5.5. 使用 breaklet credential 访问带有 HCP 集群的 ROSA
使用 breakuildDefaults 凭证中的新的 kubeconfig
来获取对带有 HCP 集群的 ROSA 的临时管理员访问权限。
先决条件
- 您可以访问启用了外部身份验证的 HCP 集群的 ROSA。如需更多信息,请参阅使用外部身份验证供应商的 HCP 集群创建 ROSA。
-
已安装
oc
和kubectl
CLI。 -
您已配置了新的
kubeconfig
。如需更多信息,请参阅 使用 HCP 集群为 ROSA 创建中断凭证。
流程
访问集群的详情:
$ rosa describe break-glass-credential <break_glass_credential_id> -c <cluster_name> --kubeconfig > $KUBECONFIG
列出集群中的节点:
$ oc get nodes
输出示例
NAME STATUS ROLES AGE VERSION ip-10-0-0-27.ec2.internal Ready worker 8m v1.28.7+f1b5f6c ip-10-0-0-67.ec2.internal Ready worker 9m v1.28.7+f1b5f6c
验证您是否有正确的凭证:
$ kubectl auth whoami
输出示例
ATTRIBUTE VALUE Username system:customer-break-glass:test-user Groups [system:masters system:authenticated]
为外部 OIDC 供应商中定义的组应用
ClusterRoleBinding
。ClusterRoleBinding
将在 Microsoft Entra ID 中创建的rosa-hcp-admins
组映射到带有 HCP 集群的 ROSA 中的组。$ oc apply -f - <<EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: rosa-hcp-admins roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - apiGroup: rbac.authorization.k8s.io kind: Group name: f715c264-ab90-45d5-8a29-2e91a609a895 EOF
输出示例
clusterrolebinding.rbac.authorization.k8s.io/rosa-hcp-admins created
注意应用
ClusterRoleBinding
后,配置了 HCP 集群的 ROSA,并且rosa
CLI 和 Red Hat Hybrid Cloud Console 通过外部 OpenID Connect (OIDC)供应商进行身份验证。现在,您可以开始分配角色并在集群中部署应用程序。
其他资源
- 有关集群角色绑定的更多信息,请参阅使用 RBAC 定义和应用权限。