OpenShift - Concept de base
Avant de commencer la configuration et le déploiement réels des applications, nous devons comprendre certains termes et concepts de base utilisés dans OpenShift V3.
Conteneurs et images
Images
Ce sont les éléments de base d'OpenShift, qui sont formés à partir d'images Docker. Dans chaque pod sur OpenShift, le cluster a ses propres images en cours d'exécution à l'intérieur. Lorsque nous configurons un pod, nous avons un champ qui sera regroupé à partir du registre. Ce fichier de configuration extrait l'image et la déploie sur le nœud du cluster.
apiVersion: v1
kind: pod
metadata:
name: Tesing_for_Image_pull -----------> Name of Pod
spec:
containers:
- name: neo4j-server ------------------------> Name of the image
image: <Name of the Docker image>----------> Image to be pulled
imagePullPolicy: Always ------------->Image pull policy
command: [“echo”, “SUCCESS”] -------------------> Massage after image pull
Pour en extraire et créer une image, exécutez la commande suivante. OC est le client pour communiquer avec l'environnement OpenShift après la connexion.
$ oc create –f Tesing_for_Image_pull
Récipient
Cela est créé lorsque l'image Docker est déployée sur le cluster OpenShift. Lors de la définition d'une configuration, nous définissons la section conteneur dans le fichier de configuration. Un conteneur peut avoir plusieurs images en cours d'exécution à l'intérieur et tous les conteneurs exécutés sur le nœud de cluster sont gérés par OpenShift Kubernetes.
spec:
containers:
- name: py ------------------------> Name of the container
image: python----------> Image going to get deployed on container
command: [“python”, “SUCCESS”]
restartPocliy: Never --------> Restart policy of container
Voici les spécifications pour définir un conteneur contenant plusieurs images.
apiVersion: v1
kind: Pod
metadata:
name: Tomcat
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
-name: Database
Image: mongoDB
Ports:
- containerPort: 7501
imagePullPolicy: Always
Dans la configuration ci-dessus, nous avons défini un pod multi-conteneur avec deux images de Tomcat et MongoDB à l'intérieur.
Pods et services
Pods
Le pod peut être défini comme une collection de conteneur et de son stockage dans un nœud du cluster OpenShift (Kubernetes). En général, nous avons deux types de pod à partir d'un pod de conteneur unique à un pod multi-conteneurs.
Single Container Pod - Ceux-ci peuvent être facilement créés avec la commande OC ou par un fichier de configuration de base yml.
$ oc run <name of pod> --image = <name of the image from registry>
Créez-le avec un simple fichier yaml comme suit.
apiVersion: v1
kind: Pod
metadata:
name: apache
spec:
containers:
- name: apache
image: apache: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
Une fois le fichier ci-dessus créé, il générera un pod avec la commande suivante.
$ oc create –f apache.yml
Multi-Container Pod- Les pods multi-conteneurs sont ceux dans lesquels nous avons plus d'un conteneur en cours d'exécution à l'intérieur. Ils sont créés à l'aide de fichiers yaml comme suit.
apiVersion: v1
kind: Pod
metadata:
name: Tomcat
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
-name: Database
Image: mongoDB
Ports:
- containerPort: 7501
imagePullPolicy: Always
Après avoir créé ces fichiers, nous pouvons simplement utiliser la même méthode que ci-dessus pour créer un conteneur.
Service- Comme nous avons un ensemble de conteneurs fonctionnant à l'intérieur d'un pod, de la même manière nous avons un service qui peut être défini comme un ensemble logique de pods. Il s'agit d'une couche abstraite au-dessus du pod, qui fournit une adresse IP et un nom DNS uniques à travers lesquels les pods sont accessibles. Le service aide à gérer la configuration de l'équilibrage de charge et à faire évoluer le pod très facilement. Dans OpenShift, un service est un objet REST dont la déification peut être publiée sur apiService sur OpenShift master pour créer une nouvelle instance.
apiVersion: v1
kind: Service
metadata:
name: Tutorial_point_service
spec:
ports:
- port: 8080
targetPort: 31999
Constructions et flux
Construit
Dans OpenShift, la construction est un processus de transformation d'images en conteneurs. C'est le traitement qui convertit le code source en image. Ce processus de construction fonctionne sur une stratégie prédéfinie de création de code source en image.
La construction traite plusieurs stratégies et sources.
Construire des stratégies
Source to Image- Il s'agit essentiellement d'un outil qui aide à créer des images reproductibles. Ces images sont toujours prêtes à être exécutées à l'aide de la commande d'exécution Docker.
Docker Build - Il s'agit du processus dans lequel les images sont construites à l'aide du fichier Docker en exécutant une simple commande de construction Docker.
Custom Build - Ce sont les builds qui sont utilisés pour créer des images Docker de base.
Créer des sources
Git- Cette source est utilisée lorsque le référentiel git est utilisé pour créer des images. Le Dockerfile est facultatif. Les configurations du code source ressemblent à ce qui suit.
source:
type: "Git"
git:
uri: "https://github.com/vipin/testing.git"
ref: "master"
contextDir: "app/dir"
dockerfile: "FROM openshift/ruby-22-centos7\nUSER example"
Dockerfile - Le Dockerfile est utilisé comme entrée dans le fichier de configuration.
source:
type: "Dockerfile"
dockerfile: "FROM ubuntu: latest
RUN yum install -y httpd"
Image Streams- Les flux d'images sont créés après l'extraction des images. L'avantage d'un flux d'images est qu'il recherche des mises à jour sur la nouvelle version d'une image. Ceci est utilisé pour comparer un nombre illimité d'images de conteneurs au format Docker identifiées par des balises.
Les flux d'images peuvent effectuer automatiquement une action lorsqu'une nouvelle image est créée. Toutes les constructions et tous les déploiements peuvent surveiller l'action de l'image et effectuer une action en conséquence. Voici comment nous définissons une construction d'un flux.
apiVersion: v1
kind: ImageStream
metadata:
annotations:
openshift.io/generated-by: OpenShiftNewApp
generation: 1
labels:
app: ruby-sample-build
selflink: /oapi/v1/namespaces/test/imagestreams/origin-ruby-sample
uid: ee2b9405-c68c-11e5-8a99-525400f25e34
spec: {}
status:
dockerImageRepository: 172.30.56.218:5000/test/origin-ruby-sample
tags:
- items:
- created: 2016-01-29T13:40:11Z
dockerImageReference: 172.30.56.218:5000/test/origin-apache-sample
generation: 1
image: vklnld908.int.clsa.com/vipin/test
tag: latest
Itinéraires et modèles
Itinéraires
Dans OpenShift, le routage est une méthode permettant d'exposer le service au monde externe en créant et en configurant un nom d'hôte accessible de l'extérieur. Les routes et les points de terminaison sont utilisés pour exposer le service au monde externe, à partir duquel l'utilisateur peut utiliser la connectivité de nom (DNS) pour accéder à l'application définie.
Dans OpenShift, les routes sont créées à l'aide de routeurs qui sont déployés par l'administrateur OpenShift sur le cluster. Les routeurs sont utilisés pour lier les ports HTTP (80) et https (443) à des applications externes.
Voici les différents types de protocoles pris en charge par les routes -
- HTTP
- HTTPS
- TSL et Web socket
Lors de la configuration du service, des sélecteurs sont utilisés pour configurer le service et trouver le point de terminaison à l'aide de ce service. Voici un exemple de la façon dont nous créons un service et le routage pour ce service en utilisant un protocole approprié.
{
"kind": "Service",
"apiVersion": "v1",
"metadata": {"name": "Openshift-Rservice"},
"spec": {
"selector": {"name":"RService-openshift"},
"ports": [
{
"protocol": "TCP",
"port": 8888,
"targetPort": 8080
}
]
}
}
Ensuite, exécutez la commande suivante et le service est créé.
