スタートガイド

Red Hat OpenShift Service on AWS 4

クラスターおよびアカウントの設定

Red Hat OpenShift Documentation Team

概要

このドキュメントでは、Red Hat OpenShift Service on AWS (ROSA) クラスターを開始する方法を説明します。

第1章 Red Hat OpenShift Service on AWS クイックスタートガイド
リンクのコピー

注記

Red Hat OpenShift Service on AWS (ROSA) の包括的なスタートガイドをお探しの場合は、Red Hat OpenShift Service on AWS を開始するための包括的なガイドを参照してください。ROSA のインストールの詳細は、Red Hat OpenShift Service on AWS (ROSA) のインストールのインタラクティブな説明を参照してください。

このガイドに従って、Red Hat Hybrid Cloud Console の Red Hat OpenShift Cluster Manager を使用してすぐに Red Hat OpenShift Service on AWS (ROSA) クラスターの作成、ユーザーアクセスの許可、最初のアプリケーションのデプロイを行い、ユーザーアクセスを取り消してクラスターの削除する方法を学びます。

このドキュメントの手順では、AWS Security Token Service (STS) を使用するクラスターを作成できます。ROSA クラスターで AWS STS を使用する方法は、AWS Security Token Service の使用を参照してください。

1.1. 前提条件
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) の概要と、ROSA のアーキテクチャーモデルおよびアーキテクチャーの概念に関するドキュメントを確認した。
環境を計画するためのガイドラインに関するドキュメントを確認した。
STS を使用する ROSA の詳細な AWS の前提条件を確認した。
ROSA クラスターの実行に必要な AWS サービスクォータがある。

1.2. 環境の設定
リンクのコピー

ROSA (クラシック) クラスターを作成する前に、次のタスクを完了して環境をセットアップする必要があります。

AWS および Red Hat アカウントに対して ROSA の前提条件を確認します。
必要なコマンドラインインターフェイス (CLI) ツールをインストールして設定します。
CLI ツールの設定を確認します。

このセクションの手順に従って、これらの設定要件を完了できます。

ROSA の前提条件の確認

AWS アカウントで ROSA (クラシック) を有効にするには、この手順のステップを使用します。

前提条件

Red Hat アカウントを持っている。
AWS アカウントがある。
注記
専用の AWS アカウントを使用して実稼働クラスターを実行することを検討してください。AWS Organizations を使用している場合は、組織内の AWS アカウントを使用するか、アカウントを新規作成できます。

手順

AWS 管理コンソールにログインします。
ROSA service に移動します。
Get started をクリックします。
Verify ROSA prerequisites ページが開きます。
ROSA enablement の下で、緑色のチェックマークと You previously enabled ROSA が表示されていることを確認します。
そうでない場合は、次の手順に従います。
1. I agree to share my contact information with Red Hat の横にあるチェックボックスを選択します。
2. Enable ROSA をクリックします。
  少し待つと、緑色のチェックマークと You enabled ROSA メッセージが表示されます。
Service Quotas の下に、緑色のチェックと Your quotas meet the requirements for ROSA が表示されていることを確認します。
Your quotas don’t meet the minimum requirements と表示される場合は、エラーメッセージに記載されているクォータの種類と最小値をメモしてください。ガイダンスは、割り当て増加のリクエストに関する Amazon のドキュメントを参照してください。Amazon が割り当てリクエストを承認するまでに数時間かかる場合があります。
ELB service-linked role の下で、緑色のチェックマークと AWSServiceRoleForElasticLoadBalancing already exists が表示されていることを確認します。
Continue to Red Hat をクリックします。
Get started with Red Hat OpenShift Service on AWS (ROSA) ページが新しいタブで開きます。このページのステップ 1 はすでに完了しており、ステップ 2 に進むことができます。

必要な CLI ツールのインストールと設定

クラスターをデプロイして操作するには、コマンドラインインターフェイス (CLI) ツールが複数必要です。

前提条件

AWS アカウントがある。
Red Hat アカウントを持っている。

手順

必要な各ツールのダウンロードページにアクセスするには、Red Hat および AWS アカウントにログインします。
1. console.redhat.com で Red Hat アカウントにログインします。
2. aws.amazon.com で AWS アカウントにログインします。
最新の AWS CLI (aws) をインストールして設定します。
1. ワークステーションに適した AWS コマンドラインインターフェイスのドキュメントに従って、AWS CLI をインストールします。
2. .aws/credentials ファイルで aws_access_key_id、aws_secret_access_key、および region を指定して AWS CLI を設定します。詳細は、AWS ドキュメントの AWS 設定の基本を参照してください。
  注記
  オプションで AWS_DEFAULT_REGION 環境変数を使用して、デフォルトの AWS リージョンを設定できます。
3. AWS API をクエリーし、AWS CLI が適切にインストールおよび設定されているかどうかを確認します。
  $ aws sts get-caller-identity --output text
  Copy to Clipboard Toggle word wrap
  出力例
  <aws_account_id> arn:aws:iam::<aws_account_id>:user/<username> <aws_user_id>
  
  Copy to Clipboard Toggle word wrap
最新の ROSA CLI (rosa) をインストールし、設定します。
1. Downloads に移動します。
2. ツールのリストで Red Hat OpenShift Service on AWS command line interface (`rosa) を検索し、Download をクリックします。
  rosa-linux.tar.gz ファイルはデフォルトのダウンロード先にダウンロードされます。
3. ダウンロードしたアーカイブから rosa バイナリーファイルをデプロイメントします。以下の例は、Linux tar アーカイブからバイナリーをデプロイメントします。
  $ tar xvf rosa-linux.tar.gz
  Copy to Clipboard Toggle word wrap
4. rosa バイナリーファイルを実行パス内のディレクトリーに移動します。以下の例では、/usr/local/bin ディレクトリーがユーザーのパスに含まれます。
  $ sudo mv rosa /usr/local/bin/rosa
  Copy to Clipboard Toggle word wrap
5. rosa バージョンを照会して、ROSA CLI が正しくインストールされていることを確認します。
  $ rosa version
  Copy to Clipboard Toggle word wrap
  出力例
  1.2.47 Your ROSA CLI is up to date.
  
  Copy to Clipboard Toggle word wrap

オフラインアクセストークンを使用して ROSA CLI にログインします。

ログインコマンドを実行します。

rosa login

$ rosa login

Copy to Clipboard

Toggle word wrap

出力例

To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here:

To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here:

Copy to Clipboard

Toggle word wrap

コマンド出力にリストされている URL に移動して、オフラインアクセストークンを表示します。
ログインするには、コマンドラインプロンプトでオフラインアクセストークンを入力します。
```
? Copy the token and paste it here: *******************
[full token length omitted]
```
```
? Copy the token and paste it here: *******************
[full token length omitted]
```
Copy to Clipboard Toggle word wrap
注記
今後は、rosa login コマンドを実行するときに --token="<offline_access_token>" 引数を使用してオフラインアクセストークンを指定できます。

続行する前に、ログインしていることと認証情報が正しいことを確認してください。

rosa whoami

$ rosa whoami

Copy to Clipboard

Toggle word wrap

出力例

AWS Account ID:               <aws_account_number>
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
OCM API:                      https://api.openshift.com
OCM Account ID:               <red_hat_account_id>
OCM Account Name:             Your Name
OCM Account Username:         you@domain.com
OCM Account Email:            you@domain.com
OCM Organization ID:          <org_id>
OCM Organization Name:        Your organization
OCM Organization External ID: <external_org_id>

AWS Account ID:               <aws_account_number>
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
OCM API:                      https://api.openshift.com
OCM Account ID:               <red_hat_account_id>
OCM Account Name:             Your Name
OCM Account Username:         you@domain.com
OCM Account Email:            you@domain.com
OCM Organization ID:          <org_id>
OCM Organization Name:        Your organization
OCM Organization External ID: <external_org_id>

Copy to Clipboard

Toggle word wrap

最新の OpenShift CLI (oc) をインストールして設定します。
1. ROSA CLI を使用して oc CLI をダウンロードします。
  次のコマンドは、CLI の最新バージョンを現在の作業ディレクトリーにダウンロードします。
  $ rosa download openshift-client
  Copy to Clipboard Toggle word wrap
2. ダウンロードしたアーカイブから oc バイナリーファイルをデプロイメントします。以下の例は、Linux tar アーカイブからファイルをデプロイメントします。
  $ tar xvf openshift-client-linux.tar.gz
  Copy to Clipboard Toggle word wrap
3. oc バイナリーを実行パス内のディレクトリーに移動します。以下の例では、/usr/local/bin ディレクトリーがユーザーのパスに含まれます。
  $ sudo mv oc /usr/local/bin/oc
  Copy to Clipboard Toggle word wrap
4. oc CLI が正しくインストールされていることを確認します。
  $ rosa verify openshift-client
  Copy to Clipboard Toggle word wrap
  出力例
  I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.17.3
  
  Copy to Clipboard Toggle word wrap

1.3. デフォルトの自動モードを使用した AWS STS での ROSA クラスターの作成
リンクのコピー

Red Hat OpenShift Cluster Manager は、Red Hat OpenShift クラスターをインストール、変更、操作、アップグレードできる Red Hat Hybrid Cloud Console 上の管理対象サービスです。このサービスを使用すると、単一のダッシュボードから組織のクラスターをすべて操作できます。このドキュメントの手順では、OpenShift Cluster Manager の auto モードで、現在の AWS アカウントを使用して必要なアイデンティティーおよびアクセス管理 (IAM) リソースをすぐに作成します。必要なリソースには、アカウント全体の IAM ロールおよびポリシー、クラスター固有の Operator ロール、ならびに OpenID Connect (OIDC) ID プロバイダーが含まれます。

OpenShift Cluster Manager Hybrid Cloud Console で、STS を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターを作成する場合に、デフォルトのオプションを選択するとクラスターをすばやく作成できます。

OpenShift Cluster Manager Hybrid Cloud Console を使用して STS クラスターで ROSA をデプロイする前に、AWS アカウントを Red Hat 組織に関連付け、必要なアカウント全体の STS ロールおよびポリシーを作成する必要があります。

デフォルトのクラスター仕様の概要

デフォルトのインストールオプションを使用して、Red Hat OpenShift Service on AWS (ROSA) with Hosted Control Plane (HCP) をすばやく作成できます。次の要約では、デフォルトのクラスター仕様を説明します。

Expand

表1.1 STS クラスター仕様のデフォルト ROSA
コンポーネント	デフォルトの仕様
アカウントおよびロール	デフォルトの IAM ロールの接頭辞: `ManagedOpenShift` デフォルトの IAM ロールの接頭辞: `HCP-ROSA`
クラスター設定	デフォルトのクラスターバージョン: 最新 Red Hat OpenShift Cluster Manager Hybrid Cloud Console を使用したインストール用のデフォルトの AWS リージョン: us-east-1 (US East, North Virginia) ROSA CLI (`rosa`) を使用したインストールのデフォルトの AWS リージョン: `aws` CLI 設定によって定義されます。デフォルトの EC2 IMDS エンドポイント (v1 と v2 の両方) が有効になっています可用性: データプレーンの単一ゾーンユーザー定義プロジェクトの監視: 有効クラスター管理者ロールは作成されない
コントロールプレーンノードの設定	コントロールプレーンノードのインスタンスタイプ: m5.2xlarge (8 vCPU, 32 GiB RAM) コントロールプレーンノード数: 3
コンピュートノードマシンプール	コンピュートノードインスタンスタイプ: m5.xlarge (4 vCPU 16, GiB RAM) コンピュートノード数: 2 自動スケーリング: 無効追加のノードラベルなし
ネットワーク設定	クラスターのプライバシー: パブリック独自の Virtual Private Cloud (VPC) を設定しておく必要があります。クラスター全体のプロキシーは設定されていません。
Classless Inter-Domain Routing (CIDR) の範囲	Machine CIDR: 10.0.0.0/16 Service CIDR: 172.30.0.0/16 Pod CIDR: 10.128.0.0/14 Host prefix: /23 注記静的 IP アドレス `172.20.0.1` は、内部 Kubernetes API アドレス用に予約されています。マシン、Pod、およびサービスの CIDR 範囲は、この IP アドレスと競合してはなりません。
クラスターのロールおよびポリシー	Operator ロールおよび OpenID Connect (OIDC) プロバイダーの作成に使用されるモード: `auto` 注記 Hybrid Cloud Console で OpenShift Cluster Manager を使用してインストールする場合、`auto` モードには管理者権限が割り当てられた OpenShift Cluster Manager ロール (ocm-role) が必要です。デフォルトの Operator ロールの接頭辞: `<cluster_name>-<4_digit_random_string>`
ストレージ	ノードボリューム: タイプ: AWS EBS GP3 デフォルトサイズ: 300 GiB (作成時に調整可能) ワークロード永続ボリューム: デフォルトの StorageClass: gp3-csi プロビジョナー: ebs.csi.aws.com 動的永続ボリュームのプロビジョニング
クラスター更新戦略	個別の更新ノードドレインの 1 時間の猶予期間

AWS アカウントの関連付けについて

Red Hat Hybrid Cloud Console で Red Hat OpenShift Cluster Manager を使用して、AWS Security Token Service (STS) を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターを作成する前に、AWS アカウントを Red Hat 組織に関連付ける必要があります。。次の IAM ロールを作成してリンクすることで、アカウントを関連付けることができます。

OpenShift Cluster Manager ロール

OpenShift Cluster Manager IAM ロールを作成し、Red Hat 組織にリンクします。

基本権限または管理権限を OpenShift Cluster Manager ロールに適用できます。基本パーミッションにより、OpenShift Cluster Manager を使用したクラスターのメンテナンスが可能になります。管理パーミッションにより、OpenShift Cluster Manager を使用して、クラスター固有の Operator ロールおよび OpenID Connect (OIDC) プロバイダーの自動デプロイが可能になります。

User role

ユーザー IAM ロールを作成し、Red Hat ユーザーアカウントにリンクします。Red Hat ユーザーアカウントは、OpenShift Cluster Manager ロールにリンクされている Red Hat 組織に存在する必要があります。

ユーザーロールは、OpenShift Cluster Manager Hybrid Cloud Console を使用してクラスターと必要な STS リソースをインストールするときに、お客様の AWS アイデンティティーを検証するために Red Hat によって使用されます。

AWS アカウントを Red Hat 組織に関連付ける

Red Hat Hybrid Cloud Console で Red Hat OpenShift Cluster Manager を使用して、AWS Security Token Service (STS) を使用する ROSA (クラシック) クラスターを作成する前に、OpenShift Cluster Manager IAM ロールを作成し、それを Red Hat 組織にリンクします。次に、ユーザー IAM ロールを作成し、同じ Red Hat 組織内の Red Hat ユーザーアカウントにリンクします。

手順

OpenShift Cluster Manager ロールを作成し、Red Hat 組織にリンクします。
注記
OpenShift Cluster Manager Hybrid Cloud Console を使用してクラスター固有の Operator ロールと OpenID Connect (OIDC) プロバイダーの自動デプロイを有効にするには、ROSA クラスターの作成の アカウントとロール の手順で、Admin OCM role コマンドを選択して、ロールに管理権限を適用する必要があります。OpenShift Cluster Manager ロールの基本権限および管理権限の詳細は、AWS アカウントの関連付けについて を参照してください。
注記
OpenShift Cluster Manager Hybrid Cloud Console で ROSA クラスターを作成する アカウントとロール の手順で Basic OCM role コマンドを選択した場合は、手動モードを使用して ROSA クラスターをデプロイする必要があります。後のステップで、クラスター固有の Operator ロールと OpenID Connect (OIDC) プロバイダーを設定するように求められます。
```
rosa create ocm-role
```
```
$ rosa create ocm-role
```
Copy to Clipboard Toggle word wrap
ロールをすばやく作成してリンクするには、プロンプトでデフォルト値を選択します。
ユーザーロールを作成し、Red Hat ユーザーアカウントにリンクします。
```
rosa create user-role
```
```
$ rosa create user-role
```
Copy to Clipboard Toggle word wrap
ロールをすばやく作成してリンクするには、プロンプトでデフォルト値を選択します。
注記
Red Hat ユーザーアカウントは、OpenShift Cluster Manager ロールにリンクされている Red Hat 組織に存在する必要があります。

アカウント全体の STS ロールおよびポリシーの作成

Red Hat Hybrid Cloud Console を使用して AWS Security Token Service (STS) を使用する ROSA (クラシック) クラスターを作成する前に、Operator ポリシーを含む、必要なアカウント全体の STS ロールとポリシーを作成します。

手順

ロールとポリシーが AWS アカウントに存在しない場合は、必要なアカウント全体の AWS IAM STS ロールとポリシーを作成します。
```
rosa create account-roles
```
```
$ rosa create account-roles
```
Copy to Clipboard Toggle word wrap
プロンプトでデフォルト値を選択して、ロールとポリシーをすばやく作成します。

OpenShift Cluster Manager を使用してデフォルトオプションでクラスターを作成する

Red Hat Hybrid Cloud Console で Red Hat OpenShift Cluster Manager を使用して、AWS Security Token Service (STS) を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターを作成する場合、クラスターを迅速に作成するためのデフォルトのオプションを選択できます。管理 OpenShift Cluster Manager IAM ロールを使用して、クラスター固有の Operator ロールおよび OpenID Connect (OIDC) プロバイダーの自動デプロイメントを有効にすることもできます。

手順

OpenShift Cluster Manager に移動し、Create cluster を選択します。
Create an OpenShift cluster ページの Red Hat OpenShift Service on AWS (ROSA) 行で Create cluster を選択します。
AWS アカウント ID が Associated AWS accounts ドロップダウンメニューに表示されていること、およびインストーラー、サポート、ワーカー、およびコントロールプレーンのアカウントロールの Amazon Resource Names (ARN) が Accounts and roles ページに表示されていることを確認します。
注記
AWS アカウント ID が表示されていない場合は、AWS アカウントが Red Hat 組織に正常に関連付けられていることを確認してください。アカウントロール ARN が表示されていない場合は、必要なアカウント全体の STS ロールが AWS アカウントに存在することを確認してください。
Next をクリックします。
Cluster details ページで、Cluster name フィールドにクラスターの名前を入力します。残りのフィールドはデフォルト値のままにして、Next をクリックします。
注記
クラスターを作成すると、openshiftapps.com にプロビジョニングされたクラスターのサブドメインとしてドメイン接頭辞が生成されます。クラスター名が 15 文字以下の場合は、その名前がドメイン接頭辞に使用されます。クラスター名が 15 文字を超える場合、ドメイン接頭辞は 15 文字の文字列としてランダムに生成されます。サブドメインをカスタマイズするには、Create custom domain prefix チェックボックスをオンにし、Domain prefix フィールドにドメイン接頭辞名を入力します。
クラスターをすばやくデプロイするには、Cluster settings、Networking、Cluster roles and policies、および Cluster updates ページのデフォルトのオプションをそのままにして、各ページで Next をクリックします。
Review your ROSA cluster 確認ページで、選択内容の概要を確認し、Create cluster をクリックしてインストールを開始します。
オプション: Overview タブで、Delete Protection: Disabled のすぐ下にある Enable を選択して、削除保護機能を有効にできます。これにより、クラスターが削除されなくなります。削除保護を無効にするには、Disable を選択します。デフォルトでは、クラスターは削除保護機能が無効になった状態で作成されます。
検証
- クラスターの概要ページでインストールの進行状況を確認できます。同じページでインストールのログを表示できます。そのページの Details セクションの Status が Ready として表示されると、クラスターは準備が完了した状態になります。
  注記
  インストールが失敗するか、約 40 分経ってもクラスターの状態が Ready に変わらない場合は、インストールのトラブルシューティングのドキュメントで詳細を確認してください。詳細は、インストールのトラブルシューティング を参照してください。Red Hat サポートにサポートを依頼する手順は、Red Hat OpenShift Service on AWS のサポートを受ける を参照してください。

1.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成
リンクのコピー

アイデンティティープロバイダーを設定する前に、cluster-admin 権限のあるユーザーを作成して、Red Hat OpenShift Service on AWS (ROSA) クラスターへすぐにアクセスできるようにします。

注記

クラスター管理者ユーザーは、新たにデプロイされたクラスターにすぐアクセスが必要な場合に役立ちます。ただし、アイデンティティープロバイダーを設定し、必要に応じてクラスター管理者権限をアイデンティティープロバイダーユーザーに付与することを検討してください。ROSA クラスターのアイデンティティープロバイダーの設定の詳細は、アイデンティティープロバイダーの設定およびクラスターのアクセスの付与 を参照してください。

手順

クラスター管理者ユーザーを作成します。

rosa create admin --cluster=<cluster_name>

$ rosa create admin --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster '<cluster_name>'.
I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
I: To login, run the following command:

   oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J

I: It may take up to a minute for the account to become active.

W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster '<cluster_name>'.
I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
I: To login, run the following command:

   oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J

I: It may take up to a minute for the account to become active.

Copy to Clipboard

Toggle word wrap

注記

cluster-admin ユーザーがアクティブになるまで約 1 分かかる場合があります。

関連情報

ROSA Web コンソールにログインする手順は、Web コンソールを使用したクラスターへのアクセスを参照してください。

1.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) には、ビルトイン OAuth サーバーが含まれます。ROSA クラスターの作成後に、OAuth をアイデンティティープロバイダーを使用するように設定する必要があります。その後、メンバーを設定済みのアイデンティティープロバイダーに追加して、クラスターへのアクセス権限を付与できます。

また、必要に応じて、アイデンティティープロバイダーユーザーに cluster-admin 権限または dedicated-admin 権限を付与することもできます。

アイデンティティープロバイダーの設定

Red Hat OpenShift Service on AWS (ROSA) クラスターにさまざまなアイデンティティープロバイダータイプを設定できます。サポート対象のタイプには、GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect、htpasswd アイデンティティープロバイダーが含まれます。

重要

htpasswd ID プロバイダーオプションは、単一の静的管理ユーザーを作成できるようにするためだけに含まれています。htpasswd は、Red Hat OpenShift Service on AWS の汎用 ID プロバイダーとしてはサポートされていません。

以下の手順では、例として GitHub アイデンティティープロバイダーを設定します。

手順

github.com に移動し、GitHub アカウントにログインします。
ROSA クラスターのアイデンティティープロビジョニングに使用する既存の GitHub 組織がない場合は、これを作成します。GitHub ドキュメントの手順に従います。

GitHub 組織のメンバーに限定するように、クラスターの GitHub アイデンティティープロバイダーを設定します。

インタラクティブモードを使用してアイデンティティープロバイダーを設定します。

rosa create idp --cluster=<cluster_name> --interactive

$ rosa create idp --cluster=<cluster_name> --interactive

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <github_org_name> 
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
  - Click on 'Register application'
...

I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <github_org_name>


? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
  - Click on 'Register application'
...

Copy to Clipboard

Toggle word wrap

1: <github_org_name> は、GitHub 組織の名前に置き換えます。

出力された URL に従い、Register application を選択すると、GitHub の組織に新しい OAuth アプリケーションが登録されます。アプリケーションを登録することで、ROSA に内蔵されている OAuth サーバーが GitHub 組織のメンバーをクラスターに認証することができるようになります。
注記
Register a new OAuth application GitHub フォームのフィールドには、ROSA CLI ツールで定義された URL を介して、必要な値が自動的に入力されます。

GitHub OAuth アプリケーションページの情報を使用して、残りの rosa create idp の対話式プロンプトを設定します。

出力例 (続き)

...
? Client ID: <github_client_id> 
? Client Secret: [? for help] <github_client_secret> 
? GitHub Enterprise Hostname (optional):
? Mapping method: claim 
I: Configuring IDP for cluster '<cluster_name>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.

...
? Client ID: <github_client_id>


? Client Secret: [? for help] <github_client_secret>


? GitHub Enterprise Hostname (optional):
? Mapping method: claim


I: Configuring IDP for cluster '<cluster_name>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.

Copy to Clipboard

Toggle word wrap

1: <github_client_id> は、GitHub OAuth アプリケーションのクライアント ID に置き換えます。
2: <github_client_secret> は、GitHub OAuth アプリケーションのクライアントシークレットに置き換えます。
3: claim をマッピング方法として指定します。

注記

アイデンティティープロバイダー設定がアクティブになるまでに、約 2 分かかる場合があります。cluster-admin ユーザーを設定している場合は、oc get pods -n openshift-authentication --watch を実行して、更新された設定で OAuth Pod の再デプロイを確認できます。

以下のコマンドを実行して、アイデンティティープロバイダーが正しく設定されていることを確認します。

rosa list idps --cluster=<cluster_name>

$ rosa list idps --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

出力例

NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1

NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1

Copy to Clipboard

Toggle word wrap

関連情報

サポート対象の各アイデンティティープロバイダータイプを設定する詳細な手順は、STS のアイデンティティープロバイダーの設定を参照してください。

クラスターへのユーザーアクセスの付与

ユーザーアクセスを設定済みのアイデンティティープロバイダーに追加して、Red Hat OpenShift Service on AWS (ROSA) クラスターに付与できます。

ROSA クラスターに異なるタイプのアイデンティティープロバイダーを設定できます。以下の手順例では、クラスターへのアイデンティティープロビジョニング用に設定された GitHub 組織に、ユーザーを追加します。

手順

github.com に移動し、GitHub アカウントにログインします。
GitHub 組織への ROSA クラスターへのアクセスを必要とするユーザーを招待します。GitHub ドキュメントの組織に参加するようにユーザーを招待するの手順を実行してください。

ユーザーへの管理者権限の付与

ユーザーを設定済みのアイデンティティープロバイダーに追加した後に、Red Hat OpenShift Service on AWS (ROSA) クラスターの cluster-admin 権限または dedicated-admin 権限を付与できます。

手順

アイデンティティープロバイダーユーザーの cluster-admin 権限を設定するには、以下を実行します。
1. ユーザーに cluster-admin 権限を付与します。
  $ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>
  1
  Copy to Clipboard Toggle word wrap
  1
  <idp_user_name> および <cluster_name> は、アイデンティティープロバイダーのユーザーおよびクラスター名に置き換えます。
  出力例
  I: Granted role 'cluster-admins' to user '<idp_user_name>' on cluster '<cluster_name>'
  
  Copy to Clipboard Toggle word wrap
2. ユーザーが cluster-admins グループのメンバーとしてリスト表示されているかどうかを確認します。
  $ rosa list users --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  ID GROUPS <idp_user_name> cluster-admins
  
  Copy to Clipboard Toggle word wrap
アイデンティティープロバイダーユーザーに dedicated-admin 権限を設定するには、以下を実行します。
1. ユーザーに dedicated-admin 権限を付与します。
  $ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  I: Granted role 'dedicated-admins' to user '<idp_user_name>' on cluster '<cluster_name>'
  
