IBM Cloud Docs
Konfigurieren eines vertrauenswürdigen Profils für Clusterkomponenten

Konfigurieren eines vertrauenswürdigen Profils für Clusterkomponenten

Sie können vertrauenswürdige Profile verwenden, um den Zugriff auf Ihre Ressourcen zu steuern, darunter Komponenten wie Block Storage, File Storage oder Cloud Object Storage.

Über vertrauenswürdige Profile

Durch die Verwendung von vertrauenswürdigen Profilen können Sie einen flexiblen, sicheren Weg für den Zugriff von Benutzern im Verbund auf die IBM Cloud Ressourcen in Ihrem Konto einrichten. Alle verbundenen Benutzer, die bestimmte in Ihrem Unternehmensbenutzerverzeichnis definierte Attribute gemeinsam haben, werden einem gemeinsamen Profil zugeordnet und können gemeinsam auf Ressourcen von IBM Cloud zugreifen. Mit dieser gemeinsamen Identität ist es möglich, den Mitgliedern Ihrer Organisation, die die gleichen Zugriffsanforderungen haben, automatisch einen einmaligen Zugriff auf Ressourcen zu geben, anstatt jeden Benutzer zu einem Konto hinzufügen und ihm dann direkt oder mithilfe von Zugriffsgruppen Zugriff gewähren zu müssen.

Zu den Vorteilen von vertrauenswürdigen Profilen gehören:

Wegfall des Bedarfs an langlebigen API-Schlüsseln
Gewähren Sie den Zugriff auf Ihre Ressourcen auf der Grundlage einer vertrauenswürdigen Beziehung, die Sie bei der Erstellung des vertrauenswürdigen Profils einrichten, anstatt eingebetteter API-Schlüssel. Dadurch verringert sich das Risiko, dass Anmeldeinformationen kompromittiert werden oder verloren gehen.
Zentralisierte Zugangskontrolle
Verwalten Sie Berechtigungen über ein einziges vertrauenswürdiges Profil für einen vereinfachten Prozess der Gewährung, des Entzugs oder der Überprüfung des Zugriffs.
Eingeschränkte Berechtigungen
Halten Sie sich an das Prinzip der geringsten Berechtigung, indem Sie Profile mit genau den minimalen Berechtigungen erstellen, die für die Ausführung einer bestimmten Aufgabe erforderlich sind.

Mindestanforderungen an den Zugang

Damit ein vertrauenswürdiges Profil für Ihre Speicherkomponenten verwendet werden kann, ist ein Mindestsatz an Zugriffsrichtlinien erforderlich.

Mindestanforderungen für alle Speicherkomponenten

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration. Diese Berechtigungen sind für VPC-Cluster erforderlich.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für alle Komponenten
Servicename Erforderliche Berechtigung Beschreibung
Abrechnung Bearbeiter Ermöglicht die Anzeige und Verwaltung von Abrechnungsdaten wie Nutzung, Kosten und Berichte. Nützlich für die automatisierte Kostenverfolgung oder budgetbewusste Vorgänge.
Kubernetes-Service Administrator Ermöglicht Kubernetes Clustern, mit Speicherressourcen zu interagieren.
VPC-Infrastrukturdienst Autor, Redakteur, Snapshot Remote Account Restorer Ermöglicht die Bereitstellung und Verwaltung von Speicherressourcen.
Ressourcengruppe Anzeigeberechtigter Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird. Für Vorgänge, die mehrere Ressourcengruppen betreffen, müssen Sie alle relevanten Ressourcengruppen angeben. Beachten Sie, dass Sie, wenn Sie eine benutzerdefinierte Speicherklasse mit der Ressourcengruppe erstellen, dem vertrauenswürdigen Profil für die Ressourcengruppe auch Viewer-Zugriff zuweisen müssen.

Wenn Sie eine klassische Infrastruktur verwenden möchten, müssen Sie außerdem die Berechtigungen Speicher hinzufügen/erweitern (Speicherebene) und Speicher verwalten aktivieren. Um diese Berechtigungen zu aktivieren, navigieren Sie zum Dashboard für vertrauenswürdige Profile in der Benutzeroberfläche und wählen das entsprechende vertrauenswürdige Profil aus. Klicken Sie auf Klassische Infrastruktur und erweitern Sie dann die Optionen unter Vertrieb und Geräte, um die Berechtigung zu finden.

Mindestanforderungen für einzelne Speicherkomponenten

VPC Block Storage

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für VPC-Blockspeicher
Servicename Erforderliche Berechtigung Beschreibung
Kubernetes-Service Bediener Ermöglicht Kubernetes Clustern die Interaktion mit Blockspeicherressourcen.
VPC-Infrastrukturdienst Autor, Redakteur, Snapshot Remote Account Restorer Ermöglicht die Bereitstellung, Verwaltung und Cross-Snapshot-Operationen für Blockspeicherressourcen.
Ressourcengruppe Anzeigeberechtigter Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird. Für Vorgänge, die mehrere Ressourcengruppen betreffen, müssen Sie alle relevanten Ressourcengruppen angeben. Beachten Sie, dass Sie, wenn Sie eine benutzerdefinierte Speicherklasse mit der Ressourcengruppe erstellen, dem vertrauenswürdigen Profil für die Ressourcengruppe auch Viewer-Zugriff zuweisen müssen.

Classic Block Storage

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Fügen Sie die Berechtigungen aus der folgenden Tabelle hinzu. Um diese Berechtigungen zu aktivieren, müssen Sie die Benutzeroberfläche verwenden. Navigieren Sie zum Dashboard für vertrauenswürdige Profile in der Benutzeroberfläche und wählen Sie das entsprechende vertrauenswürdige Profil aus. Klicken Sie auf Klassische Infrastruktur und erweitern Sie dann die Optionen, um die Berechtigungen zu finden.

Mindestberechtigungen für Classic Block Speicher
Servicename Erforderliche Berechtigung Beschreibung
Devices Speicher verwalten Ermöglicht das Anfügen, Trennen und Konfigurieren von Classic-Blockspeicher auf Geräten.
Sales Speicher hinzufügen/erweitern (Speicherebene) Ermöglicht die Bestellung, das Upgrade oder die Änderung von Classic-Speicherangeboten über die Vertriebs-APIs.

Typ des Rechendienstes in der Registerkarte "Rechenressourcen" anstelle von "Rechenressourcen

VPC-Dateispeicherung

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für VPC-Dateispeicher
Servicename Erforderliche Berechtigung Beschreibung
Kubernetes-Service Bediener Ermöglicht Kubernetes Clustern, mit Dateispeicherressourcen zu interagieren.
VPC-Infrastrukturdienst Autorin, Redakteurin Ermöglicht die Bereitstellung und Verwaltung von Dateispeicherressourcen.
Ressourcengruppe Anzeigeberechtigter Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird. Für Vorgänge, die mehrere Ressourcengruppen betreffen, müssen Sie alle relevanten Ressourcengruppen angeben. Beachten Sie, dass Sie, wenn Sie eine benutzerdefinierte Speicherklasse mit der Ressourcengruppe erstellen, dem vertrauenswürdigen Profil für die Ressourcengruppe auch Viewer-Zugriff zuweisen müssen.

Classic File Storage

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Fügen Sie die Berechtigungen aus der folgenden Tabelle hinzu. Um diese Berechtigungen zu aktivieren, müssen Sie die Benutzeroberfläche verwenden. Navigieren Sie zum Dashboard für vertrauenswürdige Profile in der Benutzeroberfläche und wählen Sie das entsprechende vertrauenswürdige Profil aus. Klicken Sie auf Klassische Infrastruktur und erweitern Sie dann die Optionen, um die Berechtigungen zu finden.

Mindestberechtigungen für Classic File Storage
Servicename Erforderliche Berechtigung Beschreibung
Devices Speicher verwalten Ermöglicht das Anfügen, Trennen und Konfigurieren von Classic-Blockspeicher auf Geräten.
Sales Speicher hinzufügen/erweitern (Speicherebene) Ermöglicht die Bestellung, das Upgrade oder die Änderung von Classic-Speicherangeboten über die Vertriebs-APIs.

Cluster-Autoscaler

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für Cluster-Autoscaler
Servicename Erforderliche Berechtigung Beschreibung
Kubernetes-Service Administrator Ermöglicht Kubernetes Clustern die Interaktion mit Auto-Scaler-Komponenten.

Object Storage

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für Objektspeicher
Servicename Erforderliche Berechtigung Beschreibung
Kubernetes-Service Leseberechtigter, Anzeigeberechtigter Ermöglicht Kubernetes Clustern die Interaktion mit dem COS-Plug-in.
VPC-Infrastrukturdienst Leseberechtigter, Anzeigeberechtigter Ermöglicht die Kommunikation mit VPC, um API-Aufrufe zu erhalten.
Ressourcengruppe Anzeigeberechtigter Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird. Für Vorgänge, die mehrere Ressourcengruppen betreffen, müssen Sie alle relevanten Ressourcengruppen angeben.

ODF-Agent

Erstellen Sie eine Vertrauensbeziehung mit der folgenden Konfiguration.

  • Compute-Service-Typ (zu finden auf der Registerkarte Compute-Ressource in der Benutzeroberfläche):
    • Kubernetes
    • Red Hat OpenShift
  • Vertrauenswürdiger Namespace: kube-system.

Erstellen Sie Zugriffsrichtlinien mit den in der folgenden Tabelle aufgeführten Berechtigungen.

Mindestberechtigungen für den ODF-Abrechnungsagenten
Servicename Erforderliche Berechtigung Beschreibung
Abrechnung Bearbeiter Abrechnungsdienst. Ermöglicht die Anzeige und Verwaltung von Abrechnungsdaten wie Nutzung, Kosten und Berichte. Nützlich für die automatisierte Kostenverfolgung oder budgetbewusste Vorgänge.
Kubernetes-Service Bearbeiter Ermöglicht Kubernetes Clustern die Interaktion mit Blockspeichern.
VPC-Infrastrukturdienst Redakteurin, Autorin Ermöglicht die Bereitstellung und Verwaltung von Speicherressourcen.
Ressourcengruppe Anzeigeberechtigter Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird. Für Vorgänge, die mehrere Ressourcengruppen betreffen, müssen Sie alle relevanten Ressourcengruppen angeben.

Einrichten eines vertrauenswürdigen Profils in der CLI

Folgen Sie den Schritten zum Erstellen und Einrichten eines vertrauenswürdigen Profils in der CLI.

Sobald Sie einem Cluster ein vertrauenswürdiges Profil hinzugefügt haben, kann es nicht mehr entfernt werden und Sie können keinen API-Schlüssel mehr für Ihre Ressourcen verwenden. Führen Sie diese Schritte sorgfältig aus, um sicherzustellen, dass Ihr vertrauenswürdiges Profil korrekt eingerichtet ist.

  1. Melden Sie sich bei der IBM Cloud-Befehlszeilenschnittstelle (CLI) an.

    ibmcloud login --apikey <API_KEY> -g <RESOURCE_GROUP>

  2. Führen Sie den Befehl aus, um ein vertrauenswürdiges Profil zu erstellen. Eine vollständige Liste der Befehlsoptionen finden Sie in den IAM CLI-Dokumenten.

    ibmcloud iam trusted-profile-create NAME --description "Identity for storage"

  3. Fügen Sie dem Namensraum kube‑system eine Regel zur Verwendung des Bereichs hinzu. Eine vollständige Liste der Befehlsoptionen finden Sie in den IAM CLI-Dokumenten.

    ibmcloud iam trusted-profile-rule-create --name NAME --type Profile-CR --cr-type IKS_SA  --conditions claim:namespace,operator:EQUALS,value:kube-system

  4. Für VPC-Cluster: Erstellen Sie Zugriffsrichtlinien und weisen Sie sie dem vertrauenswürdigen Profil zu. In diesem Beispiel werden die erforderlichen Mindestberechtigungen für alle Speicherkomponenten zugewiesen. Eine Liste der Berechtigungen, die nur für einzelne Komponenten erforderlich sind, finden Sie unter Mindestanforderungen für einzelne Speicherkomponenten. Geben Sie den Namen oder die ID des vertrauenswürdigen Profils an, dem Sie die Richtlinie zuweisen möchten. Eine vollständige Liste der Befehlsoptionen finden Sie in den IAM CLI-Dokumenten. Dieser Schritt gilt nicht für klassische Cluster. Fügen Sie Richtlinien für den VPC-Infrastrukturdienst hinzu.

    ibmcloud iam trusted-profile-policy-create NAME|ID  --roles Editor,Writer --service-name is

    Fügen Sie Richtlinien für den Abrechnungsdienst hinzu.

    ibmcloud iam trusted-profile-policy-create NAME|ID --roles Editor --service-name billing

    Fügen Sie Richtlinien für den Dienst Kubernetes hinzu.

    ibmcloud iam trusted-profile-policy-create NAME|ID --roles Administrator --service-name "containers-kubernetes"

    Fügen Sie Richtlinien für die entsprechende Ressourcengruppe hinzu, auf die das vertrauenswürdige Profil angewendet wird. Geben Sie die Ressourcengruppe an, auf die das vertrauenswürdige Profil angewendet wird.

    ibmcloud iam trusted-profile-policy-create NAME|ID --roles Operator  --resource-type "resource-group" --resource "my-resource-group"

  5. Bei klassischen Clustern: Führen Sie den Befehl aus, um dem vertrauenswürdigen Profil die erforderlichen Mindestberechtigungen hinzuzufügen. Geben Sie die Benutzer-ID an, die für das vertrauenswürdige Profil erstellt wird.

    ibmcloud ks sl user permission-edit TRUSTED_PROFILE_ID --permission NAS_MANAGE,ADD_SERVICE_STORAGE

  6. Nachdem Sie das vertrauenswürdige Profil erstellt und die erforderlichen Zugriffsrichtlinien zugewiesen haben, legen Sie das vertrauenswürdige Profil entweder für den Cluster oder die Ressourcengruppe fest, in der sich Ihre Cluster befinden. Wenn Sie das vertrauenswürdige Profil festlegen, wird es auf Ihre Speicherkomponenten angewendet.

Einrichten eines vertrauenswürdigen Profils mit der UI

Folgen Sie den Schritten zum Erstellen und Einrichten eines vertrauenswürdigen Profils in der CLI.

Sobald Sie einem Cluster ein vertrauenswürdiges Profil hinzugefügt haben, kann es nicht mehr entfernt werden und Sie können keinen API-Schlüssel mehr für Ihre Ressourcen verwenden. Führen Sie diese Schritte sorgfältig aus, um sicherzustellen, dass Ihr vertrauenswürdiges Profil korrekt eingerichtet ist.

  1. Melden Sie sich bei Ihrem IBM Cloud Konto an und navigieren Sie zur Seite Vertrauenswürdige Profile.

  2. Erstellen Sie ein vertrauenswürdiges Profil.

  3. Schaffen Sie ein Vertrauensverhältnis zum Dienst IBM Cloud Kubernetes Service.

    1. Klicken Sie im Abschnitt Vertrauenswürdigen Entitätstyp auswählen auf Rechenressourcen.
    2. Wählen Sie unter **Vertrauensbeziehung erstellen **Kubernetes.
    3. Alle Serviceressourcen auswählen. Fügen Sie dann eine Bedingung hinzu, die den Zugriff erlaubt, wenn Namespace gleich kube-system ist.
      • Hinweis: Sie können stattdessen auch bestimmte Ressourcen auswählen, die in Ihrem Konto vorhanden sind.

  4. Klicken Sie auf Erstellen.

  5. Nur VPC. Fügen Sie dem vertrauenswürdigen Profil Zugriffsrichtlinien hinzu.

    1. Klicken Sie auf der Seite Vertrauenswürdige Profile auf das vertrauenswürdige Profil, das Sie gerade erstellt haben.
    2. Klicken Sie auf der Registerkarte „Zugriff“ auf „ Zugriff zuweisen “.
    3. Klicken Sie im Abschnitt Wie möchten Sie den Zugriff zuweisen? auf Zugriffsrichtlinie.
    4. Fügen Sie die Dienste und Rollen hinzu, um die Mindestanforderungen für die entsprechenden Komponenten zu erfüllen. Wenden Sie die Richtlinie auf alle Ressourcen an.

  6. Nur klassisch. Fügen Sie dem vertrauenswürdigen Profil Berechtigungen hinzu.

    1. Klicken Sie auf der Seite Vertrauenswürdige Profile auf das vertrauenswürdige Profil, das Sie gerade erstellt haben.
    2. Navigieren Sie zur Registerkarte „ Klassische Infrastruktur “.
    3. Wählen Sie in der Dropdown-Liste der Berechtigungen die erforderlichen Berechtigungen aus, um die Mindestanforderungen für die jeweiligen Komponenten zu erfüllen.

Einrichten eines vertrauenswürdigen Profils mit der API

  1. Erstellen Sie ein vertrauenswürdiges Profil.

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/profiles \
--header 'Content-Type: application/json' \
--data '{
    "name":"<PROFILE_NAME>",
    "account_id":"<ACCOUNT_ID>"
}'

  2. Fügen Sie dem Namensraum kube‑system eine Regel zur Verwendung des Bereichs hinzu.

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/profiles/<PROFILE_NAME>/rules \
--header 'Content-Type: application/json' \
--data '{
    "type": "Profile-CR",
    "cr_type":"IKS_SA",
    "conditions": [
        {
            "claim": "namespace",
            "operator": "EQUALS",
            "value": "\"kube-system\""
        }
    ]
}'

  3. Für VPC-Cluster: Weisen Sie den VPC-Komponenten Zugriffsrichtlinien zu. In diesen Beispielen werden die erforderlichen Mindestberechtigungen für alle Speicherkomponenten zugewiesen.

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/policies \
--header 'Content-Type: application/json' \
--data '{
    "type": "access",
    "description": "Writer, Operator role for VPC infrastructure services",
    "subjects": [
        {
            "attributes": [
                {
                    "name": "iam_id",
                    "value": "<IAM_PROFILE>"
                }
            ]
        }
    ],
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::serviceRole:Writer"
        },
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Editor"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "<ACCOUNT_ID>"
                },
                {
                    "name": "serviceName",
                    "value": "is"
                }
            ]
        }
    ]
}'

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/policies \
--header 'Content-Type: application/json' \
--data '{
    "type": "access",
    "description": "Editor role for billing services",
    "subjects": [
        {
            "attributes": [
                {
                    "name": "iam_id",
                    "value": "<IAM_PROFILE>"
                }
            ]
        }
    ],
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Editor"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "<ACCOUNT_ID>"
                },
                {
                    "name": "serviceName",
                    "value": "billing"
                }
            ]
        }
    ]
}'

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/policies \
--header 'Content-Type: application/json' \
--data '{	
    "type": "access",
    "description": "Administrator role for containers-kubernetes services",
    "subjects": [
        {
            "attributes": [
                {
                    "name": "iam_id",
                    "value": "<IAM_PROFILE>"
                }
            ]
        }
    ],
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Administrator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "<ACCOUNT_ID>"
                },
                {
                    "name": "serviceName",
                    "value": "containers-kubernetes"
                }
            ]
        }
    ]
}'

    curl --request POST \
--url https://iam.cloud.ibm.com/v1/policies \
--header 'Content-Type: application/json' \
--data '{	
    "type": "access",
    "subjects": [
        {
            "attributes": [
                {
                    "name": "iam_id",
                    "value": "<IAM_PROFILE>"
                }
            ]
        }
    ],
    "roles": [
        {
            "role_id": "crn:v1:bluemix:public:iam::::role:Operator"
        }
    ],
    "resources": [
        {
            "attributes": [
                {
                    "name": "accountId",
                    "value": "<ACCOUNT_ID>"
                },
                {
                    "name": "resource",
                    "value": "<RESOURCE_GROUP_ID>"
                },
                {
                    "name": "resourceType",
                    "value": "resource-group"
                },
            ]
        }
    ]
}

  4. Bei klassischen Clustern: Fügen Sie dem vertrauenswürdigen Profil mit Hilfe der Benutzeroberfläche Berechtigungen hinzu.

    1. Melden Sie sich bei Ihrem IBM Cloud Konto an und navigieren Sie zur Seite Vertrauenswürdige Profile.
    2. Klicken Sie auf das vertrauenswürdige Profil, das Sie gerade erstellt haben.
    3. Navigieren Sie zur Registerkarte „ Klassische Infrastruktur “.
    4. Wählen Sie in der Dropdown-Liste der Berechtigungen die erforderlichen Berechtigungen aus, um die Mindestanforderungen für die jeweiligen Komponenten zu erfüllen.

Einstellen des vertrauenswürdigen Profils für einen Cluster oder eine Ressourcengruppe

Wenn Sie ein vertrauenswürdiges Profil für Ihren Cluster festlegen, gilt es für Ihre Speicherkomponenten. Sie können ein vertrauenswürdiges Profil für einen einzelnen Cluster oder für eine Ressourcengruppe festlegen.

Sobald Sie einem Cluster ein vertrauenswürdiges Profil hinzugefügt haben, kann es nicht mehr entfernt werden und Sie können keinen API-Schlüssel mehr für Ihre Ressourcen verwenden. Führen Sie diese Schritte sorgfältig aus, um sicherzustellen, dass Ihr vertrauenswürdiges Profil korrekt eingerichtet ist.

