Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie einen ROSA mit HCP-Cluster mithilfe der ROSA CLI
In den folgenden Abschnitten werden die ersten Schritte mit ROSA mit gehosteten Steuerungsebenen (ROSA mit HCP) AWS STS und der ROSA CLI beschrieben. Schritte zur Erstellung eines ROSA mit HCP-Clusters mithilfe von Terraform finden Sie in [der](https://docs.openshift.com/rosa/rosa_hcp/terraform/rosa-hcp-creating-a-cluster-quickly-terraform.html) Red Hat-Dokumentation. [Weitere Informationen über den Terraform-Anbieter für die Erstellung von ROSA Clustern finden Sie in der Terraform-Dokumentation.](https://registry.terraform.io/providers/terraform-redhat/rhcs/latest/docs)
Die ROSA CLI verwendet `auto` Modus oder `manual` Modus, um die IAM Ressourcen und die OpenID Connect (OIDC) -Konfiguration zu erstellen, die zum Erstellen eines erforderlich sind. ROSA Cluster`auto`mode erstellt automatisch die erforderlichen IAM Rollen und Richtlinien sowie den OIDC-Anbieter. `manual`mode gibt die AWS CLI Befehle aus, die zum manuellen Erstellen der IAM Ressourcen erforderlich sind. Wenn Sie `manual` den Modus verwenden, können Sie die generierten AWS CLI Befehle überprüfen, bevor Sie sie manuell ausführen. `manual`Im Modus können Sie die Befehle auch an einen anderen Administrator oder eine andere Gruppe in Ihrer Organisation weitergeben, sodass dieser die Ressourcen erstellen kann.
Die Verfahren in diesem Dokument verwenden den `auto` Modus der ROSA CLI, um die erforderlichen IAM Ressourcen und die OIDC-Konfiguration für ROSA mit HCP zu erstellen. Weitere Optionen für den Einstieg finden Sie unter. [Fangen Sie an mit ROSA](getting-started.md)
**Topics**
+ [Voraussetzungen](#getting-started-hcp-prereqs)
+ [Amazon VPC Architektur erstellen](#create-vpc-hcp)
+ [Erstellen Sie die erforderlichen IAM Rollen und die OpenID Connect-Konfiguration](#create-iam-roles-oidc-hcp)
+ [Erstellen Sie einen ROSA mit HCP-Cluster mithilfe der ROSA CLI und AWS STS](#create-hcp-cluster-cli)
+ [Konfigurieren Sie einen Identitätsanbieter und gewähren Cluster Sie Zugriff](#configure-oidc-hcp-cli)
+ [Gewähren Sie dem Benutzer Zugriff auf eine Cluster](#grant-user-access-hcp-cli)
+ [Konfigurieren von `cluster-admin`-Berechtigungen](#configure-cluster-admin-hcp)
+ [Konfigurieren von `dedicated-admin`-Berechtigungen](#configure-dedicated-admin-hcp)
+ [Greifen Sie Cluster über die Red Hat Hybrid Cloud Console auf a zu](#console-access-hcp-cli)
+ [Stellen Sie eine Anwendung aus dem Entwicklerkatalog bereit](#deploy-app-hcp-cli)
+ [Widerrufen `cluster-admin` Sie die Berechtigungen eines Benutzers](#revoke-cluster-admin-hcp-cli)
+ [Widerrufen `dedicated-admin` Sie die Berechtigungen eines Benutzers](#revoke-dedicated-admin-hcp-cli)
+ [Widerrufen Sie den Benutzerzugriff auf eine Cluster](#revoke-user-hcp-cli)
+ [Löschen Sie einen Cluster und AWS STS Ressourcen](#delete-cluster-hcp-cli)
## Voraussetzungen
Führen Sie die erforderlichen Aktionen aus, die unter aufgeführt sind[Zur Verwendung eingerichtet ROSA](set-up.md).
## Amazon VPC Architektur erstellen
Mit dem folgenden Verfahren wird eine Amazon VPC Architektur erstellt, die zum Hosten eines Clusters verwendet werden kann. Alle Cluster Ressourcen werden im privaten Subnetz gehostet. Das öffentliche Subnetz leitet ausgehenden Verkehr vom privaten Subnetz über ein NAT-Gateway zum öffentlichen Internet weiter. In diesem Beispiel wird der CIDR-Block für die verwendet. `10.0.0.0/16` Amazon VPC Sie können jedoch einen anderen CIDR-Block wählen. Weitere Informationen finden Sie unter [Dimensionierung der VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#vpc-sizing).
**Wichtig**
Wenn die Amazon VPC Anforderungen nicht erfüllt sind, schlägt die Clustererstellung fehl.
**Example**
1. Installieren Sie die Terraform-CLI. Weitere Informationen finden Sie in den [Installationsanweisungen in der Terraform-Dokumentation](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli).
1. Öffnen Sie eine Terminalsitzung und klonen Sie das Terraform VPC-Repository.
```
git clone https://github.com/openshift-cs/terraform-vpc-example
```
1. Navigieren Sie zum erstellten Verzeichnis.
```
cd terraform-vpc-example
```
1. Initiieren Sie die Terraform-Datei.
```
terraform init
```
Sobald der Vorgang abgeschlossen ist, gibt die CLI eine Meldung zurück, dass Terraform erfolgreich initialisiert wurde.
1. Führen Sie den folgenden Befehl aus, um einen Terraform-Plan auf der Grundlage der vorhandenen Vorlage zu erstellen. Der AWS-Region muss angegeben werden. Optional können Sie einen Clusternamen angeben.
```
terraform plan -out rosa.tfplan -var region=
```
Sobald der Befehl ausgeführt wurde, wird dem `hypershift-tf` Verzeichnis eine `rosa.tfplan` Datei hinzugefügt. Ausführlichere Optionen finden Sie in der [README-Datei des Terraform VPC-Repositorys](https://github.com/openshift-cs/terraform-vpc-example/blob/main/README.md).
1. Wenden Sie die Plandatei an, um die VPC zu erstellen.
```
terraform apply rosa.tfplan
```
Nach Abschluss des Vorgangs gab die CLI eine Erfolgsmeldung zurück, in der die hinzugefügten Ressourcen überprüft wurden.
1. (Optional) Erstellen Sie Umgebungsvariablen für das von Terraform bereitgestellte private, öffentliche und Machinepool-Subnetz, die Sie bei der Erstellung Ihres ROSA mit HCP-Clusters verwenden IDs können.
```
export SUBNET_IDS=$(terraform output -raw cluster-subnets-string)
```
1. (Optional) Stellen Sie sicher, dass die Umgebungsvariablen korrekt festgelegt wurden.
```
echo $SUBNET_IDS
```
1. Öffnen Sie die [Amazon VPC -Konsole](https://console.aws.amazon.com/vpc).
1. Wählen Sie auf dem VPC-Dashboard **Create VPC** (VPC erstellen) aus.
1. Wählen Sie unter **Zu erstellende Ressourcen** die Option **VPC und mehr** aus.
1. Lassen Sie die **automatische Generierung von Namenstags** aktiviert, um Namenstags für die VPC-Ressourcen zu erstellen, oder deaktivieren Sie sie, um Ihre eigenen Namenstags für die VPC-Ressourcen bereitzustellen.
1. Geben Sie für **IPv4 CIDR-Block** einen IPv4 Adressbereich für die VPC ein. Eine VPC muss über einen IPv4 Adressbereich verfügen.
1. (Optional) Um den IPv6 Datenverkehr zu unterstützen, wählen Sie **IPv6 CIDR-Block, von Amazon bereitgestellter IPv6 CIDR-Block**.
1. **Belassen Sie Tenancy als.** `Default`
1. Wählen Sie **unter Anzahl der Availability Zones (AZs)** die Anzahl aus, die Sie benötigen. Für Multi-AZ-Bereitstellungen sind drei Availability Zones ROSA erforderlich. **Erweitern Sie Anpassen, um die AZs für Ihre Subnetze auszuwählen. AZs**
**Anmerkung**
Einige ROSA Instance-Typen sind nur in ausgewählten Availability Zones verfügbar. Sie können den ROSA `rosa list instance-types` CLI-Befehlsbefehl verwenden, um alle verfügbaren ROSA Instanztypen aufzulisten. Verwenden Sie den AWS CLI Befehl, um zu überprüfen, ob ein Instance-Typ für eine bestimmte Availability Zone verfügbar ist`aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`.
1. Um Ihre Subnetze zu konfigurieren, wählen Sie Werte für **Anzahl der öffentlichen Subnetze** und **Anzahl der privaten Subnetze**. Um die IP-Adressbereiche für Ihre Subnetze auszuwählen, erweitern Sie die Option **CIDR-Blöcke für Subnetze anpassen**.
**Anmerkung**
ROSA mit HCP erfordert, dass Kunden mindestens ein öffentliches und ein privates Subnetz pro Availability Zone konfigurieren, das zur Erstellung von Clustern verwendet wird.
1. Um Ressourcen im privaten Subnetz Zugriff auf das öffentliche Internet zu gewähren IPv4, wählen Sie für **NAT-Gateways die Anzahl der Gateways** aus, AZs in der NAT-Gateways erstellt werden sollen. In der Produktion empfehlen wir, in jeder AZ ein NAT-Gateway mit Ressourcen bereitzustellen, die Zugriff auf das öffentliche Internet benötigen.
1. (Optional) Wenn Sie Amazon S3 direkt von Ihrer VPC aus zugreifen müssen, wählen Sie **VPC-Endpoints,** S3 Gateway.
1. Lassen Sie die Standard-DNS-Optionen ausgewählt. ROSA erfordert Unterstützung für DNS-Hostnamen auf der VPC.
1. Erweitern Sie **Zusätzliche Tags**, wählen Sie **Neues Tag hinzufügen** und fügen Sie die folgenden Tag-Schlüssel hinzu. ROSA verwendet automatische Preflight-Checks, die überprüfen, ob diese Tags verwendet werden.
+ **Schlüssel**: `kubernetes.io/role/elb`
+ **Schlüssel**: `kubernetes.io/role/internal-elb`
1. Wählen Sie **VPC erstellen** aus.
1. Erstellen Sie eine VPC mit dem CIDR-Block `10.0.0.0/16`.
```
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--query Vpc.VpcId \
--output text
```
Der vorherige Befehl gibt die VPC-ID zurück. Im Folgenden finden Sie eine Beispielausgabe.
```
vpc-1234567890abcdef0
```
1. Speichern Sie die VPC-ID in einer Umgebungsvariablen.
```
export VPC_ID=vpc-1234567890abcdef0
```
1. Erstellen Sie mithilfe der `VPC_ID` Umgebungsvariablen ein `Name` Tag für die VPC.
```
aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC
```
1. Aktivieren Sie die Unterstützung für DNS-Hostnamen auf der VPC.
```
aws ec2 modify-vpc-attribute \
--vpc-id $VPC_ID \
--enable-dns-hostnames
```
1. Erstellen Sie ein öffentliches und privates Subnetz in der VPC und geben Sie die Availability Zones an, in denen die Ressourcen erstellt werden sollen.
**Wichtig**
ROSA mit HCP erfordert, dass Kunden mindestens ein öffentliches und ein privates Subnetz pro Availability Zone konfigurieren, die zur Erstellung von Clustern verwendet wird. Für Multi-AZ-Bereitstellungen sind drei Availability Zones erforderlich. Wenn diese Anforderungen nicht erfüllt sind, schlägt die Clustererstellung fehl.
**Anmerkung**
Einige ROSA Instanztypen sind nur in ausgewählten Availability Zones verfügbar. Sie können den ROSA `rosa list instance-types` CLI-Befehlsbefehl verwenden, um alle verfügbaren ROSA Instanztypen aufzulisten. Verwenden Sie den AWS CLI Befehl, um zu überprüfen, ob ein Instance-Typ für eine bestimmte Availability Zone verfügbar ist`aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`.
```
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.1.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.0.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
```
1. Speichern Sie das öffentliche und private Subnetz IDs in Umgebungsvariablen.
```
export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0
```
1. Erstellen Sie die folgenden Tags für Ihre VPC-Subnetze. ROSA verwendet automatische Preflight-Prüfungen, die sicherstellen, dass diese Tags verwendet werden.
**Anmerkung**
Sie müssen mindestens ein privates Subnetz und gegebenenfalls ein öffentliches Subnetz taggen.
```
aws ec2 create-tags --resources $PUBLIC_SUB --tags Key=kubernetes.io/role/elb,Value=1
aws ec2 create-tags --resources $PRIVATE_SUB --tags Key=kubernetes.io/role/internal-elb,Value=1
```
1. Erstellen Sie ein Internet-Gateway und eine Routing-Tabelle für ausgehenden Verkehr. Erstellen Sie eine Routentabelle und eine elastische IP-Adresse für privaten Datenverkehr.
```
aws ec2 create-internet-gateway \
--query InternetGateway.InternetGatewayId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
aws ec2 allocate-address \
--domain vpc \
--query AllocationId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
```
1. Speichern Sie die Variablen IDs in der Umgebung.
```
export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0
```
1. Verbinden Sie das Internet-Gateway mit der VPC.
```
aws ec2 attach-internet-gateway \
--vpc-id $VPC_ID \
--internet-gateway-id $IGW
```
1. Ordnen Sie die Tabelle für öffentliche Routen dem öffentlichen Subnetz zu und konfigurieren Sie den Datenverkehr so, dass er zum Internet-Gateway weitergeleitet wird.
```
aws ec2 associate-route-table \
--subnet-id $PUBLIC_SUB \
--route-table-id $PUBLIC_RT
aws ec2 create-route \
--route-table-id $PUBLIC_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $IGW
```
1. Erstellen Sie das NAT-Gateway und ordnen Sie es der elastischen IP-Adresse zu, um den Verkehr zum privaten Subnetz zu ermöglichen.
```
aws ec2 create-nat-gateway \
--subnet-id $PUBLIC_SUB \
--allocation-id $EIP \
--query NatGateway.NatGatewayId \
--output text
```
1. Ordnen Sie die private Routing-Tabelle dem privaten Subnetz zu und konfigurieren Sie den Datenverkehr so, dass er zum NAT-Gateway weitergeleitet wird.
```
aws ec2 associate-route-table \
--subnet-id $PRIVATE_SUB \
--route-table-id $PRIVATE_RT
aws ec2 create-route \
--route-table-id $PRIVATE_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $NATGW
```
1. (Optional) Wiederholen Sie bei Multi-AZ-Bereitstellungen die obigen Schritte, um zwei weitere Availability Zones mit öffentlichen und privaten Subnetzen zu konfigurieren.
## Erstellen Sie die erforderlichen IAM Rollen und die OpenID Connect-Konfiguration
Bevor Sie einen ROSA mit HCP-Cluster erstellen, müssen Sie die erforderlichen IAM Rollen und Richtlinien sowie die OpenID Connect (OIDC) -Konfiguration erstellen. Weitere Informationen zu IAM Rollen und Richtlinien für ROSA mit HCP finden Sie unter. [AWS verwaltete Richtlinien für ROSA](security-iam-awsmanpol.md)
Dieses Verfahren verwendet den `auto` Modus der ROSA CLI, um automatisch die OIDC-Konfiguration zu erstellen, die für die Erstellung eines ROSA mit HCP-Clusters erforderlich ist.
1. Erstellen Sie die erforderlichen IAM Kontorollen und Richtlinien. Der `--force-policy-creation` Parameter aktualisiert alle vorhandenen Rollen und Richtlinien. Wenn keine Rollen und Richtlinien vorhanden sind, erstellt der Befehl stattdessen diese Ressourcen.
```
rosa create account-roles --force-policy-creation
```
**Anmerkung**
Wenn Ihr Offline-Zugriffstoken abgelaufen ist, gibt die ROSA CLI eine Fehlermeldung aus, die besagt, dass Ihr Autorisierungstoken aktualisiert werden muss. Schritte zur Fehlerbehebung finden Sie unter[Fehlerbehebung bei abgelaufenen Offline-Zugriffstoken für ROSA CLI](troubleshooting-rosa.md#rosa-cli-expired-token).
1. Erstellen Sie die OpenID Connect (OIDC) -Konfiguration, die die Benutzerauthentifizierung für den Cluster ermöglicht. Diese Konfiguration ist für die Verwendung mit OpenShift Cluster Manager (OCM) registriert.
```
rosa create oidc-config --mode=auto
```
1. Kopieren Sie die in der ROSA CLI-Ausgabe angegebene OIDC-Konfigurations-ID. Die OIDC-Konfigurations-ID muss später bereitgestellt werden, um den ROSA mit HCP-Cluster zu erstellen.
1. Führen Sie den folgenden Befehl aus, um die OIDC-Konfigurationen zu überprüfen, die für Cluster verfügbar sind, die Ihrer Benutzerorganisation zugeordnet sind.
```
rosa list oidc-config
```
1. Erstellen Sie die erforderlichen IAM Operatorrollen und `` ersetzen Sie sie durch die zuvor kopierte OIDC-Konfigurations-ID.
**Example**
**Wichtig**
``Bei der Erstellung der Operatorrollen müssen Sie ein Präfix angeben. Wenn Sie dies nicht tun, wird ein Fehler ausgegeben.
```
rosa create operator-roles --prefix --oidc-config-id --hosted-cp
```
1. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die IAM Operatorrollen erstellt wurden:
```
rosa list operator-roles
```
## Erstellen Sie einen ROSA mit HCP-Cluster mithilfe der ROSA CLI und AWS STS
Sie können eine ROSA mit HCP Cluster mithilfe von AWS -Security-Token-Service (AWS STS) und dem in der ROSA CLI bereitgestellten `auto` Modus erstellen. Sie haben die Möglichkeit, einen Cluster mit einer öffentlichen API und Ingress oder einer privaten API und Ingress zu erstellen.
Sie können eine Cluster mit einer einzigen Availability Zone (Single-AZ) oder mehreren Availability Zones (Multi-AZ) erstellen. In beiden Fällen muss der CIDR-Wert Ihrer Maschine mit dem CIDR-Wert Ihrer VPC übereinstimmen.
Im folgenden Verfahren wird der `rosa create cluster --hosted-cp` Befehl verwendet, um eine Single-AZ-ROSA mit HCP zu erstellen. Cluster Um ein Multi-AZ zu erstellen Cluster, geben Sie `multi-az` im Befehl das private Subnetz IDs für jedes private Subnetz an, in dem Sie die Bereitstellung durchführen möchten.
1. Erstellen Sie mit einem der folgenden Befehle einen ROSA-Cluster mit HCP.
+ Erstellen Sie einen ROSA mit HCP-Cluster mit einer öffentlichen API und Ingress und geben Sie dabei den Clusternamen, das Operatorrollenpräfix, die OIDC-Konfigurations-ID sowie das öffentliche und private Subnetz an. IDs
```
rosa create cluster --cluster-name= --sts --mode=auto --hosted-cp --operator-roles-prefix --oidc-config-id --subnet-ids=,
```
+ Erstellen Sie einen ROSA mit HCP-Cluster mit einer privaten API und Ingress und geben Sie dabei den Clusternamen, das Operatorrollenpräfix, die OIDC-Konfigurations-ID und das private Subnetz an. IDs
```
rosa create cluster --private --cluster-name= --sts --mode=auto --hosted-cp --subnet-ids=
```
1. Überprüfen Sie den Status Ihres. Cluster
```
rosa describe cluster -c
```
**Anmerkung**
Wenn der Erstellungsvorgang fehlschlägt oder das `State` Feld nach 10 Minuten nicht den Status „Bereit“ annimmt, finden Sie weitere Informationen unter[Fehlerbehebung](troubleshooting-rosa.md).
Wenn Sie Hilfe benötigen, Support wenden Sie sich an unseren Red Hat Support, siehe[ROSA Unterstützung erhalten](rosa-support.md).
1. Verfolgen Sie den Fortschritt der Cluster Erstellung, indem Sie sich die OpenShift Installationsprotokolle ansehen.
```
rosa logs install -c --watch
```
## Konfigurieren Sie einen Identitätsanbieter und gewähren Cluster Sie Zugriff
ROSA beinhaltet einen integrierten OAuth Server. Nachdem Sie Ihren Cluster erstellt haben, müssen Sie ihn OAuth für die Verwendung eines Identitätsanbieters konfigurieren. Anschließend können Sie Benutzer zu Ihrem konfigurierten Identitätsanbieter hinzufügen, um ihnen Zugriff auf Ihren zu gewähren Cluster. Sie können diesen Benutzern `cluster-admin` oder `dedicated-admin` Berechtigungen nach Bedarf gewähren.
Sie können verschiedene Identitätsanbietertypen für Ihren konfigurieren ROSA Cluster. Zu den unterstützten Typen gehören GitHub Enterprise GitHub GitLab, Google, LDAP, OpenID Connect und HTPasswd Identitätsanbieter.
