第 5 章 使用外部身份验证创建带有 HCP 集群的 ROSA
您可以使用托管 control plane (HCP)集群创建 Red Hat OpenShift Service on AWS (ROSA)集群,这些集群使用外部 OpenID Connect (OIDC)身份提供程序来发布令牌以进行身份验证,替换内置的 OpenShift OAuth 服务器。虽然内置的 OpenShift OAuth 服务器支持与各种身份提供程序(包括外部 OIDC 身份提供程序)集成,但它仅限于 OAuth 服务器本身的功能。您可以直接与外部 OIDC 身份提供程序与 HCP 集群集成,以便于机器到机器工作流(如 CLI),并提供使用内置 OpenShift OAuth 服务器时不可用的额外功能。
由于无法将现有的 ROSA 集群升级或转换为托管的 control plane 架构,您必须创建一个新集群以使用带有 HCP 功能的 ROSA。您还无法转换创建的集群,以使用外部身份验证供应商使用内部 OAuth2 服务器。您还必须创建新集群。
目前,使用 HCP 的 ROSA 不支持在 多个 AWS 帐户间共享 VPC。不要将带有 HCP 集群的 ROSA 安装到与另一个 AWS 帐户共享的子网。如需更多信息,请参阅 "支持单个 VPC 中的多个 ROSA 集群?"。
使用 HCP 集群的 ROSA 仅支持安全令牌服务(STS)身份验证。
进一步阅读
- 有关在 自动模式中使用 ROSA CLI 开始使用 HCP 的信息, 请参阅 AWS 文档。
5.1. 带有 HCP 先决条件的 ROSA
要使用 HCP 集群创建 ROSA,您必须完成以下步骤:
- 完成 AWS 的先决条件
- 配置的虚拟私有云(VPC)
- 创建集群范围的角色
- 创建 OIDC 配置
- 创建的 Operator 角色