ホーム
製品
OpenShift Container Platform
4.16
Azure へのインストール
8.9. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

8.9. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

デフォルトでは、管理者のシークレットは kube-system プロジェクトに保存されます。install-config.yaml ファイルの credentialsMode パラメーターを Manual に設定した場合は、次のいずれかの代替手段を使用する必要があります。

長期クラウド認証情報を手動で管理するには、長期認証情報を手動で作成するの手順に従ってください。
クラスターの外部で管理される短期認証情報を個々のコンポーネントに対して実装するには、短期認証情報を使用するように Azure クラスターを設定するの手順に従ってください。

8.9.1. 長期認証情報を手動で作成する
リンクのコピー

Cloud Credential Operator (CCO) は、クラウドアイデンティティーおよびアクセス管理 (IAM) API に到達できない環境にインストールする前に手動モードに配置できます。管理者はクラスター kube-system namespace に管理者レベルの認証情報シークレットを保存しないようにします。

手順

install-config.yaml 設定ファイルの credentialsMode パラメーターを Manual に設定しなかった場合は、次のように値を変更します。
設定ファイルのサンプルスニペット
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
Copy to Clipboard Toggle word wrap
インストールマニフェストファイルをまだ作成していない場合は、次のコマンドを実行して作成します。
```
openshift-install create manifests --dir <installation_directory>
```
```
$ openshift-install create manifests --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
次のコマンドを実行して、インストールファイルのリリースイメージを $RELEASE_IMAGE 変数に設定します。
```
RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CredentialsRequest カスタムリソース (CR) のリストを抽出します。

oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \
  --to=<path_to_directory_for_credentials_requests>

$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \


  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \


  --to=<path_to_directory_for_credentials_requests>

Copy to Clipboard

Toggle word wrap

1: --included パラメーターには、特定のクラスター設定に必要なマニフェストのみが含まれます。
2: install-config.yaml ファイルの場所を指定します。
3: CredentialsRequest オブジェクトを保存するディレクトリーへのパスを指定します。指定したディレクトリーが存在しない場合は、このコマンドによって作成されます。

このコマンドにより、それぞれの CredentialsRequest オブジェクトに YAML ファイルが作成されます。

サンプル CredentialsRequest オブジェクト

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

Copy to Clipboard

Toggle word wrap

以前に生成した openshift-install マニフェストディレクトリーにシークレットの YAML ファイルを作成します。シークレットは、それぞれの CredentialsRequest オブジェクトについて spec.secretRef に定義される namespace およびシークレット名を使用して保存する必要があります。

シークレットを含む CredentialsRequest オブジェクトのサンプル

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component_credentials_request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component_secret>
    namespace: <component_namespace>
  ...

Copy to Clipboard

Toggle word wrap

サンプル Secret オブジェクト

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

apiVersion: v1
kind: Secret
metadata:
  name: <component_secret>
  namespace: <component_namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

Copy to Clipboard

Toggle word wrap

重要

手動でメンテナンスされる認証情報を使用するクラスターをアップグレードする前に、CCO がアップグレード可能な状態であることを確認します。

8.9.2. 短期認証情報を使用するように Azure クラスターを設定する
リンクのコピー

Microsoft Entra Workload ID を使用するクラスターをインストールするには、Cloud Credential Operator ユーティリティーを設定し、クラスターに必要な Azure リソースを作成する必要があります。

8.9.2.1. Cloud Credential Operator ユーティリティーの設定
リンクのコピー

Cloud Credential Operator (CCO) が手動モードで動作しているときにクラスターの外部からクラウドクレデンシャルを作成および管理するには、CCO ユーティリティー (ccoctl) バイナリーを抽出して準備します。

注記

ccoctl ユーティリティーは、Linux 環境で実行する必要がある Linux バイナリーです。

前提条件

クラスター管理者のアクセスを持つ OpenShift Container Platform アカウントを使用できる。
OpenShift CLI (oc) がインストールされている。

