OpenShift - Guide rapide
OpenShift est une plateforme de développement cloud en tant que service (PaaS) hébergée par Red Hat. Il s'agit d'une plate-forme conviviale basée sur le cloud open source utilisée pour créer, tester et exécuter des applications, et enfin les déployer sur le cloud.
OpenShift est capable de gérer des applications écrites dans différents langages, tels que Node.js, Ruby, Python, Perl et Java. L'une des principales caractéristiques d'OpenShift est qu'il est extensible, ce qui aide les utilisateurs à prendre en charge l'application écrite dans d'autres langues.
OpenShift est livré avec divers concepts de virtualisation comme couche d'abstraction. Le concept sous-jacent d'OpenShift est basé sur la virtualisation.
Virtualisation
En général, la virtualisation peut être définie comme la création d'un système virtuel plutôt que comme une version physique ou réelle de tout ce qui part du système, du stockage ou d'un système d'exploitation. L'objectif principal de la virtualisation est de rendre l'infrastructure informatique plus évolutive et fiable. Le concept de virtualisation existe depuis des décennies et avec l'évolution de l'industrie informatique d'aujourd'hui, il peut être appliqué à un large éventail de couches allant du niveau système, niveau matériel, à la virtualisation au niveau serveur.
Comment ça fonctionne
Il peut être décrit comme une technologie dans laquelle toute application ou système d'exploitation est extrait de sa couche physique réelle. Une utilisation clé de la technologie de virtualisation est la virtualisation des serveurs, qui utilise un logiciel appelé hyperviseur pour extraire la couche du matériel sous-jacent. Les performances d'un système d'exploitation s'exécutant sur la virtualisation sont aussi bonnes que lorsqu'il s'exécute sur le matériel physique. Cependant, le concept de virtualisation est populaire car la plupart des systèmes et applications en cours d'exécution ne nécessitent pas l'utilisation du matériel sous-jacent.
Architecture physique ou virtuelle
Types de virtualisation
Application Virtualization- Dans cette méthode, l'application est extraite du système d'exploitation sous-jacent. Cette méthode est très utile dans laquelle l'application peut être exécutée de manière isolée sans dépendre du système d'exploitation en dessous.
Desktop Virtualization- Cette méthode est utilisée pour réduire la charge du poste de travail dans lequel on peut accéder au bureau à distance, en utilisant un client léger au bureau. Dans cette méthode, les bureaux sont principalement exécutés dans un centre de données. Un exemple classique peut être une image de bureau virtuel (VDI) qui est utilisée dans la plupart des organisations.
Data Virtualization - C'est une méthode d'abstraction et de s'éloigner de la méthode traditionnelle de gestion des données et des données.
Server Virtualization- Dans cette méthode, les ressources liées au serveur sont virtualisées, ce qui inclut le serveur physique, le processus et le système d'exploitation. Le logiciel qui permet cette abstraction est souvent appelé l'hyperviseur.
Storage Virtualization - Il s'agit du processus de regroupement de plusieurs périphériques de stockage dans un seul périphérique de stockage géré à partir d'une seule console centrale.
Network Virtualization - C'est la méthode dans laquelle toutes les ressources réseau disponibles sont combinées en divisant la bande passante disponible et les canaux, chacun étant indépendant les uns des autres.
OpenShift
OpenShift est une plate-forme d'applications en tant que service (PaaS). Il s'agit d'une technologie open source qui aide les organisations à déplacer leur infrastructure et plate-forme d'applications traditionnelles des supports physiques et virtuels vers le cloud.
OpenShift prend en charge une très grande variété d'applications, qui peuvent être facilement développées et déployées sur la plate-forme cloud OpenShift. OpenShift prend essentiellement en charge trois types de plates-formes pour les développeurs et les utilisateurs.
Infrastructure en tant que service (IaaS)
Dans ce format, le fournisseur de services fournit des machines virtuelles de niveau matériel avec une configuration matérielle virtuelle prédéfinie. Il existe plusieurs concurrents dans cet espace à partir du cloud AWS Google, de Rackspace et bien d'autres.
Le principal inconvénient d'avoir IaaS après une longue procédure de configuration et d'investissement est que l'on est toujours responsable de l'installation et de la maintenance du système d'exploitation et des packages de serveur, de la gestion du réseau d'infrastructure et de l'administration de base du système.
Logiciel en tant que service (SaaS)
Avec le SaaS, on se soucie le moins de l'infrastructure sous-jacente. C'est aussi simple que plug and play, dans lequel l'utilisateur doit simplement s'inscrire aux services et commencer à les utiliser. Le principal inconvénient de cette configuration est que l'on ne peut effectuer qu'un minimum de personnalisation, ce qui est autorisé par le fournisseur de services. L'un des exemples les plus courants de SaaS est Gmail, où l'utilisateur doit simplement se connecter et commencer à l'utiliser. L'utilisateur peut également apporter quelques modifications mineures à son compte. Cependant, ce n'est pas très utile du point de vue du développeur.
Plateforme en tant que service (PaaS)
Il peut être considéré comme une couche intermédiaire entre SaaS et IaaS. La cible principale de l'évaluation PaaS est destinée aux développeurs dans lesquels l'environnement de développement peut être mis en place avec quelques commandes. Ces environnements sont conçus de manière à pouvoir satisfaire tous les besoins de développement, directement depuis le fait d'avoir un serveur d'applications Web avec une base de données. Pour ce faire, vous n'avez besoin que d'une seule commande et le fournisseur de services s'occupe de vous.
Pourquoi utiliser OpenShift?
OpenShift fournit une plate-forme commune aux unités d'entreprise pour héberger leurs applications sur le cloud sans se soucier du système d'exploitation sous-jacent. Cela facilite l'utilisation, le développement et le déploiement d'applications sur le cloud. L'une des principales caractéristiques est qu'il fournit du matériel géré et des ressources réseau pour tous les types de développement et de test. Avec OpenShift, les développeurs PaaS ont la liberté de concevoir leur environnement requis avec des spécifications.
OpenShift fournit différents types d'accord de niveau de service en ce qui concerne les plans de service.
Free - Ce plan est limité à trois ans avec 1 Go d'espace pour chacun.
Bronze - Ce plan comprend 3 ans et s'étend jusqu'à 16 ans avec 1 Go d'espace par an.
Sliver - Il s'agit d'un plan de 16 ans de bronze, cependant, a une capacité de stockage de 6 Go sans frais supplémentaires.
Outre les fonctionnalités ci-dessus, OpenShift propose également une version sur site connue sous le nom d'OpenShift Enterprise. Dans OpenShift, les développeurs ont la possibilité de concevoir des applications évolutives et non évolutives et ces conceptions sont implémentées à l'aide de serveurs HAproxy.
traits
Il existe plusieurs fonctionnalités prises en charge par OpenShift. Peu d'entre eux sont -
- Prise en charge de plusieurs langues
- Prise en charge de plusieurs bases de données
- Système de cartouche extensible
- Gestion des versions de code source
- Déploiement en un clic
- Prise en charge de plusieurs environnements
- Flux de travail standardisé pour les développeurs
- Gestion des dépendances et des bâtiments
- Mise à l'échelle automatique des applications
- Console Web réactive
- Ensemble d'outils de ligne de commande riche
- Connexion SSH à distance aux applications
- Assistance API Rest
- Pile d'applications en libre-service à la demande
- Services de base de données intégrés
- Intégration continue et gestion des versions
- Intégration IDE
- Débogage à distance des applications
OpenShift est né de sa base nommée OpenShift V2, qui reposait principalement sur le concept d'année et de cartouches, où chaque composant a ses spécifications allant de la création de la machine au déploiement de l'application, de la création au déploiement de l'application.
Cartridges - Ils ont été le point focal de la construction d'une nouvelle application à partir du type d'application dont l'environnement a besoin pour les exécuter et de toutes les dépendances satisfaites dans cette section.
year- Il peut être défini comme la machine ou le serveur en métal ours avec certaines spécifications concernant les ressources, la mémoire et le processeur. Ils étaient considérés comme une unité fondamentale pour exécuter une application.
Application - Celles-ci font simplement référence à l'application ou à toute application d'intégration qui sera déployée et exécutée sur l'environnement OpenShift.
Au fur et à mesure que nous approfondirons la section, nous discuterons des différents formats et offres d'OpenShift. Dans les premiers jours, OpenShift avait trois versions principales.
OpenShift Origin- C'était l'ajout de la communauté ou la version open source d'OpenShift. Il était également connu sous le nom de projet en amont pour les deux autres versions.
OpenShift Online - Il s'agit d'un PaaS public en tant que service hébergé sur AWS.
OpenShift Enterprise - est la version renforcée d'OpenShift avec des licences ISV et fournisseur.
OpenShift en ligne
OpenShift en ligne est une offre de communauté OpenShift à l'aide de laquelle on peut rapidement créer, déployer et mettre à l'échelle des applications conteneurisées sur le cloud public. Il s'agit de la plate-forme de développement et d'hébergement d'applications de cloud public de Red Hat, qui permet le provisionnement, la gestion et la mise à l'échelle automatisés des applications, ce qui aide le développeur à se concentrer sur l'écriture de la logique d'application.
Configurer un compte sur Red Hat OpenShift Online
Step 1 - Accédez au navigateur et visitez le site https://manage.openshift.com/
Step 2 - Si vous avez un compte Red Hat, connectez-vous au compte OpenShift en utilisant l'ID de connexion et le mot de passe Red Hat en utilisant l'URL suivante. https://developers.redhat.com
Step 3 - Si vous ne disposez pas d'un identifiant de compte Red Hat, inscrivez-vous au service en ligne OpenShift en utilisant le lien suivant.
https://developers.redhat.com/auth/realms/rhd/login-actions/registration?code=G4w-myLd3GCH_QZCqMUmIOQlU7DIf_gfIvGu38nnzZQ.cb229a9d-3cff-4c58-b7f6-7b2c9eb17926
Après la connexion, vous verrez la page suivante.
Une fois que vous avez tout mis en place, Red Hat affichera quelques détails de compte de base comme indiqué dans la capture d'écran suivante.
Enfin, lorsque vous êtes connecté, vous verrez la page suivante.
Plateforme de conteneurs OpenShift
La plate-forme de conteneur OpenShift est une plate-forme d'entreprise qui aide plusieurs équipes telles que l'équipe de développement et des opérations informatiques à créer et à déployer une infrastructure conteneurisée. Tous les conteneurs intégrés à OpenShift utilisent une technologie de conteneurisation Docker très fiable, qui peut être déployée sur n'importe quel centre de données des plates-formes cloud hébergées publiquement.
La plate-forme de conteneurs OpenShift était officiellement connue sous le nom d'OpenShift Enterprises. Il s'agit d'une plate-forme privée sur site Red Hat en tant que service, basée sur le concept de base des conteneurs d'applications optimisés par Docker, où l'orchestration et l'administration sont gérées par Kubernetes.
En d'autres termes, OpenShift réunit Docker et Kubernetes au niveau de l'entreprise. Il s'agit d'un logiciel de plateforme de conteneurs permettant aux unités d'entreprise de déployer et de gérer les candidats dans une infrastructure de leur choix. Par exemple, héberger des instances OpenShift sur des instances AWS.
La plateforme de conteneurs OpenShift est disponible en two package levels.
OpenShift Container Local- Ceci est destiné aux développeurs qui souhaitent déployer et tester des applications sur la machine locale. Ce package est principalement utilisé par les équipes de développement pour développer et tester des applications.
OpenShift Container Lab - Ceci est conçu pour une évaluation étendue de l'application à partir du développement jusqu'au déploiement jusqu'à l'environnement de pré-production.
OpenShift dédié
Il s'agit d'une autre offre ajoutée au portefeuille d'OpenShift, dans laquelle le client a le choix d'héberger une plate-forme conteneurisée sur n'importe quel cloud public de son choix. Cela donne à l'utilisateur final une véritable idée de l'offre multi-cloud, où il peut utiliser OpenShift sur n'importe quel cloud qui répond à ses besoins.
Il s'agit de l'une des offres les plus récentes de Red Hat où l'utilisateur final peut utiliser OpenShift pour créer un déploiement de test et exécuter son application sur OpenShift qui est hébergé sur le cloud.
Fonctionnalités d'OpenShift Dedicated
OpenShift dédié offre une plate-forme d'application de solution personnalisée sur le cloud public et est héritée de la technologie OpenShift 3.
Extensible and Open - Ceci est construit sur le concept ouvert de Docker et déployé sur le cloud en raison duquel il peut se dépenser au fur et à mesure des besoins.
Portability - Comme il est construit à l'aide de Docker, les applications exécutées sur Docker peuvent facilement être expédiées d'un endroit à l'autre, où Docker est pris en charge.
Orchestration - Avec OpenShift 3, l'une des fonctionnalités clés de l'orchestration de conteneurs et de la gestion des clusters est prise en charge à l'aide de Kubernetes, qui a été proposée avec OpenShift version 3.
Automation - Cette version d'OpenShift est activée avec la fonctionnalité de gestion du code source, d'automatisation de la construction et d'automatisation du déploiement, ce qui la rend très populaire sur le marché en tant que plate-forme en tant que fournisseur de services.
Concurrents d'OpenShift
Google App Engine- Il s'agit de la plate-forme gratuite de Google pour le développement et l'hébergement d'applications Web. Le moteur d'application de Google offre une plate-forme de développement et de déploiement rapide.
Microsoft Azure - Le cloud Azure est hébergé par Microsoft sur ses centres de données.
Amazon Elastic Cloud Compute - Ce sont des services intégrés fournis par Amazon, qui aident au développement et à l'hébergement d'applications Web évolutives sur le cloud.
Cloud Foundry - est une plateforme PaaS open source pour les applications Java, Ruby, Python et Node.js.
CloudStack - CloudStack d'Apache est un projet développé par Citrix et est conçu pour devenir un concurrent direct d'OpenShift et d'OpenStack.
OpenStack - Une autre technologie cloud fournie par Red Hat pour le cloud computing.
Kubernetes - Il s'agit d'une technologie d'orchestration directe et de gestion de cluster conçue pour gérer le conteneur Docker.
