OpenShift - Guide rapide

OpenShift est une plateforme de développement cloud en tant que service (PaaS) hébergée par Red Hat. Il s'agit d'une plate-forme conviviale basée sur le cloud open source utilisée pour créer, tester et exécuter des applications, et enfin les déployer sur le cloud.

OpenShift est capable de gérer des applications écrites dans différents langages, tels que Node.js, Ruby, Python, Perl et Java. L'une des principales caractéristiques d'OpenShift est qu'il est extensible, ce qui aide les utilisateurs à prendre en charge l'application écrite dans d'autres langues.

OpenShift est livré avec divers concepts de virtualisation comme couche d'abstraction. Le concept sous-jacent d'OpenShift est basé sur la virtualisation.

Virtualisation

En général, la virtualisation peut être définie comme la création d'un système virtuel plutôt que comme une version physique ou réelle de tout ce qui part du système, du stockage ou d'un système d'exploitation. L'objectif principal de la virtualisation est de rendre l'infrastructure informatique plus évolutive et fiable. Le concept de virtualisation existe depuis des décennies et avec l'évolution de l'industrie informatique d'aujourd'hui, il peut être appliqué à un large éventail de couches allant du niveau système, niveau matériel, à la virtualisation au niveau serveur.

Comment ça fonctionne

Il peut être décrit comme une technologie dans laquelle toute application ou système d'exploitation est extrait de sa couche physique réelle. Une utilisation clé de la technologie de virtualisation est la virtualisation des serveurs, qui utilise un logiciel appelé hyperviseur pour extraire la couche du matériel sous-jacent. Les performances d'un système d'exploitation s'exécutant sur la virtualisation sont aussi bonnes que lorsqu'il s'exécute sur le matériel physique. Cependant, le concept de virtualisation est populaire car la plupart des systèmes et applications en cours d'exécution ne nécessitent pas l'utilisation du matériel sous-jacent.

Architecture physique ou virtuelle

Types de virtualisation

  • Application Virtualization- Dans cette méthode, l'application est extraite du système d'exploitation sous-jacent. Cette méthode est très utile dans laquelle l'application peut être exécutée de manière isolée sans dépendre du système d'exploitation en dessous.

  • Desktop Virtualization- Cette méthode est utilisée pour réduire la charge du poste de travail dans lequel on peut accéder au bureau à distance, en utilisant un client léger au bureau. Dans cette méthode, les bureaux sont principalement exécutés dans un centre de données. Un exemple classique peut être une image de bureau virtuel (VDI) qui est utilisée dans la plupart des organisations.

  • Data Virtualization - C'est une méthode d'abstraction et de s'éloigner de la méthode traditionnelle de gestion des données et des données.

  • Server Virtualization- Dans cette méthode, les ressources liées au serveur sont virtualisées, ce qui inclut le serveur physique, le processus et le système d'exploitation. Le logiciel qui permet cette abstraction est souvent appelé l'hyperviseur.

  • Storage Virtualization - Il s'agit du processus de regroupement de plusieurs périphériques de stockage dans un seul périphérique de stockage géré à partir d'une seule console centrale.

  • Network Virtualization - C'est la méthode dans laquelle toutes les ressources réseau disponibles sont combinées en divisant la bande passante disponible et les canaux, chacun étant indépendant les uns des autres.

OpenShift

OpenShift est une plate-forme d'applications en tant que service (PaaS). Il s'agit d'une technologie open source qui aide les organisations à déplacer leur infrastructure et plate-forme d'applications traditionnelles des supports physiques et virtuels vers le cloud.

OpenShift prend en charge une très grande variété d'applications, qui peuvent être facilement développées et déployées sur la plate-forme cloud OpenShift. OpenShift prend essentiellement en charge trois types de plates-formes pour les développeurs et les utilisateurs.

Infrastructure en tant que service (IaaS)

Dans ce format, le fournisseur de services fournit des machines virtuelles de niveau matériel avec une configuration matérielle virtuelle prédéfinie. Il existe plusieurs concurrents dans cet espace à partir du cloud AWS Google, de Rackspace et bien d'autres.

Le principal inconvénient d'avoir IaaS après une longue procédure de configuration et d'investissement est que l'on est toujours responsable de l'installation et de la maintenance du système d'exploitation et des packages de serveur, de la gestion du réseau d'infrastructure et de l'administration de base du système.

Logiciel en tant que service (SaaS)

Avec le SaaS, on se soucie le moins de l'infrastructure sous-jacente. C'est aussi simple que plug and play, dans lequel l'utilisateur doit simplement s'inscrire aux services et commencer à les utiliser. Le principal inconvénient de cette configuration est que l'on ne peut effectuer qu'un minimum de personnalisation, ce qui est autorisé par le fournisseur de services. L'un des exemples les plus courants de SaaS est Gmail, où l'utilisateur doit simplement se connecter et commencer à l'utiliser. L'utilisateur peut également apporter quelques modifications mineures à son compte. Cependant, ce n'est pas très utile du point de vue du développeur.

Plateforme en tant que service (PaaS)

Il peut être considéré comme une couche intermédiaire entre SaaS et IaaS. La cible principale de l'évaluation PaaS est destinée aux développeurs dans lesquels l'environnement de développement peut être mis en place avec quelques commandes. Ces environnements sont conçus de manière à pouvoir satisfaire tous les besoins de développement, directement depuis le fait d'avoir un serveur d'applications Web avec une base de données. Pour ce faire, vous n'avez besoin que d'une seule commande et le fournisseur de services s'occupe de vous.

Pourquoi utiliser OpenShift?

OpenShift fournit une plate-forme commune aux unités d'entreprise pour héberger leurs applications sur le cloud sans se soucier du système d'exploitation sous-jacent. Cela facilite l'utilisation, le développement et le déploiement d'applications sur le cloud. L'une des principales caractéristiques est qu'il fournit du matériel géré et des ressources réseau pour tous les types de développement et de test. Avec OpenShift, les développeurs PaaS ont la liberté de concevoir leur environnement requis avec des spécifications.

OpenShift fournit différents types d'accord de niveau de service en ce qui concerne les plans de service.

Free - Ce plan est limité à trois ans avec 1 Go d'espace pour chacun.

Bronze - Ce plan comprend 3 ans et s'étend jusqu'à 16 ans avec 1 Go d'espace par an.

Sliver - Il s'agit d'un plan de 16 ans de bronze, cependant, a une capacité de stockage de 6 Go sans frais supplémentaires.

Outre les fonctionnalités ci-dessus, OpenShift propose également une version sur site connue sous le nom d'OpenShift Enterprise. Dans OpenShift, les développeurs ont la possibilité de concevoir des applications évolutives et non évolutives et ces conceptions sont implémentées à l'aide de serveurs HAproxy.

traits

Il existe plusieurs fonctionnalités prises en charge par OpenShift. Peu d'entre eux sont -

  • Prise en charge de plusieurs langues
  • Prise en charge de plusieurs bases de données
  • Système de cartouche extensible
  • Gestion des versions de code source
  • Déploiement en un clic
  • Prise en charge de plusieurs environnements
  • Flux de travail standardisé pour les développeurs
  • Gestion des dépendances et des bâtiments
  • Mise à l'échelle automatique des applications
  • Console Web réactive
  • Ensemble d'outils de ligne de commande riche
  • Connexion SSH à distance aux applications
  • Assistance API Rest
  • Pile d'applications en libre-service à la demande
  • Services de base de données intégrés
  • Intégration continue et gestion des versions
  • Intégration IDE
  • Débogage à distance des applications

OpenShift est né de sa base nommée OpenShift V2, qui reposait principalement sur le concept d'année et de cartouches, où chaque composant a ses spécifications allant de la création de la machine au déploiement de l'application, de la création au déploiement de l'application.

Cartridges - Ils ont été le point focal de la construction d'une nouvelle application à partir du type d'application dont l'environnement a besoin pour les exécuter et de toutes les dépendances satisfaites dans cette section.

year- Il peut être défini comme la machine ou le serveur en métal ours avec certaines spécifications concernant les ressources, la mémoire et le processeur. Ils étaient considérés comme une unité fondamentale pour exécuter une application.

Application - Celles-ci font simplement référence à l'application ou à toute application d'intégration qui sera déployée et exécutée sur l'environnement OpenShift.

Au fur et à mesure que nous approfondirons la section, nous discuterons des différents formats et offres d'OpenShift. Dans les premiers jours, OpenShift avait trois versions principales.

OpenShift Origin- C'était l'ajout de la communauté ou la version open source d'OpenShift. Il était également connu sous le nom de projet en amont pour les deux autres versions.

OpenShift Online - Il s'agit d'un PaaS public en tant que service hébergé sur AWS.

OpenShift Enterprise - est la version renforcée d'OpenShift avec des licences ISV et fournisseur.

OpenShift en ligne

OpenShift en ligne est une offre de communauté OpenShift à l'aide de laquelle on peut rapidement créer, déployer et mettre à l'échelle des applications conteneurisées sur le cloud public. Il s'agit de la plate-forme de développement et d'hébergement d'applications de cloud public de Red Hat, qui permet le provisionnement, la gestion et la mise à l'échelle automatisés des applications, ce qui aide le développeur à se concentrer sur l'écriture de la logique d'application.

Configurer un compte sur Red Hat OpenShift Online

Step 1 - Accédez au navigateur et visitez le site https://manage.openshift.com/

Step 2 - Si vous avez un compte Red Hat, connectez-vous au compte OpenShift en utilisant l'ID de connexion et le mot de passe Red Hat en utilisant l'URL suivante. https://developers.redhat.com

Step 3 - Si vous ne disposez pas d'un identifiant de compte Red Hat, inscrivez-vous au service en ligne OpenShift en utilisant le lien suivant.

https://developers.redhat.com/auth/realms/rhd/login-actions/registration?code=G4w-myLd3GCH_QZCqMUmIOQlU7DIf_gfIvGu38nnzZQ.cb229a9d-3cff-4c58-b7f6-7b2c9eb17926

Après la connexion, vous verrez la page suivante.

Une fois que vous avez tout mis en place, Red Hat affichera quelques détails de compte de base comme indiqué dans la capture d'écran suivante.

Enfin, lorsque vous êtes connecté, vous verrez la page suivante.

Plateforme de conteneurs OpenShift

La plate-forme de conteneur OpenShift est une plate-forme d'entreprise qui aide plusieurs équipes telles que l'équipe de développement et des opérations informatiques à créer et à déployer une infrastructure conteneurisée. Tous les conteneurs intégrés à OpenShift utilisent une technologie de conteneurisation Docker très fiable, qui peut être déployée sur n'importe quel centre de données des plates-formes cloud hébergées publiquement.

La plate-forme de conteneurs OpenShift était officiellement connue sous le nom d'OpenShift Enterprises. Il s'agit d'une plate-forme privée sur site Red Hat en tant que service, basée sur le concept de base des conteneurs d'applications optimisés par Docker, où l'orchestration et l'administration sont gérées par Kubernetes.

En d'autres termes, OpenShift réunit Docker et Kubernetes au niveau de l'entreprise. Il s'agit d'un logiciel de plateforme de conteneurs permettant aux unités d'entreprise de déployer et de gérer les candidats dans une infrastructure de leur choix. Par exemple, héberger des instances OpenShift sur des instances AWS.

La plateforme de conteneurs OpenShift est disponible en two package levels.

OpenShift Container Local- Ceci est destiné aux développeurs qui souhaitent déployer et tester des applications sur la machine locale. Ce package est principalement utilisé par les équipes de développement pour développer et tester des applications.

OpenShift Container Lab - Ceci est conçu pour une évaluation étendue de l'application à partir du développement jusqu'au déploiement jusqu'à l'environnement de pré-production.

OpenShift dédié

Il s'agit d'une autre offre ajoutée au portefeuille d'OpenShift, dans laquelle le client a le choix d'héberger une plate-forme conteneurisée sur n'importe quel cloud public de son choix. Cela donne à l'utilisateur final une véritable idée de l'offre multi-cloud, où il peut utiliser OpenShift sur n'importe quel cloud qui répond à ses besoins.

Il s'agit de l'une des offres les plus récentes de Red Hat où l'utilisateur final peut utiliser OpenShift pour créer un déploiement de test et exécuter son application sur OpenShift qui est hébergé sur le cloud.

Fonctionnalités d'OpenShift Dedicated

OpenShift dédié offre une plate-forme d'application de solution personnalisée sur le cloud public et est héritée de la technologie OpenShift 3.

  • Extensible and Open - Ceci est construit sur le concept ouvert de Docker et déployé sur le cloud en raison duquel il peut se dépenser au fur et à mesure des besoins.

  • Portability - Comme il est construit à l'aide de Docker, les applications exécutées sur Docker peuvent facilement être expédiées d'un endroit à l'autre, où Docker est pris en charge.

  • Orchestration - Avec OpenShift 3, l'une des fonctionnalités clés de l'orchestration de conteneurs et de la gestion des clusters est prise en charge à l'aide de Kubernetes, qui a été proposée avec OpenShift version 3.

  • Automation - Cette version d'OpenShift est activée avec la fonctionnalité de gestion du code source, d'automatisation de la construction et d'automatisation du déploiement, ce qui la rend très populaire sur le marché en tant que plate-forme en tant que fournisseur de services.

Concurrents d'OpenShift

Google App Engine- Il s'agit de la plate-forme gratuite de Google pour le développement et l'hébergement d'applications Web. Le moteur d'application de Google offre une plate-forme de développement et de déploiement rapide.

Microsoft Azure - Le cloud Azure est hébergé par Microsoft sur ses centres de données.

Amazon Elastic Cloud Compute - Ce sont des services intégrés fournis par Amazon, qui aident au développement et à l'hébergement d'applications Web évolutives sur le cloud.

Cloud Foundry - est une plateforme PaaS open source pour les applications Java, Ruby, Python et Node.js.

CloudStack - CloudStack d'Apache est un projet développé par Citrix et est conçu pour devenir un concurrent direct d'OpenShift et d'OpenStack.

OpenStack - Une autre technologie cloud fournie par Red Hat pour le cloud computing.

Kubernetes - Il s'agit d'une technologie d'orchestration directe et de gestion de cluster conçue pour gérer le conteneur Docker.

OpenShift est un système en couches dans lequel chaque couche est étroitement liée à l'autre couche à l'aide du cluster Kubernetes et Docker. L'architecture d'OpenShift est conçue de manière à pouvoir prendre en charge et gérer les conteneurs Docker, qui sont hébergés au-dessus de toutes les couches à l'aide de Kubernetes. Contrairement à la version précédente d'OpenShift V2, la nouvelle version d'OpenShift V3 prend en charge l'infrastructure conteneurisée. Dans ce modèle, Docker facilite la création de conteneurs légers basés sur Linux et Kubernetes prend en charge la tâche d'orchestration et de gestion des conteneurs sur plusieurs hôtes.

Composants d'OpenShift

L'un des composants clés de l'architecture OpenShift est de gérer l'infrastructure conteneurisée dans Kubernetes. Kubernetes est responsable du déploiement et de la gestion de l'infrastructure. Dans n'importe quel cluster Kubernetes, nous pouvons avoir plus d'un maître et plusieurs nœuds, ce qui garantit qu'il n'y a pas de point de défaillance dans la configuration.

Composants principaux de la machine Kubernetes

Etcd- Il stocke les informations de configuration, qui peuvent être utilisées par chacun des nœuds du cluster. Il s'agit d'un magasin de valeurs de clés à haute disponibilité qui peut être réparti entre plusieurs nœuds. Il ne doit être accessible que par le serveur d'API Kubernetes car il peut contenir des informations sensibles. Il s'agit d'un magasin de valeurs clés distribué accessible à tous.

API Server- Kubernetes est un serveur API qui fournit toutes les opérations sur cluster à l'aide de l'API. Le serveur API implémente une interface qui signifie que différents outils et bibliothèques peuvent facilement communiquer avec lui. Un kubeconfig est un package avec les outils côté serveur qui peuvent être utilisés pour la communication. Il expose l'API Kubernetes ».

Controller Manager- Ce composant est responsable de la plupart des collecteurs qui régulent l'état du cluster et exécutent une tâche. Il peut être considéré comme un démon qui s'exécute dans une boucle sans terminaison et est responsable de la collecte et de l'envoi des informations au serveur API. Il vise à obtenir l'état partagé du cluster, puis à apporter des modifications pour ramener l'état actuel du serveur à un état souhaité. Les contrôleurs clés sont le contrôleur de réplication, le contrôleur de point de terminaison, le contrôleur d'espace de noms et le contrôleur de compte de service. Le gestionnaire de contrôleurs exécute différents types de contrôleurs pour gérer les nœuds, les points de terminaison, etc.

Scheduler- C'est un composant clé du maître Kubernetes. C'est un service en master qui se charge de répartir la charge de travail. Il est chargé de suivre l'utilisation de la charge de travail sur les nœuds du cluster, puis de placer la charge de travail sur laquelle les ressources sont disponibles et d'accepter la charge de travail. En d'autres termes, c'est le mécanisme responsable de l'allocation des pods aux nœuds disponibles. Le planificateur est responsable de l'utilisation de la charge de travail et de l'allocation d'un pod à un nouveau nœud.

Composants du nœud Kubernetes

Voici les composants clés du serveur Node, qui sont nécessaires pour communiquer avec le maître Kubernetes.

Docker - La première exigence de chaque nœud est Docker qui aide à exécuter les conteneurs d'applications encapsulés dans un environnement d'exploitation relativement isolé mais léger.

Kubelet Service- Il s'agit d'un petit service dans chaque nœud, qui est chargé de relayer les informations vers et depuis le service du plan de contrôle. Il interagit avec etcd store pour lire les détails de configuration et les valeurs de Wright. Cela communique avec le composant maître pour recevoir des commandes et travailler. Le processus kubelet assume alors la responsabilité de maintenir l'état de travail et le serveur de nœuds. Il gère les règles du réseau, la redirection de port, etc.

Kubernetes Proxy Service- Il s'agit d'un service proxy qui s'exécute sur chaque nœud et aide à rendre les services disponibles à l'hôte externe. Cela aide à transmettre la demande aux conteneurs corrects. Le service proxy Kubernetes est capable d'effectuer un équilibrage de charge primitif. Il garantit que l'environnement réseau est prévisible et accessible, mais en même temps il est également isolé. Il gère les pods sur le nœud, les volumes, les secrets, la création de nouveaux contrôles de santé des conteneurs, etc.

Registre de conteneurs OpenShift intégré

Le registre de conteneurs OpenShift est une unité de stockage intégrée de Red Hat, qui est utilisée pour stocker les images Docker. Avec la dernière version intégrée d'OpenShift, il a mis au point une interface utilisateur pour afficher les images dans le stockage interne d'OpenShift. Ces registres sont capables de contenir des images avec des balises spécifiées, qui sont ensuite utilisées pour en construire des conteneurs.

Termes fréquemment utilisés

Image- Les images Kubernetes (Docker) sont les principaux éléments constitutifs de l'infrastructure conteneurisée. À partir de maintenant, Kubernetes ne prend en charge que les images Docker. Chaque conteneur d'un pod a son image Docker en cours d'exécution à l'intérieur. Lors de la configuration d'un pod, la propriété d'image dans le fichier de configuration a la même syntaxe que la commande Docker.

Project - Ils peuvent être définis comme la version renommée du domaine qui était présente dans la version précédente d'OpenShift V2.

Container - Ce sont ceux qui sont créés après le déploiement de l'image sur un nœud de cluster Kubernetes.

Node- Un nœud est une machine de travail dans le cluster Kubernetes, également connu sous le nom de minion for master. Ce sont des unités de travail qui peuvent être une instance physique, VM ou cloud.

Pod- Un pod est une collection de conteneurs et son stockage à l'intérieur d'un nœud d'un cluster Kubernetes. Il est possible de créer un pod avec plusieurs conteneurs à l'intérieur. Par exemple, conserver le conteneur de base de données et le conteneur de serveur Web à l'intérieur du pod.

Dans ce chapitre, nous allons découvrir la configuration de l'environnement d'OpenShift.

Exigence du système

Afin de configurer OpenShift d'entreprise, il faut avoir un compte Red Hat actif. Comme OpenShift fonctionne sur l'architecture maître et nœud de Kubernetes, nous devons les configurer tous les deux sur des machines distinctes, une machine jouant le rôle de maître et d'autres sur le nœud. Afin de mettre en place les deux, il existe une configuration système minimale.

Configuration de la machine maître

Voici la configuration système minimale requise pour la configuration de la machine maître.

  • Une machine de base hébergée sur un environnement physique, virtuel ou sur l'un des environnements cloud.

  • Au moins Linux 7 avec les packages requis sur cette instance.

  • 2 cœurs de processeur.

  • Au moins 8 Go de RAM.

  • 30 Go de mémoire interne du disque dur.

Configuration de la machine du nœud

  • Image de base physique ou virtuelle donnée pour la machine maître.
  • Au moins Linux 7 sur la machine.
  • Docker installé avec une version non inférieure à 1.6.
  • 1 cœur de processeur.
  • 8 Go de RAM.
  • Disque dur de 15 Go pour l'hébergement des images et 15 Go pour le stockage des images.

Guide étape par étape de la configuration d'OpenShift

Dans la description suivante, nous allons configurer l'environnement de laboratoire OpenShift, qui peut être étendu ultérieurement à un cluster plus grand. Comme OpenShift nécessite une configuration de maître et de nœud, nous aurions besoin d'au moins deux machines hébergées sur des machines cloud, physiques ou virtuelles.

Step 1- Installez d'abord Linux sur les deux machines, là où Linux 7 devrait être la version la plus petite. Cela peut être fait en utilisant les commandes suivantes si l'on a un abonnement Red Hat actif.

# subscription-manager repos --disable = "*"

# subscription-manager repos --enable = "rhel-7-server-rpms"

# subscription-manager repos --enable = "rhel-7-server-extras-rpms"

# subscription-manager repos --enable = "rhel-7-server-optional-rpms"

# subscription-manager repos --enable = "rhel-7-server-ose-3.0-rpms"

# yum install wget git net-tools bind-utils iptables-services bridge-utils

# yum install wget git net-tools bind-utils iptables-services bridge-utils

# yum install python-virtualenv

# yum install gcc

# yum install httpd-tools

# yum install docker

# yum update

Une fois que tous les packages de base ci-dessus sont installés sur les deux machines, l'étape suivante consiste à configurer Docker sur les machines respectives.

Step 2- Configurez Docker pour qu'il autorise les communications non sécurisées sur le réseau local uniquement. Pour cela, modifiez le fichier Docker dans / etc / sysconfig. Si le fichier n'est pas présent, vous devez le créer manuellement.

# vi /etc/sysconfig/docker
OPTIONS = --selinux-enabled --insecure-registry 192.168.122.0/24

Après avoir configuré le Docker sur la machine maître, nous devons configurer une communication sans mot de passe entre les deux machines. Pour cela, nous utiliserons l'authentification par clé publique et privée.

Step 3 - Générez des clés sur la machine maître puis copiez la clé id_rsa.pub dans le fichier de clé autorisé de la machine noeud, ce qui peut être fait à l'aide de la commande suivante.

# ssh-keygen

# ssh-copy-id -i .ssh/id_rsa.pub [email protected]

Une fois que vous avez mis en place toutes les configurations ci-dessus, vous devez ensuite configurer OpenShift version 3 sur la machine maître.

Step 4 - Depuis la machine maître, exécutez la commande curl suivante.

# sh <(curl -s https://install.openshift.com/ose)

La commande ci-dessus mettra la configuration en place pour OSV3. La prochaine étape serait de configurer OpenShift V3 sur la machine.

Si vous ne pouvez pas télécharger directement depuis Internet, il peut être téléchargé à partir de https://install.openshift.com/portable/oo-install-ose.tgz en tant que package tar à partir duquel le programme d'installation peut s'exécuter sur la machine maître locale.

Une fois la configuration prête, nous devons commencer par la configuration réelle d'OSV3 sur les machines. Cette configuration est très spécifique pour tester l'environnement pour la production réelle, nous avons LDAP et d'autres éléments en place.

Step 5 - Sur la machine maître, configurez le code suivant situé sous /etc/openshift/master/master-config.yaml

# vi /etc/openshift/master/master-config.yaml
identityProviders:
- name: my_htpasswd_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /root/users.htpasswd
routingConfig:
subdomain: testing.com

Ensuite, créez un utilisateur standard pour l'administration par défaut.

# htpasswd -c /root/users.htpasswd admin

Step 6- Comme OpenShift utilise le registre Docker pour configurer les images, nous devons configurer le registre Docker. Ceci est utilisé pour créer et stocker les images Docker après la construction.

Créez un répertoire sur la machine à nœuds OpenShift à l'aide de la commande suivante.

# mkdir /images

Ensuite, connectez-vous à l'ordinateur maître à l'aide des informations d'identification d'administrateur par défaut, qui sont créées lors de la configuration du registre.

# oc login
Username: system:admin

Basculez vers le projet créé par défaut.

# oc project default

Step 7 - Créez un registre Docker.

#echo '{"kind":"ServiceAccount","apiVersion":"v1","metadata":{"name":"registry"}}' | oc create -f -

Modifiez les privilèges de l'utilisateur.

#oc edit scc privileged
users:
- system:serviceaccount:openshift-infra:build-controller
- system:serviceaccount:default:registry

Créez et modifiez le registre d'images.

#oadm registry --service-account = registry --
config = /etc/openshift/master/admin.kubeconfig --
credentials = /etc/openshift/master/openshift-registry.kubeconfig --
images = 'registry.access.redhat.com/openshift3/ose-${component}:${version}' --
mount-host = /images

Step 8 - Créez un routage par défaut.

Par défaut, OpenShift utilise OpenVswitch comme réseau logiciel. Utilisez la commande suivante pour créer un routage par défaut. Ceci est utilisé pour l'équilibrage de charge et le routage proxy. Le routeur est similaire au registre Docker et fonctionne également dans un registre.

# echo '{"kind":"ServiceAccount","apiVersion":"v1","metadata":{"name":"router"}}' | oc create -f -

Ensuite, modifiez les privilèges de l'utilisateur.

#oc edit scc privileged
users:
   - system:serviceaccount:openshift-infra:build-controller
   - system:serviceaccount:default:registry
   - system:serviceaccount:default:router

#oadm router router-1 --replicas = 1 --
credentials = '/etc/openshift/master/openshift-router.kubeconfig' --
images = 'registry.access.redhat.com/openshift3/ose-${component}:${version}'

Step 9 - Configurez le DNS.

Afin de gérer la demande d'URL, OpenShift a besoin d'un environnement DNS fonctionnel. Cette configuration DNS est requise pour créer un caractère générique, qui est requis pour créer un caractère générique DNS qui pointe vers un routeur.

# yum install bind-utils bind

# systemctl start named

# systemctl enable named

vi /etc/named.conf
options {listen-on port 53 { 10.123.55.111; };
forwarders {
   10.38.55.13;
   ;
};

zone "lab.com" IN {
   type master;
   file "/var/named/dynamic/test.com.zone";
   allow-update { none; };
};

Step 10- La dernière étape serait de configurer le serveur github sur la machine maître OpenShift V3, ce qui est facultatif. Cela peut être fait facilement en utilisant la séquence de commandes suivante.

#yum install curl openssh-server

#systemctl enable sshd

# systemctl start sshd

# firewall-cmd --permanent --add-service = http

# systemctl reload firewalld

#curl https://packages.gitlab.com/install/repositories/gitlab/gitlab-

#yum install gitlab-ce

# gitlab-ctl reconfigure

Une fois la configuration ci-dessus terminée, vous pouvez vérifier en testant et en déployant des applications, dont nous en saurons plus dans les chapitres suivants.

Avant de commencer avec la configuration et le déploiement réels des applications, nous devons comprendre certains termes et concepts de base utilisés dans OpenShift V3.

Conteneurs et images

Images

Ce sont les éléments de base d'OpenShift, qui sont formés à partir d'images Docker. Dans chaque pod sur OpenShift, le cluster a ses propres images en cours d'exécution à l'intérieur. Lorsque nous configurons un pod, nous avons un champ qui sera regroupé à partir du registre. Ce fichier de configuration extrait l'image et la déploie sur le nœud du cluster.

apiVersion: v1
kind: pod
metadata:
   name: Tesing_for_Image_pull -----------> Name of Pod
      spec:
containers:
- name: neo4j-server ------------------------> Name of the image
image: <Name of the Docker image>----------> Image to be pulled
imagePullPolicy: Always ------------->Image pull policy
command: [“echo”, “SUCCESS”] -------------------> Massage after image pull

Afin d'en extraire et de créer une image, exécutez la commande suivante. OC est le client pour communiquer avec l'environnement OpenShift après la connexion.

$ oc create –f Tesing_for_Image_pull

Récipient

Cela est créé lorsque l'image Docker est déployée sur le cluster OpenShift. Lors de la définition de toute configuration, nous définissons la section conteneur dans le fichier de configuration. Un conteneur peut avoir plusieurs images en cours d'exécution à l'intérieur et tous les conteneurs exécutés sur le nœud de cluster sont gérés par OpenShift Kubernetes.

spec:
   containers:
   - name: py ------------------------> Name of the container
   image: python----------> Image going to get deployed on container
   command: [“python”, “SUCCESS”]
   restartPocliy: Never --------> Restart policy of container

Voici les spécifications pour définir un conteneur contenant plusieurs images.

apiVersion: v1
kind: Pod
metadata:
   name: Tomcat
spec:
   containers:
   - name: Tomcat
   image: tomcat: 8.0
   ports:
   - containerPort: 7500
      imagePullPolicy: Always
      -name: Database
      Image: mongoDB
      Ports:
      - containerPort: 7501
imagePullPolicy: Always

Dans la configuration ci-dessus, nous avons défini un pod multi-conteneurs avec deux images de Tomcat et MongoDB à l'intérieur.

Pods et services

Pods

Le pod peut être défini comme une collection de conteneurs et de son stockage dans un nœud du cluster OpenShift (Kubernetes). En général, nous avons deux types de pod à partir d'un pod de conteneur unique à un pod multi-conteneurs.

Single Container Pod - Ceux-ci peuvent être facilement créés avec la commande OC ou par un fichier de configuration de base yml.

$ oc run <name of pod> --image = <name of the image from registry>

Créez-le avec un simple fichier yaml comme suit.

apiVersion: v1
kind: Pod
metadata:
   name: apache
spec:
   containers:
   - name: apache
   image: apache: 8.0
   ports:
      - containerPort: 7500
imagePullPolicy: Always

Une fois le fichier ci-dessus créé, il générera un pod avec la commande suivante.

$ oc create –f apache.yml

Multi-Container Pod- Les pods multi-conteneurs sont ceux dans lesquels nous avons plus d'un conteneur en cours d'exécution à l'intérieur. Ils sont créés à l'aide de fichiers yaml comme suit.

apiVersion: v1
kind: Pod
metadata:
   name: Tomcat
spec:
   containers:
   - name: Tomcat
   image: tomcat: 8.0
   ports:
      - containerPort: 7500
imagePullPolicy: Always
   -name: Database
   Image: mongoDB
   Ports:
      - containerPort: 7501
imagePullPolicy: Always

Après avoir créé ces fichiers, nous pouvons simplement utiliser la même méthode que ci-dessus pour créer un conteneur.

Service- Comme nous avons un ensemble de conteneurs fonctionnant à l'intérieur d'un pod, de la même manière nous avons un service qui peut être défini comme un ensemble logique de pods. C'est une couche abstraite au-dessus du pod, qui fournit une adresse IP et un nom DNS uniques à travers lesquels les pods sont accessibles. Le service aide à gérer la configuration de l'équilibrage de charge et à faire évoluer le pod très facilement. Dans OpenShift, un service est un objet REST dont la déification peut être publiée sur apiService sur OpenShift master pour créer une nouvelle instance.

apiVersion: v1
kind: Service
metadata:
   name: Tutorial_point_service
spec:
   ports:
      - port: 8080
         targetPort: 31999

Constructions et flux

Construit

Dans OpenShift, la construction est un processus de transformation d'images en conteneurs. C'est le traitement qui convertit le code source en image. Ce processus de construction fonctionne sur une stratégie prédéfinie de création de code source en image.

La construction traite plusieurs stratégies et sources.

Construire des stratégies

  • Source to Image- Il s'agit essentiellement d'un outil qui aide à créer des images reproductibles. Ces images sont toujours prêtes à être exécutées à l'aide de la commande d'exécution Docker.

  • Docker Build - Il s'agit du processus dans lequel les images sont construites à l'aide du fichier Docker en exécutant une simple commande de construction Docker.

  • Custom Build - Ce sont les builds qui sont utilisés pour créer des images Docker de base.

Créer des sources

Git- Cette source est utilisée lorsque le référentiel git est utilisé pour créer des images. Le Dockerfile est facultatif. Les configurations du code source ressemblent à ce qui suit.

source:
type: "Git"
git:
   uri: "https://github.com/vipin/testing.git"
   ref: "master"
contextDir: "app/dir"
dockerfile: "FROM openshift/ruby-22-centos7\nUSER example"

Dockerfile - Le Dockerfile est utilisé comme entrée dans le fichier de configuration.

source:
   type: "Dockerfile"
   dockerfile: "FROM ubuntu: latest
   RUN yum install -y httpd"

Image Streams- Les flux d'images sont créés après l'extraction des images. L'avantage d'un flux d'images est qu'il recherche des mises à jour sur la nouvelle version d'une image. Ceci est utilisé pour comparer un nombre illimité d'images de conteneurs au format Docker identifiées par des balises.

Les flux d'images peuvent effectuer automatiquement une action lorsqu'une nouvelle image est créée. Toutes les constructions et tous les déploiements peuvent surveiller l'action de l'image et effectuer une action en conséquence. Voici comment nous définissons une construction d'un flux.

apiVersion: v1
kind: ImageStream
metadata:
   annotations:
      openshift.io/generated-by: OpenShiftNewApp
   generation: 1
   labels:
      app: ruby-sample-build
   selflink: /oapi/v1/namespaces/test/imagestreams/origin-ruby-sample
   uid: ee2b9405-c68c-11e5-8a99-525400f25e34
spec: {}
status:
   dockerImageRepository: 172.30.56.218:5000/test/origin-ruby-sample
   tags:
   - items:
      - created: 2016-01-29T13:40:11Z
      dockerImageReference: 172.30.56.218:5000/test/origin-apache-sample
      generation: 1
      image: vklnld908.int.clsa.com/vipin/test
   tag: latest

Itinéraires et modèles

Itinéraires

Dans OpenShift, le routage est une méthode permettant d'exposer le service au monde externe en créant et en configurant un nom d'hôte accessible de l'extérieur. Les itinéraires et les points de terminaison sont utilisés pour exposer le service au monde externe, à partir duquel l'utilisateur peut utiliser la connectivité de nom (DNS) pour accéder à l'application définie.

Dans OpenShift, les routes sont créées à l'aide de routeurs qui sont déployés par l'administrateur OpenShift sur le cluster. Les routeurs sont utilisés pour lier les ports HTTP (80) et https (443) à des applications externes.

Voici les différents types de protocoles pris en charge par les routes -

  • HTTP
  • HTTPS
  • TSL et Web socket

Lors de la configuration du service, des sélecteurs sont utilisés pour configurer le service et trouver le point de terminaison à l'aide de ce service. Voici un exemple de la façon dont nous créons un service et le routage pour ce service en utilisant un protocole approprié.

{
   "kind": "Service",
   "apiVersion": "v1",
   "metadata": {"name": "Openshift-Rservice"},
   "spec": {
      "selector": {"name":"RService-openshift"},
      "ports": [
         {
            "protocol": "TCP",
            "port": 8888,
            "targetPort": 8080
         }
      ]
   }
}

Ensuite, exécutez la commande suivante et le service est créé.

$ oc create -f ~/training/content/Openshift-Rservice.json

Voici à quoi ressemble le service après sa création.

$ oc describe service Openshift-Rservice

Name:              Openshift-Rservice
Labels:            <none>
Selector:          name = RService-openshift
Type:              ClusterIP
IP:                172.30.42.80
Port:              <unnamed> 8080/TCP
Endpoints:         <none>
Session Affinity:  None
No events.

Créez un routage pour le service à l'aide du code suivant.

{
   "kind": "Route",
   "apiVersion": "v1",
   "metadata": {"name": "Openshift-service-route"},
   "spec": {
      "host": "hello-openshift.cloudapps.example.com",
      "to": {
         "kind": "Service",
         "name": "OpenShift-route-service"
      },
      "tls": {"termination": "edge"}
   }
}

Lorsque la commande OC est utilisée pour créer un itinéraire, une nouvelle instance de ressource d'itinéraire est créée.

Modèles

Les modèles sont définis comme un objet standard dans OpenShift qui peut être utilisé plusieurs fois. Il est paramétré avec une liste d'espaces réservés qui sont utilisés pour créer plusieurs objets. Cela peut être utilisé pour créer n'importe quoi, du pod au réseau, pour lequel les utilisateurs ont l'autorisation de créer. Une liste d'objets peut être créée si le modèle de l'interface CLI ou GUI de l'image est téléchargé dans le répertoire du projet.

apiVersion: v1
kind: Template
metadata:
   name: <Name of template>
   annotations:
      description: <Description of Tag>
      iconClass: "icon-redis"
      tags: <Tages of image>
objects:
   - apiVersion: v1
   kind: Pod
   metadata:
      name: <Object Specification>
spec:
   containers:
      image: <Image Name>
      name: master
      ports:
      - containerPort: <Container port number>
         protocol: <Protocol>
labels:
   redis: <Communication Type>

Authentification et autorisation

Authentification

Dans OpenShift, lors de la configuration de la structure maître et client, le maître propose une fonctionnalité intégrée du serveur OAuth. Le serveur OAuth est utilisé pour générer des jetons, qui sont utilisés pour l'authentification auprès de l'API. Depuis, OAuth est une configuration par défaut pour le maître, nous avons le fournisseur d'identité Autoriser tout utilisé par défaut. Différents fournisseurs d'identité sont présents et peuvent être configurés à/etc/openshift/master/master-config.yaml.

Il existe différents types de fournisseurs d'identité présents dans OAuth.

  • Autorise tout
  • Nier tous
  • HTPasswd
  • LDAP
  • Authentification de base

Autorise tout

apiVersion: v1
   kind: Pod
   metadata:
      name: redis-master
   spec:
      containers:
         image: dockerfile/redis
         name: master
      ports:
      - containerPort: 6379
         protocol: TCP
      oauthConfig:
      identityProviders:
      - name: my_allow_provider
         challenge: true
         login: true
      provider:
         apiVersion: v1
         kind: AllowAllPasswordIdentityProvider

Nier tous

apiVersion: v1
kind: Pod
metadata:
   name: redis-master
spec:
   containers:
      image: dockerfile/redis
   name: master
   ports:
   - containerPort: 6379
      protocol: TCP
   oauthConfig:
   identityProviders:
   - name: my_allow_provider
      challenge: true
      login: true
   provider:
      apiVersion: v1
      kind: DenyAllPasswordIdentityProvider

HTPasswd

Pour utiliser HTPasswd, nous devons d'abord configurer les outils Httpd sur la machine maître, puis le configurer de la même manière que nous l'avons fait pour les autres.

identityProviders:
   - name: my_htpasswd_provider
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: HTPasswdPasswordIdentityProvider

Autorisation

L'autorisation est une fonctionnalité d'OpenShift master, utilisée pour valider la validation d'un utilisateur. Cela signifie qu'il vérifie l'utilisateur qui tente d'effectuer une action pour voir si l'utilisateur est autorisé à effectuer cette action sur un projet donné. Cela aide l'administrateur à contrôler l'accès aux projets.

Les politiques d'autorisation sont contrôlées à l'aide de -

  • Rules
  • Roles
  • Bindings

L'évaluation de l'autorisation se fait en utilisant -

  • Identity
  • Action
  • Bindings

Utilisation des politiques -

  • Politique de cluster
  • Politique locale

OpenShift se compose de deux types de médianes pour créer et déployer des applications, soit par GUI ou par CLI. Dans ce chapitre, nous utiliserions CLI pour créer une nouvelle application. Nous utiliserions le client OC pour communiquer avec l'environnement OpenShift.

Créer une nouvelle application

Dans OpenShift, il existe trois méthodes pour créer une nouvelle application.

  • À partir d'un code source
  • À partir d'une image
  • À partir d'un modèle

À partir d'un code source

Lorsque nous essayons de créer une application à partir du code source, OpenShift recherche un fichier Docker qui devrait être présent dans le référentiel, qui définit le flux de construction de l'application. Nous utiliserons oc new-app pour créer une application.

La première chose à garder à l'esprit lors de l'utilisation d'un référentiel est qu'il doit pointer vers une origine dans le référentiel à partir de laquelle OpenShift va extraire le code et le construire.

Si le dépôt est cloné sur la machine Docker sur laquelle le client OC est installé et que l'utilisateur se trouve dans le même répertoire, il peut être créé à l'aide de la commande suivante.

$ oc new-app . <Hear. Denotes current working directory>

Voici un exemple de tentative de création à partir d'un dépôt distant pour une branche spécifique.

$ oc new-app https://github.com/openshift/Testing-deployment.git#test1

Ici, test1 est la branche à partir de laquelle nous essayons de créer une nouvelle application dans OpenShift.

Lors de la spécification d'un fichier Docker dans le référentiel, nous devons définir la stratégie de construction comme indiqué ci-dessous.

$ oc new-app OpenShift/OpenShift-test~https://github.com/openshift/Testingdeployment.git

À partir d'une image

Lors de la création d'une application à l'aide d'images, les images sont présentes sur le serveur Docker local, dans le référentiel Docker hébergé en interne ou sur le hub Docker. La seule chose dont un utilisateur doit s'assurer est qu'il a accès pour extraire des images du hub sans aucun problème.

OpenShift a la capacité de déterminer la source utilisée, qu'il s'agisse d'une image Docker ou d'un flux source. Cependant, si l'utilisateur le souhaite, il peut définir explicitement s'il s'agit d'un flux d'images ou d'une image Docker.

$ oc new-app - - docker-image tomcat

Utilisation d'un flux d'images -

$ oc new-app tomcat:v1

À partir d'un modèle

Les modèles peuvent être utilisés pour la création d'une nouvelle application. Il peut s'agir d'un modèle déjà existant ou de la création d'un nouveau modèle.

Le fichier yaml suivant est essentiellement un modèle qui peut être utilisé pour le déploiement.

apiVersion: v1
kind: Template
metadata:
   name: <Name of template>
   annotations:
      description: <Description of Tag>
      iconClass: "icon-redis"
      tags: <Tages of image>
objects:
   - apiVersion: v1
   kind: Pod
   metadata:
      name: <Object Specification>
spec:
   containers:
      image: <Image Name>
      name: master
      ports:
      - containerPort: <Container port number>
         protocol: <Protocol>
labels:
   redis: <Communication Type>

Développer et déployer une application Web

Développement d'une nouvelle application dans OpenShift

Afin de créer une nouvelle application dans OpenShift, nous devons écrire un nouveau code d'application et le construire à l'aide des commandes de construction OpenShift OC. Comme discuté, nous avons plusieurs façons de créer une nouvelle image. Ici, nous utiliserons un modèle pour créer l'application. Ce modèle créera une nouvelle application lorsqu'il sera exécuté avec la commande oc new-app.

Le modèle suivant va créer - Deux applications frontales et une base de données. Parallèlement à cela, il créera deux nouveaux services et ces applications seront déployées sur le cluster OpenShift. Lors de la création et du déploiement d'une application, nous devons initialement créer un espace de noms dans OpenShift et déployer l'application sous cet espace de noms.

Create a new namespace

$ oc new-project openshift-test --display-name = "OpenShift 3 Sample" --
description = "This is an example project to demonstrate OpenShift v3"

Modèle

{
   "kind": "Template",
   "apiVersion": "v1",
   "metadata": {
      "name": "openshift-helloworld-sample",
      "creationTimestamp": null,
         "annotations": {
         "description": "This example shows how to create a simple openshift
         application in openshift origin v3",
         "iconClass": "icon-openshift",
         "tags": "instant-app,openshift,mysql"
      }
   }
},

Définitions d'objets

Secret definition in a template

"objects": [
{
   "kind": "Secret",
   "apiVersion": "v1",
   "metadata": {"name": "dbsecret"},
   "stringData" : {
      "mysql-user" : "${MYSQL_USER}",
      "mysql-password" : "${MYSQL_PASSWORD}"
   }
},

Service definition in a template

{
   "kind": "Service",
   "apiVersion": "v1",
   "metadata": {
      "name": "frontend",
      "creationTimestamp": null
   },
   "spec": {
      "ports": [
         {
            "name": "web",
            "protocol": "TCP",
            "port": 5432,
            "targetPort": 8080,
            "nodePort": 0
         }
      ],
      "selector": {"name": "frontend"},
      "type": "ClusterIP",
      "sessionAffinity": "None"
   },
   "status": {
      "loadBalancer": {}
   }
},

Route definition in a template

{
   "kind": "Route",
   "apiVersion": "v1",
   "metadata": {
      "name": "route-edge",
      "creationTimestamp": null,
      "annotations": {
         "template.openshift.io/expose-uri": "http://{.spec.host}{.spec.path}"
      }
   },
   "spec": {
      "host": "www.example.com",
      "to": {
         "kind": "Service",
         "name": "frontend"
      },
      "tls": {
         "termination": "edge"
      }
   },
   "status": {}
},
{ 
   "kind": "ImageStream",
   "apiVersion": "v1",
   "metadata": {
      "name": "origin-openshift-sample",
      "creationTimestamp": null
   },
   "spec": {},
   "status": {
      "dockerImageRepository": ""
   }
},
{ 
   "kind": "ImageStream",
   "apiVersion": "v1",
   "metadata": {
      "name": "openshift-22-ubuntu7",
      "creationTimestamp": null 
   },
   "spec": {
      "dockerImageRepository": "ubuntu/openshift-22-ubuntu7"
   },
   "status": {
      "dockerImageRepository": ""
   }
},

Build config definition in a template

{
   "kind": "BuildConfig",
   "apiVersion": "v1",
   "metadata": {
      "name": "openshift-sample-build",
      "creationTimestamp": null,
      "labels": {name": "openshift-sample-build"}
   },
   "spec": {
      "triggers": [
         { "type": "GitHub",
            "github": {
            "secret": "secret101" } 
         },
         {
            "type": "Generic",
            "generic": {
               "secret": "secret101",
               "allowEnv": true } 
         },
         { 
            "type": "ImageChange",
            "imageChange": {} 
         },
         { "type": "ConfigChange”}
      ],
      "source": {
         "type": "Git",
         "git": {
            "uri": https://github.com/openshift/openshift-hello-world.git } 
      },
      "strategy": {
         "type": "Docker",
         "dockerStrategy": {
            "from": {
               "kind": "ImageStreamTag",
               "name": "openshift-22-ubuntu7:latest” 
            },
            "env": [
               {
                  "name": "EXAMPLE",
                  "value": "sample-app"
               } 
            ]
         }
      },
      "output": {
         "to": {
            "kind": "ImageStreamTag",
            "name": "origin-openshift-sample:latest"
         }
      },
      "postCommit": {
         "args": ["bundle", "exec", "rake", "test"]
      },
      "status": {
         "lastVersion": 0
      }
   }
},

Deployment config in a template

"status": {
   "lastVersion": 0
}
{
   "kind": "DeploymentConfig",
   "apiVersion": "v1",
   "metadata": {
      "name": "frontend",
      "creationTimestamp": null
   }
}, 
"spec": {
   "strategy": {
      "type": "Rolling",
      "rollingParams": {
         "updatePeriodSeconds": 1,
         "intervalSeconds": 1,
         "timeoutSeconds": 120,
         "pre": {
            "failurePolicy": "Abort",
            "execNewPod": {
               "command": [
                  "/bin/true"
               ],
               "env": [
                  { 
                     "name": "CUSTOM_VAR1",
                     "value": "custom_value1"
                  }
               ]
            }
         }
      }
   }
}
"triggers": [
   {
      "type": "ImageChange",
      "imageChangeParams": {
         "automatic": true,
         "containerNames": [
            "openshift-helloworld"
         ],
         "from": {
            "kind": "ImageStreamTag",
            "name": "origin-openshift-sample:latest"
         }
      }
   },
   {
      "type": "ConfigChange"
   }
],
"replicas": 2,
"selector": {
   "name": "frontend"
},
"template": {
   "metadata": {
      "creationTimestamp": null,
      "labels": {
         "name": "frontend"
      }
   },
   "spec": {
      "containers": [
         {
            "name": "openshift-helloworld",
            "image": "origin-openshift-sample",
            "ports": [
               { 
                  "containerPort": 8080,
                  "protocol": "TCP” 
               }
            ],
            "env": [
               {
                  "name": "MYSQL_USER",
                  "valueFrom": {
                     "secretKeyRef" : {
                        "name" : "dbsecret",
                        "key" : "mysql-user"
                     }
                  }
               },
               {
                  "name": "MYSQL_PASSWORD",
                  "valueFrom": {
                     "secretKeyRef" : {
                        "name" : "dbsecret",
                        "key" : "mysql-password"
                     }
                  }
               },
               {
                  "name": "MYSQL_DATABASE",
                  "value": "${MYSQL_DATABASE}"
               }
            ],
            "resources": {},
            "terminationMessagePath": "/dev/termination-log",
            "imagePullPolicy": "IfNotPresent",
            "securityContext": {
               "capabilities": {},
               "privileged": false
            }
         }
      ],
      "restartPolicy": "Always",
      "dnsPolicy": "ClusterFirst"
   },
   "status": {}
},

Service definition in a template

{
   "kind": "Service",
   "apiVersion": "v1",
   "metadata": {
      "name": "database",
      "creationTimestamp": null 
   },
   "spec": {
   "ports": [
      {
         "name": "db",
         "protocol": "TCP",
         "port": 5434,
         "targetPort": 3306,
         "nodePort": 0
      } 
   ],
   "selector": {
      "name": "database 
   },
   "type": "ClusterIP",
   "sessionAffinity": "None" },
   "status": {
      "loadBalancer": {}
   }
},

Deployment config definition in a template

{
   "kind": "DeploymentConfig",
   "apiVersion": "v1",
   "metadata": {
      "name": "database",
      "creationTimestamp": null
   },
   "spec": {
      "strategy": {
         "type": "Recreate",
         "resources": {}
      },
      "triggers": [
         {
            "type": "ConfigChange"
         }
      ],
      "replicas": 1,
      "selector": {"name": "database"},
      "template": {
         "metadata": {
            "creationTimestamp": null,
            "labels": {"name": "database"}
         },
         "template": {
            "metadata": {
               "creationTimestamp": null,
               "labels": {
                  "name": "database"
               } 
            },
            "spec": {
               "containers": [
                  {
                     "name": "openshift-helloworld-database",
                     "image": "ubuntu/mysql-57-ubuntu7:latest",
                     "ports": [
                        {
                           "containerPort": 3306,
                           "protocol": "TCP" 
                        }
                     ],
                     "env": [
                        {
                           "name": "MYSQL_USER",
                           "valueFrom": {
                              "secretKeyRef" : {
                                 "name" : "dbsecret",
                                 "key" : "mysql-user"
                              }
                           }
                        },
                        {
                           "name": "MYSQL_PASSWORD",
                           "valueFrom": {
                              "secretKeyRef" : {
                                 "name" : "dbsecret",
                                 "key" : "mysql-password"
                              }
                           }
                        },
                        {
                           "name": "MYSQL_DATABASE",
                           "value": "${MYSQL_DATABASE}" 
                        } 
                     ],
                     "resources": {},
                     "volumeMounts": [
                        {
                           "name": "openshift-helloworld-data",
                           "mountPath": "/var/lib/mysql/data"
                        }
                     ],
                     "terminationMessagePath": "/dev/termination-log",
                     "imagePullPolicy": "Always",
                     "securityContext": {
                        "capabilities": {},
                        "privileged": false
                     } 
                  }
               ],
               "volumes": [
                  { 
                     "name": "openshift-helloworld-data",
                     "emptyDir": {"medium": ""} 
                  } 
               ],
               "restartPolicy": "Always",
               "dnsPolicy": "ClusterFirst” 
            } 
         }
      },
      "status": {} 
   },
   "parameters": [
      { 
         "name": "MYSQL_USER",
         "description": "database username",
         "generate": "expression",
         "from": "user[A-Z0-9]{3}",
         "required": true 
      },
      {
         "name": "MYSQL_PASSWORD",
         "description": "database password",
         "generate": "expression",
         "from": "[a-zA-Z0-9]{8}",
         "required": true
      }, 
      {
         "name": "MYSQL_DATABASE",
         "description": "database name",
         "value": "root",
         "required": true 
      } 
   ],
   "labels": {
      "template": "application-template-dockerbuild" 
   } 
}

Le fichier modèle ci-dessus doit être compilé immédiatement. Nous devons d'abord copier tout le contenu dans un seul fichier et le nommer en tant que fichier yaml une fois terminé.

Nous devons exécuter la commande suivante pour créer l'application.

$ oc new-app application-template-stibuild.json
--> Deploying template openshift-helloworld-sample for "application-template-stibuild.json"

   openshift-helloworld-sample
   ---------
   This example shows how to create a simple ruby application in openshift origin v3
   * With parameters:
      * MYSQL_USER = userPJJ # generated
      * MYSQL_PASSWORD = cJHNK3se # generated
      * MYSQL_DATABASE = root

--> Creating resources with label app = ruby-helloworld-sample ...
   service "frontend" created
   route "route-edge" created
   imagestream "origin-ruby-sample" created
   imagestream "ruby-22-centos7" created
   buildconfig "ruby-sample-build" created
   deploymentconfig "frontend" created
   service "database" created
   deploymentconfig "database" created
   
--> Success
   Build scheduled, use 'oc logs -f bc/ruby-sample-build' to track its progress.
   Run 'oc status' to view your app.

Si nous souhaitons surveiller la construction, cela peut être fait en utilisant -

$ oc get builds

NAME                        TYPE      FROM          STATUS     STARTED         DURATION
openshift-sample-build-1    Source   Git@bd94cbb    Running    7 seconds ago   7s

Nous pouvons vérifier les applications déployées sur OpenShift en utilisant -

$ oc get pods
NAME                            READY   STATUS      RESTARTS   AGE
database-1-le4wx                1/1     Running     0          1m
frontend-1-e572n                1/1     Running     0          27s
frontend-1-votq4                1/1     Running     0          31s
opeshift-sample-build-1-build   0/1     Completed   0          1m

Nous pouvons vérifier si les services d'application sont créés selon la définition du service en utilisant

$ oc get services
NAME        CLUSTER-IP      EXTERNAL-IP     PORT(S)      SELECTOR          AGE
database    172.30.80.39    <none>         5434/TCP     name=database      1m
frontend    172.30.17.4     <none>         5432/TCP     name=frontend      1m

Dans OpenShift, nous avons plusieurs méthodes pour automatiser le pipeline de construction. Pour ce faire, nous devons créer une ressource BuildConfig pour décrire le flux de génération. Le flux dans BuildConfig peut être comparé à la définition de travail dans la définition de travail Jenkins. Lors de la création du flux de build, nous devons choisir la stratégie de build.

Fichier BuildConfig

Dans OpenShift, BuildConfig est un objet de repos utilisé pour se connecter à l'API, puis créer une nouvelle instance.

kind: "BuildConfig"
apiVersion: "v1"
metadata:
   name: "<Name of build config file>"
spec:
   runPolicy: "Serial"
   triggers:
   -
      type: "GitHub"
      github:
         secret: "<Secrete file name>"
   - type: "Generic"
   generic:
      secret: "secret101"
   -
   type: "ImageChange"
   source:
      type: "<Source of code>"
      git:
   uri: "https://github.com/openshift/openshift-hello-world"
   dockerfile: "FROM openshift/openshift-22-centos7\nUSER example"
   strategy:
      type: "Source"
      
sourceStrategy:
   from:
      kind: "ImageStreamTag"
      name: "openshift-20-centos7:latest"
   output:
      to:
         kind: "ImageStreamTag"
         name: "origin-openshift-sample:latest"
   postCommit:
      script: "bundle exec rake test"

Dans OpenShift, il existe quatre types de stratégies de construction.

  • Stratégie source-image
  • Stratégie Docker
  • Stratégie personnalisée
  • Stratégie de pipeline

Stratégie source-image

Permet de créer des images de conteneurs à partir du code source. Dans ce flux, le code réel est d'abord téléchargé dans le conteneur, puis compilé à l'intérieur. Le code compilé est déployé dans le même conteneur et l'image est créée à partir de ce code.

strategy:
   type: "Source"
   sourceStrategy:
      from:
         kind: "ImageStreamTag"
         name: "builder-image:latest"
      forcePull: true

Il existe plusieurs politiques stratégiques.

  • Forcepull
  • Constructions incrémentielles
  • Constructions externes

Stratégie Docker

Dans ce flux, OpenShift utilise Dockerfile pour créer l'image, puis télécharger les images créées dans le registre Docker.

strategy:
   type: Docker
   dockerStrategy:
      from:
         kind: "ImageStreamTag"
         name: "ubuntu:latest"

L'option de fichier Docker peut être utilisée à plusieurs emplacements à partir du chemin du fichier, sans cache et de l'extraction forcée.

  • De l'image
  • Chemin Dockerfile
  • Pas de cache
  • Force de traction

Stratégie personnalisée

C'est l'un des différents types de stratégie de construction, dans lequel il n'y a pas de contrainte telle que le résultat de la construction va être une image. Cela peut être comparé à un travail de style libre de Jenkins. Avec cela, nous pouvons créer Jar, rpm et d'autres packages.

strategy:
   type: "Custom"
   customStrategy:
      from:
         kind: "DockerImage"
         name: "openshift/sti-image-builder"

Il se compose de plusieurs stratégies de construction.

