📅 最后修改于: 2020-10-31 13:56:56 🧑 作者: Mango
在本章中,我们将讨论诸如如何管理节点,配置服务帐户等主题。
在OpenShift中,我们需要将start命令与OC一起使用来启动新服务器。启动新的主机时,我们需要将主机与start命令一起使用,而启动新节点时,我们需要将节点与start命令一起使用。为此,我们需要为主节点和节点创建配置文件。我们可以使用以下命令为主节点和节点创建基本配置文件。
$ openshift start master --write-config = /openshift.local.config/master
$ oadm create-node-config --node-dir = /openshift.local.config/node- --node = --hostnames = ,
一旦运行以下命令,我们将获得可用作配置起点的基本配置文件。稍后,我们可以使用相同的文件来引导新服务器。
apiLevels:
- v1beta3
- v1
apiVersion: v1
assetConfig:
logoutURL: ""
masterPublicURL: https://172.10.12.1:7449
publicURL: https://172.10.2.2:7449/console/
servingInfo:
bindAddress: 0.0.0.0:7449
certFile: master.server.crt
clientCA: ""
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 0
controllers: '*'
corsAllowedOrigins:
- 172.10.2.2:7449
- 127.0.0.1
- localhost
dnsConfig:
bindAddress: 0.0.0.0:53
etcdClientInfo:
ca: ca.crt
certFile: master.etcd-client.crt
keyFile: master.etcd-client.key
urls:
- https://10.0.2.15:4001
etcdConfig:
address: 10.0.2.15:4001
peerAddress: 10.0.2.15:7001
peerServingInfo:
bindAddress: 0.0.0.0:7001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
servingInfo:
bindAddress: 0.0.0.0:4001
certFile: etcd.server.crt
clientCA: ca.crt
keyFile: etcd.server.key
storageDirectory: /root/openshift.local.etcd
etcdStorageConfig:
kubernetesStoragePrefix: kubernetes.io
kubernetesStorageVersion: v1
openShiftStoragePrefix: openshift.io
openShiftStorageVersion: v1
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: MasterConfig
kubeletClientInfo:
ca: ca.crt
certFile: master.kubelet-client.crt
keyFile: master.kubelet-client.key
port: 10250
kubernetesMasterConfig:
apiLevels:
- v1beta3
- v1
apiServerArguments: null
controllerArguments: null
masterCount: 1
masterIP: 10.0.2.15
podEvictionTimeout: 5m
schedulerConfigFile: ""
servicesNodePortRange: 30000-32767
servicesSubnet: 172.30.0.0/16
staticNodeNames: []
masterClients:
externalKubernetesKubeConfig: ""
openshiftLoopbackKubeConfig: openshift-master.kubeconfig
masterPublicURL: https://172.10.2.2:7449
networkConfig:
clusterNetworkCIDR: 10.1.0.0/16
hostSubnetLength: 8
networkPluginName: ""
serviceNetworkCIDR: 172.30.0.0/16
oauthConfig:
assetPublicURL: https://172.10.2.2:7449/console/
grantConfig:
method: auto
identityProviders:
- challenge: true
login: true
name: anypassword
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
masterPublicURL: https://172.10.2.2:7449/
masterURL: https://172.10.2.2:7449/
sessionConfig:
sessionMaxAgeSeconds: 300
sessionName: ssn
sessionSecretsFile: ""
tokenConfig:
accessTokenMaxAgeSeconds: 86400
authorizeTokenMaxAgeSeconds: 300
policyConfig:
bootstrapPolicyFile: policy.json
openshiftInfrastructureNamespace: openshift-infra
openshiftSharedResourcesNamespace: openshift
projectConfig:
defaultNodeSelector: ""
projectRequestMessage: ""
projectRequestTemplate: ""
securityAllocator:
mcsAllocatorRange: s0:/2
mcsLabelsPerProject: 5
uidAllocatorRange: 1000000000-1999999999/10000
routingConfig:
subdomain: router.default.svc.cluster.local
serviceAccountConfig:
managedNames:
- default
- builder
- deployer
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
servingInfo:
bindAddress: 0.0.0.0:8443
certFile: master.server.crt
clientCA: ca.crt
keyFile: master.server.key
maxRequestsInFlight: 0
requestTimeoutSeconds: 3600
allowDisabledDocker: true
apiVersion: v1
dnsDomain: cluster.local
dnsIP: 172.10.2.2
dockerConfig:
execHandlerName: native
imageConfig:
format: openshift/origin-${component}:${version}
latest: false
kind: NodeConfig
masterKubeConfig: node.kubeconfig
networkConfig:
mtu: 1450
networkPluginName: ""
nodeIP: ""
nodeName: node1.example.com
podManifestConfig:
path: "/path/to/pod-manifest-file"
fileCheckIntervalSeconds: 30
servingInfo:
bindAddress: 0.0.0.0:10250
certFile: server.crt
clientCA: node-client-ca.crt
keyFile: server.key
volumeDirectory: /root/openshift.local.volumes
这是节点配置文件的外观。一旦有了这些配置文件,就可以运行以下命令来创建主服务器和节点服务器。
$ openshift start --master-config = /openshift.local.config/master/master-
config.yaml --node-config = /openshift.local.config/node-/node-
config.yaml
在OpenShift中,我们拥有OC命令行实用程序,该实用程序主要用于执行OpenShift中的所有操作。我们可以使用以下命令来管理节点。
$ oc get nodes
NAME LABELS
node1.example.com kubernetes.io/hostname = vklnld1446.int.example.com
node2.example.com kubernetes.io/hostname = vklnld1447.int.example.com
$ oc describe node
$ oc delete node
$ oadm manage-node --list-pods [--pod-selector=] [-o json|yaml]
$ oadm manage-node --evacuate --dry-run [--pod-selector=]
在OpenShift主服务器中,有一个内置的OAuth服务器,可用于管理身份验证。所有OpenShift用户都从该服务器获取令牌,这有助于他们与OpenShift API进行通信。
OpenShift中有多种身份验证级别,可以与主配置文件一起配置。
在定义主配置时,我们可以定义标识策略,在此我们可以定义希望使用的策略类型。
允许全部
oauthConfig:
...
identityProviders:
- name: Allow_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: AllowAllPasswordIdentityProvider
这将拒绝访问所有用户名和密码。
oauthConfig:
...
identityProviders:
- name: deny_Authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: DenyAllPasswordIdentityProvider
HTPasswd用于根据加密的文件密码验证用户名和密码。
为了生成加密文件,以下是命令。
$ htpasswd
使用加密的文件。
oauthConfig:
...
identityProviders:
- name: htpasswd_authontication
challenge: true
login: true
provider:
apiVersion: v1
kind: HTPasswdPasswordIdentityProvider
file: /path/to/users.htpasswd
这用于LDAP身份验证,其中LDAP服务器在身份验证中起关键作用。
oauthConfig:
...
identityProviders:
- name: "ldap_authontication"
challenge: true
login: true
provider:
apiVersion: v1
kind: LDAPPasswordIdentityProvider
attributes:
id:
- dn
email:
- mail
name:
- cn
preferredUsername:
- uid
bindDN: ""
bindPassword: ""
ca: my-ldap-ca-bundle.crt
insecure: false
url: "ldap://ldap.example.com/ou=users,dc=acme,dc=com?uid"
当针对服务器到服务器的身份验证完成用户名和密码的验证时,将使用此选项。身份验证在基本URL中受保护,并以JSON格式显示。
oauthConfig:
...
identityProviders:
- name: my_remote_basic_auth_provider
challenge: true
login: true
provider:
apiVersion: v1
kind: BasicAuthPasswordIdentityProvider
url: https://www.vklnld908.int.example.com/remote-idp
ca: /path/to/ca.file
certFile: /path/to/client.crt
keyFile: /path/to/client.key
服务帐户提供了一种访问OpenShift API的灵活方式,公开了用于身份验证的用户名和密码。
服务帐户使用公钥和私钥对进行身份验证。使用私钥对API进行身份验证,然后根据公钥对其进行验证。
ServiceAccountConfig:
...
masterCA: ca.crt
privateKeyFile: serviceaccounts.private.key
publicKeyFiles:
- serviceaccounts.public.key
- ...