次の権限で使用する ccoctl ユーティリティー用のグローバル Microsoft Azure アカウントが作成されました。
例8.3 必要な Azure 権限
- Microsoft.Resources/subscriptions/resourceGroups/read
- Microsoft.Resources/subscriptions/resourceGroups/write
- Microsoft.Resources/subscriptions/resourceGroups/delete
- Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleDefinitions/read
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Storage/storageAccounts/listkeys/action
- Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
- Microsoft.Storage/storageAccounts/write
- Microsoft.Storage/storageAccounts/blobServices/containers/write
- Microsoft.Storage/storageAccounts/blobServices/containers/delete
- Microsoft.Storage/storageAccounts/blobServices/containers/read
- Microsoft.ManagedIdentity/userAssignedIdentities/delete
- Microsoft.ManagedIdentity/userAssignedIdentities/read
- Microsoft.ManagedIdentity/userAssignedIdentities/write
- Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read
- Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write
- Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete
- Microsoft.Storage/register/action
- Microsoft.ManagedIdentity/register/action

手順

次のコマンドを実行して、OpenShift Container Platform リリースイメージの変数を設定します。
```
RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
Copy to Clipboard Toggle word wrap
以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CCO コンテナーイメージを取得します。
```
CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
```
$ CCO_IMAGE=$(oc adm release info --image-for='cloud-credential-operator' $RELEASE_IMAGE -a ~/.pull-secret)
```
Copy to Clipboard Toggle word wrap
注記
$RELEASE_IMAGE のアーキテクチャーが、ccoctl ツールを使用する環境のアーキテクチャーと一致していることを確認してください。
以下のコマンドを実行して、OpenShift Container Platform リリースイメージ内の CCO コンテナーイメージから ccoctl バイナリーを抽出します。
```
oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \
  -a ~/.pull-secret
```
```
$ oc image extract $CCO_IMAGE \
  --file="/usr/bin/ccoctl.<rhel_version>" \
```
1
```
  -a ~/.pull-secret
```
Copy to Clipboard Toggle word wrap
1
<rhel_version> には、ホストが使用する Red Hat Enterprise Linux (RHEL) のバージョンに対応する値を指定します。値が指定されていない場合は、デフォルトで ccoctl.rhel8 が使用されます。次の値が有効です。
rhel8: RHEL 8 を使用するホストの場合はこの値を指定します。
rhel9: RHEL 9 を使用するホストの場合はこの値を指定します。
次のコマンドを実行して、権限を変更して ccoctl を実行可能にします。
```
chmod 775 ccoctl.<rhel_version>
```
```
$ chmod 775 ccoctl.<rhel_version>
```
Copy to Clipboard Toggle word wrap

検証

ccoctl が使用できることを確認するには、help ファイルを表示します。コマンドを実行するときは、相対ファイル名を使用します。以下に例を示します。

./ccoctl.rhel9

$ ./ccoctl.rhel9

Copy to Clipboard

Toggle word wrap

出力例

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

OpenShift credentials provisioning tool

Usage:
  ccoctl [command]

Available Commands:
  aws          Manage credentials objects for AWS cloud
  azure        Manage credentials objects for Azure
  gcp          Manage credentials objects for Google cloud
  help         Help about any command
  ibmcloud     Manage credentials objects for IBM Cloud
  nutanix      Manage credentials objects for Nutanix

Flags:
  -h, --help   help for ccoctl

Use "ccoctl [command] --help" for more information about a command.

Copy to Clipboard

Toggle word wrap

8.9.2.2. Cloud Credential Operator ユーティリティーを使用した Azure リソースの作成
リンクのコピー

ccoctl azure create-all コマンドを使用して、Azure リソースの作成を自動化できます。

注記

デフォルトで、ccoctl はコマンドが実行されるディレクトリーにオブジェクトを作成します。オブジェクトを別のディレクトリーに作成するには、--output-dir フラグを使用します。この手順では、<path_to_ccoctl_output_dir> を使用してこの場所を参照します。

