Red Hat Summit4.4. プルシークレットのダウンロードおよび更新
4.4.1. OpenShift Cluster Manager からのプルシークレットのダウンロード
イメージプルシークレットは、OpenShift コンポーネントのコンテナーイメージを提供するサービスおよびレジストリーにアクセスするための認証を提供します。各ユーザーには単一のプルシークレットが生成されます。
プルシークレットは、OpenShift Container Platform クラスターのインストール時に使用されます。また、OpenShift Cluster Manager は、クラスターの所有権を転送する際に特定の Red Hat ユーザーを識別するためにも使用されます。クラスターを別の所有者に転送するには、クラスターの所有権を取得するユーザーのプルシークレットをダウンロードする必要があります。
前提条件
- Red Hat ログイン
手順
プルシークレットをダウンロードする Red Hat ユーザーとして OpenShift Cluster Manager にログインします。
重要各プルシークレットは特定のユーザーに固有です。クラスターを別の所有者に譲渡するためにプルシークレットをダウンロードする場合は、クラスターの所有権を取得するユーザーとして OpenShift Cluster Manager にログインし、そのユーザーのプルシークレットを取得する必要があります。
OpenShift Cluster Manager の Downloads に移動し、Tokens カテゴリーでプルシークレットを探します。
- Copy をクリックして、プルシークレットをクリップボードにコピーします。
- Download をクリックしてプルシークレットをダウンロードします。
プルシークレットは共有しないでください。プルシークレットはパスワードのように扱う必要があります。
これで、このプルシークレットを使用して、OpenShift Container Platform クラスターを作成したり、クラスターの所有権を譲渡したりできます。
関連情報
- クラスターを別の所有者に譲渡するには、クラスターの所有権の譲渡 を参照してください。
- OpenShift Container Platform クラスターを作成するには、OpenShift Container Platform ドキュメント を参照してください。
- プルシークレットの使用の詳細は、OpenShift Container Platform のドキュメントの イメージプルシークレットの使用 を参照してください。
4.4.2. グローバルのプルシークレットの更新
イメージプルシークレットは、OpenShift コンポーネントのコンテナーイメージを提供するサービスおよびレジストリーにアクセスするための認証を提供します。各ユーザーには単一のプルシークレットが生成されます。
プルシークレットは、OpenShift Container Platform クラスターをインストールするときおよびクラスターの所有権を譲渡するときに使用されます。
接続クラスターを新しい所有者に移譲するには、OpenShift Cluster Manager でクラスターの移譲を開始した後に、クラスターのプルシークレットを新しい所有者のプルシークレットに更新する必要があります。プルシークレットは、移譲プロセスの開始後 5 日以内に更新する必要があります。更新しないと、OpenShift Cluster Manager からプロセスを最初からやり直す必要があります。「クラスター所有権の移動」を参照してください。
4.7.4 より前のバージョンの OpenShift Container Platform を使用するクラスターでは、クラスターリソースは新しいプルシークレットに調整する必要があります。これにより、クラスターのユーザービリティーが一時的に制限される可能性があります。これは、プルシークレットを更新すると、Machine Config オペレーターがノードをドレインし、変更を適用して、ノードのコードを解除するために発生します。
これは、OpenShift Container Platform バージョン 4.7.4 以降を使用するクラスターには影響しません。プルシークレットを変更しても、ノードのドレインまたはリブートは発生しません。
前提条件
- OpenShift Container Platform クラスター
- OpenShift Cluster Manager のクラスターの所有者または組織管理者権限を持つ Red Hat ログイン
- アップロードする新規または変更されたプルシークレットファイル。Tokens エリアから Downloads からプルシークレットをダウンロードできます。
-
cluster-adminロールを持つユーザーとしてクラスターにアクセスできる。クラスターロールの詳細は、OpenShift Container Platform ドキュメントの 認証および認可 を参照してください。 - クラスターを新しい所有者に移譲する場合は、Telemetry メトリックを受け取ってクラスターを監視できるように、グローバルプルシークレットを変更する前に OpenShift Cluster Manager で移譲を開始する必要がある。
手順
OpenShift Cluster Manager からダウンロードしたプルシークレットを使用して、以下のコマンドを実行し、クラスターのプルシークレットを変更します。
# oc set data secret/pull-secret -n openshift-config --from-file=.dockerconfigjson=pull-secret.txt
シークレットがまだ作成されていない場合は、以下のコマンドを実行してシークレットを作成します。
# oc create secret generic pull-secret -n openshift-config --type=kubernetes.io/dockerconfigjson --from-file=.dockerconfigjson=/path/to/downloaded/pull-secret
これにより、クラスターにある全ノードの更新が始まります。このとき、クラスターのサイズに応じて多少時間がかかる場合があります。
検証手順
OpenShift Cluster Manager の ダウンロード に移動し、トークン カテゴリーでプルシークレットを見つけて変更を確認します。
- Copy をクリックして、プルシークレットをクリップボードにコピーします。
- Download をクリックしてプルシークレットをダウンロードします。
関連情報
- OpenShift Container Platform ドキュメントの イメージプルシークレットの使用 を参照してください。
- クラスターの所有権を譲渡するには、「クラスター所有権の移動」 を参照してください。
4.4.3. 新規プルシークレットの作成
特定のケースでは、新しいプルシークレットを作成できます。たとえば、現在のプルシークレットが機能しない場合、またはセキュリティー上の理由から新しいプルシークレットが必要な場合です。
新しいプルシークレットを作成するには、KCS の記事 How to request pull-secret rotation の手順に従ってください。
この方法を使用するには、ocm CLI ツールを使用する必要があります。ocm CLI ツールの詳細は、Using the ocm-cli to manage clusters in OpenShift Cluster Manager を参照してください。
