Openshift Container Olatfrom 镜像仓库/身份权限控制调研

已于 2022-02-22 21:40:49 修改
阅读量541 收藏
点赞数
分类专栏: 云原生相关 文章标签: openshift 容器 云原生
于 2021-11-09 18:05:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41559645/article/details/121233086
版权

Openshift Container Platfrom 镜像仓库/身份权限控制调研


调研版本:4.6.47

1、概述

Openshift Container Platfrom(以下简称OCP)是 Red Hat 的容器应用管理平台,本调研重点关注 OCP 的身份角色绑定和镜像仓库设计。其中,为了更好的让大家的了解 OCP 的架构,增加了对于镜像构建,应用生命周期管理,项目和命名空间相关概念的阐释。

2、相关概念的阐释

2.1、ImageStream(镜像流)

ImageStream 是 OCP对于镜像信息进行记录的特有抽象概念,可以通过它统一访问存放在不同Image Registry 的镜像。通俗的说 ImageStream 就是一个集合了不同镜像仓库的虚拟视图记录表。一个 ImageStream 由 ImageStreamTag(镜像流标签)和 ImageStreamImage(镜像指向信息) 共同构成。
在这里插入图片描述(图一)ImageStream 内部构成

当您定义引用镜像流标签的对象时,例如构建或部署配置,您指向的是镜像流标签而不是存储库。当您构建或部署应用程序时,OCP 使用镜像流标签查询存储库以定位镜像的关联 ID 并使用该镜像。图像流元数据与其他集群信息一起存储在 etcd 实例中。
请添加图片描述
(图二)ImageStream yaml 详细内容

2.2、应用部署使用 ImageStream 的过程

首先通过 ImageStreamTag 在 ImageStream中找到对应的 ImageStreamImage,然后使用 ImageStreamImage 从远程 Registry 上 pull image,这样就可以使用该 Image 部署应用。
在这里插入图片描述
(三)应用部署使用 ImageStream 的过程
使用图像流的好处(官方文档):

  • 您可以标记、回滚标记并快速处理镜像,而无需使用命令行重新推送。
  • 您可以在将新镜像推送到镜像仓库时触发构建和部署。此外,OCP 具有针对其他资源(例如 Kubernetes 对象)的通用触发器。
  • 您可以将 Tag 标记为定期重新导入。如果源镜像已更改,则该更改将被拾取并反映在镜像流中,这会触发构建或部署流程,具体取决于构建或部署配置。
  • 您可以使用细粒度访问控制共享镜像,并在您的团队中快速分发镜像。
  • 如果源镜像发生变化,镜像流标签仍指向该镜像的已知良好版本,确保您的应用程序不会意外中断。
  • 您可以通过imagestream对象的权限围绕谁可以查看和使用图像来配置安全性。
  • 没有权限在集群级别读取或列出镜像的用户仍然可以使用镜像流检索项目中标记的镜像。
2.3、Image 镜像仓库

OCP 支持使用 OCP 内置的镜像仓库和外部私有镜像仓库以及 S2I(从源代码到镜像)进行应用部署。本文重点关注 OCP 内置镜像仓库的调研和使用。

2.3.1. OCP内置镜像仓库

OCP 的 内置镜像仓库包括项目名为 openshift 的系统默认自带的镜像仓库项目以及用户不同项目下的镜像仓库项目。

OCP默认自的 openshift 项目内的镜像可实现全局全租户进行查看,并且 Kubeadmin(系统管理员)可以新上传镜像至默认的 openshift 镜像仓库项目,以供全局用户使用。

在 OCP 镜像仓库体制中,一个项目/命名空间下带有一个与之相对应的 内置仓库项目,也就是说 OCP的每一个租户都有一个对应的内置仓库与之一一对应,并且可以通过 Service accounts(服务账号,以下简称为SA)进行跨项目使用镜像仓库。

2.3.2回答几个问题:

1、OCP 可以实现跨NS调用吗?
答:可以,通过 SA 账户 绑定不同项目的 system:image-puller 角色。

2、普通用户可以推送镜像到 OCP 默认的 openshift 镜像仓库项目吗?
答:默认是不可以,但是通过对 imagestreamimports 资源进行角色绑定,并赋予至特定的用户身上,即可实现。

3、从外部推送的镜像会存储在项目内部的镜像仓库吗?
答:默认不储存。具体看镜像推送的方式,1、如果使用 podman push 进行推送会将外部 Image 传到内部镜像仓库中并保存。2、如果使用 oc import-image 命令只是根据外部镜像的元数据生成ImageStream对象,ImageSteam还是指向外部镜像。但如果在 oc import-image 命令后添加 “ --reference-policy=‘local’ ” 参数,可实现 podman push 同样的效果。

2.3.3. OCP 使用外部私有仓库

OCP 支持使用外部镜像仓库拉取镜像,在拉取外部私有镜像时,需要创建拉取密匙,并且绑定到服务账户。官方文档上的几种创建姿势:
在这里插入图片描述

2.4、 OCP身份认证体系

OCP 以插件形式支持多种 identity provider,比如在测试环境中常用的 htpasswd,生产环境中常用的 LDAP 等。这些 provider 中会保存用户身份信息,比如用户名和密码。useridentitymapping 对象将 user 对象和 identity 对象联系在一起。
OCP 包含一个内置的 OAuth 服务器。用户获取 OAuth 访问令牌以对 API 进行身份验证。当一个人请求一个新的 OAuth 令牌时,OAuth 服务器使用配置的身份提供者来确定发出请求的人的身份。
然后确定该身份映射到哪个用户,为该用户创建访问令牌,并返回令牌以供使用。

2.5、 OCP RBAC角色控制
  • 对于 OpenShift 集群资源,比如 pod,deployment,route 等,通过 role (角色)进行控制。

从范围(scope)上分,role 可分为集群角色(clusterRole)和项目角色(role)。每个角色定义了受控制的对象(subject)、允许的操作(verb)和范围(集群还是项目)。用户(user)和角色(role/clusterRole)之间通过 rolebinding/clusterrolebinding 对象进行绑定。

  • 对于操作系统资源,这只针对服务账户。宿主机上的用户访问宿主机上的资源,这由宿主机操作系统进行控制。pod 中的用户(serviceaccount)访问pod内和宿主机上操作系统资源,由 scc(security context constraints)进行控制。
  • RBAC角色绑定的两个级别
RBAC级别描述
Cluster RBAC适用于所有项目的角色和绑定。集群角色存在于集群范围内,且集群角色绑定创建时只能引用集群角色。
Local RBAC限定在给定项目范围内的角色和绑定。虽然本地角色只存在于单个项目中,但本地角色绑定创建时可以同时引用集群和本地角色

项目用户如果想查看集群视图,必须将集群角色view与项目用户绑定的本地角色进行绑定。

这种两级层次结构允许通过集群角色跨多个项目重用,同时允许通过本地角色在单个项目内部进行定制。

OCP包含一组默认集群角色,可以绑定到集群或者项目本地范围。

默认集群角色描述
admin一个项目管理员。如果在本地绑定中使用,admin则有权查看项目中的任何资源并修改项目中除配额外的任何资源
basic-user可以获取有关项目和用户的基本信息的用户
cluster-admin可以在任何项目中执行任何操作的超级用户。当绑定到具有本地绑定的用户时,他们可以完全控制配额以及项目中每个资源的每个操作。
cluster-status可以获取基本集群状态信息的用户
edit可以修改项目中大多数对象但无权查看或修改角色或绑定的用户。
self-provisioner可以创建自己的项目的用户
view无法进行任何修改但可以查看项目中的大多数对象的用户。他们无法查看或修改角色或绑定

集群角色、本地角色、集群角色绑定、本地角色绑定、用户、组和服务帐户之间的关系如下图所示
在这里插入图片描述

2.6、角色相关常用命令
2.6.1、角色绑定

赋予用户集群中所有项目特定的权限(集群级别)

oc adm policy add-cluster-role-to-user <role> <username>
  • <role>角色名,如admin
  • <username> 用户名,如用户A

删除用户集群中所有项目特定的权限(集群级别)

oc adm policy remove-cluster-role-from-user <role> <username>

赋予用户项目中特定的权限(项目级别)

oc adm policy add-role-to-user <role> <username> -n <namespace>

删除用户项目中特定的权限(项目级别)

oc adm policy remove-role-from-user <role> <username>
2.6.2、创建角色

创建本地角色

oc create role <name> --verb=<verb> --resource=<resource> -n <project>
  • <name>, 本地角色的名称
  • <verb>, 以逗号分隔的要应用于角色的动词列表。常见有: getlistcreateupdatedelete,- deletecollection,或watch
  • <resource>,角色适用的资源
  • <project>, 项目名称
2.6.3、跨命名空间调用镜像仓库

使用内部 registry 时,为了允许项目A引用项目B中的镜像,项目A必须将服务帐户绑定到项目B中的system:image-puller角色。
代码如下:

oc policy add-role-to-user \
    system:image-puller system:serviceaccount:项目A:default \
    --namespace=项目B