前提条件

以下が必要になります。

ccoctl バイナリーを抽出して準備している。
Azure CLI を使用して Microsoft Azure アカウントにアクセスします。

手順

次のコマンドを実行して、インストールファイルのリリースイメージを $RELEASE_IMAGE 変数に設定します。
```
RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
```
$ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
```
Copy to Clipboard Toggle word wrap
以下のコマンドを実行して、OpenShift Container Platform リリースイメージから CredentialsRequest オブジェクトのリストを抽出します。
```
oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \
  --to=<path_to_directory_for_credentials_requests>
```
```
$ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --included \
```
1
```
  --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \
```
2
```
  --to=<path_to_directory_for_credentials_requests> 
```
3
Copy to Clipboard Toggle word wrap
1
--included パラメーターには、特定のクラスター設定に必要なマニフェストのみが含まれます。
2
install-config.yaml ファイルの場所を指定します。
3
CredentialsRequest オブジェクトを保存するディレクトリーへのパスを指定します。指定したディレクトリーが存在しない場合は、このコマンドによって作成されます。
注記
このコマンドの実行には少し時間がかかる場合があります。
ccoctl ユーティリティーが Azure 認証情報を自動的に検出できるようにするには、次のコマンドを実行して Azure CLI にログインします。
```
az login
```
```
$ az login
```
Copy to Clipboard Toggle word wrap
次のコマンドを実行し、ccoctl ツールを使用して CredentialsRequest オブジェクトをすべて処理します。
```
ccoctl azure create-all \
  --name=<azure_infra_name> \
  --output-dir=<ccoctl_output_dir> \
  --region=<azure_region> \
  --subscription-id=<azure_subscription_id> \
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
  --dnszone-resource-group-name=<azure_dns_zone_resource_group_name> \
  --tenant-id=<azure_tenant_id> \
  --network-resource-group-name <azure_resource_group>
```
```
$ ccoctl azure create-all \
  --name=<azure_infra_name> \
```
1
```
  --output-dir=<ccoctl_output_dir> \
```
2
```
  --region=<azure_region> \
```
3
```
  --subscription-id=<azure_subscription_id> \
```
4
```
  --credentials-requests-dir=<path_to_credentials_requests_directory> \
```
5
```
  --dnszone-resource-group-name=<azure_dns_zone_resource_group_name> \
```
6
```
  --tenant-id=<azure_tenant_id> \
```
7
```
  --network-resource-group-name <azure_resource_group> 
```
8
Copy to Clipboard Toggle word wrap
1
トラッキングに使用される、作成されたすべての Azure リソースのユーザー定義名を指定します。
2
オプション: ccoctl ユーティリティーがオブジェクトを作成するディレクトリーを指定します。デフォルトでは、ユーティリティーは、コマンドが実行されるディレクトリーにオブジェクトを作成します。
3
クラウドリソースが作成される Azure リージョンです。
4
使用する Azure サブスクリプション ID を指定します。
5
コンポーネント CredentialsRequest オブジェクトのファイルを含むディレクトリーを指定します。
6
クラスターのベースドメイン Azure DNS ゾーンを含むリソースグループの名前を指定します。
7
使用する Azure テナント ID を指定します。
8
オプション: 仮想ネットワークリソースグループがクラスターリソースグループと異なる場合は、それを指定します。
注記
クラスターで TechPreviewNoUpgrade 機能セットによって有効化されたテクノロジープレビュー機能を使用している場合は、--enable-tech-preview パラメーターを含める必要があります。
追加のオプションパラメーターとその使用方法の説明を表示するには、azure create-all --help コマンドを実行します。

検証

OpenShift Container Platform シークレットが作成されることを確認するには、<path_to_ccoctl_output_dir>/manifests ディレクトリーのファイルを一覧表示します。

ls <path_to_ccoctl_output_dir>/manifests

$ ls <path_to_ccoctl_output_dir>/manifests

Copy to Clipboard

Toggle word wrap

出力例

azure-ad-pod-identity-webhook-config.yaml
cluster-authentication-02-config.yaml
openshift-cloud-controller-manager-azure-cloud-credentials-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capz-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-disk-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-file-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-azure-cloud-credentials-credentials.yaml

azure-ad-pod-identity-webhook-config.yaml
cluster-authentication-02-config.yaml
openshift-cloud-controller-manager-azure-cloud-credentials-credentials.yaml
