模式 19.4. 使用手动模式 19.5. 在 AMAZON WEB SERVICES SECURITY TOKEN SERVICE 中使用手动模式 19.6. 在 GCP WORKLOAD IDENTITY 中使用手动模式 132 134 134 138 150 156 156 162 167 172 176 189 目 目录 录 3 OpenShift Container config.openshift.io/v1 kind: OAuth metadata: name: cluster spec: identityProviders: - name: my_identity_provider 1 mappingMethod: claim 2 type: HTPasswd htpasswd: fileData: name: 如果删除了一个或多个用户，您还需要为每个用户删除其现有资源。 a. 删除 User 对象： 输 输出示例 出示例 请确认已删除了用户，否则如果用户的令牌还没有过期，则用户还可以继续使用其令牌。 b. 删除用户的 Identity 对象： $ htpasswd -bB users.htpasswd Adding password for user $

用法示例 用法示例 2.5.1.40. oc create deploymentconfig 使用给定镜像的默认选项创建部署配置 用法示例 用法示例 2.5.1.41. oc create identity 手动创建身份（仅在禁用自动创建时才需要） 用法示例 用法示例 2.5.1.42. oc create imagestream 创建新的空镜像流 # Create a cron job deploymentconfig my-nginx --image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones OpenShift Container Platform and the display name "Adam Jones" oc create user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones

OpenShift Container Platform 4.13 CLI 工具 工具 38 使用给定镜像的默认选项创建部署配置 用法示例 用法示例 2.7.1.41. oc create identity 手动创建身份（仅在禁用自动创建时才需要） 用法示例 用法示例 2.7.1.42. oc create imagestream 创建新的空镜像流 用法示例 用法示例 2.7.1.43 deploymentconfig my-nginx --image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones # Create a new image and the display name "Adam Jones" oc create user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones

功能。如需更多信息，请参阅集群功能。 1.3.2.6. 使用 使用 Azure AD Workload Identity 安装集群 安装集群 现在，您可以将 Microsoft Azure 集群配置为使用 Azure AD Workload Identity。使用 Azure AD Workload Identity 时，集群组件使用在集群外管理的短期安全凭证。 如需有关 Azure 上 OpenShift OpenShift Container Platform 集群的短期凭证实现的更多信息，请参阅 Azure AD Workload Identity。 要了解如何在安装过程中配置此凭证管理策略，请参阅配置 Azure 集群以使用短期凭证。 1.3.2.7. Microsoft Azure 的用 的用户 户定 定义 义的 的标签现 标签现已正式 已正式发 发布 布 Microsoft Azure 的用户定义的标签功能以前在 "/openshift-network-node-identity/network-node-identity" update is rolling。 作为临时解决方案，您可以通过运行以下命令来删除 openshift-network-node-identify 命名空 间中的所有 pod：oc delete --force=true -n openshift-network-node-identity --all pods。运

(OC) 33 2.5.1.40. oc create deploymentconfig 使用给定镜像的默认选项创建部署配置 用法示例 用法示例 2.5.1.41. oc create identity 手动创建身份（仅在禁用自动创建时才需要） 用法示例 用法示例 2.5.1.42. oc create imagestream 创建新的空镜像流 用法示例 用法示例 2.5.1.43 deploymentconfig my-nginx --image=nginx # Create an identity with identity provider "acme_ldap" and the identity provider username "adamjones" oc create identity acme_ldap:adamjones # Create a new image and the display name "Adam Jones" oc create user ajones --full-name="Adam Jones" # Map the identity "acme_ldap:adamjones" to the user "ajones" oc create useridentitymapping acme_ldap:adamjones ajones

文档中的创建团队。 流程 流程 1. 进入到 OpenShift Cluster Manager 并选择您的集群。 2. 选择 Access control → Identity provider。 3. 从 Add identity provider 下拉菜单中选择 GitHub 身份提供程序类型。 4. 输入身份提供程序的唯一名称。之后无法更改名称。 5. 按照 GitHub 文档中的步骤，在 . /oauth2callback/ 6. 返回到 OpenShift Cluster Manager 中的 Edit identity provider: GitHub 对话框，然后从 Mapping method 下拉菜单中选择 Claim。 7. 为 GitHub OAuth 应用程序输入 Client ID 和 Client 激活身份提供商配置的过程可能需要大约两分钟。 验证 验证 配置变为活动状态后，身份提供程序会在集群的 OpenShift Cluster Manager 页面中的 Access control → Identity provider 下列出。 其他 其他资 资源 源 有关配置每个支持的身份提供程序类型的详细步骤，请参阅为 STS 配置身份提供程序 2.4. 为用户授予管理员权限 为集群配置身份提

~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () 第 第 5 章 章 在 在 ALIBABA 上安装 上安装 95 1 您有一台运行 ~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () 第 第 5 章 章 在 在 ALIBABA 上安装 上安装 107 1 保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。 重要 重要 $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () OpenShift Container Platform 4.14 安装 安装

~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 73 1 1 ~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 85 1 2 保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。 重要 重要 $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () 第 第 4 章 章 在 在 ALIBABA 上安装 上安装 109 重要

Container Platform 组件提供容 器镜像的 Quay.io。 4.4.5. 部署集群 您可以在兼容云平台中安装 OpenShift Container Platform。 重要 重要 Identity added: /home/// () $ tar xvf openshift-install-linux.tar.gz 保留安装程序和安装程序所创建的文件。这两个文件都需要删除集群。 重要 重要 $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () OpenShift Container Platform 4.7 安装 安装 此。要删除集群，为特定云供应商完成 OpenShift Container Platform 卸载流程。 Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () OpenShift Container Platform 4.7 安装 安装

Operator 配置。 如果您选择指定自己的 IAM 角色，您可以执行以下步骤： 从默认策略开始，并根据需要进行相应调整。如需更多信息，请参阅" IAM 实例配置集的默认权 限"。 使用 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)创建基于集 群活动的策略模板。如需更多信息，请参阅"使用 AWS IAM IAM Analyzer 创建策略模板 建策略模板 control plane 和计算实例配置集需要的最小权限集取决于集群每天配置的方式。 要确定集群实例需要哪种权限的一种方法是使用 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)来创建策略模板： 策略模板包含集群在指定时间段内使用的权限。 然后， ~/.ssh/id_ed25519.pub $ eval "$(ssh-agent -s)" Agent pid 31874 $ ssh-add / 1 Identity added: /home/// () OpenShift Container Platform 4.8 安装 安装