7.4.7. 클라우드 인증 정보 수동 관리
CCO(Cloud Credential Operator)는 수동 모드에서만 클라우드 공급자를 지원합니다. 따라서 클라우드 공급자에 대한 IAM(ID 및 액세스 관리) 보안을 지정해야 합니다.
절차
설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 매니페스트를 생성합니다.
$ openshift-install create manifests --dir <installation_directory>
다음과 같습니다.
<installation_directory>- 설치 프로그램이 파일을 생성하는 디렉터리를 지정합니다.
설치 프로그램이 포함된 디렉터리에서
openshift-install바이너리가 다음을 사용하도록 빌드된 OpenShift Container Platform 릴리스 이미지에 대한 세부 정보를 가져옵니다.$ openshift-install version
출력 예
release image quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64
배포중인 클라우드를 대상으로하는이 릴리스 이미지에서 모든
CredentialsRequest개체를 찾습니다.$ oc adm release extract quay.io/openshift-release-dev/ocp-release:4.y.z-x86_64 --credentials-requests --cloud=azure
이 명령을 수행하면 각
CredentialsRequest오브젝트에 대해 YAML 파일이 생성됩니다.샘플
CredentialsRequest개체apiVersion: cloudcredential.openshift.io/v1 kind: CredentialsRequest metadata: labels: controller-tools.k8s.io: "1.0" name: openshift-image-registry-azure namespace: openshift-cloud-credential-operator spec: secretRef: name: installer-cloud-credentials namespace: openshift-image-registry providerSpec: apiVersion: cloudcredential.openshift.io/v1 kind: AzureProviderSpec roleBindings: - role: Contributor이전에 생성한
openshift-install매니페스트 디렉터리에 시크릿 YAML 파일을 만듭니다. 시크릿은 각CredentialsRequest오브젝트의spec.secretRef에 정의된 네임 스페이스 및 시크릿 이름을 사용하여 저장해야 합니다. 시크릿 데이터의 형식은 클라우드 공급자마다 다릅니다.중요릴리스 이미지에는
TechPreviewNoUpgrade기능 세트에서 활성화한 기술 프리뷰 기능에 대한CredentialsRequest오브젝트가 포함되어 있습니다. 이러한 오브젝트는release.openshift.io/feature-gate: TechPreviewNoUpgrade주석을 사용하여 확인할 수 있습니다.- 이러한 기능을 사용하지 않는 경우 해당 오브젝트에 대한 보안을 생성하지 마십시오. 사용하지 않는 기술 프리뷰 기능에 대한 시크릿을 생성하면 설치에 실패할 수 있습니다.
- 이러한 기능을 사용하는 경우 해당 오브젝트에 대한 보안을 생성해야 합니다.
TechPreviewNoUpgrade주석을 사용하여CredentialsRequest오브젝트를 찾으려면 다음 명령을 실행합니다.$ grep "release.openshift.io/feature-gate" *
출력 예
0000_30_capi-operator_00_credentials-request.yaml: release.openshift.io/feature-gate: TechPreviewNoUpgrade
중요수동으로 유지 관리되는 인증 정보를 사용하는 클러스터를 업그레이드하기 전에 CCO가 업그레이드 가능한 상태인지 확인해야 합니다.
