OpenShift-관리

이 장에서는 노드 관리 방법, 서비스 계정 구성 방법 등과 같은 주제를 다룹니다.

마스터 및 노드 구성

OpenShift에서는 새 서버를 부팅하기 위해 OC와 함께 시작 명령을 사용해야합니다. 새 마스터를 시작하는 동안 시작 명령과 함께 마스터를 사용해야하는 반면, 새 노드를 시작하는 동안 시작 명령과 함께 노드를 사용해야합니다. 이를 위해 마스터와 노드에 대한 구성 파일을 만들어야합니다. 다음 명령을 사용하여 마스터 및 노드에 대한 기본 구성 파일을 만들 수 있습니다.

마스터 구성 파일의 경우

$ openshift start master --write-config = /openshift.local.config/master

노드 구성 파일의 경우

$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>

다음 명령을 실행하면 구성의 시작점으로 사용할 수있는 기본 구성 파일을 얻을 수 있습니다. 나중에 동일한 파일을 사용하여 새 서버를 부팅 할 수 있습니다.

apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
   logoutURL: ""
   masterPublicURL: https://172.10.12.1:7449
   publicURL: https://172.10.2.2:7449/console/
      servingInfo:
         bindAddress: 0.0.0.0:7449
         certFile: master.server.crt
         clientCA: ""
keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
   bindAddress: 0.0.0.0:53
etcdClientInfo:
   ca: ca.crt
   certFile: master.etcd-client.crt
   keyFile: master.etcd-client.key
   urls:
   - https://10.0.2.15:4001
etcdConfig:
   address: 10.0.2.15:4001
   peerAddress: 10.0.2.15:7001
   peerServingInfo:
      bindAddress: 0.0.0.0:7001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   servingInfo:
      bindAddress: 0.0.0.0:4001
      certFile: etcd.server.crt
      clientCA: ca.crt
      keyFile: etcd.server.key
   storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
   kubernetesStoragePrefix: kubernetes.io
   kubernetesStorageVersion: v1
   openShiftStoragePrefix: openshift.io
   openShiftStorageVersion: v1
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: MasterConfig
kubeletClientInfo:
   ca: ca.crt
   certFile: master.kubelet-client.crt
   keyFile: master.kubelet-client.key
   port: 10250
kubernetesMasterConfig:
   apiLevels:
   - v1beta3
   - v1
   apiServerArguments: null
   controllerArguments: null
   masterCount: 1
   masterIP: 10.0.2.15
   podEvictionTimeout: 5m
   schedulerConfigFile: ""
   servicesNodePortRange: 30000-32767
   servicesSubnet: 172.30.0.0/16
   staticNodeNames: []
masterClients:
   externalKubernetesKubeConfig: ""
   openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
   clusterNetworkCIDR: 10.1.0.0/16
   hostSubnetLength: 8
   networkPluginName: ""
   serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
   assetPublicURL: https://172.10.2.2:7449/console/
   grantConfig:
      method: auto
   identityProviders:
   - challenge: true
   login: true
   name: anypassword
   provider:
      apiVersion: v1
      kind: AllowAllPasswordIdentityProvider
   masterPublicURL: https://172.10.2.2:7449/
   masterURL: https://172.10.2.2:7449/
   sessionConfig:
      sessionMaxAgeSeconds: 300
      sessionName: ssn
      sessionSecretsFile: ""
   tokenConfig:
      accessTokenMaxAgeSeconds: 86400
      authorizeTokenMaxAgeSeconds: 300
policyConfig:
   bootstrapPolicyFile: policy.json
   openshiftInfrastructureNamespace: openshift-infra
   openshiftSharedResourcesNamespace: openshift
projectConfig:
   defaultNodeSelector: ""
   projectRequestMessage: ""
   projectRequestTemplate: ""
   securityAllocator:
      mcsAllocatorRange: s0:/2
      mcsLabelsPerProject: 5
      uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
   subdomain: router.default.svc.cluster.local
serviceAccountConfig:
   managedNames:
   - default
   - builder
   - deployer
   
masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
servingInfo:
   bindAddress: 0.0.0.0:8443
   certFile: master.server.crt
   clientCA: ca.crt
   keyFile: master.server.key
   maxRequestsInFlight: 0
   requestTimeoutSeconds: 3600

노드 구성 파일

allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
   execHandlerName: native
imageConfig:
   format: openshift/origin-${component}:${version}
   latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
   mtu: 1450
   networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com

podManifestConfig:
   path: "/path/to/pod-manifest-file"
   fileCheckIntervalSeconds: 30
servingInfo:
   bindAddress: 0.0.0.0:10250
   certFile: server.crt
   clientCA: node-client-ca.crt
   keyFile: server.key
volumeDirectory: /root/openshift.local.volumes

이것이 노드 구성 파일의 모습입니다. 이러한 구성 파일이 준비되면 다음 명령을 실행하여 마스터 및 노드 서버를 만들 수 있습니다.

$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml

노드 관리

OpenShift에는 OpenShift의 모든 작업을 수행하는 데 주로 사용되는 OC 명령 줄 유틸리티가 있습니다. 다음 명령을 사용하여 노드를 관리 할 수 ​​있습니다.

노드 나열

$ oc get nodes
NAME                             LABELS
node1.example.com     kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com     kubernetes.io/hostname = vklnld1447.int.example.com

노드에 대한 세부 사항 설명

$ oc describe node <node name>

노드 삭제

$ oc delete node <node name>

노드에 포드 나열

$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]

노드에서 포드 평가

$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]

구성 인증

OpenShift 마스터에는 인증 관리에 사용할 수있는 내장 OAuth 서버가 있습니다. 모든 OpenShift 사용자는이 서버에서 토큰을 가져 오므로 OpenShift API와 통신하는 데 도움이됩니다.

OpenShift에는 여러 종류의 인증 수준이 있으며 기본 구성 파일과 함께 구성 할 수 있습니다.

  • 모두 허용
  • 모두 거부
  • HTPasswd
  • LDAP
  • 기본 인증
  • 요청 헤더

마스터 구성을 정의하는 동안 사용할 정책 유형을 정의 할 수있는 식별 정책을 정의 할 수 있습니다.

모두 허용

모두 허용

oauthConfig:
   ...
   identityProviders:
   - name: Allow_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: AllowAllPasswordIdentityProvider

모두 거부

이것은 모든 사용자 이름과 암호에 대한 액세스를 거부합니다.

oauthConfig:
   ...
   identityProviders:
   - name: deny_Authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: DenyAllPasswordIdentityProvider

HTPasswd

HTPasswd는 암호화 된 파일 암호에 대해 사용자 이름과 암호를 확인하는 데 사용됩니다.

암호화 된 파일을 생성하기위한 명령은 다음과 같습니다.

$ htpasswd </path/to/users.htpasswd> <user_name>

암호화 된 파일 사용.

oauthConfig:
   ...
   identityProviders:
   - name: htpasswd_authontication
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: HTPasswdPasswordIdentityProvider
         file: /path/to/users.htpasswd

LDAP ID 공급자

이는 LDAP 서버가 인증에서 중요한 역할을하는 LDAP 인증에 사용됩니다.

oauthConfig:
   ...
   identityProviders:
   - name: "ldap_authontication"
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: LDAPPasswordIdentityProvider
         attributes:
            id:
            - dn
            email:
            - mail
            name:
            - cn
            preferredUsername:
            - uid
         bindDN: ""
         bindPassword: ""
         ca: my-ldap-ca-bundle.crt
         insecure: false
         url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"

기본 인증

이것은 서버 간 인증에 대해 사용자 이름 및 암호의 유효성 검사를 수행 할 때 사용됩니다. 인증은 기본 URL에서 보호되며 JSON 형식으로 제공됩니다.

