA avec le serveur d’API HCP pour passer par le point de terminaison VPC créé.

Employez l’argument --supplément-autorisé-principaux pour permettre l’accès par d’autres rôles.

Procédure

  1. Ajoutez l’argument --additionnel-autorisé-principals à la commande rosa create cluster, similaire à ce qui suit: 

    $ rosa create cluster [...] --additional-allowed-principals <arn_string>
    Copy to Clipboard Toggle word wrap

    Il est possible d’utiliser arn:aws:iam::account_id:role/role_name pour approuver un rôle spécifique.

  2. Lorsque la commande de création de cluster s’exécute, vous recevez un résumé de votre cluster avec les principaux --additionnels-autorisés spécifiés:

    Exemple de sortie

    Name:                       mycluster
Domain Prefix:              mycluster
Display Name:               mycluster
ID:                         <cluster-id>
External ID:                <cluster-id>
Control Plane:              ROSA Service Hosted
OpenShift Version:          4.15.17
Channel Group:              stable
DNS:                        Not ready
AWS Account:                <aws_id>
AWS Billing Account:        <aws_id>
API URL:
Console URL:
Region:                     us-east-2
Availability:
 - Control Plane:           MultiAZ
 - Data Plane:              SingleAZ

Nodes:
 - Compute (desired):       2
 - Compute (current):       0
Network:
 - Type:                    OVNKubernetes
 - Service CIDR:            172.30.0.0/16
 - Machine CIDR:            10.0.0.0/16
 - Pod CIDR:                10.128.0.0/14
 - Host Prefix:             /23
 - Subnets:                 subnet-453e99d40, subnet-666847ce827
EC2 Metadata Http Tokens:   optional
Role (STS) ARN:             arn:aws:iam::<aws_id>:role/mycluster-HCP-ROSA-Installer-Role
Support Role ARN:           arn:aws:iam::<aws_id>:role/mycluster-HCP-ROSA-Support-Role
Instance IAM Roles:
 - Worker:                  arn:aws:iam::<aws_id>:role/mycluster-HCP-ROSA-Worker-Role
Operator IAM Roles:
 - arn:aws:iam::<aws_id>:role/mycluster-kube-system-control-plane-operator
 - arn:aws:iam::<aws_id>:role/mycluster-openshift-cloud-network-config-controller-cloud-creden
 - arn:aws:iam::<aws_id>:role/mycluster-openshift-image-registry-installer-cloud-credentials
 - arn:aws:iam::<aws_id>:role/mycluster-openshift-ingress-operator-cloud-credentials
 - arn:aws:iam::<aws_id>:role/mycluster-openshift-cluster-csi-drivers-ebs-cloud-credentials
 - arn:aws:iam::<aws_id>:role/mycluster-kube-system-kms-provider
 - arn:aws:iam::<aws_id>:role/mycluster-kube-system-kube-controller-manager
 - arn:aws:iam::<aws_id>:role/mycluster-kube-system-capa-controller-manager
Managed Policies:           Yes
State:                      waiting (Waiting for user action)
Private:                    No
Delete Protection:          Disabled
Created:                    Jun 25 2024 13:36:37 UTC
User Workload Monitoring:   Enabled
Details Page:               https://console.redhat.com/openshift/details/s/Bvbok4O79q1Vg8
OIDC Endpoint URL:          https://oidc.op1.openshiftapps.com/vhufi5lap6vbl3jlq20e (Managed)
Audit Log Forwarding:       Disabled
External Authentication:    Disabled
Additional Principals:      arn:aws:iam::<aws_id>:role/additional-user-role
    Copy to Clipboard Toggle word wrap

Il est possible d’ajouter des principes supplémentaires à votre cluster en utilisant l’interface de ligne de commande (CLI).

Procédure

  • Exécutez la commande suivante pour modifier votre cluster et ajouter un principal supplémentaire qui peut accéder au point de terminaison de ce cluster: 

    $ rosa edit cluster -c <cluster_name> --additional-allowed-principals <arn_string>
    Copy to Clipboard Toggle word wrap

    Il est possible d’utiliser arn:aws:iam::account_id:role/role_name pour approuver un rôle spécifique.

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat