Provider konfigurieren

Standardmäßig verwendet der Terraform-Provider die API-Schlüsselauthentifizierung. Sie können diese jedoch auch explizit festlegen, indem Sie das Attribut auth in der Providerdefinition mit "APIKey" belegen. Aufrufe an OCI mit API-Schlüsselauthentifizierung erfordern, dass Sie die folgenden Zugangsdaten angeben:

• tenancy_ocid: OCID des Mandanten. Informationen zum Abrufen des Wertes finden Sie unter Hier erhalten Sie die OCID des Mandanten und des Benutzers.
• user_ocid: OCID des Benutzers, der die API aufruft. Informationen zum Abrufen des Wertes finden Sie unter Hier erhalten Sie die OCID des Mandanten und des Benutzers.
• private_key: Der Inhalt der Private-Key-Datei. Erforderlich, wenn private_key_path nicht definiert ist. Hat Vorrang vor private_key_path, wenn beide definiert sind. Weitere Informationen zum Erstellen und Konfigurieren von Schlüsseln finden Sie unter So generieren Sie einen API-Signierungsschlüssel und So laden Sie den Public Key hoch.
• private_key_path: Der Pfad (einschließlich Dateiname) des auf dem Rechner gespeicherten Private Keys. Erforderlich, wenn private_key nicht definiert ist. Weitere Informationen zum Erstellen und Konfigurieren von Schlüsseln finden Sie unter So generieren Sie einen API-Signierungsschlüssel und So laden Sie den Public Key hoch.
• private_key_password (optional): Passphrase, die für den Schlüssel verwendet wird, wenn er verschlüsselt ist.
• fingerprint: Fingerprint für das verwendete Schlüsselpaar. Informationen zum Abrufen des Wertes finden Sie unter So rufen Sie den Fingerprint des Schlüssels ab.
• region: Eine OCI-Region. Siehe Regionen und Availability-Domains.
• config_file_profile: Der Profilname, wenn Sie ein benutzerdefiniertes Profil in der OCI-Konfigurationsdatei verwenden möchten, um die Authentifizierungszugangsdaten anzugeben. Weitere Informationen finden Sie unter SDK- und CLI-Konfigurationsdatei verwenden.

Geben Sie beispielsweise diese Werte in Umgebungsvariablen oder in Terraform-Konfigurationsvariablen an.

Verwenden Sie die Instanz-Principal-Autorisierung, um Anforderungen für die folgenden Attribute in der Providerdefinition zu entfernen:

• tenancy_ocid
• user_ocid
• private_key_path
• fingerprint

Wenn die Autorisierung des Instanz-Principals aktiviert ist, kann der Provider API-Aufrufe von einer Compute-Instanz ohne diese Attribute ausführen.

Um die Principal-Autorisierung für OCI-Terraform-Provider zu aktivieren, setzen Sie das Attribut auth in der Providerdefinition auf "InstancePrincipal", wie im folgenden Beispiel dargestellt:

variable "region" {}

provider "oci" {
   auth = "InstancePrincipal"
   region = var.region
}

Weitere Informationen finden Sie unter Services aus einer Instanz aufrufen.

Mit der Resource-Hauptautorisierung, wie z.B. der Instanz-Hauptautorisierung, kann der Provider API-Aufrufe ausführen, ohne Zugangsdaten in der Providerdefinition angeben zu müssen. Mit der Autorisierung des Resource Principals können Ressourcen wie eine aktive Funktion auf andere Oracle Cloud Infrastructure-Ressourcen zugreifen. Weitere Informationen finden Sie unter Auf andere Oracle Cloud Infrastructure-Ressourcen aus aktiven Funktionen zugreifen.

So aktivieren Sie die Resource-Hauptautorisierung für OCI-Terraform-Provider:

1. Erstellen Sie die dynamische Gruppe und die Policys, die für die aktive Funktion zur Verwaltung anderer OCI-Ressourcen erforderlich sind. Befolgen Sie die Anweisungen unter "Konsole verwenden" unter Auf andere Oracle Cloud Infrastructure-Ressourcen aus aktiven Funktionen zugreifen, und stellen Sie sicher, dass die Policy die Verwaltung anderer Ressourcen zulässt.

2. Legen Sie die folgenden Umgebungsvariablen fest:

   • OCI_RESOURCE_PRINCIPAL_VERSION mit dem Wert 2.2

     Wenn der Wert 1 lautet, wird die Regionsüberschreibung nicht unterstützt.

   • OCI_RESOURCE_PRINCIPAL_RPST mit dem Raw-Inhalt der Datei rpst oder dem absoluten Pfad zur Datei rpst, einschließlich Dateiname.

   • OCI_RESOURCE_PRINCIPAL_PRIVATE_PEM mit dem absoluten Pfad zur Datei private.pem (mit dem Dateinamen)

   • OCI_RESOURCE_PRINCIPAL_REGION mit der Regions-ID, in der der Provider bereitgestellt wird (Beispiel: us-phoenix-1)

3. Setzen Sie das Attribut auth in der Providerdefinition auf "ResourcePrincipal".

   Hinweis
   
   

   Der Wert für region im Providerblock setzt den von der Umgebungsvariablen OCI_RESOURCE_PRINCIPAL_REGION festgelegten Regionswert außer Kraft. Diese Änderung, die in Terraform-Providerversion 5.0.0 eingeführt wurde, ist nicht abwärtskompatibel.

   Wenn der Wert der Umgebungsvariablen OCI_RESOURCE_PRINCIPAL_VERSION 1 lautet, wird der Regions-Override nicht unterstützt.

   Beispiel:

   provider "oci" {
      auth = "ResourcePrincipal"
      region = var.region
   }

Führen Sie Terraform mit einem Token aus, das mit der tokenbasierten Authentifizierung für die CLI generiert wurde. Um die Sicherheitstokenauthentifizierung zu aktivieren, aktualisieren Sie die Providerdefinition wie folgt:

Beispiele:

# Configure the Oracle Cloud Infrastructure provider to use Security Token authentication
provider "oci" {
  auth = "SecurityToken"
  config_file_profile = "PROFILE"
  region = var.region
}

In Kubernetes ist eine Workload eine Anwendung, die auf einem Kubernetes-Cluster ausgeführt wird. Eine Workload kann eine Anwendungskomponente sein, die in einem einzelnen Pod ausgeführt wird, oder mehrere Anwendungskomponenten, die in einer Gruppe von Pods ausgeführt werden, die zusammenarbeiten. Alle Pods in der Workload werden im selben Namespace ausgeführt.

In Oracle Cloud Infrastructure wird eine Workload, die auf einem von der Kubernetes Engine verwalteten Kubernetes-Cluster (auch als OKE bezeichnet) ausgeführt wird, als eigene Ressource betrachtet. Eine Workload-Ressource wird durch die eindeutige Kombination aus Kubernetes-Cluster, Namespace und Serviceaccount identifiziert. Diese eindeutige Kombination wird als Workload-Identität bezeichnet.

Mit der OKE Workload-Identitätsauthentifizierung können Workloads, die auf Kubernetes-Clustern ausgeführt werden, die von der Kubernetes-Engine verwaltet werden, auf andere Oracle Cloud Infrastructure-Ressourcen zugreifen. Weitere Informationen finden Sie unter Workloads Zugriff auf OCI-Ressourcen erteilen.

Um die OKE-Workload-Identitätsauthentifizierung für OCI-Terraform-Provider zu aktivieren, setzen Sie das Attribut auth in der Providerdefinition auf "OKEWorkloadIdentity", wie im folgenden Beispiel dargestellt:

variable "region" {}
provider "oci" {
   auth = "OKEWorkloadIdentity"
   region = var.region
}

Sie können die erforderlichen Authentifizierungswerte entweder als Umgebungsvariablen exportieren oder sie bei der Ausführung von Terraform-Befehlen in verschiedenen bash-Profilen beziehen.

Wenn Sie in erster Linie in einem einzelnen Compartment arbeiten, sollten Sie die Compartment-OCID als Umgebungsvariable exportieren. Die Mandanten-OCID ist auch die OCID des Root Compartments und kann verwendet werden, wenn eine Compartment-OCID erforderlich ist.

Beispiel für UNIX- und Linux-Export

Das folgende UNIX- und Linux-Beispiel bash_profile gilt, wenn die Terraform-Konfiguration auf ein einzelnes Compartment oder einen einzelnen Benutzer beschränkt ist.

export OCI_DEFAULT_CERTS_PATH=<certificates_path>
export TF_VAR_tenancy_ocid=<tenancy_OCID>
export TF_VAR_compartment_ocid=<compartment_OCID>
export TF_VAR_user_ocid=<user_OCID>
export TF_VAR_fingerprint=<key_fingerprint>
export TF_VAR_private_key_path=<private_key_path>
export TF_VAR_region=<region>
export USER_AGENT_PROVIDER_NAME=<custom_user_agent>
export OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
export TF_APPEND_USER_AGENT=<custom_user_agent>

Nachdem Sie diese Werte festgelegt haben, öffnen Sie ein neues Terminal, oder beziehen Sie die Profiländerungen:

$ source ~/.bash_profile

Bei komplexeren Umgebungen sollten Sie mehrere Gruppen von Umgebungsvariablen verwalten.

Windows-Exportbeispiel

Hinweis

Stellen Sie das PEM-Format für Schlüssel sicher. Weitere Informationen finden Sie unter API-Signaturschlüssel generieren.

Das folgende Windows-Beispiel gilt, wenn die Terraform-Konfiguration auf ein einzelnes Compartment oder einen einzelnen Benutzer beschränkt ist.

setx OCI_DEFAULT_CERTS_PATH=<certificates_path>
setx TF_VAR_tenancy_ocid <tenancy_OCID>
setx TF_VAR_compartment_ocid <compartment_OCID>
setx TF_VAR_user_ocid <user_OCID>
setx TF_VAR_fingerprint <key_fingerprint>
setx TF_VAR_private_key_path <private_key_path>
setx TF_VAR_region=<region>
setx USER_AGENT_PROVIDER_NAME=<custom_user_agent>
setx OCI_SDK_APPEND_USER_AGENT=<custom_user_agent>
setx TF_APPEND_USER_AGENT=<custom_user_agent>

Nachdem Sie diese Werte festgelegt haben, beenden Sie das Terminal und öffnen es erneut. (Die Variablen sind nicht für die aktuelle Session festgelegt.)

Um einen benutzerdefinierten Benutzer-Agent zu verwenden, exportieren Sie eine der folgenden Umgebungsvariablen. Nach dieser Prioritätsreihenfolge wird jeweils nur eine Umgebungsvariable berücksichtigt:

• USER_AGENT_PROVIDER_NAME
• OCI_SDK_APPEND_USER_AGENT
• TF_APPEND_USER_AGENT

Greifen Sie mit dem OCI-Terraform-Provider sicher auf Speicher-Buckets in Object Storage mit dedizierten Endpunkten zu. Verwenden Sie bei der Konfiguration des Providers eine Umgebungsvariable, einen Parameter im Providerblock oder beides. Wenn Sie beide verwenden, hat der Providerblockparameter Vorrang.

Die Umgebungsvariable ist OCI_REALM_SPECIFIC_SERVICE_ENDPOINT_TEMPLATE_ENABLED. Der Standardwert ist false. Setzen Sie den Wert auf true, um einen dedizierten Endpunkt zu verwenden.

Der Providerblockparameter ist realm_specific_service_endpoint_template_enabled. Der Standardwert ist false. Setzen Sie den Wert auf true, um einen dedizierten Endpunkt zu verwenden.