  Copy to Clipboard Toggle word wrap
2. ユーザーが dedicated-admins グループのメンバーとしてリスト表示されているかどうかを確認します。
  $ rosa list users --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  ID GROUPS <idp_user_name> dedicated-admins
  
  Copy to Clipboard Toggle word wrap

1.6. Web コンソールを使用したクラスターへのアクセス
リンクのコピー

クラスター管理者ユーザーの作成後や、設定済みのアイデンティティープロバイダーへのユーザーの追加後に、Web コンソールを使用して Red Hat OpenShift Service on AWS (ROSA) クラスターにログインできます。

手順

クラスターのコンソール URL を取得します。

rosa describe cluster -c <cluster_name> | grep Console

$ rosa describe cluster -c <cluster_name> | grep Console

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

Copy to Clipboard

Toggle word wrap

前述の手順の出力にあるコンソール URL に移動し、ログインします。
- cluster-admin ユーザーを作成した場合は、指定した認証情報を使用してログインします。
- クラスターにアイデンティティープロバイダーを設定している場合は、Log in with… ダイアログでアイデンティティープロバイダー名を選択し、プロバイダーによって提示される認可要求を完了します。

1.7. Developer Catalog からのアプリケーションのデプロイ
リンクのコピー

Red Hat OpenShift Service on AWS Web コンソールの Developer Catalog からテストアプリケーションをデプロイし、ルートで公開できます。

前提条件

Red Hat Hybrid Cloud Console にログインしている。
Red Hat OpenShift Service on AWS クラスターを作成している。
クラスターにアイデンティティープロバイダーを設定している。
設定したアイデンティティープロバイダーにユーザーアカウントを追加している。

手順

OpenShift Cluster Manager の Cluster List ページに移動します。
表示するクラスターの横にあるオプションアイコン (⋮) をクリックします。
Open console をクリックします。
クラスターコンソールが新しいブラウザーウィンドウで開きます。設定済みのアイデンティティープロバイダーの認証情報を使用して Red Hat アカウントにログインします。
Administrator パースペクティブで、Home → Projects → Create Project の順に選択します。
プロジェクトの名前を入力し、必要に応じて Display Name および Description を追加します。
Create をクリックしてプロジェクトを作成します。
Developer パースペクティブに切り替え、+Add を選択します。選択した Project が、作成したプロジェクトであることを確認します。
Developer Catalog ダイアログで、All services を選択します。
Developer Catalog ページで、メニューから Languages → JavaScript を選択します。
Node.js をクリックし、次に Create をクリックして、Create Source-to-Image application ページを開きます。
注記
場合によっては、Clear All Filters をクリックして Node.js オプションを表示する必要があります。
Git セクションで Try sample をクリックします。
Name フィールドに一意の名前を追加します。この値を使用して、関連付けられたリソースに名前を付けます。
Deployment と Create a route が選択されていることを確認します。
Create をクリックしてアプリケーションをデプロイします。Pod のデプロイには数分かかります。
オプション: Node.js アプリケーションを選択してそのサイドバーを確認し、Topology ペインで Pod のステータスを確認します。nodejs ビルドが完了し、nodejs Pod が Running 状態になるまで待機してから続行します。
デプロイメントが完了したら、以下のような形式のアプリケーションのルート URL をクリックします。
```
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
```
```
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
```
Copy to Clipboard Toggle word wrap
ブラウザーの新しいタブが開き、以下のようなメッセージが表示されます。
```
Welcome to your Node.js application on OpenShift
```
```
Welcome to your Node.js application on OpenShift
```
Copy to Clipboard Toggle word wrap
オプション: アプリケーションを削除し、作成したリソースをクリーンアップします。
1. Administrator パースペクティブで、Home → Projects に移動します。
2. プロジェクトのアクションメニューをクリックし、Delete Project を選択します。

1.8. 管理者権限とユーザーアクセスの取り消し
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) CLI rosa を使用して、ユーザーから cluster-admin 権限または dedicated-admin 権限を取り消すことができます。

ユーザーからのクラスターアクセスを取り消すには、設定したアイデンティティープロバイダーからユーザーを削除する必要があります。

このセクションの手順に従って、ユーザーからの管理者権限またはクラスターアクセスを取り消すことができます。

ユーザーからの管理者権限の削除

このセクションの手順に従って、ユーザーから cluster-admin 権限または dedicated-admin 権限を取り消すことができます。

手順

アイデンティティープロバイダーユーザーから cluster-admin 権限を取り消すには、以下を実行します。

cluster-admin 権限を取り消します。

rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>

$ rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

1: <idp_user_name> および <cluster_name> は、アイデンティティープロバイダーのユーザーおよびクラスター名に置き換えます。

出力例

? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

Copy to Clipboard

Toggle word wrap

ユーザーが cluster-admins グループのメンバーとしてリスト表示されていないことを確認します。
```
rosa list users --cluster=<cluster_name>
```
```
$ rosa list users --cluster=<cluster_name>
```
Copy to Clipboard Toggle word wrap
出力例
```
W: There are no users configured for cluster '<cluster_name>'
```
```
W: There are no users configured for cluster '<cluster_name>'
```
Copy to Clipboard Toggle word wrap

アイデンティティープロバイダーユーザーから dedicated-admin 権限を取り消すには、以下を実行します。

dedicated-admin 特権を取り消します。

rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

出力例

? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

Copy to Clipboard

Toggle word wrap

ユーザーが dedicated-admins グループのメンバーとしてリスト表示されていないことを確認します。
```
rosa list users --cluster=<cluster_name>
```
```
$ rosa list users --cluster=<cluster_name>
```
Copy to Clipboard Toggle word wrap
出力例
```
W: There are no users configured for cluster '<cluster_name>'
```
```
W: There are no users configured for cluster '<cluster_name>'
```
Copy to Clipboard Toggle word wrap

クラスターへのユーザーアクセスの取り消し

アイデンティティープロバイダーを設定済みのアイデンティティープロバイダーから削除して、アイデンティティープロバイダーからクラスターへのアクセス権限を取り除くことができます。

ROSA クラスターに異なるタイプのアイデンティティープロバイダーを設定できます。以下の手順例では、クラスターへのアイデンティティープロビジョニング用に設定された GitHub 組織のメンバーのクラスターへのアクセス権を取り消すことができます。

手順

github.com に移動し、GitHub アカウントにログインします。
GitHub 組織からユーザーを削除します。GitHub ドキュメントの組織からのメンバーの削除の手順に従います。

1.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除
リンクのコピー

ROSA CLI rosa を使用して、AWS Security Token Service (STS) を使用する ROSA (クラシック) クラスターを削除できます。また、ROSA CLI を使用して、AWS Identity and Access Management (IAM) アカウントワイドロール、クラスター固有の Operator ロール、および OpenID Connect (OIDC) プロバイダーを削除することもできます。アカウント全体のインラインポリシーと Operator ポリシーを削除するには、AWS IAM コンソールまたは AWS CLI を使用できます。

重要

アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウント内の他の ROSA (クラシック) クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。

