3.3. 使用 HCP 的 ROSA 组件
- AWS 基础架构 - 集群所需的基础架构,包括 Amazon EC2 实例、Amazon EBS 存储和网络组件。如需有关云资源配置的更多信息,请参阅 AWS 计算类型,以查看计算节点的支持的实例类型 和 置备的 AWS 基础架构。
- AWS STS - 授权短期动态令牌的方法,为用户提供了临时与 AWS 帐户资源交互所需的权限。
- OpenID Connect (OIDC) - 集群 Operator 使用 AWS 进行身份验证的机制,假设集群角色通过信任策略从 AWS IAM STS 获取临时凭证,以便从 AWS IAM STS 进行所需的 API 调用。
角色和策略 - ROSA 与 HCP 使用的角色和策略可以划分为集群范围的角色和策略,以及 Operator 角色和策略。
策略决定了每个角色允许的操作。如需有关信任策略的更多详情,请参阅使用 STS 的 ROSA 集群以及 ROSA IAM 角色资源 的更多详情,请参阅关于 IAM 资源。
集群范围的角色有:
- ManagedOpenShift-Installer-Role
- ManagedOpenShift-Worker-Role
- ManagedOpenShift-Support-Role
帐户范围的 AWS 管理策略有:
- ROSAInstallerPolicy
- ROSAWorkerInstancePolicy
- ROSASRESupportPolicy
- ROSAIngressOperatorPolicy
- ROSAAmazonEBSCSIDriverOperatorPolicy
- ROSACloudNetworkConfigOperatorPolicy
- ROSAControlPlaneOperatorPolicy
- ROSAImageRegistryOperatorPolicy
- ROSAKMSProviderPolicy
- ROSAKubeControllerPolicy
- ROSAManageSubscription
- ROSANodePoolManagementPolicy
注意集群 Operator 角色使用某些策略,如下所列。Operator 角色在第二步骤中创建,因为它们依赖于现有集群名称,且不能与集群范围的角色同时创建。
Operator 角色有:
- <operator_role_prefix>-openshift-cluster-csi-drivers-ebs-cloud-credentials
- <operator_role_prefix>-openshift-cloud-network-config-controller-cloud-credentials
- <operator_role_prefix>-openshift-machine-api-aws-cloud-credentials
- <operator_role_prefix>-openshift-cloud-credential-operator-cloud-credentials
- <operator_role_prefix>-openshift-image-registry-installer-cloud-credentials
- <operator_role_prefix>-openshift-ingress-operator-cloud-credentials
- 为每个帐户范围的角色和每个 Operator 角色和每个 Operator 角色创建信任策略。
