Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.7. ccoctl ツールを使用した OpenShift Container Platform コンポーネントのクレデンシャルの作成

OpenShift Container Platform Cloud Credential Operator (CCO) ユーティリティーを使用して、Alibaba Cloud RAM ユーザーとクラスター内コンポーネントごとのポリシーの作成を自動化できます。

注記

デフォルトで、ccoctl はコマンドが実行されるディレクトリーにオブジェクトを作成します。オブジェクトを別のディレクトリーに作成するには、--output-dir フラグを使用します。この手順では、<path_to_ccoctl_output_dir> を使用してこの場所を参照します。

前提条件

以下が必要になります。

  • ccoctl バイナリーを抽出して準備している。
  • OpenShift Container Platform クラスターを作成するための十分な権限を持つ RAM ユーザーを作成している。
  • その RAM ユーザーの AccessKeyID (access_key_id) と AccessKeySecret (access_key_secret) をローカルコンピューターの ~/.alibabacloud/credentials ファイル に追加しました。

手順

  1. 以下のコマンドを実行して、$RELEASE_IMAGE 変数を設定します。 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
    Copy to Clipboard Toggle word wrap

  2. 以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CredentialsRequest オブジェクトのリストを抽出します。 

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --cloud=alibabacloud \
  --to=<path_to_directory_with_list_of_credentials_requests>/credrequests
    1
    Copy to Clipboard Toggle word wrap
    1
    credrequests は、CredentialsRequest オブジェクトのリストが格納されるディレクトリーです。ディレクトリーが存在しない場合、このコマンドはディレクトリーを作成します。
    注記

    このコマンドの実行には少し時間がかかる場合があります。

  3. クラスターでクラスター機能を使用して 1 つ以上のオプションコンポーネントを無効にする場合は、無効なコンポーネントの CredentialsRequest カスタムリソースを削除します。

    Alibaba Cloud 上の OpenShift Container Platform 4.12 の credrequests ディレクトリーの内容の例

    0000_30_machine-api-operator_00_credentials-request.yaml
    1 
    
0000_50_cluster-image-registry-operator_01-registry-credentials-request-alibaba.yaml
    2 
    
0000_50_cluster-ingress-operator_00-ingress-credentials-request.yaml
    3 
    
0000_50_cluster-storage-operator_03_credentials_request_alibaba.yaml
    4
    Copy to Clipboard Toggle word wrap

    1
    Machine API Operator CR が必要です。
    2
    Image Registry Operator CR が必要です。
    3
    Ingress Operator CR が必要です。
    4
    Storage Operator CR はオプションのコンポーネントであり、クラスターで無効になっている場合があります。

  4. ccoctl ツールを使用して、credrequests ディレクトリーですべての CredentialsRequest オブジェクトを処理します。

    1. ツールを使用するには、次のコマンドを実行します。 

      $ ccoctl alibabacloud create-ram-users \
  --name <name> \
  --region=<alibaba_region> \
  --credentials-requests-dir=<path_to_directory_with_list_of_credentials_requests>/credrequests \
  --output-dir=<path_to_ccoctl_output_dir>
      Copy to Clipboard Toggle word wrap

      ここで、

      • <name> は、追跡用に作成されたクラウドリソースにタグを付けるために使用される名前です。
      • <alibaba_region> は、クラウドリソースが作成される Alibaba Cloud リージョンです。
      • <path_to_directory_with_list_of_credentials_requests>/credrequests は、コンポーネント CredentialsRequest オブジェクトのファイルを含むディレクトリーです。
      • <path_to_ccoctl_output_dir> は、生成されたコンポーネントクレデンシャルシークレットが配置されるディレクトリーです。
      注記

      クラスターで TechPreviewNoUpgrade 機能セットによって有効化されたテクノロジープレビュー機能を使用している場合は、--enable-tech-preview パラメーターを含める必要があります。

      出力例

      2022/02/11 16:18:26 Created RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:27 Ready for creating new ram policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy
2022/02/11 16:18:27 RAM policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has created
2022/02/11 16:18:28 Policy user1-alicloud-openshift-machine-api-alibabacloud-credentials-policy-policy has attached on user user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Created access keys for RAM User: user1-alicloud-openshift-machine-api-alibabacloud-credentials
2022/02/11 16:18:29 Saved credentials configuration to: user1-alicloud/manifests/openshift-machine-api-alibabacloud-credentials-credentials.yaml
...
      Copy to Clipboard Toggle word wrap

      注記

      RAM ユーザーは、同時に最大 2 つの AccessKey を持つことができます。ccoctl alibabacloud create-ram-users を 3 回以上実行すると、以前に生成されたマニフェストシークレットが古くなり、新しく生成されたシークレットを再適用する必要があります。

    2. OpenShift Container Platform シークレットが作成されていることを確認します。 

      $ ls <path_to_ccoctl_output_dir>/manifests
      Copy to Clipboard Toggle word wrap

      出力例:

      openshift-cluster-csi-drivers-alibaba-disk-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-alibabacloud-credentials-credentials.yaml
      Copy to Clipboard Toggle word wrap

      RAM ユーザーとポリシーが Alibaba Cloud にクエリーを実行して作成されていることを確認できます。詳細については、RAM ユーザーとポリシーのリスト表示に関する Alibaba Cloud のドキュメントを参照してください。

  5. 生成されたクレデンシャルファイルをターゲットマニフェストディレクトリーにコピーします。 

    $ cp ./<path_to_ccoctl_output_dir>/manifests/*credentials.yaml ./<path_to_installation>dir>/manifests/
    Copy to Clipboard Toggle word wrap

    ここで、

    <path_to_ccoctl_output_dir>
    ccoctl alibabacloud create-ram-users コマンドによって作成されるディレクトリーを指定します。
    <path_to_installation_dir>
    インストールプログラムがファイルを作成するディレクトリーを指定します。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat