9.9. 수동으로 IAM 생성

프로세스

1. install-config.yaml 구성 파일을 편집하여 credentialsMode 매개 변수가 Manual로 설정되도록 합니다.

   install-config.yaml 설정 파일 예

   apiVersion: v1
   baseDomain: cluster1.example.com
   credentialsMode: Manual 

   1

   
   compute:
   - architecture: amd64
     hyperthreading: Enabled

   Copy to Clipboard Toggle word wrap

   1

   이 행은 credentialsMode 매개변수를 Manual로 설정하기 위해 추가됩니다.

2. 매니페스트를 생성하려면 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행합니다.

   $ ./openshift-install create manifests --dir <installation_directory>

   Copy to Clipboard Toggle word wrap

3. 설치 프로그램이 포함된 디렉터리에서 다음 명령을 실행하여 설치 파일의 릴리스 이미지로 $RELEASE_IMAGE 변수를 설정합니다.

   $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')

   Copy to Clipboard Toggle word wrap

4. 다음 명령을 실행하여 OpenShift Container Platform 릴리스 이미지에서 CredentialsRequest CR(사용자 정의 리소스) 목록을 추출합니다.

   $ oc adm release extract \
     --from=$RELEASE_IMAGE \
     --credentials-requests \
     --included \

   1

   
     --install-config=<path_to_directory_with_installation_configuration>/install-config.yaml \

   2

   
     --to=<path_to_directory_for_credentials_requests> 

   3

   Copy to Clipboard Toggle word wrap

   1

   --included 매개변수에는 특정 클러스터 구성에 필요한 매니페스트만 포함됩니다.

   2

   install-config.yaml 파일의 위치를 지정합니다.

   3

   CredentialsRequest 오브젝트를 저장할 디렉터리의 경로를 지정합니다. 지정된 디렉터리가 없으면 이 명령이 이를 생성합니다.

   이 명령을 수행하면 각 CredentialsRequest 오브젝트에 대해 YAML 파일이 생성됩니다.

   샘플 CredentialsRequest 개체

     apiVersion: cloudcredential.openshift.io/v1
     kind: CredentialsRequest
     metadata:
       labels:
         controller-tools.k8s.io: "1.0"
       name: openshift-image-registry-ibmcos
       namespace: openshift-cloud-credential-operator
     spec:
       secretRef:
         name: installer-cloud-credentials
         namespace: openshift-image-registry
       providerSpec:
         apiVersion: cloudcredential.openshift.io/v1
         kind: IBMCloudProviderSpec
         policies:
         - attributes:
           - name: serviceName
             value: cloud-object-storage
           roles:
           - crn:v1:bluemix:public:iam::::role:Viewer
           - crn:v1:bluemix:public:iam::::role:Operator
           - crn:v1:bluemix:public:iam::::role:Editor
           - crn:v1:bluemix:public:iam::::serviceRole:Reader
           - crn:v1:bluemix:public:iam::::serviceRole:Writer
         - attributes:
           - name: resourceType
             value: resource-group
           roles:
           - crn:v1:bluemix:public:iam::::role:Viewer

   Copy to Clipboard Toggle word wrap

5. 각 인증 정보 요청에 대한 서비스 ID를 생성하고, 정의된 정책을 할당하고, API 키를 생성하고, 보안을 생성합니다.

   $ ccoctl ibmcloud create-service-id \
     --credentials-requests-dir=<path_to_credential_requests_directory> \

   1

   
     --name=<cluster_name> \

   2

   
     --output-dir=<installation_directory> \

   3

   
     --resource-group-name=<resource_group_name> 

   4

   Copy to Clipboard Toggle word wrap

   1

   구성 요소 CredentialsRequest 오브젝트에 대한 파일이 포함된 디렉터리를 지정합니다.

   2

   OpenShift Container Platform 클러스터의 이름을 지정합니다.

   3

   선택 사항: ccoctl 유틸리티에서 오브젝트를 생성할 디렉터리를 지정합니다. 기본적으로 유틸리티는 명령이 실행되는 디렉터리에 오브젝트를 생성합니다.

   4

   선택 사항: 액세스 정책의 범위를 지정하는 데 사용되는 리소스 그룹의 이름을 지정합니다.

   참고

   클러스터에서 TechPreviewNoUpgrade 기능 세트에서 활성화한 기술 프리뷰 기능을 사용하는 경우 --enable-tech-preview 매개변수를 포함해야 합니다.

   잘못된 리소스 그룹 이름이 제공되면 부트스트랩 단계 중에 설치에 실패합니다. 올바른 리소스 그룹 이름을 찾으려면 다음 명령을 실행합니다.

   $ grep resourceGroupName <installation_directory>/manifests/cluster-infrastructure-02-config.yml

   Copy to Clipboard Toggle word wrap