$ oc create -f ~/training/content/Openshift-Rservice.json
Voici à quoi ressemble le service après sa création.
$ oc describe service Openshift-Rservice
Name: Openshift-Rservice
Labels: <none>
Selector: name = RService-openshift
Type: ClusterIP
IP: 172.30.42.80
Port: <unnamed> 8080/TCP
Endpoints: <none>
Session Affinity: None
No events.
Créez un routage pour le service à l'aide du code suivant.
{
"kind": "Route",
"apiVersion": "v1",
"metadata": {"name": "Openshift-service-route"},
"spec": {
"host": "hello-openshift.cloudapps.example.com",
"to": {
"kind": "Service",
"name": "OpenShift-route-service"
},
"tls": {"termination": "edge"}
}
}
Lorsque la commande OC est utilisée pour créer un itinéraire, une nouvelle instance de ressource d'itinéraire est créée.
Modèles
Les modèles sont définis comme un objet standard dans OpenShift qui peut être utilisé plusieurs fois. Il est paramétré avec une liste d'espaces réservés qui sont utilisés pour créer plusieurs objets. Cela peut être utilisé pour créer tout ce qui, du pod au réseau, pour lequel les utilisateurs sont autorisés à créer. Une liste d'objets peut être créée si le modèle de l'interface CLI ou GUI de l'image est téléchargé dans le répertoire du projet.
apiVersion: v1
kind: Template
metadata:
name: <Name of template>
annotations:
description: <Description of Tag>
iconClass: "icon-redis"
tags: <Tages of image>
objects:
- apiVersion: v1
kind: Pod
metadata:
name: <Object Specification>
spec:
containers:
image: <Image Name>
name: master
ports:
- containerPort: <Container port number>
protocol: <Protocol>
labels:
redis: <Communication Type>
Authentification et autorisation
Authentification
Dans OpenShift, lors de la configuration de la structure maître et client, le maître propose une fonctionnalité intégrée du serveur OAuth. Le serveur OAuth est utilisé pour générer des jetons, qui sont utilisés pour l'authentification auprès de l'API. Depuis, OAuth est une configuration par défaut pour le maître, nous avons le fournisseur d'identité Autoriser tout utilisé par défaut. Différents fournisseurs d'identité sont présents et peuvent être configurés à/etc/openshift/master/master-config.yaml.
Il existe différents types de fournisseurs d'identité présents dans OAuth.
- Autorise tout
- Nier tous
- HTPasswd
- LDAP
- Authentification de base
Autorise tout
apiVersion: v1
kind: Pod
metadata:
name: redis-master
spec:
containers:
image: dockerfile/redis
name: master
ports:
- containerPort: 6379
protocol: TCP
oauthConfig:
identityProviders:
- name: my_allow_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
Nier tous
apiVersion: v1
kind: Pod
metadata:
name: redis-master
spec:
containers:
image: dockerfile/redis
name: master
ports:
- containerPort: 6379
protocol: TCP
oauthConfig:
identityProviders:
- name: my_allow_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
HTPasswd
Pour utiliser HTPasswd, nous devons d'abord configurer les outils Httpd sur la machine maître, puis le configurer de la même manière que nous l'avons fait pour les autres.
identityProviders:
- name: my_htpasswd_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
Autorisation
L'autorisation est une fonctionnalité d'OpenShift master, utilisée pour valider la validation d'un utilisateur. Cela signifie qu'il vérifie l'utilisateur qui tente d'effectuer une action pour voir si l'utilisateur est autorisé à effectuer cette action sur un projet donné. Cela aide l'administrateur à contrôler l'accès aux projets.
Les politiques d'autorisation sont contrôlées à l'aide de -
- Rules
- Roles
- Bindings
L'évaluation de l'autorisation se fait en utilisant -
- Identity
- Action
- Bindings
Utilisation des politiques -
- Politique de cluster
- Politique locale