3.2.2. 管理者の認証情報のルートシークレット形式
各クラウドプロバイダーは、kube-system namespace の認証情報ルートシークレットを使用します。これは、すべての認証情報要求を満たし、それぞれのシークレットを作成するために使用されます。これは、Mint モード で新規の認証情報を作成するか、または Passthrough モード で認証情報ルートシークレットをコピーして実行します。
シークレットの形式はクラウドごとに異なり、それぞれの CredentialsRequest シークレットにも使用されます。
Microsoft Azure シークレットの形式
apiVersion: v1 kind: Secret metadata: namespace: kube-system name: azure-credentials stringData: azure_subscription_id: <SubscriptionID> azure_client_id: <ClientID> azure_client_secret: <ClientSecret> azure_tenant_id: <TenantID> azure_resource_prefix: <ResourcePrefix> azure_resourcegroup: <ResourceGroup> azure_region: <Region>
Microsoft Azure では、認証情報シークレット形式には、それぞれのクラスターのインストールにランダムに生成されるクラスターのインフラストラクチャー ID が含まれる必要のある 2 つのプロパティーがあります。この値は、マニフェストの作成後に確認できます。
$ cat .openshift_install_state.json | jq '."*installconfig.ClusterID".InfraID' -r
出力例
mycluster-2mpcn
この値は、以下のようにシークレットデータで使用されます。
azure_resource_prefix: mycluster-2mpcn azure_resourcegroup: mycluster-2mpcn-rg
3.2.2.1. アップグレード
今後のリリースでは、Cloud Credential Operator の改善により、手動でメンテナーンスされる認証情報が今後のリリースのイメージの CredentialsRequest オブジェクトに一致するように更新されていないことが原因でアップグレードが失敗する可能性が生じる状況を避けることができます。
