6.4. Création d’un identifiant de verre de rupture pour un ROSA avec le cluster HCP
En tant que ROSA avec HCP cluster propriétaire, vous pouvez utiliser l’identifiant de verre de rupture pour créer des informations d’identification des clients administratifs temporaires pour accéder à vos clusters qui sont configurés avec des émetteurs de jetons OpenID Connect (OIDC) personnalisés. Créer un identifiant de verre de rupture génère un nouveau fichier cluster-admin kubeconfig. Le fichier kubeconfig contient des informations sur le cluster utilisé par le CLI pour connecter un client au bon cluster et au serveur API. Le fichier kubeconfig nouvellement généré permet d’accéder au ROSA avec le cluster HCP.
Conditions préalables
- La création d’un ROSA avec le cluster HCP avec authentification externe activée. Création d’un ROSA avec HCP avec le cluster HCP qui utilise des fournisseurs d’authentification externes.
- « vous avez créé un fournisseur d’authentification externe. Consultez Création d’un fournisseur d’authentification externe pour plus d’informations.
- Il y a un compte avec les autorisations d’administrateur de cluster.
Procédure
Créez un identifiant de verre cassé en utilisant l’une des commandes suivantes:
Afin de créer un identifiant de verre cassé en utilisant l’interface de commande interactive pour spécifier de manière interactive les paramètres personnalisés, exécutez la commande suivante:
rosa create break-glass-credential -c <cluster_name> -i
$ rosa create break-glass-credential -c <cluster_name> -i
1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- <cluster_name> par le nom de votre cluster.
Cette commande démarre un processus CLI interactif:
Exemple de sortie
I: Enabling interactive mode ? Username (optional): ? Expiration duration (optional): I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
I: Enabling interactive mode ? Username (optional):
1 ? Expiration duration (optional):
2 I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- Dans le cas où le nom d’utilisateur est laissé en blanc, la valeur du nom d’utilisateur sera générée au hasard.
- 2
- La validité minimale de l’identifiant de verre cassé est de 10 minutes, et la validité maximale est de 24 heures. En cas de blanc, la valeur de la durée d’expiration par défaut est de 24 heures.
Créer un identifiant de verre de rupture pour cluster appelé mycluster avec des valeurs spécifiées:
rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
$ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Énumérez les identifiants d’identification, le statut et les utilisateurs associés disponibles pour un cluster appelé mycluster en exécutant la commande suivante:
rosa list break-glass-credential -c mycluster
$ rosa list break-glass-credential -c mycluster
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
ID USERNAME STATUS 2a7jli9n4phe6c02ul7ti91djtv2o51d test-user issued
ID USERNAME STATUS 2a7jli9n4phe6c02ul7ti91djtv2o51d test-user issued
Copy to Clipboard Copied! Toggle word wrap Toggle overflow NoteIl est également possible d’afficher les informations d’identification dans une sortie JSON en ajoutant l’argument -o json à la commande.
Afin d’afficher l’état d’un identifiant de verre cassé, exécutez la commande suivante, en remplaçant <break_glass_credential_id> par l’identifiant d’identification du verre de rupture:
rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
ID: 2a7jli9n4phe6c02ul7ti91djtv2o51d Username: test-user Expire at: Dec 28 2026 10:23:05 EDT Status: issued
ID: 2a7jli9n4phe6c02ul7ti91djtv2o51d Username: test-user Expire at: Dec 28 2026 10:23:05 EDT Status: issued
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Ce qui suit est une liste des valeurs possibles du champ État:
- émis L’identifiant d’identification en verre cassé a été délivré et est prêt à être utilisé.
- expiré Les informations d’identification en verre cassé ont expiré et ne peuvent plus être utilisées.
- échec L’identifiant d’identification en verre cassé n’a pas réussi à créer. Dans ce cas, vous recevez un journal de service détaillant l’échec. Accès aux journaux de service pour Red Hat OpenShift Service sur les clusters AWS. Les étapes à suivre pour contacter Red Hat Support pour obtenir de l’aide sont disponibles.
- l’identifiant de verre cassé est actuellement révoqué, ce qui signifie qu’il ne peut pas être utilisé.
- les informations d’identification en verre cassé ont été révoquées et ne peuvent plus être utilisées.
Afin de récupérer le kubeconfig, exécutez les commandes suivantes:
Créer un répertoire kubeconfigs:
mkdir ~/kubeconfigs
$ mkdir ~/kubeconfigs
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exportez le fichier kubeconfig nouvellement généré, remplaçant <cluster_name> par le nom de votre cluster:
export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
$ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Afficher le kubeconfig:
rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig
$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Facultatif: Pour enregistrer le kubeconfig, exécutez la commande suivante:
rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG
$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG
Copy to Clipboard Copied! Toggle word wrap Toggle overflow