第 2 章 使用自定义创建带有 STS 的 ROSA 集群
Red Hat OpenShift Service on AWS ROSA 4.12 集群创建可能需要很长时间或失败。ROSA 的默认版本被设置为 4.11,这意味着当您使用默认设置创建帐户角色或 ROSA 集群时,只创建 4.11 资源。4.12 中的帐户角色是向后兼容的,这是 account-role 策略版本的情况。您可以使用 --version 标志来创建 4.12 资源。
如需更多信息,请参阅 ROSA 4.12 集群创建失败解决方案。
使用自定义,使用 AWS 安全令牌服务(STS)创建 Red Hat OpenShift Service on AWS (ROSA)集群。您可以使用 Red Hat OpenShift Cluster Manager 或 ROSA CLI (rosa)部署集群。
使用本文档中的步骤,在创建所需的 AWS Identity and Access Management (IAM)资源时,您还可以选择 auto 和 manual 模式。
2.1. 了解自动和手动部署模式
当使用 AWS 安全令牌服务 (STS) 在 AWS (ROSA) 集群中安装 Red Hat OpenShift Service 时,您可以选择 auto 和 manual 模式来创建所需的 AWS Identity and Access Management (IAM)资源。
自动模式-
使用这个模式,ROSA CLI (
rosa)会立即创建所需的 IAM 角色和策略,以及 AWS 帐户中的 OpenID Connect (OIDC)供应商。 manual模式-
在这个版本中,
rosa输出创建 IAM 资源所需的aws命令。对应的策略 JSON 文件也保存到当前目录中。通过使用手动模式,您可以在手动运行前查看生成的aws命令。手动模式还允许您将命令传递给机构中的另一个管理员或组,以便他们可以创建资源。
如果选择 使用手动模式,集群安装会等待,直到手动创建特定于集群的 Operator 角色和 OIDC 供应商。创建资源后,安装将继续。如需更多信息,请参阅使用 OpenShift Cluster Manager 创建 Operator 角色和 OIDC 供应商。
有关使用 STS 安装 ROSA 所需的 AWS IAM 资源的更多信息,请参阅关于使用 STS 的集群的 IAM 资源。
2.1.1. 使用 OpenShift Cluster Manager 创建 Operator 角色和 OIDC 供应商
如果使用 Red Hat OpenShift Cluster Manager 安装集群并选择使用手动模式创建所需的 AWS IAM Operator 角色和 OIDC 供应商,则会提示您输入以下安装方法之一来安装资源。允许您选择适合您的机构需求的资源创建方法:
- AWS CLI (
aws) -
使用此方法,您可以下载并提取包含创建 IAM 资源所需的
aws命令和策略文件的存档文件。从包含策略文件的目录运行提供的 CLI 命令,以创建 Operator 角色和 OIDC 供应商。 - Red Hat OpenShift Service on AWS (ROSA) CLI,
rosa -
您可以运行此方法提供的命令,以使用
rosa为集群创建 Operator 角色和 OIDC 供应商。
如果使用 auto 模式,OpenShift Cluster Manager 会自动创建 Operator 角色和 OIDC 供应商,使用 OpenShift Cluster Manager IAM 角色提供的权限。要使用此功能,您必须将 admin 权限应用到该角色。