  • Expose la prise Docker
  • Secrets
  • Force de traction

Stratégie de pipeline

La stratégie de pipeline est utilisée pour créer des pipelines de construction personnalisés. Ceci est essentiellement utilisé pour implémenter le flux de travail dans le pipeline. Ce flux de génération utilise un flux de pipeline de génération personnalisé à l'aide du langage Groovy DSL. OpenShift créera un travail de pipeline dans Jenkins et l'exécutera. Ce flux de pipeline peut également être utilisé dans Jenkins. Dans cette stratégie, nous utilisons Jenkinsfile et ajoutons cela dans la définition de buildconfig.

Strategy:
   type: "JenkinsPipeline"
   jenkinsPipelineStrategy:
   jenkinsfile: "node('agent') {\nstage 'build'\nopenshiftBuild(buildConfig: 'OpenShift-build', showBuildLogs: 'true')\nstage 'deploy'\nopenshiftDeploy(deploymentConfig: 'backend')\n}"

Using build pipeline

kind: "BuildConfig"
apiVersion: "v1"
metadata:
   name: "test-pipeline"
spec:
   source:
      type: "Git"
      git:
         uri: "https://github.com/openshift/openshift-hello-world"
   strategy:
      type: "JenkinsPipeline"
      jenkinsPipelineStrategy:
         jenkinsfilePath: <file path repository>

OpenShift CLI est utilisé pour gérer les applications OpenShift à partir de la ligne de commande. OpenShift CLI a la capacité de gérer le cycle de vie des applications de bout en bout. En général, nous utiliserions OC qui est un client OpenShift pour communiquer avec OpenShift.

Configuration de l'interface de ligne de commande OpenShift

Afin de configurer le client OC sur un système d'exploitation différent, nous devons passer par différentes séquences d'étapes.

OC Client pour Windows

Step 1 - Téléchargez l'oc cli à partir du lien suivant https://github.com/openshift/origin/releases/tag/v3.6.0-alpha.2

Step 2 - Décompressez le package sur un chemin cible sur la machine.

Step 3 - Modifiez la variable d'environnement de chemin du système.

C:\Users\xxxxxxxx\xxxxxxxx>echo %PATH%

C:\oraclexe\app\oracle\product\10.2.0\server\bin;C:\Program Files 
(x86)\Intel\iCLS Client\;C:\Program Files\Intel\iCLS Client\;C:\Program Files 
(x86)\AMD APP\bin\x86_64;C:\Program Files (x86)\AMD APP\bin\x86;

C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\
v1.0\;C:\Program Files (x86)\Windows Live\Shared;C:\Program Files 
(x86)\ATI Technologies\ATI.ACE\C

ore-Static;C:\Program Files\Intel\Intel(R) Management Engine 
Components\DAL;C:\Program Files\Intel\Intel(R) Management Engine 
Components\IPT;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL;

Step 4 - Validez la configuration OC sous Windows.

C:\openshift-origin-client-tools-v3.6.0-alpha.2-3c221d5-windows>oc version
oc v3.6.0-alpha.2+3c221d5
kubernetes v1.6.1+5115d708d7
features: Basic-Auth

Client OC pour Mac OS X

Nous pouvons télécharger les fichiers binaires de configuration de Mac OS pour le même emplacement que pour Windows et les décompresser ultérieurement à un emplacement et définir un chemin d'exécutable sous la variable d'environnement PATH.

Alternatively

Nous pouvons utiliser Home brew et le configurer à l'aide de la commande suivante.

$ brew install openshift-cli

Client OC pour Linux

Sous la même page, nous avons le fichier tar pour l'installation Linux qui peut être utilisé pour l'installation. Plus tard, une variable de chemin peut être définie pointant vers cet emplacement exécutable particulier.

https://github.com/openshift/origin/releases/tag/v3.6.0-alpha.2

Décompressez le fichier tar à l'aide de la commande suivante.

$ tar –xf < path to the OC setup tar file >

Exécutez la commande suivante pour vérifier l'authentification.

C:\openshift-origin-client-tools-v3.6.0-alpha.2-3c221d5-windows>oc login
Server [https://localhost:8443]:

Fichiers de configuration CLI

Le fichier de configuration OC CLI est utilisé pour gérer plusieurs connexions au serveur OpenShift et le mécanisme d'authentification. Ce fichier de configuration est également utilisé pour stocker et gérer plusieurs profils et pour basculer entre eux. Un fichier de configuration normal ressemble à ce qui suit.

$ oc config view
apiVersion: v1
clusters:
   - cluster:
      server: https://vklnld908.int.example.com
   name: openshift
   
contexts:
- context:
   cluster: openshift
   namespace: testproject
   user: alice
   name: alice
current-context: alice
kind: Config
preferences: {}
users:
- name: vipin
   user:
      token: ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232

Configuration du client CLI

Pour définir les informations d'identification de l'utilisateur

$ oc config set-credentials <user_nickname>
[--client-certificate = <path/to/certfile>] [--client-key=<path/to/keyfile>]
[--token = <bearer_token>] [--username = <basic_user>] [--password = <basic_password>]

Pour définir le cluster

$ oc config set-cluster <cluster_nickname> [--server = <master_ip_or_fqdn>]
[--certificate-authority = <path/to/certificate/authority>]
[--api-version = <apiversion>] [--insecure-skip-tls-verify = true]

Exemple

$ oc config set-credentials vipin --token = ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232

Pour définir le contexte

$ oc config set-context <context_nickname> [--cluster = <cluster_nickname>]
[--user = <user_nickname>] [--namespace = <namespace>]

Profils CLI

Dans un seul fichier de configuration CLI, nous pouvons avoir plusieurs profils dans lesquels chaque profil a une configuration de serveur OpenShift différente, qui peut ensuite être utilisée pour basculer entre différents profils CLI.

apiVersion: v1
clusters: --→ 1
- cluster:
   insecure-skip-tls-verify: true
   server: https://vklnld908.int.example.com:8443
   name: vklnld908.int.example.com:8443
- cluster:
   insecure-skip-tls-verify: true
   server: https://vklnld1446.int.example.com:8443
   name: vklnld1446.int.example.com:8443
contexts: ---→ 2
- context:
   cluster: vklnld908.int.example.com:8443
   namespace: openshift-project
   user: vipin/vklnld908.int.example.com:8443
   name: openshift-project/vklnld908.int.example.com:8443/vipin
- context:
   cluster: vklnld908.int.example.com:8443
   namespace: testing-project
   user: alim/vklnld908.int.example.com:8443
   name: testproject-project/openshift1/alim
current-context: testing-project/vklnld908.int.example.com:8443/vipin - 3
kind: Config
preferences: {}

users:
- name: vipin/vklnld908.int.example.com:8443
user: ---→ 4
   token: ZCJKML2365jhdfafsdj797GkjgjGKJKJGjkg232

Dans la configuration ci-dessus, nous pouvons voir qu'elle est divisée en quatre sections principales à partir du cluster qui définit deux instances de machines maîtres OpenShift. La deuxième section de contexte définit deux contextes nommés vipin et alim. Le contexte actuel définit le contexte actuellement utilisé. Il peut être changé pour un autre contexte ou profil, si nous changeons la définition ici. Enfin, la définition de l'utilisateur et son jeton d'authentification sont définis qui dans notre cas est vipin.

Si nous voulons vérifier le profil en cours d'utilisation, cela peut être fait en utilisant -

$ oc status oc status In project testing Project (testing-project) $ oc project
Using project "testing-project" from context named "testing-
project/vklnld908.int.example.com:8443/vipin" on server "https://vklnld908.int.example.com:8443".

Si nous voulons passer à une autre CLI, cela peut être fait à partir de la ligne de commande en utilisant la commande suivante.

$ oc project openshift-project
Now using project "Openshift-project" on server "
https://vklnld908.int.example.com:8443".

En utilisant la commande ci-dessus, nous pouvons basculer entre les profils. À tout moment, si nous souhaitons afficher la configuration, nous pouvons utiliser la commande $ oc config view.

OpenShift CLI est capable d'effectuer toutes les configurations de base et avancées, la gestion, l'ajout et le déploiement d'applications.

Nous pouvons effectuer différents types d'opérations à l'aide des commandes OC. Ce client vous aide à développer, créer, déployer et exécuter vos applications sur n'importe quelle plateforme compatible OpenShift ou Kubernetes. Il inclut également les commandes d'administration pour gérer un cluster sous la sous-commande 'adm'.

Commandes de base

Le tableau suivant répertorie les commandes OC de base.

Sr.No. Commandes et description
1

Types

Une introduction aux concepts et au type

2

Login

Connectez-vous à un serveur

3

new-project

Demander un nouveau projet

4

new-app

Créer une nouvelle application

5

Status

Afficher un aperçu du projet en cours

6

Project

Passer à un autre projet

sept

Projects

Afficher les projets existants

8

Explain

Documentation des ressources

9

Cluster

Démarrer et arrêter le cluster OpenShift

S'identifier

Connectez-vous à votre serveur et enregistrez la connexion pour une utilisation ultérieure. Les nouveaux utilisateurs du client doivent exécuter cette commande pour se connecter à un serveur, établir une session authentifiée et enregistrer une connexion dans le fichier de configuration. La configuration par défaut sera enregistrée dans votre répertoire personnel sous ".kube / config".

Les informations requises pour se connecter - comme le nom d'utilisateur et le mot de passe, un jeton de session ou les détails du serveur peuvent être fournies via des indicateurs. S'il n'est pas fourni, la commande demandera une entrée utilisateur si nécessaire.

Usage

oc login [URL] [options]

Example

# Log in interactively
oc login

# Log in to the given server with the given certificate authority file
oc login localhost:8443 --certificate-authority = /path/to/cert.crt

# Log in to the given server with the given credentials (will not prompt interactively)
oc login localhost:8443 --username = myuser --password=mypass

Options -

-p, --password = " - Mot de passe, s'affiche s'il n'est pas fourni

-u, --username = " - Nom d'utilisateur, s'affiche s'il n'est pas fourni

--certificate-authority = "- Chemin vers un cert. fichier pour l'autorité de certification

--insecure-skip-tls-verify = false- Si vrai, le certificat du serveur ne sera pas vérifié pour la validité. Cela rendra vos connexions HTTPS non sécurisées

--token = " - Jeton porteur pour l'authentification auprès du serveur API

Pour obtenir les détails complets de toute commande, utilisez le oc <Command Name> --help commander.

Commandes de construction et de déploiement

Le tableau suivant répertorie les commandes de génération et de déploiement.

Sr.No. Commandes et description
1

Rollout

Gérer un déploiement Kubernetes ou OpenShift

2

Deploy

Afficher, démarrer, annuler ou réessayer un déploiement

3

Rollback

Rétablir une partie d'une application à son état précédent

4

new-build

Créer une nouvelle configuration de construction

5

start-build

Commencer une nouvelle construction

6

cancel-build

Annuler les versions en cours, en attente ou nouvelles

sept

import-image

Importe des images à partir d'un registre Docker

8

Tag

Marquer les images existantes dans des flux d'images

Commandes de gestion des applications

Le tableau suivant répertorie les commandes de gestion des applications.

Sr.No. Commandes et description
1

Get

Afficher une ou plusieurs ressources

2

Describe

Afficher les détails d'une ressource spécifique ou d'un groupe de ressources

3

Edit

Modifier une ressource sur le serveur

4

Set

Commandes qui aident à définir des fonctionnalités spécifiques sur les objets

5

Label

Mettre à jour les étiquettes sur une ressource

6

Annotate

Mettre à jour les annotations sur une ressource

sept

Expose

Exposez une application répliquée en tant que service ou route

8

Delete

Supprimer une ou plusieurs ressources

9

Scale

Modifier le nombre de pods dans un déploiement

dix

Autoscale

Mise à l'échelle automatique d'une configuration de déploiement, d'un déploiement, d'une réplication, d'un contrôleur ou d'un jeu de réplicas

11

Secrets

Gérer les secrets

12

Serviceaccounts

Gérez les comptes de service dans votre projet

Commandes de dépannage et de débogage

Le tableau suivant répertorie les commandes de dépannage et de débogage.

Sr.No. Commandes et description
1

logs

Imprimer les journaux d'une ressource

2

Rsh

Démarrer une session shell dans un pod

3

Rsync

Copier des fichiers entre le système de fichiers local et un pod

4

port-forward

Transférer un ou plusieurs ports locaux vers un pod

5

Debug

Lancer une nouvelle instance d'un pod pour le débogage

6

Exec

Exécuter une commande dans un conteneur

sept

Procy

Exécutez un proxy sur le serveur d'API Kubernetes

9

Attach

Attacher à un conteneur en cours d'exécution

dix

Run

Exécuter une image particulière sur le cluster

11

Cp

Copier des fichiers et des répertoires vers et depuis des conteneurs

Commandes avancées

Le tableau suivant répertorie les commandes avancées.

Sr.No. Commandes et description
1

adm

Outils de gestion d'un cluster

2

create

Créer une ressource par nom de fichier ou stdin

3

replace

Remplacer une ressource par nom de fichier ou stdin

4

apply

Appliquer une configuration à une ressource par nom de fichier ou stdin

5

patch

Mettre à jour le (s) champ (s) d'une ressource à l'aide du correctif de fusion stratégique

6

process

Traiter un modèle en liste de ressources

sept

export

Exportez les ressources afin qu'elles puissent être utilisées ailleurs

8

extract

Extraire des secrets ou des mappages de configuration sur le disque

9

idle

Ressources évolutives inactives

dix

observe

Observer les modifications des ressources et y réagir (expérimental)

11

policy

Gérer la politique d'autorisation

12

auth

Inspecter l'autorisation

13

convert

Convertir les fichiers de configuration entre différentes versions d'API

14

import

Commandes qui importent des applications

Commandes de réglage

Le tableau suivant répertorie les commandes de réglage.

Sr.No. Commandes et description
1

Logout

Mettre fin à la session serveur en cours

2

Config

Changer les fichiers de configuration pour le client

3

Whoami

Renvoyer des informations sur la session en cours

4

Completion

Sortie du code d'achèvement du shell pour le shell spécifié (bash ou zsh)

OpenShift utilise deux méthodes d'installation pour configurer le cluster OpenShift.

  • Méthode d'installation rapide
  • Méthode de configuration avancée

Configuration du cluster

Méthode d'installation rapide

Cette méthode est utilisée pour exécuter une configuration d'installation de cluster rapide et non atteinte. Pour utiliser cette méthode, nous devons d'abord installer le programme d'installation. Cela peut être fait en exécutant la commande suivante.

Interactive method

$ atomic-openshift-installer install

Ceci est utile lorsque l'on souhaite exécuter une configuration interactive.

