プロジェクトに対するadmin役割をユーザーに付与することにより、IBM Software Hubインスタンス管理者として機能する権限をユーザーに付与する

クラスター管理者以外のユーザーが IBM Software Hubをインストールする場合は、Red Hat® OpenShift® Container Platform・ユーザーに、インスタンス・プロジェクトに IBM Software Hub・ソフトウェアをインストールするために必要な役割を付与する必要があります。 インスタンスに関連付けられたプロジェクトに対する admin 役割と、インスタンスに関連付けられたオペレーター・プロジェクトに対する cpd-instance-admin-apply-olm 役割をユーザーに付与できます。

インストール・フェーズ
  • ここではありません。 クライアント・ワークステーションのセットアップ
  • ここではありません。 クラスターのセットアップ
  • ここではありません。 必要な情報の収集
  • ここではありません。 制限付きネットワークでのインストールの実行準備
  • ここではありません。 プライベート・コンテナー・レジストリーからのインストールの実行準備
  • ここではありません。 IBM Software Hubのためのクラスターの準備
  • 「ここでの作業」アイコン。 IBM Software Hub のインスタンスのインストールの準備
  • ここではありません。 IBM Software Hub のインスタンスのインストール
  • ここではありません。 control plane のセットアップ
  • ここではありません。 ソリューションおよびサービスのインストール
このタスクを実行する必要があるのは誰か?

クラスター管理者 クラスター管理者がこのタスクを実行する必要があります。

このタスクをいつ完了する必要がありますか?
このタスクは、状況によっては必須です。
  • クラスター管理者が IBM Software Hub ソフトウェアをインスタンス・プロジェクトにインストールする場合は、このタスクをスキップします。
  • このタスクは、クラスター管理者以外のユーザーが IBM Software Hubをインストールする場合にのみ実行してください。

    必要に応じて繰り返します IBM Software Hubの複数のインスタンスをインストールする予定の場合は、インストールする予定のインスタンスごとにこのタスクを繰り返す必要があります。

始める前に

ベスト・プラクティス: インストール済み環境用の環境変数をセットアップした場合、このタスクのコマンドの多くは、記載されているとおりに実行できます。 手順については、『インストール環境変数のセットアップ』『 』を参照してください。

このタスクのコマンドを実行する前に、必ず環境変数をsourceしてください。

このタスクについて

IBM Software Hubのこのインスタンスのソフトウェアをインストールするすべてのユーザーに、指定されたプロジェクトで以下の役割を割り当てる必要があります。

役割 プロジェクト 詳細
admin
  • オペレーター・プロジェクト
  • オペランド・プロジェクト
  • すべての連結プロジェクト
 Red Hat OpenShift Container Platform admin 役割を持つユーザーは、プロジェクト割り当て量を除き、プロジェクト内のすべてのリソースを表示および変更できます。
cpd-instance-admin-apply-olm
  • オペレーター・プロジェクト
 cpd-instance-admin-apply-olm 役割は、ユーザーがインスタンスのオペレーター・プロジェクトでOLM 成果物を作成および変更できるようにします。
ヒント: インスタンスに関連付けられたプロジェクトに対する admin 権限をユーザーに付与しない場合は、インストールするコンポーネントに基づいて必要なリソースを作成するための最小限の役割ベースのアクセス制御をユーザーに付与できます。 ただし、この方法では追加の計画と保守が必要となるため、標準的なインストールでは推奨されません。 IBM Software Hub コンポーネントをインストールするための最小限の RBAC をユーザーに付与する

手順

必要なアクセス権をプロジェクトに適用するには、次のようにします。

  1. タスクを完了するための十分な権限を持つユーザーとして Red Hat OpenShift Container Platform にログインします。
    ${OC_LOGIN}
  2. INSTANCE_ADMIN 環境変数を、インスタンス管理特権を付与するRed Hat OpenShift Container Platform ユーザーのユーザー名に設定します。
    export INSTANCE_ADMIN=<user>
  3. インスタンスに関連付けられたすべてのプロジェクトで、ユーザーに admin 役割を割り当てます。
    ヒント: 以下のステップでは、oc adm policy add-role-to-user <role-name> <user-name> コマンドを使用します。 あるいは、oc adm policy add-role-to-group <role-name> <group-name> コマンドを使用して、Red Hat OpenShift Container Platform ユーザーのグループを許可することもできます。
    1. インスタンスのオペレーター・プロジェクトでユーザーに役割を割り当てます。
      oc adm policy add-role-to-user admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--rolebinding-name="cpd-instance-admin-rbac"
    2. インスタンスのオペランド・プロジェクトでユーザーに役割を割り当てます。
      oc adm policy add-role-to-user admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--rolebinding-name="cpd-instance-admin-rbac"
    3. インスタンスのすべての連結プロジェクトでユーザーに役割を割り当てます。
      oc adm policy add-role-to-user admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--rolebinding-name="cpd-instance-admin-rbac"

      IBM Software Hubのこのインスタンスに関連付けられている連結プロジェクトごとに、このステップを繰り返します。

      ヒント: PROJECT_CPD_INSTANCE_TETHERED_LIST 環境変数を設定する場合は、連結プロジェクトのリストを端末に出力します。
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      この情報を使用して、コマンドを再実行する前に PROJECT_CPD_INSTANCE_TETHERED 環境変数を設定します。

  4. インスタンスのオペレーター・プロジェクトに対する cpd-instance-admin-apply-olm 役割をユーザーに割り当てます。
    1. インスタンスのオペレーター・プロジェクトに cpd-instance-admin-apply-olm 役割を作成します。
      oc apply -f - << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: cpd-instance-admin-apply-olm
  namespace: ${PROJECT_CPD_INST_OPERATORS}
rules:
- apiGroups:
  - operators.coreos.com
  resources:
  - catalogsources
  - operatorgroups
  - subscriptions
  - clusterserviceversions
  - installplans
  verbs:
  - create
  - update
  - patch
  - get
  - list
EOF
    2. インスタンスのオペレーター・プロジェクトでユーザーに役割を割り当てます。
      ヒント: 以下のステップでは、oc adm policy add-role-to-user <role-name> <user-name> コマンドを使用します。 あるいは、oc adm policy add-role-to-group <role-name> <group-name> コマンドを使用して、Red Hat OpenShift Container Platform ユーザーのグループを許可することもできます。
      oc adm policy add-role-to-user cpd-instance-admin-apply-olm ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS} \
--rolebinding-name="cpd-instance-admin-apply-olm-rbac"

次のタスク

IBM Software Hub インスタンス管理者として機能する権限をユーザーに付与したので、 IBM Software Hub のインスタンスの GPU でイベント・ドリブンの自動スケーリングを有効にする作業を実行する準備ができました。