5.4. ROSA with HCP の break glass 認証情報の作成


ROSA with HCP クラスターの所有者は、break glass 認証情報を使用して一時的な管理クライアント認証情報を作成し、カスタム OpenID Connect (OIDC) トークン発行者を指定して設定されたクラスターにアクセスできます。Break Glass 認証情報を作成すると、新しい cluster-admin kubeconfig ファイルが生成されます。kubeconfig ファイルには、CLI がクライアントを正しいクラスターと API サーバーに接続するために使用するクラスターに関する情報が含まれています。新しく生成された kubeconfig ファイルを使用して、ROSA with HCP クラスターへのアクセスを許可できます。

前提条件

  • 外部認証を有効にした ROSA with HCP クラスターが作成されている。詳細は、外部認証プロバイダーを使用する HCP クラスターを使用した ROSA with HCP の作成 を参照してください。
  • 外部認証プロバイダーが作成されている。詳細は、外部認証プロバイダーの作成 を参照してください。
  • cluster admin 権限が割り当てられたアカウントがある。

手順

  1. 次のいずれかのコマンドを使用して、Break Glass 認証情報を作成します。

    • 対話型コマンドインターフェイスを使用してカスタム設定を対話的に指定し、ブレークグラス認証情報を作成するには、次のコマンドを実行します。

      $ rosa create break-glass-credential -c <cluster_name> -i 1
      1
      <cluster_name> は、クラスターの名前に置き換えます。

      このコマンドは、対話型 CLI プロセスを開始します。

      出力例

      I: Enabling interactive mode
      ? Username (optional): 1
      ? Expiration duration (optional): 2
      I: Successfully created a break glass credential for cluster 'ac-hcp-test'.

      1
      空白のままにすると、username の値は無作為に生成されたユーザー名の値になります。
      2
      break glass 認証情報の最小有効期間は 10 分、最大有効期間は 24 時間です。空白のままにすると、有効期限の値はデフォルトで 24 時間になります。
    • 指定された値を使用して、mycluster というクラスターの Break Glass 認証情報を作成するには以下を実行します。

      $ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
  2. 次のコマンドを実行して、mycluster というクラスターで使用可能な Break Glass 認証情報 ID、ステータス、および関連ユーザーをリスト表示します。

    $ rosa list break-glass-credential -c mycluster

    出力例

    ID                                USERNAME    STATUS
    2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued

    注記

    コマンドに -o json 引数を追加することで、JSON 出力で認証情報を表示することもできます。

  3. break glass 認証情報のステータスを表示するには、<break_glass_credential_id> をブレークグラス認証情報 ID に置き換えて、次のコマンドを実行します。

    $ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>

    出力例

    ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
    Username:                              test-user
    Expire at:                             Dec 28 2026 10:23:05 EDT
    Status:                                issued

    Status フィールドで使用可能な値のリストは次のとおりです。

    • issued break glass 認証情報が発行され、使用できる状態になりました。
    • expired ブレークグラス認証情報の有効期限が切れているため、使用できなくなりました。
    • failed ブレークグラス認証情報の作成に失敗しました。この場合、失敗の詳細を示すサービスログが送信されます。サービスログの詳細は、Red Hat OpenShift Service on AWS クラスターのサービスログへのアクセス を参照してください。Red Hat サポートに問い合わせる手順については、サポート を参照してください。
    • awaiting_revocation break glass 認証情報は現在取り消されているため、使用できません。
    • revoked break glass 認証情報は取り消されており、使用できなくなりました。
  4. kubeconfig を取得するには、次のコマンドを実行します。

    • kubeconfig ディレクトリーを作成します。

      $ mkdir ~/kubeconfigs
    • 新しく生成された kubeconfig ファイルをエクスポートします。<cluster_name> はクラスターの名前に置き換えます。

      $ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
    • kubeconfig を表示します。

      $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig

      出力例

      apiVersion: v1
      clusters:
      - cluster:
          server: <server_url>
        name: cluster
      contexts:
      - context:
          cluster: cluster
          namespace: default
          user: test-username
        name: admin
      current-context: admin
      kind: Config
      preferences: {}
      users:
      - name: test-user
        user:
          client-certificate-data: <client-certificate-data> 1
          client-key-data: <client-key-data> 2

      1
      クライアント証明書には、Kubernetes 証明局 (CA) によって署名されたユーザーの証明書が含まれています。
      2
      client-key には、クライアント証明書に署名したキーが含まれます。
  5. オプション: kubeconfig を保存するには、次のコマンドを実行します。

    $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.