OpenShift - प्रशासन
इस अध्याय में, हम ऐसे विषयों को शामिल करेंगे जैसे कि कैसे एक नोड का प्रबंधन करें, एक सेवा खाते को कॉन्फ़िगर करें, आदि।
मास्टर और नोड कॉन्फ़िगरेशन
OpenShift में, हमें नए सर्वर को बूट करने के लिए OC के साथ स्टार्ट कमांड का उपयोग करने की आवश्यकता है। नए मास्टर को लॉन्च करते समय, हमें स्टार्ट कमांड के साथ मास्टर का उपयोग करने की आवश्यकता होती है, जबकि नए नोड को शुरू करते समय हमें स्टार्ट कमांड के साथ नोड का उपयोग करने की आवश्यकता होती है। ऐसा करने के लिए, हमें मास्टर के साथ-साथ नोड्स के लिए कॉन्फ़िगरेशन फ़ाइल बनाने की आवश्यकता है। हम निम्नलिखित कमांड का उपयोग करके मास्टर और नोड के लिए एक मूल कॉन्फ़िगरेशन फ़ाइल बना सकते हैं।
मास्टर कॉन्फ़िगरेशन फ़ाइल के लिए
$ openshift start master --write-config = /openshift.local.config/master
नोड कॉन्फ़िगरेशन फ़ाइल के लिए
$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>
एक बार जब हम निम्नलिखित कमांड चलाते हैं, तो हमें आधार कॉन्फ़िगरेशन फाइलें मिलेंगी जिन्हें कॉन्फ़िगरेशन के लिए शुरुआती बिंदु के रूप में इस्तेमाल किया जा सकता है। बाद में, हम नए सर्वर को बूट करने के लिए एक ही फाइल रख सकते हैं।
apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
logoutURL: ""
masterPublicURL: https://172.10.12.1:7449
publicURL: https://172.10.2.2:7449/console/
servingInfo:
bindAddress: 0.0.0.0:7449
certFile: master.server.crt
clientCA: ""
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
bindAddress: 0.0.0.0:53
etcdClientInfo:
ca: ca.crt
certFile: master.etcd-client.crt
keyFile: master.etcd-client.key
urls:
- https://10.0.2.15:4001
etcdConfig:
address: 10.0.2.15:4001
peerAddress: 10.0.2.15:7001
peerServingInfo:
bindAddress: 0.0.0.0:7001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
servingInfo:
bindAddress: 0.0.0.0:4001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
kubernetesStoragePrefix: kubernetes.io
kubernetesStorageVersion: v1
openShiftStoragePrefix: openshift.io
openShiftStorageVersion: v1
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: MasterConfig
kubeletClientInfo:
ca: ca.crt
certFile: master.kubelet-client.crt
keyFile: master.kubelet-client.key
port: 10250
kubernetesMasterConfig:
apiLevels:
- v1beta3
- v1
apiServerArguments: null
controllerArguments: null
masterCount: 1
masterIP: 10.0.2.15
podEvictionTimeout: 5m
schedulerConfigFile: ""
servicesNodePortRange: 30000-32767
servicesSubnet: 172.30.0.0/16
staticNodeNames: []
masterClients:
externalKubernetesKubeConfig: ""
openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
clusterNetworkCIDR: 10.1.0.0/16
hostSubnetLength: 8
networkPluginName: ""
serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
assetPublicURL: https://172.10.2.2:7449/console/
grantConfig:
method: auto
identityProviders:
- challenge: true
login: true
name: anypassword
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
masterPublicURL: https://172.10.2.2:7449/
masterURL: https://172.10.2.2:7449/
sessionConfig:
sessionMaxAgeSeconds: 300
sessionName: ssn
sessionSecretsFile: ""
tokenConfig:
accessTokenMaxAgeSeconds: 86400
authorizeTokenMaxAgeSeconds: 300
policyConfig:
bootstrapPolicyFile: policy.json
openshiftInfrastructureNamespace: openshift-infra
openshiftSharedResourcesNamespace: openshift
projectConfig:
defaultNodeSelector: ""
projectRequestMessage: ""
projectRequestTemplate: ""
securityAllocator:
mcsAllocatorRange: s0:/2
mcsLabelsPerProject: 5
uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
subdomain: router.default.svc.cluster.local
serviceAccountConfig:
managedNames:
- default
- builder
- deployer
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
servingInfo:
bindAddress: 0.0.0.0:8443
certFile: master.server.crt
clientCA: ca.crt
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 3600
नोड कॉन्फ़िगरेशन फ़ाइलें
allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
execHandlerName: native
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
mtu: 1450
networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com
podManifestConfig:
path: "/path/to/pod-manifest-file"
fileCheckIntervalSeconds: 30
servingInfo:
bindAddress: 0.0.0.0:10250
certFile: server.crt
clientCA: node-client-ca.crt
keyFile: server.key
volumeDirectory: /root/openshift.local.volumes
यह कैसे नोड कॉन्फ़िगरेशन फ़ाइलों की तरह दिखता है। एक बार जब हमारे पास ये कॉन्फ़िगरेशन फ़ाइलें होती हैं, तो हम मास्टर और नोड सर्वर बनाने के लिए निम्न कमांड चला सकते हैं।
$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml
नोड्स का प्रबंधन करना
OpenShift में, हमारे पास OC कमांड लाइन उपयोगिता है जो ज्यादातर OpenShift में सभी कार्यों को करने के लिए उपयोग की जाती है। नोड्स को प्रबंधित करने के लिए हम निम्नलिखित कमांड का उपयोग कर सकते हैं।
एक नोड लिस्टिंग के लिए
$ oc get nodes
NAME LABELS
node1.example.com kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com kubernetes.io/hostname = vklnld1447.int.example.com
एक नोड के बारे में विवरण बताते हुए
$ oc describe node <node name>
एक नोड को हटाना
$ oc delete node <node name>
एक नोड पर फली को सूचीबद्ध करना
$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]
एक नोड पर फली का मूल्यांकन
$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]
कॉन्फ़िगरेशन प्रमाणीकरण
ओपनशिफ्ट मास्टर में, एक अंतर्निहित OAuth सर्वर है, जिसका उपयोग प्रमाणीकरण के प्रबंधन के लिए किया जा सकता है। सभी OpenShift उपयोगकर्ताओं को इस सर्वर से टोकन मिलता है, जो उन्हें OpenShift API से संवाद करने में मदद करता है।
OpenShift में विभिन्न प्रकार के प्रमाणीकरण स्तर हैं, जिन्हें मुख्य कॉन्फ़िगरेशन फ़ाइल के साथ कॉन्फ़िगर किया जा सकता है।
- सभी को अनुमति दें
- सभी को नकार दें
- HTPasswd
- LDAP
- मूल प्रमाणीकरण
- हेडर का अनुरोध करें
मास्टर कॉन्फ़िगरेशन को परिभाषित करते समय, हम पहचान नीति को परिभाषित कर सकते हैं जहां हम उस प्रकार की नीति को परिभाषित कर सकते हैं जिसका हम उपयोग करना चाहते हैं।
सभी को अनुमति दें
सभी को अनुमति दें
oauthConfig:
...
identityProviders:
- name: Allow_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
सभी को अस्वीकार करें
यह सभी उपयोगकर्ता नाम और पासवर्ड तक पहुंच से इनकार करेगा।
oauthConfig:
...
identityProviders:
- name: deny_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
htpasswd
HTPasswd का उपयोग एन्क्रिप्टेड फ़ाइल पासवर्ड के खिलाफ उपयोगकर्ता नाम और पासवर्ड को मान्य करने के लिए किया जाता है।
एक एन्क्रिप्टेड फ़ाइल बनाने के लिए, निम्नलिखित कमांड है।
$ htpasswd </path/to/users.htpasswd> <user_name>
एन्क्रिप्टेड फ़ाइल का उपयोग करना।
oauthConfig:
...
identityProviders:
- name: htpasswd_authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /path/to/users.htpasswd
LDAP पहचान प्रदाता
यह LDAP प्रमाणीकरण के लिए उपयोग किया जाता है जिसमें LDAP सर्वर प्रमाणीकरण में एक महत्वपूर्ण भूमिका निभाता है।
oauthConfig:
...
identityProviders:
- name: "ldap_authontication"
challenge: true
login: true
provider:
apiVersion: v1
kind: LDAPPasswordIdentityProvider
attributes:
id:
- dn
email:
- mail
name:
- cn
preferredUsername:
- uid
bindDN: ""
bindPassword: ""
ca: my-ldap-ca-bundle.crt
insecure: false
url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"
मूल प्रमाणीकरण
इसका उपयोग तब किया जाता है जब सर्वर-से-सर्वर प्रमाणीकरण के खिलाफ उपयोगकर्ता नाम और पासवर्ड का सत्यापन किया जाता है। प्रमाणीकरण बेस URL में सुरक्षित है और JSON प्रारूप में प्रस्तुत किया गया है।
oauthConfig:
...
identityProviders:
- name: my_remote_basic_auth_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: BasicAuthPasswordIdentityProvider
url: https://www.vklnld908.int.example.com/remote-idp
ca: /path/to/ca.file
certFile: /path/to/client.crt
keyFile: /path/to/client.key
सेवा खाता कॉन्फ़िगर करना
सेवा खाते OpenShift API तक पहुँचने का एक लचीला तरीका प्रदान करते हैं जो प्रमाणीकरण के लिए उपयोगकर्ता नाम और पासवर्ड को उजागर करता है।
सेवा खाता सक्षम करना
सेवा खाता प्रमाणीकरण के लिए सार्वजनिक और निजी कुंजी की एक प्रमुख जोड़ी का उपयोग करता है। एपीआई के लिए प्रमाणीकरण एक निजी कुंजी का उपयोग करके किया जाता है और इसे सार्वजनिक कुंजी के खिलाफ मान्य किया जाता है।
ServiceAccountConfig:
...
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
- ...
एक सेवा खाता बनाना
सेवा खाता बनाने के लिए निम्नलिखित कमांड का उपयोग करें
$ Openshift cli create service account <name of server account>
HTTP प्रॉक्सी के साथ काम करना
अधिकांश उत्पादन वातावरण में, इंटरनेट तक सीधे पहुंच प्रतिबंधित है। वे या तो इंटरनेट के संपर्क में नहीं आते हैं या वे एक HTTP या HTTPS प्रॉक्सी के माध्यम से उजागर होते हैं। OpenShift वातावरण में, यह प्रॉक्सी मशीन परिभाषा एक पर्यावरण चर के रूप में सेट की गई है।
यह नीचे स्थित मास्टर और नोड फाइलों पर एक प्रॉक्सी परिभाषा जोड़कर किया जा सकता है /etc/sysconfig। यह वैसा ही है जैसा हम किसी अन्य एप्लिकेशन के लिए करते हैं।
मास्टर मशीन
/ Etc / sysconfig / OpenShift मास्टर
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
नोड मशीन
/ Etc / sysconfig / OpenShift नोड
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
एक बार हो जाने के बाद, हमें मास्टर और नोड मशीनों को पुनरारंभ करना होगा।
डॉकर पुल के लिए
/ Etc / sysconfig / डोकर
HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com
प्रॉक्सी वातावरण में पॉड रन बनाने के लिए, इसका उपयोग किया जा सकता है -
containers:
- env:
- name: "HTTP_PROXY"
value: "http://USER:PASSWORD@:10.0.1.1:8080"
मौजूदा पर्यावरण को अद्यतन करने के लिए OC पर्यावरण कमांड का उपयोग किया जा सकता है।
एनएफएस के साथ ओपनशिफ्ट स्टोरेज
ओपनशिफ्ट में, निरंतर मात्रा और निरंतर मात्रा के दावों की अवधारणा लगातार भंडारण बनाती है। यह उन प्रमुख अवधारणाओं में से एक है जिसमें पहले लगातार मात्रा बनाई जाती है और बाद में उसी मात्रा का दावा किया जाता है। इसके लिए, हमें अंतर्निहित हार्डवेयर पर पर्याप्त क्षमता और डिस्क स्थान होना चाहिए।
apiVersion: v1
kind: PersistentVolume
metadata:
name: storage-unit1
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteOnce
nfs:
path: /opt
server: 10.12.2.2
persistentVolumeReclaimPolicy: Recycle
अगला, OC create कमांड बनाने के लिए Persistent Volume का उपयोग करें।
$ oc create -f storage-unit1.yaml
persistentvolume " storage-unit1 " created
बनाई गई मात्रा का दावा करना।
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: Storage-clame1
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi
दावा बनाएँ।
$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created
उपयोगकर्ता और भूमिका प्रबंधन
उपयोगकर्ता और भूमिका प्रशासन का उपयोग उपयोगकर्ताओं को प्रबंधित करने, उनकी पहुंच और विभिन्न परियोजनाओं पर नियंत्रण के लिए किया जाता है।
एक उपयोगकर्ता बनाना
OpenShift में नए उपयोगकर्ता बनाने के लिए पूर्वनिर्धारित टेम्पलेट्स का उपयोग किया जा सकता है।
kind: "Template"
apiVersion: "v1"
parameters:
- name: vipin
required: true
objects:
- kind: "User"