OpenShift est un système en couches dans lequel chaque couche est étroitement liée à l'autre couche à l'aide du cluster Kubernetes et Docker. L'architecture d'OpenShift est conçue de manière à pouvoir prendre en charge et gérer les conteneurs Docker, qui sont hébergés au-dessus de toutes les couches à l'aide de Kubernetes. Contrairement à la version précédente d'OpenShift V2, la nouvelle version d'OpenShift V3 prend en charge l'infrastructure conteneurisée. Dans ce modèle, Docker facilite la création de conteneurs légers basés sur Linux et Kubernetes prend en charge la tâche d'orchestration et de gestion des conteneurs sur plusieurs hôtes.
Composants d'OpenShift
L'un des composants clés de l'architecture OpenShift est de gérer l'infrastructure conteneurisée dans Kubernetes. Kubernetes est responsable du déploiement et de la gestion de l'infrastructure. Dans n'importe quel cluster Kubernetes, nous pouvons avoir plus d'un maître et plusieurs nœuds, ce qui garantit qu'il n'y a pas de point de défaillance dans la configuration.
Composants principaux de la machine Kubernetes
Etcd- Il stocke les informations de configuration, qui peuvent être utilisées par chacun des nœuds du cluster. Il s'agit d'un magasin de valeurs de clés à haute disponibilité qui peut être réparti entre plusieurs nœuds. Il ne doit être accessible que par le serveur d'API Kubernetes car il peut contenir des informations sensibles. Il s'agit d'un magasin de valeurs clés distribué accessible à tous.
API Server- Kubernetes est un serveur API qui fournit toutes les opérations sur cluster à l'aide de l'API. Le serveur API implémente une interface qui signifie que différents outils et bibliothèques peuvent facilement communiquer avec lui. Un kubeconfig est un package avec les outils côté serveur qui peuvent être utilisés pour la communication. Il expose l'API Kubernetes ».
Controller Manager- Ce composant est responsable de la plupart des collecteurs qui régulent l'état du cluster et exécutent une tâche. Il peut être considéré comme un démon qui s'exécute dans une boucle sans terminaison et est responsable de la collecte et de l'envoi des informations au serveur API. Il vise à obtenir l'état partagé du cluster, puis à apporter des modifications pour ramener l'état actuel du serveur à un état souhaité. Les contrôleurs clés sont le contrôleur de réplication, le contrôleur de point de terminaison, le contrôleur d'espace de noms et le contrôleur de compte de service. Le gestionnaire de contrôleurs exécute différents types de contrôleurs pour gérer les nœuds, les points de terminaison, etc.
Scheduler- C'est un composant clé du maître Kubernetes. C'est un service en master qui se charge de répartir la charge de travail. Il est chargé de suivre l'utilisation de la charge de travail sur les nœuds du cluster, puis de placer la charge de travail sur laquelle les ressources sont disponibles et d'accepter la charge de travail. En d'autres termes, c'est le mécanisme responsable de l'allocation des pods aux nœuds disponibles. Le planificateur est responsable de l'utilisation de la charge de travail et de l'allocation d'un pod à un nouveau nœud.
Composants du nœud Kubernetes
Voici les composants clés du serveur Node, qui sont nécessaires pour communiquer avec le maître Kubernetes.
Docker - La première exigence de chaque nœud est Docker qui aide à exécuter les conteneurs d'applications encapsulés dans un environnement d'exploitation relativement isolé mais léger.
Kubelet Service- Il s'agit d'un petit service dans chaque nœud, qui est chargé de relayer les informations vers et depuis le service du plan de contrôle. Il interagit avec etcd store pour lire les détails de configuration et les valeurs de Wright. Cela communique avec le composant maître pour recevoir des commandes et travailler. Le processus kubelet assume alors la responsabilité de maintenir l'état de travail et le serveur de nœuds. Il gère les règles du réseau, la redirection de port, etc.
Kubernetes Proxy Service- Il s'agit d'un service proxy qui s'exécute sur chaque nœud et aide à rendre les services disponibles à l'hôte externe. Cela aide à transmettre la demande aux conteneurs corrects. Le service proxy Kubernetes est capable d'effectuer un équilibrage de charge primitif. Il garantit que l'environnement réseau est prévisible et accessible, mais en même temps il est également isolé. Il gère les pods sur le nœud, les volumes, les secrets, la création de nouveaux contrôles de santé des conteneurs, etc.
Registre de conteneurs OpenShift intégré
Le registre de conteneurs OpenShift est une unité de stockage intégrée de Red Hat, qui est utilisée pour stocker les images Docker. Avec la dernière version intégrée d'OpenShift, il a mis au point une interface utilisateur pour afficher les images dans le stockage interne d'OpenShift. Ces registres sont capables de contenir des images avec des balises spécifiées, qui sont ensuite utilisées pour en construire des conteneurs.
Termes fréquemment utilisés
Image- Les images Kubernetes (Docker) sont les principaux éléments constitutifs de l'infrastructure conteneurisée. À partir de maintenant, Kubernetes ne prend en charge que les images Docker. Chaque conteneur d'un pod a son image Docker en cours d'exécution à l'intérieur. Lors de la configuration d'un pod, la propriété d'image dans le fichier de configuration a la même syntaxe que la commande Docker.
Project - Ils peuvent être définis comme la version renommée du domaine qui était présente dans la version précédente d'OpenShift V2.
Container - Ce sont ceux qui sont créés après le déploiement de l'image sur un nœud de cluster Kubernetes.
Node- Un nœud est une machine de travail dans le cluster Kubernetes, également connu sous le nom de minion for master. Ce sont des unités de travail qui peuvent être une instance physique, VM ou cloud.
Pod- Un pod est une collection de conteneurs et son stockage à l'intérieur d'un nœud d'un cluster Kubernetes. Il est possible de créer un pod avec plusieurs conteneurs à l'intérieur. Par exemple, conserver le conteneur de base de données et le conteneur de serveur Web à l'intérieur du pod.
Dans ce chapitre, nous allons découvrir la configuration de l'environnement d'OpenShift.
Exigence du système
Afin de configurer OpenShift d'entreprise, il faut avoir un compte Red Hat actif. Comme OpenShift fonctionne sur l'architecture maître et nœud de Kubernetes, nous devons les configurer tous les deux sur des machines distinctes, une machine jouant le rôle de maître et d'autres sur le nœud. Afin de mettre en place les deux, il existe une configuration système minimale.
Configuration de la machine maître
Voici la configuration système minimale requise pour la configuration de la machine maître.
Une machine de base hébergée sur un environnement physique, virtuel ou sur l'un des environnements cloud.
Au moins Linux 7 avec les packages requis sur cette instance.
2 cœurs de processeur.
Au moins 8 Go de RAM.
30 Go de mémoire interne du disque dur.
Configuration de la machine du nœud
- Image de base physique ou virtuelle donnée pour la machine maître.
- Au moins Linux 7 sur la machine.
- Docker installé avec une version non inférieure à 1.6.
- 1 cœur de processeur.
- 8 Go de RAM.
- Disque dur de 15 Go pour l'hébergement des images et 15 Go pour le stockage des images.
Guide étape par étape de la configuration d'OpenShift
Dans la description suivante, nous allons configurer l'environnement de laboratoire OpenShift, qui peut être étendu ultérieurement à un cluster plus grand. Comme OpenShift nécessite une configuration de maître et de nœud, nous aurions besoin d'au moins deux machines hébergées sur des machines cloud, physiques ou virtuelles.
Step 1- Installez d'abord Linux sur les deux machines, là où Linux 7 devrait être la version la plus petite. Cela peut être fait en utilisant les commandes suivantes si l'on a un abonnement Red Hat actif.
# subscription-manager repos --disable = "*"
# subscription-manager repos --enable = "rhel-7-server-rpms"
# subscription-manager repos --enable = "rhel-7-server-extras-rpms"
# subscription-manager repos --enable = "rhel-7-server-optional-rpms"
# subscription-manager repos --enable = "rhel-7-server-ose-3.0-rpms"
# yum install wget git net-tools bind-utils iptables-services bridge-utils
# yum install wget git net-tools bind-utils iptables-services bridge-utils
# yum install python-virtualenv
# yum install gcc
# yum install httpd-tools
# yum install docker
# yum update
Une fois que tous les packages de base ci-dessus sont installés sur les deux machines, l'étape suivante consiste à configurer Docker sur les machines respectives.
Step 2- Configurez Docker pour qu'il autorise les communications non sécurisées sur le réseau local uniquement. Pour cela, modifiez le fichier Docker dans / etc / sysconfig. Si le fichier n'est pas présent, vous devez le créer manuellement.
# vi /etc/sysconfig/docker
OPTIONS = --selinux-enabled --insecure-registry 192.168.122.0/24
Après avoir configuré le Docker sur la machine maître, nous devons configurer une communication sans mot de passe entre les deux machines. Pour cela, nous utiliserons l'authentification par clé publique et privée.
Step 3 - Générez des clés sur la machine maître puis copiez la clé id_rsa.pub dans le fichier de clé autorisé de la machine noeud, ce qui peut être fait à l'aide de la commande suivante.
# ssh-keygen
# ssh-copy-id -i .ssh/id_rsa.pub [email protected]
Une fois que vous avez mis en place toutes les configurations ci-dessus, vous devez ensuite configurer OpenShift version 3 sur la machine maître.
Step 4 - Depuis la machine maître, exécutez la commande curl suivante.
# sh <(curl -s https://install.openshift.com/ose)
La commande ci-dessus mettra la configuration en place pour OSV3. La prochaine étape serait de configurer OpenShift V3 sur la machine.
Si vous ne pouvez pas télécharger directement depuis Internet, il peut être téléchargé à partir de https://install.openshift.com/portable/oo-install-ose.tgz en tant que package tar à partir duquel le programme d'installation peut s'exécuter sur la machine maître locale.
Une fois la configuration prête, nous devons commencer par la configuration réelle d'OSV3 sur les machines. Cette configuration est très spécifique pour tester l'environnement pour la production réelle, nous avons LDAP et d'autres éléments en place.
Step 5 - Sur la machine maître, configurez le code suivant situé sous /etc/openshift/master/master-config.yaml
# vi /etc/openshift/master/master-config.yaml
identityProviders:
- name: my_htpasswd_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /root/users.htpasswd
routingConfig:
subdomain: testing.com
Ensuite, créez un utilisateur standard pour l'administration par défaut.
# htpasswd -c /root/users.htpasswd admin
Step 6- Comme OpenShift utilise le registre Docker pour configurer les images, nous devons configurer le registre Docker. Ceci est utilisé pour créer et stocker les images Docker après la construction.
Créez un répertoire sur la machine à nœuds OpenShift à l'aide de la commande suivante.
# mkdir /images
Ensuite, connectez-vous à l'ordinateur maître à l'aide des informations d'identification d'administrateur par défaut, qui sont créées lors de la configuration du registre.
# oc login
Username: system:admin
Basculez vers le projet créé par défaut.
# oc project default
Step 7 - Créez un registre Docker.
#echo '{"kind":"ServiceAccount","apiVersion":"v1","metadata":{"name":"registry"}}' | oc create -f -
Modifiez les privilèges de l'utilisateur.
#oc edit scc privileged
users:
- system:serviceaccount:openshift-infra:build-controller
- system:serviceaccount:default:registry
Créez et modifiez le registre d'images.
#oadm registry --service-account = registry --
config = /etc/openshift/master/admin.kubeconfig --
credentials = /etc/openshift/master/openshift-registry.kubeconfig --
images = 'registry.access.redhat.com/openshift3/ose-${component}:${version}' --
mount-host = /images
Step 8 - Créez un routage par défaut.
Par défaut, OpenShift utilise OpenVswitch comme réseau logiciel. Utilisez la commande suivante pour créer un routage par défaut. Ceci est utilisé pour l'équilibrage de charge et le routage proxy. Le routeur est similaire au registre Docker et fonctionne également dans un registre.
# echo '{"kind":"ServiceAccount","apiVersion":"v1","metadata":{"name":"router"}}' | oc create -f -
Ensuite, modifiez les privilèges de l'utilisateur.
#oc edit scc privileged
users:
- system:serviceaccount:openshift-infra:build-controller
- system:serviceaccount:default:registry
- system:serviceaccount:default:router
#oadm router router-1 --replicas = 1 --
credentials = '/etc/openshift/master/openshift-router.kubeconfig' --
images = 'registry.access.redhat.com/openshift3/ose-${component}:${version}'
Step 9 - Configurez le DNS.
Afin de gérer la demande d'URL, OpenShift a besoin d'un environnement DNS fonctionnel. Cette configuration DNS est requise pour créer un caractère générique, qui est requis pour créer un caractère générique DNS qui pointe vers un routeur.
# yum install bind-utils bind
# systemctl start named
# systemctl enable named
vi /etc/named.conf
options {listen-on port 53 { 10.123.55.111; };
forwarders {
10.38.55.13;
;
};
zone "lab.com" IN {
type master;
file "/var/named/dynamic/test.com.zone";
allow-update { none; };
};
Step 10- La dernière étape serait de configurer le serveur github sur la machine maître OpenShift V3, ce qui est facultatif. Cela peut être fait facilement en utilisant la séquence de commandes suivante.
#yum install curl openssh-server
#systemctl enable sshd
# systemctl start sshd
# firewall-cmd --permanent --add-service = http
# systemctl reload firewalld
#curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-
#yum install gitlab-ce
# gitlab-ctl reconfigure
Une fois la configuration ci-dessus terminée, vous pouvez vérifier en testant et en déployant des applications, dont nous en saurons plus dans les chapitres suivants.
Avant de commencer avec la configuration et le déploiement réels des applications, nous devons comprendre certains termes et concepts de base utilisés dans OpenShift V3.
Conteneurs et images
Images
Ce sont les éléments de base d'OpenShift, qui sont formés à partir d'images Docker. Dans chaque pod sur OpenShift, le cluster a ses propres images en cours d'exécution à l'intérieur. Lorsque nous configurons un pod, nous avons un champ qui sera regroupé à partir du registre. Ce fichier de configuration extrait l'image et la déploie sur le nœud du cluster.
apiVersion: v1
kind: pod
metadata:
name: Tesing_for_Image_pull -----------> Name of Pod
spec:
containers:
- name: neo4j-server ------------------------> Name of the image
image: <Name of the Docker image>----------> Image to be pulled
imagePullPolicy: Always ------------->Image pull policy
command: [“echo”, “SUCCESS”] -------------------> Massage after image pull
Afin d'en extraire et de créer une image, exécutez la commande suivante. OC est le client pour communiquer avec l'environnement OpenShift après la connexion.
$ oc create –f Tesing_for_Image_pull
Récipient
Cela est créé lorsque l'image Docker est déployée sur le cluster OpenShift. Lors de la définition de toute configuration, nous définissons la section conteneur dans le fichier de configuration. Un conteneur peut avoir plusieurs images en cours d'exécution à l'intérieur et tous les conteneurs exécutés sur le nœud de cluster sont gérés par OpenShift Kubernetes.
spec:
containers:
- name: py ------------------------> Name of the container
image: python----------> Image going to get deployed on container
command: [“python”, “SUCCESS”]
restartPocliy: Never --------> Restart policy of container
Voici les spécifications pour définir un conteneur contenant plusieurs images.
apiVersion: v1
kind: Pod
metadata:
name: Tomcat
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
-name: Database
Image: mongoDB
Ports:
- containerPort: 7501
imagePullPolicy: Always
Dans la configuration ci-dessus, nous avons défini un pod multi-conteneurs avec deux images de Tomcat et MongoDB à l'intérieur.
Pods et services
Pods
Le pod peut être défini comme une collection de conteneurs et de son stockage dans un nœud du cluster OpenShift (Kubernetes). En général, nous avons deux types de pod à partir d'un pod de conteneur unique à un pod multi-conteneurs.
Single Container Pod - Ceux-ci peuvent être facilement créés avec la commande OC ou par un fichier de configuration de base yml.
$ oc run <name of pod> --image = <name of the image from registry>
Créez-le avec un simple fichier yaml comme suit.
apiVersion: v1
kind: Pod
metadata:
name: apache
spec:
containers:
- name: apache
image: apache: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
Une fois le fichier ci-dessus créé, il générera un pod avec la commande suivante.
$ oc create –f apache.yml
Multi-Container Pod- Les pods multi-conteneurs sont ceux dans lesquels nous avons plus d'un conteneur en cours d'exécution à l'intérieur. Ils sont créés à l'aide de fichiers yaml comme suit.
apiVersion: v1
kind: Pod
metadata:
name: Tomcat
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
-name: Database
Image: mongoDB
Ports:
- containerPort: 7501
imagePullPolicy: Always
Après avoir créé ces fichiers, nous pouvons simplement utiliser la même méthode que ci-dessus pour créer un conteneur.
Service- Comme nous avons un ensemble de conteneurs fonctionnant à l'intérieur d'un pod, de la même manière nous avons un service qui peut être défini comme un ensemble logique de pods. C'est une couche abstraite au-dessus du pod, qui fournit une adresse IP et un nom DNS uniques à travers lesquels les pods sont accessibles. Le service aide à gérer la configuration de l'équilibrage de charge et à faire évoluer le pod très facilement. Dans OpenShift, un service est un objet REST dont la déification peut être publiée sur apiService sur OpenShift master pour créer une nouvelle instance.
apiVersion: v1
kind: Service
metadata:
name: Tutorial_point_service
spec:
ports:
- port: 8080
targetPort: 31999
Constructions et flux
Construit
Dans OpenShift, la construction est un processus de transformation d'images en conteneurs. C'est le traitement qui convertit le code source en image. Ce processus de construction fonctionne sur une stratégie prédéfinie de création de code source en image.
La construction traite plusieurs stratégies et sources.
Construire des stratégies
Source to Image- Il s'agit essentiellement d'un outil qui aide à créer des images reproductibles. Ces images sont toujours prêtes à être exécutées à l'aide de la commande d'exécution Docker.
Docker Build - Il s'agit du processus dans lequel les images sont construites à l'aide du fichier Docker en exécutant une simple commande de construction Docker.
Custom Build - Ce sont les builds qui sont utilisés pour créer des images Docker de base.
Créer des sources
Git- Cette source est utilisée lorsque le référentiel git est utilisé pour créer des images. Le Dockerfile est facultatif. Les configurations du code source ressemblent à ce qui suit.
source:
type: "Git"
git:
uri: "https://github.com/vipin/testing.git"
ref: "master"
contextDir: "app/dir"
dockerfile: "FROM openshift/ruby-22-centos7\nUSER example"
Dockerfile - Le Dockerfile est utilisé comme entrée dans le fichier de configuration.
source:
type: "Dockerfile"
dockerfile: "FROM ubuntu: latest
RUN yum install -y httpd"
Image Streams- Les flux d'images sont créés après l'extraction des images. L'avantage d'un flux d'images est qu'il recherche des mises à jour sur la nouvelle version d'une image. Ceci est utilisé pour comparer un nombre illimité d'images de conteneurs au format Docker identifiées par des balises.
Les flux d'images peuvent effectuer automatiquement une action lorsqu'une nouvelle image est créée. Toutes les constructions et tous les déploiements peuvent surveiller l'action de l'image et effectuer une action en conséquence. Voici comment nous définissons une construction d'un flux.
apiVersion: v1
kind: ImageStream
metadata:
annotations:
openshift.io/generated-by: OpenShiftNewApp
generation: 1
labels:
app: ruby-sample-build
selflink: /oapi/v1/namespaces/test/imagestreams/origin-ruby-sample
uid: ee2b9405-c68c-11e5-8a99-525400f25e34
spec: {}
status:
dockerImageRepository: 172.30.56.218:5000/test/origin-ruby-sample
tags:
- items:
- created: 2016-01-29T13:40:11Z
dockerImageReference: 172.30.56.218:5000/test/origin-apache-sample
generation: 1
image: vklnld908.int.clsa.com/vipin/test
tag: latest
Itinéraires et modèles
Itinéraires
Dans OpenShift, le routage est une méthode permettant d'exposer le service au monde externe en créant et en configurant un nom d'hôte accessible de l'extérieur. Les itinéraires et les points de terminaison sont utilisés pour exposer le service au monde externe, à partir duquel l'utilisateur peut utiliser la connectivité de nom (DNS) pour accéder à l'application définie.
Dans OpenShift, les routes sont créées à l'aide de routeurs qui sont déployés par l'administrateur OpenShift sur le cluster. Les routeurs sont utilisés pour lier les ports HTTP (80) et https (443) à des applications externes.
Voici les différents types de protocoles pris en charge par les routes -
- HTTP
- HTTPS
- TSL et Web socket
Lors de la configuration du service, des sélecteurs sont utilisés pour configurer le service et trouver le point de terminaison à l'aide de ce service. Voici un exemple de la façon dont nous créons un service et le routage pour ce service en utilisant un protocole approprié.
{
"kind": "Service",
"apiVersion": "v1",
"metadata": {"name": "Openshift-Rservice"},
"spec": {
"selector": {"name":"RService-openshift"},
"ports": [
{
"protocol": "TCP",
"port": 8888,
"targetPort": 8080
}
]
}
}
Ensuite, exécutez la commande suivante et le service est créé.
$ oc create -f ~/training/content/Openshift-Rservice.json
Voici à quoi ressemble le service après sa création.
$ oc describe service Openshift-Rservice
Name: Openshift-Rservice
Labels: <none>
Selector: name = RService-openshift
Type: ClusterIP
IP: 172.30.42.80
Port: <unnamed> 8080/TCP
Endpoints: <none>
Session Affinity: None
No events.
Créez un routage pour le service à l'aide du code suivant.
{
"kind": "Route",
"apiVersion": "v1",
"metadata": {"name": "Openshift-service-route"},
"spec": {
"host": "hello-openshift.cloudapps.example.com",
"to": {
"kind": "Service",
"name": "OpenShift-route-service"
},
"tls": {"termination": "edge"}
}
}
Lorsque la commande OC est utilisée pour créer un itinéraire, une nouvelle instance de ressource d'itinéraire est créée.
Modèles
Les modèles sont définis comme un objet standard dans OpenShift qui peut être utilisé plusieurs fois. Il est paramétré avec une liste d'espaces réservés qui sont utilisés pour créer plusieurs objets. Cela peut être utilisé pour créer n'importe quoi, du pod au réseau, pour lequel les utilisateurs ont l'autorisation de créer. Une liste d'objets peut être créée si le modèle de l'interface CLI ou GUI de l'image est téléchargé dans le répertoire du projet.
apiVersion: v1
kind: Template
metadata:
name: <Name of template>
annotations:
description: <Description of Tag>
iconClass: "icon-redis"
tags: <Tages of image>
objects:
- apiVersion: v1
kind: Pod
metadata:
name: <Object Specification>
spec:
containers:
image: <Image Name>
name: master
ports:
- containerPort: <Container port number>
protocol: <Protocol>
labels:
redis: <Communication Type>
Authentification et autorisation
Authentification
Dans OpenShift, lors de la configuration de la structure maître et client, le maître propose une fonctionnalité intégrée du serveur OAuth. Le serveur OAuth est utilisé pour générer des jetons, qui sont utilisés pour l'authentification auprès de l'API. Depuis, OAuth est une configuration par défaut pour le maître, nous avons le fournisseur d'identité Autoriser tout utilisé par défaut. Différents fournisseurs d'identité sont présents et peuvent être configurés à/etc/openshift/master/master-config.yaml.
Il existe différents types de fournisseurs d'identité présents dans OAuth.
- Autorise tout
- Nier tous
- HTPasswd
- LDAP
- Authentification de base
Autorise tout
apiVersion: v1
kind: Pod
metadata:
name: redis-master
spec:
containers:
image: dockerfile/redis
name: master
ports:
- containerPort: 6379
protocol: TCP
oauthConfig:
identityProviders:
- name: my_allow_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
Nier tous
apiVersion: v1
kind: Pod
metadata:
name: redis-master
spec:
containers:
image: dockerfile/redis
name: master
ports:
- containerPort: 6379
protocol: TCP
oauthConfig:
identityProviders:
- name: my_allow_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
HTPasswd
Pour utiliser HTPasswd, nous devons d'abord configurer les outils Httpd sur la machine maître, puis le configurer de la même manière que nous l'avons fait pour les autres.
identityProviders:
- name: my_htpasswd_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
Autorisation
L'autorisation est une fonctionnalité d'OpenShift master, utilisée pour valider la validation d'un utilisateur. Cela signifie qu'il vérifie l'utilisateur qui tente d'effectuer une action pour voir si l'utilisateur est autorisé à effectuer cette action sur un projet donné. Cela aide l'administrateur à contrôler l'accès aux projets.
Les politiques d'autorisation sont contrôlées à l'aide de -
- Rules
- Roles
- Bindings
L'évaluation de l'autorisation se fait en utilisant -
- Identity
- Action
- Bindings
Utilisation des politiques -
- Politique de cluster
- Politique locale
OpenShift se compose de deux types de médianes pour créer et déployer des applications, soit par GUI ou par CLI. Dans ce chapitre, nous utiliserions CLI pour créer une nouvelle application. Nous utiliserions le client OC pour communiquer avec l'environnement OpenShift.
Créer une nouvelle application
Dans OpenShift, il existe trois méthodes pour créer une nouvelle application.
- À partir d'un code source
- À partir d'une image
- À partir d'un modèle
À partir d'un code source
Lorsque nous essayons de créer une application à partir du code source, OpenShift recherche un fichier Docker qui devrait être présent dans le référentiel, qui définit le flux de construction de l'application. Nous utiliserons oc new-app pour créer une application.
La première chose à garder à l'esprit lors de l'utilisation d'un référentiel est qu'il doit pointer vers une origine dans le référentiel à partir de laquelle OpenShift va extraire le code et le construire.
Si le dépôt est cloné sur la machine Docker sur laquelle le client OC est installé et que l'utilisateur se trouve dans le même répertoire, il peut être créé à l'aide de la commande suivante.
$ oc new-app . <Hear. Denotes current working directory>
Voici un exemple de tentative de création à partir d'un dépôt distant pour une branche spécifique.
$ oc new-app https://github.com/openshift/Testing-deployment.git#test1
Ici, test1 est la branche à partir de laquelle nous essayons de créer une nouvelle application dans OpenShift.
Lors de la spécification d'un fichier Docker dans le référentiel, nous devons définir la stratégie de construction comme indiqué ci-dessous.
$ oc new-app OpenShift/OpenShift-test~https://github.com/openshift/Testingdeployment.git
À partir d'une image
Lors de la création d'une application à l'aide d'images, les images sont présentes sur le serveur Docker local, dans le référentiel Docker hébergé en interne ou sur le hub Docker. La seule chose dont un utilisateur doit s'assurer est qu'il a accès pour extraire des images du hub sans aucun problème.
OpenShift a la capacité de déterminer la source utilisée, qu'il s'agisse d'une image Docker ou d'un flux source. Cependant, si l'utilisateur le souhaite, il peut définir explicitement s'il s'agit d'un flux d'images ou d'une image Docker.
$ oc new-app - - docker-image tomcat
Utilisation d'un flux d'images -
$ oc new-app tomcat:v1
À partir d'un modèle
Les modèles peuvent être utilisés pour la création d'une nouvelle application. Il peut s'agir d'un modèle déjà existant ou de la création d'un nouveau modèle.
Le fichier yaml suivant est essentiellement un modèle qui peut être utilisé pour le déploiement.
apiVersion: v1
kind: Template
metadata:
name: <Name of template>
annotations:
description: <Description of Tag>
iconClass: "icon-redis"
tags: <Tages of image>
objects:
- apiVersion: v1
kind: Pod
metadata:
name: <Object Specification>
spec:
containers:
image: <Image Name>
name: master
ports:
- containerPort: <Container port number>
protocol: <Protocol>
labels:
redis: <Communication Type>
Développer et déployer une application Web
Développement d'une nouvelle application dans OpenShift
Afin de créer une nouvelle application dans OpenShift, nous devons écrire un nouveau code d'application et le construire à l'aide des commandes de construction OpenShift OC. Comme discuté, nous avons plusieurs façons de créer une nouvelle image. Ici, nous utiliserons un modèle pour créer l'application. Ce modèle créera une nouvelle application lorsqu'il sera exécuté avec la commande oc new-app.
Le modèle suivant va créer - Deux applications frontales et une base de données. Parallèlement à cela, il créera deux nouveaux services et ces applications seront déployées sur le cluster OpenShift. Lors de la création et du déploiement d'une application, nous devons initialement créer un espace de noms dans OpenShift et déployer l'application sous cet espace de noms.
Create a new namespace
$ oc new-project openshift-test --display-name = "OpenShift 3 Sample" --
description = "This is an example project to demonstrate OpenShift v3"
Modèle
{
"kind": "Template",
"apiVersion": "v1",
"metadata": {
"name": "openshift-helloworld-sample",
"creationTimestamp": null,
"annotations": {
"description": "This example shows how to create a simple openshift
application in openshift origin v3",
"iconClass": "icon-openshift",
"tags": "instant-app,openshift,mysql"
}
}
},
Définitions d'objets
Secret definition in a template
"objects": [
{
"kind": "Secret",
"apiVersion": "v1",
"metadata": {"name": "dbsecret"},
"stringData" : {
"mysql-user" : "${MYSQL_USER}",
"mysql-password" : "${MYSQL_PASSWORD}"
}
},
Service definition in a template
{
"kind": "Service",
"apiVersion": "v1",
"metadata": {
"name": "frontend",
"creationTimestamp": null
},
"spec": {
"ports": [
{
"name": "web",
"protocol": "TCP",
"port": 5432,
"targetPort": 8080,
"nodePort": 0
}
],
"selector": {"name": "frontend"},
"type": "ClusterIP",
"sessionAffinity": "None"
},
"status": {
"loadBalancer": {}
}
},
Route definition in a template
{
"kind": "Route",
"apiVersion": "v1",
"metadata": {
"name": "route-edge",
"creationTimestamp": null,
"annotations": {
"template.openshift.io/expose-uri": "http://{.spec.host}{.spec.path}"
}
},
"spec": {
"host": "www.example.com",
"to": {
"kind": "Service",
"name": "frontend"
},
"tls": {
"termination": "edge"
}
},
"status": {}
},
{
"kind": "ImageStream",
"apiVersion": "v1",
"metadata": {
"name": "origin-openshift-sample",
"creationTimestamp": null
},
"spec": {},
"status": {
"dockerImageRepository": ""
}
},
{
"kind": "ImageStream",
"apiVersion": "v1",
"metadata": {
"name": "openshift-22-ubuntu7",
"creationTimestamp": null
},
"spec": {
"dockerImageRepository": "ubuntu/openshift-22-ubuntu7"
},
"status": {
"dockerImageRepository": ""
}
},
Build config definition in a template
{
"kind": "BuildConfig",
"apiVersion": "v1",
"metadata": {
"name": "openshift-sample-build",
"creationTimestamp": null,
"labels": {name": "openshift-sample-build"}
},
"spec": {
"triggers": [
{ "type": "GitHub",
"github": {
"secret": "secret101" }
},
{
"type": "Generic",
"generic": {
"secret": "secret101",
"allowEnv": true }
},
{
"type": "ImageChange",
"imageChange": {}
},
{ "type": "ConfigChange”}
],
"source": {
"type": "Git",
"git": {
"uri": https://github.com/openshift/openshift-hello-world.git }
},
"strategy": {
"type": "Docker",
"dockerStrategy": {
"from": {
"kind": "ImageStreamTag",
"name": "openshift-22-ubuntu7:latest”
},
"env": [
{
"name": "EXAMPLE",
"value": "sample-app"
}
]
}
},
"output": {
"to": {
"kind": "ImageStreamTag",
"name": "origin-openshift-sample:latest"
}
},
"postCommit": {
"args": ["bundle", "exec", "rake", "test"]
},
"status": {
"lastVersion": 0
}
}
},
Deployment config in a template
"status": {
"lastVersion": 0
}
{
"kind": "DeploymentConfig",
"apiVersion": "v1",
"metadata": {
"name": "frontend",
"creationTimestamp": null
}
},
"spec": {
"strategy": {
"type": "Rolling",
"rollingParams": {
"updatePeriodSeconds": 1,
"intervalSeconds": 1,
"timeoutSeconds": 120,
"pre": {
"failurePolicy": "Abort",
"execNewPod": {
"command": [
"/bin/true"
],
"env": [
{
"name": "CUSTOM_VAR1",
"value": "custom_value1"
}
]
}
}
}
}
}
"triggers": [
{
"type": "ImageChange",
"imageChangeParams": {
"automatic": true,
"containerNames": [
"openshift-helloworld"
],
"from": {
"kind": "ImageStreamTag",
"name": "origin-openshift-sample:latest"
}
}
},
{
"type": "ConfigChange"
}
],
"replicas": 2,
"selector": {
"name": "frontend"
},
"template": {
"metadata": {
"creationTimestamp": null,
"labels": {
"name": "frontend"
}
},
"spec": {
"containers": [
{
"name": "openshift-helloworld",
"image": "origin-openshift-sample",
"ports": [
{
"containerPort": 8080,
"protocol": "TCP”
}
],
"env": [
{
"name": "MYSQL_USER",
"valueFrom": {
"secretKeyRef" : {
"name" : "dbsecret",
"key" : "mysql-user"
}
}
},
{
"name": "MYSQL_PASSWORD",
"valueFrom": {
"secretKeyRef" : {
"name" : "dbsecret",
"key" : "mysql-password"
}
}
},
{
"name": "MYSQL_DATABASE",
"value": "${MYSQL_DATABASE}"
}
],
"resources": {},
"terminationMessagePath": "/dev/termination-log",
"imagePullPolicy": "IfNotPresent",
"securityContext": {
"capabilities": {},
"privileged": false
}
}
],
"restartPolicy": "Always",
"dnsPolicy": "ClusterFirst"
},
"status": {}
},
Service definition in a template
{
"kind": "Service",
"apiVersion": "v1",
"metadata": {
"name": "database",
"creationTimestamp": null
},
"spec": {
"ports": [
{
"name": "db",
"protocol": "TCP",
"port": 5434,
"targetPort": 3306,
"nodePort": 0
}
],
"selector": {
"name": "database
},
"type": "ClusterIP",
"sessionAffinity": "None" },
"status": {
"loadBalancer": {}
}
},
Deployment config definition in a template
{
"kind": "DeploymentConfig",
"apiVersion": "v1",
"metadata": {
"name": "database",
"creationTimestamp": null
},
"spec": {
"strategy": {
"type": "Recreate",
"resources": {}
},
"triggers": [
{
"type": "ConfigChange"
}
],
"replicas": 1,
"selector": {"name": "database"},
"template": {
"metadata": {
"creationTimestamp": null,
"labels": {"name": "database"}
},
"template": {
"metadata": {
"creationTimestamp": null,
"labels": {
"name": "database"
}
},
"spec": {
"containers": [
{
"name": "openshift-helloworld-database",
"image": "ubuntu/mysql-57-ubuntu7:latest",
"ports": [
{
"containerPort": 3306,
"protocol": "TCP"
}
],
"env": [
{
"name": "MYSQL_USER",
"valueFrom": {
"secretKeyRef" : {
"name" : "dbsecret",
"key" : "mysql-user"
}
}
},
{
"name": "MYSQL_PASSWORD",
"valueFrom": {
"secretKeyRef" : {
"name" : "dbsecret",
"key" : "mysql-password"
}
}
},
{
"name": "MYSQL_DATABASE",
"value": "${MYSQL_DATABASE}"
}
],
"resources": {},
"volumeMounts": [
{
"name": "openshift-helloworld-data",
"mountPath": "/var/lib/mysql/data"
}
],
"terminationMessagePath": "/dev/termination-log",
"imagePullPolicy": "Always",
"securityContext": {
"capabilities": {},
"privileged": false
}
}
],
"volumes": [
{
"name": "openshift-helloworld-data",
"emptyDir": {"medium": ""}
}
],
"restartPolicy": "Always",
"dnsPolicy": "ClusterFirst”
}
}
},
"status": {}
},
"parameters": [
{
"name": "MYSQL_USER",
"description": "database username",
"generate": "expression",
"from": "user[A-Z0-9]{3}",
"required": true
},
{
"name": "MYSQL_PASSWORD",
"description": "database password",
"generate": "expression",
"from": "[a-zA-Z0-9]{8}",
"required": true
},
{
"name": "MYSQL_DATABASE",
"description": "database name",
"value": "root",
"required": true
}
],
"labels": {
"template": "application-template-dockerbuild"
}
}
Le fichier modèle ci-dessus doit être compilé immédiatement. Nous devons d'abord copier tout le contenu dans un seul fichier et le nommer en tant que fichier yaml une fois terminé.
Nous devons exécuter la commande suivante pour créer l'application.
$ oc new-app application-template-stibuild.json
--> Deploying template openshift-helloworld-sample for "application-template-stibuild.json"
openshift-helloworld-sample
---------
This example shows how to create a simple ruby application in openshift origin v3
* With parameters:
* MYSQL_USER = userPJJ # generated
* MYSQL_PASSWORD = cJHNK3se # generated
* MYSQL_DATABASE = root
--> Creating resources with label app = ruby-helloworld-sample ...
service "frontend" created
route "route-edge" created
imagestream "origin-ruby-sample" created
imagestream "ruby-22-centos7" created
buildconfig "ruby-sample-build" created
deploymentconfig "frontend" created
service "database" created
deploymentconfig "database" created
--> Success
Build scheduled, use 'oc logs -f bc/ruby-sample-build' to track its progress.
Run 'oc status' to view your app.
Si nous souhaitons surveiller la construction, cela peut être fait en utilisant -
$ oc get builds
NAME TYPE FROM STATUS STARTED DURATION
openshift-sample-build-1 Source Git@bd94cbb Running 7 seconds ago 7s
Nous pouvons vérifier les applications déployées sur OpenShift en utilisant -
$ oc get pods
NAME READY STATUS RESTARTS AGE
database-1-le4wx 1/1 Running 0 1m
frontend-1-e572n 1/1 Running 0 27s
frontend-1-votq4 1/1 Running 0 31s
opeshift-sample-build-1-build 0/1 Completed 0 1m
Nous pouvons vérifier si les services d'application sont créés selon la définition du service en utilisant
$ oc get services
NAME CLUSTER-IP EXTERNAL-IP PORT(S) SELECTOR AGE
database 172.30.80.39 <none> 5434/TCP name=database 1m
frontend 172.30.17.4 <none> 5432/TCP name=frontend 1m
Dans OpenShift, nous avons plusieurs méthodes pour automatiser le pipeline de construction. Pour ce faire, nous devons créer une ressource BuildConfig pour décrire le flux de génération. Le flux dans BuildConfig peut être comparé à la définition de travail dans la définition de travail Jenkins. Lors de la création du flux de build, nous devons choisir la stratégie de build.
Fichier BuildConfig
Dans OpenShift, BuildConfig est un objet de repos utilisé pour se connecter à l'API, puis créer une nouvelle instance.
kind: "BuildConfig"
apiVersion: "v1"
metadata:
name: "<Name of build config file>"
spec:
runPolicy: "Serial"
triggers:
-
type: "GitHub"
github:
secret: "<Secrete file name>"
- type: "Generic"
generic:
secret: "secret101"
-
type: "ImageChange"
source:
type: "<Source of code>"
git:
uri: "https://github.com/openshift/openshift-hello-world"
dockerfile: "FROM openshift/openshift-22-centos7\nUSER example"
strategy:
type: "Source"
sourceStrategy:
from:
kind: "ImageStreamTag"
name: "openshift-20-centos7:latest"
output:
to:
kind: "ImageStreamTag"
name: "origin-openshift-sample:latest"
postCommit:
script: "bundle exec rake test"
Dans OpenShift, il existe quatre types de stratégies de construction.
- Stratégie source-image
- Stratégie Docker
- Stratégie personnalisée
- Stratégie de pipeline
Stratégie source-image
Permet de créer des images de conteneurs à partir du code source. Dans ce flux, le code réel est d'abord téléchargé dans le conteneur, puis compilé à l'intérieur. Le code compilé est déployé dans le même conteneur et l'image est créée à partir de ce code.
strategy:
type: "Source"
sourceStrategy:
from:
kind: "ImageStreamTag"
name: "builder-image:latest"
forcePull: true
Il existe plusieurs politiques stratégiques.
- Forcepull
- Constructions incrémentielles
- Constructions externes
Stratégie Docker
Dans ce flux, OpenShift utilise Dockerfile pour créer l'image, puis télécharger les images créées dans le registre Docker.
strategy:
type: Docker
dockerStrategy:
from:
kind: "ImageStreamTag"
name: "ubuntu:latest"
L'option de fichier Docker peut être utilisée à plusieurs emplacements à partir du chemin du fichier, sans cache et de l'extraction forcée.
- De l'image
- Chemin Dockerfile
- Pas de cache
- Force de traction
Stratégie personnalisée
C'est l'un des différents types de stratégie de construction, dans lequel il n'y a pas de contrainte telle que le résultat de la construction va être une image. Cela peut être comparé à un travail de style libre de Jenkins. Avec cela, nous pouvons créer Jar, rpm et d'autres packages.
strategy:
type: "Custom"
customStrategy:
from:
kind: "DockerImage"
name: "openshift/sti-image-builder"
Il se compose de plusieurs stratégies de construction.
- Expose la prise Docker
- Secrets
- Force de traction
Stratégie de pipeline
La stratégie de pipeline est utilisée pour créer des pipelines de construction personnalisés. Ceci est essentiellement utilisé pour implémenter le flux de travail dans le pipeline. Ce flux de génération utilise un flux de pipeline de génération personnalisé à l'aide du langage Groovy DSL. OpenShift créera un travail de pipeline dans Jenkins et l'exécutera. Ce flux de pipeline peut également être utilisé dans Jenkins. Dans cette stratégie, nous utilisons Jenkinsfile et ajoutons cela dans la définition de buildconfig.
Strategy:
type: "JenkinsPipeline"
jenkinsPipelineStrategy:
jenkinsfile: "node('agent') {\nstage 'build'\nopenshiftBuild(buildConfig: 'OpenShift-build', showBuildLogs: 'true')\nstage 'deploy'\nopenshiftDeploy(deploymentConfig: 'backend')\n}"
Using build pipeline
kind: "BuildConfig"
apiVersion: "v1"
metadata:
name: "test-pipeline"
spec:
source:
type: "Git"
git:
uri: "https://github.com/openshift/openshift-hello-world"
strategy:
type: "JenkinsPipeline"
jenkinsPipelineStrategy:
jenkinsfilePath: <file path repository>
OpenShift CLI est utilisé pour gérer les applications OpenShift à partir de la ligne de commande. OpenShift CLI a la capacité de gérer le cycle de vie des applications de bout en bout. En général, nous utiliserions OC qui est un client OpenShift pour communiquer avec OpenShift.
Configuration de l'interface de ligne de commande OpenShift
Afin de configurer le client OC sur un système d'exploitation différent, nous devons passer par différentes séquences d'étapes.
OC Client pour Windows
Step 1 - Téléchargez l'oc cli à partir du lien suivant https://github.com/openshift/origin/releases/tag/v3.6.0-alpha.2
Step 2 - Décompressez le package sur un chemin cible sur la machine.
Step 3 - Modifiez la variable d'environnement de chemin du système.
C:\Users\xxxxxxxx\xxxxxxxx>echo %PATH%
C:\oraclexe\app\oracle\product\10.2.0\server\bin;C:\Program Files
(x86)\Intel\iCLS Client\;C:\Program Files\Intel\iCLS Client\;C:\Program Files
(x86)\AMD APP\bin\x86_64;C:\Program Files (x86)\AMD APP\bin\x86;
C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\
v1.0\;C:\Program Files (x86)\Windows Live\Shared;C:\Program Files
(x86)\ATI Technologies\ATI.ACE\C
ore-Static;C:\Program Files\Intel\Intel(R) Management Engine
Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine
Components\IPT;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;
Step 4 - Validez la configuration OC sous Windows.
C:\openshift-origin-client-tools-v3.6.0-alpha.2-3c221d5-windows>oc version
oc v3.6.0-alpha.2+3c221d5
kubernetes v1.6.1+5115d708d7
features: Basic-Auth
Client OC pour Mac OS X
Nous pouvons télécharger les fichiers binaires de configuration de Mac OS pour le même emplacement que pour Windows et les décompresser ultérieurement à un emplacement et définir un chemin d'exécutable sous la variable d'environnement PATH.
Alternatively
Nous pouvons utiliser Home brew et le configurer à l'aide de la commande suivante.
$ brew install openshift-cli
Client OC pour Linux
Sous la même page, nous avons le fichier tar pour l'installation Linux qui peut être utilisé pour l'installation. Plus tard, une variable de chemin peut être définie pointant vers cet emplacement exécutable particulier.
https://github.com/openshift/origin/releases/tag/v3.6.0-alpha.2
Décompressez le fichier tar à l'aide de la commande suivante.
$ tar –xf < path to the OC setup tar file >
Exécutez la commande suivante pour vérifier l'authentification.
C:\openshift-origin-client-tools-v3.6.0-alpha.2-3c221d5-windows>oc login
Server [https://localhost:8443]:
Fichiers de configuration CLI
Le fichier de configuration OC CLI est utilisé pour gérer plusieurs connexions au serveur OpenShift et le mécanisme d'authentification. Ce fichier de configuration est également utilisé pour stocker et gérer plusieurs profils et pour basculer entre eux. Un fichier de configuration normal ressemble à ce qui suit.
$ oc config view
apiVersion: v1
clusters:
- cluster:
server: https://vklnld908.int.example.com
name: openshift
contexts:
- context:
cluster: openshift
namespace: testproject
user: alice
name: alice
current-context: alice
kind: Config
preferences: {}
users:
- name: vipin
user:
token: ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232
Configuration du client CLI
Pour définir les informations d'identification de l'utilisateur
$ oc config set-credentials <user_nickname>
[--client-certificate = <path/to/certfile>] [--client-key=<path/to/keyfile>]
[--token = <bearer_token>] [--username = <basic_user>] [--password = <basic_password>]
Pour définir le cluster
$ oc config set-cluster <cluster_nickname> [--server = <master_ip_or_fqdn>]
[--certificate-authority = <path/to/certificate/authority>]
[--api-version = <apiversion>] [--insecure-skip-tls-verify = true]
Exemple
$ oc config set-credentials vipin --token = ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232
Pour définir le contexte
$ oc config set-context <context_nickname> [--cluster = <cluster_nickname>]
[--user = <user_nickname>] [--namespace = <namespace>]
Profils CLI
Dans un seul fichier de configuration CLI, nous pouvons avoir plusieurs profils dans lesquels chaque profil a une configuration de serveur OpenShift différente, qui peut ensuite être utilisée pour basculer entre différents profils CLI.
apiVersion: v1
clusters: --→ 1
- cluster:
insecure-skip-tls-verify: true
server: https://vklnld908.int.example.com:8443
name: vklnld908.int.example.com:8443
- cluster:
insecure-skip-tls-verify: true
server: https://vklnld1446.int.example.com:8443
name: vklnld1446.int.example.com:8443
contexts: ---→ 2
- context:
cluster: vklnld908.int.example.com:8443
namespace: openshift-project
user: vipin/vklnld908.int.example.com:8443
name: openshift-project/vklnld908.int.example.com:8443/vipin
- context:
cluster: vklnld908.int.example.com:8443
namespace: testing-project
user: alim/vklnld908.int.example.com:8443
name: testproject-project/openshift1/alim
current-context: testing-project/vklnld908.int.example.com:8443/vipin - 3
kind: Config
preferences: {}
users:
- name: vipin/vklnld908.int.example.com:8443
user: ---→ 4
token: ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232
Dans la configuration ci-dessus, nous pouvons voir qu'elle est divisée en quatre sections principales à partir du cluster qui définit deux instances de machines maîtres OpenShift. La deuxième section de contexte définit deux contextes nommés vipin et alim. Le contexte actuel définit le contexte actuellement utilisé. Il peut être changé pour un autre contexte ou profil, si nous changeons la définition ici. Enfin, la définition de l'utilisateur et son jeton d'authentification sont définis qui dans notre cas est vipin.
Si nous voulons vérifier le profil en cours d'utilisation, cela peut être fait en utilisant -
$ oc status oc status In project testing Project (testing-project) $ oc project
Using project "testing-project" from context named "testing-
project/vklnld908.int.example.com:8443/vipin" on server "https://vklnld908.int.example.com:8443".
Si nous voulons passer à une autre CLI, cela peut être fait à partir de la ligne de commande en utilisant la commande suivante.
$ oc project openshift-project
Now using project "Openshift-project" on server "
https://vklnld908.int.example.com:8443".
En utilisant la commande ci-dessus, nous pouvons basculer entre les profils. À tout moment, si nous souhaitons afficher la configuration, nous pouvons utiliser la commande $ oc config view.
OpenShift CLI est capable d'effectuer toutes les configurations de base et avancées, la gestion, l'ajout et le déploiement d'applications.
Nous pouvons effectuer différents types d'opérations à l'aide des commandes OC. Ce client vous aide à développer, créer, déployer et exécuter vos applications sur n'importe quelle plateforme compatible OpenShift ou Kubernetes. Il inclut également les commandes d'administration pour gérer un cluster sous la sous-commande 'adm'.
Commandes de base
Le tableau suivant répertorie les commandes OC de base.
Sr.No. | Commandes et description |
---|---|
1 | Types Une introduction aux concepts et au type |
2 | Login Connectez-vous à un serveur |
3 | new-project Demander un nouveau projet |
4 | new-app Créer une nouvelle application |
5 | Status Afficher un aperçu du projet en cours |
6 | Project Passer à un autre projet |
sept | Projects Afficher les projets existants |
8 | Explain Documentation des ressources |
9 | Cluster Démarrer et arrêter le cluster OpenShift |
S'identifier
Connectez-vous à votre serveur et enregistrez la connexion pour une utilisation ultérieure. Les nouveaux utilisateurs du client doivent exécuter cette commande pour se connecter à un serveur, établir une session authentifiée et enregistrer une connexion dans le fichier de configuration. La configuration par défaut sera enregistrée dans votre répertoire personnel sous ".kube / config".
Les informations requises pour se connecter - comme le nom d'utilisateur et le mot de passe, un jeton de session ou les détails du serveur peuvent être fournies via des indicateurs. S'il n'est pas fourni, la commande demandera une entrée utilisateur si nécessaire.
Usage
oc login [URL] [options]
Example
# Log in interactively
oc login
# Log in to the given server with the given certificate authority file
oc login localhost:8443 --certificate-authority = /path/to/cert.crt
# Log in to the given server with the given credentials (will not prompt interactively)
oc login localhost:8443 --username = myuser --password=mypass
Options -
-p, --password = " - Mot de passe, s'affiche s'il n'est pas fourni
-u, --username = " - Nom d'utilisateur, s'affiche s'il n'est pas fourni
--certificate-authority = "- Chemin vers un cert. fichier pour l'autorité de certification
--insecure-skip-tls-verify = false- Si vrai, le certificat du serveur ne sera pas vérifié pour la validité. Cela rendra vos connexions HTTPS non sécurisées
--token = " - Jeton porteur pour l'authentification auprès du serveur API
Pour obtenir les détails complets de toute commande, utilisez le oc <Command Name> --help commander.
Commandes de construction et de déploiement
Le tableau suivant répertorie les commandes de génération et de déploiement.
Sr.No. | Commandes et description |
---|---|
1 | Rollout Gérer un déploiement Kubernetes ou OpenShift |
2 | Deploy Afficher, démarrer, annuler ou réessayer un déploiement |
3 | Rollback Rétablir une partie d'une application à son état précédent |
4 | new-build Créer une nouvelle configuration de construction |
5 | start-build Commencer une nouvelle construction |
6 | cancel-build Annuler les versions en cours, en attente ou nouvelles |
sept | import-image Importe des images à partir d'un registre Docker |
8 | Tag Marquer les images existantes dans des flux d'images |
Commandes de gestion des applications
Le tableau suivant répertorie les commandes de gestion des applications.
Sr.No. | Commandes et description |
---|---|
1 | Get Afficher une ou plusieurs ressources |
2 | Describe Afficher les détails d'une ressource spécifique ou d'un groupe de ressources |
3 | Edit Modifier une ressource sur le serveur |
4 | Set Commandes qui aident à définir des fonctionnalités spécifiques sur les objets |
5 | Label Mettre à jour les étiquettes sur une ressource |
6 | Annotate Mettre à jour les annotations sur une ressource |
sept | Expose Exposez une application répliquée en tant que service ou route |
8 | Delete Supprimer une ou plusieurs ressources |
9 | Scale Modifier le nombre de pods dans un déploiement |
dix | Autoscale Mise à l'échelle automatique d'une configuration de déploiement, d'un déploiement, d'une réplication, d'un contrôleur ou d'un jeu de réplicas |
11 | Secrets Gérer les secrets |
12 | Serviceaccounts Gérez les comptes de service dans votre projet |
Commandes de dépannage et de débogage
Le tableau suivant répertorie les commandes de dépannage et de débogage.
Sr.No. | Commandes et description |
---|---|
1 | logs Imprimer les journaux d'une ressource |
2 | Rsh Démarrer une session shell dans un pod |
3 | Rsync Copier des fichiers entre le système de fichiers local et un pod |
4 | port-forward Transférer un ou plusieurs ports locaux vers un pod |
5 | Debug Lancer une nouvelle instance d'un pod pour le débogage |
6 | Exec Exécuter une commande dans un conteneur |
sept | Procy Exécutez un proxy sur le serveur d'API Kubernetes |
9 | Attach Attacher à un conteneur en cours d'exécution |
dix | Run Exécuter une image particulière sur le cluster |
11 | Cp Copier des fichiers et des répertoires vers et depuis des conteneurs |
Commandes avancées
Le tableau suivant répertorie les commandes avancées.
Sr.No. | Commandes et description |
---|---|
1 | adm Outils de gestion d'un cluster |
2 | create Créer une ressource par nom de fichier ou stdin |
3 | replace Remplacer une ressource par nom de fichier ou stdin |
4 | apply Appliquer une configuration à une ressource par nom de fichier ou stdin |
5 | patch Mettre à jour le (s) champ (s) d'une ressource à l'aide du correctif de fusion stratégique |
6 | process Traiter un modèle en liste de ressources |
sept | export Exportez les ressources afin qu'elles puissent être utilisées ailleurs |
8 | extract Extraire des secrets ou des mappages de configuration sur le disque |
9 | idle Ressources évolutives inactives |
dix | observe Observer les modifications des ressources et y réagir (expérimental) |
11 | policy Gérer la politique d'autorisation |
12 | auth Inspecter l'autorisation |
13 | convert Convertir les fichiers de configuration entre différentes versions d'API |
14 | import Commandes qui importent des applications |
Commandes de réglage
Le tableau suivant répertorie les commandes de réglage.
Sr.No. | Commandes et description |
---|---|
1 | Logout Mettre fin à la session serveur en cours |
2 | Config Changer les fichiers de configuration pour le client |
3 | Whoami Renvoyer des informations sur la session en cours |
4 | Completion Sortie du code d'achèvement du shell pour le shell spécifié (bash ou zsh) |
OpenShift utilise deux méthodes d'installation pour configurer le cluster OpenShift.
- Méthode d'installation rapide
- Méthode de configuration avancée
Configuration du cluster
Méthode d'installation rapide
Cette méthode est utilisée pour exécuter une configuration d'installation de cluster rapide et non atteinte. Pour utiliser cette méthode, nous devons d'abord installer le programme d'installation. Cela peut être fait en exécutant la commande suivante.
Interactive method
$ atomic-openshift-installer install
Ceci est utile lorsque l'on souhaite exécuter une configuration interactive.
