第 1 章 使用 STS 部署 ROSA 的先决条件清单
这是使用 STS 在 AWS (ROSA)经典集群上创建 Red Hat OpenShift Service 所需的先决条件清单。
这是高级别清单,您的实施可能会有所不同。
在运行安装过程前,请验证您从可访问的机器中部署它:
- 您置备的云的 API 服务。
-
访问
api.openshift.com
、oidc.op1.openshiftapps.com
和sso.redhat.com
。 - 您调配的网络上的主机。
- 用于获取安装介质的互联网。
从 ROSA CLI 版本 1.2.7 开始,新集群中的所有 OIDC 供应商端点 URL 使用 Amazon CloudFront 和 oidc.op1.openshiftapps.com 域。这个变化提高了访问速度,降低延迟,并改进了使用 ROSA CLI 1.2.7 或更高版本创建的新集群的弹性。不支持现有 OIDC 供应商配置的迁移路径。
1.1. 帐户和 CLI 先决条件
您必须安装帐户和 CLI 以部署集群。
1.1.1. AWS 帐户
收集以下详情:
- AWS IAM 用户
- AWS 访问密钥 ID
- AWS Secret 访问密钥
- 确保您具有正确的权限,作为 ROSA 的 ROSA 和 About IAM 资源用于使用 STS 的 ROSA 集群 的详细权限。
- 如需了解更多详细信息,请参阅 帐户。
- 请参阅 将 AWS 账户与您的红帽机构 关联,以获取关联您的帐户的入侵。
1.1.2. AWS CLI (aws
)
- 如果还没有从 AWS 命令行界面 安装。
配置 CLI:
在终端中输入
aws 配置
:$ aws configure
- 输入 AWS 访问密钥 ID 并按 输入。
- 输入 AWS Secret Access Key 并按 输入。
- 输入您要部署到的默认区域。
- 输入您想要的输出格式,"table" 或 "json"。
运行以下命令验证输出:
$ aws sts get-caller-identity
运行以下命令,确保 ELB 的服务角色已存在:
$ aws iam get-role --role-name "AWSServiceRoleForElasticLoadBalancing"
如果不存在,请运行:
$ aws iam create-service-linked-role --aws-service-name "elasticloadbalancing.amazonaws.com"
1.1.3. 红帽帐户
- 如果还没有创建 Red Hat Hybrid Cloud Console 帐户。
1.1.4. ROSA CLI (rosa
)
- 如果还没有,从 AWS 控制台的 AWS 帐户启用 ROSA。
- 通过安装 Red Hat OpenShift Service on AWS (ROSA) CLI、rosa 或 OpenShift 控制台 AWS 控制台安装 CLI。
在终端中输入
rosa 登录
,这将提示您通过控制台进入 令牌页面 :$ rosa login
- 使用您的红帽帐户凭证登录。
- 点 Load token 按钮。
复制令牌并将其粘贴到 CLI 提示符,然后按 Enter 键。
或者,您可以复制完整的
$ rosa login --token=abc…
命令,并在终端中粘贴:$ rosa login --token=<abc..>
运行以下命令验证您的凭证:
$ rosa whoami
运行以下命令确保您有足够的配额:
$ rosa verify quota
- 有关为 ROSA 集群置备的 AWS 服务的详情,请参阅置备 AWS 基础架构。
- 有关 AWS 服务配额的详情,请参阅所需的 AWS 服务配额。
1.1.5. OpenShift CLI (oc
)
- 通过 OpenShift CLI 或 OpenShift 控制台 命令行界面(CLI) 工具安装。
运行以下命令验证 OpenShift CLI 是否已正确安装:
$ rosa verify openshift-client
安装并启用了上述先决条件后,继续执行后续步骤。
1.1.6. 将您的 AWS 帐户与红帽机构相关联
在 Red Hat Hybrid Cloud Console 上使用 Red Hat OpenShift Cluster Manager 创建使用 AWS 安全令牌服务(STS)的 Red Hat OpenShift Service on AWS (ROSA)集群之前,创建一个 OpenShift Cluster Manager IAM 角色并将其链接到您的红帽机构。然后,创建一个用户 IAM 角色,并将其链接到同一红帽机构中的红帽用户帐户。
流程
创建 OpenShift Cluster Manager 角色并将其链接到红帽机构:
注意要使用 OpenShift Cluster Manager Hybrid Cloud Console 启用特定于集群的 Operator 角色和 OpenID Connect (OIDC)供应商,您必须在创建 ROSA 集群的 Accounts and roles 步骤中选择 Admin OCM role 命令,将管理特权应用到角色。如需有关 OpenShift Cluster Manager 角色的基本和管理特权的更多信息,请参阅了解 AWS 帐户关联。
注意如果您在 OpenShift Cluster Manager Hybrid Cloud Console 中创建 ROSA 集群的 Accounts and roles 步骤中选择了 Basic OCM role 命令,则必须使用手动模式部署 ROSA 集群。系统将提示您配置特定于集群的 Operator 角色和 OpenID Connect (OIDC)供应商。
$ rosa create ocm-role
选择提示符处的默认值,以快速创建和连接角色。
创建用户角色并将其链接到您的红帽帐户:
$ rosa create user-role
选择提示符处的默认值,以快速创建和连接角色。
注意红帽用户帐户必须存在于链接到 OpenShift Cluster Manager 角色的红帽机构中。