第 18 章 管理云供应商凭证
18.1. 关于 Cloud Credential Operator
Cloud Credential Operator(CCO) 将云供应商凭证作为自定义资源定义 (CRD) 进行管理。CredentialsRequest 自定义资源(CR)的 CCO 同步,允许 OpenShift Container Platform 组件使用集群运行所需的特定权限请求云供应商凭证。
通过在 install-config.yaml 文件中为 credentialsMode 参数设置不同的值,可将 CCO 配置为以几种不同模式操作。如果没有指定模式,或将 credentialsMode 参数被设置为空字符串("")。
18.1.1. 模式
通过在 install-config.yaml 文件中为 credentialsMode 参数设置不同的值,可将 CCO 配置为在 mint、passthrough 或 manual 模式下操作。这些选项为 CCO 使用云凭证处理集群中的 credentialsRequest CR 提供了透明性和灵活性,并允许配置 CCO 以适应您的机构的安全要求。不是所有 CCO 模式都支持所有云供应商。
Mint:在 mint 模式中,CCO 使用提供的管理员级云凭证为集群中组件创建新凭证,且只具有所需的特定权限。
注意Mint 模式是 CCO 的默认和最佳实践设置。
- Passthrough:在 passthrough 模式中,CCO 将提供的云凭证传递给请求云凭证的组件。
Manual:在手动模式中,用户管理云凭证而不是 CCO。
- 使用 AWS STS 手动:在手动模式中,您可以将 AWS 集群配置为使用 Amazon Web Services Secure Token Service(AWS STS)。借助这一配置,CCO 对不同组件使用临时凭证。
| 云供应商 | Mint | Passthrough | Manual(手动) |
|---|---|---|---|
| Amazon Web Services (AWS) | X | X | X |
| Microsoft Azure | X | X | |
| Google Cloud Platform (GCP) | X | X | X |
| Red Hat OpenStack Platform(RHOSP) | X | ||
| Red Hat Virtualization(RHV) | X | ||
| VMware vSphere | X |
18.1.2. 默认行为
对于支持多个模式的平台(AWS、Azure 和 GCP),当 CCO 采用默认模式运行时,它会动态检查提供的凭证,以确定它们足以处理 credentialsRequest CR 的模式。
默认情况下,CCO 决定凭证是否足以满足 mint 模式(首选操作模式),并使用这些凭证为集群中组件创建适当的凭证。如果凭据不足以满足 mint 模式,它会决定凭证是否足以满足 passthrough 模式。如果凭据不足以满足 passthrough 模式,则 CCO 无法正确处理 CredentialsRequest CR。
如果确定提供的凭证在安装过程中不足,安装会失败。对于 AWS,安装程序在进程早期失败,并指示缺少哪些所需权限。在遇到错误之前,其他供应商可能不会提供有关错误原因的具体信息。
如果在安装成功后修改凭证,并且 CCO 确定新凭证不足,CCO 会给任何新的 CredentialsRequest CR 设置条件,表示因为凭证不足而无法处理这些凭证。
要解决凭据不足的问题,请为凭证提供足够权限。如果在安装过程中出现错误,请尝试再次安装。对于新 CredentialsRequest CR 的问题,请等待 CCO 尝试再次处理 CR。另外,您可以为 AWS、Azure 和 GCP 手动创建 IAM。
