6.4. Création d’un identifiant de verre de rupture pour un ROSA avec le cluster HCP


En tant que ROSA avec HCP cluster propriétaire, vous pouvez utiliser l’identifiant de verre de rupture pour créer des informations d’identification des clients administratifs temporaires pour accéder à vos clusters qui sont configurés avec des émetteurs de jetons OpenID Connect (OIDC) personnalisés. Créer un identifiant de verre de rupture génère un nouveau fichier cluster-admin kubeconfig. Le fichier kubeconfig contient des informations sur le cluster utilisé par le CLI pour connecter un client au bon cluster et au serveur API. Le fichier kubeconfig nouvellement généré permet d’accéder au ROSA avec le cluster HCP.

Conditions préalables

  • La création d’un ROSA avec le cluster HCP avec authentification externe activée. Création d’un ROSA avec HCP avec le cluster HCP qui utilise des fournisseurs d’authentification externes.
  • « vous avez créé un fournisseur d’authentification externe. Consultez Création d’un fournisseur d’authentification externe pour plus d’informations.
  • Il y a un compte avec les autorisations d’administrateur de cluster.

Procédure

  1. Créez un identifiant de verre cassé en utilisant l’une des commandes suivantes:

    • Afin de créer un identifiant de verre cassé en utilisant l’interface de commande interactive pour spécifier de manière interactive les paramètres personnalisés, exécutez la commande suivante:

      $ rosa create break-glass-credential -c <cluster_name> -i 
      1
      Copy to Clipboard Toggle word wrap
      1
      &lt;cluster_name&gt; par le nom de votre cluster.

      Cette commande démarre un processus CLI interactif:

      Exemple de sortie

      I: Enabling interactive mode
      ? Username (optional): 
      1
      
      ? Expiration duration (optional): 
      2
      
      I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
      Copy to Clipboard Toggle word wrap

      1
      Dans le cas où le nom d’utilisateur est laissé en blanc, la valeur du nom d’utilisateur sera générée au hasard.
      2
      La validité minimale de l’identifiant de verre cassé est de 10 minutes, et la validité maximale est de 24 heures. En cas de blanc, la valeur de la durée d’expiration par défaut est de 24 heures.
    • Créer un identifiant de verre de rupture pour cluster appelé mycluster avec des valeurs spécifiées:

      $ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
      Copy to Clipboard Toggle word wrap
  2. Énumérez les identifiants d’identification, le statut et les utilisateurs associés disponibles pour un cluster appelé mycluster en exécutant la commande suivante:

    $ rosa list break-glass-credential -c mycluster
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    ID                                USERNAME    STATUS
    2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued
    Copy to Clipboard Toggle word wrap

    Note

    Il est également possible d’afficher les informations d’identification dans une sortie JSON en ajoutant l’argument -o json à la commande.

  3. Afin d’afficher l’état d’un identifiant de verre cassé, exécutez la commande suivante, en remplaçant &lt;break_glass_credential_id&gt; par l’identifiant d’identification du verre de rupture:

    $ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
    Copy to Clipboard Toggle word wrap

    Exemple de sortie

    ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
    Username:                              test-user
    Expire at:                             Dec 28 2026 10:23:05 EDT
    Status:                                issued
    Copy to Clipboard Toggle word wrap

    Ce qui suit est une liste des valeurs possibles du champ État:

    • émis L’identifiant d’identification en verre cassé a été délivré et est prêt à être utilisé.
    • expiré Les informations d’identification en verre cassé ont expiré et ne peuvent plus être utilisées.
    • échec L’identifiant d’identification en verre cassé n’a pas réussi à créer. Dans ce cas, vous recevez un journal de service détaillant l’échec. Accès aux journaux de service pour Red Hat OpenShift Service sur les clusters AWS. Les étapes à suivre pour contacter Red Hat Support pour obtenir de l’aide sont disponibles.
    • l’identifiant de verre cassé est actuellement révoqué, ce qui signifie qu’il ne peut pas être utilisé.
    • les informations d’identification en verre cassé ont été révoquées et ne peuvent plus être utilisées.
  4. Afin de récupérer le kubeconfig, exécutez les commandes suivantes:

    • Créer un répertoire kubeconfigs:

      $ mkdir ~/kubeconfigs
      Copy to Clipboard Toggle word wrap
    • Exportez le fichier kubeconfig nouvellement généré, remplaçant &lt;cluster_name&gt; par le nom de votre cluster:

      $ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
      Copy to Clipboard Toggle word wrap
    • Afficher le kubeconfig:

      $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig
      Copy to Clipboard Toggle word wrap

      Exemple de sortie

      apiVersion: v1
      clusters:
      - cluster:
          server: <server_url>
        name: cluster
      contexts:
      - context:
          cluster: cluster
          namespace: default
          user: test-username
        name: admin
      current-context: admin
      kind: Config
      preferences: {}
      users:
      - name: test-user
        user:
          client-certificate-data: <client-certificate-data> 
      1
      
          client-key-data: <client-key-data> 
      2
      Copy to Clipboard Toggle word wrap

      1
      Le certificat client contient un certificat pour l’utilisateur signé par les autorités de certification Kubernetes (CA).
      2
      La clé client contient la clé qui a signé le certificat client.
  5. Facultatif: Pour enregistrer le kubeconfig, exécutez la commande suivante:

    $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG
    Copy to Clipboard Toggle word wrap
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat