5.4. HCP 클러스터를 사용하여 ROSA에 대한 break glass 인증 정보 생성
HCP 클러스터 소유자가 있는 ROSA는 break glass 인증 정보를 사용하여 임시 관리 클라이언트 인증 정보를 생성하여 사용자 정의 OpenID Connect(OIDC) 토큰 발행자로 구성된 클러스터에 액세스할 수 있습니다. break glass 인증 정보를 생성하면 새 cluster-admin kubeconfig
파일이 생성됩니다. kubeconfig
파일에는 CLI에서 클라이언트를 올바른 클러스터 및 API 서버에 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 새로 생성된 kubeconfig
파일을 사용하여 HCP 클러스터에서 ROSA에 대한 액세스를 허용할 수 있습니다.
사전 요구 사항
- 외부 인증이 활성화된 HCP 클러스터가 있는 ROSA를 생성했습니다. 자세한 내용은 외부 인증 공급자를 사용하는 HCP 클러스터를 사용하여 ROSA 생성 을 참조하십시오.
- 외부 인증 공급자를 생성했습니다. 자세한 내용은 외부 인증 공급자 생성을 참조하십시오.
-
클러스터 관리자
권한이 있는 계정이 있어야 합니다.
절차
다음 명령 중 하나를 사용하여 break glass 인증 정보를 생성합니다.
대화형 명령 인터페이스를 사용하여 사용자 지정 설정을 대화식으로 지정하여 break glass 인증 정보를 생성하려면 다음 명령을 실행합니다.
$ rosa create break-glass-credential -c <cluster_name> -i 1
- 1
- <cluster_name>을 클러스터 이름으로 바꿉니다.
이 명령은 대화형 CLI 프로세스를 시작합니다.
출력 예
I: Enabling interactive mode ? Username (optional): 1 ? Expiration duration (optional): 2 I: Successfully created a break glass credential for cluster 'ac-hcp-test'.
지정된 값이 있는
mycluster
라는 클러스터에 대한 중단 유리 인증 정보를 생성하려면 다음을 수행합니다.$ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
다음 명령을 실행하여
mycluster
라는 클러스터에 사용할 수 있는 break glass 인증 정보 ID, 상태 및 관련 사용자를 나열합니다.$ rosa list break-glass-credential -c mycluster
출력 예
ID USERNAME STATUS 2a7jli9n4phe6c02ul7ti91djtv2o51d test-user issued
참고명령에
-o json
인수를 추가하여 JSON 출력에서 인증 정보를 볼 수도 있습니다.break glass 인증 정보의 상태를 보려면 다음 명령을 실행하여 <break_glass_credential_id>를 break glass 인증 정보 ID로 바꿉니다.
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>
출력 예
ID: 2a7jli9n4phe6c02ul7ti91djtv2o51d Username: test-user Expire at: Dec 28 2026 10:23:05 EDT Status: issued
다음은 사용 가능한
Status
필드 값 목록입니다.-
유리 인증 정보가 발행되었으며 사용할 준비가 되어 있습니다.
-
expired
off glass 인증 정보가 만료되었으며 더 이상 사용할 수 없습니다. -
break glass 인증 정보를 생성하지 못했습니다.
이 경우 실패를 자세히 설명하는 서비스 로그가 표시됩니다. 서비스 로그에 대한 자세한 내용은 AWS 클러스터에서 Red Hat OpenShift Service의 서비스 로그 액세스를 참조하십시오. Red Hat 지원에 문의하려면 지원 받기를 참조하십시오.
-
awaiting_revocation
break glass 인증 정보는 현재 취소되고 있습니다. 즉, 사용할 수 없습니다. -
유리 인증 정보가 취소되어 더 이상 사용할 수 없습니다.
-
유리 인증 정보가 발행되었으며 사용할 준비가 되어 있습니다.
kubeconfig
를 검색하려면 다음 명령을 실행합니다.kubeconfig 디렉터리를
생성합니다.$ mkdir ~/kubeconfigs
새로 생성된
kubeconfig
파일을 내보내 <cluster_name>을 클러스터 이름으로 교체합니다.$ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
kubeconfig
를 확인합니다.$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig
출력 예
apiVersion: v1 clusters: - cluster: server: <server_url> name: cluster contexts: - context: cluster: cluster namespace: default user: test-username name: admin current-context: admin kind: Config preferences: {} users: - name: test-user user: client-certificate-data: <client-certificate-data> 1 client-key-data: <client-key-data> 2
선택 사항:
kubeconfig
를 저장하려면 다음 명령을 실행합니다.$ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG
추가 리소스
- 외부 인증이 활성화된 HCP 클러스터를 사용하여 ROSA를 생성하는 방법에 대한 자세한 내용은 외부 인증 공급자를 사용하는 HCP 클러스터를 사용하여 ROSA 생성 을 참조하십시오.