ホーム
製品
OpenShift Container Platform
4.9
インストール
6.3. Azure Stack Hub の IAM の手動作成

6.3. Azure Stack Hub の IAM の手動作成

クラウドアイデンティティーおよびアクセス管理 (IAM) API に到達できない環境では、クラスターのインストール前に Cloud Credential Operator (CCO) を手動モードに配置する必要があります。

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

Cloud Credential Operator (CCO) は、クラウドプロバイダーの認証情報を Kubernetes カスタムリソース定義 (CRD) として管理します。credentialsMode パラメーターの異なる値を install-config.yaml ファイルに設定し、組織のセキュリティー要件に応じて CCO を設定できます。

6.3.2. IAM の手動作成
リンクのコピー

Cloud Credential Operator (CCO) は、手動モードのクラウドプロバイダーのみをサポートします。そのため、クラウドプロバイダーの ID およびアクセス管理 (IAM) シークレットを指定する必要があります。

手順

インストールプログラムが含まれるディレクトリーに切り替え、以下のコマンドを実行して install-config.yaml ファイルを作成します。
```
openshift-install create install-config --dir <installation_directory>
```
```
$ openshift-install create install-config --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
install-config.yaml 設定ファイルを編集し、credentialsMode パラメーターが Manual に設定されるようにします。
サンプル install-config.yaml 設定ファイル
```
apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 
compute:
- architecture: amd64
  hyperthreading: Enabled
...
```
```
apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual 
```
1
```
compute:
- architecture: amd64
  hyperthreading: Enabled
...
```
Copy to Clipboard Toggle word wrap
1
この行は、credentialsMode パラメーターを Manual に設定するために追加されます。
マニフェストを生成するには、インストールプログラムが含まれるディレクトリーから以下のコマンドを実行します。
```
openshift-install create manifests --dir <installation_directory>
```
```
$ openshift-install create manifests --dir <installation_directory>
```
Copy to Clipboard Toggle word wrap
ここで、<installation_directory> は、インストールプログラムがファイルを作成するディレクトリーに置き換えます。
インストールプログラムが含まれるディレクトリーから、以下のコマンドを実行して、openshift-install バイナリーがビルドされている OpenShift Container Platform リリースイメージの詳細を取得します。
```
openshift-install version
```
```
$ openshift-install version
```
Copy to Clipboard Toggle word wrap
出力例
```
release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64
```
```
release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64
```
Copy to Clipboard Toggle word wrap

以下のコマンドを実行して、デプロイするクラウドをターゲットとするリリースイメージですべての CredentialsRequest オブジェクトを見つけます。

oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 \
  --credentials-requests \
  --cloud=azure

$ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 \
  --credentials-requests \
  --cloud=azure

Copy to Clipboard

Toggle word wrap

このコマンドにより、それぞれの CredentialsRequest オブジェクトに YAML ファイルが作成されます。

サンプル CredentialsRequest オブジェクト

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
  ...

Copy to Clipboard

Toggle word wrap

以前に生成した openshift-install マニフェストディレクトリーにシークレットの YAML ファイルを作成します。シークレットは、それぞれの CredentialsRequest オブジェクトについて spec.secretRef に定義される namespace およびシークレット名を使用して保存する必要があります。

シークレットを含む CredentialsRequest オブジェクトのサンプル

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component-secret>
    namespace: <component-namespace>
  ...

apiVersion: cloudcredential.openshift.io/v1
kind: CredentialsRequest
metadata:
  name: <component-credentials-request>
  namespace: openshift-cloud-credential-operator
  ...
spec:
  providerSpec:
    apiVersion: cloudcredential.openshift.io/v1
    kind: AzureProviderSpec
    roleBindings:
    - role: Contributor
      ...
  secretRef:
    name: <component-secret>
    namespace: <component-namespace>
  ...

Copy to Clipboard

Toggle word wrap

サンプル Secret オブジェクト

apiVersion: v1
kind: Secret
metadata:
  name: <component-secret>
  namespace: <component-namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

