18.4. 手動モードの使用
手動モードは Amazon Web Services (AWS)、Microsoft Azure、および Google Cloud Platform (GCP) でサポートされます。
手動モードでは、ユーザーは Cloud Credential Operator (CCO) の代わりにクラウド認証情報を管理します。このモードを使用するには、実行またはインストールしている OpenShift Container Platform バージョンのリリースイメージの CredentialsRequest
CR を検査し、基礎となるクラウドプロバイダーで対応する認証情報を作成し、クラスターのクラウドプロバイダーのすべての CredentialsRequest
CR に対応するために Kubernetes Secret を正しい namespace に作成する必要があります。
手動モードを使用すると、クラスターに管理者レベルの認証情報を保存する必要なく、各クラスターコンポーネントに必要なパーミッションのみを指定できます。このモードでは、AWS パブリック IAM エンドポイントへの接続も必要ありません。ただし、各アップグレードについて、パーミッションを新規リリースイメージを使用して手動で調整する必要があります。
手動モードを使用するようにクラウドプロバイダーを設定する方法についての詳細は、 AWS、Azure、または GCP の IAM の手動作成 について参照してください。
18.4.1. 手動でメンテナーンスされた認証情報を使用したクラスターのアップグレード
認証情報が今後のリリースで追加される場合、手動でメンテナーンスされる認証情報をを含むクラスターの Cloud Credential Operator (CCO) の upgradable
ステータスが false
に変更されます。4.6 から 4.7 などのマイナーリリースの場合、このステータスは、更新されたパーミッションが処理されるまでアップグレードを防ぎます。4.6.10 から 4.6.11{b> <b}などの z-stream リリースの場合、アップグレードはブロックされませんが、認証情報は新規リリースに対して依然として更新される必要があります。
Web コンソールの Administrator パースペクティブを使用して、CCO がアップグレード可能であるかどうかを判別します。
-
Administration
Cluster Settings に移動します。 - CCO ステータスの詳細を表示するには、Cluster Operators 一覧で cloud-credential をクリックします。
-
Conditions セクションの Upgradeable ステータスが False の場合、新規リリースの
CredentialsRequests
カスタムリソースを検査し、アップグレード前にクラスターで手動でメンテナーンスされる認証情報を一致するように更新します。
アップグレードするリリースイメージに新規の認証情報を作成するほかに、既存の認証情報に必要なパーミッションを確認し、新規リリースの既存コンポーネントに対する新しいパーミッション要件に対応する必要があります。CCO はこれらの不一致を検出できず、この場合、 upgradable
を false
に設定しません。
クラウドプロバイダーのインストールコンテンツの IAM の手動作成についてのセクションでは、クラウドに必要な認証情報を取得し、使用する方法について説明します。
18.4.2. AWS STS を使用した手動モード
AWS クラスターを手動モードで設定し、Amazon Web Services Secure Token Service (AWS STS) を使用するように設定できます。この設定では、CCO は異なるコンポーネントに一時的な認証情報を使用します。
Amazon Web Services Secure Token Service (AWS STS) のサポートはテクノロジープレビュー機能としてのみご利用いただけます。テクノロジープレビュー機能は Red Hat の実稼働環境でのサービスレベルアグリーメント (SLA) ではサポートされていないため、Red Hat では実稼働環境での使用を推奨していません。Red Hat は実稼働環境でこれらを使用することを推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。
Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。