5.4. HCP 클러스터를 사용하여 ROSA에 대한 break glass 인증 정보 생성


HCP 클러스터 소유자가 있는 ROSA는 break glass 인증 정보를 사용하여 임시 관리 클라이언트 인증 정보를 생성하여 사용자 정의 OpenID Connect(OIDC) 토큰 발행자로 구성된 클러스터에 액세스할 수 있습니다. break glass 인증 정보를 생성하면 새 cluster-admin kubeconfig 파일이 생성됩니다. kubeconfig 파일에는 CLI에서 클라이언트를 올바른 클러스터 및 API 서버에 연결하는 데 사용하는 클러스터에 대한 정보가 포함되어 있습니다. 새로 생성된 kubeconfig 파일을 사용하여 HCP 클러스터에서 ROSA에 대한 액세스를 허용할 수 있습니다.

사전 요구 사항

  • 외부 인증이 활성화된 HCP 클러스터가 있는 ROSA를 생성했습니다. 자세한 내용은 외부 인증 공급자를 사용하는 HCP 클러스터를 사용하여 ROSA 생성 을 참조하십시오.
  • 외부 인증 공급자를 생성했습니다. 자세한 내용은 외부 인증 공급자 생성을 참조하십시오.
  • 클러스터 관리자 권한이 있는 계정이 있어야 합니다.

절차

  1. 다음 명령 중 하나를 사용하여 break glass 인증 정보를 생성합니다.

    • 대화형 명령 인터페이스를 사용하여 사용자 지정 설정을 대화식으로 지정하여 break glass 인증 정보를 생성하려면 다음 명령을 실행합니다.

      $ rosa create break-glass-credential -c <cluster_name> -i 1
      1
      <cluster_name>을 클러스터 이름으로 바꿉니다.

      이 명령은 대화형 CLI 프로세스를 시작합니다.

      출력 예

      I: Enabling interactive mode
      ? Username (optional): 1
      ? Expiration duration (optional): 2
      I: Successfully created a break glass credential for cluster 'ac-hcp-test'.

      1
      비워 두면 사용자 이름의 값은 임의로 생성된 username 값이 됩니다.
      2
      break glass 인증 정보의 최소 유효 기간은 10 분이며 최대 유효 기간은 24 시간입니다. 비워 두는 경우 expiration 기간 값은 기본적으로 24시간입니다.
    • 지정된 값이 있는 mycluster 라는 클러스터에 대한 중단 유리 인증 정보를 생성하려면 다음을 수행합니다.

      $ rosa create break-glass-credential -c mycluster --username test-username --expiration 1h
  2. 다음 명령을 실행하여 mycluster 라는 클러스터에 사용할 수 있는 break glass 인증 정보 ID, 상태 및 관련 사용자를 나열합니다.

    $ rosa list break-glass-credential -c mycluster

    출력 예

    ID                                USERNAME    STATUS
    2a7jli9n4phe6c02ul7ti91djtv2o51d  test-user   issued

    참고

    명령에 -o json 인수를 추가하여 JSON 출력에서 인증 정보를 볼 수도 있습니다.

  3. break glass 인증 정보의 상태를 보려면 다음 명령을 실행하여 <break_glass_credential_id>를 break glass 인증 정보 ID로 바꿉니다.

    $ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>

    출력 예

    ID:                                    2a7jli9n4phe6c02ul7ti91djtv2o51d
    Username:                              test-user
    Expire at:                             Dec 28 2026 10:23:05 EDT
    Status:                                issued

    다음은 사용 가능한 Status 필드 값 목록입니다.

    • 유리 인증 정보가 발행되었으며 사용할 준비가 되어 있습니다.
    • expired off glass 인증 정보가 만료되었으며 더 이상 사용할 수 없습니다.
    • break glass 인증 정보를 생성하지 못했습니다. 이 경우 실패를 자세히 설명하는 서비스 로그가 표시됩니다. 서비스 로그에 대한 자세한 내용은 AWS 클러스터에서 Red Hat OpenShift Service의 서비스 로그 액세스를 참조하십시오. Red Hat 지원에 문의하려면 지원 받기를 참조하십시오.
    • awaiting_revocation break glass 인증 정보는 현재 취소되고 있습니다. 즉, 사용할 수 없습니다.
    • 유리 인증 정보가 취소되어 더 이상 사용할 수 없습니다.
  4. kubeconfig 를 검색하려면 다음 명령을 실행합니다.

    • kubeconfig 디렉터리를 생성합니다.

      $ mkdir ~/kubeconfigs
    • 새로 생성된 kubeconfig 파일을 내보내 <cluster_name>을 클러스터 이름으로 교체합니다.

      $ export CLUSTER_NAME=<cluster_name> && export KUBECONFIG=~/kubeconfigs/break-glass-${CLUSTER_NAME}.kubeconfig
    • kubeconfig 를 확인합니다.

      $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig

      출력 예

      apiVersion: v1
      clusters:
      - cluster:
          server: <server_url>
        name: cluster
      contexts:
      - context:
          cluster: cluster
          namespace: default
          user: test-username
        name: admin
      current-context: admin
      kind: Config
      preferences: {}
      users:
      - name: test-user
        user:
          client-certificate-data: <client-certificate-data> 1
          client-key-data: <client-key-data> 2

      1
      client-certificate에는 Kubernetes CA(인증 기관)에서 서명한 사용자의 인증서가 포함되어 있습니다.
      2
      client-key에는 클라이언트 인증서에 서명한 키가 포함되어 있습니다.
  5. 선택 사항: kubeconfig 를 저장하려면 다음 명령을 실행합니다.

    $ rosa describe break-glass-credential <break_glass_credential_id> -c mycluster --kubeconfig > $KUBECONFIG

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.