本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 開始使用 ROSA
Red Hat OpenShift Service on AWS (ROSA) 是一種受管服務,您可以使用 Red Hat OpenShift 企業 Kubernetes 平台來建置、擴展和部署容器化應用程式 AWS。
您可以使用下列指南來建立您的第一個 ROSA 叢集、授予使用者存取權、部署您的第一個應用程式,以及了解如何撤銷使用者存取權和刪除您的叢集。
+ [使用 CLI 建立具有 HCP ROSA 叢集的 ROSA](getting-started-hcp.md) - 使用 AWS STS 和 CLI 使用 HCP ROSA 叢集建立您的第一個 ROSA。
+ [建立使用 的 ROSA 傳統叢集 AWS PrivateLink](getting-started-classic-private-link.md) - 使用 建立您的第一個 ROSA 傳統叢集 AWS PrivateLink。
+ [使用 CLI ROSA 建立 ROSA 傳統叢集](getting-started-classic-cli.md) - 使用 AWS STS 和 CLI ROSA 建立您的第一個 ROSA 傳統叢集。
# 設定 以使用 ROSA
若要準備您的環境以建立 ROSA 叢集,您需要完成下列動作。
## 先決條件
必須符合下列先決條件才能啟用 ROSA 叢集建立。
+ 安裝和設定最新的 AWS CLI。如需詳細資訊,請參閱[安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。
+ 安裝和設定最新的 ROSA CLI 和 OpenShift 容器平台 CLI。如需詳細資訊,請參閱 [CLI ROSA 入門](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/rosa_cli/rosa-get-started-cli)。
+ 您必須為 Amazon EC2、 設定必要的服務配額 Amazon VPC Amazon EBS,且 Elastic Load Balancing AWS Red Hat 可能會視需要代表您請求增加服務配額,以解決問題。若要檢視 所需的服務配額 ROSA,請參閱《 * AWS 一般參考*》中的[Red Hat OpenShift Service on AWS 端點和配額](https://docs.aws.amazon.com/general/latest/gr/rosa.html#limits_rosa)。
+ 若要取得 的 AWS 支援 ROSA,您必須啟用 AWS Business、Enterprise On-Ramp 或 Enterprise Support 計畫。Red Hat 可能會視需要代表您請求 AWS 支援,以解決問題。如需詳細資訊,請參閱[取得 ROSA 支援](rosa-support.md)。若要啟用 支援,請參閱 [支援 頁面](https://aws.amazon.com/premiumsupport/)。
+ 如果您使用 AWS Organizations 來管理 AWS 帳戶 託管 ROSA 服務的 ,組織的服務控制政策 (SCP) 必須設定為允許 Red Hat 無限制地執行 SCP 中列出的政策動作。如需更多資訊,請參閱[AWS Organizations 服務控制政策拒絕必要的 AWS Marketplace 許可](security-iam-troubleshoot.md#error-aws-orgs-scp-denies-permissions)。如需 SCPs的詳細資訊,請參閱[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ 如果 叢集 將具有 的 ROSA 部署 AWS STS 到預設停用 AWS 區域 的 中,您必須 AWS 帳戶 使用下列命令,將 中所有區域的安全字符更新至版本 2。
```
aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
```
如需啟用區域的詳細資訊,請參閱 link:accounts/latest/reference/manage
## 啟用 ROSA 和設定 AWS 先決條件
若要建立 ROSA 叢集,您必須在 ROSA 主控台中 AWS 啟用 ROSA 服務。 AWS ROSA 主控台會驗證您的 是否 AWS 帳戶 具有必要的 AWS Marketplace 許可、服務配額,以及名為 的 Elastic Load Balancing (ELB) 服務連結角色`AWSServiceRoleForElasticLoadBalancing`。如果缺少任何這些先決條件,主控台會提供有關如何設定您的帳戶以符合先決條件的指導。
1. 導覽至 [ROSA 主控台](https://console.aws.amazon.com/rosa)。
1. 選擇**開始使用**。
1. 在**驗證 ROSA 先決條件**頁面上,選取**我同意與 Red Hat 共用我的聯絡資訊**。
1. 選擇**啟用 ROSA **。
1. 頁面驗證您的服務配額符合 ROSA 先決條件並建立 ELB 服務連結角色後, 叢集 請使用 ROSA CLI 開啟新的終端機工作階段來建立您的第一個 ROSA 。
# 使用 CLI 建立具有 HCP ROSA 叢集的 ROSA
下列各節說明如何使用 AWS STS 和 CLI 搭配託管控制平面 (搭配 HCP 的 ROSA) ROSA 開始使用 ROSA。如需使用 Terraform 透過 HCP 叢集建立 ROSA 的步驟,請參閱 [Red Hat 文件](https://docs.openshift.com/rosa/rosa_hcp/terraform/rosa-hcp-creating-a-cluster-quickly-terraform.html)。若要進一步了解建立 ROSA 叢集的 Terraform 提供者,請參閱 [Terraform 文件](https://registry.terraform.io/providers/terraform-redhat/rhcs/latest/docs)。
ROSA CLI 使用 `auto` 模式或 `manual` 模式來建立建立 所需的 IAM ROSA 資源和 OpenID Connect (OIDC) 組態 叢集。 `auto` 模式會自動建立所需的 IAM 角色和政策和 OIDC 供應商。 `manual` 模式會輸出手動建立 IAM 資源所需的 AWS CLI 命令。透過使用 `manual` 模式,您可以在手動執行命令之前檢閱產生的 AWS CLI 命令。透過 `manual` 模式,您也可以將命令傳遞給組織中的另一個管理員或群組,讓他們可以建立資源。
本文件中的程序使用 ROSA CLI `auto` 模式,透過 HCP 建立 ROSA 所需的 IAM 資源和 OIDC 組態。如需開始使用的更多選項,請參閱 [開始使用 ROSA](getting-started.md)。
**Topics**
+ [先決條件](#getting-started-hcp-prereqs)
+ [建立 Amazon VPC 架構](#create-vpc-hcp)
+ [建立所需的 IAM 角色和 OpenID Connect 組態](#create-iam-roles-oidc-hcp)
+ [使用 CLI 和 建立具有 HCP ROSA 叢集的 ROSA AWS STS](#create-hcp-cluster-cli)
+ [設定身分提供者並授予 叢集 存取權](#configure-oidc-hcp-cli)
+ [授予使用者對 的存取權 叢集](#grant-user-access-hcp-cli)
+ [設定 `cluster-admin` 許可](#configure-cluster-admin-hcp)
+ [設定 `dedicated-admin` 許可](#configure-dedicated-admin-hcp)
+ [叢集 透過 Red Hat 混合雲端主控台存取](#console-access-hcp-cli)
+ [從 開發人員目錄部署應用程式](#deploy-app-hcp-cli)
+ [從使用者撤銷`cluster-admin`許可](#revoke-cluster-admin-hcp-cli)
+ [從使用者撤銷`dedicated-admin`許可](#revoke-dedicated-admin-hcp-cli)
+ [撤銷使用者對 的存取權 叢集](#revoke-user-hcp-cli)
+ [刪除叢集 AWS STS 和資源](#delete-cluster-hcp-cli)
## 先決條件
完成 中列出的先決條件動作[設定 以使用 ROSA](set-up.md)。
## 建立 Amazon VPC 架構
下列程序會建立可用於託管叢集的 Amazon VPC 架構。所有 叢集 資源都託管在私有子網路中。公有子網路會透過 NAT 閘道,將來自私有子網路的傳出流量路由至公有網際網路。此範例使用 `10.0.0.0/16` 的 CIDR 區塊 Amazon VPC。不過,您可以選擇不同的 CIDR 區塊。如需詳細資訊,請參閱[調整 VPC 大小](https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#vpc-sizing)。
**重要**
如果不符合 Amazon VPC 要求,叢集建立會失敗。
**Example**
1. 安裝 Terraform CLI。如需詳細資訊,請參閱 [Terraform 文件中的安裝說明](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)。
1. 開啟終端機工作階段並複製 Terraform VPC 儲存庫。
```
git clone https://github.com/openshift-cs/terraform-vpc-example
```
1. 導覽至建立的目錄。
```
cd terraform-vpc-example
```
1. 啟動 Terraform 檔案。
```
terraform init
```
完成後,CLI 會傳回已成功初始化 Terraform 的訊息。
1. 若要根據現有範本建置 Terraform 計劃,請執行下列命令。 AWS 區域 必須指定 。或者,您可以選擇指定叢集名稱。
```
terraform plan -out rosa.tfplan -var region=
```
命令執行後,`rosa.tfplan`檔案會新增至 `hypershift-tf` 目錄。如需更詳細的選項,請參閱 [Terraform VPC 儲存庫的 README 檔案](https://github.com/openshift-cs/terraform-vpc-example/blob/main/README.md)。
1. 套用計劃檔案來建置 VPC。
```
terraform apply rosa.tfplan
```
完成後,CLI 會傳回成功訊息,以驗證新增的資源。
1. (選用) 使用 HCP 叢集建立 ROSA 時,為 Terraform 佈建的私有、公有和機器集區子網路 IDs 建立環境變數。
```
export SUBNET_IDS=$(terraform output -raw cluster-subnets-string)
```
1. (選用) 確認環境變數已正確設定。
```
echo $SUBNET_IDS
```
1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc)。
1. 在 VPC 儀表板上,選擇 **Create VPC (建立 VPC)**。
1. 針對 **Resources to create** (建立資源),選擇 **VPC and more** (VPC 等)。
1. 保持選取**自動產生名稱標籤**以建立 VPC 資源的「名稱」標籤,或將其清除以提供您自己的 VPC 資源「名稱」標籤。
1. 在**IPv4 CIDR 區塊**,輸入 VPC 的 IPv4 地址範圍。VPC 必須具有 IPv4 地址範圍。
1. (選用) 若要支援 IPv6 流量,請選擇 **IPv6 CIDR 區塊、Amazon 提供的 IPv6 CIDR 區塊**。
1. 將**租用**保留為 `Default`。
1. 針對**可用區域 (AZs) 的數目**,選擇您需要的數目。對於異地同步備份部署, ROSA 需要三個可用區域。若要選擇子網路的 AZ,請展開**自訂 AZ**。
**注意**
某些 ROSA 執行個體類型僅適用於特定可用區域。您可以使用 ROSA CLI `rosa list instance-types`命令來列出所有可用的 ROSA 執行個體類型。若要檢查執行個體類型是否適用於指定的可用區域,請使用 AWS CLI 命令 `aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`。
1. 若要設定您的子網路,請選擇**公有子網路數目**和**私有子網路數目**的值。若要選擇子網路的 IP 地址範圍,請展開**自訂子網路 CIDR 區塊**。
**注意**
使用 HCP 的 ROSA 要求客戶為每個用於建立叢集的可用區域設定至少一個公有和私有子網路。
1. 若要透過 IPv4 授予私有子網路中公有網際網路的資源存取權,請針對 **NAT 閘道**選擇要在其中建立 NAT 閘道AZs 數量。在生產環境中,建議您在每個 AZ 中部署一個 NAT 閘道,並包含需要存取公有網際網路的資源。
1. (選用) 如果您需要 Amazon S3 直接從 VPC 存取 ,請選擇 **VPC 端點 S3 Gateway**。
1. 保持選取預設 DNS 選項。 ROSA 需要 VPC 上的 DNS 主機名稱支援。
1. 展開**其他標籤**,選擇**新增標籤**,然後新增下列標籤鍵。 ROSA 會使用自動預檢檢查來驗證是否使用這些標籤。
+ **索引鍵**:`kubernetes.io/role/elb`
+ **索引鍵**:`kubernetes.io/role/internal-elb`
1. 選擇**建立 VPC**。
1. 使用 `10.0.0.0/16` CIDR 區塊建立 VPC。
```
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--query Vpc.VpcId \
--output text
```
上述命令會傳回 VPC ID。以下為範例輸出。
```
vpc-1234567890abcdef0
```
1. 將 VPC ID 存放在 環境變數中。
```
export VPC_ID=vpc-1234567890abcdef0
```
1. 使用 `VPC_ID`環境變數為 VPC 建立`Name`標籤。
```
aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC
```
1. 在 VPC 上啟用 DNS 主機名稱支援。
```
aws ec2 modify-vpc-attribute \
--vpc-id $VPC_ID \
--enable-dns-hostnames
```
1. 在 VPC 中建立公有和私有子網路,指定應建立資源的可用區域。
**重要**
使用 HCP 的 ROSA 要求客戶為每個用於建立叢集的可用區域設定至少一個公有和私有子網路。對於異地同步備份部署,需要三個可用區域。如果不符合這些要求,叢集建立會失敗。
**注意**
某些 ROSA 執行個體類型僅適用於特定可用區域。您可以使用 ROSA CLI `rosa list instance-types`命令來列出所有可用的 ROSA 執行個體類型。若要檢查執行個體類型是否適用於指定的可用區域,請使用 AWS CLI 命令 `aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`。
```
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.1.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.0.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
```
1. 將公有和私有子網路 IDs存放在環境變數中。
```
export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0
```
1. 為您的 VPC 子網路建立下列標籤。 ROSA 會使用自動預檢檢查來驗證是否使用這些標籤。
**注意**
您必須標記至少一個私有子網路,並在適用時標記一個公有子網路。
```
aws ec2 create-tags --resources $PUBLIC_SUB --tags Key=kubernetes.io/role/elb,Value=1
aws ec2 create-tags --resources $PRIVATE_SUB --tags Key=kubernetes.io/role/internal-elb,Value=1
```
1. 建立網際網路閘道和傳出流量的路由表。為私有流量建立路由表和彈性 IP 地址。
```
aws ec2 create-internet-gateway \
--query InternetGateway.InternetGatewayId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
aws ec2 allocate-address \
--domain vpc \
--query AllocationId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
```
1. 將 IDs存放在環境變數中。
```
export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0
```
1. 將網際網路閘道連接至 VPC。
```
aws ec2 attach-internet-gateway \
--vpc-id $VPC_ID \
--internet-gateway-id $IGW
```
1. 將公有路由表與公有子網路建立關聯,並設定流量以路由至網際網路閘道。
```
aws ec2 associate-route-table \
--subnet-id $PUBLIC_SUB \
--route-table-id $PUBLIC_RT
aws ec2 create-route \
--route-table-id $PUBLIC_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $IGW
```
1. 建立 NAT 閘道並將其與彈性 IP 地址建立關聯,以啟用私有子網路的流量。
```
aws ec2 create-nat-gateway \
--subnet-id $PUBLIC_SUB \
--allocation-id $EIP \
--query NatGateway.NatGatewayId \
--output text
```
1. 將私有路由表與私有子網路建立關聯,並設定流量以路由至 NAT 閘道。
```
aws ec2 associate-route-table \
--subnet-id $PRIVATE_SUB \
--route-table-id $PRIVATE_RT
aws ec2 create-route \
--route-table-id $PRIVATE_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $NATGW
```
1. (選用) 對於多可用區部署,重複上述步驟,以使用公有和私有子網路設定另外兩個可用區域。
## 建立所需的 IAM 角色和 OpenID Connect 組態
使用 HCP 叢集建立 ROSA 之前,您必須建立必要的 IAM 角色和政策,以及 OpenID Connect (OIDC) 組態。如需使用 HCP 的 ROSA IAM 角色和政策的詳細資訊,請參閱 [AWS 的 受管政策 ROSA](security-iam-awsmanpol.md)。
此程序使用 `auto` ROSA CLI 模式自動建立使用 HCP 叢集建立 ROSA 所需的 OIDC 組態。
1. 建立必要的 IAM 帳戶角色和政策。`--force-policy-creation` 參數會更新任何現有的角色和政策。如果沒有角色和政策,命令會改為建立這些資源。
```
rosa create account-roles --force-policy-creation
```
**注意**
如果您的離線存取字符已過期,CLI ROSA 會輸出錯誤訊息,指出您的授權字符需要更新。如需疑難排解的步驟,請參閱 [對 CLI ROSA 過期的離線存取權杖進行故障診斷](troubleshooting-rosa.md#rosa-cli-expired-token)。
1. 建立 OpenID Connect (OIDC) 組態,以啟用對叢集的使用者身分驗證。此組態已註冊為與 OpenShift Cluster Manager (OCM) 搭配使用。
```
rosa create oidc-config --mode=auto
```
1. 複製 CLI 輸出中提供的 OIDC ROSA 組態 ID。稍後需要提供 OIDC 組態 ID,才能使用 HCP 叢集建立 ROSA。
1. 若要驗證與使用者組織相關聯的叢集可用的 OIDC 組態,請執行下列命令。
```
rosa list oidc-config
```
1. 建立所需的 IAM 運算子角色,``以先前複製的 OIDC 組態 ID 取代 。
**Example**
**重要**
建立運算子角色``時,您必須在 中提供字首。否則會產生錯誤。
```
rosa create operator-roles --prefix --oidc-config-id --hosted-cp
```
1. 若要驗證已建立 IAM 運算子角色,請執行下列命令:
```
rosa list operator-roles
```
## 使用 CLI 和 建立具有 HCP ROSA 叢集的 ROSA AWS STS
您可以使用 CLI 中提供的 叢集 AWS Security Token Service (AWS STS) 和 `auto` 模式,與 HCP ROSA 建立 ROSA。您可以選擇使用公有 API 和輸入或私有 API 和輸入來建立叢集。
