OpenShift - Администрирование
В этой главе мы рассмотрим такие темы, как управление узлом, настройка учетной записи службы и т. Д.
Конфигурация мастера и узла
В OpenShift нам нужно использовать команду start вместе с OC для загрузки нового сервера. При запуске нового мастера нам нужно использовать мастер вместе с командой запуска, тогда как при запуске нового узла нам нужно использовать узел вместе с командой запуска. Для этого нам необходимо создать файлы конфигурации как для мастера, так и для узлов. Мы можем создать базовый файл конфигурации для мастера и узла, используя следующую команду.
Для главного файла конфигурации
$ openshift start master --write-config = /openshift.local.config/master
Для файла конфигурации узла
$ oadm create-node-config --node-dir = /openshift.local.config/node-<node_hostname> --node = <node_hostname> --hostnames = <hostname>,<ip_address>
После выполнения следующих команд мы получим файлы базовой конфигурации, которые можно использовать в качестве отправной точки для настройки. Позже у нас может быть тот же файл для загрузки новых серверов.
apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
logoutURL: ""
masterPublicURL: https://172.10.12.1:7449
publicURL: https://172.10.2.2:7449/console/
servingInfo:
bindAddress: 0.0.0.0:7449
certFile: master.server.crt
clientCA: ""
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
bindAddress: 0.0.0.0:53
etcdClientInfo:
ca: ca.crt
certFile: master.etcd-client.crt
keyFile: master.etcd-client.key
urls:
- https://10.0.2.15:4001
etcdConfig:
address: 10.0.2.15:4001
peerAddress: 10.0.2.15:7001
peerServingInfo:
bindAddress: 0.0.0.0:7001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
servingInfo:
bindAddress: 0.0.0.0:4001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
kubernetesStoragePrefix: kubernetes.io
kubernetesStorageVersion: v1
openShiftStoragePrefix: openshift.io
openShiftStorageVersion: v1
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: MasterConfig
kubeletClientInfo:
ca: ca.crt
certFile: master.kubelet-client.crt
keyFile: master.kubelet-client.key
port: 10250
kubernetesMasterConfig:
apiLevels:
- v1beta3
- v1
apiServerArguments: null
controllerArguments: null
masterCount: 1
masterIP: 10.0.2.15
podEvictionTimeout: 5m
schedulerConfigFile: ""
servicesNodePortRange: 30000-32767
servicesSubnet: 172.30.0.0/16
staticNodeNames: []
masterClients:
externalKubernetesKubeConfig: ""
openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
clusterNetworkCIDR: 10.1.0.0/16
hostSubnetLength: 8
networkPluginName: ""
serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
assetPublicURL: https://172.10.2.2:7449/console/
grantConfig:
method: auto
identityProviders:
- challenge: true
login: true
name: anypassword
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
masterPublicURL: https://172.10.2.2:7449/
masterURL: https://172.10.2.2:7449/
sessionConfig:
sessionMaxAgeSeconds: 300
sessionName: ssn
sessionSecretsFile: ""
tokenConfig:
accessTokenMaxAgeSeconds: 86400
authorizeTokenMaxAgeSeconds: 300
policyConfig:
bootstrapPolicyFile: policy.json
openshiftInfrastructureNamespace: openshift-infra
openshiftSharedResourcesNamespace: openshift
projectConfig:
defaultNodeSelector: ""
projectRequestMessage: ""
projectRequestTemplate: ""
securityAllocator:
mcsAllocatorRange: s0:/2
mcsLabelsPerProject: 5
uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
subdomain: router.default.svc.cluster.local
serviceAccountConfig:
managedNames:
- default
- builder
- deployer
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
servingInfo:
bindAddress: 0.0.0.0:8443
certFile: master.server.crt
clientCA: ca.crt
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 3600
Файлы конфигурации узла
allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
execHandlerName: native
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
mtu: 1450
networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com
podManifestConfig:
path: "/path/to/pod-manifest-file"
fileCheckIntervalSeconds: 30
servingInfo:
bindAddress: 0.0.0.0:10250
certFile: server.crt
clientCA: node-client-ca.crt
keyFile: server.key
volumeDirectory: /root/openshift.local.volumes
Так выглядят файлы конфигурации узла. Когда у нас есть эти файлы конфигурации, мы можем запустить следующую команду для создания главного и узлового серверов.
$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-<node_hostname>/node-
config.yaml
Управление узлами
В OpenShift у нас есть утилита командной строки OC, которая в основном используется для выполнения всех операций в OpenShift. Мы можем использовать следующие команды для управления узлами.
