OpenShift - प्रशासन

इस अध्याय में, हम ऐसे विषयों को शामिल करेंगे जैसे कि कैसे एक नोड का प्रबंधन करें, एक सेवा खाते को कॉन्फ़िगर करें, आदि।

मास्टर और नोड कॉन्फ़िगरेशन

OpenShift में, हमें नए सर्वर को बूट करने के लिए OC के साथ स्टार्ट कमांड का उपयोग करने की आवश्यकता है। नए मास्टर को लॉन्च करते समय, हमें स्टार्ट कमांड के साथ मास्टर का उपयोग करने की आवश्यकता होती है, जबकि नए नोड को शुरू करते समय हमें स्टार्ट कमांड के साथ नोड का उपयोग करने की आवश्यकता होती है। ऐसा करने के लिए, हमें मास्टर के साथ-साथ नोड्स के लिए कॉन्फ़िगरेशन फ़ाइल बनाने की आवश्यकता है। हम निम्नलिखित कमांड का उपयोग करके मास्टर और नोड के लिए एक मूल कॉन्फ़िगरेशन फ़ाइल बना सकते हैं।

मास्टर कॉन्फ़िगरेशन फ़ाइल के लिए

$ openshift start master --write-config = /openshift.local.config/master

नोड कॉन्फ़िगरेशन फ़ाइल के लिए

$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>

एक बार जब हम निम्नलिखित कमांड चलाते हैं, तो हमें आधार कॉन्फ़िगरेशन फाइलें मिलेंगी जिन्हें कॉन्फ़िगरेशन के लिए शुरुआती बिंदु के रूप में इस्तेमाल किया जा सकता है। बाद में, हम नए सर्वर को बूट करने के लिए एक ही फाइल रख सकते हैं।

apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
   logoutURL: ""
   masterPublicURL: https://172.10.12.1:7449
   publicURL: https://172.10.2.2:7449/console/
      servingInfo:
         bindAddress: 0.0.0.0:7449
         certFile: master.server.crt
         clientCA: ""
keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
   bindAddress: 0.0.0.0:53
etcdClientInfo:
   ca: ca.crt
   certFile: master.etcd-client.crt
   keyFile: master.etcd-client.key
   urls:
   - https://10.0.2.15:4001
etcdConfig:
   address: 10.0.2.15:4001
   peerAddress: 10.0.2.15:7001
   peerServingInfo:
      bindAddress: 0.0.0.0:7001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   servingInfo:
      bindAddress: 0.0.0.0:4001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
   kubernetesStoragePrefix: kubernetes.io
   kubernetesStorageVersion: v1
   openShiftStoragePrefix: openshift.io
   openShiftStorageVersion: v1
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: MasterConfig
kubeletClientInfo:
   ca: ca.crt
   certFile: master.kubelet-client.crt
   keyFile: master.kubelet-client.key
   port: 10250
kubernetesMasterConfig:
   apiLevels:
   - v1beta3
   - v1
   apiServerArguments: null
   controllerArguments: null
   masterCount: 1
   masterIP: 10.0.2.15
   podEvictionTimeout: 5m
   schedulerConfigFile: ""
   servicesNodePortRange: 30000-32767
   servicesSubnet: 172.30.0.0/16
   staticNodeNames: []
masterClients:
   externalKubernetesKubeConfig: ""
   openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
   clusterNetworkCIDR: 10.1.0.0/16
   hostSubnetLength: 8
   networkPluginName: ""
   serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
   assetPublicURL: https://172.10.2.2:7449/console/
   grantConfig:
      method: auto
   identityProviders:
   - challenge: true
   login: true
   name: anypassword
   provider:
      apiVersion: v1
      kind: AllowAllPasswordIdentityProvider
   masterPublicURL: https://172.10.2.2:7449/
   masterURL: https://172.10.2.2:7449/
   sessionConfig:
      sessionMaxAgeSeconds: 300
      sessionName: ssn
      sessionSecretsFile: ""
   tokenConfig:
      accessTokenMaxAgeSeconds: 86400
      authorizeTokenMaxAgeSeconds: 300
policyConfig:
   bootstrapPolicyFile: policy.json
   openshiftInfrastructureNamespace: openshift-infra
   openshiftSharedResourcesNamespace: openshift
projectConfig:
   defaultNodeSelector: ""
   projectRequestMessage: ""
   projectRequestTemplate: ""
   securityAllocator:
      mcsAllocatorRange: s0:/2
      mcsLabelsPerProject: 5
      uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
   subdomain: router.default.svc.cluster.local
serviceAccountConfig:
   managedNames:
   - default
   - builder
   - deployer
   
masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
servingInfo:
   bindAddress: 0.0.0.0:8443
   certFile: master.server.crt
   clientCA: ca.crt
   keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 3600

नोड कॉन्फ़िगरेशन फ़ाइलें

allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
   execHandlerName: native
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
   mtu: 1450
   networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com

podManifestConfig:
   path: "/path/to/pod-manifest-file"
   fileCheckIntervalSeconds: 30
servingInfo:
   bindAddress: 0.0.0.0:10250
   certFile: server.crt
   clientCA: node-client-ca.crt
   keyFile: server.key
volumeDirectory: /root/openshift.local.volumes

यह कैसे नोड कॉन्फ़िगरेशन फ़ाइलों की तरह दिखता है। एक बार जब हमारे पास ये कॉन्फ़िगरेशन फ़ाइलें होती हैं, तो हम मास्टर और नोड सर्वर बनाने के लिए निम्न कमांड चला सकते हैं।

$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml

नोड्स का प्रबंधन करना

OpenShift में, हमारे पास OC कमांड लाइन उपयोगिता है जो ज्यादातर OpenShift में सभी कार्यों को करने के लिए उपयोग की जाती है। नोड्स को प्रबंधित करने के लिए हम निम्नलिखित कमांड का उपयोग कर सकते हैं।

एक नोड लिस्टिंग के लिए

$ oc get nodes
NAME                             LABELS
node1.example.com     kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com     kubernetes.io/hostname = vklnld1447.int.example.com

एक नोड के बारे में विवरण बताते हुए

$ oc describe node <node name>

एक नोड को हटाना

$ oc delete node <node name>

एक नोड पर फली को सूचीबद्ध करना

$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]

एक नोड पर फली का मूल्यांकन

$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]

कॉन्फ़िगरेशन प्रमाणीकरण

ओपनशिफ्ट मास्टर में, एक अंतर्निहित OAuth सर्वर है, जिसका उपयोग प्रमाणीकरण के प्रबंधन के लिए किया जा सकता है। सभी OpenShift उपयोगकर्ताओं को इस सर्वर से टोकन मिलता है, जो उन्हें OpenShift API से संवाद करने में मदद करता है।

OpenShift में विभिन्न प्रकार के प्रमाणीकरण स्तर हैं, जिन्हें मुख्य कॉन्फ़िगरेशन फ़ाइल के साथ कॉन्फ़िगर किया जा सकता है।

  • सभी को अनुमति दें
  • सभी को नकार दें
  • HTPasswd
  • LDAP
  • मूल प्रमाणीकरण
  • हेडर का अनुरोध करें

मास्टर कॉन्फ़िगरेशन को परिभाषित करते समय, हम पहचान नीति को परिभाषित कर सकते हैं जहां हम उस प्रकार की नीति को परिभाषित कर सकते हैं जिसका हम उपयोग करना चाहते हैं।

सभी को अनुमति दें

सभी को अनुमति दें

oauthConfig:
   ...
   identityProviders:
   - name: Allow_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: AllowAllPasswordIdentityProvider

सभी को अस्वीकार करें

यह सभी उपयोगकर्ता नाम और पासवर्ड तक पहुंच से इनकार करेगा।

oauthConfig:
   ...
   identityProviders:
   - name: deny_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: DenyAllPasswordIdentityProvider

htpasswd

HTPasswd का उपयोग एन्क्रिप्टेड फ़ाइल पासवर्ड के खिलाफ उपयोगकर्ता नाम और पासवर्ड को मान्य करने के लिए किया जाता है।

एक एन्क्रिप्टेड फ़ाइल बनाने के लिए, निम्नलिखित कमांड है।

$ htpasswd </path/to/users.htpasswd> <user_name>

एन्क्रिप्टेड फ़ाइल का उपयोग करना।

oauthConfig:
   ...
   identityProviders:
   - name: htpasswd_authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: HTPasswdPasswordIdentityProvider
         file: /path/to/users.htpasswd

LDAP पहचान प्रदाता

यह LDAP प्रमाणीकरण के लिए उपयोग किया जाता है जिसमें LDAP सर्वर प्रमाणीकरण में एक महत्वपूर्ण भूमिका निभाता है।

oauthConfig:
   ...
   identityProviders:
   - name: "ldap_authontication"
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: LDAPPasswordIdentityProvider
         attributes:
            id:
            - dn
            email:
            - mail
            name:
            - cn
            preferredUsername:
            - uid
         bindDN: ""
         bindPassword: ""
         ca: my-ldap-ca-bundle.crt
         insecure: false
         url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"

मूल प्रमाणीकरण

इसका उपयोग तब किया जाता है जब सर्वर-से-सर्वर प्रमाणीकरण के खिलाफ उपयोगकर्ता नाम और पासवर्ड का सत्यापन किया जाता है। प्रमाणीकरण बेस URL में सुरक्षित है और JSON प्रारूप में प्रस्तुत किया गया है।

oauthConfig:
   ...
   identityProviders:
   - name: my_remote_basic_auth_provider
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: BasicAuthPasswordIdentityProvider
         url: https://www.vklnld908.int.example.com/remote-idp
         ca: /path/to/ca.file
         certFile: /path/to/client.crt
         keyFile: /path/to/client.key

सेवा खाता कॉन्फ़िगर करना

सेवा खाते OpenShift API तक पहुँचने का एक लचीला तरीका प्रदान करते हैं जो प्रमाणीकरण के लिए उपयोगकर्ता नाम और पासवर्ड को उजागर करता है।

सेवा खाता सक्षम करना

सेवा खाता प्रमाणीकरण के लिए सार्वजनिक और निजी कुंजी की एक प्रमुख जोड़ी का उपयोग करता है। एपीआई के लिए प्रमाणीकरण एक निजी कुंजी का उपयोग करके किया जाता है और इसे सार्वजनिक कुंजी के खिलाफ मान्य किया जाता है।

ServiceAccountConfig:
   ...
   masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
   - ...

एक सेवा खाता बनाना

सेवा खाता बनाने के लिए निम्नलिखित कमांड का उपयोग करें

$ Openshift cli create service account <name of server account>

HTTP प्रॉक्सी के साथ काम करना

अधिकांश उत्पादन वातावरण में, इंटरनेट तक सीधे पहुंच प्रतिबंधित है। वे या तो इंटरनेट के संपर्क में नहीं आते हैं या वे एक HTTP या HTTPS प्रॉक्सी के माध्यम से उजागर होते हैं। OpenShift वातावरण में, यह प्रॉक्सी मशीन परिभाषा एक पर्यावरण चर के रूप में सेट की गई है।

यह नीचे स्थित मास्टर और नोड फाइलों पर एक प्रॉक्सी परिभाषा जोड़कर किया जा सकता है /etc/sysconfig। यह वैसा ही है जैसा हम किसी अन्य एप्लिकेशन के लिए करते हैं।

मास्टर मशीन

/ Etc / sysconfig / OpenShift मास्टर

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

नोड मशीन

/ Etc / sysconfig / OpenShift नोड

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

एक बार हो जाने के बाद, हमें मास्टर और नोड मशीनों को पुनरारंभ करना होगा।

डॉकर पुल के लिए

/ Etc / sysconfig / डोकर

HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com

प्रॉक्सी वातावरण में पॉड रन बनाने के लिए, इसका उपयोग किया जा सकता है -

containers:
- env:
   - name: "HTTP_PROXY"
      value: "http://USER:PASSWORD@:10.0.1.1:8080"

मौजूदा पर्यावरण को अद्यतन करने के लिए OC पर्यावरण कमांड का उपयोग किया जा सकता है।

एनएफएस के साथ ओपनशिफ्ट स्टोरेज

ओपनशिफ्ट में, निरंतर मात्रा और निरंतर मात्रा के दावों की अवधारणा लगातार भंडारण बनाती है। यह उन प्रमुख अवधारणाओं में से एक है जिसमें पहले लगातार मात्रा बनाई जाती है और बाद में उसी मात्रा का दावा किया जाता है। इसके लिए, हमें अंतर्निहित हार्डवेयर पर पर्याप्त क्षमता और डिस्क स्थान होना चाहिए।

apiVersion: v1
kind: PersistentVolume
metadata:
   name: storage-unit1
spec:
   capacity:
      storage: 10Gi
   accessModes:
   - ReadWriteOnce
   nfs:
      path: /opt
      server: 10.12.2.2
   persistentVolumeReclaimPolicy: Recycle

अगला, OC create कमांड बनाने के लिए Persistent Volume का उपयोग करें।

$ oc create -f storage-unit1.yaml

persistentvolume " storage-unit1 " created

बनाई गई मात्रा का दावा करना।

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
   name: Storage-clame1
spec:
   accessModes:
      - ReadWriteOnce
   resources:
      requests:
         storage: 5Gi

दावा बनाएँ।

$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created

उपयोगकर्ता और भूमिका प्रबंधन

उपयोगकर्ता और भूमिका प्रशासन का उपयोग उपयोगकर्ताओं को प्रबंधित करने, उनकी पहुंच और विभिन्न परियोजनाओं पर नियंत्रण के लिए किया जाता है।

एक उपयोगकर्ता बनाना

OpenShift में नए उपयोगकर्ता बनाने के लिए पूर्वनिर्धारित टेम्पलेट्स का उपयोग किया जा सकता है।

kind: "Template"
apiVersion: "v1"
parameters:
   - name: vipin
   required: true
objects:
   - kind: "User"
   apiVersion: "v1"
   metadata:
   name: "${email}"
   
- kind: "Identity"
   apiVersion: "v1"
   metadata:
      name: "vipin:${email}"
   providerName: "SAML"
   providerUserName: "${email}"
- kind: "UserIdentityMapping"
apiVersion: "v1"
identity:
   name: "vipin:${email}"
user:
   name: "${email}"

उपयोगकर्ताओं को बनाने के लिए oc create -f <file name> का उपयोग करें।

$ oc create –f vipin.yaml

OpenShift में किसी उपयोगकर्ता को हटाने के लिए निम्न आदेश का उपयोग करें।

$ oc delete user <user name>

उपयोगकर्ता पहुँच को सीमित करना

रिसोर्सक्वाट्स और लिमिटिटर्स का उपयोग उपयोगकर्ता पहुँच स्तरों को सीमित करने के लिए किया जाता है। वे क्लस्टर पर फली और कंटेनरों को सीमित करने के लिए उपयोग किए जाते हैं।

apiVersion: v1
kind: ResourceQuota
metadata:
   name: resources-utilization
spec:
   hard:
      pods: "10"

उपरोक्त कॉन्फ़िगरेशन का उपयोग करके उद्धरण बनाना

$ oc create -f resource-quota.yaml –n –Openshift-sample

संसाधन उद्धरण का वर्णन करते हुए

$ oc describe quota resource-quota  -n  Openshift-sample
Name:              resource-quota
Namespace:                              Openshift-sample
Resource           Used                  Hard
--------           ----                  ----
pods                3                    10

कंटेनर की सीमाओं को परिभाषित करने का उपयोग उन संसाधनों को सीमित करने के लिए किया जा सकता है जो तैनात कंटेनरों द्वारा उपयोग किए जाने वाले हैं। उनका उपयोग कुछ वस्तुओं की अधिकतम और न्यूनतम सीमाओं को परिभाषित करने के लिए किया जाता है।

उपयोगकर्ता परियोजना की सीमाएँ

यह मूल रूप से उन परियोजनाओं के लिए उपयोग किया जाता है जो उपयोगकर्ता किसी भी समय हो सकते हैं। वे मूल रूप से कांस्य, चांदी और सोने की श्रेणियों में उपयोगकर्ता के स्तर को परिभाषित करके किया जाता है।

हमें पहले एक ऐसी वस्तु को परिभाषित करने की आवश्यकता है जो एक कांस्य, चांदी और स्वर्ण श्रेणी की कितनी परियोजनाओं का मूल्य रखती है। ये मास्टर-कॉनिफ़.ऑमएल फ़ाइल में किए जाने की आवश्यकता है।

admissionConfig:
   pluginConfig:
      ProjectRequestLimit:
         configuration:
            apiVersion: v1
            kind: ProjectRequestLimitConfig
            limits:
            - selector:
               level: platinum
            - selector:
               level: gold
            maxProjects: 15
            - selector:
               level: silver
            maxProjects: 10
            - selector:
               level: bronze
            maxProjects: 5

मास्टर सर्वर को पुनरारंभ करें।

उपयोगकर्ता को एक विशेष स्तर पर असाइन करना।

$ oc label user vipin level = gold

यदि आवश्यक हो, तो उपयोगकर्ता को लेबल से बाहर ले जाना।

$ oc label user <user_name> level-

एक उपयोगकर्ता के लिए भूमिकाएँ जोड़ना।

$ oadm policy add-role-to-user  <user_name>

उपयोगकर्ता से भूमिका को हटाना।

$ oadm policy remove-role-from-user  <user_name>

एक उपयोगकर्ता के लिए एक क्लस्टर भूमिका जोड़ना।

$ oadm policy add-cluster-role-to-user  <user_name>

उपयोगकर्ता से क्लस्टर भूमिका हटाना।

$ oadm policy remove-cluster-role-from-user  <user_name>

एक समूह में एक भूमिका जोड़ना।

$ oadm policy add-role-to-user  <user_name>

एक समूह से एक भूमिका हटाना।

$ oadm policy remove-cluster-role-from-user  <user_name>

समूह में क्लस्टर भूमिका जोड़ना।

$ oadm policy add-cluster-role-to-group  <groupname>

समूह से क्लस्टर भूमिका निकालना।

$ oadm policy remove-cluster-role-from-group <role> <groupname>

क्लस्टर प्रशासन के लिए उपयोगकर्ता

यह सबसे शक्तिशाली भूमिकाओं में से एक है जहां उपयोगकर्ता में क्लस्टर को हटाने तक निर्माण से शुरू होने वाले एक पूर्ण क्लस्टर का प्रबंधन करने की क्षमता है।

$ oadm policy add-role-to-user admin <user_name> -n <project_name>

अंतिम शक्ति वाला उपयोगकर्ता

$ oadm policy add-cluster-role-to-user cluster-admin <user_name>