oauthConfig:
   ...
   identityProviders:
   - name: my_remote_basic_auth_provider
      challenge: true
      login: true
      provider:
         apiVersion: v1
         kind: BasicAuthPasswordIdentityProvider
         url: https://www.vklnld908.int.example.com/remote-idp
         ca: /path/to/ca.file
         certFile: /path/to/client.crt
         keyFile: /path/to/client.key

서비스 계정 구성

서비스 계정은 인증을 위해 사용자 이름과 비밀번호를 노출하는 OpenShift API에 액세스하는 유연한 방법을 제공합니다.

서비스 계정 활성화

서비스 계정은 인증을 위해 공개 및 비공개 키의 키 쌍을 사용합니다. API에 대한 인증은 개인 키를 사용하고 공개 키에 대해 유효성을 검사합니다.

ServiceAccountConfig:
   ...
   masterCA: ca.crt
   privateKeyFile: serviceaccounts.private.key
   publicKeyFiles:
   - serviceaccounts.public.key
   - ...

서비스 계정 생성

다음 명령어를 사용하여 서비스 계정을 만듭니다.

$ Openshift cli create service account <name of server account>

HTTP 프록시 작업

대부분의 프로덕션 환경에서 인터넷에 대한 직접 액세스가 제한됩니다. 인터넷에 노출되지 않거나 HTTP 또는 HTTPS 프록시를 통해 노출됩니다. OpenShift 환경에서이 프록시 시스템 정의는 환경 변수로 설정됩니다.

이는 아래에있는 마스터 및 노드 파일에 프록시 정의를 추가하여 수행 할 수 있습니다. /etc/sysconfig. 이것은 다른 응용 프로그램과 유사합니다.

마스터 머신

/ etc / sysconfig / openshift-master

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

노드 머신

/ etc / sysconfig / openshift-node

HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com

완료되면 마스터 및 노드 머신을 다시 시작해야합니다.

Docker Pull의 경우

/ etc / sysconfig / docker

HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com

포드를 프록시 환경에서 실행하려면 다음을 사용하여 수행 할 수 있습니다.

containers:
- env:
   - name: "HTTP_PROXY"
      value: "http://USER:PASSWORD@:10.0.1.1:8080"

OC 환경 명령을 사용하여 기존 환경을 업데이트 할 수 있습니다.

NFS가 포함 된 OpenShift 스토리지

OpenShift에서 영구 볼륨 및 영구 볼륨 클레임의 개념은 영구 저장소를 형성합니다. 이것은 첫 번째 영구 볼륨이 생성되고 나중에 동일한 볼륨이 청구되는 주요 개념 중 하나입니다. 이를 위해서는 기본 하드웨어에 충분한 용량과 디스크 공간이 있어야합니다.

apiVersion: v1
kind: PersistentVolume
metadata:
   name: storage-unit1
spec:
   capacity:
      storage: 10Gi
   accessModes:
   - ReadWriteOnce
   nfs:
      path: /opt
      server: 10.12.2.2
   persistentVolumeReclaimPolicy: Recycle

다음으로 OC create 명령을 사용하여 영구 볼륨을 만듭니다.

$ oc create -f storage-unit1.yaml

persistentvolume " storage-unit1 " created

생성 된 볼륨 청구.

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
   name: Storage-clame1
spec:
   accessModes:
      - ReadWriteOnce
   resources:
      requests:
         storage: 5Gi

클레임을 생성합니다.

$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created

사용자 및 역할 관리

사용자 및 역할 관리는 다른 프로젝트에 대한 사용자, 액세스 및 제어를 관리하는 데 사용됩니다.

