5.5. 使用 breaklet credential 访问带有 HCP 集群的 ROSA


使用 breakuildDefaults 凭证中的新的 kubeconfig 来获取对带有 HCP 集群的 ROSA 的临时管理员访问权限。

先决条件

  • 您可以访问启用了外部身份验证的 HCP 集群的 ROSA。如需更多信息,请参阅使用外部身份验证供应商的 HCP 集群创建 ROSA
  • 已安装 ockubectl CLI。
  • 您已配置了新的 kubeconfig。如需更多信息,请参阅 使用 HCP 集群为 ROSA 创建中断凭证

流程

  1. 访问集群的详情:

    $ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name>  --kubeconfig > $KUBECONFIG
  2. 列出集群中的节点:

    $ oc get nodes

    输出示例

    NAME                        STATUS   ROLES   AGE   VERSION
    ip-10-0-0-27.ec2.internal   Ready    worker  8m    v1.28.7+f1b5f6c
    ip-10-0-0-67.ec2.internal   Ready    worker  9m    v1.28.7+f1b5f6c

  3. 验证您是否有正确的凭证:

    $ kubectl auth whoami

    输出示例

    ATTRIBUTE    VALUE
    Username     system:customer-break-glass:test-user
    Groups       [system:masters system:authenticated]

  4. 为外部 OIDC 供应商中定义的组应用 ClusterRoleBindingClusterRoleBinding 将在 Microsoft Entra ID 中创建的 rosa-hcp-admins 组映射到带有 HCP 集群的 ROSA 中的组。

    $ oc apply -f - <<EOF
    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: rosa-hcp-admins
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: cluster-admin
    subjects:
    - apiGroup: rbac.authorization.k8s.io
      kind: Group
      name: f715c264-ab90-45d5-8a29-2e91a609a895
    EOF

    输出示例

    clusterrolebinding.rbac.authorization.k8s.io/rosa-hcp-admins created

    注意

    应用 ClusterRoleBinding 后,配置了 HCP 集群的 ROSA,并且 rosa CLI 和 Red Hat Hybrid Cloud Console 通过外部 OpenID Connect (OIDC)供应商进行身份验证。现在,您可以开始分配角色并在集群中部署应用程序。

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.