Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.10. 手动创建 IAM

安装集群需要 Cloud Credential Operator(CCO)以手动模式运行。虽然安装程序为手动模式配置 CCO,但您必须为云供应商指定身份和访问管理 secret。

您可以使用 Cloud Credential Operator (CCO) 实用程序 (ccoctl) 创建所需的 IBM Cloud VPC 资源。

先决条件

  • 您已配置了 ccoctl 二进制文件。
  • 您有一个现有的 install-config.yaml 文件。

流程

  1. 编辑 install-config.yaml 配置文件,使其包含将 credentialsMode 参数设置为 Manual

    install-config.yaml 配置文件示例

    apiVersion: v1
baseDomain: cluster1.example.com
credentialsMode: Manual
    1 
    
compute:
- architecture: ppc64le
  hyperthreading: Enabled
    Copy to Clipboard Toggle word wrap

    1
    添加这一行将 credentialsMode 参数设置为 Manual

  2. 要生成清单,请在包含安装程序的目录中运行以下命令: 

    $ ./openshift-install create manifests --dir <installation_directory>
    Copy to Clipboard Toggle word wrap

  3. 从包含安装程序的目录中,获取构建 openshift-install 二进制文件的 OpenShift Container Platform 发行镜像: 

    $ RELEASE_IMAGE=$(./openshift-install version | awk '/release image/ {print $3}')
    Copy to Clipboard Toggle word wrap

  4. 从 OpenShift Container Platform 发行镜像中提取 CredentialsRequest 对象: 

    $ oc adm release extract \
  --from=$RELEASE_IMAGE \
  --credentials-requests \
  --cloud=<provider_name> \
    1 
    
  --to=<path_to_credential_requests_directory>
    2
    Copy to Clipboard Toggle word wrap
    1
    供应商的名称。例如: ibmcloudpowervs
    2
    存储凭据请求的目录。

    此命令为每个 CredentialsRequest 对象创建一个 YAML 文件。

    CredentialsRequest 对象示例

      apiVersion: cloudcredential.openshift.io/v1
  kind: CredentialsRequest
  metadata:
    labels:
      controller-tools.k8s.io: "1.0"
    name: openshift-image-registry-ibmcos
    namespace: openshift-cloud-credential-operator
  spec:
    secretRef:
      name: installer-cloud-credentials
      namespace: openshift-image-registry
    providerSpec:
      apiVersion: cloudcredential.openshift.io/v1
      kind: IBMCloudProviderSpec
      policies:
      - attributes:
        - name: serviceName
          value: cloud-object-storage
        roles:
        - crn:v1:bluemix:public:iam::::role:Viewer
        - crn:v1:bluemix:public:iam::::role:Operator
        - crn:v1:bluemix:public:iam::::role:Editor
        - crn:v1:bluemix:public:iam::::serviceRole:Reader
        - crn:v1:bluemix:public:iam::::serviceRole:Writer
      - attributes:
        - name: resourceType
          value: resource-group
        roles:
        - crn:v1:bluemix:public:iam::::role:Viewer
    Copy to Clipboard Toggle word wrap

  5. 为每个凭证请求创建服务 ID,分配定义的策略、创建 API 密钥并生成 secret: 

    $ ccoctl ibmcloud create-service-id \
    --credentials-requests-dir <path_to_credential_requests_directory> \
    1 
    
    --name <cluster_name> \
    2 
    
    --output-dir <installation_directory> \
    --resource-group-name <resource_group_name>
    3
    Copy to Clipboard Toggle word wrap
    1
    存储了凭据请求的目录。
    2
    OpenShift Container Platform 集群的名称。
    3
    可选:用于限制访问策略的资源组名称。
    注意

    如果您的集群使用 TechPreviewNoUpgrade 功能集启用的技术预览功能,则必须包含 --enable-tech-preview 参数。

    如果提供了不正确的资源组名称,安装会在 bootstrap 阶段失败。要查找正确的资源组名称,请运行以下命令: 

    $ grep resourceGroup <installation_directory>/manifests/cluster-infrastructure-02-config.yml
    Copy to Clipboard Toggle word wrap

验证

  • 确保在集群的 manifests 目录中生成了适当的 secret。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat