Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat cluster klasik ROSA yang menggunakan AWS PrivateLink
Cluster klasik ROSA dapat digunakan dalam beberapa cara berbeda: publik, pribadi, atau pribadi dengan. AWS PrivateLink Untuk informasi lebih lanjut tentang ROSA klasik, lihat[ROSA arsitektur](rosa-architecture-models.md). Untuk klaster konfigurasi publik dan pribadi, OpenShift klaster memiliki akses ke internet, dan privasi diatur pada beban kerja aplikasi di lapisan aplikasi.
Jika Anda memerlukan beban kerja aplikasi klaster dan aplikasi bersifat pribadi, Anda dapat mengonfigurasi AWS PrivateLink dengan ROSA classic. AWS PrivateLink adalah teknologi yang sangat tersedia dan dapat diskalakan yang ROSA digunakan untuk membuat koneksi pribadi antara ROSA layanan dan sumber daya cluster di akun AWS pelanggan. Dengan AWS PrivateLink, tim rekayasa keandalan situs Red Hat (SRE) dapat mengakses klaster untuk tujuan dukungan dan remediasi dengan menggunakan subnet pribadi yang terhubung ke titik akhir cluster. AWS PrivateLink
Untuk informasi lebih lanjut tentang AWS PrivateLink, lihat [Apa itu AWS PrivateLink?](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
**Topics**
+ [Prasyarat](#getting-started-classic-private-link-prereqs)
+ [Buat Amazon VPC arsitektur](#create-vpc-classic-privatelink)
+ [Buat cluster klasik ROSA menggunakan ROSA CLI dan AWS PrivateLink](#create-classic-cluster-cli-privatelink)
+ [Konfigurasikan AWS PrivateLink penerusan DNS](#configure-dns-forwarding-classic-cli-privatelink)
+ [Konfigurasikan penyedia identitas dan berikan klaster akses](#configure-oidc-classic-cli-privatelink)
+ [Memberikan akses pengguna ke klaster](#grant-user-access-classic-cli-privatelink)
+ [Mengatur Konfigurasi Izin `cluster-admin`](#configure-cluster-admin-classic-privatelink)
+ [Mengatur Konfigurasi Izin `dedicated-admin`](#configure-dedicated-admin-classic-privatelink)
+ [Akses klaster melalui Red Hat Hybrid Cloud Console](#console-access-classic-cli-privatelink)
+ [Menyebarkan aplikasi dari Katalog Pengembang](#deploy-app-classic-cli-privatelink)
+ [Mencabut `cluster-admin` izin dari pengguna](#revoke-cluster-admin-classic-privatelink)
+ [Mencabut `dedicated-admin` izin dari pengguna](#revoke-dedicated-admin-classic-privatelink)
+ [Mencabut akses pengguna ke klaster](#revoke-user-classic-privatelink)
+ [Hapus cluster dan AWS STS sumber daya](#delete-cluster-classic-cli-privatelink)
## Prasyarat
Lengkapi tindakan prasyarat yang tercantum dalam. [Siapkan untuk digunakan ROSA](set-up.md)
## Buat Amazon VPC arsitektur
Prosedur berikut menciptakan Amazon VPC arsitektur yang dapat digunakan untuk meng-host cluster. Semua klaster sumber daya di-host di subnet pribadi. Subnet publik mengarahkan lalu lintas keluar dari subnet pribadi melalui gateway NAT ke internet publik. Contoh ini menggunakan blok CIDR `10.0.0.0/16` untuk. Amazon VPC Namun, Anda dapat memilih blok CIDR yang berbeda. Untuk informasi selengkapnya, lihat [Pengukuran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#vpc-sizing).
**penting**
Jika Amazon VPC persyaratan tidak terpenuhi, pembuatan cluster gagal.
**Example**
1. Buka [konsol Amazon VPC](https://console.aws.amazon.com/vpc).
1. Di dasbor VPC, pilih Buat **VPC**.
1. **Agar Sumber Daya dapat dibuat**, pilih **VPC dan lainnya**.
1. Biarkan **pembuatan otomatis tag Nama** dipilih untuk membuat tag Nama untuk sumber daya VPC, atau hapus untuk menyediakan tag Nama Anda sendiri untuk sumber daya VPC.
1. Untuk **blok IPv4 CIDR**, masukkan rentang IPv4 alamat untuk VPC. VPC harus memiliki rentang IPv4 alamat.
1. (Opsional) Untuk mendukung IPv6 lalu lintas, pilih blok **IPv6 CIDR, blok CIDR yang disediakan Amazon IPv6 **.
1. Tinggalkan **Tenancy** sebagai`Default`.
1. Untuk **Jumlah Availability Zones (AZs)**, pilih nomor yang Anda butuhkan. Untuk penerapan Multi-AZ, ROSA membutuhkan tiga Availability Zone. Untuk memilih subnet Anda, perluas **Kustomisasi AZs**. AZs
**catatan**
Beberapa jenis ROSA instance hanya tersedia di Availability Zones tertentu. Anda dapat menggunakan perintah ROSA CLI `rosa list instance-types` perintah untuk daftar semua jenis ROSA instance yang tersedia. Untuk memeriksa apakah jenis instance tersedia untuk Availability Zone tertentu, gunakan AWS CLI perintah`aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`.
1. Untuk mengkonfigurasi subnet Anda, pilih nilai untuk **Jumlah subnet publik dan Jumlah subnet** **pribadi**. Untuk memilih rentang alamat IP untuk subnet Anda, perluas **Sesuaikan subnet blok CIDR**.
**catatan**
ROSA mengharuskan pelanggan mengonfigurasi setidaknya satu subnet pribadi per Availability Zone yang digunakan untuk membuat cluster.
1. Untuk memberikan sumber daya di subnet pribadi akses ke internet publik melalui IPv4, untuk **gateway NAT**, pilih jumlah AZs di mana untuk membuat gateway NAT. Dalam produksi, kami menyarankan Anda menerapkan gateway NAT di setiap AZ dengan sumber daya yang memerlukan akses ke internet publik.
1. (Opsional) Jika Anda perlu mengakses Amazon S3 langsung dari VPC Anda, pilih titik **akhir VPC, S3 Gateway**.
1. Biarkan opsi DNS default dipilih. ROSA membutuhkan dukungan nama host DNS pada VPC.
1. Pilih **Buat VPC**.
1. Buat VPC dengan Blok CIDR `10.0.0.0/16`.
```
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--query Vpc.VpcId \
--output text
```
Perintah sebelumnya mengembalikan ID VPC. Berikut ini adalah output contoh.
```
vpc-1234567890abcdef0
```
1. Simpan ID VPC dalam variabel lingkungan.
```
export VPC_ID=vpc-1234567890abcdef0
```
1. Buat `Name` tag untuk VPC, menggunakan variabel `VPC_ID` lingkungan.
```
aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC
```
1. Aktifkan dukungan nama host DNS di VPC.
```
aws ec2 modify-vpc-attribute \
--vpc-id $VPC_ID \
--enable-dns-hostnames
```
1. Buat subnet publik dan pribadi di VPC, tentukan Availability Zones tempat sumber daya harus dibuat.
**penting**
ROSA mengharuskan pelanggan mengonfigurasi setidaknya satu subnet pribadi per Availability Zone yang digunakan untuk membuat cluster. Untuk penerapan Multi-AZ, diperlukan tiga Availability Zone. Jika persyaratan ini tidak terpenuhi, pembuatan cluster gagal.
**catatan**
Beberapa jenis ROSA instance hanya tersedia di Availability Zones tertentu. Anda dapat menggunakan perintah ROSA CLI `rosa list instance-types` perintah untuk daftar semua jenis ROSA instance yang tersedia. Untuk memeriksa apakah jenis instance tersedia untuk Availability Zone tertentu, gunakan AWS CLI perintah`aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`.
