Accueiil
Products
Red Hat OpenShift Service on AWS
4
Installer ROSA avec des clusters HCP
6.4. Création d’un identifiant de verre de rupture pour un ROSA avec le cluster HCP

6.4. Création d’un identifiant de verre de rupture pour un ROSA avec le cluster HCP

En tant que ROSA avec HCP cluster propriétaire, vous pouvez utiliser l’identifiant de verre de rupture pour créer des informations d’identification des clients administratifs temporaires pour accéder à vos clusters qui sont configurés avec des émetteurs de jetons OpenID Connect (OIDC) personnalisés. Créer un identifiant de verre de rupture génère un nouveau fichier cluster-admin kubeconfig. Le fichier kubeconfig contient des informations sur le cluster utilisé par le CLI pour connecter un client au bon cluster et au serveur API. Le fichier kubeconfig nouvellement généré permet d’accéder au ROSA avec le cluster HCP.

Conditions préalables

La création d’un ROSA avec le cluster HCP avec authentification externe activée. Création d’un ROSA avec HCP avec le cluster HCP qui utilise des fournisseurs d’authentification externes.
« vous avez créé un fournisseur d’authentification externe. Consultez Création d’un fournisseur d’authentification externe pour plus d’informations.
Il y a un compte avec les autorisations d’administrateur de cluster.

Procédure

Créez un identifiant de verre cassé en utilisant l’une des commandes suivantes:
- Afin de créer un identifiant de verre cassé en utilisant l’interface de commande interactive pour spécifier de manière interactive les paramètres personnalisés, exécutez la commande suivante:
  $ rosa create break-glass-credential -c <cluster_name> -i
  1
  Copy to Clipboard Toggle word wrap
  1
  <cluster_name> par le nom de votre cluster.
  Cette commande démarre un processus CLI interactif:
  Exemple de sortie
  I: Enabling interactive mode ? Username (optional):
  1
  ? Expiration duration (optional):
  2
  I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
  
  Copy to Clipboard Toggle word wrap
  1
  Dans le cas où le nom d’utilisateur est laissé en blanc, la valeur du nom d’utilisateur sera générée au hasard.
  2
  La validité minimale de l’identifiant de verre cassé est de 10 minutes, et la validité maximale est de 24 heures. En cas de blanc, la valeur de la durée d’expiration par défaut est de 24 heures.
- Créer un identifiant de verre de rupture pour cluster appelé mycluster avec des valeurs spécifiées:
  $ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
  Copy to Clipboard Toggle word wrap
Énumérez les identifiants d’identification, le statut et les utilisateurs associés disponibles pour un cluster appelé mycluster en exécutant la commande suivante:
```
rosa list break-glass-credential -c mycluster
```
```
$ rosa list break-glass-credential -c mycluster
```
Copy to Clipboard Toggle word wrap
Exemple de sortie
```
ID                                USERNAME    STATUS
2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued
```
```
ID                                USERNAME    STATUS
2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued
```
Copy to Clipboard Toggle word wrap
Note
Il est également possible d’afficher les informations d’identification dans une sortie JSON en ajoutant l’argument -o json à la commande.
Afin d’afficher l’état d’un identifiant de verre cassé, exécutez la commande suivante, en remplaçant <break_glass_credential_id> par l’identifiant d’identification du verre de rupture:
```
rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
```
```
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
```
Copy to Clipboard Toggle word wrap
Exemple de sortie
```
ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
Username:                              test-user
Expire at:                             Dec 28 2026 10:23:05 EDT
Status:                                issued
```
```
ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
Username:                              test-user
Expire at:                             Dec 28 2026 10:23:05 EDT
Status:                                issued
```
Copy to Clipboard Toggle word wrap
Ce qui suit est une liste des valeurs possibles du champ État:
- émis L’identifiant d’identification en verre cassé a été délivré et est prêt à être utilisé.
- expiré Les informations d’identification en verre cassé ont expiré et ne peuvent plus être utilisées.
- échec L’identifiant d’identification en verre cassé n’a pas réussi à créer. Dans ce cas, vous recevez un journal de service détaillant l’échec. Accès aux journaux de service pour Red Hat OpenShift Service sur les clusters AWS. Les étapes à suivre pour contacter Red Hat Support pour obtenir de l’aide sont disponibles.
- l’identifiant de verre cassé est actuellement révoqué, ce qui signifie qu’il ne peut pas être utilisé.
- les informations d’identification en verre cassé ont été révoquées et ne peuvent plus être utilisées.

Afin de récupérer le kubeconfig, exécutez les commandes suivantes:

Créer un répertoire kubeconfigs:
```
mkdir ~/kubeconfigs
```
```
$ mkdir ~/kubeconfigs
```
Copy to Clipboard Toggle word wrap

Exportez le fichier kubeconfig nouvellement généré, remplaçant <cluster_name> par le nom de votre cluster:

export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig

$ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig

Copy to Clipboard

Toggle word wrap

Afficher le kubeconfig:

rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig

$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig

Copy to Clipboard

Toggle word wrap

Exemple de sortie

apiVersion: v1
clusters:
- cluster:
    server: <server_url>
  name: cluster
contexts:
- context:
    cluster: cluster
    namespace: default
    user: test-username
  name: admin
current-context: admin
kind: Config
preferences: {}
users:
- name: test-user
  user:
    client-certificate-data: <client-certificate-data> 
    client-key-data: <client-key-data>

apiVersion: v1
clusters:
- cluster:
    server: <server_url>
  name: cluster
contexts:
- context:
    cluster: cluster
    namespace: default
    user: test-username
  name: admin
current-context: admin
kind: Config
preferences: {}
users:
- name: test-user
  user:
    client-certificate-data: <client-certificate-data>


    client-key-data: <client-key-data>

Copy to Clipboard

Toggle word wrap

1: Le certificat client contient un certificat pour l’utilisateur signé par les autorités de certification Kubernetes (CA).
2: La clé client contient la clé qui a signé le certificat client.

Facultatif: Pour enregistrer le kubeconfig, exécutez la commande suivante:

rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG

$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG

Copy to Clipboard

Toggle word wrap

Retour au début

6.4. Création d’un identifiant de verre de rupture pour un ROSA avec le cluster HCP

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Rendre l’open source plus inclusif

À propos de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links