19.4. Utilisation du mode manuel
Le mode manuel est pris en charge pour Alibaba Cloud, Amazon Web Services (AWS), Microsoft Azure, IBM Cloud et Google Cloud Platform (GCP).
En mode manuel, un utilisateur gère les informations d'identification du nuage à la place de l'opérateur d'informations d'identification du nuage (CCO). Pour utiliser ce mode, vous devez examiner les CR CredentialsRequest dans l'image de la version d'OpenShift Container Platform que vous exécutez ou installez, créer les informations d'identification correspondantes dans le fournisseur de cloud sous-jacent et créer des Secrets Kubernetes dans les espaces de noms corrects pour satisfaire toutes les CR CredentialsRequest pour le fournisseur de cloud du cluster.
L'utilisation du mode manuel permet à chaque composant du cluster de ne disposer que des autorisations dont il a besoin, sans stocker d'informations d'identification de niveau administrateur dans le cluster. Ce mode ne nécessite pas non plus de connexion au point de terminaison IAM public d'AWS. Cependant, vous devez réconcilier manuellement les autorisations avec les nouvelles images de version pour chaque mise à niveau.
Pour plus d'informations sur la configuration de votre fournisseur de cloud pour utiliser le mode manuel, consultez les options de gestion manuelle des informations d'identification de votre fournisseur de cloud :
19.4.1. Mode manuel avec des informations d'identification créées et gérées en dehors du cluster
Un cluster AWS ou GCP qui utilise le mode manuel peut être configuré pour créer et gérer des informations d'identification cloud depuis l'extérieur du cluster à l'aide du service de jetons de sécurité AWS (STS) ou de l'identité de charge de travail GCP. Avec cette configuration, le CCO utilise des informations d'identification temporaires pour différents composants.
Pour plus d'informations, voir Utilisation du mode manuel avec Amazon Web Services Security Token Service ou Utilisation du mode manuel avec GCP Workload Identity.
19.4.2. Mise à jour des ressources des fournisseurs de services en nuage à l'aide d'informations d'identification gérées manuellement
Avant de mettre à niveau un cluster dont les informations d'identification sont gérées manuellement, vous devez créer de nouvelles informations d'identification pour l'image de version vers laquelle vous effectuez la mise à niveau. Vous devez également examiner les autorisations requises pour les informations d'identification existantes et prendre en compte les nouvelles exigences en matière d'autorisations dans la nouvelle version pour ces composants.
Procédure
Extraire et examiner la ressource personnalisée
CredentialsRequestpour la nouvelle version.La section "Création manuelle de IAM" du contenu d'installation de votre fournisseur de cloud explique comment obtenir et utiliser les informations d'identification requises pour votre cloud.
Mettez à jour les informations d'identification gérées manuellement sur votre cluster :
-
Créer de nouveaux secrets pour toutes les ressources personnalisées
CredentialsRequestqui sont ajoutées par la nouvelle image. -
Si les ressources personnalisées
CredentialsRequestpour les informations d'identification existantes qui sont stockées dans des secrets ont modifié les exigences en matière d'autorisations, mettez à jour les autorisations comme il se doit.
-
Créer de nouveaux secrets pour toutes les ressources personnalisées
Si votre cluster utilise les capacités du cluster pour désactiver un ou plusieurs composants optionnels, supprimez les ressources personnalisées
CredentialsRequestpour tous les composants désactivés.Exemple
credrequestscontenu du répertoire pour OpenShift Container Platform 4.12 sur AWS0000_30_machine-api-operator_00_credentials-request.yaml 1 0000_50_cloud-credential-operator_05-iam-ro-credentialsrequest.yaml 2 0000_50_cluster-image-registry-operator_01-registry-credentials-request.yaml 3 0000_50_cluster-ingress-operator_00-ingress-credentials-request.yaml 4 0000_50_cluster-network-operator_02-cncc-credentials.yaml 5 0000_50_cluster-storage-operator_03_credentials_request_aws.yaml 6
- 1
- Le certificat de conducteur de machine API est exigé.
