Réautorisation d'un administrateur d'instance avec le RBAC minimum pour mettre à niveau les composants (mise à niveau de la version 5.3.x vers une version ultérieure 5.3 refresh)

Si vous avez attribué à un administrateur d'instance le contrôle d'accès basé sur les rôles (RBAC) minimal pour installer IBM® Software Hub des logiciels, vous devez mettre à jour les rôles attribués à l'utilisateur afin que celui-ci dispose des privilèges suffisants pour mettre à niveau l'instance.

Phase de mise à niveau
  • Vous n'êtes pas ici. Mise à jour de votre poste de travail client
  • Vous n'êtes pas ici. Collecte des informations requises
  • Vous n'êtes pas ici. Préparation d'une mise à niveau dans un réseau restreint
  • Vous n'êtes pas ici. Préparation à l'exécution d'une mise à niveau à partir d'un registre de conteneurs privé
  • Vous n'êtes pas ici. Mise à niveau des logiciels prérequis
  • Vous n'êtes pas ici. Mise à niveau des composants partagés du cluster
  • Vous êtes ici icône. Préparation à la mise à niveau d'une instance
  • Vous n'êtes pas ici. Mise à niveau d'une instance
Qui doit accomplir cette tâche?

Administrateur de cluster Un administrateur de cluster doit effectuer cette tâche.

Quand devez-vous terminer cette tâche?
  • Si vous avez attribué le admin rôle à un utilisateur dans le projet, vous pouvez ignorer cette tâche.
  • Si vous avez attribué à un utilisateur le contrôle d'accès basé sur les rôles (RBAC) minimal pour l'installation IBM Software Hub, vous devez effectuer cette tâche afin de lui donner les privilèges suffisants pour mettre à niveau l'instance.

    Répétez l'opération autant de fois que nécessaire. Si vous disposez de plusieurs instances de IBM Software Hub, vous devez répéter cette tâche pour chaque instance de IBM Software Hub que vous prévoyez de mettre à niveau.

Avant de commencer

Meilleure pratique : vous pouvez exécuter les commandes de cette tâche exactement telles qu'elles sont écrites en utilisant les variables d'environnement d'installation. Assurez-vous d'avoir ajouté les nouvelles variables d'environnement à partir du script Mise à jour de vos variables d'environnement.

De plus, assurez-vous de récupérer les variables d'environnement avant d'exécuter les commandes de cette tâche.

A propos de cette tâche

Utilisez la show-minimum-rbac commande pour générer les fichiers YAML que vous pouvez utiliser pour attribuer à un utilisateur les droits RBAC minimaux nécessaires pour mettre à niveau les composants associés à une instance de IBM Software Hub.

Vous devez régénérer et réappliquer les rôles attribués à l'administrateur de l'instance afin que l'utilisateur dispose des privilèges suffisants pour mettre à niveau l'instance.

Procédure

  1. Connectez-vous cpd-cli au Red Hat® OpenShift® Container Platform cluster :
    ${CPDM_OC_LOGIN}
    Rappel : CPDM_OC_LOGIN est un alias de la cpd-cli manage login-to-ocp commande.
  2. Définissez la variable ROLE_NAME d'environnement sur l'identifiant que vous utilisez pour les rôles RBAC minimaux associés à cette instance de IBM Software Hub.
    export ROLE_NAME=<role-name>
  3. Exécutez la cpd-cli manage show-minimum-rbac commande pour générer les fichiers YAML que vous pouvez utiliser pour créer les rôles avec le RBAC minimal pour les composants :
    cpd-cli manage show-minimum-rbac \
--components=${COMPONENTS} \
--release=${VERSION} \
--role_name=${ROLE_NAME}
    La commande génère les fichiers YAML suivants dans le work répertoire :
    • ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml
    • ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml
  4. Passez au répertoire work .
  5. Créez les rôles à partir des fichiers YAML :
    1. Créez le ${ROLE_NAME}-cpd-instance-admin rôle dans le projet des opérateurs pour l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS}
    2. Créez le ${ROLE_NAME}-cpd-instance-crs rôle dans le projet des opérateurs pour l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS}
    3. Créez le ${ROLE_NAME}-cpd-instance-admin rôle dans le projet operands pour l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    4. Créez le ${ROLE_NAME}-cpd-instance-crs rôle dans le projet operands pour l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    5. Créez le ${ROLE_NAME}-cpd-instance-admin rôle dans tous les projets liés à l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Répétez cette étape pour chaque projet lié associé à cette instance de IBM Software Hub.
      Astuce : si vous définissez la variable PROJECT_CPD_INSTANCE_TETHERED_LIST d'environnement, affichez la liste des projets connectés dans le terminal :
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilisez ces informations pour définir la variable PROJECT_CPD_INSTANCE_TETHERED d'environnement avant de réexécuter la commande.

    6. Créez le ${ROLE_NAME}-cpd-instance-crs rôle dans tous les projets liés à l'instance :
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Répétez cette étape pour chaque projet lié associé à cette instance de IBM Software Hub.
      Astuce : si vous définissez la variable PROJECT_CPD_INSTANCE_TETHERED_LIST d'environnement, affichez la liste des projets connectés dans le terminal :
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilisez ces informations pour définir la variable PROJECT_CPD_INSTANCE_TETHERED d'environnement avant de réexécuter la commande.

  6. Définissez la variable INSTANCE_ADMIN d'environnement sur le nom Red Hat OpenShift Container Platform d'utilisateur auquel vous souhaitez attribuer des privilèges d'administration.
    export INSTANCE_ADMIN=<user>
  7. Attribuez à l'utilisateur les rôles dans les projets pour l'instance :
    Conseil : les étapes suivantes utilisent la oc adm policy add-role-to-user <role-name> <user-name> commande. Vous pouvez également utiliser la oc adm policy add-role-to-group <role-name> <group-name> commande pour autoriser un groupe Red Hat OpenShift Container Platform d'utilisateurs.
    1. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-admin rôle dans le projet des opérateurs pour l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
    2. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-crs rôle dans le projet des opérateurs pour l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
    3. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-admin rôle dans le projet operands pour l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
    4. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-crs rôle dans le projet operands pour l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
    5. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-admin rôle dans tous les projets liés à l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Répétez cette étape pour chaque projet lié associé à cette instance de IBM Software Hub.
      Astuce : si vous définissez la variable PROJECT_CPD_INSTANCE_TETHERED_LIST d'environnement, affichez la liste des projets connectés dans le terminal :
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilisez ces informations pour définir la variable PROJECT_CPD_INSTANCE_TETHERED d'environnement avant de réexécuter la commande.

    6. Attribuez à l'utilisateur le ${ROLE_NAME}-cpd-instance-crs rôle dans tous les projets liés à l'instance :
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Répétez cette étape pour chaque projet lié associé à cette instance de IBM Software Hub.
      Astuce : si vous définissez la variable PROJECT_CPD_INSTANCE_TETHERED_LIST d'environnement, affichez la liste des projets connectés dans le terminal :
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilisez ces informations pour définir la variable PROJECT_CPD_INSTANCE_TETHERED d'environnement avant de réexécuter la commande.

Etape suivante

Maintenant que vous avez réautorisé l'administrateur d'instance, vous êtes prêt à terminer la mise à niveau des moniteurs privilégiés (mise à niveau de la version 5.3.x vers une version ultérieure 5.3 refresh).