在OpenShift中运行容器

最新推荐文章于 2023-03-24 15:08:29 发布
最新推荐文章于 2023-03-24 15:08:29 发布
阅读量603 收藏 1
点赞数
文章标签: 运维 数据库 shell
原文链接:https://yq.aliyun.com/articles/224945
版权
本文讲的是在OpenShift中运行容器【编者的话】本文不是一篇关于如何在OpenShift中使用和部署容器的指导性文章,也没有具体介绍OpenShift的原理组成,关于如何使用OpenShift可以参考另一篇《 OpenShift V3 应用发布部署的简单场景演示 》。

【深入浅出学习 etcd】etcd为分布式系统提供可靠、高效的配置管理服务,在Docker、Kubernetes、Mesos等平台中扮演了越来越重要的角色。作为2013年开始的项目,它还很年轻,官方文档中缺乏实现上全面、系统的介绍,本课程深入浅出地介绍了etcd的实现,并为运维和二次开发提供了系统的指导和建议。

本文的关注点在于OpenShift中的容器安全性问题,相信很多用过容器的读者都会遇到在容器里以root用户启动应用的情况,这篇文章着重介绍了OpenShift中我们如何处理这种情况,以及这样处理带来的副作用和其中的原因。
openshift.png

OpenShift  是Red Hat公司推出的一个基于Kubernetes的容器应用平台。并且很简捷,没错,它就是一个PaaS。新的V3版本的OpenShift做了一次 重大的改变 ,所有的组件用go语言重新编写,并且和现在的Kubernetes有了很好的结合。当你使用OpenShift的时候,你其实得到了一个Red Hat推出的基于Kubernetes的分布式系统,OpenShift的功能是围绕着代码部署,自动化构建等等,是一个典型的PaaS平台。

Openshift的优点是什么呢?Red Hat经常引以为豪的就是它的 安全性

我不是一个安全领域的专家,但是当你考虑使用Kubernetes并且如果你不想围绕secrets争论的时候,你会发现,Kubernetes有很多关于安全性的功能。 RBAC 就是一个当你用 kubeadm 去部署一个集群环境时默认的设置。可以通过强制的 网络规则 进行网络隔离,pod也可以用 安全策略 控制非常严格。加上身份验证机制,为所有组建间的通信提供TSL加密,权限控制,至少对我来说,这是一个非常强大和安全系统。

但是对早期的使用者来说这些安全设置是有代价的。在OpenShift中,使用Kubernetes默认的Pod安全策略,他们被 SCC(Security Context Constraints) 调用。默认使用SCC最明显的地方是在OpenShift的容器中,进程不能用 ROOT 用户运行。(译者注:表现为权限不够)

所以如果你在 minishift 里,没有指定一个非 ROOT 用户去运行一个Docker镜像,这肯定会失败。这意味着,非常遗憾,我们的 Bitnami 镜像现在还不能运行在OpenShift上。我们正在修复解决这个问题,也就是说在 Dockerfile 中用一个非特权用户,我将向您展示如何暂时规避这个问题。

开始使用OpenShift

使用OpenShift可以从 minishift 开始,他是一个定制的 minikube ,也就是说,它可以运行在你桌面系统的虚拟机里(就像k8s)。客户端 oc (译者注:oc是OpenShift的主要命令)可以被非常容易的配置,因为他实际上是在 kubectl 外面包装了一层。

当你下载后,使用它感觉就像在使用 minikube 一样:(除了它默认的驱动是xhyve,当然如果你用的是Virtual Box......): 
minishift start — vm-driver virtualbox

oc 添加到你的PATH中: 
$ minishift oc-env
export
PATH=”/Users/sebgoa/.minishift/cache/oc/v1.5.0:$PATH”

Run this command to configure your shell:

eval $(minishift oc-env)

$ eval $(minishift oc-env) 

修改SCC

为了修改SCC,你需要用admin用户登录到OpenShift中: 
oc login -u sysadmin:admin

这时修改 scc 
oc edit scc anyuid

如果你不使用 admin 用户登录,那么RBAC不会让你修改安全约束(security constraints),这时增加 user 会像这样: 
users:
- system:serviceaccount:default:ci
- system:serviceaccount:ci:default
- system:serviceaccount:myproject:default

基本上,你在你自己的项目里(myproject)可以用默认的服务帐号(service account)以任何 uid 包括 ROOT 用户去在运行一个容器。需要注意的是,你自己创建的项目(myproject)是一个可以用被你自己访问的名字空间。它是默认被minishift创建的,你可以用 oc config view 在k8s中找到它。

作为普通用户切换回minishift(  oc config  just like  kubectl config  ): 
oc config use-context minishift

用容器创建一个应用程序,并以ROOT身份运行一个进程

你现在可以用容器去创建一个应用程序了,并且这个应用程序的进程是 ROOT 用户运行的。你解除了pod的安全规则。但是这部太符合最小权限运行原则。 oc new-app 看起来很像 kubectl run 
oc new-app --name foobar \
--docker-image bitnami/mariadb \
--env MARIADB_ROOT_PASSWORD=root

现在你已经运行起来了bitnami mariadb在OpenShift里了,(  oc logs  like  kubectl logs  : 
$ oc logs foobar-1-zft17
Welcome to the Bitnami mariadb container
Subscribe to project updates by watching
https://github.com/bitnami/bitnami-docker-mariadb
Submit issues and feature requests at
https://github.com/bitnami/bitnami-docker-mariadb/issues
Send us your feedback at containers@bitnami.com
nami INFO Initializing mariadb
mariadb INFO ==> Configuring permissions…
mariadb INFO ==> Validating inputs…
mariadb INFO ==> Initializing database…
...<snip> 

结论

虽然在OpenShift里可以绕过默认的安全约束策略(SCC)但其实这并不是一个理想状态。这就是为什么在Bitnami中,我们现在去修改我们的容器应用模板去harden它们并且让它讷讷个够和运行在OpenShift中。

原文连接:Running Containers in OpenShift(翻译:王晓轩)

