5.5. Break Glass 認証情報を使用した ROSA with HCP クラスターへのアクセス
Break Glass 認証情報から新しい kubeconfig
を使用して、ROSA with HCP クラスターへの一時的な管理者アクセス権を取得します。
前提条件
- 外部認証が有効になっている ROSA with HCP クラスターにアクセスできる。詳細は、外部認証プロバイダーを使用する ROSA with HCP クラスターの作成 を参照してください。
-
oc
およびkubectl
CLI がインストールされている。 -
新しい
kubeconfig
が設定されている。詳細は、ROSA with HCP クラスターの Break Glass 認証情報の作成 を参照してください。
手順
クラスターの詳細にアクセスします。
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name> --kubeconfig > $KUBECONFIG
クラスターからノードを一覧表示します。
$ oc get nodes
出力例
NAME STATUS ROLES AGE VERSION ip-10-0-0-27.ec2.internal Ready worker 8m v1.28.7+f1b5f6c ip-10-0-0-67.ec2.internal Ready worker 9m v1.28.7+f1b5f6c
適切な認証情報があることを確認します。
$ kubectl auth whoami
出力例
ATTRIBUTE VALUE Username system:customer-break-glass:test-user Groups [system:masters system:authenticated]
外部 OIDC プロバイダーで定義されたグループに
ClusterRoleBinding
を適用します。ClusterRoleBinding
は、Microsoft Entra ID で作成されたrosa-hcp-admins
グループを ROSA with HCP クラスター内のグループにマップします。$ oc apply -f - <<EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: rosa-hcp-admins roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - apiGroup: rbac.authorization.k8s.io kind: Group name: f715c264-ab90-45d5-8a29-2e91a609a895 EOF
出力例
clusterrolebinding.rbac.authorization.k8s.io/rosa-hcp-admins created
注記ClusterRoleBinding
が適用されると、ROSA with HCP クラスターが設定され、rosa
CLI と Red Hat Hybrid Cloud Console が外部 OpenID Connect (OIDC) プロバイダーを通じて認証されます。ロールの割り当てとクラスターでのアプリケーションのデプロイを開始できるようになりました。
関連情報
- クラスターロールバインディングの詳細は、RBAC を使用したパーミッションの定義および適用 を参照してください。