您可以使用 叢集 單一可用區域 (單一可用區域) 或多個可用區域 (多可用區域) 建立 。在任何一種情況下,機器的 CIDR 值都必須符合您 VPC 的 CIDR 值。
下列程序使用 `rosa create cluster --hosted-cp`命令來建立具有 HCP 的單一可用區域 ROSA 叢集。若要建立異地同步備份 叢集,請在命令`multi-az`中指定 ,以及您要部署之每個私有子網路IDs。
1. 使用下列其中一個命令建立具有 HCP 叢集的 ROSA。
+ 使用公有 API 和輸入建立具有 HCP 叢集的 ROSA,指定叢集名稱、運算子角色字首、OIDC 組態 ID,以及公有和私有子網路 IDs。
```
rosa create cluster --cluster-name= --sts --mode=auto --hosted-cp --operator-roles-prefix --oidc-config-id --subnet-ids=,
```
+ 使用私有 API 和輸入建立具有 HCP 叢集的 ROSA,指定叢集名稱、運算子角色字首、OIDC 組態 ID 和私有子網路 IDs。
```
rosa create cluster --private --cluster-name= --sts --mode=auto --hosted-cp --subnet-ids=
```
1. 檢查 的狀態 叢集。
```
rosa describe cluster -c
```
**注意**
如果建立程序失敗或 `State` 欄位在 10 分鐘後未變更為就緒狀態,請參閱 [疑難排解](troubleshooting-rosa.md)。
若要聯絡 支援 或 Red Hat 支援以取得協助,請參閱 [取得 ROSA 支援](rosa-support.md)。
1. 觀看 OpenShift 安裝程式日誌,追蹤 叢集 建立進度。
```
rosa logs install -c --watch
```
## 設定身分提供者並授予 叢集 存取權
ROSA 包含內建的 OAuth 伺服器。建立 叢集 之後,您必須設定 OAuth 以使用身分提供者。然後,您可以將使用者新增至您設定的身分提供者,以授予他們存取您的 的權限 叢集。您可以視需要授予這些使用者`cluster-admin`或`dedicated-admin`許可。
您可以為 ROSA 設定不同的身分提供者類型 叢集。支援的類型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 HTPasswd 身分提供者。
**重要**
HTPasswd 身分提供者僅包含用於建立單一靜態管理員使用者。HTPasswd 不支援做為 的一般用途身分提供者 ROSA。
下列程序會將 GitHub 身分提供者設定為範例。如需如何設定每個支援身分提供者類型的說明,請參閱[設定身分提供者 AWS STS](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-sts-config-identity-providers)。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 如果您沒有可用於 身分佈建的 GitHub 組織 叢集,請建立一個。如需詳細資訊,請參閱 [ GitHub 文件中的步驟](https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch)。
1. 使用 ROSA CLI 的互動式模式,為您的叢集設定身分提供者。
```
rosa create idp --cluster= --interactive
```
1. 遵循輸出中的組態提示,以限制對 GitHub 組織成員的 叢集 存取。
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations:
? To use GitHub as an identity provider, you must first register the application:
- Open the following URL:
https://github.com/organizations//settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps./.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps./.p1.openshiftapps.com
- Click on 'Register application'
...
```
1. 在輸出中開啟 URL,``以 GitHub 組織的名稱取代 。
1. 在 GitHub 網頁上,選擇**註冊應用程式**,在您的 GitHub 組織中註冊新的 OAuth 應用程式。
1. 執行下列命令,使用 GitHub OAuth 頁面中的資訊填入剩餘的`rosa create idp`互動式提示。將 ``和 ``取代為 GitHub OAuth 應用程式的登入資料。
```
...
? Client ID:
? Client Secret: [? for help]
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster ''
I: Identity Provider 'github-1' has been created.
It will take up to 1 minute for this configuration to be enabled.
To add cluster administrators, see 'rosa grant user --help'.
To login into the console, open https://console-openshift-console.apps...p1.openshiftapps.com and click on github-1.
```
**注意**
可能需要大約兩分鐘的時間,身分提供者組態才會變成作用中。如果您已設定`cluster-admin`使用者,您可以執行 `oc get pods -n openshift-authentication --watch`以使用更新的組態來監看 OAuth Pod 重新部署。
1. 確認身分提供者已正確設定。
```
rosa list idps --cluster=
```
## 授予使用者對 的存取權 叢集
您可以將使用者新增至設定的身分提供者, 叢集 以授予使用者對 的存取權。
下列程序會將使用者新增至設定為將身分佈建至叢集的 GitHub 組織。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 邀請需要 叢集 存取 GitHub 組織的使用者。如需詳細資訊,請參閱 GitHub 文件中的[邀請使用者加入您的組織](https://docs.github.com/en/organizations/managing-membership-in-your-organization/inviting-users-to-join-your-organization)。
## 設定 `cluster-admin` 許可
1. 執行下列命令來授予`cluster-admin`許可。將 `` 和 取代``為您的使用者和叢集名稱。
```
rosa grant user cluster-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 設定 `dedicated-admin` 許可
1. 使用下列命令授予`dedicated-admin`許可。執行下列命令,將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa grant user dedicated-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 叢集 透過 Red Hat 混合雲端主控台存取
叢集 透過 Red Hat 混合雲端主控台登入您的 。
1. 叢集 使用下列命令取得 的主控台 URL。`` 將 取代為 的名稱 叢集。
```
rosa describe cluster -c | grep Console
```
1. 導覽至輸出中的主控台 URL 並登入。
在**使用...登入**對話方塊中,選擇身分提供者名稱,並完成提供者提出的任何授權請求。
## 從 開發人員目錄部署應用程式
從 Red Hat 混合雲端主控台,您可以部署 Developer Catalog 測試應用程式,並使用路由公開它。
1. 導覽至 [Red Hat 混合雲端主控台](https://console.redhat.com/openshift),然後選擇您要部署應用程式的叢集。
1. 在叢集的頁面上,選擇**開啟主控台**。
1. 在**管理員**角度中,選擇**首頁** > **專案** > **建立專案**。
1. 輸入專案的名稱,並選擇性地新增**顯示名稱**和**描述**。
1. 選擇**建立**以建立專案。
1. 切換到**開發人員**觀點,然後選擇 **\$1新增**。請確定選取的專案是剛建立的專案。
1. 在**開發人員目錄**對話方塊中,選擇**所有 服務**。
1. 在**開發人員目錄**頁面中,從功能表中選擇**語言** > **JavaScript**。
1. 選擇 **Node.js**,然後選擇**建立應用程式**以開啟**建立Source-to-Image應用程式**頁面。
**注意**
您可能需要選擇**清除所有篩選條件**以顯示 **Node.js** 選項。
1. 在 **Git** 區段中,選擇**嘗試範例**。
1. 在**名稱**欄位中,新增唯一的名稱。
1. 選擇**建立**。
**注意**
新應用程式部署需要幾分鐘的時間。
1. 部署完成時,請選擇應用程式的路由 URL。
瀏覽器中的新索引標籤會開啟,並顯示類似以下內容的訊息。
```
Welcome to your Node.js application on OpenShift
```
1. (選用) 刪除應用程式並清除資源:
1. 在**管理員**角度中,選擇**首頁** > **專案**。
1. 開啟專案的動作選單,然後選擇**刪除專案**。
## 從使用者撤銷`cluster-admin`許可
1. 使用下列命令撤銷`cluster-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user cluster-admin --user= --cluster=
```
1. 確認使用者未列為`cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 從使用者撤銷`dedicated-admin`許可
1. 使用以下命令撤銷`dedicated-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user dedicated-admin --user= --cluster=
```
1. 確認使用者未列為`dedicated-admins`群組的成員。
```
rosa list users --cluster=
```
## 撤銷使用者對 的存取權 叢集
您可以撤銷身分提供者使用者的 叢集 存取權,方法是從設定的身分提供者中移除他們。