Для перечисления узла
$ oc get nodes
NAME LABELS
node1.example.com kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com kubernetes.io/hostname = vklnld1447.int.example.com
Описание подробностей об узле
$ oc describe node <node name>
Удаление узла
$ oc delete node <node name>
Вывод списка модулей на узел
$ oadm manage-node <node1> <node2> --list-pods [--pod-selector=<pod_selector>] [-o json|yaml]
Оценка модулей на узле
$ oadm manage-node <node1> <node2> --evacuate --dry-run [--pod-selector=<pod_selector>]
Проверка подлинности конфигурации
В мастере OpenShift есть встроенный сервер OAuth, который можно использовать для управления аутентификацией. Все пользователи OpenShift получают токен с этого сервера, который помогает им общаться с OpenShift API.
В OpenShift есть разные типы уровней аутентификации, которые можно настроить вместе с основным файлом конфигурации.
- Позволять все
- Запретить все
- HTPasswd
- LDAP
- Обычная проверка подлинности
- Заголовок запроса
При определении главной конфигурации мы можем определить политику идентификации, в которой мы можем определить тип политики, которую мы хотим использовать.
Позволять все
Позволять все
oauthConfig:
...
identityProviders:
- name: Allow_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
Запретить все
Это запретит доступ ко всем именам пользователей и паролям.
oauthConfig:
...
identityProviders:
- name: deny_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
HTPasswd
HTPasswd используется для проверки имени пользователя и пароля по зашифрованному паролю файла.
Для создания зашифрованного файла выполните следующую команду.
$ htpasswd </path/to/users.htpasswd> <user_name>
Используя зашифрованный файл.
oauthConfig:
...
identityProviders:
- name: htpasswd_authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /path/to/users.htpasswd
Поставщик удостоверений LDAP
Это используется для аутентификации LDAP, в которой сервер LDAP играет ключевую роль в аутентификации.
oauthConfig:
...
identityProviders:
- name: "ldap_authontication"
challenge: true
login: true
provider:
apiVersion: v1
kind: LDAPPasswordIdentityProvider
attributes:
id:
- dn
email:
- mail
name:
- cn
preferredUsername:
- uid
bindDN: ""
bindPassword: ""
ca: my-ldap-ca-bundle.crt
insecure: false
url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"
Базовая аутентификация
Это используется, когда проверка имени пользователя и пароля выполняется при межсерверной аутентификации. Аутентификация защищена базовым URL-адресом и представлена в формате JSON.
oauthConfig:
...
identityProviders:
- name: my_remote_basic_auth_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: BasicAuthPasswordIdentityProvider
url: https://www.vklnld908.int.example.com/remote-idp
ca: /path/to/ca.file
certFile: /path/to/client.crt
keyFile: /path/to/client.key
Настройка учетной записи службы
Учетные записи служб предоставляют гибкий способ доступа к OpenShift API, предоставляя имя пользователя и пароль для аутентификации.
Включение учетной записи службы
Учетная запись службы использует пару ключей из открытого и закрытого ключей для аутентификации. Аутентификация в API выполняется с использованием закрытого ключа и его проверка по общему ключу.
ServiceAccountConfig:
...
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
- ...
Создание учетной записи службы
Используйте следующую команду для создания учетной записи службы
$ Openshift cli create service account <name of server account>
Работа с HTTP-прокси
В большей части производственной среды прямой доступ к Интернету ограничен. Они либо не доступны в Интернете, либо доступны через прокси HTTP или HTTPS. В среде OpenShift это определение прокси-машины устанавливается как переменная среды.
Это можно сделать, добавив определение прокси к файлам master и node, расположенным в /etc/sysconfig. Это похоже на то, что мы делаем для любого другого приложения.
Мастер машина
/ и т.д. / sysconfig / openshift-master
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
Узловая машина
/ и т.д. / sysconfig / openshift-node
HTTP_PROXY=http://USERNAME:[email protected]:8080/
HTTPS_PROXY=https://USERNAME:[email protected]:8080/
NO_PROXY=master.vklnld908.int.example.com
После этого нам нужно перезапустить главный и узловой машины.
Для Docker Pull
/ и т. д. / sysconfig / докер
HTTP_PROXY = http://USERNAME:[email protected]:8080/
HTTPS_PROXY = https://USERNAME:[email protected]:8080/
NO_PROXY = master.vklnld1446.int.example.com
Чтобы запустить модуль в прокси-среде, это можно сделать с помощью -
containers:
- env:
- name: "HTTP_PROXY"
value: "http://USER:PASSWORD@:10.0.1.1:8080"
Команду среды OC можно использовать для обновления существующей среды env.