手順

クラスターを削除し、ログを監視します。<cluster_name> はクラスターの名前または ID に置き換えます。
```
rosa delete cluster --cluster=<cluster_name> --watch
```
```
$ rosa delete cluster --cluster=<cluster_name> --watch
```
Copy to Clipboard Toggle word wrap
重要
IAM ロール、ポリシー、および OIDC プロバイダーを削除する前に、クラスターの削除が完了するのを待つ必要があります。インストーラーで作成されたリソースを削除するために、アカウント全体のロールが必要です。クラスター固有の Operator ロールは、OpenShift Operator によって作成されるリソースをクリーンアップするために必要です。Operator は OIDC プロバイダーを使用して AWS API で認証します。
クラスターが削除されたら、クラスター Operator が認証に使用する OIDC プロバイダーを削除します。
```
rosa delete oidc-provider -c <cluster_id> --mode auto
```
```
$ rosa delete oidc-provider -c <cluster_id> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
<cluster_id> をクラスターの ID に置き換えてください。
注記
-y オプションを使用すると、プロンプトに対して自動的にはいと答えることができます。
クラスター固有の Operator IAM ロールを削除します。
```
rosa delete operator-roles -c <cluster_id> --mode auto
```
```
$ rosa delete operator-roles -c <cluster_id> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
<cluster_id> をクラスターの ID に置き換えてください。
アカウント全体のロールを削除します。
重要
アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。
```
rosa delete account-roles --prefix <prefix> --mode auto
```
```
$ rosa delete account-roles --prefix <prefix> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
その際、--<prefix> 引数を含める必要があります。<prefix> を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成するときにカスタム接頭辞を指定しなかった場合は、作成方法に応じて、デフォルトの接頭辞 (HCP-ROSA または ManagedOpenShift) を指定します。
STS を使用する ROSA (クラシック) デプロイメント用に作成したアカウント全体の IAM ポリシーと Operator IAM ポリシーを削除します。
1. AWS IAM コンソールにログインします。
2. Access management → Policies に移動し、アカウント全体のポリシーのいずれかを選択します。
3. ポリシーを選択した状態で、Actions → Delete をクリックし、削除ポリシーダイアログを開きます。
4. ポリシー名を入力して削除の確認を行い、Delete を選択してポリシーを削除します。
5. このステップを繰り返して、クラスターのアカウント全体のポリシーと Operator ポリシーをそれぞれ削除します。

1.10. 次のステップ
リンクのコピー

第2章 Red Hat OpenShift Service on AWS の使用を開始するための包括的なガイド
リンクのコピー

注記

ROSA のクイックスタートガイドをお探しの場合は、Red Hat OpenShift Service on AWS クイックスタートガイドを参照してください。

以下の手順に従って、Red Hat OpenShift Service on AWS (ROSA) クラスターを作成し、ユーザーアクセスを付与し、最初のアプリケーションをデプロイすると共に、ユーザーアクセスを取り消して、クラスターを削除する方法を確認します。

ROSA クラスターは、AWS Security Token Service (STS) の有無にかかわらず作成できます。このドキュメントの手順では、AWS STS を使用するクラスターを作成できます。ROSA クラスターで AWS STS を使用する方法は、AWS Security Token Service の使用を参照してください。

2.1. 前提条件
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) の概要と、ROSA のアーキテクチャーモデルおよびアーキテクチャーの概念に関するドキュメントを確認した。
環境を計画するためのガイドラインに関するドキュメントを確認した。
STS を使用する ROSA の詳細な AWS の前提条件を確認した。
ROSA クラスターの実行に必要な AWS サービスクォータがある。

2.2. 環境の設定
リンクのコピー

ROSA (クラシック) クラスターを作成する前に、次のタスクを完了して環境をセットアップする必要があります。

AWS および Red Hat アカウントに対して ROSA の前提条件を確認します。
必要なコマンドラインインターフェイス (CLI) ツールをインストールして設定します。
CLI ツールの設定を確認します。

このセクションの手順に従って、これらの設定要件を完了できます。

2.2.1. ROSA の前提条件の確認
リンクのコピー

AWS アカウントで ROSA (クラシック) を有効にするには、この手順のステップを使用します。

前提条件

Red Hat アカウントを持っている。
AWS アカウントがある。
注記
専用の AWS アカウントを使用して実稼働クラスターを実行することを検討してください。AWS Organizations を使用している場合は、組織内の AWS アカウントを使用するか、アカウントを新規作成できます。

手順

AWS 管理コンソールにログインします。
ROSA service に移動します。
Get started をクリックします。
Verify ROSA prerequisites ページが開きます。
ROSA enablement の下で、緑色のチェックマークと You previously enabled ROSA が表示されていることを確認します。
そうでない場合は、次の手順に従います。
1. I agree to share my contact information with Red Hat の横にあるチェックボックスを選択します。
2. Enable ROSA をクリックします。
  少し待つと、緑色のチェックマークと You enabled ROSA メッセージが表示されます。
Service Quotas の下に、緑色のチェックと Your quotas meet the requirements for ROSA が表示されていることを確認します。
Your quotas don’t meet the minimum requirements と表示される場合は、エラーメッセージに記載されているクォータの種類と最小値をメモしてください。ガイダンスは、割り当て増加のリクエストに関する Amazon のドキュメントを参照してください。Amazon が割り当てリクエストを承認するまでに数時間かかる場合があります。
ELB service-linked role の下で、緑色のチェックマークと AWSServiceRoleForElasticLoadBalancing already exists が表示されていることを確認します。
Continue to Red Hat をクリックします。
Get started with Red Hat OpenShift Service on AWS (ROSA) ページが新しいタブで開きます。このページのステップ 1 はすでに完了しており、ステップ 2 に進むことができます。

2.2.2. 必要な CLI ツールのインストールと設定
リンクのコピー

クラスターをデプロイして操作するには、コマンドラインインターフェイス (CLI) ツールが複数必要です。

前提条件

AWS アカウントがある。
Red Hat アカウントを持っている。

手順

必要な各ツールのダウンロードページにアクセスするには、Red Hat および AWS アカウントにログインします。
1. console.redhat.com で Red Hat アカウントにログインします。
2. aws.amazon.com で AWS アカウントにログインします。
最新の AWS CLI (aws) をインストールして設定します。
1. ワークステーションに適した AWS コマンドラインインターフェイスのドキュメントに従って、AWS CLI をインストールします。
2. .aws/credentials ファイルで aws_access_key_id、aws_secret_access_key、および region を指定して AWS CLI を設定します。詳細は、AWS ドキュメントの AWS 設定の基本を参照してください。
  注記
  オプションで AWS_DEFAULT_REGION 環境変数を使用して、デフォルトの AWS リージョンを設定できます。
3. AWS API をクエリーし、AWS CLI が適切にインストールおよび設定されているかどうかを確認します。
  $ aws sts get-caller-identity --output text
  Copy to Clipboard Toggle word wrap
  出力例
  <aws_account_id> arn:aws:iam::<aws_account_id>:user/<username> <aws_user_id>
  
  Copy to Clipboard Toggle word wrap
最新の ROSA CLI (rosa) をインストールし、設定します。
1. Downloads に移動します。
2. ツールのリストで Red Hat OpenShift Service on AWS command line interface (`rosa) を検索し、Download をクリックします。
  rosa-linux.tar.gz ファイルはデフォルトのダウンロード先にダウンロードされます。
3. ダウンロードしたアーカイブから rosa バイナリーファイルをデプロイメントします。以下の例は、Linux tar アーカイブからバイナリーをデプロイメントします。
  $ tar xvf rosa-linux.tar.gz
  Copy to Clipboard Toggle word wrap
4. rosa バイナリーファイルを実行パス内のディレクトリーに移動します。以下の例では、/usr/local/bin ディレクトリーがユーザーのパスに含まれます。
  $ sudo mv rosa /usr/local/bin/rosa
  Copy to Clipboard Toggle word wrap
5. rosa バージョンを照会して、ROSA CLI が正しくインストールされていることを確認します。
  $ rosa version
  Copy to Clipboard Toggle word wrap
  出力例
  1.2.47 Your ROSA CLI is up to date.
  
  Copy to Clipboard Toggle word wrap

オフラインアクセストークンを使用して ROSA CLI にログインします。

ログインコマンドを実行します。

rosa login

$ rosa login

Copy to Clipboard

Toggle word wrap

出力例

To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here:

To login to your Red Hat account, get an offline access token at https://console.redhat.com/openshift/token/rosa
? Copy the token and paste it here:

Copy to Clipboard

Toggle word wrap

コマンド出力にリストされている URL に移動して、オフラインアクセストークンを表示します。
ログインするには、コマンドラインプロンプトでオフラインアクセストークンを入力します。
```
? Copy the token and paste it here: *******************
[full token length omitted]
```
```
? Copy the token and paste it here: *******************
[full token length omitted]
```
Copy to Clipboard Toggle word wrap
注記
今後は、rosa login コマンドを実行するときに --token="<offline_access_token>" 引数を使用してオフラインアクセストークンを指定できます。

続行する前に、ログインしていることと認証情報が正しいことを確認してください。

rosa whoami

$ rosa whoami

Copy to Clipboard

Toggle word wrap

出力例

AWS Account ID:               <aws_account_number>
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
OCM API:                      https://api.openshift.com
OCM Account ID:               <red_hat_account_id>
OCM Account Name:             Your Name
OCM Account Username:         you@domain.com
OCM Account Email:            you@domain.com
OCM Organization ID:          <org_id>
OCM Organization Name:        Your organization
OCM Organization External ID: <external_org_id>

AWS Account ID:               <aws_account_number>
AWS Default Region:           us-east-1
AWS ARN:                      arn:aws:iam::<aws_account_number>:user/<aws_user_name>
OCM API:                      https://api.openshift.com
OCM Account ID:               <red_hat_account_id>
OCM Account Name:             Your Name
OCM Account Username:         you@domain.com
OCM Account Email:            you@domain.com
OCM Organization ID:          <org_id>
OCM Organization Name:        Your organization
OCM Organization External ID: <external_org_id>

Copy to Clipboard

Toggle word wrap

最新の OpenShift CLI (oc) をインストールして設定します。
1. ROSA CLI を使用して oc CLI をダウンロードします。
  次のコマンドは、CLI の最新バージョンを現在の作業ディレクトリーにダウンロードします。
  $ rosa download openshift-client
  Copy to Clipboard Toggle word wrap
2. ダウンロードしたアーカイブから oc バイナリーファイルをデプロイメントします。以下の例は、Linux tar アーカイブからファイルをデプロイメントします。
  $ tar xvf openshift-client-linux.tar.gz
  Copy to Clipboard Toggle word wrap
3. oc バイナリーを実行パス内のディレクトリーに移動します。以下の例では、/usr/local/bin ディレクトリーがユーザーのパスに含まれます。
  $ sudo mv oc /usr/local/bin/oc
  Copy to Clipboard Toggle word wrap
4. oc CLI が正しくインストールされていることを確認します。
  $ rosa verify openshift-client
  Copy to Clipboard Toggle word wrap
  出力例
  I: Verifying whether OpenShift command-line tool is available... I: Current OpenShift Client Version: 4.17.3
  
  Copy to Clipboard Toggle word wrap

2.3. STS を使用した ROSA クラスターの作成
リンクのコピー

以下のいずれかの方法を選択して、AWS Security Token Service (STS) を使用する Red Hat OpenShift Service on AWS (ROSA) クラスターをデプロイします。各シナリオでは、Red Hat OpenShift Cluster Manager または ROSA CLI (rosa) を使用してクラスターをデプロイできます。

デフォルトオプションを使用した STS での ROSA クラスターの作成: デフォルトのオプションと STS リソースの自動作成を使用して、STS で ROSA クラスターをすばやく作成できます。
カスタマイズを使用して STS を使用する ROSA クラスターの作成: カスタマイズを使用して、STS で ROSA クラスターを作成できます。必要な STS リソースを作成するときに、auto モードと manual モードのいずれかを選択することもできます。

関連情報

STS を使用せずに ROSA クラスターをデプロイする詳細な手順は、AWS STS を使用せずに ROSA クラスターの作成および ROSA での AWS PrivateLink クラスターの作成を参照してください。
STS を使用する ROSA デプロイメントに必要なアカウント全体の IAM ロールおよびポリシーは、アカウント全体の IAM ロールおよびポリシー参照を参照してください。
auto モードと manual モードを使用して必要な STS リソースを作成する方法の詳細は、自動デプロイメントモードと手動デプロイメントモードについてを参照してください。
ROSA の更新ライフサイクルは、Red Hat OpenShift Service on AWS 更新ライフサイクルを参照してください。

2.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成
リンクのコピー

注記

前提条件

AWS アカウントがある。
最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。

手順

クラスター管理者ユーザーを作成します。

rosa create admin --cluster=<cluster_name>

$ rosa create admin --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster '<cluster_name>'.
I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
I: To login, run the following command:

   oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J

I: It may take up to a minute for the account to become active.

W: It is recommended to add an identity provider to login to this cluster. See 'rosa create idp --help' for more information.
I: Admin account has been added to cluster '<cluster_name>'.
I: Please securely store this generated password. If you lose this password you can delete and recreate the cluster admin user.
I: To login, run the following command:

   oc login https://api.example-cluster.wxyz.p1.openshiftapps.com:6443 --username cluster-admin --password d7Rca-Ba4jy-YeXhs-WU42J

I: It may take up to a minute for the account to become active.

Copy to Clipboard

Toggle word wrap

注記

cluster-admin ユーザーがアクティブになるまで約 1 分かかる場合があります。

CLI でクラスターにログインします。
1. 上記の手順の出力で提供されたコマンドを実行して、ログインします。
  $ oc login <api_url> --username cluster-admin --password <cluster_admin_password>
  1
  Copy to Clipboard Toggle word wrap
  1
  <api_url> および <cluster_admin_password> は、環境の API URL およびクラスター管理者のパスワードに置き換えます。
2. ROSA クラスターに cluster-admin ユーザーとしてログインしているかどうかを確認します。
  $ oc whoami
  Copy to Clipboard Toggle word wrap
  出力例
  cluster-admin
  
  Copy to Clipboard Toggle word wrap

関連情報

ROSA Web コンソールにログインする手順は、Web コンソールを使用したクラスターへのアクセスを参照してください。

2.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与
リンクのコピー

また、必要に応じて、アイデンティティープロバイダーユーザーに cluster-admin 権限または dedicated-admin 権限を付与することもできます。

2.5.1. アイデンティティープロバイダーの設定
リンクのコピー

重要

以下の手順では、例として GitHub アイデンティティープロバイダーを設定します。

前提条件

AWS アカウントがある。
最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。
GitHub ユーザーアカウントがある。

手順

github.com に移動し、GitHub アカウントにログインします。
ROSA クラスターのアイデンティティープロビジョニングに使用する既存の GitHub 組織がない場合は、これを作成します。GitHub ドキュメントの手順に従います。

GitHub 組織のメンバーに限定するように、クラスターの GitHub アイデンティティープロバイダーを設定します。

インタラクティブモードを使用してアイデンティティープロバイダーを設定します。

rosa create idp --cluster=<cluster_name> --interactive

$ rosa create idp --cluster=<cluster_name> --interactive

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <github_org_name> 
? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
  - Click on 'Register application'
...

I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations: <github_org_name>


? To use GitHub as an identity provider, you must first register the application:
  - Open the following URL:
    https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com
  - Click on 'Register application'
...

Copy to Clipboard

Toggle word wrap

1: <github_org_name> は、GitHub 組織の名前に置き換えます。

出力された URL に従い、Register application を選択すると、GitHub の組織に新しい OAuth アプリケーションが登録されます。アプリケーションを登録することで、ROSA に内蔵されている OAuth サーバーが GitHub 組織のメンバーをクラスターに認証することができるようになります。
注記
Register a new OAuth application GitHub フォームのフィールドには、ROSA CLI ツールで定義された URL を介して、必要な値が自動的に入力されます。

GitHub OAuth アプリケーションページの情報を使用して、残りの rosa create idp の対話式プロンプトを設定します。

出力例 (続き)

...
? Client ID: <github_client_id> 
? Client Secret: [? for help] <github_client_secret> 
? GitHub Enterprise Hostname (optional):
? Mapping method: claim 
I: Configuring IDP for cluster '<cluster_name>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.

...
? Client ID: <github_client_id>


? Client Secret: [? for help] <github_client_secret>


? GitHub Enterprise Hostname (optional):
? Mapping method: claim


I: Configuring IDP for cluster '<cluster_name>'
I: Identity Provider 'github-1' has been created.
   It will take up to 1 minute for this configuration to be enabled.
   To add cluster administrators, see 'rosa grant user --help'.
   To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.

Copy to Clipboard

Toggle word wrap

1: <github_client_id> は、GitHub OAuth アプリケーションのクライアント ID に置き換えます。
2: <github_client_secret> は、GitHub OAuth アプリケーションのクライアントシークレットに置き換えます。
3: claim をマッピング方法として指定します。

注記

以下のコマンドを実行して、アイデンティティープロバイダーが正しく設定されていることを確認します。

rosa list idps --cluster=<cluster_name>

$ rosa list idps --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

出力例

NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1

NAME        TYPE      AUTH URL
github-1    GitHub    https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1

Copy to Clipboard

Toggle word wrap

関連情報

サポート対象の各アイデンティティープロバイダータイプを設定する詳細な手順は、STS のアイデンティティープロバイダーの設定を参照してください。

2.5.2. クラスターへのユーザーアクセスの付与
リンクのコピー

ユーザーアクセスを設定済みのアイデンティティープロバイダーに追加して、Red Hat OpenShift Service on AWS (ROSA) クラスターに付与できます。

前提条件

AWS アカウントがある。
最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。
GitHub ユーザーアカウントがある。
