홈
제품
Red Hat OpenShift Service on AWS classic architecture
4
ROSA 소개
4.2. OpenID Connect 구성 생성

4.2. OpenID Connect 구성 생성

Red Hat에서 호스팅하는 클러스터를 사용하는 경우 ROSA(AWS 클래식 아키텍처) CLI에서 Red Hat OpenShift Service를 사용하여 관리되거나 관리되지 않는 OpenID Connect(OIDC) 구성을 생성할 수 있습니다. 관리형 OIDC 구성은 Red Hat의 AWS 계정에 저장되고 관리되지 않는 OIDC 구성은 AWS 계정 내에 저장됩니다. OIDC 구성은 OpenShift Cluster Manager와 함께 사용하도록 등록됩니다. 관리되지 않는 OIDC 구성을 생성할 때 CLI는 개인 키를 제공합니다.

4.2.1. OpenID Connect 구성 생성
링크 복사

AWS 클래식 아키텍처 클러스터에서 Red Hat OpenShift Service를 생성할 때 클러스터를 생성하기 전에 OpenID Connect(OIDC) 구성을 생성할 수 있습니다. 이 구성은 OpenShift Cluster Manager와 함께 사용하도록 등록됩니다.

사전 요구 사항

AWS 클래식 아키텍처에서 Red Hat OpenShift Service에 대한 AWS 사전 요구 사항을 완료했습니다.
설치 호스트에 최신 ROSA CLI(명령줄 인터페이스)(rosa)를 설치하고 구성했습니다.

프로세스

AWS 리소스와 함께 OIDC 구성을 생성하려면 다음 명령을 실행합니다.

rosa create oidc-config --mode=auto --yes

$ rosa create oidc-config --mode=auto --yes

Copy to Clipboard

Toggle word wrap

이 명령은 다음 정보를 반환합니다.

예를 들면 다음과 같습니다.

? Would you like to create a Managed (Red Hat hosted) OIDC Configuration Yes
I: Setting up managed OIDC configuration
I: To create Operator Roles for this OIDC Configuration, run the following command and remember to replace <user-defined> with a prefix of your choice:
	rosa create operator-roles --prefix <user-defined> --oidc-config-id 13cdr6b
If you are going to create a Hosted Control Plane cluster please include '--hosted-cp'
I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/13cdr6b'

? Would you like to create a Managed (Red Hat hosted) OIDC Configuration Yes
I: Setting up managed OIDC configuration
I: To create Operator Roles for this OIDC Configuration, run the following command and remember to replace <user-defined> with a prefix of your choice:
	rosa create operator-roles --prefix <user-defined> --oidc-config-id 13cdr6b
If you are going to create a Hosted Control Plane cluster please include '--hosted-cp'
I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/13cdr6b'

Copy to Clipboard

Toggle word wrap

클러스터를 생성할 때 OIDC 구성 ID를 제공해야 합니다. CLI 출력은 --mode auto 에 대해 이 값을 제공합니다. 그러지 않으면 --mode 수동 에 대한 aws CLI 출력을 기반으로 이러한 값을 확인해야 합니다.

선택 사항: 나중에 사용할 수 있도록 OIDC 구성 ID를 변수로 저장할 수 있습니다. 다음 명령을 실행하여 변수를 저장합니다.
```
export OIDC_ID=<oidc_config_id>
```
```
$ export OIDC_ID=<oidc_config_id>
```
Copy to Clipboard Toggle word wrap
<oidc_config_id>
이 예제 출력에서 OIDC 구성 ID는 13cdr6b 입니다.
- 다음 명령을 실행하여 변수 값을 확인합니다.
  $ echo $OIDC_ID
  Copy to Clipboard Toggle word wrap
  예를 들면 다음과 같습니다.
  13cdr6b
  Copy to Clipboard Toggle word wrap

검증

사용자 조직과 연결된 클러스터에 사용 가능한 OIDC 구성을 나열할 수 있습니다. 다음 명령을 실행합니다.

rosa list oidc-config

$ rosa list oidc-config

Copy to Clipboard

Toggle word wrap

예를 들면 다음과 같습니다.

ID                                MANAGED  ISSUER URL                                                             SECRET ARN
2330dbs0n8m3chkkr25gkkcd8pnj3lk2  true     https://dvbwgdztaeq9o.cloudfront.net/2330dbs0n8m3chkkr25gkkcd8pnj3lk2
233hvnrjoqu14jltk6lhbhf2tj11f8un  false    https://oidc-r7u1.s3.us-east-1.amazonaws.com                           aws:secretsmanager:us-east-1:242819244:secret:rosa-private-key-oidc-r7u1-tM3MDN

ID                                MANAGED  ISSUER URL                                                             SECRET ARN
2330dbs0n8m3chkkr25gkkcd8pnj3lk2  true     https://dvbwgdztaeq9o.cloudfront.net/2330dbs0n8m3chkkr25gkkcd8pnj3lk2
233hvnrjoqu14jltk6lhbhf2tj11f8un  false    https://oidc-r7u1.s3.us-east-1.amazonaws.com                           aws:secretsmanager:us-east-1:242819244:secret:rosa-private-key-oidc-r7u1-tM3MDN

Copy to Clipboard

Toggle word wrap

4.2.2. 자체 OpenID Connect 구성을 생성하기 위한 매개변수 옵션
링크 복사

다음 옵션을 rosa create oidc-config 명령에 추가할 수 있습니다. 이러한 매개변수는 모두 선택 사항입니다. rosa create oidc-config 명령을 매개 변수 없이 실행하면 관리되지 않는 OIDC 구성이 생성됩니다.