您可以為您的 設定不同類型的身分提供者 叢集。下列程序會撤銷 GitHub 組織成員的 叢集 存取權。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 從 GitHub 組織移除使用者。如需詳細資訊,請參閱 GitHub 文件中的[從您的組織移除成員](https://docs.github.com/en/organizations/managing-membership-in-your-organization/removing-a-member-from-your-organization)。
## 刪除叢集 AWS STS 和資源
您可以使用 ROSA CLI 來刪除使用 AWS Security Token Service () 叢集 的AWS STS。您也可以使用 ROSA CLI 來刪除 建立 IAM 的角色和 OIDC 提供者 ROSA。若要刪除 建立 IAM 的政策 ROSA,您可以使用 IAM 主控台。
**注意**
IAM 建立的 角色和政策 ROSA 可能由相同帳戶中的其他 ROSA 叢集使用。
1. 刪除 叢集 並監看日誌。`` 將 取代為 的名稱或 ID 叢集。
```
rosa delete cluster --cluster= --watch
```
**重要**
您必須等待 完全 叢集 刪除,才能移除 IAM 角色、政策和 OIDC 供應商。需要帳戶 IAM 角色才能刪除安裝程式建立的資源。需要運算子 IAM 角色才能清除 OpenShift 運算子建立的資源。運算子使用 OIDC 提供者進行身分驗證。
1. 執行下列命令,刪除 叢集 運算子用來驗證的 OIDC 提供者。
```
rosa delete oidc-provider -c --mode auto
```
1. 刪除叢集特定的運算子 IAM 角色。
```
rosa delete operator-roles -c --mode auto
```
1. 使用下列命令刪除帳戶 IAM 角色。`` 將 取代為要刪除之帳戶 IAM 角色的字首。如果您在建立帳戶 IAM 角色時指定了自訂字首,請指定預設`ManagedOpenShift`字首。
```
rosa delete account-roles --prefix --mode auto
```
1. 刪除 建立 IAM 的政策 ROSA。
1. 登入 [IAM 主控台](https://console.aws.amazon.com/iamv2/home#/home)。
1. 在**存取管理**下的左側選單中,選擇**政策**。
1. 選取您要刪除的政策,然後選擇**動作** > **刪除**。
1. 輸入政策名稱,然後選擇**刪除**。
1. 重複此步驟來刪除 的每個 IAM 政策 叢集。
# 使用 CLI ROSA 建立 ROSA 傳統叢集
下列各節說明如何使用 AWS STS 和 CLI ROSA 開始使用 ROSA 傳統。如需使用 Terraform 建立 ROSA 傳統叢集的步驟,請參閱 [Red Hat 文件](https://docs.openshift.com/rosa/rosa_install_access_delete_clusters/terraform/rosa-classic-creating-a-cluster-quickly-terraform.html)。若要進一步了解建立 ROSA 叢集的 Terraform 提供者,請參閱 [Terraform 文件](https://registry.terraform.io/providers/terraform-redhat/rhcs/latest/docs)。
ROSA CLI 使用 `auto` 模式或 `manual` 模式來建立佈建 ROSA 所需的 IAM 資源 叢集。 `auto` 模式會立即建立所需的 IAM 角色和政策和 OpenID Connect (OIDC) 供應商。 `manual` 模式會輸出建立 IAM 資源所需的 AWS CLI 命令。透過使用 `manual` 模式,您可以在手動執行命令之前檢閱產生的 AWS CLI 命令。透過 `manual` 模式,您也可以將命令傳遞給組織中的另一個管理員或群組,讓他們可以建立資源。
如需開始使用的更多選項,請參閱 [開始使用 ROSA](getting-started.md)。
**Topics**
+ [先決條件](#getting-started-classic-cli-prereqs)
+ [使用 CLI ROSA 和 建立 ROSA 傳統叢集 AWS STS](#create-rosa-classic-cluster-cli-sts)
+ [設定身分提供者並授予 叢集 存取權](#getting-started-classic-cli-configure-oidc)
+ [授予使用者對 的存取權 叢集](#getting-started-classic-cli-grant-user-access)
+ [設定 `cluster-admin` 許可](#configure-cluster-admin-classic-cli)
+ [設定 `dedicated-admin` 許可](#configure-dedicated-admin-classic-cli)
+ [叢集 透過 Red Hat 混合雲端主控台存取](#console-access-classic-cli)
+ [從 開發人員目錄部署應用程式](#deploy-app-classic-cli)
+ [從使用者撤銷`cluster-admin`許可](#revoke-cluster-admin-classic-cli)
+ [從使用者撤銷`dedicated-admin`許可](#revoke-dedicated-admin-classic-cli)
+ [撤銷使用者對 的存取權 叢集](#revoke-user-classic-cli)
+ [刪除叢集 AWS STS 和資源](#delete-cluster-classic-cli)
## 先決條件
完成 中列出的先決條件動作[設定 以使用 ROSA](set-up.md)。
## 使用 CLI ROSA 和 建立 ROSA 傳統叢集 AWS STS
您可以使用 CLI 和 叢集 ROSA 建立 ROSA 傳統 AWS STS。
1. 使用 `--mode auto`或 建立所需的 IAM 帳戶角色和政策`--mode manual`。
+
```
rosa create account-roles --classic --mode auto
```
+
```
rosa create account-roles --classic --mode manual
```
**注意**
如果您的離線存取字符已過期,CLI ROSA 會輸出錯誤訊息,指出您的授權字符需要更新。如需疑難排解的步驟,請參閱 [對 CLI ROSA 過期的離線存取權杖進行故障診斷](troubleshooting-rosa.md#rosa-cli-expired-token)。
1. 叢集 使用 `--mode auto`或 建立 `--mode manual`。 `auto` 模式可讓您更快速地建立叢集。 `manual` 模式會提示您為叢集指定自訂設定。
+
```
rosa create cluster --cluster-name --sts --mode auto
```
**注意**
當您指定 時`--mode auto`,`rosa create cluster`命令會自動建立叢集特定的運算子 IAM 角色和 OIDC 供應商。運算子使用 OIDC 提供者進行身分驗證。
**注意**
使用`--mode auto`預設值時,已安裝最新的穩定 OpenShift 版本。
+
```
rosa create cluster --cluster-name --sts --mode manual
```
**重要**
如果您在 `manual` 模式中啟用加密,則會產生大約 20% 的效能額外負荷。除了預設的 Amazon EBS 加密之外,額外負荷是引進第二層加密的結果。
**注意**
執行`manual`模式建立叢集後,您需要手動建立叢集特定的運算子 IAM 角色,以及叢集運算子用來驗證的 OpenID Connect 提供者。
1. 檢查 的狀態 叢集。
```
rosa describe cluster -c
```
**注意**
如果佈建程序失敗,或 `State` 欄位在 40 分鐘後未變更為就緒狀態,請參閱 [疑難排解](troubleshooting-rosa.md)。若要聯絡 支援 或 Red Hat 支援尋求協助,請參閱 [取得 ROSA 支援](rosa-support.md)。
1. 觀看 OpenShift 安裝程式日誌,追蹤 叢集 建立進度。
```
rosa logs install -c --watch
```
## 設定身分提供者並授予 叢集 存取權
ROSA 包含內建的 OAuth 伺服器。 叢集 建立 之後,您必須設定 OAuth 以使用身分提供者。然後,您可以將使用者新增至您設定的身分提供者,以授予他們存取您的 的權限 叢集。您可以視需要授予這些使用者`cluster-admin`或`dedicated-admin`許可。
您可以為 ROSA 設定不同的身分提供者類型 叢集。支援的類型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 HTPasswd 身分提供者。
**重要**
HTPasswd 身分提供者僅包含用於建立單一靜態管理員使用者。HTPasswd 不支援做為 的一般用途身分提供者 ROSA。
下列程序會將 GitHub 身分提供者設定為範例。如需如何設定每個支援身分提供者類型的說明,請參閱[設定身分提供者 AWS STS](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-sts-config-identity-providers)。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 如果您沒有可用於 身分佈建的 GitHub 組織 叢集,請建立一個。如需詳細資訊,請參閱 [ GitHub 文件中的步驟](https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch)。
1. 使用 ROSA CLI 的互動式模式,為您的叢集設定身分提供者。
```
rosa create idp --cluster= --interactive
```
1. 遵循輸出中的組態提示,以限制對 GitHub 組織成員的 叢集 存取。
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations:
? To use GitHub as an identity provider, you must first register the application:
- Open the following URL:
https://github.com/organizations//settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps./.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps./.p1.openshiftapps.com
- Click on 'Register application'
...
```
1. 在輸出中開啟 URL,``將 取代為 GitHub 組織的名稱。
1. 在 GitHub 網頁上,選擇**註冊應用程式**,在您的 GitHub 組織中註冊新的 OAuth 應用程式。
1. 執行下列命令,使用 GitHub OAuth 頁面中的資訊填入剩餘的`rosa create idp`互動式提示。將 ``和 ``取代為 GitHub OAuth 應用程式的登入資料。
```
...
? Client ID:
? Client Secret: [? for help]
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster ''
I: Identity Provider 'github-1' has been created.
It will take up to 1 minute for this configuration to be enabled.
To add cluster administrators, see 'rosa grant user --help'.
To login into the console, open https://console-openshift-console.apps...p1.openshiftapps.com and click on github-1.
```
**注意**
可能需要大約兩分鐘的時間,身分提供者組態才會變成作用中。如果您已設定`cluster-admin`使用者,您可以執行 `oc get pods -n openshift-authentication --watch`以使用更新的組態來監看 OAuth Pod 重新部署。
1. 確認身分提供者已正確設定。
```
rosa list idps --cluster=
```
## 授予使用者對 的存取權 叢集
您可以將使用者新增至設定的身分提供者, 叢集 以授予使用者對 的存取權。
下列程序會將使用者新增至設定為將身分佈建至叢集的 GitHub 組織。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 邀請需要 叢集 存取 GitHub 組織的使用者。如需詳細資訊,請參閱 GitHub 文件中的[邀請使用者加入您的組織](https://docs.github.com/en/organizations/managing-membership-in-your-organization/inviting-users-to-join-your-organization)。
## 設定 `cluster-admin` 許可
1. 執行下列命令來授予`cluster-admin`許可。將 `` 和 取代``為您的使用者和叢集名稱。
```
rosa grant user cluster-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 設定 `dedicated-admin` 許可
1. 使用以下命令授予`dedicated-admin`許可。執行下列命令,將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa grant user dedicated-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 叢集 透過 Red Hat 混合雲端主控台存取
建立 叢集 管理員使用者或將使用者新增至您設定的身分提供者後,您可以透過 叢集 Red Hat 混合雲端主控台登入您的 。
1. 叢集 使用下列命令取得 的主控台 URL。`` 將 取代為 的名稱 叢集。
```
rosa describe cluster -c | grep Console
```
1. 導覽至輸出中的主控台 URL 並登入。
+ 如果您建立了`cluster-admin`使用者,請使用提供的登入資料登入。
+ 如果您已為 設定身分提供者 叢集,請在**使用...登入**對話方塊中選擇身分提供者名稱,然後完成提供者提出的任何授權請求。
## 從 開發人員目錄部署應用程式
從 Red Hat 混合雲端主控台,您可以部署 Developer Catalog 測試應用程式,並使用路由公開它。
1. 導覽至 [Red Hat 混合雲端主控台](https://console.redhat.com/openshift),然後選擇您要部署應用程式的叢集。
1. 在叢集的頁面上,選擇**開啟主控台**。
1. 在**管理員**角度中,選擇**首頁** > **專案** > **建立專案**。
1. 輸入專案的名稱,並選擇性地新增**顯示名稱**和**描述**。
1. 選擇**建立**以建立專案。
1. 切換到**開發人員**觀點,然後選擇 **\$1新增**。請確定選取的專案是剛建立的專案。
1. 在**開發人員目錄**對話方塊中,選擇**所有服務**。
1. 在**開發人員目錄**頁面中,從功能表中選擇**語言** > **JavaScript**。
1. 選擇 **Node.js**,然後選擇**建立應用程式**以開啟**建立Source-to-Image應用程式**頁面。
**注意**
您可能需要選擇**清除所有篩選條件**以顯示 **Node.js** 選項。
1. 在 **Git** 區段中,選擇**嘗試範例**。
1. 在**名稱**欄位中,新增唯一的名稱。
1. 選擇**建立**。
**注意**
新應用程式部署需要幾分鐘的時間。
1. 部署完成時,請選擇應用程式的路由 URL。
瀏覽器中的新索引標籤會開啟,並顯示類似以下內容的訊息。
```
Welcome to your Node.js application on OpenShift
```
1. (選用) 刪除應用程式並清除資源:
1. 在**管理員**觀點中,選擇**首頁** > **專案**。
1. 開啟專案的動作選單,然後選擇**刪除專案**。
## 從使用者撤銷`cluster-admin`許可
1. 使用下列命令撤銷`cluster-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user cluster-admin --user= --cluster=
```
1. 確認使用者未列為`cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 從使用者撤銷`dedicated-admin`許可
1. 使用以下命令撤銷`dedicated-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user dedicated-admin --user= --cluster=
```
1. 確認使用者未列為`dedicated-admins`群組的成員。
```
rosa list users --cluster=
```
## 撤銷使用者對 的存取權 叢集
您可以撤銷身分提供者使用者的 叢集 存取權,方法是將他們從設定的身分提供者中移除。
您可以為 設定不同類型的身分提供者 叢集。下列程序會撤銷 GitHub 組織成員的 叢集 存取權。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 從 GitHub 組織移除使用者。如需詳細資訊,請參閱 GitHub 文件中的[從您的組織移除成員](https://docs.github.com/en/organizations/managing-membership-in-your-organization/removing-a-member-from-your-organization)。
## 刪除叢集 AWS STS 和資源
您可以使用 ROSA CLI 來刪除使用 AWS Security Token Service () 叢集 的AWS STS。您也可以使用 ROSA CLI 來刪除 建立 IAM 的角色和 OIDC 提供者 ROSA。若要刪除 建立 IAM 的政策 ROSA,您可以使用 IAM 主控台。
**重要**
IAM 建立的 角色和政策 ROSA 可能由相同帳戶中的其他 ROSA 叢集使用。
1. 刪除 叢集 並監看日誌。`` 將 取代為 的名稱或 ID 叢集。
```
rosa delete cluster --cluster= --watch
```
**重要**
您必須等待 完全 叢集 刪除,才能移除 IAM 角色、政策和 OIDC 供應商。刪除安裝程式建立的資源需要帳戶 IAM 角色。需要操作員 IAM 角色才能清除 OpenShift 操作員建立的資源。運算子使用 OIDC 提供者進行身分驗證。
1. 執行下列命令,刪除 叢集 運算子用來驗證的 OIDC 提供者。
```
rosa delete oidc-provider -c --mode auto
```
1. 刪除叢集特定的運算子 IAM 角色。
```
rosa delete operator-roles -c --mode auto
```
1. 使用下列命令刪除帳戶 IAM 角色。`` 將 取代為要刪除的帳戶 IAM 角色的字首。如果您在建立帳戶 IAM 角色時指定了自訂字首,請指定預設`ManagedOpenShift`字首。
```
rosa delete account-roles --prefix --mode auto
```
1. 刪除 建立 IAM 的政策 ROSA。
1. 登入 [IAM 主控台](https://console.aws.amazon.com/iamv2/home#/home)。
1. 在**存取管理**下的左側選單中,選擇**政策**。
1. 選取您要刪除的政策,然後選擇**動作** > **刪除**。
1. 輸入政策名稱,然後選擇**刪除**。
1. 重複此步驟來刪除 的每個 IAM 政策 叢集。
# 建立使用 的 ROSA 傳統叢集 AWS PrivateLink
ROSA 傳統叢集可以透過幾種不同的方式部署:公有、私有或私有 AWS PrivateLink。如需 ROSA 傳統的詳細資訊,請參閱 [ROSA 架構](rosa-architecture-models.md)。對於公有和私有 叢集 組態,OpenShift 叢集 可以存取網際網路,並在應用程式層的應用程式工作負載上設定隱私權。