```
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.1.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.0.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
```
1. Simpan subnet publik dan pribadi IDs dalam variabel lingkungan.
```
export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0
```
1. Buat gateway internet dan tabel rute untuk lalu lintas keluar. Buat tabel rute dan alamat IP elastis untuk lalu lintas pribadi.
```
aws ec2 create-internet-gateway \
--query InternetGateway.InternetGatewayId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
aws ec2 allocate-address \
--domain vpc \
--query AllocationId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
```
1. Simpan variabel IDs dalam lingkungan.
```
export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0
```
1. Pasang gateway internet ke VPC.
```
aws ec2 attach-internet-gateway \
--vpc-id $VPC_ID \
--internet-gateway-id $IGW
```
1. Kaitkan tabel rute publik ke subnet publik, dan konfigurasikan lalu lintas untuk rute ke gateway internet.
```
aws ec2 associate-route-table \
--subnet-id $PUBLIC_SUB \
--route-table-id $PUBLIC_RT
aws ec2 create-route \
--route-table-id $PUBLIC_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $IGW
```
1. Buat gateway NAT dan kaitkan dengan alamat IP elastis untuk mengaktifkan lalu lintas ke subnet pribadi.
```
aws ec2 create-nat-gateway \
--subnet-id $PUBLIC_SUB \
--allocation-id $EIP \
--query NatGateway.NatGatewayId \
--output text
```
1. Kaitkan tabel rute pribadi ke subnet pribadi, dan konfigurasikan lalu lintas untuk merutekan ke gateway NAT.
```
aws ec2 associate-route-table \
--subnet-id $PRIVATE_SUB \
--route-table-id $PRIVATE_RT
aws ec2 create-route \
--route-table-id $PRIVATE_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $NATGW
```
1. (Opsional) Untuk penerapan Multi-AZ, ulangi langkah-langkah di atas untuk mengonfigurasi dua Zona Ketersediaan lainnya dengan subnet publik dan pribadi.
## Buat cluster klasik ROSA menggunakan ROSA CLI dan AWS PrivateLink
Anda dapat menggunakan ROSA CLI dan AWS PrivateLink membuat klaster dengan Availability Zone tunggal (Single-AZ) atau beberapa Availability Zone (Multi-AZ). Dalam kedua kasus tersebut, nilai CIDR mesin Anda harus sesuai dengan nilai CIDR VPC Anda.
Prosedur berikut menggunakan `rosa create cluster` perintah untuk membuat ROSA klasik klaster. Untuk membuat Multi-AZ klaster, tentukan `--multi-az` dalam perintah, lalu pilih subnet pribadi IDs yang ingin Anda gunakan saat diminta.
**catatan**
Jika Anda menggunakan firewall, Anda harus mengkonfigurasinya sehingga ROSA dapat mengakses situs yang diperlukan untuk berfungsi.
Untuk informasi selengkapnya, lihat [Persyaratan untuk menggunakan AWS PrivateLink cluster](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-aws-privatelink-creating-cluster#osd-aws-privatelink-required-resources_rosa-aws-privatelink-creating-cluster) dalam dokumentasi Red Hat.
1. Buat peran dan kebijakan IAM akun yang diperlukan menggunakan `--mode auto` atau`--mode manual`.
+
```
rosa create account-roles --classic --mode auto
```
+
```
rosa create account-roles --classic --mode manual
```
**catatan**
Jika token akses offline Anda telah kedaluwarsa, ROSA CLI mengeluarkan pesan kesalahan yang menyatakan bahwa token otorisasi Anda perlu diperbarui. Untuk langkah-langkah untuk memecahkan masalah, lihat. [Memecahkan masalah ROSA CLI token akses offline kedaluwarsa](troubleshooting-rosa.md#rosa-cli-expired-token)