사용자 생성

미리 정의 된 템플릿을 사용하여 OpenShift에서 새 사용자를 만들 수 있습니다.

kind: "Template"
apiVersion: "v1"
parameters:
   - name: vipin
   required: true
objects:
   - kind: "User"
   apiVersion: "v1"
   metadata:
   name: "${email}"
   
- kind: "Identity"
   apiVersion: "v1"
   metadata:
      name: "vipin:${email}"
   providerName: "SAML"
   providerUserName: "${email}"
- kind: "UserIdentityMapping"
apiVersion: "v1"
identity:
   name: "vipin:${email}"
user:
   name: "${email}"

oc create –f <파일 이름>을 사용하여 사용자를 만듭니다.

$ oc create –f vipin.yaml

다음 명령을 사용하여 OpenShift에서 사용자를 삭제합니다.

$ oc delete user <user name>

사용자 액세스 제한

ResourceQuotas 및 LimitRanges는 사용자 액세스 수준을 제한하는 데 사용됩니다. 클러스터에서 포드 및 컨테이너를 제한하는 데 사용됩니다.

apiVersion: v1
kind: ResourceQuota
metadata:
   name: resources-utilization
spec:
   hard:
      pods: "10"

위의 구성을 사용하여 견적 생성

$ oc create -f resource-quota.yaml –n –Openshift-sample

리소스 견적 설명

$ oc describe quota resource-quota  -n  Openshift-sample
Name:              resource-quota
Namespace:                              Openshift-sample
Resource           Used                  Hard
--------           ----                  ----
pods                3                    10

컨테이너 제한 정의는 배포 된 컨테이너에서 사용할 리소스를 제한하는 데 사용할 수 있습니다. 특정 개체의 최대 및 최소 제한을 정의하는 데 사용됩니다.

사용자 프로젝트 제한

이것은 기본적으로 사용자가 언제든지 가질 수있는 프로젝트 수에 사용됩니다. 기본적으로 사용자 레벨을 청동,은 및 금 범주로 정의하여 수행됩니다.

먼저 브론즈,은, 금 카테고리가 가질 수있는 프로젝트 수의 가치를 보유하는 객체를 정의해야합니다. 이는 master-confif.yaml 파일에서 수행되어야합니다.

admissionConfig:
   pluginConfig:
      ProjectRequestLimit:
         configuration:
            apiVersion: v1
            kind: ProjectRequestLimitConfig
            limits:
            - selector:
               level: platinum
            - selector:
               level: gold
            maxProjects: 15
            - selector:
               level: silver
            maxProjects: 10
            - selector:
               level: bronze
            maxProjects: 5

마스터 서버를 다시 시작하십시오.

특정 수준에 사용자 할당.

$ oc label user vipin level = gold

필요한 경우 사용자를 레이블 밖으로 이동합니다.

$ oc label user <user_name> level-

사용자에게 역할 추가.

$ oadm policy add-role-to-user 
      
        <user_name> 
      

사용자로부터 역할 제거.

$ oadm policy remove-role-from-user 
      
        <user_name> 
      

사용자에게 클러스터 역할 추가.

$ oadm policy add-cluster-role-to-user 
      
        <user_name> 
      

사용자로부터 클러스터 역할 제거.

$ oadm policy remove-cluster-role-from-user 
      
        <user_name> 
      

그룹에 역할 추가.

$ oadm policy add-role-to-user 
      
        <user_name> 
      

그룹에서 역할 제거.

$ oadm policy remove-cluster-role-from-user 
      
        <user_name> 
      

그룹에 클러스터 역할 추가.

$ oadm policy add-cluster-role-to-group 
      
        <groupname> 
      

그룹에서 클러스터 역할 제거.

$ oadm policy remove-cluster-role-from-group <role> <groupname>

클러스터 관리 용 사용자

이것은 사용자가 클러스터 생성부터 삭제까지 전체 클러스터를 관리 할 수있는 가장 강력한 역할 중 하나입니다.

$ oadm policy add-role-to-user admin <user_name> -n <project_name>

궁극의 힘을 가진 사용자

$ oadm policy add-cluster-role-to-user cluster-admin <user_name>