Unattended installation method
Cette méthode est utilisée lorsque l'on souhaite mettre en place une méthode d'installation sans assistance, dans laquelle l'utilisateur peut définir un fichier de configuration yaml et le placer sous ~/.config/openshift/avec le nom installer.cfg.yml. Ensuite, la commande suivante peut être exécutée pour installer le–u tag.
$ atomic-openshift-installer –u install
Par défaut, il utilise le fichier de configuration situé sous ~/.config/openshift/. Ansible, d'autre part, est utilisé comme sauvegarde de l'installation.
version: v2
variant: openshift-enterprise
variant_version: 3.1
ansible_log_path: /tmp/ansible.log
deployment:
ansible_ssh_user: root
hosts:
- ip: 172.10.10.1
hostname: vklnld908.int.example.com
public_ip: 24.222.0.1
public_hostname: master.example.com
roles:
- master
- node
containerized: true
connect_to: 24.222.0.1
- ip: 172.10.10.2
hostname: vklnld1446.int.example.com
public_ip: 24.222.0.2
public_hostname: node1.example.com
roles:
- node
connect_to: 10.0.0.2
- ip: 172.10.10.3
hostname: vklnld1447.int.example.com
public_ip: 10..22.2.3
public_hostname: node2.example.com
roles:
- node
connect_to: 10.0.0.3
roles:
master:
<variable_name1>: "<value1>"
<variable_name2>: "<value2>"
node:
<variable_name1>: "<value1>"
Ici, nous avons une variable spécifique au rôle, qui peut être définie si l'on souhaite configurer une variable spécifique.
Une fois terminé, nous pouvons vérifier l'installation à l'aide de la commande suivante.
$ oc get nodes
NAME STATUS AGE
master.example.com Ready 10d
node1.example.com Ready 10d
node2.example.com Ready 10d
Installation avancée
L'installation avancée est entièrement basée sur la configuration Ansible dans laquelle la configuration complète de l'hôte et la définition des variables concernant la configuration du maître et du nœud sont présentes. Celui-ci contient tous les détails concernant la configuration.
Une fois que nous avons la configuration et que le playbook est prêt, nous pouvons simplement exécuter la commande suivante pour configurer le cluster.
$ ansible-playbook -i inventry/hosts ~/openshift-ansible/playbooks/byo/config.yml
Ajout d'hôtes à un cluster
Nous pouvons ajouter un hôte au cluster en utilisant -
- Outil d'installation rapide
- Méthode de configuration avancée
Quick installation toolfonctionne à la fois en mode interactif et non interactif. Utilisez la commande suivante.
$ atomic-openshift-installer -u -c </path/to/file> scaleup
Le format de mise à l'échelle du fichier de configuration d'application peut être utilisé pour ajouter à la fois le maître et le nœud.
Méthode de configuration avancée
Dans cette méthode, nous mettons à jour le fichier hôte d'Ansible, puis ajoutons un nouveau nœud ou des détails de serveur dans ce fichier. Le fichier de configuration ressemble à ce qui suit.
[OSEv3:children]
masters
nodes
new_nodes
new_master
Dans le même fichier d'hôtes Ansible, ajoutez des détails de variable concernant le nouveau nœud comme indiqué ci-dessous.
[new_nodes]
vklnld1448.int.example.com openshift_node_labels = "{'region': 'primary', 'zone': 'east'}"
Enfin, à l'aide du fichier hôte mis à jour, exécutez la nouvelle configuration et appelez le fichier de configuration pour terminer l'installation à l'aide de la commande suivante.
$ ansible-playbook -i /inventory/hosts /usr/share/ansible/openshift-ansible/playbooks/test/openshift-node/scaleup.yml
Gestion des journaux de cluster
Le journal de cluster OpenShift n'est rien d'autre que les journaux qui sont générés par le maître et les machines de nœuds du cluster. Ceux-ci peuvent gérer n'importe quel type de journal, à partir du journal du serveur, du journal principal, du journal du conteneur, du journal du pod, etc. Il existe plusieurs technologies et applications présentes pour la gestion des journaux de conteneur.
Rares sont les outils répertoriés, qui peuvent être mis en œuvre pour la gestion des journaux.
- Fluentd
- ELK
- Kabna
- Nagios
- Splunk
ELK stack- Cette pile est utile en essayant de collecter les logs de tous les nœuds et de les présenter dans un format systématique. La pile ELK est principalement divisée en trois grandes catégories.
ElasticSearch - Principalement chargé de collecter les informations de tous les conteneurs et de les placer dans un emplacement central.
Fluentd - Utilisé pour alimenter les journaux collectés vers le moteur de conteneur elasticsearch.
Kibana - Une interface graphique utilisée pour présenter les données collectées comme une information utile dans une interface graphique.
Un point clé à noter est que lorsque ce système est déployé sur le cluster, il commence à collecter les journaux de tous les nœuds.
Diagnostics du journal
OpenShift a un intégré oc adm dignosticscommande avec OC qui peut être utilisée pour analyser plusieurs situations d'erreur. Cet outil peut être utilisé depuis le maître en tant qu'administrateur de cluster. Cet utilitaire est très utile pour le dépannage et la résolution des problèmes connus. Cela s'exécute sur le client principal et les nœuds.
S'il est exécuté sans aucun agrument ou indicateur, il recherchera les fichiers de configuration des machnies client, serveur et nœud, et les utilisera pour les diagnostics. On peut exécuter les diagnostics individuellement en passant les arguments suivants -
- AggregatedLogging
- AnalyzeLogs
- ClusterRegistry
- ClusterRoleBindings
- ClusterRoles
- ClusterRouter
- ConfigContexts
- DiagnosticPod
- MasterConfigCheck
- MasterNode
- MetricsApiProxy
- NetworkCheck
- NodeConfigCheck
- NodeDefinitions
- ServiceExternalIPs
- UnitStatus
On peut simplement les exécuter avec la commande suivante.
$ oc adm diagnostics <DiagnosticName>
Mettre à niveau un cluster
La mise à niveau du cluster implique la mise à niveau de plusieurs éléments au sein du cluster et la mise à jour du cluster avec de nouveaux composants et des mises à niveau. Cela implique -
- Mise à niveau des composants principaux
- Mise à niveau des composants du nœud
- Mise à niveau des politiques
- Mise à niveau des itinéraires
- Mise à niveau du flux d'images
Afin d'effectuer toutes ces mises à niveau, nous devons d'abord mettre en place des installateurs ou des outils rapides. Pour cela, nous devons mettre à jour les utilitaires suivants -
- atomic-openshift-utils
- atomic-openshift-excluder
- atomic-openshift-docker-excluder
- paquet etcd
Avant de commencer la mise à niveau, nous devons sauvegarder etcd sur la machine maître, ce qui peut être fait à l'aide des commandes suivantes.
$ ETCD_DATA_DIR = /var/lib/origin/openshift.local.etcd
$ etcdctl backup \ --data-dir $ETCD_DATA_DIR \
--backup-dir $ETCD_DATA_DIR.bak.<date>
Mise à niveau des composants principaux
Dans OpenShift master, nous commençons la mise à niveau en mettant à jour le fichier etcd, puis en passant à Docker. Enfin, nous exécutons l'exécuteur automatisé pour amener le cluster dans la position requise. Cependant, avant de commencer la mise à niveau, nous devons d'abord activer les packages atomic openshift sur chacun des maîtres. Cela peut être fait à l'aide des commandes suivantes.
Step 1 - Supprimer les paquets atomic-openshift
$ atomic-openshift-excluder unexclude
Step 2 - Mettez à jour etcd sur tous les maîtres.
$ yum update etcd
Step 3 - Redémarrez le service de etcd et vérifiez s'il a démarré avec succès.
$ systemctl restart etcd
$ journalctl -r -u etcd
Step 4 - Mettez à niveau le package Docker.
$ yum update docker
Step 5 - Redémarrez le service Docker et vérifiez s'il fonctionne correctement.
$ systemctl restart docker $ journalctl -r -u docker
Step 6 - Une fois terminé, redémarrez le système avec les commandes suivantes.
$ systemctl reboot $ journalctl -r -u docker
Step 7 - Enfin, exécutez atomic-executer pour ramener les paquets dans la liste des exclusions yum.
$ atomic-openshift-excluder exclude
Il n'y a pas une telle contrainte pour la mise à niveau de la politique, elle ne doit être mise à niveau que si elle est recommandée, ce qui peut être vérifié avec la commande suivante.
$ oadm policy reconcile-cluster-roles
Dans la plupart des cas, nous n'avons pas besoin de mettre à jour la définition de politique.
Mise à niveau des composants de nœud
Une fois la mise à jour principale terminée, nous pouvons commencer à mettre à niveau les nœuds. Une chose à garder à l'esprit est que la période de mise à niveau doit être courte afin d'éviter tout type de problème dans le cluster.
Step 1 - Supprimez tous les packages atomiques OpenShift de tous les nœuds sur lesquels vous souhaitez effectuer la mise à niveau.
$ atomic-openshift-excluder unexclude
Step 2 - Ensuite, désactivez la planification des nœuds avant la mise à niveau.
$ oadm manage-node <node name> --schedulable = false
Step 3 - Répliquez tous les nœuds de l'hôte actuel vers l'autre hôte.
$ oadm drain <node name> --force --delete-local-data --ignore-daemonsets
Step 4 - Mettre à niveau la configuration de Docker sur l'hôte.
$ yum update docker
Step 5 - Redémarrez le service Docker, puis démarrez le nœud de service Docker.
$systemctl restart docker $ systemctl restart atomic-openshift-node
Step 6 - Vérifiez si les deux ont démarré correctement.
$ journalctl -r -u atomic-openshift-node
Step 7 - Une fois la mise à niveau terminée, redémarrez la machine du nœud.
$ systemctl reboot
$ journalctl -r -u docker
Step 8 - Réactivez la planification sur les nœuds.
$ oadm manage-node <node> --schedulable.
Step 9 - Exécutez l'exécuteur atomic-openshift pour récupérer le package OpenShift sur le nœud.
$ atomic-openshift-excluder exclude
Step 10 - Enfin, vérifiez si tous les nœuds sont disponibles.
$ oc get nodes
NAME STATUS AGE
master.example.com Ready 12d
node1.example.com Ready 12d
node2.example.com Ready 12d
L'autoscaling est une fonctionnalité d'OpenShift dans laquelle les applications déployées peuvent évoluer et s'abaisser au fur et à mesure des besoins selon certaines spécifications. Dans l'application OpenShift, l'autoscaling est également appelé autoscaling de pod. Il y en a deuxtypes of application scaling comme suit.
Mise à l'échelle verticale
La mise à l'échelle verticale consiste à ajouter de plus en plus de puissance à une seule machine, ce qui signifie ajouter plus de CPU et de disque dur. Il s'agit d'une ancienne méthode d'OpenShift qui n'est plus prise en charge par les versions d'OpenShift.
Mise à l'échelle horizontale
Ce type de mise à l'échelle est utile lorsqu'il est nécessaire de traiter plus de demandes en augmentant le nombre de machines.
Dans OpenShift, il y a two methods to enable the scaling feature.
- Utilisation du fichier de configuration de déploiement
- Lors de l'exécution de l'image
Utilisation du fichier de configuration de déploiement
Dans cette méthode, la fonction de mise à l'échelle est activée via un fichier yaml de configuration de déploiement. Pour cela, la commande OC autoscale est utilisée avec un nombre minimum et maximum de réplicas, qui doivent s'exécuter à un moment donné dans le cluster. Nous avons besoin d'une définition d'objet pour la création de l'autoscaler. Voici un exemple de fichier de définition de l'autoscaler de pod.
apiVersion: extensions/v1beta1
kind: HorizontalPodAutoscaler
metadata:
name: database
spec:
scaleRef:
kind: DeploymentConfig
name: database
apiVersion: v1
subresource: scale
minReplicas: 1
maxReplicas: 10
cpuUtilization:
targetPercentage: 80
Une fois que nous avons le fichier en place, nous devons l'enregistrer au format yaml et exécuter la commande suivante pour le déploiement.
$ oc create –f <file name>.yaml
Lors de l'exécution de l'image
On peut également effectuer une mise à l'échelle automatique sans le fichier yaml, en utilisant ce qui suit oc autoscale commande en ligne de commande oc.
$ oc autoscale dc/database --min 1 --max 5 --cpu-percent = 75
deploymentconfig "database" autoscaled
Cette commande générera également un type de fichier similaire qui pourra ultérieurement être utilisé comme référence.
Stratégies de déploiement dans OpenShift
La stratégie de déploiement dans OpenShift définit un flux de déploiement avec différentes méthodes disponibles. Dans OpenShift, voici lesimportant types of deployment strategies.
- Stratégie de roulement
- Recréer la stratégie
- Stratégie personnalisée
Voici un exemple de fichier de configuration de déploiement, qui est principalement utilisé pour le déploiement sur les nœuds OpenShift.
kind: "DeploymentConfig"
apiVersion: "v1"
metadata:
name: "database"
spec:
template:
metadata:
labels:
name: "Database1"
spec:
containers:
- name: "vipinopenshifttest"
image: "openshift/mongoDB"
ports:
- containerPort: 8080
protocol: "TCP"
replicas: 5
selector:
name: "database"
triggers:
- type: "ConfigChange"
- type: "ImageChange"
imageChangeParams:
automatic: true
containerNames:
- "vipinopenshifttest"
from:
kind: "ImageStreamTag"
name: "mongoDB:latest"
strategy:
type: "Rolling"
Dans le fichier Deploymentconfig ci-dessus, nous avons la stratégie Rolling.
Nous pouvons utiliser la commande OC suivante pour le déploiement.