1. Buat klaster dengan menjalankan salah satu perintah berikut.
+ AZ Tunggal
```
rosa create cluster --private-link --cluster-name= --machine-cidr=10.0.0.0/16 --subnet-ids=
```
+ Multi-AZ
```
rosa create cluster --private-link --multi-az --cluster-name= --machine-cidr=10.0.0.0/16
```
**catatan**
Untuk membuat klaster yang menggunakan kredensial AWS PrivateLink dengan AWS Security Token Service (AWS STS) berumur pendek, tambahkan `--sts --mode auto` atau `--sts --mode manual` ke akhir perintah. `rosa create cluster`
1. Buat IAM peran klaster operator dengan mengikuti petunjuk interaktif.
```
rosa create operator-roles --interactive -c
```
1. Buat penyedia OpenID Connect (OIDC) yang digunakan klaster operator untuk mengautentikasi.
```
rosa create oidc-provider --interactive -c
```
1. Periksa status Anda klaster.
```
rosa describe cluster -c
```
**catatan**
Mungkin diperlukan waktu hingga 40 menit bagi klaster `State` lapangan untuk menunjukkan `ready` status. Jika penyediaan gagal atau tidak ditampilkan `ready` setelah 40 menit, lihat. [Pemecahan Masalah](troubleshooting-rosa.md) Untuk menghubungi Dukungan atau dukungan Red Hat untuk bantuan, lihat[Mendapatkan ROSA dukungan](rosa-support.md).
1. Lacak kemajuan klaster pembuatan dengan menonton log OpenShift penginstal.
```
rosa logs install -c --watch
```
## Konfigurasikan AWS PrivateLink penerusan DNS
Cluster yang menggunakan AWS PrivateLink membuat zona yang dihosting publik dan zona host pribadi di Route 53. Catatan dalam zona host Route 53 pribadi hanya dapat diselesaikan dari dalam VPC tempat ia ditugaskan.
Validasi Let's Encrypt DNS-01 memerlukan zona publik sehingga sertifikat yang valid dan dipercaya publik dapat dikeluarkan untuk domain tersebut. Catatan validasi dihapus setelah validasi Let's Encrypt selesai. Zona ini masih diperlukan untuk menerbitkan dan memperbarui sertifikat ini, yang biasanya diperlukan setiap 60 hari. Meskipun zona ini biasanya tampak kosong, zona publik memainkan peran penting dalam proses validasi.
Untuk informasi selengkapnya tentang zona yang dihosting AWS pribadi, lihat [Bekerja dengan zona pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html). Untuk informasi selengkapnya tentang zona yang dihosting publik, lihat [Bekerja dengan zona yang dihosting publik](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html).
### Konfigurasikan Route 53 Resolver titik akhir masuk
1. Untuk memungkinkan catatan seperti `api.` dan `*.apps.` untuk menyelesaikan di luar VPC, [konfigurasikan titik akhir Route 53 Resolver masuk](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html#resolver-forwarding-inbound-queries-configuring).
**catatan**
Saat Anda mengonfigurasi titik akhir masuk, Anda diminta untuk menentukan minimal dua alamat IP untuk redundansi. Kami menyarankan Anda menentukan alamat IP di setidaknya dua Availability Zone. Secara opsional Anda dapat menentukan alamat IP tambahan di Availability Zone tersebut atau lainnya.
1. Saat Anda mengonfigurasi titik akhir masuk, pilih VPC dan subnet pribadi yang digunakan saat Anda membuat cluster.
### Konfigurasikan penerusan DNS untuk cluster
Setelah endpoint Route 53 Resolver internal dikaitkan dan operasional, konfigurasikan penerusan DNS sehingga kueri DNS dapat ditangani oleh server yang ditunjuk di jaringan Anda.
1. Konfigurasikan jaringan perusahaan Anda untuk meneruskan kueri DNS ke alamat IP tersebut untuk domain tingkat atas, seperti. `drow-pl-01.htno.p1.openshiftapps.com`
1. [Jika Anda meneruskan kueri DNS dari satu VPC ke VPC lain, ikuti petunjuk di Mengelola aturan penerusan.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html)
1. Jika Anda mengonfigurasi server DNS jaringan jarak jauh, lihat dokumentasi server DNS spesifik Anda untuk mengonfigurasi penerusan DNS selektif untuk domain cluster yang diinstal.
