3.10. 轮转或删除云供应商凭证

流程

1. 在 web 控制台的 Administrator 视角中，导航到 Workloads Secrets。

2. 在 Secrets 页面的表中，找到您的云供应商的 root secret。

   平台	Secret 名称
   AWS	aws-creds
   Azure	azure-credentials
   GCP	gcp-credentials
   RHOSP	openstack-credentials
   RHV	ovirt-credentials
   vSphere	vsphere-creds

3. 点与 secret 相同的行 中的 Options 菜单，然后选择 Edit Secret。
4. 记录 Value 字段的内容。您可以使用这些信息验证在更新凭证后该值是否不同。
5. 使用云供应商的新身份验证信息更新 Value 字段的文本，然后点 Save。

6. 如果集群的 CCO 配置为使用 mint 模式，请删除各个 CredentialsRequest 对象引用的每个组件 secret。

   1. 以具有 cluster-admin 角色的用户身份登录到 OpenShift Container Platform CLI。

   2. 获取所有引用的组件 secret 的名称和命名空间：

      $ oc -n openshift-cloud-credential-operator get CredentialsRequest -o json | jq -r '.items[] | select (.spec.providerSpec.kind=="<provider_spec>") | .spec.secretRef'

      其中 <provider_spec> 是您的云供应商的对应值：

      平台	<provider_spec>
      AWS	AWSProviderSpec
      Azure	AzureProviderSpec
      GCP	GCPProviderSpec

      AWS 输出的部分示例

      {
        "name": "ebs-cloud-credentials",
        "namespace": "openshift-cluster-csi-drivers"
      }
      {
        "name": "cloud-credential-operator-iam-ro-creds",
        "namespace": "openshift-cloud-credential-operator"
      }
      ...

   3. 删除每个引用的组件 secret：

      $ oc delete secret <secret_name> -n <secret_namespace>

      其中，<secret_name> 是 secret 的名称，<secret_namespace> 是包括 secret 的命名空间。

      删除 AWS secret 示例

      $ oc delete secret ebs-cloud-credentials -n openshift-cluster-csi-drivers

      您不需要从供应商控制台手动删除凭证。删除引用的组件 secret 将导致 CCO 从平台中删除现有凭证并创建新凭证。

7. 验证凭证是否已更改：

   1. 在 web 控制台的 Administrator 视角中，导航到 Workloads Secrets。
   2. 验证 Value 字段的内容与之前记录的信息不同。