Unattended installation method

Cette méthode est utilisée lorsque l'on souhaite mettre en place une méthode d'installation sans assistance, dans laquelle l'utilisateur peut définir un fichier de configuration yaml et le placer sous ~/.config/openshift/avec le nom installer.cfg.yml. Ensuite, la commande suivante peut être exécutée pour installer le–u tag.

$ atomic-openshift-installer –u install

Par défaut, il utilise le fichier de configuration situé sous ~/.config/openshift/. Ansible, d'autre part, est utilisé comme sauvegarde de l'installation.

version: v2
variant: openshift-enterprise
variant_version: 3.1
ansible_log_path: /tmp/ansible.log

deployment:
   ansible_ssh_user: root
   hosts:
   - ip: 172.10.10.1
   hostname: vklnld908.int.example.com
   public_ip: 24.222.0.1
   public_hostname: master.example.com
   roles:
      - master
      - node
   containerized: true
   connect_to: 24.222.0.1
   
   - ip: 172.10.10.2
   hostname: vklnld1446.int.example.com
   public_ip: 24.222.0.2
   public_hostname: node1.example.com
   roles:
      - node
   connect_to: 10.0.0.2
   
   - ip: 172.10.10.3
   hostname: vklnld1447.int.example.com
   public_ip: 10..22.2.3
   public_hostname: node2.example.com
   roles:
      - node
   connect_to: 10.0.0.3

roles:
   master:
      <variable_name1>: "<value1>"
      <variable_name2>: "<value2>"
   node:
      <variable_name1>: "<value1>"

Ici, nous avons une variable spécifique au rôle, qui peut être définie si l'on souhaite configurer une variable spécifique.

Une fois terminé, nous pouvons vérifier l'installation à l'aide de la commande suivante.

$ oc get nodes
NAME                    STATUS    AGE
master.example.com      Ready     10d
node1.example.com       Ready     10d
node2.example.com       Ready     10d

Installation avancée

L'installation avancée est entièrement basée sur la configuration Ansible dans laquelle la configuration complète de l'hôte et la définition des variables concernant la configuration du maître et du nœud sont présentes. Celui-ci contient tous les détails concernant la configuration.

Une fois que nous avons la configuration et que le playbook est prêt, nous pouvons simplement exécuter la commande suivante pour configurer le cluster.

$ ansible-playbook -i inventry/hosts ~/openshift-ansible/playbooks/byo/config.yml

Ajout d'hôtes à un cluster

Nous pouvons ajouter un hôte au cluster en utilisant -

  • Outil d'installation rapide
  • Méthode de configuration avancée

Quick installation toolfonctionne à la fois en mode interactif et non interactif. Utilisez la commande suivante.

$ atomic-openshift-installer -u -c </path/to/file> scaleup

Le format de mise à l'échelle du fichier de configuration d'application peut être utilisé pour ajouter à la fois le maître et le nœud.

Méthode de configuration avancée

Dans cette méthode, nous mettons à jour le fichier hôte d'Ansible, puis ajoutons un nouveau nœud ou des détails de serveur dans ce fichier. Le fichier de configuration ressemble à ce qui suit.

[OSEv3:children]
masters
nodes
new_nodes
new_master

Dans le même fichier d'hôtes Ansible, ajoutez des détails de variable concernant le nouveau nœud comme indiqué ci-dessous.

[new_nodes]
vklnld1448.int.example.com openshift_node_labels = "{'region': 'primary', 'zone': 'east'}"

Enfin, à l'aide du fichier hôte mis à jour, exécutez la nouvelle configuration et appelez le fichier de configuration pour terminer l'installation à l'aide de la commande suivante.

$ ansible-playbook -i /inventory/hosts /usr/share/ansible/openshift-ansible/playbooks/test/openshift-node/scaleup.yml

Gestion des journaux de cluster

Le journal de cluster OpenShift n'est rien d'autre que les journaux qui sont générés par le maître et les machines de nœuds du cluster. Ceux-ci peuvent gérer n'importe quel type de journal, à partir du journal du serveur, du journal principal, du journal du conteneur, du journal du pod, etc. Il existe plusieurs technologies et applications présentes pour la gestion des journaux de conteneur.

Rares sont les outils répertoriés, qui peuvent être mis en œuvre pour la gestion des journaux.

  • Fluentd
  • ELK
  • Kabna
  • Nagios
  • Splunk

ELK stack- Cette pile est utile en essayant de collecter les logs de tous les nœuds et de les présenter dans un format systématique. La pile ELK est principalement divisée en trois grandes catégories.

ElasticSearch - Principalement chargé de collecter les informations de tous les conteneurs et de les placer dans un emplacement central.

Fluentd - Utilisé pour alimenter les journaux collectés vers le moteur de conteneur elasticsearch.

Kibana - Une interface graphique utilisée pour présenter les données collectées comme une information utile dans une interface graphique.

Un point clé à noter est que lorsque ce système est déployé sur le cluster, il commence à collecter les journaux de tous les nœuds.

Diagnostics du journal

OpenShift a un intégré oc adm dignosticscommande avec OC qui peut être utilisée pour analyser plusieurs situations d'erreur. Cet outil peut être utilisé depuis le maître en tant qu'administrateur de cluster. Cet utilitaire est très utile pour le dépannage et la résolution des problèmes connus. Cela s'exécute sur le client principal et les nœuds.

S'il est exécuté sans aucun agrument ou indicateur, il recherchera les fichiers de configuration des machnies client, serveur et nœud, et les utilisera pour les diagnostics. On peut exécuter les diagnostics individuellement en passant les arguments suivants -

  • AggregatedLogging
  • AnalyzeLogs
  • ClusterRegistry
  • ClusterRoleBindings
  • ClusterRoles
  • ClusterRouter
  • ConfigContexts
  • DiagnosticPod
  • MasterConfigCheck
  • MasterNode
  • MetricsApiProxy
  • NetworkCheck
  • NodeConfigCheck
  • NodeDefinitions
  • ServiceExternalIPs
  • UnitStatus

On peut simplement les exécuter avec la commande suivante.

$ oc adm diagnostics <DiagnosticName>

Mettre à niveau un cluster

La mise à niveau du cluster implique la mise à niveau de plusieurs éléments au sein du cluster et la mise à jour du cluster avec de nouveaux composants et des mises à niveau. Cela implique -

  • Mise à niveau des composants principaux
  • Mise à niveau des composants du nœud
  • Mise à niveau des politiques
  • Mise à niveau des itinéraires
  • Mise à niveau du flux d'images

Afin d'effectuer toutes ces mises à niveau, nous devons d'abord mettre en place des installateurs ou des outils rapides. Pour cela, nous devons mettre à jour les utilitaires suivants -

  • atomic-openshift-utils
  • atomic-openshift-excluder
  • atomic-openshift-docker-excluder
  • paquet etcd

Avant de commencer la mise à niveau, nous devons sauvegarder etcd sur la machine maître, ce qui peut être fait à l'aide des commandes suivantes.

$ ETCD_DATA_DIR = /var/lib/origin/openshift.local.etcd
$ etcdctl backup \ --data-dir $ETCD_DATA_DIR \
   --backup-dir $ETCD_DATA_DIR.bak.<date>

Mise à niveau des composants principaux

Dans OpenShift master, nous commençons la mise à niveau en mettant à jour le fichier etcd, puis en passant à Docker. Enfin, nous exécutons l'exécuteur automatisé pour amener le cluster dans la position requise. Cependant, avant de commencer la mise à niveau, nous devons d'abord activer les packages atomic openshift sur chacun des maîtres. Cela peut être fait à l'aide des commandes suivantes.

Step 1 - Supprimer les paquets atomic-openshift

$ atomic-openshift-excluder unexclude

Step 2 - Mettez à jour etcd sur tous les maîtres.

$ yum update etcd

Step 3 - Redémarrez le service de etcd et vérifiez s'il a démarré avec succès.

$ systemctl restart etcd
$ journalctl -r -u etcd

Step 4 - Mettez à niveau le package Docker.

$ yum update docker

Step 5 - Redémarrez le service Docker et vérifiez s'il fonctionne correctement.

$ systemctl restart docker $ journalctl -r -u docker

Step 6 - Une fois terminé, redémarrez le système avec les commandes suivantes.

$ systemctl reboot $ journalctl -r -u docker

Step 7 - Enfin, exécutez atomic-executer pour ramener les paquets dans la liste des exclusions yum.

$ atomic-openshift-excluder exclude

Il n'y a pas une telle contrainte pour la mise à niveau de la politique, elle ne doit être mise à niveau que si elle est recommandée, ce qui peut être vérifié avec la commande suivante.

$ oadm policy reconcile-cluster-roles

Dans la plupart des cas, nous n'avons pas besoin de mettre à jour la définition de politique.

Mise à niveau des composants de nœud

Une fois la mise à jour principale terminée, nous pouvons commencer à mettre à niveau les nœuds. Une chose à garder à l'esprit est que la période de mise à niveau doit être courte afin d'éviter tout type de problème dans le cluster.

Step 1 - Supprimez tous les packages atomiques OpenShift de tous les nœuds sur lesquels vous souhaitez effectuer la mise à niveau.

$ atomic-openshift-excluder unexclude

Step 2 - Ensuite, désactivez la planification des nœuds avant la mise à niveau.

$ oadm manage-node <node name> --schedulable = false

Step 3 - Répliquez tous les nœuds de l'hôte actuel vers l'autre hôte.

$ oadm drain <node name> --force --delete-local-data --ignore-daemonsets

Step 4 - Mettre à niveau la configuration de Docker sur l'hôte.

$ yum update docker

Step 5 - Redémarrez le service Docker, puis démarrez le nœud de service Docker.

$systemctl restart docker $ systemctl restart atomic-openshift-node

Step 6 - Vérifiez si les deux ont démarré correctement.

$ journalctl -r -u atomic-openshift-node

Step 7 - Une fois la mise à niveau terminée, redémarrez la machine du nœud.

$ systemctl reboot
$ journalctl -r -u docker

Step 8 - Réactivez la planification sur les nœuds.

$ oadm manage-node <node> --schedulable.

Step 9 - Exécutez l'exécuteur atomic-openshift pour récupérer le package OpenShift sur le nœud.

$ atomic-openshift-excluder exclude

Step 10 - Enfin, vérifiez si tous les nœuds sont disponibles.

$ oc get nodes

NAME                 STATUS   AGE
master.example.com   Ready    12d
node1.example.com    Ready    12d
node2.example.com    Ready    12d

L'autoscaling est une fonctionnalité d'OpenShift dans laquelle les applications déployées peuvent évoluer et s'abaisser au fur et à mesure des besoins selon certaines spécifications. Dans l'application OpenShift, l'autoscaling est également appelé autoscaling de pod. Il y en a deuxtypes of application scaling comme suit.

Mise à l'échelle verticale

La mise à l'échelle verticale consiste à ajouter de plus en plus de puissance à une seule machine, ce qui signifie ajouter plus de CPU et de disque dur. Il s'agit d'une ancienne méthode d'OpenShift qui n'est plus prise en charge par les versions d'OpenShift.

Mise à l'échelle horizontale

Ce type de mise à l'échelle est utile lorsqu'il est nécessaire de traiter plus de demandes en augmentant le nombre de machines.

Dans OpenShift, il y a two methods to enable the scaling feature.

  • Utilisation du fichier de configuration de déploiement
  • Lors de l'exécution de l'image

Utilisation du fichier de configuration de déploiement

Dans cette méthode, la fonction de mise à l'échelle est activée via un fichier yaml de configuration de déploiement. Pour cela, la commande OC autoscale est utilisée avec un nombre minimum et maximum de réplicas, qui doivent s'exécuter à un moment donné dans le cluster. Nous avons besoin d'une définition d'objet pour la création de l'autoscaler. Voici un exemple de fichier de définition de l'autoscaler de pod.

apiVersion: extensions/v1beta1
kind: HorizontalPodAutoscaler
metadata:
   name: database
spec:
   scaleRef:
      kind: DeploymentConfig
      name: database
      apiVersion: v1
      subresource: scale
   minReplicas: 1
   maxReplicas: 10
   cpuUtilization:
      targetPercentage: 80

Une fois que nous avons le fichier en place, nous devons l'enregistrer au format yaml et exécuter la commande suivante pour le déploiement.

$ oc create –f <file name>.yaml

Lors de l'exécution de l'image

On peut également effectuer une mise à l'échelle automatique sans le fichier yaml, en utilisant ce qui suit oc autoscale commande en ligne de commande oc.

$ oc autoscale dc/database --min 1 --max 5 --cpu-percent = 75
deploymentconfig "database" autoscaled

Cette commande générera également un type de fichier similaire qui pourra ultérieurement être utilisé comme référence.

Stratégies de déploiement dans OpenShift

La stratégie de déploiement dans OpenShift définit un flux de déploiement avec différentes méthodes disponibles. Dans OpenShift, voici lesimportant types of deployment strategies.

  • Stratégie de roulement
  • Recréer la stratégie
  • Stratégie personnalisée

Voici un exemple de fichier de configuration de déploiement, qui est principalement utilisé pour le déploiement sur les nœuds OpenShift.

kind: "DeploymentConfig"
apiVersion: "v1"
metadata:
   name: "database"
spec:
   template:
      metadata:
         labels:
            name: "Database1"
spec:
   containers:
      - name: "vipinopenshifttest"
         image: "openshift/mongoDB"
         ports:
            - containerPort: 8080
               protocol: "TCP"
replicas: 5
selector:
   name: "database"
triggers:
- type: "ConfigChange"
- type: "ImageChange"
   imageChangeParams:
      automatic: true
      containerNames:
         - "vipinopenshifttest"
      from:
         kind: "ImageStreamTag"
         name: "mongoDB:latest"
   strategy:
      type: "Rolling"

Dans le fichier Deploymentconfig ci-dessus, nous avons la stratégie Rolling.

Nous pouvons utiliser la commande OC suivante pour le déploiement.

$ oc deploy <deployment_config> --latest

Stratégie de roulement

La stratégie de roulement est utilisée pour les mises à jour ou le déploiement progressifs. Ce processus prend également en charge les hooks de cycle de vie, qui sont utilisés pour injecter du code dans tout processus de déploiement.

strategy:
   type: Rolling
   rollingParams:
      timeoutSeconds: <time in seconds>
      maxSurge: "<definition in %>"
      maxUnavailable: "<Defintion in %>"
      pre: {}
      post: {}

Recréer la stratégie

Cette stratégie de déploiement présente certaines des fonctionnalités de base de la stratégie de déploiement progressif et prend également en charge le hook de cycle de vie.

strategy:
   type: Recreate
   recreateParams:
      pre: {}
      mid: {}
      post: {}

Stratégie personnalisée

Ceci est très utile lorsque l'on souhaite fournir son propre processus ou flux de déploiement. Toutes les personnalisations peuvent être effectuées selon l'exigence.

strategy:
   type: Custom
   customParams:
      image: organization/mongoDB
      command: [ "ls -l", "$HOME" ]
      environment:
         - name: VipinOpenshiftteat
         value: Dev1

Dans ce chapitre, nous aborderons des sujets tels que la gestion d'un nœud, la configuration d'un compte de service, etc.

Configuration du maître et du nœud

Dans OpenShift, nous devons utiliser la commande start avec OC pour démarrer un nouveau serveur. Lors du lancement d'un nouveau maître, nous devons utiliser le maître avec la commande start, tandis que lors du démarrage du nouveau nœud, nous devons utiliser le nœud avec la commande start. Pour ce faire, nous devons créer des fichiers de configuration pour le maître ainsi que pour les nœuds. Nous pouvons créer un fichier de configuration de base pour le maître et le nœud à l'aide de la commande suivante.

Pour le fichier de configuration principal

$ openshift start master --write-config = /openshift.local.config/master

Pour le fichier de configuration du nœud

$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>

Une fois que nous exécuterons les commandes suivantes, nous obtiendrons les fichiers de configuration de base qui peuvent être utilisés comme point de départ pour la configuration. Plus tard, nous pouvons avoir le même fichier pour démarrer les nouveaux serveurs.

apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
   logoutURL: ""
   masterPublicURL: https://172.10.12.1:7449
   publicURL: https://172.10.2.2:7449/console/
      servingInfo:
         bindAddress: 0.0.0.0:7449
         certFile: master.server.crt
         clientCA: ""
keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
   bindAddress: 0.0.0.0:53
etcdClientInfo:
   ca: ca.crt
   certFile: master.etcd-client.crt
   keyFile: master.etcd-client.key
   urls:
   - https://10.0.2.15:4001
etcdConfig:
   address: 10.0.2.15:4001
   peerAddress: 10.0.2.15:7001
   peerServingInfo:
      bindAddress: 0.0.0.0:7001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   servingInfo:
      bindAddress: 0.0.0.0:4001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
   kubernetesStoragePrefix: kubernetes.io
   kubernetesStorageVersion: v1
   openShiftStoragePrefix: openshift.io
   openShiftStorageVersion: v1
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: MasterConfig
kubeletClientInfo:
   ca: ca.crt
   certFile: master.kubelet-client.crt
   keyFile: master.kubelet-client.key
   port: 10250
kubernetesMasterConfig:
   apiLevels:
   - v1beta3
   - v1
   apiServerArguments: null
   controllerArguments: null
   masterCount: 1
   masterIP: 10.0.2.15
   podEvictionTimeout: 5m
   schedulerConfigFile: ""
   servicesNodePortRange: 30000-32767
   servicesSubnet: 172.30.0.0/16
   staticNodeNames: []
masterClients:
   externalKubernetesKubeConfig: ""
   openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
   clusterNetworkCIDR: 10.1.0.0/16
   hostSubnetLength: 8
   networkPluginName: ""
   serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
   assetPublicURL: https://172.10.2.2:7449/console/
   grantConfig:
      method: auto
   identityProviders:
   - challenge: true
   login: true
   name: anypassword
   provider:
      apiVersion: v1
      kind: AllowAllPasswordIdentityProvider
   masterPublicURL: https://172.10.2.2:7449/
   masterURL: https://172.10.2.2:7449/
   sessionConfig:
      sessionMaxAgeSeconds: 300
      sessionName: ssn
      sessionSecretsFile: ""
   tokenConfig:
      accessTokenMaxAgeSeconds: 86400
      authorizeTokenMaxAgeSeconds: 300
policyConfig:
   bootstrapPolicyFile: policy.json
   openshiftInfrastructureNamespace: openshift-infra
   openshiftSharedResourcesNamespace: openshift
projectConfig:
   defaultNodeSelector: ""
   projectRequestMessage: ""
   projectRequestTemplate: ""
   securityAllocator:
      mcsAllocatorRange: s0:/2
      mcsLabelsPerProject: 5
      uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
   subdomain: router.default.svc.cluster.local
serviceAccountConfig:
   managedNames:
   - default
   - builder
   - deployer
   
masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
servingInfo:
   bindAddress: 0.0.0.0:8443
   certFile: master.server.crt
   clientCA: ca.crt
   keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 3600

Fichiers de configuration de nœud

allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
   execHandlerName: native
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
   mtu: 1450
   networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com

podManifestConfig:
   path: "/path/to/pod-manifest-file"
   fileCheckIntervalSeconds: 30
servingInfo:
   bindAddress: 0.0.0.0:10250
   certFile: server.crt
   clientCA: node-client-ca.crt
   keyFile: server.key
volumeDirectory: /root/openshift.local.volumes

Voici à quoi ressemblent les fichiers de configuration des nœuds. Une fois ces fichiers de configuration en place, nous pouvons exécuter la commande suivante pour créer un serveur maître et nœud.

$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml

Gérer les nœuds

Dans OpenShift, nous avons l'utilitaire de ligne de commande OC qui est principalement utilisé pour effectuer toutes les opérations dans OpenShift. Nous pouvons utiliser les commandes suivantes pour gérer les nœuds.

Pour lister un nœud

$ oc get nodes
NAME                             LABELS
node1.example.com     kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com     kubernetes.io/hostname = vklnld1447.int.example.com

Décrire les détails d'un nœud

$ oc describe node <node name>

Supprimer un nœud

$ oc delete node <node name>

Liste des pods sur un nœud

$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]

Évaluation des pods sur un nœud

$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]

Authentification de la configuration

Dans OpenShift Master, il existe un serveur OAuth intégré, qui peut être utilisé pour gérer l'authentification. Tous les utilisateurs d'OpenShift obtiennent le jeton de ce serveur, ce qui les aide à communiquer avec l'API OpenShift.

Il existe différents types de niveaux d'authentification dans OpenShift, qui peuvent être configurés avec le fichier de configuration principal.

  • Autorise tout
  • Nier tous
  • HTPasswd
  • LDAP
  • Authentification de base
  • En-tête de la demande

Lors de la définition de la configuration principale, nous pouvons définir la politique d'identification où nous pouvons définir le type de politique que nous souhaitons utiliser.

Autorise tout

Autorise tout

oauthConfig:
   ...
   identityProviders:
   - name: Allow_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: AllowAllPasswordIdentityProvider

Nier tous

Cela refusera l'accès à tous les noms d'utilisateur et mots de passe.

oauthConfig:
   ...
   identityProviders:
   - name: deny_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: DenyAllPasswordIdentityProvider

HTPasswd

HTPasswd est utilisé pour valider le nom d'utilisateur et le mot de passe par rapport à un mot de passe de fichier crypté.

Pour générer un fichier crypté, voici la commande.

$ htpasswd </path/to/users.htpasswd> <user_name>

Utilisation du fichier crypté.

oauthConfig:
   ...
   identityProviders:
   - name: htpasswd_authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: HTPasswdPasswordIdentityProvider
         file: /path/to/users.htpasswd

Fournisseur d'identité LDAP

Ceci est utilisé pour l'authentification LDAP dans laquelle le serveur LDAP joue un rôle clé dans l'authentification.

oauthConfig:
   ...
   identityProviders:
   - name: "ldap_authontication"
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: LDAPPasswordIdentityProvider
         attributes:
            id:
            - dn
            email:
            - mail
            name:
            - cn
            preferredUsername:
            - uid
         bindDN: ""
         bindPassword: ""
         ca: my-ldap-ca-bundle.crt
         insecure: false
         url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"

Authentification de base

Ceci est utilisé lorsque la validation du nom d'utilisateur et du mot de passe est effectuée par rapport à une authentification de serveur à serveur. L'authentification est protégée dans l'URL de base et est présentée au format JSON.

oauthConfig:
   ...
   identityProviders:
   - name: my_remote_basic_auth_provider
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: BasicAuthPasswordIdentityProvider
         url: https://www.vklnld908.int.example.com/remote-idp
         ca: /path/to/ca.file
         certFile: /path/to/client.crt
         keyFile: /path/to/client.key

Configurer un compte de service

Les comptes de service offrent un moyen flexible d'accéder à l'API OpenShift en exposant le nom d'utilisateur et le mot de passe pour l'authentification.

Activation d'un compte de service

Le compte de service utilise une paire de clés publique et privée pour l'authentification. L'authentification à l'API se fait à l'aide d'une clé privée et en la validant par rapport à une clé publique.

ServiceAccountConfig:
   ...
   masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
   - ...

Créer un compte de service

Utilisez la commande suivante pour créer un compte de service

$ Openshift cli create service account <name of server account>

Utilisation du proxy HTTP

Dans la plupart des environnements de production, l'accès direct à Internet est limité. Ils ne sont pas exposés à Internet ou ils sont exposés via un proxy HTTP ou HTTPS. Dans un environnement OpenShift, cette définition de machine proxy est définie comme une variable d'environnement.

Cela peut être fait en ajoutant une définition de proxy sur les fichiers maître et nœud situés sous /etc/sysconfig. Ceci est similaire à ce que nous faisons pour toute autre application.

Machine principale

/ etc / sysconfig / openshift-master

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

Machine à nœuds

/ etc / sysconfig / openshift-node

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

Une fois cela fait, nous devons redémarrer les machines maître et nœud.

Pour Docker Pull

/ etc / sysconfig / docker

HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com

Afin de faire fonctionner un pod dans un environnement proxy, cela peut être fait en utilisant -

containers:
- env:
   - name: "HTTP_PROXY"
      value: "http://USER:PASSWORD@:10.0.1.1:8080"

La commande d'environnement OC peut être utilisée pour mettre à jour l'environnement env.

Stockage OpenShift avec NFS

Dans OpenShift, le concept de volume persistant et de revendication de volume persistant forme un stockage persistant. C'est l'un des concepts clés dans lesquels le premier volume persistant est créé et plus tard ce même volume est revendiqué. Pour cela, nous devons disposer de suffisamment de capacité et d'espace disque sur le matériel sous-jacent.

apiVersion: v1
kind: PersistentVolume
metadata:
   name: storage-unit1
spec:
   capacity:
      storage: 10Gi
   accessModes:
   - ReadWriteOnce
   nfs:
      path: /opt
      server: 10.12.2.2
   persistentVolumeReclaimPolicy: Recycle

Ensuite, à l'aide de la commande OC create, créez un volume persistant.

$ oc create -f storage-unit1.yaml

persistentvolume " storage-unit1 " created

Réclamer le volume créé.

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
   name: Storage-clame1
spec:
   accessModes:
      - ReadWriteOnce
   resources:
      requests:
         storage: 5Gi

Créez la revendication.

$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created

Gestion des utilisateurs et des rôles

L'administration des utilisateurs et des rôles permet de gérer les utilisateurs, leurs accès et leurs contrôles sur différents projets.

Créer un utilisateur

Des modèles prédéfinis peuvent être utilisés pour créer de nouveaux utilisateurs dans OpenShift.

kind: "Template"
apiVersion: "v1"
parameters:
   - name: vipin
   required: true
objects:
   - kind: "User"
   apiVersion: "v1"
   metadata:
   name: "${email}" - kind: "Identity" apiVersion: "v1" metadata: name: "vipin:${email}"
   providerName: "SAML"
   providerUserName: "${email}" - kind: "UserIdentityMapping" apiVersion: "v1" identity: name: "vipin:${email}"
user:
   name: "${email}"

Utilisez oc create –f <nom de fichier> pour créer des utilisateurs.

$ oc create –f vipin.yaml

Utilisez la commande suivante pour supprimer un utilisateur dans OpenShift.

$ oc delete user <user name>

Limiter l'accès des utilisateurs

ResourceQuotas et LimitRanges sont utilisés pour limiter les niveaux d'accès des utilisateurs. Ils sont utilisés pour limiter les pods et les conteneurs sur le cluster.

apiVersion: v1
kind: ResourceQuota
metadata:
   name: resources-utilization
spec:
   hard:
      pods: "10"

Création du devis en utilisant la configuration ci-dessus

$ oc create -f resource-quota.yaml –n –Openshift-sample

Décrire le devis de la ressource

$ oc describe quota resource-quota  -n  Openshift-sample
Name:              resource-quota
Namespace:                              Openshift-sample
Resource           Used                  Hard
--------           ----                  ----
pods                3                    10

La définition des limites du conteneur peut être utilisée pour limiter les ressources qui vont être utilisées par les conteneurs déployés. Ils permettent de définir les limites maximales et minimales de certains objets.

Limitations du projet utilisateur

Ceci est essentiellement utilisé pour le nombre de projets qu'un utilisateur peut avoir à tout moment. Ils sont essentiellement effectués en définissant les niveaux d'utilisateurs dans les catégories de bronze, d'argent et d'or.

Nous devons d'abord définir un objet qui détient la valeur du nombre de projets qu'une catégorie bronze, argent et or peut avoir. Celles-ci doivent être effectuées dans le fichier master-confif.yaml.

admissionConfig:
   pluginConfig:
      ProjectRequestLimit:
         configuration:
            apiVersion: v1
            kind: ProjectRequestLimitConfig
            limits:
            - selector:
               level: platinum
            - selector:
               level: gold
            maxProjects: 15
            - selector:
               level: silver
            maxProjects: 10
            - selector:
               level: bronze
            maxProjects: 5

Redémarrez le serveur maître.

Affecter un utilisateur à un niveau particulier.

$ oc label user vipin level = gold

Déplacement de l'utilisateur hors de l'étiquette, si nécessaire.

$ oc label user <user_name> level-

Ajouter des rôles à un utilisateur.

$ oadm policy add-role-to-user 
      
        <user_name> 
      

Suppression du rôle d'un utilisateur.

$ oadm policy remove-role-from-user 
      
        <user_name> 
      

Ajout d'un rôle de cluster à un utilisateur.

$ oadm policy add-cluster-role-to-user 
      
        <user_name> 
      

Suppression d'un rôle de cluster d'un utilisateur.

$ oadm policy remove-cluster-role-from-user 
      
        <user_name> 
      

Ajouter un rôle à un groupe.

$ oadm policy add-role-to-user 
      
        <user_name> 
      

Suppression d'un rôle d'un groupe.

$ oadm policy remove-cluster-role-from-user 
      
        <user_name> 
      

Ajout d'un rôle de cluster à un groupe.

$ oadm policy add-cluster-role-to-group 
      
        <groupname> 
      

Suppression d'un rôle de cluster d'un groupe.