## Konfigurasikan penyedia identitas dan berikan klaster akses
ROSA termasuk OAuth server bawaan. Setelah ROSA klaster dibuat, Anda harus mengonfigurasi OAuth untuk menggunakan penyedia identitas. Anda kemudian dapat menambahkan pengguna ke penyedia identitas yang dikonfigurasi untuk memberi mereka akses ke layanan Anda klaster. Anda dapat memberikan pengguna `cluster-admin` atau `dedicated-admin` izin ini sesuai kebutuhan.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Anda klaster. Jenis yang didukung termasuk GitHub, GitHub Enterprise,, Google GitLab, LDAP, OpenID Connect HTPasswd , dan penyedia identitas.
**penting**
Penyedia HTPasswd identitas disertakan hanya untuk memungkinkan satu pengguna administrator statis dibuat. HTPasswd tidak didukung sebagai penyedia identitas penggunaan umum untuk. ROSA
Prosedur berikut mengkonfigurasi penyedia GitHub identitas sebagai contoh. Untuk petunjuk tentang cara mengonfigurasi setiap jenis penyedia identitas yang didukung, lihat [Mengonfigurasi penyedia identitas untuk AWS STS](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-sts-config-identity-providers).
1. Arahkan ke [github.com](https://github.com/) dan masuk ke akun Anda. GitHub
1. Jika Anda tidak memiliki GitHub organisasi untuk digunakan untuk penyediaan identitas untuk Anda ROSA klaster, buat satu. Untuk informasi selengkapnya, lihat [langkah-langkah dalam GitHub dokumentasi](https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch).
1. Menggunakan mode interaktif ROSA CLI, konfigurasikan penyedia identitas untuk cluster Anda dengan menjalankan perintah berikut.
```
rosa create idp --cluster= --interactive
```
1. Ikuti petunjuk konfigurasi di output untuk membatasi klaster akses ke anggota organisasi Anda GitHub .
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations:
? To use GitHub as an identity provider, you must first register the application:
- Open the following URL:
https://github.com/organizations//settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps./.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps./.p1.openshiftapps.com
- Click on 'Register application'
...
```
1. Buka URL di output, ganti `` dengan nama GitHub organisasi Anda.
1. Di halaman GitHub web, pilih **Daftarkan aplikasi** untuk mendaftarkan OAuth aplikasi baru di GitHub organisasi Anda.
1. Gunakan informasi dari GitHub OAuth halaman untuk mengisi permintaan `rosa create idp` interaktif yang tersisa, mengganti `` dan `` dengan kredensi dari aplikasi Anda. GitHub OAuth
```
...
? Client ID:
? Client Secret: [? for help]
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster ''
I: Identity Provider 'github-1' has been created.
It will take up to 1 minute for this configuration to be enabled.
To add cluster administrators, see 'rosa grant user --help'.
To login into the console, open https://console-openshift-console.apps...p1.openshiftapps.com and click on github-1.
```
**catatan**
Mungkin diperlukan waktu sekitar dua menit agar konfigurasi penyedia identitas menjadi aktif. Jika Anda mengonfigurasi `cluster-admin` pengguna, Anda dapat menjalankan `oc get pods -n openshift-authentication --watch` perintah untuk melihat OAuth pod di-deploy ulang dengan konfigurasi yang diperbarui.
1. Verifikasi penyedia identitas telah dikonfigurasi dengan benar.
```
rosa list idps --cluster=
```
## Memberikan akses pengguna ke klaster
Anda dapat memberikan akses pengguna ke Anda klaster dengan menambahkannya ke penyedia identitas yang dikonfigurasi.
Prosedur berikut menambahkan pengguna ke GitHub organisasi yang dikonfigurasi untuk penyediaan identitas ke cluster.