- 2
- Le certificat d'opérateur de titres de créance en nuage est requis.
- 3
- Le certificat d'opérateur de registre d'images est requis.
- 4
- Le CR de l'opérateur d'entrée est requis.
- 5
- Le certificat d'opérateur de réseau est requis.
- 6
- Le Storage Operator CR est un composant optionnel et peut être désactivé dans votre cluster.
Exemple
credrequestscontenu du répertoire pour OpenShift Container Platform 4.12 sur GCP0000_26_cloud-controller-manager-operator_16_credentialsrequest-gcp.yaml 1 0000_30_machine-api-operator_00_credentials-request.yaml 2 0000_50_cloud-credential-operator_05-gcp-ro-credentialsrequest.yaml 3 0000_50_cluster-image-registry-operator_01-registry-credentials-request-gcs.yaml 4 0000_50_cluster-ingress-operator_00-ingress-credentials-request.yaml 5 0000_50_cluster-network-operator_02-cncc-credentials.yaml 6 0000_50_cluster-storage-operator_03_credentials_request_gcp.yaml 7
- 1
- Le contrôleur de nuages Manager Operator CR est requis.
- 2
- Le certificat de conducteur de machine API est exigé.
- 3
- Le certificat d'opérateur de titres de créance en nuage est requis.
- 4
- Le certificat d'opérateur de registre d'images est requis.
- 5
- Le CR de l'opérateur d'entrée est requis.
- 6
- Le certificat d'opérateur de réseau est requis.
- 7
- Le Storage Operator CR est un composant optionnel et peut être désactivé dans votre cluster.
Prochaines étapes
-
Mettre à jour l'annotation
upgradeable-topour indiquer que le cluster est prêt à être mis à niveau.
19.4.2.1. Indique que la grappe est prête à être mise à niveau
L'état de Cloud Credential Operator (CCO) Upgradable pour un cluster dont les informations d'identification sont gérées manuellement est False par défaut.
Conditions préalables
-
Pour l'image de version vers laquelle vous effectuez la mise à niveau, vous avez traité toutes les nouvelles informations d'identification manuellement ou à l'aide de l'utilitaire Cloud Credential Operator (
ccoctl). -
Vous avez installé l'OpenShift CLI (
oc).
Procédure
-
Connectez-vous à
ocsur le cluster en tant qu'utilisateur ayant le rôlecluster-admin. Modifiez la ressource
CloudCredentialpour ajouter une annotationupgradeable-todans le champmetadataen exécutant la commande suivante :$ oc edit cloudcredential cluster
Texte à ajouter
... metadata: annotations: cloudcredential.openshift.io/upgradeable-to: <version_number> ...Où
<version_number>est la version vers laquelle vous effectuez la mise à niveau, au formatx.y.z. Par exemple, utilisez4.12.2pour OpenShift Container Platform 4.12.2.Plusieurs minutes peuvent s'écouler après l'ajout de l'annotation avant que l'état de mise à niveau ne change.
Vérification
- Dans la perspective Administrator de la console web, naviguez vers Administration → Cluster Settings.
Pour afficher les détails du statut du CCO, cliquez sur cloud-credential dans la liste Cluster Operators.
-
Si le statut Upgradeable de la section Conditions est False, vérifiez que l'annotation
upgradeable-toest exempte d'erreurs typographiques.
-
Si le statut Upgradeable de la section Conditions est False, vérifiez que l'annotation
- Lorsque l'état Upgradeable de la section Conditions est True, commencez la mise à niveau d'OpenShift Container Platform.
19.4.3. Ressources complémentaires
- Création manuelle de ressources RAM pour Alibaba Cloud
- Création manuelle d'IAM pour AWS
- Utilisation du mode manuel avec le service de jetons de sécurité d'Amazon Web Services
- Création manuelle d'IAM pour Azure
- Création manuelle d'IAM pour GCP
- Utilisation du mode manuel avec GCP Workload Identity
- Configuration de l'IAM pour IBM Cloud
- Configurer IAM pour Nutanix