참고

OpenShift Cluster Manager를 통해 /oidc_configs 에 요청을 게시하여 관리되지 않는 OIDC 구성을 등록해야 합니다. 응답에 ID가 수신됩니다. 이 ID를 사용하여 클러스터를 생성합니다.

4.2.2.1. Raw-files
링크 복사

개인 RSA 키에 대한 원시 파일을 제공할 수 있습니다. 이 키의 이름은 rosa-private-key-oidc-<random_label_of_length_4>.key 입니다. 또한 discovery-document- oidc-<random_label_of_length_4>.json 이라는 검색 문서와 jwks-oidc-<random_label_of_length_4>.json 이라는 JSON 웹 키 세트도 수신합니다.

이러한 파일을 사용하여 엔드포인트를 설정합니다. 이 끝점은 검색 문서와 JSON 웹 키 세트를 사용하여 keys.json 에서 /.well-known/openid-configuration 에 응답합니다. 개인 키는 Amazon Web Services(AWS) Secrets Manager Service (SMS)에 일반 텍스트로 저장됩니다.

예

rosa create oidc-config --raw-files

$ rosa create oidc-config --raw-files

Copy to Clipboard

Toggle word wrap

4.2.2.2. mode
링크 복사

OIDC 구성을 생성하기 위해 모드를 지정할 수 있습니다. 수동 옵션을 사용하면 S3 버킷에 OIDC 구성을 설정하는 AWS 명령을 받습니다. 이 옵션은 개인 키를 시크릿 관리자에 저장합니다. 수동 옵션을 사용하면 OIDC 끝점 URL은 S3 버킷의 URL입니다. OpenShift Cluster Manager에 OIDC 구성을 등록하려면 Secrets Manager ARN을 검색해야 합니다.

auto 옵션을 사용할 때 수동 모드와 동일한 OIDC 구성 및 AWS 리소스가 제공됩니다. 두 옵션의 중요한 차이점은 자동 옵션을 사용할 때 AWS를 호출하므로 추가 작업을 수행할 필요가 없다는 것입니다. OIDC 엔드 포인트 URL은 S3 버킷의 URL입니다. CLI는 Secrets Manager ARN을 검색하고 OpenShift Cluster Manager에 OIDC 구성을 등록하고, 사용자가 STS 클러스터 생성을 계속하기 위해 실행할 수 있는 두 번째 rosa 명령을 보고합니다.

예

rosa create oidc-config --mode=<auto|manual>

$ rosa create oidc-config --mode=<auto|manual>

Copy to Clipboard

Toggle word wrap

4.2.2.3. 관리됨
링크 복사

Red Hat의 AWS 계정에서 호스팅되는 OIDC 구성을 생성합니다. 이 명령은 STS 클러스터를 생성할 때 사용할 OIDC 구성 ID로 직접 응답하는 개인 키를 생성합니다.

예

rosa create oidc-config --managed

$ rosa create oidc-config --managed

Copy to Clipboard

Toggle word wrap

출력 예

W: For a managed OIDC Config only auto mode is supported. However, you may choose the provider creation mode
? OIDC Provider creation mode: auto
I: Setting up managed OIDC configuration
I: Please run the following command to create a cluster with this oidc config
rosa create cluster --sts --oidc-config-id 233jnu62i9aphpucsj9kueqlkr1vcgra
I: Creating OIDC provider using 'arn:aws:iam::242819244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::242819244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/233jnu62i9aphpucsj9kueqlkr1vcgra'

W: For a managed OIDC Config only auto mode is supported. However, you may choose the provider creation mode
? OIDC Provider creation mode: auto
I: Setting up managed OIDC configuration
I: Please run the following command to create a cluster with this oidc config
rosa create cluster --sts --oidc-config-id 233jnu62i9aphpucsj9kueqlkr1vcgra
I: Creating OIDC provider using 'arn:aws:iam::242819244:user/userName'
? Create the OIDC provider? Yes
I: Created OIDC provider with ARN 'arn:aws:iam::242819244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/233jnu62i9aphpucsj9kueqlkr1vcgra'

Copy to Clipboard

Toggle word wrap

맨 위로 이동

4.2. OpenID Connect 구성 생성

4.2.1. OpenID Connect 구성 생성
링크 복사

4.2.2. 자체 OpenID Connect 구성을 생성하기 위한 매개변수 옵션
링크 복사

4.2.2.1. Raw-files
링크 복사

4.2.2.2. mode
링크 복사

4.2.2.3. 관리됨
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.2. OpenID Connect 구성 생성

4.2.1. OpenID Connect 구성 생성링크 복사링크가 클립보드에 복사되었습니다!

4.2.2. 자체 OpenID Connect 구성을 생성하기 위한 매개변수 옵션링크 복사링크가 클립보드에 복사되었습니다!

4.2.2.1. Raw-files링크 복사링크가 클립보드에 복사되었습니다!

4.2.2.2. mode링크 복사링크가 클립보드에 복사되었습니다!

4.2.2.3. 관리됨링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.2.1. OpenID Connect 구성 생성
링크 복사

4.2.2. 자체 OpenID Connect 구성을 생성하기 위한 매개변수 옵션
링크 복사

4.2.2.1. Raw-files
링크 복사

4.2.2.2. mode
링크 복사

4.2.2.3. 관리됨
링크 복사