使用以下命令创建服务帐户
$ Openshift cli create service account
在大多数生产环境中,直接访问Internet是受限制的。它们要么不暴露于Internet,要么通过HTTP或HTTPS代理暴露。在OpenShift环境中,此代理计算机定义被设置为环境变量。
这可以通过在/ etc / sysconfig下的master和node文件上添加代理定义来完成。这与我们对其他任何应用程序所做的类似。
/ etc / sysconfig / openshift-master
HTTP_PROXY=http://USERNAME:PASSWORD@172.10.10.1:8080/
HTTPS_PROXY=https://USERNAME:PASSWORD@172.10.10.1:8080/
NO_PROXY=master.vklnld908.int.example.com
/ etc / sysconfig / openshift-node
HTTP_PROXY=http://USERNAME:PASSWORD@172.10.10.1:8080/
HTTPS_PROXY=https://USERNAME:PASSWORD@172.10.10.1:8080/
NO_PROXY=master.vklnld908.int.example.com
完成后,我们需要重新启动主计算机和节点计算机。
/ etc / sysconfig / docker
HTTP_PROXY = http://USERNAME:PASSWORD@172.10.10.1:8080/
HTTPS_PROXY = https://USERNAME:PASSWORD@172.10.10.1:8080/
NO_PROXY = master.vklnld1446.int.example.com
为了使Pod在代理环境中运行,可以使用-
containers:
- env:
- name: "HTTP_PROXY"
value: "http://USER:PASSWORD@:10.0.1.1:8080"
OC环境命令可用于更新现有的环境。
在OpenShift中,持久卷和持久卷声明的概念形成了持久存储。这是关键概念之一,在其中创建第一个永久卷,然后再声明相同的卷。为此,我们需要在底层硬件上具有足够的容量和磁盘空间。
apiVersion: v1
kind: PersistentVolume
metadata:
name: storage-unit1
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteOnce
nfs:
path: /opt
server: 10.12.2.2
persistentVolumeReclaimPolicy: Recycle
接下来,使用OC create命令创建持久卷。
$ oc create -f storage-unit1.yaml
persistentvolume " storage-unit1 " created
声明创建的体积。
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: Storage-clame1
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi
创建索赔。
$ oc create -f Storage-claim1.yaml
persistentvolume " Storage-clame1 " created
用户和角色管理用于管理用户,他们对不同项目的访问和控制。
预定义的模板可用于在OpenShift中创建新用户。
kind: "Template"
apiVersion: "v1"
parameters:
- name: vipin
required: true
objects:
- kind: "User"
apiVersion: "v1"
metadata:
name: "${email}"
- kind: "Identity"
apiVersion: "v1"
metadata:
name: "vipin:${email}"
providerName: "SAML"
providerUserName: "${email}"
- kind: "UserIdentityMapping"
apiVersion: "v1"
identity:
name: "vipin:${email}"
user:
name: "${email}"
使用oc create –f <文件名>创建用户。
$ oc create –f vipin.yaml
使用以下命令删除OpenShift中的用户。
$ oc delete user
ResourceQuotas和LimitRanges用于限制用户访问级别。它们用于限制群集上的容器和容器。
apiVersion: v1
kind: ResourceQuota
metadata:
name: resources-utilization
spec:
hard:
pods: "10"
$ oc create -f resource-quota.yaml –n –Openshift-sample
$ oc describe quota resource-quota -n Openshift-sample
Name: resource-quota
Namespace: Openshift-sample
Resource Used Hard
-------- ---- ----
pods 3 10
定义容器限制可用于限制部署的容器将要使用的资源。它们用于定义某些对象的最大和最小限制。
基本上,这用于用户在任何时间点可以拥有的项目数。它们基本上是通过定义青铜,银和金类别的用户级别来完成的。
我们首先需要定义一个对象,该对象包含一个铜,银和金类别可以具有多少个项目的值。这些需要在master-confif.yaml文件中完成。
admissionConfig:
pluginConfig:
ProjectRequestLimit:
configuration:
apiVersion: v1
kind: ProjectRequestLimitConfig
limits:
- selector:
level: platinum
- selector:
level: gold
maxProjects: 15
- selector:
level: silver
maxProjects: 10
- selector:
level: bronze
maxProjects: 5
重新启动主服务器。
将用户分配到特定级别。
$ oc label user vipin level = gold
如果需要,将用户移出标签。
$ oc label user level-
向用户添加角色。
$ oadm policy add-role-to-user
从用户删除角色。
$ oadm policy remove-role-from-user
向用户添加集群角色。
$ oadm policy add-cluster-role-to-user
从用户删除集群角色。
$ oadm policy remove-cluster-role-from-user
将角色添加到组。
$ oadm policy add-role-to-user
从组中删除角色。
$ oadm policy remove-cluster-role-from-user
将群集角色添加到组。
$ oadm policy add-cluster-role-to-group
从组中删除群集角色。
$ oadm policy remove-cluster-role-from-group
这是功能最强大的角色之一,用户可以从创建群集到删除群集管理整个群集。
$ oadm policy add-role-to-user admin -n
$ oadm policy add-cluster-role-to-user cluster-admin