**Wichtig**
Der HTPasswd Identitätsanbieter ist nur enthalten, um die Erstellung eines einzelnen statischen Administratorbenutzers zu ermöglichen. HTPasswd wird nicht als allgemein verwendbarer Identitätsanbieter für unterstützt. ROSA
Das folgende Verfahren konfiguriert als Beispiel einen GitHub Identitätsanbieter. Anweisungen zur Konfiguration der einzelnen unterstützten Identitätsanbietertypen finden Sie unter [Konfiguration von Identitätsanbietern für AWS STS](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-sts-config-identity-providers).
1. Navigieren Sie zu [github.com](https://github.com/) und melden Sie sich bei Ihrem GitHub Konto an.
1. Wenn Sie keine GitHub Organisation haben, die Sie für die Bereitstellung von Identitäten verwenden können Cluster, erstellen Sie eine. Weitere Informationen finden Sie in [den Schritten in der GitHub Dokumentation](https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch).
1. Konfigurieren Sie im interaktiven Modus der ROSA CLI einen Identitätsanbieter für Ihren Cluster.
```
rosa create idp --cluster= --interactive
```
1. Folgen Sie den Konfigurationsanweisungen in der Ausgabe, um den Cluster Zugriff auf Mitglieder Ihrer GitHub Organisation zu beschränken.
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations:
? To use GitHub as an identity provider, you must first register the application:
- Open the following URL:
https://github.com/organizations//settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps./.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps./.p1.openshiftapps.com
- Click on 'Register application'
...
```
1. Öffnen Sie die URL in der Ausgabe und `` ersetzen Sie sie durch den Namen Ihrer GitHub Organisation.
1. Wählen Sie auf der GitHub Webseite **Anwendung registrieren** aus, um eine neue OAuth Anwendung in Ihrer GitHub Organisation zu registrieren.
1. Verwenden Sie die Informationen GitHub OAuth auf der Seite, um die verbleibenden `rosa create idp` interaktiven Eingabeaufforderungen auszufüllen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie `` und `` durch die Anmeldeinformationen aus Ihrer GitHub OAuth Anwendung.
```
...
? Client ID:
? Client Secret: [? for help]
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster ''
I: Identity Provider 'github-1' has been created.
It will take up to 1 minute for this configuration to be enabled.
To add cluster administrators, see 'rosa grant user --help'.
To login into the console, open https://console-openshift-console.apps...p1.openshiftapps.com and click on github-1.
```
**Anmerkung**
Es kann ungefähr zwei Minuten dauern, bis die Identity Provider-Konfiguration aktiv wird. Wenn Sie einen `cluster-admin` Benutzer konfiguriert haben, können Sie ihn ausführen, `oc get pods -n openshift-authentication --watch` um zu beobachten, wie die OAuth Pods mit der aktualisierten Konfiguration erneut bereitgestellt werden.
1. Stellen Sie sicher, dass der Identitätsanbieter korrekt konfiguriert ist.
```
rosa list idps --cluster=
```
## Gewähren Sie dem Benutzer Zugriff auf eine Cluster
Sie können einem Benutzer Zugriff auf Ihre gewähren, Cluster indem Sie ihn dem konfigurierten Identitätsanbieter hinzufügen.
Das folgende Verfahren fügt einen Benutzer zu einer GitHub Organisation hinzu, die für die Identitätsbereitstellung im Cluster konfiguriert ist.
1. Navigieren Sie zu [github.com](https://github.com/) und melden Sie sich bei Ihrem GitHub Konto an.
1. Laden Sie Benutzer ein, die Cluster Zugriff auf Ihre GitHub Organisation benötigen. Weitere Informationen finden Sie in der GitHub Dokumentation unter [Benutzer einladen, Ihrer Organisation](https://docs.github.com/en/organizations/managing-membership-in-your-organization/inviting-users-to-join-your-organization) beizutreten.
## Konfigurieren von `cluster-admin`-Berechtigungen
1. Erteilen Sie die `cluster-admin` Berechtigungen, indem Sie den folgenden Befehl ausführen. Ersetzen Sie `` und `` durch Ihren Benutzer- und Clusternamen.
