18.4. 使用手动模式
Amazon Web Services(AWS)、Microsoft Azure 和 Google Cloud Platform(GCP)支持手动模式。
在手动模式中,用户管理云凭证而不是 Cloud Credential Operator(CCO)。要使用此模式,您必须检查发行镜像中用于运行或安装的 OpenShift Container Platform 版本的 CredentialsRequest CR,在底层云供应商中创建对应的凭证,并在正确的命名空间中创建 Kubernetes Secret,以满足集群云供应商的所有 CredentialsRequest CR。
使用手动模式可允许每个集群组件只拥有所需的权限,而无需在集群中存储管理员级别的凭证。此模式还需要连接到 AWS 公共 IAM 端点。但是,每次升级都必须手动将权限与新发行镜像协调。
有关将云供应商配置为使用手动模式的详情,请参阅为 AWS、Azure 或 GCP 手动创建 IAM。
18.4.1. 使用手动维护的凭证升级集群
如果在未来的发行版本中添加了凭证,则使用手动维护凭证的集群的 Cloud Credential Operator(CCO)可升级状态会变为 false。对于次版本(例如从 4.6 到 4.7),这个状态会阻止升级,直到解决了更新的权限。对于 z-stream 版本(例如从 4.6.10 到 4.6.11),升级不会受阻,但必须为新版本更新凭证。
使用 Web 控制台的 Administrator 视角来判断 CCO 是否可以升级。
-
导航至 Administration
Cluster Settings。 - 要查看 CCO 状态详情,请点 Cluster Operators 列表中的 cloud-credential。
-
如果 Conditions 部分中的 Upgradeable 状态为 False,请检查新发行版本的
CredentialsRequests自定义资源,并在升级前更新集群中手动维护的凭证以匹配。
除了为您要升级到的发行版本镜像创建新凭证外,还需要查看现有凭证所需的权限,并满足新发行版本中现有组件的所有新权限要求。CCO 无法检测到这些不匹配的问题,且在此情况下无法将 upgradable 设置为 false。
云供应商安装内容的"手动创建 IAM"部分解释了如何获取和使用您的云所需的凭证。