如果您需要將 叢集 和應用程式工作負載都設為私有,您可以使用 ROSA classic AWS PrivateLink 進行設定。 AWS PrivateLink 是一種高可用性、可擴展的技術, ROSA 可用來在 AWS 客戶帳戶中 ROSA 的服務和叢集資源之間建立私有連線。透過 AWS PrivateLink,Red Hat 網站可靠性工程 (SRE) 團隊可以使用連線至叢集 AWS PrivateLink 端點的私有子網路,存取叢集以取得支援和修復。
如需詳細資訊 AWS PrivateLink,請參閱[什麼是 AWS PrivateLink?](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
**Topics**
+ [先決條件](#getting-started-classic-private-link-prereqs)
+ [建立 Amazon VPC 架構](#create-vpc-classic-privatelink)
+ [使用 CLI ROSA 和 建立 ROSA 傳統叢集 AWS PrivateLink](#create-classic-cluster-cli-privatelink)
+ [設定 AWS PrivateLink DNS 轉送](#configure-dns-forwarding-classic-cli-privatelink)
+ [設定身分提供者並授予 叢集 存取權](#configure-oidc-classic-cli-privatelink)
+ [授予使用者對 的存取權 叢集](#grant-user-access-classic-cli-privatelink)
+ [設定 `cluster-admin` 許可](#configure-cluster-admin-classic-privatelink)
+ [設定 `dedicated-admin` 許可](#configure-dedicated-admin-classic-privatelink)
+ [叢集 透過 Red Hat 混合雲端主控台存取](#console-access-classic-cli-privatelink)
+ [從 開發人員目錄部署應用程式](#deploy-app-classic-cli-privatelink)
+ [從使用者撤銷`cluster-admin`許可](#revoke-cluster-admin-classic-privatelink)
+ [從使用者撤銷`dedicated-admin`許可](#revoke-dedicated-admin-classic-privatelink)
+ [撤銷使用者對 的存取權 叢集](#revoke-user-classic-privatelink)
+ [刪除叢集 AWS STS 和資源](#delete-cluster-classic-cli-privatelink)
## 先決條件
完成 中列出的先決條件動作[設定 以使用 ROSA](set-up.md)。
## 建立 Amazon VPC 架構
下列程序會建立可用於託管叢集的 Amazon VPC 架構。所有 叢集 資源都託管在私有子網路中。公有子網路會透過 NAT 閘道,將來自私有子網路的傳出流量路由至公有網際網路。此範例使用 `10.0.0.0/16` 的 CIDR 區塊 Amazon VPC。不過,您可以選擇不同的 CIDR 區塊。如需詳細資訊,請參閱[調整 VPC 大小](https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#vpc-sizing)。
**重要**
如果不符合 Amazon VPC 要求,叢集建立會失敗。
**Example**
1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc)。
1. 在 VPC 儀表板上,選擇 **Create VPC (建立 VPC)**。
1. 針對 **Resources to create** (建立資源),選擇 **VPC and more** (VPC 等)。
1. 保持選取**自動產生名稱標籤**以建立 VPC 資源的「名稱」標籤,或將其清除以提供您自己的 VPC 資源「名稱」標籤。
1. 在**IPv4 CIDR 區塊**,輸入 VPC 的 IPv4 地址範圍。VPC 必須具有 IPv4 地址範圍。
1. (選用) 若要支援 IPv6 流量,請選擇 **IPv6 CIDR 區塊、Amazon 提供的 IPv6 CIDR 區塊**。
1. 將**租用**保留為 `Default`。
1. 針對**可用區域 (AZs) 的數目**,選擇您需要的數目。對於異地同步備份部署, ROSA 需要三個可用區域。若要選擇子網路的 AZ,請展開**自訂 AZ**。
**注意**
某些 ROSA 執行個體類型僅適用於特定可用區域。您可以使用 ROSA CLI `rosa list instance-types`命令來列出所有可用的 ROSA 執行個體類型。若要檢查執行個體類型是否適用於指定的可用區域,請使用 AWS CLI 命令 `aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`。
1. 若要設定您的子網路,請選擇**公有子網路數目**和**私有子網路數目**的值。若要選擇子網路的 IP 地址範圍,請展開**自訂子網路 CIDR 區塊**。
**注意**
ROSA 要求客戶為每個用來建立叢集的可用區域設定至少一個私有子網路。
1. 若要透過 IPv4 授予私有子網路中公有網際網路的資源存取權,請針對 **NAT 閘道**選擇要在其中建立 NAT 閘道AZs 數量。在生產環境中,建議您在每個 AZ 中部署一個 NAT 閘道,並包含需要存取公有網際網路的資源。
1. (選用) 如果您需要 Amazon S3 直接從 VPC 存取 ,請選擇 **VPC 端點 S3 Gateway**。
1. 保持選取預設 DNS 選項。 ROSA 需要 VPC 上的 DNS 主機名稱支援。
1. 選擇**建立 VPC**。
1. 使用 `10.0.0.0/16` CIDR 區塊建立 VPC。
```
aws ec2 create-vpc \
--cidr-block 10.0.0.0/16 \
--query Vpc.VpcId \
--output text
```
上述命令會傳回 VPC ID。以下為範例輸出。
```
vpc-1234567890abcdef0
```
1. 將 VPC ID 存放在 環境變數中。
```
export VPC_ID=vpc-1234567890abcdef0
```
1. 使用 `VPC_ID`環境變數為 VPC 建立`Name`標籤。
```
aws ec2 create-tags --resources $VPC_ID --tags Key=Name,Value=MyVPC
```
1. 在 VPC 上啟用 DNS 主機名稱支援。
```
aws ec2 modify-vpc-attribute \
--vpc-id $VPC_ID \
--enable-dns-hostnames
```
1. 在 VPC 中建立公有和私有子網路,指定應建立資源的可用區域。
**重要**
ROSA 要求客戶為每個用來建立叢集的可用區域設定至少一個私有子網路。對於異地同步備份部署,需要三個可用區域。如果不符合這些要求,叢集建立會失敗。
**注意**
某些 ROSA 執行個體類型僅適用於特定可用區域。您可以使用 ROSA CLI `rosa list instance-types`命令來列出所有可用的 ROSA 執行個體類型。若要檢查執行個體類型是否適用於指定的可用區域,請使用 AWS CLI 命令 `aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=location,Values= --region --output text | egrep ""`。
```
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.1.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
aws ec2 create-subnet \
--vpc-id $VPC_ID \
--cidr-block 10.0.0.0/24 \
--availability-zone us-east-1a \
--query Subnet.SubnetId \
--output text
```
1. 將公有和私有子網路 IDs存放在環境變數中。
```
export PUBLIC_SUB=subnet-1234567890abcdef0
export PRIVATE_SUB=subnet-0987654321fedcba0
```
1. 建立網際網路閘道和傳出流量的路由表。為私有流量建立路由表和彈性 IP 地址。
```
aws ec2 create-internet-gateway \
--query InternetGateway.InternetGatewayId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
aws ec2 allocate-address \
--domain vpc \
--query AllocationId \
--output text
aws ec2 create-route-table \
--vpc-id $VPC_ID \
--query RouteTable.RouteTableId \
--output text
```
1. 將 IDs存放在環境變數中。
```
export IGW=igw-1234567890abcdef0
export PUBLIC_RT=rtb-0987654321fedcba0
export EIP=eipalloc-0be6ecac95EXAMPLE
export PRIVATE_RT=rtb-1234567890abcdef0
```
1. 將網際網路閘道連接至 VPC。
```
aws ec2 attach-internet-gateway \
--vpc-id $VPC_ID \