1. Arahkan ke [github.com](https://github.com/) dan masuk ke akun Anda. GitHub
1. Undang pengguna yang memerlukan klaster akses ke GitHub organisasi Anda. Untuk informasi selengkapnya, lihat [Mengundang pengguna untuk bergabung dengan organisasi Anda](https://docs.github.com/en/organizations/managing-membership-in-your-organization/inviting-users-to-join-your-organization) dalam GitHub dokumentasi.
## Mengatur Konfigurasi Izin `cluster-admin`
1. Berikan `cluster-admin` izin menggunakan perintah berikut. Ganti `` dan `` dengan nama pengguna dan cluster Anda.
```
rosa grant user cluster-admin --user= --cluster=
```
1. Verifikasi bahwa pengguna terdaftar sebagai anggota `cluster-admins` grup.
```
rosa list users --cluster=
```
## Mengatur Konfigurasi Izin `dedicated-admin`
1. Berikan `dedicated-admin` izin dengan perintah berikut. Ganti `` dan `` dengan pengguna dan klaster nama Anda.
```
rosa grant user dedicated-admin --user= --cluster=
```
1. Verifikasi bahwa pengguna terdaftar sebagai anggota `cluster-admins` grup.
```
rosa list users --cluster=
```
## Akses klaster melalui Red Hat Hybrid Cloud Console
Setelah membuat pengguna klaster administrator atau menambahkan pengguna ke penyedia identitas yang dikonfigurasi, Anda dapat masuk klaster melalui Red Hat Hybrid Cloud Console.
1. Dapatkan URL konsol untuk Anda klaster menggunakan perintah berikut. Ganti `` dengan nama Anda klaster.
```
rosa describe cluster -c | grep Console
```
1. Arahkan ke URL konsol di output dan masuk.
+ Jika Anda membuat `cluster-admin` pengguna, masuk menggunakan kredensi yang disediakan.
+ Jika Anda mengonfigurasi penyedia identitas untuk Anda klaster, pilih nama penyedia identitas di dialog **Masuk dengan...** dan lengkapi permintaan otorisasi apa pun yang disajikan oleh penyedia Anda.
## Menyebarkan aplikasi dari Katalog Pengembang
Dari Red Hat Hybrid Cloud Console, Anda dapat menerapkan aplikasi pengujian Katalog Pengembang dan mengeksposnya dengan rute.
1. Arahkan ke [Red Hat Hybrid Cloud Console](https://console.redhat.com/openshift) dan pilih cluster tempat Anda ingin menerapkan aplikasi.
1. Pada halaman cluster, pilih **Open console**.
1. Dalam perspektif **Administrator**, pilih **Home** > **Projects** > **Create Project**.
1. Masukkan nama untuk proyek Anda dan secara opsional tambahkan **Nama Tampilan** dan **Deskripsi**.
1. Pilih **Buat** untuk membuat proyek.
1. Beralih ke perspektif **Pengembang** dan pilih **\$1Tambah**. Pastikan bahwa proyek yang dipilih adalah yang baru saja dibuat.
1. Dalam dialog **Katalog Pengembang**, pilih **Semua layanan**.
1. Di halaman **Katalog Pengembang**, pilih **Bahasa** > **JavaScript**dari menu.
1. Pilih **Node.js**, lalu pilih **Create Application** untuk membuka halaman **Create Source-to-Image Application**.
**catatan**
Anda mungkin perlu memilih **Hapus Semua Filter** untuk menampilkan opsi **Node.js**.
1. Di bagian **Git**, pilih **Coba Sampel**.
1. Di bidang **Nama**, tambahkan nama unik.
1. Pilih **Buat**.
**catatan**
Aplikasi baru membutuhkan waktu beberapa menit untuk digunakan.
1. Saat penerapan selesai, pilih URL rute untuk aplikasi.
Tab baru di browser terbuka dengan pesan yang mirip dengan berikut ini.
```
Welcome to your Node.js application on OpenShift
```
1. (Opsional) Hapus aplikasi dan bersihkan sumber daya.