openshift-cloud-network-config-controller-cloud-credentials-credentials.yaml
openshift-cluster-api-capz-manager-bootstrap-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-disk-credentials-credentials.yaml
openshift-cluster-csi-drivers-azure-file-credentials-credentials.yaml
openshift-image-registry-installer-cloud-credentials-credentials.yaml
openshift-ingress-operator-cloud-credentials-credentials.yaml
openshift-machine-api-azure-cloud-credentials-credentials.yaml

Copy to Clipboard

Toggle word wrap

Azure をクエリーすることで、Microsoft Entra ID サービスアカウントが作成されていることを確認できます。詳細は、Entra ID サービスアカウントのリストに関する Azure ドキュメントを参照してください。

8.9.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込み
リンクのコピー

個々のコンポーネントに対してクラスターの外部で管理される短期セキュリティー認証情報を実装するには、Cloud Credential Operator ユーティリティー (ccoctl) が作成したマニフェストファイルを、インストールプログラムの正しいディレクトリーに移動する必要があります。

前提条件

クラスターをホストするクラウドプラットフォームでアカウントを設定した。
Cloud Credential Operator ユーティリティー (ccoctl) が設定されている。
ccoctl ユーティリティーを使用して、クラスターに必要なクラウドプロバイダーリソースを作成している。

手順

install-config.yaml 設定ファイルの credentialsMode パラメーターを Manual に設定しなかった場合は、次のように値を変更します。
設定ファイルのサンプルスニペット
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
```
apiVersion: v1
baseDomain: example.com
credentialsMode: Manual
# ...
```
Copy to Clipboard Toggle word wrap
既存のリソースグループを使用する代わりに、ccoctl ユーティリティーを使用して新しい Azure リソースグループを作成した場合は、次のように install-config.yaml の resourceGroupName パラメーターを変更します。
設定ファイルのサンプルスニペット
```
apiVersion: v1
baseDomain: example.com
# ...
platform:
  azure:
    resourceGroupName: <azure_infra_name> 
# ...
```
```
apiVersion: v1
baseDomain: example.com
# ...
platform:
  azure:
    resourceGroupName: <azure_infra_name> 
```
1
```
# ...
```
Copy to Clipboard Toggle word wrap
1
この値は、ccoctl azure create-all コマンドの --name 引数で指定された Azure リソースのユーザー定義名と一致する必要があります。
インストールマニフェストファイルをまだ作成していない場合は、次のコマンドを実行して作成します。
```
openshift-install create manifests --dir <installation_directory>
```
```
$ openshift-install create manifests --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
次のコマンドを実行して、ccoctl ユーティリティーが生成したマニフェストを、インストールプログラムが作成した manifests ディレクトリーにコピーします。
```
cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
```
$ cp /<path_to_ccoctl_output_dir>/manifests/* ./manifests/
```
Copy to Clipboard Toggle word wrap
秘密鍵を含む tls ディレクトリーをインストールディレクトリーにコピーします。
```
cp -a /<path_to_ccoctl_output_dir>/tls .
```
```
$ cp -a /<path_to_ccoctl_output_dir>/tls .
```
Copy to Clipboard Toggle word wrap

トップに戻る

8.9. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

8.9.1. 長期認証情報を手動で作成する
リンクのコピー

8.9.2. 短期認証情報を使用するように Azure クラスターを設定する
リンクのコピー

8.9.2.1. Cloud Credential Operator ユーティリティーの設定
リンクのコピー

8.9.2.2. Cloud Credential Operator ユーティリティーを使用した Azure リソースの作成
リンクのコピー

8.9.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込み
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.9. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法

8.9.1. 長期認証情報を手動で作成するリンクのコピーリンクがクリップボードにコピーされました!

8.9.2. 短期認証情報を使用するように Azure クラスターを設定するリンクのコピーリンクがクリップボードにコピーされました!

8.9.2.1. Cloud Credential Operator ユーティリティーの設定リンクのコピーリンクがクリップボードにコピーされました!

8.9.2.2. Cloud Credential Operator ユーティリティーを使用した Azure リソースの作成リンクのコピーリンクがクリップボードにコピーされました!

8.9.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込みリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.9.1. 長期認証情報を手動で作成する
リンクのコピー

8.9.2. 短期認証情報を使用するように Azure クラスターを設定する
リンクのコピー

8.9.2.1. Cloud Credential Operator ユーティリティーの設定
リンクのコピー

8.9.2.2. Cloud Credential Operator ユーティリティーを使用した Azure リソースの作成
リンクのコピー

8.9.2.3. Cloud Credential Operator ユーティリティーマニフェストの組み込み
リンクのコピー