--internet-gateway-id $IGW
```
1. 將公有路由表與公有子網路建立關聯,並設定流量以路由至網際網路閘道。
```
aws ec2 associate-route-table \
--subnet-id $PUBLIC_SUB \
--route-table-id $PUBLIC_RT
aws ec2 create-route \
--route-table-id $PUBLIC_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $IGW
```
1. 建立 NAT 閘道並將其與彈性 IP 地址建立關聯,以啟用私有子網路的流量。
```
aws ec2 create-nat-gateway \
--subnet-id $PUBLIC_SUB \
--allocation-id $EIP \
--query NatGateway.NatGatewayId \
--output text
```
1. 將私有路由表與私有子網路建立關聯,並設定流量以路由至 NAT 閘道。
```
aws ec2 associate-route-table \
--subnet-id $PRIVATE_SUB \
--route-table-id $PRIVATE_RT
aws ec2 create-route \
--route-table-id $PRIVATE_RT \
--destination-cidr-block 0.0.0.0/0 \
--gateway-id $NATGW
```
1. (選用) 對於多可用區部署,重複上述步驟,以使用公有和私有子網路設定另外兩個可用區域。
## 使用 CLI ROSA 和 建立 ROSA 傳統叢集 AWS PrivateLink
您可以使用 ROSA CLI 和 AWS PrivateLink 建立 叢集 具有單一可用區域 (單一可用區域) 或多個可用區域 (多可用區域) 的 。在任何一種情況下,機器的 CIDR 值都必須符合您 VPC 的 CIDR 值。
下列程序使用 `rosa create cluster`命令來建立 ROSA 傳統 叢集。若要建立異地同步備份 叢集,請在 命令`--multi-az`中指定 ,然後選取出現提示時要使用的私有子網路 IDs。
**注意**
如果您使用防火牆,則必須進行設定,讓 ROSA 可以存取其運作所需的網站。
如需詳細資訊,請參閱 Red Hat 文件中的[使用 AWS PrivateLink 叢集的需求](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-aws-privatelink-creating-cluster#osd-aws-privatelink-required-resources_rosa-aws-privatelink-creating-cluster)。
1. 使用 `--mode auto`或 建立所需的 IAM 帳戶角色和政策`--mode manual`。
+
```
rosa create account-roles --classic --mode auto
```
+
```
rosa create account-roles --classic --mode manual
```
**注意**
如果您的離線存取字符已過期,CLI ROSA 會輸出錯誤訊息,指出您的授權字符需要更新。如需疑難排解的步驟,請參閱 [對 CLI ROSA 過期的離線存取權杖進行故障診斷](troubleshooting-rosa.md#rosa-cli-expired-token)。
1. 執行下列其中一個命令 叢集 來建立 。
+ 單一可用區
```
rosa create cluster --private-link --cluster-name= --machine-cidr=10.0.0.0/16 --subnet-ids=
```
+ Multi-AZ
```
rosa create cluster --private-link --multi-az --cluster-name= --machine-cidr=10.0.0.0/16
```
**注意**
若要建立使用 AWS PrivateLink 搭配 AWS Security Token Service (AWS STS) 短期登入資料的叢集,請附加 `--sts --mode auto`或 `--sts --mode manual`到 `rosa create cluster` 命令的結尾。
1. 依照互動式提示建立 叢集 運算子 IAM 角色。
```
rosa create operator-roles --interactive -c
```
1. 建立 叢集 運算子用來驗證的 OpenID Connect (OIDC) 提供者。
```
rosa create oidc-provider --interactive -c
```
1. 檢查 的狀態 叢集。
```
rosa describe cluster -c
```
**注意**
`State` 欄位最多可能需要 40 分鐘 叢集 才能顯示`ready`狀態。如果佈建失敗或在 `ready` 40 分鐘後未顯示為 ,請參閱 [疑難排解](troubleshooting-rosa.md)。若要聯絡 支援 或 Red Hat 支援以取得協助,請參閱 [取得 ROSA 支援](rosa-support.md)。
1. 觀看 OpenShift 安裝程式日誌,追蹤 叢集 建立進度。
```
rosa logs install -c --watch
```
## 設定 AWS PrivateLink DNS 轉送
使用 的叢集會在其中 AWS PrivateLink 建立公有託管區域和私有託管區域 Route 53。 Route 53 私有託管區域內的記錄只能從指派給它的 VPC 內解析。
Let's Encrypt DNS-01 驗證需要公有區域,才能為網域發出有效且公開信任的憑證。驗證記錄會在 Let's Encrypt 驗證完成後刪除。核發和續約這些憑證仍然需要此區域,通常每 60 天需要這些憑證。雖然這些區域通常顯示為空白,但公有區域在驗證程序中扮演關鍵角色。
如需 AWS 私有託管區域的詳細資訊,請參閱[使用私有區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html)。如需公有託管區域的詳細資訊,請參閱[使用公有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/AboutHZWorkingWith.html)。
### 設定 Route 53 Resolver 傳入端點
1. 若要允許 `api.`和 等記錄`*.apps.`在 VPC 外部解析,[請設定 Route 53 Resolver 傳入端點](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html#resolver-forwarding-inbound-queries-configuring)。
**注意**
當您設定傳入端點時,至少需要指定兩個 IP 地址以進行備援。建議您至少在兩個可用區域中指定 IP 地址。您可以在那些或其他可用區域選擇性指定其他 IP 位址。
1. 當您設定傳入端點時,請選取您建立叢集時所使用的 VPC 和私有子網路。
### 設定叢集的 DNS 轉送
Route 53 Resolver 內部端點建立關聯並運作後,請設定 DNS 轉送,讓網路上的指定伺服器可以處理 DNS 查詢。
1. 設定您的公司網路,將 DNS 查詢轉送至頂層網域的 IP 地址,例如 `drow-pl-01.htno.p1.openshiftapps.com`。
1. 如果您要將 DNS 查詢從一個 VPC 轉送到另一個 VPC,請遵循[管理轉送規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html)中的指示。
1. 如果您要設定遠端網路 DNS 伺服器,請參閱您的特定 DNS 伺服器文件,以設定已安裝叢集網域的選擇性 DNS 轉送。
## 設定身分提供者並授予 叢集 存取權
ROSA 包含內建的 OAuth 伺服器。 叢集 建立 ROSA 之後,您必須設定 OAuth 以使用身分提供者。然後,您可以將使用者新增至您設定的身分提供者,以授予他們存取您的 的權限 叢集。您可以視需要授予這些使用者`cluster-admin`或`dedicated-admin`許可。
您可以為 設定不同的身分提供者類型 叢集。支援的類型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 HTPasswd 身分提供者。
**重要**
HTPasswd 身分提供者僅包含用於建立單一靜態管理員使用者。HTPasswd 不支援做為 的一般用途身分提供者 ROSA。
下列程序會將 GitHub 身分提供者設定為範例。如需如何設定每個支援身分提供者類型的說明,請參閱[設定身分提供者 AWS STS](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/install_rosa_classic_clusters/rosa-sts-config-identity-providers)。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 如果您沒有可用於 身分佈建的 ROSA GitHub 組織 叢集,請建立一個。如需詳細資訊,請參閱 [ GitHub 文件中的步驟](https://docs.github.com/en/organizations/collaborating-with-groups-in-organizations/creating-a-new-organization-from-scratch)。
1. 使用 ROSA CLI 的互動式模式,執行下列命令來設定叢集的身分提供者。
```
rosa create idp --cluster= --interactive
```
1. 遵循輸出中的組態提示,以限制對 GitHub 組織成員的 叢集 存取。
```
I: Interactive mode enabled.