apiVersion: "v1"
metadata:
name: "${email}"
- kind: "Identity"
apiVersion: "v1"
metadata:
name: "vipin:${email}"
providerName: "SAML"
providerUserName: "${email}"
- kind: "UserIdentityMapping"
apiVersion: "v1"
identity:
name: "vipin:${email}"
user:
name: "${email}"
उपयोगकर्ताओं को बनाने के लिए oc create -f <file name> का उपयोग करें।
$ oc create –f vipin.yaml
OpenShift में किसी उपयोगकर्ता को हटाने के लिए निम्न आदेश का उपयोग करें।
$ oc delete user <user name>
उपयोगकर्ता पहुँच को सीमित करना
रिसोर्सक्वाट्स और लिमिटिटर्स का उपयोग उपयोगकर्ता पहुँच स्तरों को सीमित करने के लिए किया जाता है। वे क्लस्टर पर फली और कंटेनरों को सीमित करने के लिए उपयोग किए जाते हैं।
apiVersion: v1
kind: ResourceQuota
metadata:
name: resources-utilization
spec:
hard:
pods: "10"
उपरोक्त कॉन्फ़िगरेशन का उपयोग करके उद्धरण बनाना
$ oc create -f resource-quota.yaml –n –Openshift-sample
संसाधन उद्धरण का वर्णन करते हुए
$ oc describe quota resource-quota -n Openshift-sample
Name: resource-quota
Namespace: Openshift-sample
Resource Used Hard
-------- ---- ----
pods 3 10
कंटेनर की सीमाओं को परिभाषित करने का उपयोग उन संसाधनों को सीमित करने के लिए किया जा सकता है जो तैनात कंटेनरों द्वारा उपयोग किए जाने वाले हैं। उनका उपयोग कुछ वस्तुओं की अधिकतम और न्यूनतम सीमाओं को परिभाषित करने के लिए किया जाता है।
उपयोगकर्ता परियोजना की सीमाएँ
यह मूल रूप से उन परियोजनाओं के लिए उपयोग किया जाता है जो उपयोगकर्ता किसी भी समय हो सकते हैं। वे मूल रूप से कांस्य, चांदी और सोने की श्रेणियों में उपयोगकर्ता के स्तर को परिभाषित करके किया जाता है।
हमें पहले एक ऐसी वस्तु को परिभाषित करने की आवश्यकता है जो एक कांस्य, चांदी और स्वर्ण श्रेणी की कितनी परियोजनाओं का मूल्य रखती है। ये मास्टर-कॉनिफ़.ऑमएल फ़ाइल में किए जाने की आवश्यकता है।
admissionConfig:
pluginConfig:
ProjectRequestLimit:
configuration:
apiVersion: v1
kind: ProjectRequestLimitConfig
limits:
- selector:
level: platinum
- selector:
level: gold
maxProjects: 15
- selector:
level: silver
maxProjects: 10
- selector:
level: bronze
maxProjects: 5
मास्टर सर्वर को पुनरारंभ करें।
उपयोगकर्ता को एक विशेष स्तर पर असाइन करना।
$ oc label user vipin level = gold
यदि आवश्यक हो, तो उपयोगकर्ता को लेबल से बाहर ले जाना।
$ oc label user <user_name> level-
एक उपयोगकर्ता के लिए भूमिकाएँ जोड़ना।
$ oadm policy add-role-to-user <user_name>
उपयोगकर्ता से भूमिका को हटाना।
$ oadm policy remove-role-from-user <user_name>
एक उपयोगकर्ता के लिए एक क्लस्टर भूमिका जोड़ना।
$ oadm policy add-cluster-role-to-user <user_name>
उपयोगकर्ता से क्लस्टर भूमिका हटाना।
$ oadm policy remove-cluster-role-from-user <user_name>
एक समूह में एक भूमिका जोड़ना।
$ oadm policy add-role-to-user <user_name>
एक समूह से एक भूमिका हटाना।
$ oadm policy remove-cluster-role-from-user <user_name>
समूह में क्लस्टर भूमिका जोड़ना।
$ oadm policy add-cluster-role-to-group <groupname>
समूह से क्लस्टर भूमिका निकालना।
$ oadm policy remove-cluster-role-from-group <role> <groupname>
क्लस्टर प्रशासन के लिए उपयोगकर्ता
यह सबसे शक्तिशाली भूमिकाओं में से एक है जहां उपयोगकर्ता में क्लस्टर को हटाने तक निर्माण से शुरू होने वाले एक पूर्ण क्लस्टर का प्रबंधन करने की क्षमता है।
$ oadm policy add-role-to-user admin <user_name> -n <project_name>
अंतिम शक्ति वाला उपयोगकर्ता
$ oadm policy add-cluster-role-to-user cluster-admin <user_name>