apiVersion: v1
kind: Secret
metadata:
  name: <component-secret>
  namespace: <component-namespace>
data:
  azure_subscription_id: <base64_encoded_azure_subscription_id>
  azure_client_id: <base64_encoded_azure_client_id>
  azure_client_secret: <base64_encoded_azure_client_secret>
  azure_tenant_id: <base64_encoded_azure_tenant_id>
  azure_resource_prefix: <base64_encoded_azure_resource_prefix>
  azure_resourcegroup: <base64_encoded_azure_resourcegroup>
  azure_region: <base64_encoded_azure_region>

Copy to Clipboard

Toggle word wrap

重要

手動でメンテナンスされる認証情報を使用するクラスターをアップグレードする前に、CCO がアップグレード可能な状態であることを確認します。詳細は、クラウドプロバイダーのインストールコンテンツの手動でメンテナンスされる認証情報を使用したクラスターのアップグレードについてのセクションを参照してください。

6.3.3. 手動でメンテナンスされた認証情報を使用したクラスターのアップグレード
リンクのコピー

手動でメンテナンスされる認証情報をを含むクラスターの Cloud Credential Operator (CCO) の upgradable ステータスはデフォルトで false となります。

4.8 から 4.9 などのマイナーリリースの場合には、このステータスを使用することで、パーミッションを更新して CloudCredential リソースにアノテーションを付けてパーミッションが次のバージョンの要件に合わせて更新されていることを指定するまで、アップグレードができないようになります。このアノテーションは、Upgradable ステータスを True に変更します。
4.9.0 から 4.9.1 などの z-stream リリースの場合には、パーミッションは追加または変更されないため、アップグレードはブロックされません。

手動でメンテナンスされる認証情報でクラスターをアップグレードする前に、アップグレードするリリースイメージ用に認証情報を新規作成する必要があります。さらに、既存の認証情報に必要なパーミッションを確認し、これらのコンポーネントの新規リリースの新しいパーミッション要件に対応する必要があります。

手順

新規リリースの CredentialsRequest カスタムリソースを抽出して検査します。
クラウドプロバイダーのインストールコンテンツの IAM の手動作成についてのセクションでは、クラウドに必要な認証情報を取得し、使用する方法について説明します。
クラスターで手動でメンテナンスされる認証情報を更新します。
- 新規リリースイメージによって追加される CredentialsRequest カスタムリソースの新規のシークレットを作成します。
- シークレットに保存される既存の認証情報の CredentialsRequest カスタムリソースにパーミッション要件を変更した場合は、必要に応じてパーミッションを更新します。
新規リリースですべてのシークレットが正しい場合は、クラスターをアップグレードする準備が整っていることを示します。
1. cluster-admin ロールを持つユーザーとして OpenShift Container Platform CLI にログインします。
2. CloudCredential リソースを編集して、metadata フィールドに upgradeable-to アノテーションを追加します。
  $ oc edit cloudcredential cluster
  Copy to Clipboard Toggle word wrap
  追加するテキスト
  ... metadata: annotations: cloudcredential.openshift.io/upgradeable-to: <version_number> ...
  
  Copy to Clipboard Toggle word wrap
  ここで、<version_number> は、アップグレードするバージョン (x.y.z 形式) に置き換えます。例: OpenShift Container Platform 4.8.2 (OpenShift Container Platform 4.8.2 の場合)
  アノテーションを追加してから、upgradeable のステータスが変更されるまで、数分かかる場合があります。
CCO がアップグレードできることを確認します。
1. Web コンソールの Administrator パースペクティブで、Administration Cluster Settings に移動します。
2. CCO ステータスの詳細を表示するには、Cluster Operators 一覧で cloud-credential をクリックします。
3. Conditions セクションの Upgradeable ステータスが False の場合に、upgradeable-to アノテーションに間違いがないことを確認します。

Conditions セクションの Upgradeable ステータスが True の場合には、OpenShift Container Platform のアップグレードを開始できます。

6.3.4. 次のステップ
リンクのコピー

ARM テンプレートを使用した Azure Stack Hub へのクラスターのインストールに従い、ユーザーによってプロビジョニングされるインフラストラクチャーでの Azure Stack Hub に OpenShift Container Platform クラスターをインストールします。

トップに戻る

6.3. Azure Stack Hub の IAM の手動作成

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

6.3.2. IAM の手動作成
リンクのコピー

6.3.3. 手動でメンテナンスされた認証情報を使用したクラスターのアップグレード
リンクのコピー

6.3.4. 次のステップ
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3. Azure Stack Hub の IAM の手動作成

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法リンクのコピーリンクがクリップボードにコピーされました!

6.3.2. IAM の手動作成リンクのコピーリンクがクリップボードにコピーされました!

6.3.3. 手動でメンテナンスされた認証情報を使用したクラスターのアップグレードリンクのコピーリンクがクリップボードにコピーされました!

6.3.4. 次のステップリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3.1. 管理者レベルのシークレットを kube-system プロジェクトに保存する代替方法
リンクのコピー

6.3.2. IAM の手動作成
リンクのコピー

6.3.3. 手動でメンテナンスされた認証情報を使用したクラスターのアップグレード
リンクのコピー

6.3.4. 次のステップ
リンクのコピー