Any optional fields can be left empty and a default will be selected.
? Type of identity provider: github
? Identity provider name: github-1
? Restrict to members of: organizations
? GitHub organizations:
? To use GitHub as an identity provider, you must first register the application:
- Open the following URL:
https://github.com/organizations//settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps./.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps./.p1.openshiftapps.com
- Click on 'Register application'
...
```
1. 在輸出中開啟 URL,``將 取代為 GitHub 組織的名稱。
1. 在 GitHub 網頁上,選擇**註冊應用程式**,在您的 GitHub 組織中註冊新的 OAuth 應用程式。
1. 使用 GitHub OAuth 頁面中的資訊來填入剩餘的`rosa create idp`互動式提示,將 ``和 取代``為 GitHub OAuth 應用程式的登入資料。
```
...
? Client ID:
? Client Secret: [? for help]
? GitHub Enterprise Hostname (optional):
? Mapping method: claim
I: Configuring IDP for cluster ''
I: Identity Provider 'github-1' has been created.
It will take up to 1 minute for this configuration to be enabled.
To add cluster administrators, see 'rosa grant user --help'.
To login into the console, open https://console-openshift-console.apps...p1.openshiftapps.com and click on github-1.
```
**注意**
可能需要約兩分鐘的時間,身分提供者組態才會變成作用中。如果您已設定`cluster-admin`使用者,您可以執行 `oc get pods -n openshift-authentication --watch`命令來監看使用更新組態重新部署的 OAuth Pod。
1. 確認已正確設定身分提供者。
```
rosa list idps --cluster=
```
## 授予使用者對 的存取權 叢集
您可以將使用者新增至設定的身分提供者, 叢集 以授予使用者對 的存取權。
下列程序會將使用者新增至設定為將身分佈建至叢集的 GitHub 組織。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 邀請需要 叢集 存取 GitHub 組織的使用者。如需詳細資訊,請參閱 GitHub 文件中的[邀請使用者加入您的組織](https://docs.github.com/en/organizations/managing-membership-in-your-organization/inviting-users-to-join-your-organization)。
## 設定 `cluster-admin` 許可
1. 使用下列命令授予`cluster-admin`許可。將 `` 和 取代``為您的使用者和叢集名稱。
```
rosa grant user cluster-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 設定 `dedicated-admin` 許可
1. 使用下列命令授予`dedicated-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa grant user dedicated-admin --user= --cluster=
```
1. 確認使用者列為 `cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 叢集 透過 Red Hat 混合雲端主控台存取
在您建立 叢集 管理員使用者或將使用者新增至您設定的身分提供者之後,您可以透過 叢集 Red Hat 混合雲端主控台登入您的 。
1. 叢集 使用下列命令取得 的主控台 URL。`` 將 取代為 的名稱 叢集。
```
rosa describe cluster -c | grep Console
```
1. 導覽至輸出中的主控台 URL 並登入。
+ 如果您建立了`cluster-admin`使用者,請使用提供的登入資料登入。
+ 如果您已為 設定身分提供者 叢集,請在**使用...登入**對話方塊中選擇身分提供者名稱,然後完成提供者提出的任何授權請求。
## 從 開發人員目錄部署應用程式
從 Red Hat 混合雲端主控台,您可以部署 Developer Catalog 測試應用程式,並使用路由公開它。
1. 導覽至 [Red Hat 混合雲端主控台](https://console.redhat.com/openshift),然後選擇您要部署應用程式的叢集。
1. 在叢集的頁面上,選擇**開啟主控台**。
1. 在**管理員**觀點中,選擇**首頁** > **專案** > **建立專案**。
1. 輸入專案的名稱,並選擇性地新增**顯示名稱**和**描述**。
1. 選擇**建立**以建立專案。
1. 切換到**開發人員**觀點,然後選擇 **\$1新增**。請確定選取的專案是剛建立的專案。
1. 在**開發人員目錄**對話方塊中,選擇**所有服務**。
1. 在**開發人員目錄**頁面中,從功能表中選擇**語言** > **JavaScript**。
1. 選擇 **Node.js**,然後選擇**建立應用程式**以開啟**建立Source-to-Image應用程式**頁面。
**注意**
您可能需要選擇**清除所有篩選條件**以顯示 **Node.js** 選項。
1. 在 **Git** 區段中,選擇**嘗試範例**。
1. 在**名稱**欄位中,新增唯一的名稱。
1. 選擇**建立**。
**注意**
新應用程式部署需要幾分鐘的時間。
1. 部署完成時,請選擇應用程式的路由 URL。
瀏覽器中的新索引標籤會開啟,並顯示類似以下內容的訊息。
```
Welcome to your Node.js application on OpenShift
```
1. (選用) 刪除應用程式並清除資源。
1. 在**管理員**觀點中,選擇**首頁** > **專案**。
1. 開啟專案的動作選單,然後選擇**刪除專案**。
## 從使用者撤銷`cluster-admin`許可
1. 使用下列命令撤銷`cluster-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user cluster-admin --user= --cluster=
```
1. 確認使用者未列為`cluster-admins`群組的成員。
```
rosa list users --cluster=
```
## 從使用者撤銷`dedicated-admin`許可
1. 使用下列命令撤銷`dedicated-admin`許可。將 `` 和 取代``為您的使用者和 叢集 名稱。
```
rosa revoke user dedicated-admin --user= --cluster=
```
1. 確認使用者未列為`dedicated-admins`群組的成員。
```
rosa list users --cluster=
```
## 撤銷使用者對 的存取權 叢集
您可以撤銷身分提供者使用者的 叢集 存取權,方法是將他們從設定的身分提供者中移除。
您可以為 設定不同類型的身分提供者 叢集。下列程序會撤銷 GitHub 組織成員的 叢集 存取權。
1. 導覽至 [github.com](https://github.com/) 並登入您的 GitHub 帳戶。
1. 從 GitHub 組織移除使用者。如需詳細資訊,請參閱 GitHub 文件中的[從您的組織移除成員](https://docs.github.com/en/organizations/managing-membership-in-your-organization/removing-a-member-from-your-organization)。
## 刪除叢集 AWS STS 和資源
您可以使用 ROSA CLI 來刪除使用 AWS Security Token Service () 叢集 的AWS STS。您也可以使用 ROSA CLI 來刪除 建立 IAM 的角色和 OIDC 提供者 ROSA。若要刪除 建立 IAM 的政策 ROSA,您可以使用 IAM 主控台。
**重要**
IAM 建立的 角色和政策 ROSA 可能由相同帳戶中的其他 ROSA 叢集使用。
1. 刪除 叢集 並監看日誌。`` 將 取代為 的名稱或 ID 叢集。
```
rosa delete cluster --cluster= --watch
```
**重要**
您必須等待 完全 叢集 刪除,才能移除 IAM 角色、政策和 OIDC 供應商。刪除安裝程式建立的資源需要帳戶 IAM 角色。需要操作員 IAM 角色才能清除 OpenShift 操作員建立的資源。運算子使用 OIDC 提供者進行身分驗證。
1. 執行下列命令,刪除 叢集 運算子用來驗證的 OIDC 提供者。
```
rosa delete oidc-provider -c --mode auto
```
1. 刪除叢集特定的運算子 IAM 角色。
```
rosa delete operator-roles -c --mode auto
```
1. 使用下列命令刪除帳戶 IAM 角色。`` 將 取代為要刪除的帳戶 IAM 角色的字首。如果您在建立帳戶 IAM 角色時指定了自訂字首,請指定預設`ManagedOpenShift`字首。
```
rosa delete account-roles --prefix --mode auto
```
1. 刪除 建立 IAM 的政策 ROSA。
1. 登入 [IAM 主控台](https://console.aws.amazon.com/iamv2/home#/home)。
1. 在**存取管理**下的左側選單中,選擇**政策**。
1. 選取您要刪除的政策,然後選擇**動作** > **刪除**。
1. 輸入政策名稱,然後選擇**刪除**。
1. 重複此步驟來刪除 的每個 IAM 政策 叢集。