```
rosa grant user cluster-admin --user= --cluster=
```
1. Stellen Sie sicher, dass der Benutzer als Mitglied der `cluster-admins` Gruppe aufgeführt ist.
```
rosa list users --cluster=
```
## Konfigurieren von `dedicated-admin`-Berechtigungen
1. Erteilen Sie die `dedicated-admin` Berechtigungen mit dem folgenden Befehl. Ersetzen Sie `` und `` durch Ihren Benutzer und Cluster Namen, indem Sie den folgenden Befehl ausführen.
```
rosa grant user dedicated-admin --user= --cluster=
```
1. Stellen Sie sicher, dass der Benutzer als Mitglied der `cluster-admins` Gruppe aufgeführt ist.
```
rosa list users --cluster=
```
## Greifen Sie Cluster über die Red Hat Hybrid Cloud Console auf a zu
Melden Sie sich Cluster über die Red Hat Hybrid Cloud Console bei Ihrem an.
1. Rufen Sie die Konsolen-URL für Sie Cluster mit dem folgenden Befehl ab. ``Ersetzen Sie durch den Namen Ihres Cluster.
```
rosa describe cluster -c | grep Console
```
1. Navigieren Sie in der Ausgabe zur Konsolen-URL und melden Sie sich an.
Wählen **Sie im Dialogfeld Anmelden mit...** den Namen des Identitätsanbieters und füllen Sie alle Autorisierungsanfragen Ihres Anbieters aus.
## Stellen Sie eine Anwendung aus dem Entwicklerkatalog bereit
Von der Red Hat Hybrid Cloud Console aus können Sie eine Developer Catalog-Testanwendung bereitstellen und sie mit einer Route verfügbar machen.
1. Navigieren Sie zur [Red Hat Hybrid Cloud Console](https://console.redhat.com/openshift) und wählen Sie den Cluster aus, in dem Sie die App bereitstellen möchten.
1. Wählen Sie auf der Seite des Clusters **Open Console** aus.
1. Wählen Sie in der **Administratorperspektive** **Startseite** > **Projekte** > **Projekt erstellen** aus.
1. Geben Sie einen Namen für Ihr Projekt ein und fügen Sie optional einen **Anzeigenamen** und eine **Beschreibung** hinzu.
1. Wählen Sie **Erstellen**, um das Projekt zu erstellen.
1. Wechseln Sie zur **Entwicklerperspektive** und wählen Sie **\$1Hinzufügen**. Stellen Sie sicher, dass das ausgewählte Projekt das ist, das gerade erstellt wurde.
1. Wählen Sie im Dialogfeld „**Entwicklerkatalog**“ die Option **Alle Dienste** aus.
1. Wählen Sie auf der Seite mit dem **Entwicklerkatalog** im Menü **Sprachen** > **JavaScript**aus.
1. Wählen Sie **Node.js** und dann **Anwendung erstellen**, um die Seite „** Source-to-ImageAnwendung erstellen**“ zu öffnen.
**Anmerkung**
Möglicherweise müssen Sie **Alle Filter löschen** auswählen, um die Option **Node.js** anzuzeigen.
1. Wählen Sie im Abschnitt **Git** die Option **Try Sample** aus.
1. Fügen Sie im Feld **Name** einen eindeutigen Namen hinzu.
1. Wählen Sie **Erstellen** aus.
**Anmerkung**
Die Bereitstellung der neuen Anwendung dauert mehrere Minuten.
1. Wenn die Bereitstellung abgeschlossen ist, wählen Sie die Route-URL für die Anwendung aus.
Im Browser wird eine neue Registerkarte mit einer Meldung geöffnet, die der folgenden ähnelt.
```
Welcome to your Node.js application on OpenShift
```
1. (Optional) Löschen Sie die Anwendung und bereinigen Sie die Ressourcen:
1. Wählen Sie in der **Administratorperspektive** „**Startseite**“ > „**Projekte**“.
1. Öffnen Sie das Aktionsmenü für Ihr Projekt und wählen Sie **Projekt löschen**.
## Widerrufen `cluster-admin` Sie die Berechtigungen eines Benutzers
1. Widerrufen Sie die `cluster-admin` Berechtigungen mit dem folgenden Befehl. Ersetzen Sie `` und `` durch Ihren Benutzer und Cluster Namen.
```
rosa revoke user cluster-admin --user= --cluster=
```
1. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der `cluster-admins` Gruppe aufgeführt ist.