$ oadm policy remove-cluster-role-from-group <role> <groupname>

Utilisateur pour l'administration du cluster

C'est l'un des rôles les plus puissants où l'utilisateur a la capacité de gérer un cluster complet à partir de la création jusqu'à la suppression d'un cluster.

$ oadm policy add-role-to-user admin <user_name> -n <project_name>

Utilisateur avec une puissance ultime

$ oadm policy add-cluster-role-to-user cluster-admin <user_name>

OpenShift est construit sur Docker et Kubernetes. Tous les conteneurs sont construits au-dessus du cluster Docker, qui est essentiellement un service Kubernetes au-dessus des machines Linux, à l'aide de la fonction d'orchestration de Kubernetes.

Dans ce processus, nous construisons un maître Kubernetes qui contrôle tous les nœuds et déploie les conteneurs sur tous les nœuds. La fonction principale de Kubernetes est de contrôler le cluster OpenShift et le flux de déploiement à l'aide d'un autre type de fichier de configuration. Comme dans Kubernetes, nous utilisons kubctl de la même manière que nous utilisons l'utilitaire de ligne de commande OC pour créer et déployer des conteneurs sur des nœuds de cluster.

Voici les différents types de fichiers de configuration utilisés pour la création de différents types d'objets dans le cluster.

  • Images
  • POD
  • Service
  • Contrôleur de réplication
  • Ensemble de répliques
  • Deployment

Images

Les images Kubernetes (Docker) sont les principaux éléments constitutifs de l'infrastructure conteneurisée. À partir de maintenant, Kubernetes ne prend en charge queDockerimages. Chaque conteneur d'un pod a son image Docker en cours d'exécution à l'intérieur.

apiVersion: v1
kind: pod
metadata:
   name: Tesing_for_Image_pull -----------> 1
   spec:
   containers:
- name: neo4j-server ------------------------> 2
image: <Name of the Docker image>----------> 3
imagePullPolicy: Always ------------->4
command: [“echo”, “SUCCESS”] -------------------> 5

COSSE

Un pod est une collection de conteneurs et son stockage à l'intérieur d'un nœud d'un cluster Kubernetes. Il est possible de créer un pod avec plusieurs conteneurs à l'intérieur. Voici un exemple de conservation d'un conteneur de base de données et d'un conteneur d'interface Web dans le même pod.

apiVersion: v1
kind: Pod
metadata:
   name: Tomcat
spec:
   containers:
   - name: Tomcat
      image: tomcat: 8.0
      ports:
- containerPort: 7500
imagePullPolicy: Always

Un service

Un service peut être défini comme un ensemble logique de pods. Il peut être défini comme une abstraction au-dessus du pod qui fournit une adresse IP et un nom DNS uniques permettant d'accéder aux pods. Avec Service, il est très facile de gérer la configuration de l'équilibrage de charge. Cela aide les POD à évoluer très facilement.

apiVersion: v1
kind: Service
metadata:
   name: Tutorial_point_service
spec:
   ports:
   - port: 8080
      targetPort: 31999

Contrôleur de réplication

Replication Controller est l'une des fonctionnalités clés de Kubernetes, qui est responsable de la gestion du cycle de vie des pods. Il est responsable de s'assurer que le nombre spécifié de répliques de pod est en cours d'exécution à tout moment.

apiVersion: v1
kind: ReplicationController
metadata:
   name: Tomcat-ReplicationController
spec:
   replicas: 3
   template:
   metadata:
      name: Tomcat-ReplicationController
   labels:
      app: App
      component: neo4j
   spec:
      containers:
      - name: Tomcat
      image: tomcat: 8.0
      ports:
      - containerPort: 7474

Ensemble de répliques

Le jeu de répliques garantit le nombre de répliques de pod devant être en cours d'exécution. Il peut être considéré comme un remplacement du contrôleur de réplication.

apiVersion: extensions/v1beta1
kind: ReplicaSet
metadata:
   name: Tomcat-ReplicaSet
spec:
   replicas: 3
   selector:
      matchLables:
      tier: Backend
   matchExpression:
      - { key: tier, operation: In, values: [Backend]}
   
   app: App
   component: neo4j
spec:
   containers:
   - name: Tomcat-
image: tomcat: 8.0
   ports:
containerPort: 7474

Déploiement

Les déploiements sont des versions mises à niveau et supérieures du contrôleur de réplication. Ils gèrent le déploiement des jeux de répliques, qui est également une version mise à niveau du contrôleur de réplication. Ils ont la capacité de mettre à jour le jeu de réplicas et ils sont également capables de revenir à la version précédente.

apiVersion: extensions/v1beta1 --------------------->1
kind: Deployment --------------------------> 2
metadata:
   name: Tomcat-ReplicaSet
spec:
   replicas: 3
   template:
      metadata:
lables:
   app: Tomcat-ReplicaSet
   tier: Backend
spec:
   containers:
name: Tomcat-
   image: tomcat: 8.0
   ports:
   - containerPort: 7474

Tous les fichiers de configuration peuvent être utilisés pour créer leurs objets Kubernetes respectifs.

$ Kubectl create –f <file name>.yaml

Les commandes suivantes peuvent être utilisées pour connaître les détails et la description des objets Kubernetes.

For POD

$ Kubectl get pod <pod name> $ kubectl delete pod <pod name>
$ kubectl describe pod <pod name>

For Replication Controller

$ Kubectl get rc <rc name>
$ kubectl delete rc <rc name> $ kubectl describe rc <rc name>

For Service

$ Kubectl get svc <svc name> $ kubectl delete svc <svc name>
$ kubectl describe svc <svc name>

Pour plus de détails sur la façon de travailler avec Docker et Kubernetes, veuillez visiter notre didacticiel Kubernetes en utilisant le lien suivant kubernetes .

La sécurité OpenShift est principalement une combinaison de deux composants qui gère principalement les contraintes de sécurité.

  • Contraintes de contexte de sécurité (SCC)
  • Compte de service

Contraintes de contexte de sécurité (SCC)

Il est essentiellement utilisé pour la restriction de pod, ce qui signifie qu'il définit les limitations d'un pod, comme les actions qu'il peut effectuer et à quoi tout ce qu'il peut accéder dans le cluster.

OpenShift fournit un ensemble de SCC prédéfinis qui peuvent être utilisés, modifiés et étendus par l'administrateur.

$ oc get scc
NAME              PRIV   CAPS  HOSTDIR  SELINUX    RUNASUSER         FSGROUP   SUPGROUP  PRIORITY
anyuid            false   []   false    MustRunAs  RunAsAny          RunAsAny  RunAsAny  10
hostaccess        false   []   true     MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>
hostmount-anyuid  false   []   true     MustRunAs  RunAsAny          RunAsAny  RunAsAny  <none>
nonroot           false   []   false    MustRunAs  MustRunAsNonRoot  RunAsAny  RunAsAny  <none>
privileged        true    []   true     RunAsAny   RunAsAny          RunAsAny  RunAsAny  <none>
restricted        false   []   false    MustRunAs  MustRunAsRange    RunAsAny  RunAsAny  <none>

Si l'on souhaite utiliser un scc prédéfini, cela peut être fait en ajoutant simplement l'utilisateur ou le groupe au groupe scc.

$ oadm policy add-user-to-scc <scc_name> <user_name> $ oadm policy add-group-to-scc <scc_name> <group_name>

Compte de service

Les comptes de service sont essentiellement utilisés pour contrôler l'accès à l'API maître OpenShift, qui est appelée lorsqu'une commande ou une demande est déclenchée à partir de l'un des ordinateurs maîtres ou nœuds.

Chaque fois qu'une application ou un processus nécessite une capacité qui n'est pas accordée par le SCC restreint, vous devrez créer un compte de service spécifique et ajouter le compte au SCC respectif. Cependant, si un SCC ne répond pas à vos besoins, il est préférable de créer un nouveau SCC spécifique à vos besoins plutôt que d'utiliser celui qui convient le mieux. À la fin, définissez-le pour la configuration de déploiement.

$ oc create serviceaccount Cadmin $ oc adm policy add-scc-to-user vipin -z Cadmin

Sécurité des conteneurs

Dans OpenShift, la sécurité des conteneurs est basée sur le concept de la sécurité de la plate-forme de conteneurs et de l'emplacement des conteneurs. Il y a plusieurs choses qui entrent en jeu lorsque nous parlons de sécurité des conteneurs et de ce qui doit être pris en compte.

Image Provenance - Un système d'étiquetage sécurisé est en place qui identifie de manière exacte et incontestable la provenance des conteneurs fonctionnant dans l'environnement de production.

Security Scanning - Un scanner d'images vérifie automatiquement toutes les images pour les vulnérabilités connues.

Auditing - L'environnement de production est régulièrement audité pour s'assurer que tous les conteneurs sont basés sur des conteneurs à jour, et que les hôtes et les conteneurs sont configurés de manière sécurisée.

Isolation and Least Privilege- Les conteneurs fonctionnent avec le minimum de ressources et de privilèges nécessaires pour fonctionner efficacement. Ils ne peuvent pas interférer indûment avec l'hôte ou d'autres conteneurs.

Runtime Threat Detection - Une capacité qui détecte les menaces actives contre les applications conteneurisées au moment de l'exécution et y répond automatiquement.

Access Controls - Les modules de sécurité Linux, tels que AppArmor ou SELinux, sont utilisés pour appliquer les contrôles d'accès.

Il existe quelques méthodes clés par lesquelles la sécurité des conteneurs est archivée.

  • Contrôle de l'accès via oAuth
  • Via la console Web en libre-service
  • Par certificats de plateforme

Contrôle de l'accès via OAuth

Dans cette méthode, l'authentification à l'accès de contrôle API est archivée en obtenant un jeton sécurisé pour l'authentification via les serveurs OAuth, qui est intégré à la machine maître OpenShift. En tant qu'administrateur, vous avez la possibilité de modifier la configuration de la configuration du serveur OAuth.

Pour plus de détails sur la configuration du serveur OAuth, reportez-vous au chapitre 5 de ce didacticiel.

Via la console Web en libre-service

Cette fonction de sécurité de la console Web est intégrée à la console Web OpenShift. Cette console garantit que toutes les équipes travaillant ensemble n'ont pas accès à d'autres environnements sans authentification. Le maître multi-telnet dans OpenShift a les fonctionnalités de sécurité suivantes -

  • La couche TCL est activée
  • Utilise le certificat x.509 pour l'authentification
  • Sécurise la configuration etcd sur la machine maître

Par certificats de plate-forme

Dans cette méthode, les certificats pour chaque hôte sont configurés lors de l'installation via Ansible. Comme il utilise le protocole de communication HTTPS via l'API Rest, nous avons besoin d'une connexion sécurisée TCL à différents composants et objets. Ce sont des certificats prédéfinis, cependant, on peut même avoir un certificat personnalisé installé sur le cluster du maître pour l'accès. Lors de la configuration initiale du maître, les certificats personnalisés peuvent être configurés en remplaçant les certificats existants à l'aide deopenshift_master_overwrite_named_certificates paramètre.

Example

openshift_master_named_certificates = [{"certfile": "/path/on/host/to/master.crt", 
"keyfile": "/path/on/host/to/master.key", 
"cafile": "/path/on/host/to/mastercert.crt"}]

Pour plus de détails sur la façon de générer des certificats personnalisés, visitez le lien suivant -

https://www.linux.com/learn/creating-self-signed-ssl-certificates-apache-linux

Sécurité Internet

Dans OpenShift, la mise en réseau définie par logiciel (SDN) est utilisée pour la communication. L'espace de noms réseau est utilisé pour chaque pod du cluster, dans lequel chaque pod obtient sa propre adresse IP et une plage de ports pour obtenir le trafic réseau dessus. Par cette méthode, on peut isoler les pods à cause desquels il ne peut pas communiquer avec les pods de l'autre projet.

Isoler un projet

Cela peut être fait par l'administrateur du cluster en utilisant les éléments suivants oadm command de CLI.

$ oadm pod-network isolate-projects <project name 1> <project name 2>

Cela signifie que les projets définis ci-dessus ne peuvent pas communiquer avec d'autres projets du cluster.

Sécurité du volume

La sécurité des volumes signifie clairement la sécurisation du PV et du PVC des projets dans le cluster OpenShift. Il existe principalement quatre sections pour contrôler l'accès aux volumes dans OpenShift.

  • Groupes supplémentaires
  • fsGroup
  • runAsUser
  • seLinuxOptions

Groupes supplémentaires - Les groupes supplémentaires sont des groupes Linux réguliers. Lorsqu'un processus s'exécute dans le système, il s'exécute avec un ID utilisateur et un ID de groupe. Ces groupes sont utilisés pour contrôler l'accès au stockage partagé.

Vérifiez le montage NFS à l'aide de la commande suivante.

# showmount -e <nfs-server-ip-or-hostname>
Export list for f21-nfs.vm:
/opt/nfs *

Vérifiez les détails NFS sur le serveur de montage à l'aide de la commande suivante.

# cat /etc/exports
/opt/nfs *(rw,sync,no_root_squash)
...
# ls -lZ /opt/nfs -d
drwxrws---. nfsnobody 2325 unconfined_u:object_r:usr_t:s0 /opt/nfs
# id nfsnobody
uid = 65534(nfsnobody) gid = 454265(nfsnobody) groups = 454265(nfsnobody)

L' export / opt / nfs / est accessible par UID454265 et le groupe 2325.

apiVersion: v1
kind: Pod
...
spec:
   containers:
   - name: ...
      volumeMounts:
      - name: nfs
         mountPath: /usr/share/...
   securityContext:
      supplementalGroups: [2325]
   volumes:
   - name: nfs
      nfs:
      server: <nfs_server_ip_or_host>
      path: /opt/nfs

fsGroup

fsGroup représente le groupe de système de fichiers utilisé pour ajouter des groupes supplémentaires de conteneurs. L'ID de groupe supplémentaire est utilisé pour le stockage partagé et fsGroup est utilisé pour le stockage en bloc.

kind: Pod
spec:
   containers:
   - name: ...
   securityContext:
      fsGroup: 2325

runAsUser

runAsUser utilise l'ID utilisateur pour la communication. Ceci est utilisé pour définir l'image du conteneur dans la définition du pod. Un utilisateur à identifiant unique peut être utilisé dans tous les conteneurs, si nécessaire.

Lors de l'exécution du conteneur, l'ID défini correspond à l'ID du propriétaire lors de l'exportation. Si l'ID spécifié est défini à l'extérieur, il devient alors global pour tous les conteneurs du pod. S'il est défini avec un pod spécifique, il devient alors spécifique à un seul conteneur.

spec:
   containers:
   - name: ...
      securityContext:
         runAsUser: 454265