クラスターに GitHub アイデンティティープロバイダーを設定している。

手順

github.com に移動し、GitHub アカウントにログインします。
GitHub 組織への ROSA クラスターへのアクセスを必要とするユーザーを招待します。GitHub ドキュメントの組織に参加するようにユーザーを招待するの手順を実行してください。

2.5.3. ユーザーへの管理者権限の付与
リンクのコピー

前提条件

AWS アカウントがある。
最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。
クラスターに GitHub アイデンティティープロバイダーを設定し、アイデンティティープロバイダーユーザーを追加している。

手順

アイデンティティープロバイダーユーザーの cluster-admin 権限を設定するには、以下を実行します。
1. ユーザーに cluster-admin 権限を付与します。
  $ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>
  1
  Copy to Clipboard Toggle word wrap
  1
  <idp_user_name> および <cluster_name> は、アイデンティティープロバイダーのユーザーおよびクラスター名に置き換えます。
  出力例
  I: Granted role 'cluster-admins' to user '<idp_user_name>' on cluster '<cluster_name>'
  
  Copy to Clipboard Toggle word wrap
2. ユーザーが cluster-admins グループのメンバーとしてリスト表示されているかどうかを確認します。
  $ rosa list users --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  ID GROUPS <idp_user_name> cluster-admins
  
  Copy to Clipboard Toggle word wrap
アイデンティティープロバイダーユーザーに dedicated-admin 権限を設定するには、以下を実行します。
1. ユーザーに dedicated-admin 権限を付与します。
  $ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  I: Granted role 'dedicated-admins' to user '<idp_user_name>' on cluster '<cluster_name>'
  
  Copy to Clipboard Toggle word wrap
2. ユーザーが dedicated-admins グループのメンバーとしてリスト表示されているかどうかを確認します。
  $ rosa list users --cluster=<cluster_name>
  Copy to Clipboard Toggle word wrap
  出力例
  ID GROUPS <idp_user_name> dedicated-admins
  
  Copy to Clipboard Toggle word wrap

2.6. Web コンソールを使用したクラスターへのアクセス
リンクのコピー

前提条件

AWS アカウントがある。
最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。
クラスター管理者ユーザーを作成しているか、ユーザーアカウントを設定済みのアイデンティティープロバイダーに追加している。

手順

クラスターのコンソール URL を取得します。

rosa describe cluster -c <cluster_name> | grep Console

$ rosa describe cluster -c <cluster_name> | grep Console

Copy to Clipboard

Toggle word wrap

1: <cluster_name> は、クラスター名に置き換えます。

出力例

Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

Console URL:                https://console-openshift-console.apps.example-cluster.wxyz.p1.openshiftapps.com

Copy to Clipboard

Toggle word wrap

前述の手順の出力にあるコンソール URL に移動し、ログインします。
- cluster-admin ユーザーを作成した場合は、指定した認証情報を使用してログインします。
- クラスターにアイデンティティープロバイダーを設定している場合は、Log in with… ダイアログでアイデンティティープロバイダー名を選択し、プロバイダーによって提示される認可要求を完了します。

2.7. Developer Catalog からのアプリケーションのデプロイ
リンクのコピー

Red Hat OpenShift Service on AWS Web コンソールの Developer Catalog からテストアプリケーションをデプロイし、ルートで公開できます。

前提条件

Red Hat Hybrid Cloud Console にログインしている。
Red Hat OpenShift Service on AWS クラスターを作成している。
クラスターにアイデンティティープロバイダーを設定している。
設定したアイデンティティープロバイダーにユーザーアカウントを追加している。

手順

OpenShift Cluster Manager の Cluster List ページに移動します。
表示するクラスターの横にあるオプションアイコン (⋮) をクリックします。
Open console をクリックします。
クラスターコンソールが新しいブラウザーウィンドウで開きます。設定済みのアイデンティティープロバイダーの認証情報を使用して Red Hat アカウントにログインします。
Administrator パースペクティブで、Home → Projects → Create Project の順に選択します。
プロジェクトの名前を入力し、必要に応じて Display Name および Description を追加します。
Create をクリックしてプロジェクトを作成します。
Developer パースペクティブに切り替え、+Add を選択します。選択した Project が、作成したプロジェクトであることを確認します。
Developer Catalog ダイアログで、All services を選択します。
Developer Catalog ページで、メニューから Languages → JavaScript を選択します。
Node.js をクリックし、次に Create をクリックして、Create Source-to-Image application ページを開きます。
注記
場合によっては、Clear All Filters をクリックして Node.js オプションを表示する必要があります。
Git セクションで Try sample をクリックします。
Name フィールドに一意の名前を追加します。この値を使用して、関連付けられたリソースに名前を付けます。
Deployment と Create a route が選択されていることを確認します。
Create をクリックしてアプリケーションをデプロイします。Pod のデプロイには数分かかります。
オプション: Node.js アプリケーションを選択してそのサイドバーを確認し、Topology ペインで Pod のステータスを確認します。nodejs ビルドが完了し、nodejs Pod が Running 状態になるまで待機してから続行します。
デプロイメントが完了したら、以下のような形式のアプリケーションのルート URL をクリックします。
```
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
```
```
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
```
Copy to Clipboard Toggle word wrap
ブラウザーの新しいタブが開き、以下のようなメッセージが表示されます。
```
Welcome to your Node.js application on OpenShift
```
```
Welcome to your Node.js application on OpenShift
```
Copy to Clipboard Toggle word wrap
オプション: アプリケーションを削除し、作成したリソースをクリーンアップします。
1. Administrator パースペクティブで、Home → Projects に移動します。
2. プロジェクトのアクションメニューをクリックし、Delete Project を選択します。

2.8. 管理者権限とユーザーアクセスの取り消し
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) CLI rosa を使用して、ユーザーから cluster-admin 権限または dedicated-admin 権限を取り消すことができます。

ユーザーからのクラスターアクセスを取り消すには、設定したアイデンティティープロバイダーからユーザーを削除する必要があります。

このセクションの手順に従って、ユーザーからの管理者権限またはクラスターアクセスを取り消すことができます。

2.8.1. ユーザーからの管理者権限の削除
リンクのコピー

このセクションの手順に従って、ユーザーから cluster-admin 権限または dedicated-admin 権限を取り消すことができます。

前提条件

最新の Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) をワークステーションにインストールして設定している。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
ROSA クラスターを作成している。
クラスターに GitHub アイデンティティープロバイダーを設定し、アイデンティティープロバイダーユーザーを追加している。
ユーザーに cluster-admin または dedicated-admin 権限が付与されている。

手順

アイデンティティープロバイダーユーザーから cluster-admin 権限を取り消すには、以下を実行します。

cluster-admin 権限を取り消します。

rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>

$ rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

1: <idp_user_name> および <cluster_name> は、アイデンティティープロバイダーのユーザーおよびクラスター名に置き換えます。

出力例

? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

Copy to Clipboard

Toggle word wrap

ユーザーが cluster-admins グループのメンバーとしてリスト表示されていないことを確認します。
```
rosa list users --cluster=<cluster_name>
```
```
$ rosa list users --cluster=<cluster_name>
```
Copy to Clipboard Toggle word wrap
出力例
```
W: There are no users configured for cluster '<cluster_name>'
```
```
W: There are no users configured for cluster '<cluster_name>'
```
Copy to Clipboard Toggle word wrap

アイデンティティープロバイダーユーザーから dedicated-admin 権限を取り消すには、以下を実行します。

dedicated-admin 特権を取り消します。

rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>

Copy to Clipboard

Toggle word wrap

出力例

? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes
I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'

Copy to Clipboard

Toggle word wrap

ユーザーが dedicated-admins グループのメンバーとしてリスト表示されていないことを確認します。
```
rosa list users --cluster=<cluster_name>
```
```
$ rosa list users --cluster=<cluster_name>
```
Copy to Clipboard Toggle word wrap
出力例
```
W: There are no users configured for cluster '<cluster_name>'
```
```
W: There are no users configured for cluster '<cluster_name>'
```
Copy to Clipboard Toggle word wrap

2.8.2. クラスターへのユーザーアクセスの取り消し
リンクのコピー

前提条件

ROSA クラスターがある。
GitHub ユーザーアカウントがある。
クラスターに GitHub アイデンティティープロバイダーを設定し、アイデンティティープロバイダーユーザーを追加している。

手順

github.com に移動し、GitHub アカウントにログインします。
GitHub 組織からユーザーを削除します。GitHub ドキュメントの組織からのメンバーの削除の手順に従います。

2.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除
リンクのコピー

重要

前提条件

ワークステーションに最新の ROSA CLI rosa をインストールして設定した。
ROSA CLI (rosa) を使用して Red Hat アカウントにログインしている。
{rosa-classic} クラスターを作成した。

手順

クラスターを削除し、ログを監視します。<cluster_name> はクラスターの名前または ID に置き換えます。
```
rosa delete cluster --cluster=<cluster_name> --watch
```
```
$ rosa delete cluster --cluster=<cluster_name> --watch
```
Copy to Clipboard Toggle word wrap