  1. Stellen Sie sicher, dass Sie ein vertrauenswürdiges Profil erstellt haben, das die Mindestanforderungen für Speicherkomponenten erfüllt.

  2. Weisen Sie das vertrauenswürdige Profil Ihrem Cluster oder der Ressourcengruppe zu, in der sich Ihr Cluster befindet. Wenn Sie einer Ressourcengruppe ein vertrauenswürdiges Profil zuweisen, gilt es für alle Cluster in der Ressourcengruppe.

    So weisen Sie einem Cluster ein vertrauenswürdiges Profil zu.

    ibmcloud ks experimental trusted-profile set --trusted-profile PROFILE --cluster CLUSTER [--output OUTPUT] [-q]
    --cluster CLUSTER
    Die Cluster-ID, für die das vertrauenswürdige Profil eingerichtet werden soll. Um die Cluster-ID zu erhalten, führen Sie ibmcloud ks cluster get. aus.
    --trusted-profile PROFILE
    Die vertrauenswürdige Profil-ID. Um die vertrauenswürdige Profil-ID zu erhalten, führen Sie ibmcloud iam trusted-profiles aus.
    --output OUTPUT
    Befehlsausgabe im bereitgestellten Format. Akzeptierte Werte: json
    -q
    Keine Tagesnachricht oder Aktualisierungserinnerung anzeigen.

    So weisen Sie einer Ressourcengruppe ein vertrauenswürdiges Profil zu.

    ibmcloud ks experimental trusted-profile default set --region REGION --resource-group GROUP --trusted-profile PROFILE [--output OUTPUT] [-q]
    --region REGION
    Die Region, in der sich die Ressourcengruppe befindet. Um die Details einer Ressourcengruppe zu erhalten, führen Sie ibmcloud resource group aus.
    --resource-group GROUP
    Die ID der Ressourcengruppe, für die das vertrauenswürdige Profil eingerichtet werden soll. Um Ihre Ressourcengruppen aufzulisten, führen Sie ibmcloud resource groups. aus.
    --trusted-profile PROFILE
    Die vertrauenswürdige Profil-ID. Um die vertrauenswürdige Profil-ID zu erhalten, führen Sie ibmcloud iam trusted-profiles aus.
    --output OUTPUT
    Befehlsausgabe im bereitgestellten Format. Akzeptierte Werte: json.
    -q
    Keine Tagesnachricht oder Aktualisierungserinnerung anzeigen.

  3. Überprüfen Sie, ob das vertrauenswürdige Profil dem Cluster hinzugefügt wurde.

    ibmcloud ks experimental trusted-profile get --cluster CLUSTER

    Beispielhafte Ausgabe.

    Fetching trusted-profile for the cluster...
OK
Cluster a1bc2de45fgh6ijklmn7op is configured with trusted-profile Profile-a12bc34-1111-1111-1234-a123bc456

Beschränkungen und Überlegungen

Beachten Sie die folgenden Einschränkungen und Überlegungen, bevor Sie vertrauenswürdige Profile verwenden.

Unumkehrbarer Übergang zum vertrauenswürdigen Profil
Sobald ein vertrauenswürdiges Profil auf Cluster- oder Ressourcengruppenebene konfiguriert ist, wird die Rückkehr zur Verwendung eines API-Schlüssels nicht mehr unterstützt. Befolgen Sie die Schritte sorgfältig, um sicherzustellen, dass das vertrauenswürdige Profil korrekt konfiguriert ist.
Der Verifizierungsbereich ist auf den Namensraum kube-system beschränkt.
Die Vertrauenswürdigkeitsprüfung für vertrauenswürdige Profile ist derzeit auf den Namensraum kube-system für die Cluster Kubernetes und Red Hat OpenShift beschränkt. Benutzer, die mit anderen vertrauenswürdigen Profilfunktionen oder Konfigurationen außerhalb dieses Bereichs experimentieren, können Probleme bekommen.
Benutzer-Tags für VPC Block Storage volumes
Aufgrund eines bekannten Problems werden Aktualisierungen von Benutzer-Tags auf VPC Block Storage Volumes möglicherweise nicht angezeigt, wenn ein vertrauenswürdiges Profil implementiert ist.