```
rosa list users --cluster=
```
## Widerrufen `dedicated-admin` Sie die Berechtigungen eines Benutzers
1. Widerrufen Sie die `dedicated-admin` Berechtigungen mit dem folgenden Befehl. Ersetzen Sie `` und `` durch Ihren Benutzer und Cluster Namen.
```
rosa revoke user dedicated-admin --user= --cluster=
```
1. Stellen Sie sicher, dass der Benutzer nicht als Mitglied der `dedicated-admins` Gruppe aufgeführt ist.
```
rosa list users --cluster=
```
## Widerrufen Sie den Benutzerzugriff auf eine Cluster
Sie können einem Identity Provider-Benutzer den Cluster Zugriff entziehen, indem Sie ihn aus dem konfigurierten Identity Provider entfernen.
Sie können verschiedene Arten von Identitätsanbietern für Ihren konfigurieren Cluster. Mit dem folgenden Verfahren wird einem Mitglied einer GitHub Organisation der Cluster Zugriff entzogen.
1. Navigieren Sie zu [github.com](https://github.com/) und melden Sie sich bei Ihrem GitHub Konto an.
1. Entferne den Benutzer aus deiner GitHub Organisation. Weitere Informationen finden Sie in der GitHub Dokumentation unter [Ein Mitglied aus Ihrer Organisation entfernen](https://docs.github.com/en/organizations/managing-membership-in-your-organization/removing-a-member-from-your-organization).
## Löschen Sie einen Cluster und AWS STS Ressourcen
Sie können die ROSA CLI verwenden, um eine zu löschen Cluster , die AWS -Security-Token-Service (AWS STS) verwendet. Sie können die ROSA CLI auch verwenden, um die IAM Rollen und den OIDC-Anbieter zu löschen, die von erstellt wurden. ROSA Um die von erstellten IAM Richtlinien zu löschen ROSA, können Sie die IAM Konsole verwenden.
**Anmerkung**
IAM Rollen und Richtlinien, die von erstellt wurden, ROSA können von anderen ROSA Clustern im selben Konto verwendet werden.
1. Löschen Sie die Cluster und sehen Sie sich die Protokolle an. ``Ersetzen Sie durch den Namen oder die ID Ihres Cluster.
```
rosa delete cluster --cluster= --watch
```
**Wichtig**
Sie müssen warten Cluster , bis der vollständig gelöscht ist, bevor Sie die IAM Rollen, Richtlinien und den OIDC-Anbieter entfernen. Die IAM-Rollen des Kontos sind erforderlich, um die vom Installationsprogramm erstellten Ressourcen zu löschen. Die Operator-IAM-Rollen sind erforderlich, um die von den Operatoren erstellten Ressourcen zu bereinigen. OpenShift Die Operatoren verwenden den OIDC-Anbieter zur Authentifizierung.
1. Löschen Sie den OIDC-Anbieter, den die Cluster Operatoren zur Authentifizierung verwenden, indem Sie den folgenden Befehl ausführen.
```
rosa delete oidc-provider -c --mode auto
```
1. Löschen Sie die clusterspezifischen Operatorrollen. IAM
```
rosa delete operator-roles -c --mode auto
```
1. Löschen Sie die IAM-Rollen des Kontos mithilfe des folgenden Befehls. ``Ersetzen Sie es durch das Präfix der zu löschenden Konto-IAM-Rollen. Wenn Sie bei der Erstellung der Account-IAM-Rollen ein benutzerdefiniertes Präfix angegeben haben, geben Sie das `ManagedOpenShift` Standardpräfix an.
```
rosa delete account-roles --prefix --mode auto
```
1. Löschen Sie die IAM Richtlinien, die von ROSA erstellt wurden.
1. Melden Sie sich bei der [IAM -Konsole](https://console.aws.amazon.com/iamv2/home#/home) an.
1. Wählen Sie im linken Menü unter **Zugriffsverwaltung** die Option **Richtlinien** aus.
1. Wählen Sie die Richtlinie aus, die Sie löschen möchten, und wählen Sie **Aktionen** > **Löschen**.
1. Geben Sie den Richtliniennamen ein und wählen Sie **Löschen** aus.
1. Wiederholen Sie diesen Schritt, um alle IAM-Richtlinien für zu löschen. Cluster