原文发布时间为:2017-05-18

本文作者:王晓轩

本文来自云栖社区合作伙伴Dockerone.io,了解相关信息可以关注Dockerone.io。

原文标题:在OpenShift中运行容器

weixin_34256074
关注
openshift/origin工作记录(8)——docker镜像垃圾回收
个人学习记录
03-29 941
镜像仓库垃圾回收 master节点上以集群管理员登录集群后执行: # oadm prune images --all=false --keep-younger-than=0m --keep-tag-revisions=0 --registry-url=docker-registry-default.router.default.svc.cluster.local --certificate-a...
openShift-docker容器管理
冰魄神光
12-14 695
1. 登录:oc login 2. 创建新项目:oc new-project ProjectName(ProjectName为新建的项目名) 3. 查看当前项目下的pod: oc get pod 4. 查看project: oc get project 5. 进入一个project: oc project ProjectName 6. 将一个服务映射出域名: oc expose svc svcname –hostname=xxx,将一个服务器映射成域名,支持http/https协议,svcn...
DO280介绍红帽OPENSHIFT容器平台--OpenShift特性和架构
IT民工金鱼哥,专注运维技术。
06-13 1574
第一章 介绍红帽OPENSHIFT容器平台--OpenShift特性和架构
openshift学习-第一章-开源容器
wolf
03-21 1656
最近学习k8s遇到很多问题,建了一个qq群:153144292,交流devops、k8s、docker等 第一章 开源容器云概述 1、容器时代的it,省略 2、开源容器云 从开发、测试、部署、运维全生命周期管理,质的改变,管理方式彻底改变。 效率和生产力提高,一切为了提高生产力。 快速迭代 3、openshift openshift是一个开源的容器云平台,基于k8s及docker...
RedHat OpenShift QuickStart 2.3 容器注册
Grey Star
03-04 354
原文:https://learn.openshift.com/subsystems/container-internals-lab-2-0-part-3 一、了解信任的基础——质量和来源 深入的了解注册服务器和存储库,这需要知晓质量和出处,简单的来说就是: 必须下载信任的事物 你必须从信任的仓库去下载 单独哪一个都是不够的,二者缺一不可。自从为Linux发行版下载ISO映像以来,这一直是事实...
jmeter-openshift-jenkins:使用Jenkins管道在OpenShift运行容器化的JMeter测试
05-16
此存储库包含Jenkinsfile,OpenShift对象,Dockerfile和脚本,以从Jenkins管道协调正在运行容器化JMeter测试。 要使用并将其显示在Jenkins,请 另一种策略是在Jenkins使用,但这并不能给您太多细节。 如果您...
node-openshift:尝试在openshift上使用mongodb运行容器化节点
05-10
OpenShift创建一个新项目。 从目录选择JavaScript类别,然后选择Node.js构建器映像。 输入应用程序的名称并指定存储库的URL( 或您自己的fork)。 (可选)单击高级选项以启用您可能喜欢的所有其他功能...
jdgpaas:这是在 OpenShift运行的 EAP 容器上以库模式部署 JBoss 数据网格的示例
06-16
本示例将详细介绍如何在OpenShift上的JBoss EAP(Enterprise Application Platform)容器以库模式部署JBoss Data Grid(JDG),这是一款强大的内存数据网格解决方案,适用于缓存和大数据处理。 首先,我们需要...
nodejs-openshift:在 OpenShift运行 nodejs v0.10.x 的示例应用程序
07-14
本指南将详细介绍如何在OpenShift运行一个基于Node.js v0.10.x的示例应用。 首先,我们需要了解OpenShift的工作原理。OpenShift为开发者提供了一个预配置的开发环境,每个应用程序都有自己的独立容器,称为“gear...
OpenShift容器存储管理技术
在本章,我们将介绍OpenShift平台容器存储的概念和重要性,以及在OpenShift环境存储管理所面临的需求。 ## 介绍OpenShift平台 OpenShift是由Red Hat公司推出的基于Kubernetes的容器应用平台,为开发人员提供...
2015 Container技术峰会-Docker与OpenShift的结合-蔡书
04-26
红帽高级解决方案架构师蔡书在OpenCloud 2015大会Container专场的演讲PPT:Docker与OpenShift的结合,主要介绍以Docker和Google Kubernetes为基础进行开发的第三代OpenShift平台。
OpenShift 4 - 全图形化 Step-by-Step 部署容器应用(附视频)
多恩斯基的博客
04-01 2210
文章目录webbackendmongodbhealth参考 parks-workshop web quay.io/openshiftroadshow/parksmap backend http://nationalparks-parks-workshop.apps.cluster-b327.b327.sandbox824.opentlc.com/ws/info/ mongodb $ oc create -n openshift -f https://raw
Openshift 简介
tangbiao的专栏
10-18 1万+
Openshift 概述简述OpenShift v3是一种分层的系统,它的目的是尽可能准确地揭露底层的docker格式化的容器映像和Kubernetes的概念,重点是开发人员可以轻松地组合应用程序。例如,安装Ruby、推代码和添加MySQL。与OpenShift v2不同的是,在创建模型的所有方面后,配置的灵活性会被暴露出来。将应用程序作为独立对象的概念被移除了,以支持更灵活的“服务”组合,允许两个
OpenShift Origin上运行任何Docker映像
danpob13624的博客
04-06 232
从现在开始我一直在使用OpenShift。 因为许多的原因。 首先,我不想在Windows上构建自己的Docker和Kubernetes环境,其次,因为我喜欢简单的安装。 圣诞节假期过后,我决定将计算机升级到Windows10。尽管我喜欢外观,但它破坏了很多网络和容器的安装,包括Docker和OpenShift环境。 现在,我已经重新启动并运行了所有内容,现在是时候进一步研究微服务了。 首先...
Docker系列(十五):Openshift 简介
as403045314的博客
12-31 890
1.简单了解openshift相关组件 1.openshift是基于容器技术构建的一个云平台 2.kubernetes是容器编排组件 3.docker是容器引擎驱动组件 4.openshift在Pass服务层默认提供了丰富的开发语言,开发框架,数据库间件 2.基于K8s微服务集群架构介绍 3.JavaAgent适配K8s架构说明 ...
openshift和Docker和kubernetes的关系
热门推荐
wuxiaobingandbob的专栏
12-14 1万+
18个容器编排平台 OpenShift 的基本用法,包括应用部署、服务发现教
玩机科技社的博客
03-24 2715
OpenShift 是一个由 Red Hat 公司推出的基于 Kubernetes 的容器编排平台,可以帮助开发人员快速、可靠地构建、部署、扩展和管理应用程序。与 Kubernetes 不同的是,OpenShift 提供了更加全面的开发体验和更高级的开发工具,使开发人员可以更轻松地创建和管理容器化应用程序。它还提供了许多附加功能,如 CI/CD 管道、应用程序监控和日志记录,使开发人员能够更好地了解应用程序的性能和健康状况。
openshift常用命令
heng178079013的专栏
11-06 8183
oc login 登录系统 oc get project 查询项目列表 oc project 切换到项目 oc get pod 查询容器列表 oc logs 查询容器日志输出 oc rsh 到容器执行命令 oc rsync : 同步文件 oc -h 查看帮助 oc edit dc 编辑dc兑现 oc delete dc 删除对象 oc new-app tomca
Openshift介绍及常用命令
chao199512的博客
02-01 8974
OpenShift是红帽公司的一个开源容器应用平台,以docker作为容器引擎,以k8s模型编排、调度容器。在两者的基础上,红帽公司提供了一套更加完善的容器应用管理平台。可以部署在物理机,虚拟机,公有云,私有云等各种环境下。     功能(有很多基于k8s的概念):         s2i:基于git或svn的代码快速生成应用容器镜像;         deployment:快熟部署容器镜像...
openshift 进入容器
最新发布
08-16
进入 OpenShift 某个 Pod 的容器内部,可以使用以下命令: 1. 首先,使用以下命令查看正在运行的 Pod 列表,并找到您想要进入的 Pod 的名称: ``` oc get pods -n ``` 请将 `<namespace>` 替换为您所在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值