重要
IAM ロール、ポリシー、および OIDC プロバイダーを削除する前に、クラスターの削除が完了するのを待つ必要があります。インストーラーで作成されたリソースを削除するために、アカウント全体のロールが必要です。クラスター固有の Operator ロールは、OpenShift Operator によって作成されるリソースをクリーンアップするために必要です。Operator は OIDC プロバイダーを使用して AWS API で認証します。
クラスターが削除されたら、クラスター Operator が認証に使用する OIDC プロバイダーを削除します。
```
rosa delete oidc-provider -c <cluster_id> --mode auto
```
```
$ rosa delete oidc-provider -c <cluster_id> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
<cluster_id> をクラスターの ID に置き換えてください。
注記
-y オプションを使用すると、プロンプトに対して自動的にはいと答えることができます。
クラスター固有の Operator IAM ロールを削除します。
```
rosa delete operator-roles -c <cluster_id> --mode auto
```
```
$ rosa delete operator-roles -c <cluster_id> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
<cluster_id> をクラスターの ID に置き換えてください。
アカウント全体のロールを削除します。
重要
アカウント全体の IAM ロールおよびポリシーは、同じ AWS アカウントの他の ROSA クラスターによって使用される可能性があります。他のクラスターで必要とされていない場合に限り、リソースを削除する必要があります。
```
rosa delete account-roles --prefix <prefix> --mode auto
```
```
$ rosa delete account-roles --prefix <prefix> --mode auto 
```
1
Copy to Clipboard Toggle word wrap
1
その際、--<prefix> 引数を含める必要があります。<prefix> を削除するアカウント全体のロールの接頭辞に置き換えてください。アカウント全体のロールを作成するときにカスタム接頭辞を指定しなかった場合は、作成方法に応じて、デフォルトの接頭辞 (HCP-ROSA または ManagedOpenShift) を指定します。
STS を使用する ROSA (クラシック) デプロイメント用に作成したアカウント全体の IAM ポリシーと Operator IAM ポリシーを削除します。
1. AWS IAM コンソールにログインします。
2. Access management → Policies に移動し、アカウント全体のポリシーのいずれかを選択します。
3. ポリシーを選択した状態で、Actions → Delete をクリックし、削除ポリシーダイアログを開きます。
4. ポリシー名を入力して削除の確認を行い、Delete を選択してポリシーを削除します。
5. このステップを繰り返して、クラスターのアカウント全体のポリシーと Operator ポリシーをそれぞれ削除します。

2.10. 次のステップ
リンクのコピー

第3章 STS を使用する ROSA のデプロイメントワークフローについて
リンクのコピー

Red Hat OpenShift Service on AWS (ROSA) クラスターを作成する前に、AWS の前提条件を満たし、必要な AWS サービスクォータが利用可能であることを確認し、環境をセットアップする必要があります。

このドキュメントでは、STS デプロイメントワークフローステージを使用した ROSA の概要と、各ステージの詳細なリソースを説明します。

3.1. STS デプロイメントワークフローでの ROSA の概要
リンクのコピー

AWS Security Token Service (STS) は、IAM またはフェデレーションされたユーザーの短期認証情報を提供するグローバル Web サービスです。Red Hat OpenShift Service on AWS (ROSA) で AWS STS を使用し、コンポーネント固有の IAM ロールに一時的な制限された権限付き認証情報を割り当てることができます。サービスを使用すると、クラスターコンポーネントはセキュアなクラウドリソース管理プラクティスを使用して AWS API 呼び出しを実行できます。

STS を使用する ROSA クラスターを設定し、アクセスするには、このセクションで説明されているワークフローステージを実行します。

STS を使用する ROSA の AWS の前提条件を満たします。STS で ROSA クラスターをデプロイするには、AWS アカウントが前提条件を満たしている必要があります。
必要な AWS サービスクォータを確認します。クラスターのデプロイメントを準備するには、ROSA クラスターの実行に必要な AWS サービスクォータを確認します。
環境を設定し、STS を使用して ROSA をインストールします。STS クラスターで ROSA を作成する前に、AWS アカウントで ROSA を有効にし、必要な CLI ツールをインストールして設定し、CLI ツールの設定を確認する必要があります。また、AWS Elastic Load Balancing (ELB) サービスロールが存在し、必要な AWS リソースクォータが利用可能であることを確認する必要があります。
STS をすばやく使用して ROSA クラスターを作成するか、カスタマイズを使用してクラスターを作成します。ROSA CLI (rosa) または Red Hat OpenShift Cluster Manager を使用して、STS でクラスターを作成します。デフォルトのオプションを使用してクラスターをすばやく作成するか、組織のニーズに合わせてカスタマイズを適用することができます。
クラスターにアクセスします。アイデンティティープロバイダーを設定し、必要に応じてクラスター管理者権限をアイデンティティープロバイダーユーザーに付与できます。cluster-admin ユーザーを設定して、新たにデプロイされたクラスターにすばやくアクセスすることもできます。
ユーザーの ROSA クラスターへのアクセスを取り消す。ROSA CLI または Web コンソールを使用して、STS クラスターが含まれる ROSA へのアクセス権をユーザーから取り消すことができます。
ROSA クラスターを削除します。ROSA CLI (rosa) を使用して、STS クラスターで ROSA を削除できます。クラスターの削除後に、AWS Identity and Access Management (IAM) コンソールを使用して STS リソースを削除できます。

Legal Notice
リンクのコピー

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

トップに戻る

スタートガイド

クラスターおよびアカウントの設定

第1章 Red Hat OpenShift Service on AWS クイックスタートガイドリンクのコピーリンクがクリップボードにコピーされました!

1.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

1.2. 環境の設定リンクのコピーリンクがクリップボードにコピーされました!

ROSA の前提条件の確認

必要な CLI ツールのインストールと設定

1.3. デフォルトの自動モードを使用した AWS STS での ROSA クラスターの作成リンクのコピーリンクがクリップボードにコピーされました!

デフォルトのクラスター仕様の概要

AWS アカウントの関連付けについて

AWS アカウントを Red Hat 組織に関連付ける

アカウント全体の STS ロールおよびポリシーの作成

OpenShift Cluster Manager を使用してデフォルトオプションでクラスターを作成する

1.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成リンクのコピーリンクがクリップボードにコピーされました!

1.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与リンクのコピーリンクがクリップボードにコピーされました!

アイデンティティープロバイダーの設定

クラスターへのユーザーアクセスの付与

ユーザーへの管理者権限の付与

1.6. Web コンソールを使用したクラスターへのアクセスリンクのコピーリンクがクリップボードにコピーされました!

1.7. Developer Catalog からのアプリケーションのデプロイリンクのコピーリンクがクリップボードにコピーされました!

1.8. 管理者権限とユーザーアクセスの取り消しリンクのコピーリンクがクリップボードにコピーされました!

ユーザーからの管理者権限の削除

クラスターへのユーザーアクセスの取り消し

1.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除リンクのコピーリンクがクリップボードにコピーされました!

1.10. 次のステップリンクのコピーリンクがクリップボードにコピーされました!

第2章 Red Hat OpenShift Service on AWS の使用を開始するための包括的なガイドリンクのコピーリンクがクリップボードにコピーされました!

2.1. 前提条件リンクのコピーリンクがクリップボードにコピーされました!

2.2. 環境の設定リンクのコピーリンクがクリップボードにコピーされました!

2.2.1. ROSA の前提条件の確認リンクのコピーリンクがクリップボードにコピーされました!

2.2.2. 必要な CLI ツールのインストールと設定リンクのコピーリンクがクリップボードにコピーされました!

2.3. STS を使用した ROSA クラスターの作成リンクのコピーリンクがクリップボードにコピーされました!

2.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成リンクのコピーリンクがクリップボードにコピーされました!

2.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与リンクのコピーリンクがクリップボードにコピーされました!

2.5.1. アイデンティティープロバイダーの設定リンクのコピーリンクがクリップボードにコピーされました!

2.5.2. クラスターへのユーザーアクセスの付与リンクのコピーリンクがクリップボードにコピーされました!

2.5.3. ユーザーへの管理者権限の付与リンクのコピーリンクがクリップボードにコピーされました!

2.6. Web コンソールを使用したクラスターへのアクセスリンクのコピーリンクがクリップボードにコピーされました!

2.7. Developer Catalog からのアプリケーションのデプロイリンクのコピーリンクがクリップボードにコピーされました!

2.8. 管理者権限とユーザーアクセスの取り消しリンクのコピーリンクがクリップボードにコピーされました!

2.8.1. ユーザーからの管理者権限の削除リンクのコピーリンクがクリップボードにコピーされました!

2.8.2. クラスターへのユーザーアクセスの取り消しリンクのコピーリンクがクリップボードにコピーされました!

2.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除リンクのコピーリンクがクリップボードにコピーされました!

2.10. 次のステップリンクのコピーリンクがクリップボードにコピーされました!

第3章 STS を使用する ROSA のデプロイメントワークフローについてリンクのコピーリンクがクリップボードにコピーされました!

3.1. STS デプロイメントワークフローでの ROSA の概要リンクのコピーリンクがクリップボードにコピーされました!

Legal Notice リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第1章 Red Hat OpenShift Service on AWS クイックスタートガイド
リンクのコピー

1.1. 前提条件
リンクのコピー

1.2. 環境の設定
リンクのコピー

1.3. デフォルトの自動モードを使用した AWS STS での ROSA クラスターの作成
リンクのコピー

1.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成
リンクのコピー

1.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与
リンクのコピー

1.6. Web コンソールを使用したクラスターへのアクセス
リンクのコピー

1.7. Developer Catalog からのアプリケーションのデプロイ
リンクのコピー

1.8. 管理者権限とユーザーアクセスの取り消し
リンクのコピー

1.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除
リンクのコピー

1.10. 次のステップ
リンクのコピー

第2章 Red Hat OpenShift Service on AWS の使用を開始するための包括的なガイド
リンクのコピー

2.1. 前提条件
リンクのコピー

2.2. 環境の設定
リンクのコピー

2.2.1. ROSA の前提条件の確認
リンクのコピー

2.2.2. 必要な CLI ツールのインストールと設定
リンクのコピー

2.3. STS を使用した ROSA クラスターの作成
リンクのコピー

2.4. クラスターにすぐアクセスできるようにクラスター管理者ユーザーの作成
リンクのコピー

2.5. アイデンティティープロバイダーの設定およびクラスターアクセスの付与
リンクのコピー

2.5.1. アイデンティティープロバイダーの設定
リンクのコピー

2.5.2. クラスターへのユーザーアクセスの付与
リンクのコピー

2.5.3. ユーザーへの管理者権限の付与
リンクのコピー

2.6. Web コンソールを使用したクラスターへのアクセス
リンクのコピー

2.7. Developer Catalog からのアプリケーションのデプロイ
リンクのコピー

2.8. 管理者権限とユーザーアクセスの取り消し
リンクのコピー

2.8.1. ユーザーからの管理者権限の削除
リンクのコピー

2.8.2. クラスターへのユーザーアクセスの取り消し
リンクのコピー

2.9. ROSA (クラシック) クラスターと AWS IAM STS リソースの削除
リンクのコピー

2.10. 次のステップ
リンクのコピー

第3章 STS を使用する ROSA のデプロイメントワークフローについて
リンクのコピー

3.1. STS デプロイメントワークフローでの ROSA の概要
リンクのコピー

Legal Notice
リンクのコピー