6.2. Créer un ROSA avec le cluster HCP qui utilise des fournisseurs d’authentification externes

Procédure

• Lorsque vous utilisez les variables OIDC_ID, SUBNET_IDS et OPERATOR_ROLES_PREFIX pour préparer votre environnement, vous pouvez continuer à utiliser ces variables lors de la création de votre cluster. À titre d’exemple, exécutez la commande suivante:

  $ rosa create cluster --hosted-cp --subnet-ids=$SUBNET_IDS \
     --oidc-config-id=$OIDC_ID --cluster-name=<cluster_name> \
     --operator-roles-prefix=$OPERATOR_ROLES_PREFIX \
     --external-auth-providers-enabled

• Lorsque vous n’avez pas défini de variables environnementales, exécutez la commande suivante:

  $ rosa create cluster --cluster-name=<cluster_name> --sts --mode=auto \
      --hosted-cp --operator-roles-prefix <operator-role-prefix> \
      --oidc-config-id <ID-of-OIDC-configuration> \
      --external-auth-providers-enabled \
      --subnet-ids=<public-subnet-id>,<private-subnet-id>

La vérification

• Assurez-vous que votre authentification externe est activée dans les détails du cluster en exécutant la commande suivante:

  $ rosa describe cluster --cluster=<cluster_name>

  Name:                       rosa-ext-test
  Display Name:               rosa-ext-test
  ID:                         <cluster_id>
  External ID:                <cluster_ext_id>
  Control Plane:              ROSA Service Hosted
  OpenShift Version:          4.18.0
  Channel Group:              stable
  DNS:                        <dns>
  AWS Account:                <AWS_id>
  AWS Billing Account:        <AWS_id>
  API URL:                    <ocm_api>
  Console URL:
  Region:                     us-east-1
  Availability:
   - Control Plane:           MultiAZ
   - Data Plane:              SingleAZ
  
  Nodes:
   - Compute (desired):       2
   - Compute (current):       0
  Network:
   - Type:                    OVNKubernetes
   - Service CIDR:            <service_cidr>
   - Machine CIDR:            <machine_cidr>
   - Pod CIDR:                <pod_cidr>
   - Host Prefix:             /23
   - Subnets:                 <subnet_ids>
  EC2 Metadata Http Tokens:   optional
  Role (STS) ARN:             arn:aws:iam::<AWS_id>:role/<account_roles_prefix>-HCP-ROSA-Installer-Role
  Support Role ARN:           arn:aws:iam::<AWS_id>:role/<account_roles_prefix>-HCP-ROSA-Support-Role
  Instance IAM Roles:
   - Worker:                  arn:aws:iam::<AWS_id>:role/<account_roles_prefix>-HCP-ROSA-Worker-Role
  Operator IAM Roles:
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-openshift-cloud-network-config-controller-clo
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-kube-system-capa-controller-manager
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-kube-system-control-plane-operator
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-kube-system-kms-provider
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-kube-system-kube-controller-manager
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-openshift-image-registry-installer-cloud-cred
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-openshift-ingress-operator-cloud-credentials
   - arn:aws:iam::<AWS_id>:role/<operator_roles_prefix>-openshift-cluster-csi-drivers-ebs-cloud-crede
  Managed Policies:           Yes
  State:                      ready
  Private:                    No
  Created:                    Mar 29 2024 14:25:52 UTC
  User Workload Monitoring:   Enabled
  Details Page:               https://<url>
  OIDC Endpoint URL:          https://<endpoint> (Managed)
  Audit Log Forwarding:       Disabled
  External Authentication:    Enabled 

  1

  1

  L’indicateur d’authentification externe est activé et vous pouvez maintenant créer un fournisseur d’authentification externe.