6.3. Azure の IAM の手動作成

クラウドアイデンティティーおよびアクセス管理 (IAM) API に到達できない環境や、管理者がクラスター kube-system namespace に管理者レベルの認証情報シークレットを保存する選択をしない場合に、クラスターのインストール前に Cloud Credential Operator (CCO) を手動モードにすることができます。

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

Cloud Credential Operator (CCO) は、クラウドプロバイダーの認証情報を Kubernetes カスタムリソース定義 (CRD) として管理します。credentialsMode パラメーターの異なる値を install-config.yaml ファイルに設定し、組織のセキュリティー要件に応じて CCO を設定できます。

管理者レベルの認証情報シークレットをクラスターの kube-system プロジェクトに保存する選択をしない場合、OpenShift Container Platform をインストールし、クラウド認証情報を手動で管理する際に CCO の credentialsMode パラメーターを Manual に設定できます。

手動モードを使用すると、クラスターに管理者レベルの認証情報を保存する必要なく、各クラスターコンポーネントに必要なパーミッションのみを指定できます。お使いの環境でクラウドプロバイダーのパブリック IAM エンドポイントへの接続がない場合も、このモードを使用できます。ただし、各アップグレードについて、パーミッションを新規リリースイメージを使用して手動で調整する必要があります。また、それらを要求するすべてのコンポーネントについて認証情報を手動で指定する必要があります。

6.3.2. IAM の手動作成
リンクのコピー

Cloud Credential Operator (CCO) は、クラウドアイデンティティーおよびアクセス管理 (IAM) API に到達できない環境にインストールする前に手動モードに配置できます。管理者はクラスター kube-system namespace に管理者レベルの認証情報シークレットを保存しないようにします。

手順

インストールプログラムが含まれるディレクトリーに切り替え、以下のコマンドを実行して install-config.yaml ファイルを作成します。
```
openshift-install create install-config --dir <installation_directory>
```
```
$ openshift-install create install-config --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
install-config.yaml 設定ファイルを編集し、credentialsMode パラメーターが Manual に設定されるようにします。
サンプル install-config.yaml 設定ファイル
```
apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 
compute:
- architecture: amd64
  hyperthreading: Enabled
...
```
```
apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 
```
1
```
compute:
- architecture: amd64
  hyperthreading: Enabled
...
```
Copy to Clipboard Toggle word wrap
1
この行は、credentialsMode パラメーターを Manual に設定するために追加されます。
インストールプログラムが含まれているディレクトリーから次のコマンドを実行して、マニフェストを生成します。
```
openshift-install create manifests --dir <installation_directory>
```
```
$ openshift-install create manifests --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
インストールプログラムが含まれるディレクトリーから、以下のコマンドを実行して、openshift-install バイナリーがビルドされている OpenShift Container Platform リリースイメージの詳細を取得します。
```
openshift-install version
```
```
$ openshift-install version
```
Copy to Clipboard Toggle word wrap
出力例
```
release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64
```
```
release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行して、デプロイするクラウドをターゲットとするリリースイメージですべての CredentialsRequest オブジェクトを見つけます。

oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 \
  --credentials-requests \
  --cloud=azure

$ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 \
  --credentials-requests \
  --cloud=azure

Copy to Clipboard

Toggle word wrap

このコマンドにより、それぞれの CredentialsRequest オブジェクトに YAML ファイルが作成されます。

サンプル CredentialsRequest オブジェクト

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

Copy to Clipboard

Toggle word wrap

以前に生成した openshift-install マニフェストディレクトリーにシークレットの YAML ファイルを作成します。シークレットは、それぞれの CredentialsRequest オブジェクトについて spec.secretRef に定義される namespace およびシークレット名を使用して保存する必要があります。

シークレットを含む CredentialsRequest オブジェクトのサンプル

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component-secret>
    namespace: <component-namespace>
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component-secret>
    namespace: <component-namespace>
  ...

Copy to Clipboard

Toggle word wrap

サンプル Secret オブジェクト

apiVersion: v1
kind: Secret
metadata:
  name: <component-secret>
  namespace: <component-namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

apiVersion: v1
kind: Secret
metadata:
  name: <component-secret>
  namespace: <component-namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

Copy to Clipboard

Toggle word wrap

重要

リリースイメージには、TechPreviewNoUpgrade 機能セットによって有効になるテクノロジープレビュー機能の CredentialsRequest オブジェクトが含まれています。これらのオブジェクトは、release.openshift.io/feature-gate: TechPreviewNoUpgrade アノテーションを使用して識別できます。

これらの機能を使用していない場合は、これらのオブジェクトのシークレットを作成しないでください。使用していないテクノロジープレビュー機能のシークレットを作成すると、インストールが失敗する可能性があります。
これらの機能のいずれかを使用している場合は、対応するオブジェクトのシークレットを作成する必要があります。

TechPreviewNoUpgrade アノテーションを持つ CredentialsRequest オブジェクトを見つけるには、次のコマンドを実行します。

grep "release.openshift.io/feature-gate" *

$ grep "release.openshift.io/feature-gate" *

Copy to Clipboard

Toggle word wrap

出力例

0000_30_capi-operator_00_credentials-request.yaml:  release.openshift.io/feature-gate: TechPreviewNoUpgrade

0000_30_capi-operator_00_credentials-request.yaml:  release.openshift.io/feature-gate: TechPreviewNoUpgrade

Copy to Clipboard

Toggle word wrap

インストールプログラムが含まれるディレクトリーから、クラスターの作成に進みます。
```
openshift-install create cluster --dir <installation_directory>
```
```
$ openshift-install create cluster --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
重要
手動でメンテナンスされる認証情報を使用するクラスターをアップグレードする前に、CCO がアップグレード可能な状態であることを確認します。

6.3.3. 次のステップ
リンクのコピー

OpenShift Container Platform クラスターをインストールします。
- インストーラーでプロビジョニングされるインフラストラクチャーのデフォルトオプションを使用したクラスターの Azure へのクイックインストール
- インストーラーでプロビジョニングされるインフラストラクチャーへのクラウドのカスタマイズを使用したクラスターのインストール
- インストーラーでプロビジョニングされるインフラストラクチャーへのネットワークのカスタマイズを使用したクラスターのインストール

トップに戻る

6.3. Azure の IAM の手動作成

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

6.3.2. IAM の手動作成
リンクのコピー

6.3.3. 次のステップ
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3. Azure の IAM の手動作成

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法リンクのコピーリンクがクリップボードにコピーされました!

6.3.2. IAM の手動作成リンクのコピーリンクがクリップボードにコピーされました!

6.3.3. 次のステップリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

6.3.2. IAM の手動作成
リンクのコピー

6.3.3. 次のステップ
リンクのコピー