$ oc deploy <deployment_config> --latest
Stratégie de roulement
La stratégie de roulement est utilisée pour les mises à jour ou le déploiement progressifs. Ce processus prend également en charge les hooks de cycle de vie, qui sont utilisés pour injecter du code dans tout processus de déploiement.
strategy:
type: Rolling
rollingParams:
timeoutSeconds: <time in seconds>
maxSurge: "<definition in %>"
maxUnavailable: "<Defintion in %>"
pre: {}
post: {}
Recréer la stratégie
Cette stratégie de déploiement présente certaines des fonctionnalités de base de la stratégie de déploiement progressif et prend également en charge le hook de cycle de vie.
strategy:
type: Recreate
recreateParams:
pre: {}
mid: {}
post: {}
Stratégie personnalisée
Ceci est très utile lorsque l'on souhaite fournir son propre processus ou flux de déploiement. Toutes les personnalisations peuvent être effectuées selon l'exigence.
strategy:
type: Custom
customParams:
image: organization/mongoDB
command: [ "ls -l", "$HOME" ]
environment:
- name: VipinOpenshiftteat
value: Dev1
Dans ce chapitre, nous aborderons des sujets tels que la gestion d'un nœud, la configuration d'un compte de service, etc.
Configuration du maître et du nœud
Dans OpenShift, nous devons utiliser la commande start avec OC pour démarrer un nouveau serveur. Lors du lancement d'un nouveau maître, nous devons utiliser le maître avec la commande start, tandis que lors du démarrage du nouveau nœud, nous devons utiliser le nœud avec la commande start. Pour ce faire, nous devons créer des fichiers de configuration pour le maître ainsi que pour les nœuds. Nous pouvons créer un fichier de configuration de base pour le maître et le nœud à l'aide de la commande suivante.
Pour le fichier de configuration principal
$ openshift start master --write-config = /openshift.local.config/master
Pour le fichier de configuration du nœud
$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>
Une fois que nous exécuterons les commandes suivantes, nous obtiendrons les fichiers de configuration de base qui peuvent être utilisés comme point de départ pour la configuration. Plus tard, nous pouvons avoir le même fichier pour démarrer les nouveaux serveurs.
apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
logoutURL: ""
masterPublicURL: https://172.10.12.1:7449
publicURL: https://172.10.2.2:7449/console/
servingInfo:
bindAddress: 0.0.0.0:7449
certFile: master.server.crt
clientCA: ""
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
bindAddress: 0.0.0.0:53
etcdClientInfo:
ca: ca.crt
certFile: master.etcd-client.crt
keyFile: master.etcd-client.key
urls:
- https://10.0.2.15:4001
etcdConfig:
address: 10.0.2.15:4001
peerAddress: 10.0.2.15:7001
peerServingInfo:
bindAddress: 0.0.0.0:7001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
servingInfo:
bindAddress: 0.0.0.0:4001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
kubernetesStoragePrefix: kubernetes.io
kubernetesStorageVersion: v1
openShiftStoragePrefix: openshift.io
openShiftStorageVersion: v1
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: MasterConfig
kubeletClientInfo:
ca: ca.crt
certFile: master.kubelet-client.crt
keyFile: master.kubelet-client.key
port: 10250
kubernetesMasterConfig:
apiLevels:
- v1beta3
- v1
apiServerArguments: null
controllerArguments: null
masterCount: 1
masterIP: 10.0.2.15
podEvictionTimeout: 5m
schedulerConfigFile: ""
servicesNodePortRange: 30000-32767
servicesSubnet: 172.30.0.0/16
staticNodeNames: []
masterClients:
externalKubernetesKubeConfig: ""
openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
clusterNetworkCIDR: 10.1.0.0/16
hostSubnetLength: 8
networkPluginName: ""
serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
assetPublicURL: https://172.10.2.2:7449/console/
grantConfig:
method: auto
identityProviders:
- challenge: true
login: true
name: anypassword
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
masterPublicURL: https://172.10.2.2:7449/
masterURL: https://172.10.2.2:7449/
sessionConfig:
sessionMaxAgeSeconds: 300
sessionName: ssn
sessionSecretsFile: ""
tokenConfig:
accessTokenMaxAgeSeconds: 86400
authorizeTokenMaxAgeSeconds: 300
policyConfig:
bootstrapPolicyFile: policy.json
openshiftInfrastructureNamespace: openshift-infra
openshiftSharedResourcesNamespace: openshift
projectConfig:
defaultNodeSelector: ""
projectRequestMessage: ""
projectRequestTemplate: ""
securityAllocator:
mcsAllocatorRange: s0:/2
mcsLabelsPerProject: 5
uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
subdomain: router.default.svc.cluster.local
serviceAccountConfig:
managedNames:
- default
- builder
- deployer
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
servingInfo:
bindAddress: 0.0.0.0:8443
certFile: master.server.crt
clientCA: ca.crt
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 3600
Fichiers de configuration de nœud
allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
execHandlerName: native
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
mtu: 1450
networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com
podManifestConfig:
path: "/path/to/pod-manifest-file"
fileCheckIntervalSeconds: 30
servingInfo:
bindAddress: 0.0.0.0:10250
certFile: server.crt
clientCA: node-client-ca.crt
keyFile: server.key
volumeDirectory: /root/openshift.local.volumes
Voici à quoi ressemblent les fichiers de configuration des nœuds. Une fois ces fichiers de configuration en place, nous pouvons exécuter la commande suivante pour créer un serveur maître et nœud.
$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml
Gérer les nœuds
Dans OpenShift, nous avons l'utilitaire de ligne de commande OC qui est principalement utilisé pour effectuer toutes les opérations dans OpenShift. Nous pouvons utiliser les commandes suivantes pour gérer les nœuds.
Pour lister un nœud
$ oc get nodes
NAME LABELS
node1.example.com kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com kubernetes.io/hostname = vklnld1447.int.example.com
Décrire les détails d'un nœud
$ oc describe node <node name>
Supprimer un nœud
$ oc delete node <node name>
Liste des pods sur un nœud
$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]
Évaluation des pods sur un nœud
$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]
Authentification de la configuration
Dans OpenShift Master, il existe un serveur OAuth intégré, qui peut être utilisé pour gérer l'authentification. Tous les utilisateurs d'OpenShift obtiennent le jeton de ce serveur, ce qui les aide à communiquer avec l'API OpenShift.
Il existe différents types de niveaux d'authentification dans OpenShift, qui peuvent être configurés avec le fichier de configuration principal.
- Autorise tout
- Nier tous
- HTPasswd
- LDAP
- Authentification de base
- En-tête de la demande
Lors de la définition de la configuration principale, nous pouvons définir la politique d'identification où nous pouvons définir le type de politique que nous souhaitons utiliser.
Autorise tout
Autorise tout
oauthConfig:
...
identityProviders:
- name: Allow_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
Nier tous
Cela refusera l'accès à tous les noms d'utilisateur et mots de passe.
oauthConfig:
...
identityProviders:
- name: deny_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
HTPasswd
HTPasswd est utilisé pour valider le nom d'utilisateur et le mot de passe par rapport à un mot de passe de fichier crypté.
Pour générer un fichier crypté, voici la commande.
$ htpasswd </path/to/users.htpasswd> <user_name>
Utilisation du fichier crypté.
oauthConfig:
...
identityProviders:
- name: htpasswd_authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /path/to/users.htpasswd
Fournisseur d'identité LDAP
Ceci est utilisé pour l'authentification LDAP dans laquelle le serveur LDAP joue un rôle clé dans l'authentification.
oauthConfig:
...
identityProviders:
- name: "ldap_authontication"
challenge: true
login: true
provider:
apiVersion: v1
kind: LDAPPasswordIdentityProvider
attributes:
id:
- dn
email:
- mail
name:
- cn
preferredUsername:
- uid
bindDN: ""
bindPassword: ""
ca: my-ldap-ca-bundle.crt
insecure: false
url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"
Authentification de base
Ceci est utilisé lorsque la validation du nom d'utilisateur et du mot de passe est effectuée par rapport à une authentification de serveur à serveur. L'authentification est protégée dans l'URL de base et est présentée au format JSON.
oauthConfig:
...
identityProviders:
- name: my_remote_basic_auth_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: BasicAuthPasswordIdentityProvider
url: https://www.vklnld908.int.example.com/remote-idp
ca: /path/to/ca.file
certFile: /path/to/client.crt
keyFile: /path/to/client.key
Configurer un compte de service
Les comptes de service offrent un moyen flexible d'accéder à l'API OpenShift en exposant le nom d'utilisateur et le mot de passe pour l'authentification.
Activation d'un compte de service
Le compte de service utilise une paire de clés publique et privée pour l'authentification. L'authentification à l'API se fait à l'aide d'une clé privée et en la validant par rapport à une clé publique.
ServiceAccountConfig:
...
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
- ...
Créer un compte de service
Utilisez la commande suivante pour créer un compte de service
$ Openshift cli create service account <name of server account>
Utilisation du proxy HTTP
Dans la plupart des environnements de production, l'accès direct à Internet est limité. Ils ne sont pas exposés à Internet ou ils sont exposés via un proxy HTTP ou HTTPS. Dans un environnement OpenShift, cette définition de machine proxy est définie comme une variable d'environnement.
Cela peut être fait en ajoutant une définition de proxy sur les fichiers maître et nœud situés sous /etc/sysconfig. Ceci est similaire à ce que nous faisons pour toute autre application.
Machine principale
/ etc / sysconfig / openshift-master
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
Machine à nœuds
/ etc / sysconfig / openshift-node
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
Une fois cela fait, nous devons redémarrer les machines maître et nœud.
Pour Docker Pull
/ etc / sysconfig / docker
HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com
Afin de faire fonctionner un pod dans un environnement proxy, cela peut être fait en utilisant -
containers:
- env:
- name: "HTTP_PROXY"
value: "http://USER:PASSWORD@:10.0.1.1:8080"
La commande d'environnement OC peut être utilisée pour mettre à jour l'environnement env.
Stockage OpenShift avec NFS
Dans OpenShift, le concept de volume persistant et de revendication de volume persistant forme un stockage persistant. C'est l'un des concepts clés dans lesquels le premier volume persistant est créé et plus tard ce même volume est revendiqué. Pour cela, nous devons disposer de suffisamment de capacité et d'espace disque sur le matériel sous-jacent.
apiVersion: v1
kind: PersistentVolume
metadata:
name: storage-unit1
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteOnce
nfs:
path: /opt
server: 10.12.2.2
persistentVolumeReclaimPolicy: Recycle
Ensuite, à l'aide de la commande OC create, créez un volume persistant.
$ oc create -f storage-unit1.yaml
persistentvolume " storage-unit1 " created
Réclamer le volume créé.
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: Storage-clame1
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi
Créez la revendication.
$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created
Gestion des utilisateurs et des rôles
L'administration des utilisateurs et des rôles permet de gérer les utilisateurs, leurs accès et leurs contrôles sur différents projets.
Créer un utilisateur
Des modèles prédéfinis peuvent être utilisés pour créer de nouveaux utilisateurs dans OpenShift.
kind: "Template"
apiVersion: "v1"
parameters:
- name: vipin
required: true
objects:
- kind: "User"
apiVersion: "v1"
metadata:
name: "${email}" - kind: "Identity" apiVersion: "v1" metadata: name: "vipin:${email}"
providerName: "SAML"
providerUserName: "${email}" - kind: "UserIdentityMapping" apiVersion: "v1" identity: name: "vipin:${email}"
user:
name: "${email}"
Utilisez oc create –f <nom de fichier> pour créer des utilisateurs.
$ oc create –f vipin.yaml
Utilisez la commande suivante pour supprimer un utilisateur dans OpenShift.
$ oc delete user <user name>
Limiter l'accès des utilisateurs
ResourceQuotas et LimitRanges sont utilisés pour limiter les niveaux d'accès des utilisateurs. Ils sont utilisés pour limiter les pods et les conteneurs sur le cluster.
apiVersion: v1
kind: ResourceQuota
metadata:
name: resources-utilization
spec:
hard:
pods: "10"
Création du devis en utilisant la configuration ci-dessus
$ oc create -f resource-quota.yaml –n –Openshift-sample
Décrire le devis de la ressource
$ oc describe quota resource-quota -n Openshift-sample
Name: resource-quota
Namespace: Openshift-sample
Resource Used Hard
-------- ---- ----
pods 3 10
La définition des limites du conteneur peut être utilisée pour limiter les ressources qui vont être utilisées par les conteneurs déployés. Ils permettent de définir les limites maximales et minimales de certains objets.
Limitations du projet utilisateur
Ceci est essentiellement utilisé pour le nombre de projets qu'un utilisateur peut avoir à tout moment. Ils sont essentiellement effectués en définissant les niveaux d'utilisateurs dans les catégories de bronze, d'argent et d'or.
Nous devons d'abord définir un objet qui détient la valeur du nombre de projets qu'une catégorie bronze, argent et or peut avoir. Celles-ci doivent être effectuées dans le fichier master-confif.yaml.
admissionConfig:
pluginConfig:
ProjectRequestLimit:
configuration:
apiVersion: v1
kind: ProjectRequestLimitConfig
limits:
- selector:
level: platinum
- selector:
level: gold
maxProjects: 15
- selector:
level: silver
maxProjects: 10
- selector:
level: bronze
maxProjects: 5
Redémarrez le serveur maître.
Affecter un utilisateur à un niveau particulier.
$ oc label user vipin level = gold
Déplacement de l'utilisateur hors de l'étiquette, si nécessaire.
$ oc label user <user_name> level-
Ajouter des rôles à un utilisateur.
$ oadm policy add-role-to-user
<user_name>
Suppression du rôle d'un utilisateur.
$ oadm policy remove-role-from-user
<user_name>
Ajout d'un rôle de cluster à un utilisateur.
$ oadm policy add-cluster-role-to-user
<user_name>
Suppression d'un rôle de cluster d'un utilisateur.
$ oadm policy remove-cluster-role-from-user
<user_name>
Ajouter un rôle à un groupe.
$ oadm policy add-role-to-user
<user_name>
Suppression d'un rôle d'un groupe.
$ oadm policy remove-cluster-role-from-user
<user_name>
Ajout d'un rôle de cluster à un groupe.
$ oadm policy add-cluster-role-to-group
<groupname>
Suppression d'un rôle de cluster d'un groupe.
$ oadm policy remove-cluster-role-from-group <role> <groupname>
Utilisateur pour l'administration du cluster
C'est l'un des rôles les plus puissants où l'utilisateur a la capacité de gérer un cluster complet à partir de la création jusqu'à la suppression d'un cluster.
$ oadm policy add-role-to-user admin <user_name> -n <project_name>
Utilisateur avec une puissance ultime
$ oadm policy add-cluster-role-to-user cluster-admin <user_name>
OpenShift est construit sur Docker et Kubernetes. Tous les conteneurs sont construits au-dessus du cluster Docker, qui est essentiellement un service Kubernetes au-dessus des machines Linux, à l'aide de la fonction d'orchestration de Kubernetes.
Dans ce processus, nous construisons un maître Kubernetes qui contrôle tous les nœuds et déploie les conteneurs sur tous les nœuds. La fonction principale de Kubernetes est de contrôler le cluster OpenShift et le flux de déploiement à l'aide d'un autre type de fichier de configuration. Comme dans Kubernetes, nous utilisons kubctl de la même manière que nous utilisons l'utilitaire de ligne de commande OC pour créer et déployer des conteneurs sur des nœuds de cluster.
Voici les différents types de fichiers de configuration utilisés pour la création de différents types d'objets dans le cluster.
- Images
- POD
- Service
- Contrôleur de réplication
- Ensemble de répliques
- Deployment
Images
Les images Kubernetes (Docker) sont les principaux éléments constitutifs de l'infrastructure conteneurisée. À partir de maintenant, Kubernetes ne prend en charge queDockerimages. Chaque conteneur d'un pod a son image Docker en cours d'exécution à l'intérieur.
apiVersion: v1
kind: pod
metadata:
name: Tesing_for_Image_pull -----------> 1
spec:
containers:
- name: neo4j-server ------------------------> 2
image: <Name of the Docker image>----------> 3
imagePullPolicy: Always ------------->4
command: [“echo”, “SUCCESS”] -------------------> 5
COSSE
Un pod est une collection de conteneurs et son stockage à l'intérieur d'un nœud d'un cluster Kubernetes. Il est possible de créer un pod avec plusieurs conteneurs à l'intérieur. Voici un exemple de conservation d'un conteneur de base de données et d'un conteneur d'interface Web dans le même pod.
apiVersion: v1
kind: Pod
metadata:
name: Tomcat
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7500
imagePullPolicy: Always
Un service
Un service peut être défini comme un ensemble logique de pods. Il peut être défini comme une abstraction au-dessus du pod qui fournit une adresse IP et un nom DNS uniques permettant d'accéder aux pods. Avec Service, il est très facile de gérer la configuration de l'équilibrage de charge. Cela aide les POD à évoluer très facilement.
apiVersion: v1
kind: Service
metadata:
name: Tutorial_point_service
spec:
ports:
- port: 8080
targetPort: 31999
Contrôleur de réplication
Replication Controller est l'une des fonctionnalités clés de Kubernetes, qui est responsable de la gestion du cycle de vie des pods. Il est responsable de s'assurer que le nombre spécifié de répliques de pod est en cours d'exécution à tout moment.
apiVersion: v1
kind: ReplicationController
metadata:
name: Tomcat-ReplicationController
spec:
replicas: 3
template:
metadata:
name: Tomcat-ReplicationController
labels:
app: App
component: neo4j
spec:
containers:
- name: Tomcat
image: tomcat: 8.0
ports:
- containerPort: 7474
Ensemble de répliques
Le jeu de répliques garantit le nombre de répliques de pod devant être en cours d'exécution. Il peut être considéré comme un remplacement du contrôleur de réplication.
apiVersion: extensions/v1beta1
kind: ReplicaSet
metadata:
name: Tomcat-ReplicaSet
spec:
replicas: 3
selector:
matchLables:
tier: Backend
matchExpression:
- { key: tier, operation: In, values: [Backend]}
app: App
component: neo4j
spec:
containers:
- name: Tomcat-
image: tomcat: 8.0
ports:
containerPort: 7474
Déploiement
Les déploiements sont des versions mises à niveau et supérieures du contrôleur de réplication. Ils gèrent le déploiement des jeux de répliques, qui est également une version mise à niveau du contrôleur de réplication. Ils ont la capacité de mettre à jour le jeu de réplicas et ils sont également capables de revenir à la version précédente.
apiVersion: extensions/v1beta1 --------------------->1
kind: Deployment --------------------------> 2
metadata:
name: Tomcat-ReplicaSet
spec:
replicas: 3
template:
metadata:
lables:
app: Tomcat-ReplicaSet
tier: Backend
spec:
containers:
name: Tomcat-
image: tomcat: 8.0
ports:
- containerPort: 7474
Tous les fichiers de configuration peuvent être utilisés pour créer leurs objets Kubernetes respectifs.
$ Kubectl create –f <file name>.yaml
Les commandes suivantes peuvent être utilisées pour connaître les détails et la description des objets Kubernetes.
For POD
$ Kubectl get pod <pod name> $ kubectl delete pod <pod name>
$ kubectl describe pod <pod name>
For Replication Controller
$ Kubectl get rc <rc name>
$ kubectl delete rc <rc name> $ kubectl describe rc <rc name>
For Service
$ Kubectl get svc <svc name> $ kubectl delete svc <svc name>
$ kubectl describe svc <svc name>
Pour plus de détails sur la façon de travailler avec Docker et Kubernetes, veuillez visiter notre didacticiel Kubernetes en utilisant le lien suivant kubernetes .
La sécurité OpenShift est principalement une combinaison de deux composants qui gère principalement les contraintes de sécurité.
- Contraintes de contexte de sécurité (SCC)
- Compte de service
Contraintes de contexte de sécurité (SCC)
Il est essentiellement utilisé pour la restriction de pod, ce qui signifie qu'il définit les limitations d'un pod, comme les actions qu'il peut effectuer et à quoi tout ce qu'il peut accéder dans le cluster.
OpenShift fournit un ensemble de SCC prédéfinis qui peuvent être utilisés, modifiés et étendus par l'administrateur.
$ oc get scc
NAME PRIV CAPS HOSTDIR SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY
anyuid false [] false MustRunAs RunAsAny RunAsAny RunAsAny 10
hostaccess false [] true MustRunAs MustRunAsRange RunAsAny RunAsAny <none>
hostmount-anyuid false [] true MustRunAs RunAsAny RunAsAny RunAsAny <none>
nonroot false [] false MustRunAs MustRunAsNonRoot RunAsAny RunAsAny <none>
privileged true [] true RunAsAny RunAsAny RunAsAny RunAsAny <none>
restricted false [] false MustRunAs MustRunAsRange RunAsAny RunAsAny <none>
Si l'on souhaite utiliser un scc prédéfini, cela peut être fait en ajoutant simplement l'utilisateur ou le groupe au groupe scc.
$ oadm policy add-user-to-scc <scc_name> <user_name> $ oadm policy add-group-to-scc <scc_name> <group_name>
Compte de service
Les comptes de service sont essentiellement utilisés pour contrôler l'accès à l'API maître OpenShift, qui est appelée lorsqu'une commande ou une demande est déclenchée à partir de l'un des ordinateurs maîtres ou nœuds.
Chaque fois qu'une application ou un processus nécessite une capacité qui n'est pas accordée par le SCC restreint, vous devrez créer un compte de service spécifique et ajouter le compte au SCC respectif. Cependant, si un SCC ne répond pas à vos besoins, il est préférable de créer un nouveau SCC spécifique à vos besoins plutôt que d'utiliser celui qui convient le mieux. À la fin, définissez-le pour la configuration de déploiement.
$ oc create serviceaccount Cadmin $ oc adm policy add-scc-to-user vipin -z Cadmin
Sécurité des conteneurs
Dans OpenShift, la sécurité des conteneurs est basée sur le concept de la sécurité de la plate-forme de conteneurs et de l'emplacement des conteneurs. Il y a plusieurs choses qui entrent en jeu lorsque nous parlons de sécurité des conteneurs et de ce qui doit être pris en compte.
Image Provenance - Un système d'étiquetage sécurisé est en place qui identifie de manière exacte et incontestable la provenance des conteneurs fonctionnant dans l'environnement de production.
Security Scanning - Un scanner d'images vérifie automatiquement toutes les images pour les vulnérabilités connues.
Auditing - L'environnement de production est régulièrement audité pour s'assurer que tous les conteneurs sont basés sur des conteneurs à jour, et que les hôtes et les conteneurs sont configurés de manière sécurisée.
Isolation and Least Privilege- Les conteneurs fonctionnent avec le minimum de ressources et de privilèges nécessaires pour fonctionner efficacement. Ils ne peuvent pas interférer indûment avec l'hôte ou d'autres conteneurs.
Runtime Threat Detection - Une capacité qui détecte les menaces actives contre les applications conteneurisées au moment de l'exécution et y répond automatiquement.
Access Controls - Les modules de sécurité Linux, tels que AppArmor ou SELinux, sont utilisés pour appliquer les contrôles d'accès.
Il existe quelques méthodes clés par lesquelles la sécurité des conteneurs est archivée.
- Contrôle de l'accès via oAuth
- Via la console Web en libre-service
- Par certificats de plateforme
Contrôle de l'accès via OAuth
Dans cette méthode, l'authentification à l'accès de contrôle API est archivée en obtenant un jeton sécurisé pour l'authentification via les serveurs OAuth, qui est intégré à la machine maître OpenShift. En tant qu'administrateur, vous avez la possibilité de modifier la configuration de la configuration du serveur OAuth.
Pour plus de détails sur la configuration du serveur OAuth, reportez-vous au chapitre 5 de ce didacticiel.
Via la console Web en libre-service
Cette fonction de sécurité de la console Web est intégrée à la console Web OpenShift. Cette console garantit que toutes les équipes travaillant ensemble n'ont pas accès à d'autres environnements sans authentification. Le maître multi-telnet dans OpenShift a les fonctionnalités de sécurité suivantes -
- La couche TCL est activée
- Utilise le certificat x.509 pour l'authentification
- Sécurise la configuration etcd sur la machine maître
Par certificats de plate-forme
Dans cette méthode, les certificats pour chaque hôte sont configurés lors de l'installation via Ansible. Comme il utilise le protocole de communication HTTPS via l'API Rest, nous avons besoin d'une connexion sécurisée TCL à différents composants et objets. Ce sont des certificats prédéfinis, cependant, on peut même avoir un certificat personnalisé installé sur le cluster du maître pour l'accès. Lors de la configuration initiale du maître, les certificats personnalisés peuvent être configurés en remplaçant les certificats existants à l'aide deopenshift_master_overwrite_named_certificates paramètre.
Example
openshift_master_named_certificates = [{"certfile": "/path/on/host/to/master.crt",
"keyfile": "/path/on/host/to/master.key",
"cafile": "/path/on/host/to/mastercert.crt"}]
Pour plus de détails sur la façon de générer des certificats personnalisés, visitez le lien suivant -
https://www.linux.com/learn/creating-self-signed-ssl-certificates-apache-linux
Sécurité Internet
Dans OpenShift, la mise en réseau définie par logiciel (SDN) est utilisée pour la communication. L'espace de noms réseau est utilisé pour chaque pod du cluster, dans lequel chaque pod obtient sa propre adresse IP et une plage de ports pour obtenir le trafic réseau dessus. Par cette méthode, on peut isoler les pods à cause desquels il ne peut pas communiquer avec les pods de l'autre projet.
Isoler un projet
Cela peut être fait par l'administrateur du cluster en utilisant les éléments suivants oadm command de CLI.
$ oadm pod-network isolate-projects <project name 1> <project name 2>
Cela signifie que les projets définis ci-dessus ne peuvent pas communiquer avec d'autres projets du cluster.
Sécurité du volume
La sécurité des volumes signifie clairement la sécurisation du PV et du PVC des projets dans le cluster OpenShift. Il existe principalement quatre sections pour contrôler l'accès aux volumes dans OpenShift.
- Groupes supplémentaires
- fsGroup
- runAsUser
- seLinuxOptions
Groupes supplémentaires - Les groupes supplémentaires sont des groupes Linux réguliers. Lorsqu'un processus s'exécute dans le système, il s'exécute avec un ID utilisateur et un ID de groupe. Ces groupes sont utilisés pour contrôler l'accès au stockage partagé.
Vérifiez le montage NFS à l'aide de la commande suivante.
# showmount -e <nfs-server-ip-or-hostname>
Export list for f21-nfs.vm:
/opt/nfs *
Vérifiez les détails NFS sur le serveur de montage à l'aide de la commande suivante.
# cat /etc/exports
/opt/nfs *(rw,sync,no_root_squash)
...
# ls -lZ /opt/nfs -d
drwxrws---. nfsnobody 2325 unconfined_u:object_r:usr_t:s0 /opt/nfs
# id nfsnobody
uid = 65534(nfsnobody) gid = 454265(nfsnobody) groups = 454265(nfsnobody)
L' export / opt / nfs / est accessible par UID454265 et le groupe 2325.
apiVersion: v1
kind: Pod
...
spec:
containers:
- name: ...
volumeMounts:
- name: nfs
mountPath: /usr/share/...
securityContext:
supplementalGroups: [2325]
volumes:
- name: nfs
nfs:
server: <nfs_server_ip_or_host>
path: /opt/nfs
fsGroup
fsGroup représente le groupe de système de fichiers utilisé pour ajouter des groupes supplémentaires de conteneurs. L'ID de groupe supplémentaire est utilisé pour le stockage partagé et fsGroup est utilisé pour le stockage en bloc.
kind: Pod
spec:
containers:
- name: ...
securityContext:
fsGroup: 2325
runAsUser
runAsUser utilise l'ID utilisateur pour la communication. Ceci est utilisé pour définir l'image du conteneur dans la définition du pod. Un utilisateur à identifiant unique peut être utilisé dans tous les conteneurs, si nécessaire.
Lors de l'exécution du conteneur, l'ID défini correspond à l'ID du propriétaire lors de l'exportation. Si l'ID spécifié est défini à l'extérieur, il devient alors global pour tous les conteneurs du pod. S'il est défini avec un pod spécifique, il devient alors spécifique à un seul conteneur.
spec:
containers:
- name: ...
securityContext:
runAsUser: 454265