OpenShift - Concept de base

Avant de commencer la configuration et le déploiement réels des applications, nous devons comprendre certains termes et concepts de base utilisés dans OpenShift V3.

Conteneurs et images

Images

Ce sont les éléments de base d'OpenShift, qui sont formés à partir d'images Docker. Dans chaque pod sur OpenShift, le cluster a ses propres images en cours d'exécution à l'intérieur. Lorsque nous configurons un pod, nous avons un champ qui sera regroupé à partir du registre. Ce fichier de configuration extrait l'image et la déploie sur le nœud du cluster.

apiVersion: v1
kind: pod
metadata:
   name: Tesing_for_Image_pull -----------> Name of Pod
      spec:
containers:
- name: neo4j-server ------------------------> Name of the image
image: <Name of the Docker image>----------> Image to be pulled
imagePullPolicy: Always ------------->Image pull policy
command: [“echo”, “SUCCESS”] -------------------> Massage after image pull

Pour en extraire et créer une image, exécutez la commande suivante. OC est le client pour communiquer avec l'environnement OpenShift après la connexion.

$ oc create –f Tesing_for_Image_pull

Récipient

Cela est créé lorsque l'image Docker est déployée sur le cluster OpenShift. Lors de la définition d'une configuration, nous définissons la section conteneur dans le fichier de configuration. Un conteneur peut avoir plusieurs images en cours d'exécution à l'intérieur et tous les conteneurs exécutés sur le nœud de cluster sont gérés par OpenShift Kubernetes.

spec:
   containers:
   - name: py ------------------------> Name of the container
   image: python----------> Image going to get deployed on container
   command: [“python”, “SUCCESS”]
   restartPocliy: Never --------> Restart policy of container

Voici les spécifications pour définir un conteneur contenant plusieurs images.

apiVersion: v1
kind: Pod
metadata:
   name: Tomcat
spec:
   containers:
   - name: Tomcat
   image: tomcat: 8.0
   ports:
   - containerPort: 7500
      imagePullPolicy: Always
      -name: Database
      Image: mongoDB
      Ports:
      - containerPort: 7501
imagePullPolicy: Always

Dans la configuration ci-dessus, nous avons défini un pod multi-conteneur avec deux images de Tomcat et MongoDB à l'intérieur.

Pods et services

Pods

Le pod peut être défini comme une collection de conteneur et de son stockage dans un nœud du cluster OpenShift (Kubernetes). En général, nous avons deux types de pod à partir d'un pod de conteneur unique à un pod multi-conteneurs.

Single Container Pod - Ceux-ci peuvent être facilement créés avec la commande OC ou par un fichier de configuration de base yml.

$ oc run <name of pod> --image = <name of the image from registry>

Créez-le avec un simple fichier yaml comme suit.

apiVersion: v1
kind: Pod
metadata:
   name: apache
spec:
   containers:
   - name: apache
   image: apache: 8.0
   ports:
      - containerPort: 7500
imagePullPolicy: Always

Une fois le fichier ci-dessus créé, il générera un pod avec la commande suivante.

$ oc create –f apache.yml

Multi-Container Pod- Les pods multi-conteneurs sont ceux dans lesquels nous avons plus d'un conteneur en cours d'exécution à l'intérieur. Ils sont créés à l'aide de fichiers yaml comme suit.

apiVersion: v1
kind: Pod
metadata:
   name: Tomcat
spec:
   containers:
   - name: Tomcat
   image: tomcat: 8.0
   ports:
      - containerPort: 7500
imagePullPolicy: Always
   -name: Database
   Image: mongoDB
   Ports:
      - containerPort: 7501
imagePullPolicy: Always

Après avoir créé ces fichiers, nous pouvons simplement utiliser la même méthode que ci-dessus pour créer un conteneur.

Service- Comme nous avons un ensemble de conteneurs fonctionnant à l'intérieur d'un pod, de la même manière nous avons un service qui peut être défini comme un ensemble logique de pods. Il s'agit d'une couche abstraite au-dessus du pod, qui fournit une adresse IP et un nom DNS uniques à travers lesquels les pods sont accessibles. Le service aide à gérer la configuration de l'équilibrage de charge et à faire évoluer le pod très facilement. Dans OpenShift, un service est un objet REST dont la déification peut être publiée sur apiService sur OpenShift master pour créer une nouvelle instance.

apiVersion: v1
kind: Service
metadata:
   name: Tutorial_point_service
spec:
   ports:
      - port: 8080
         targetPort: 31999

Constructions et flux

Construit

Dans OpenShift, la construction est un processus de transformation d'images en conteneurs. C'est le traitement qui convertit le code source en image. Ce processus de construction fonctionne sur une stratégie prédéfinie de création de code source en image.

La construction traite plusieurs stratégies et sources.

Construire des stratégies

  • Source to Image- Il s'agit essentiellement d'un outil qui aide à créer des images reproductibles. Ces images sont toujours prêtes à être exécutées à l'aide de la commande d'exécution Docker.

  • Docker Build - Il s'agit du processus dans lequel les images sont construites à l'aide du fichier Docker en exécutant une simple commande de construction Docker.

  • Custom Build - Ce sont les builds qui sont utilisés pour créer des images Docker de base.

Créer des sources

Git- Cette source est utilisée lorsque le référentiel git est utilisé pour créer des images. Le Dockerfile est facultatif. Les configurations du code source ressemblent à ce qui suit.

source:
type: "Git"
git:
   uri: "https://github.com/vipin/testing.git"
   ref: "master"
contextDir: "app/dir"
dockerfile: "FROM openshift/ruby-22-centos7\nUSER example"

Dockerfile - Le Dockerfile est utilisé comme entrée dans le fichier de configuration.

source:
   type: "Dockerfile"
   dockerfile: "FROM ubuntu: latest
   RUN yum install -y httpd"

Image Streams- Les flux d'images sont créés après l'extraction des images. L'avantage d'un flux d'images est qu'il recherche des mises à jour sur la nouvelle version d'une image. Ceci est utilisé pour comparer un nombre illimité d'images de conteneurs au format Docker identifiées par des balises.

Les flux d'images peuvent effectuer automatiquement une action lorsqu'une nouvelle image est créée. Toutes les constructions et tous les déploiements peuvent surveiller l'action de l'image et effectuer une action en conséquence. Voici comment nous définissons une construction d'un flux.

apiVersion: v1
kind: ImageStream
metadata:
   annotations:
      openshift.io/generated-by: OpenShiftNewApp
   generation: 1
   labels:
      app: ruby-sample-build
   selflink: /oapi/v1/namespaces/test/imagestreams/origin-ruby-sample
   uid: ee2b9405-c68c-11e5-8a99-525400f25e34
spec: {}
status:
   dockerImageRepository: 172.30.56.218:5000/test/origin-ruby-sample
   tags:
   - items:
      - created: 2016-01-29T13:40:11Z
      dockerImageReference: 172.30.56.218:5000/test/origin-apache-sample
      generation: 1
      image: vklnld908.int.clsa.com/vipin/test
   tag: latest

Itinéraires et modèles

Itinéraires

Dans OpenShift, le routage est une méthode permettant d'exposer le service au monde externe en créant et en configurant un nom d'hôte accessible de l'extérieur. Les routes et les points de terminaison sont utilisés pour exposer le service au monde externe, à partir duquel l'utilisateur peut utiliser la connectivité de nom (DNS) pour accéder à l'application définie.

Dans OpenShift, les routes sont créées à l'aide de routeurs qui sont déployés par l'administrateur OpenShift sur le cluster. Les routeurs sont utilisés pour lier les ports HTTP (80) et https (443) à des applications externes.

Voici les différents types de protocoles pris en charge par les routes -

  • HTTP
  • HTTPS
  • TSL et Web socket

Lors de la configuration du service, des sélecteurs sont utilisés pour configurer le service et trouver le point de terminaison à l'aide de ce service. Voici un exemple de la façon dont nous créons un service et le routage pour ce service en utilisant un protocole approprié.

{
   "kind": "Service",
   "apiVersion": "v1",
   "metadata": {"name": "Openshift-Rservice"},
   "spec": {
      "selector": {"name":"RService-openshift"},
      "ports": [
         {
            "protocol": "TCP",
            "port": 8888,
            "targetPort": 8080
         }
      ]
   }
}

Ensuite, exécutez la commande suivante et le service est créé.

$ oc create -f ~/training/content/Openshift-Rservice.json

Voici à quoi ressemble le service après sa création.

$ oc describe service Openshift-Rservice

Name:              Openshift-Rservice
Labels:            <none>
Selector:          name = RService-openshift
Type:              ClusterIP
IP:                172.30.42.80
Port:              <unnamed> 8080/TCP
Endpoints:         <none>
Session Affinity:  None
No events.

Créez un routage pour le service à l'aide du code suivant.

{
   "kind": "Route",
   "apiVersion": "v1",
   "metadata": {"name": "Openshift-service-route"},
   "spec": {
      "host": "hello-openshift.cloudapps.example.com",
      "to": {
         "kind": "Service",
         "name": "OpenShift-route-service"
      },
      "tls": {"termination": "edge"}
   }
}

Lorsque la commande OC est utilisée pour créer un itinéraire, une nouvelle instance de ressource d'itinéraire est créée.

Modèles

Les modèles sont définis comme un objet standard dans OpenShift qui peut être utilisé plusieurs fois. Il est paramétré avec une liste d'espaces réservés qui sont utilisés pour créer plusieurs objets. Cela peut être utilisé pour créer tout ce qui, du pod au réseau, pour lequel les utilisateurs sont autorisés à créer. Une liste d'objets peut être créée si le modèle de l'interface CLI ou GUI de l'image est téléchargé dans le répertoire du projet.

apiVersion: v1
kind: Template
metadata:
   name: <Name of template>
   annotations:
      description: <Description of Tag>
      iconClass: "icon-redis"
      tags: <Tages of image>
objects:
   - apiVersion: v1
   kind: Pod
   metadata:
      name: <Object Specification>
spec:
   containers:
      image: <Image Name>
      name: master
      ports:
      - containerPort: <Container port number>
         protocol: <Protocol>
labels:
   redis: <Communication Type>

Authentification et autorisation

Authentification

Dans OpenShift, lors de la configuration de la structure maître et client, le maître propose une fonctionnalité intégrée du serveur OAuth. Le serveur OAuth est utilisé pour générer des jetons, qui sont utilisés pour l'authentification auprès de l'API. Depuis, OAuth est une configuration par défaut pour le maître, nous avons le fournisseur d'identité Autoriser tout utilisé par défaut. Différents fournisseurs d'identité sont présents et peuvent être configurés à/etc/openshift/master/master-config.yaml.

Il existe différents types de fournisseurs d'identité présents dans OAuth.

  • Autorise tout
  • Nier tous
  • HTPasswd
  • LDAP
  • Authentification de base

Autorise tout

apiVersion: v1
   kind: Pod
   metadata:
      name: redis-master
   spec:
      containers:
         image: dockerfile/redis
         name: master
      ports:
      - containerPort: 6379
         protocol: TCP
      oauthConfig:
      identityProviders:
      - name: my_allow_provider
         challenge: true
         login: true
      provider:
         apiVersion: v1
         kind: AllowAllPasswordIdentityProvider

Nier tous

apiVersion: v1
kind: Pod
metadata:
   name: redis-master
spec:
   containers:
      image: dockerfile/redis
   name: master
   ports:
   - containerPort: 6379
      protocol: TCP
   oauthConfig:
   identityProviders:
   - name: my_allow_provider
      challenge: true
      login: true
   provider:
      apiVersion: v1
      kind: DenyAllPasswordIdentityProvider

HTPasswd

Pour utiliser HTPasswd, nous devons d'abord configurer les outils Httpd sur la machine maître, puis le configurer de la même manière que nous l'avons fait pour les autres.

identityProviders:
   - name: my_htpasswd_provider
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: HTPasswdPasswordIdentityProvider

Autorisation

L'autorisation est une fonctionnalité d'OpenShift master, utilisée pour valider la validation d'un utilisateur. Cela signifie qu'il vérifie l'utilisateur qui tente d'effectuer une action pour voir si l'utilisateur est autorisé à effectuer cette action sur un projet donné. Cela aide l'administrateur à contrôler l'accès aux projets.

Les politiques d'autorisation sont contrôlées à l'aide de -

  • Rules
  • Roles
  • Bindings

L'évaluation de l'autorisation se fait en utilisant -

  • Identity
  • Action
  • Bindings

Utilisation des politiques -

  • Politique de cluster
  • Politique locale