Хранилище OpenShift с NFS
В OpenShift концепция постоянного тома и заявки на постоянный том формируют постоянное хранилище. Это одна из ключевых концепций, при которой сначала создается постоянный том, а затем запрашивается тот же самый том. Для этого нам необходимо иметь достаточно емкости и дискового пространства на базовом оборудовании.
apiVersion: v1
kind: PersistentVolume
metadata:
name: storage-unit1
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteOnce
nfs:
path: /opt
server: 10.12.2.2
persistentVolumeReclaimPolicy: Recycle
Затем с помощью команды OC create создайте постоянный том.
$ oc create -f storage-unit1.yaml
persistentvolume " storage-unit1 " created
Получение созданного тома.
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: Storage-clame1
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi
Создайте претензию.
$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created
Управление пользователями и ролями
Администрирование пользователей и ролей используется для управления пользователями, их доступом и контролем в различных проектах.
Создание пользователя
Предопределенные шаблоны можно использовать для создания новых пользователей в OpenShift.
kind: "Template"
apiVersion: "v1"
parameters:
- name: vipin
required: true
objects:
- kind: "User"
apiVersion: "v1"
metadata:
name: "${email}"
- kind: "Identity"
apiVersion: "v1"
metadata:
name: "vipin:${email}"
providerName: "SAML"
providerUserName: "${email}"
- kind: "UserIdentityMapping"
apiVersion: "v1"
identity:
name: "vipin:${email}"
user:
name: "${email}"
Используйте oc create –f <имя файла> для создания пользователей.
$ oc create –f vipin.yaml
Используйте следующую команду, чтобы удалить пользователя в OpenShift.
$ oc delete user <user name>
Ограничение доступа пользователей
ResourceQuotas и LimitRanges используются для ограничения уровней доступа пользователей. Они используются для ограничения подов и контейнеров в кластере.
apiVersion: v1
kind: ResourceQuota
metadata:
name: resources-utilization
spec:
hard:
pods: "10"
Создание предложения с использованием указанной выше конфигурации
$ oc create -f resource-quota.yaml –n –Openshift-sample
Описание цитаты ресурса
$ oc describe quota resource-quota -n Openshift-sample
Name: resource-quota
Namespace: Openshift-sample
Resource Used Hard
-------- ---- ----
pods 3 10
Определение ограничений контейнера может использоваться для ограничения ресурсов, которые будут использоваться развернутыми контейнерами. Они используются для определения максимальных и минимальных ограничений определенных объектов.
Ограничения пользовательского проекта
Это в основном используется для количества проектов, которые пользователь может иметь в любой момент времени. В основном они выполняются путем определения пользовательских уровней в категориях бронза, серебро и золото.
Сначала нам нужно определить объект, который содержит значение того, сколько проектов может иметь бронзовая, серебряная и золотая категория. Это необходимо сделать в файле master-confif.yaml.
admissionConfig:
pluginConfig:
ProjectRequestLimit:
configuration:
apiVersion: v1
kind: ProjectRequestLimitConfig
limits:
- selector:
level: platinum
- selector:
level: gold
maxProjects: 15
- selector:
level: silver
maxProjects: 10
- selector:
level: bronze
maxProjects: 5
Перезагрузите главный сервер.
Присвоение пользователю определенного уровня.
$ oc label user vipin level = gold
При необходимости, удаление пользователя из метки.
$ oc label user <user_name> level-
Добавление ролей пользователю.
$ oadm policy add-role-to-user
<user_name>
Удаление роли у пользователя.
$ oadm policy remove-role-from-user
<user_name>
Добавление роли кластера пользователю.
$ oadm policy add-cluster-role-to-user
<user_name>
Удаление роли кластера у пользователя.
$ oadm policy remove-cluster-role-from-user
<user_name>
Добавление роли в группу.
$ oadm policy add-role-to-user
<user_name>
Удаление роли из группы.
$ oadm policy remove-cluster-role-from-user
<user_name>
Добавление роли кластера в группу.
$ oadm policy add-cluster-role-to-group
<groupname>
Удаление роли кластера из группы.
$ oadm policy remove-cluster-role-from-group <role> <groupname>
Пользователь для администрирования кластера
Это одна из самых мощных ролей, в которой пользователь имеет возможность управлять всем кластером, начиная с создания и заканчивая удалением кластера.
$ oadm policy add-role-to-user admin <user_name> -n <project_name>
Пользователь с максимальной властью
$ oadm policy add-cluster-role-to-user cluster-admin <user_name>