1. Dalam perspektif **Administrator**, pilih **Home** > **Projects**.
1. Buka menu tindakan untuk proyek Anda dan pilih **Hapus Proyek**.
## Mencabut `cluster-admin` izin dari pengguna
1. Cabut `cluster-admin` izin menggunakan perintah berikut. Ganti `` dan `` dengan pengguna dan klaster nama Anda.
```
rosa revoke user cluster-admin --user= --cluster=
```
1. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota `cluster-admins` grup.
```
rosa list users --cluster=
```
## Mencabut `dedicated-admin` izin dari pengguna
1. Cabut `dedicated-admin` izin menggunakan perintah berikut. Ganti `` dan `` dengan pengguna dan klaster nama Anda.
```
rosa revoke user dedicated-admin --user= --cluster=
```
1. Verifikasi bahwa pengguna tidak terdaftar sebagai anggota `dedicated-admins` grup.
```
rosa list users --cluster=
```
## Mencabut akses pengguna ke klaster
Anda dapat mencabut klaster akses untuk pengguna penyedia identitas dengan menghapusnya dari penyedia identitas yang dikonfigurasi.
Anda dapat mengonfigurasi berbagai jenis penyedia identitas untuk Anda klaster. Prosedur berikut mencabut klaster akses untuk anggota GitHub organisasi.
1. Arahkan ke [github.com](https://github.com/) dan masuk ke akun Anda. GitHub
1. Hapus pengguna dari GitHub organisasi Anda. Untuk informasi selengkapnya, lihat [Menghapus anggota dari organisasi Anda](https://docs.github.com/en/organizations/managing-membership-in-your-organization/removing-a-member-from-your-organization) di GitHub dokumentasi.
## Hapus cluster dan AWS STS sumber daya
Anda dapat menggunakan ROSA CLI untuk menghapus klaster yang menggunakan AWS Security Token Service ()AWS STS. Anda juga dapat menggunakan ROSA CLI untuk menghapus IAM peran dan penyedia OIDC yang dibuat oleh. ROSA Untuk menghapus IAM kebijakan yang dibuat oleh ROSA, Anda dapat menggunakan IAM konsol.
**penting**
IAM peran dan kebijakan yang dibuat oleh ROSA mungkin digunakan oleh ROSA cluster lain di akun yang sama.
1. Hapus klaster dan perhatikan log. Ganti `` dengan nama atau ID Anda klaster.
```
rosa delete cluster --cluster= --watch
```
**penting**
Anda harus menunggu penghapusan sepenuhnya sebelum menghapus IAM peran, kebijakan, dan penyedia OIDC. klaster Peran IAM akun diperlukan untuk menghapus sumber daya yang dibuat oleh penginstal. Peran IAM operator diperlukan untuk membersihkan sumber daya yang dibuat oleh OpenShift operator. Operator menggunakan penyedia OIDC untuk mengautentikasi.
1. Hapus penyedia OIDC yang digunakan klaster operator untuk mengautentikasi dengan menjalankan perintah berikut.
```
rosa delete oidc-provider -c --mode auto
```
1. Hapus peran operator khusus cluster. IAM
```
rosa delete operator-roles -c --mode auto
```
1. Hapus peran IAM akun menggunakan perintah berikut. Ganti `` dengan awalan peran IAM akun yang akan dihapus. Jika Anda menetapkan awalan kustom saat membuat peran IAM akun, tentukan awalan default`ManagedOpenShift`.
```
rosa delete account-roles --prefix --mode auto
```
1. Hapus IAM kebijakan yang dibuat oleh ROSA.
1. Masuk ke [IAM konsol](https://console.aws.amazon.com/iamv2/home#/home).
1. Di menu sebelah kiri di bawah **Manajemen akses**, pilih **Kebijakan**.
1. Pilih kebijakan yang ingin Anda hapus dan pilih **Tindakan** > **Hapus**.
1. Masukkan nama kebijakan dan pilih **Hapus**.
1. Ulangi langkah ini untuk menghapus setiap kebijakan IAM untuk. klaster