Riconferire i diritti a un amministratore dell'istanza con i privilegi RBAC minimi per applicare la patch a un'istanza

Se a un amministratore dell'istanza è stato assegnato il controllo degli accessi basato sui ruoli (RBAC) minimo per l'installazione IBM Software Hub, è necessario aggiornare i ruoli assegnati all'utente in modo che disponga dei privilegi necessari per applicare la patch all'istanza.

Chi deve svolgere questo compito?

Amministratore del cluster: questa operazione deve essere eseguita da un amministratore del cluster.

Entro quando devi portare a termine questo compito?

Se hai assegnato a un utente il admin ruolo nel progetto, puoi saltare questa operazione.
Se all'utente è stato assegnato il controllo degli accessi basato sui ruoli (RBAC) minimo per l'installazione IBM Software Hub, è necessario completare questa operazione per conferirgli i privilegi necessari per applicare la patch all'istanza.
Ripetere l'operazione secondo necessità. Se sono presenti più istanze di IBM Software Hub, è necessario ripetere questa operazione per ciascuna istanza di IBM Software Hub su cui si intende applicare la patch.

Prima di iniziare

Assicurati che le seguenti affermazioni siano vere:

La workstation client può connettersi al cluster.
Il scan.yaml file si trova nella work/scan/ directory:
- Se hai completato la fase di raccolta delle informazioni sui componenti installati, questo file dovrebbe essere presente sulla workstation client.
- Se l'amministratore dell'istanza ha completato la raccolta delle informazioni sui componenti installati, deve condividere il file con te. Assicurati di salvare il file nella work/scan/ directory.
Nella sessione del terminale sono impostate le seguenti variabili d'ambiente:
- COMPONENTS_TO_PATCH
- PATCH_ID (se hai intenzione di installare una patch specifica)
Per ulteriori informazioni, consultare la sezione "Download dei pacchetti CASE " per le patch disponibili.

Buona pratica: è possibile eseguire i comandi di questa attività esattamente come sono riportati se si utilizza lo script delle variabili d'ambiente di installazione.

Assicurati di impostare le variabili d'ambiente prima di eseguire i comandi descritti in questa attività.

Informazioni su questa attività

Utilizza il show-minimum-rbac comando per generare i file YAML che puoi utilizzare per assegnare a un utente i privilegi RBAC minimi necessari per applicare la patch a un'istanza di IBM Software Hub.

È necessario rigenerare e riapplicare i ruoli assegnati all'amministratore dell'istanza, in modo che l'utente disponga dei privilegi necessari per applicare la patch all'istanza.

Procedura

Accedi cpd-cli al Red Hat® OpenShift® Container Platform cluster:
```
${CPDM_OC_LOGIN}
```
Ricorda: CPDM_OC_LOGIN è un alias del cpd-cli manage login-to-ocp comando.
Imposta la variabile ROLE_NAME d'ambiente con l'identificatore che utilizzi per i ruoli RBAC minimi associati a questa istanza di IBM Software Hub.
```
export ROLE_NAME=<role-name>
```
Esegui il cpd-cli manage show-minimum-rbac comando per generare i file YAML che puoi utilizzare per creare i ruoli con i permessi RBAC minimi per i componenti.
Il comando da eseguire dipende dalla patch che si sta installando:
Ultima patch
```
cpd-cli manage show-minimum-rbac \
--components=${COMPONENTS_TO_PATCH} \
--release=5.3.1 \
--role_name=${ROLE_NAME}
```
Patch specifica
```
cpd-cli manage show-minimum-rbac \
--components=${COMPONENTS_TO_PATCH} \
--release=5.3.1 \
--patch_id=${PATCH_ID} \
--role_name=${ROLE_NAME}
```
Il comando genera i seguenti file YAML nella work directory:
- ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml
- ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml
Passa alla work directory.
Crea i ruoli dai file YAML:
1. Crea il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto "operators" per l'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS
```
2. Crea il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto "operators" per l'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS
```
3. Crea il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto degli operandi per l'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS
```
4. Crea il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto degli operandi per l'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS
```
5. Crea il ${ROLE_NAME}-cpd-instance-admin ruolo in tutti i progetti collegati all'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED
```
  Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
  Suggerimento: se imposti la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST d'ambiente, visualizza l'elenco dei progetti collegati nel terminale:
```
echo $PROJECT_CPD_INSTANCE_TETHERED_LIST
```
  Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED d'ambiente prima di rieseguire il comando.
6. Crea il ${ROLE_NAME}-cpd-instance-crs ruolo in tutti i progetti collegati all'istanza:
```
oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED
```
  Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
  Suggerimento: se imposti la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST d'ambiente, visualizza l'elenco dei progetti collegati nel terminale:
```
echo $PROJECT_CPD_INSTANCE_TETHERED_LIST
```
  Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED d'ambiente prima di rieseguire il comando.
Imposta la variabile INSTANCE_ADMIN d'ambiente con il nome utente Red Hat OpenShift Container Platform dell'utente a cui desideri assegnare i privilegi di amministratore.
```
export INSTANCE_ADMIN=<user>
```
Assegnare all'utente i ruoli nei progetti dell'istanza:

Suggerimento: i passaggi seguenti utilizzano il oc adm policy add-role-to-user <role-name> <user-name> comando. In alternativa, è possibile utilizzare il oc adm policy add-role-to-group <role-name> <group-name> comando per autorizzare un gruppo di Red Hat OpenShift Container Platform utenti.
1. Assegnare all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto "operatori" per l'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
```
2. Assegnare all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto "operatori" per l'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
```
3. Assegnare all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto Operands per l'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
```
4. Assegnare all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto Operands per l'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
```
5. Assegna all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo in tutti i progetti collegati all'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
```
  Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
  Suggerimento: se imposti la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST d'ambiente, visualizza l'elenco dei progetti collegati nel terminale:
```
echo $PROJECT_CPD_INSTANCE_TETHERED_LIST
```
  Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED d'ambiente prima di rieseguire il comando.
6. Assegna all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo in tutti i progetti collegati all'istanza:
```
oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
```
  Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
  Suggerimento: se imposti la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST d'ambiente, visualizza l'elenco dei progetti collegati nel terminale:
```
echo $PROJECT_CPD_INSTANCE_TETHERED_LIST
```
  Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED d'ambiente prima di rieseguire il comando.

Cosa fare successivamente

Ora che hai nuovamente autorizzato l'amministratore dell'istanza, sei pronto per completare