本文部分内容来源于Openshift Container Olatfrom 官方文档,链接地址:https://docs.openshift.com/container-platform/4.6/welcome/index.html

carnival shi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker--Harbor私有仓库部署与管理
sukapulai的博客
06-29 838
docke-harbor 镜像仓库 是本地私有镜像仓库用于保存项目/企业/平台内部经常使用的镜像/自定义的镜像,用于给docker / K8S 使用Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。 Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日
OpenShift Container Platform 4.4 更新集群
05-21
关于 OPENSHIFT CONTAINER PLATFORM 更新服务 1.2. OPENSHIFT CONTAINER PLATFORM 升级频道和发行版本 1.3. 使用WEB控制台更新集群 第 2 章 通过 WEB 控控制制台台将将集集群群更更新新为一一个个新新的的次次版...
OpenShift构建镜像
IT
04-10 1676
OpenShift构建镜像 使用镜像仓库作为source和output 1、准备一个git仓库,包含一个Dockerfile,以下仅包含一行内容用于最简单的演示。 text_Q1NETiBA6YGl5LiN5Y-v5Y-K55qE6Ieq55Sx,size_20,color_FFFFFF,t_70,g_se,x_16) FROM docker.io/bitnami/nginx:1.21.6 以gitlab仓库为例,你可以使用github等其他仓库 2、创建BuildConfig文件 点击构建,选择构建
微服务架构 - 搭建docker本地镜像仓库并提供权限校验及UI界面
weixin_30492601的博客
04-02 235
搭建docker本地镜像仓库并提供权限校验及UI界面 docker本地镜像仓库的作用跟maven私服差不多,特别是公司级或者是小组级开发好的docker仓库可以上传到本地镜像仓库中,需要用时,直接从本地镜像仓库中拉取镜像即可,因为镜像仓库在自己公司,可以做到安全可控了。下面介绍搭建本地镜像仓库的过程。 1、环境准备 docker本地镜像仓库本身也是一个docker镜像,为此如果需要搭建本地镜像仓库...
redhat 镜像_关于Openshift镜像仓库的进一步解释
weixin_39881387的博客
12-07 717
在前述章节中,通过离线安装方式Openshift4支持在线升级。具体链接:https://mp.weixin.qq.com/s/vlpmDINHCRMckiy_2hakcg在升级4.5.11过程中,发现系统升级报错,具体表现为镜像拉取失败。初步分析原因怀疑出在本地镜像仓库上,在本次集群安装过程中,选择了适合企业大部分场景下的离线安装方式。点火配置中所填的是本地仓库地址registry.c...
openshift简介
justlpf的专栏
09-22 3161
参考文章:什么是openshift Openshift是一个开源的容器云平台,底层基于当前容器的事实标准编排系统Kubernetes和docker引擎,企业可以基于此平台搭建内部Paas平台,贯穿CI/CD流程,提高企业IT效率,拥抱DevOps和敏捷开发。 什么是Paas PaaS(Platform as a Service,平台即服务)最早是在云计算领域被提出。如下图所示,将企业IT服务分为九层,传统自建数据中心九层设施都需要企业自己维护,成本极高。而云计算架构就相当于把九层架构中的底层一部分外包
OpenShift Container Platform 4.7 Installing.pdf
04-29
容器开发、企业级Kubernetes部署、OpenShift
IBM RedHat OpenShift Container Platform版本V4.7.X 环境构建操作指南
最新发布
04-22
IBM RedHat OpenShift Container Platform版本V4.7.X 环境构建操作指南
OpenShift Container Platform 4.4 迁移
05-21
第 1 章 将 OPENSHIFT CONTAINER PLATFORM 3 迁迁移移到到 4 1.1. 关于将 OPENSHIFT CONTAINER PLATFORM 3 迁移到 4 1.2. 规划迁移 1.3. 将应用程序工作负载从 OPENSHIFT CONTAINER PLATFORM 3.7 迁移到 4.4 1.4. ...
OpenShift Container Platform 4.4 在 vSphere 上安装
05-21
第 1 章 在 VSPHERE 上上安安装装 1.1. 在 VSPHERE 上安装集群 1.2. 使用网络自定义在 VSPHERE 上安装集群 1.3. 在受限网络中的 VSPHERE 上安装集群
Docker--harbor私有仓库部署与管理
2301_78106979的博客
11-02 461
Harbor 是 VMware 公司开源的企业级 Docker Registry 项目,其目标是帮助用户迅速搭建一个企业级的 Docker Registry 服务。Harbor以 Docker 公司开源的 Registry 为基础,提供了图形管理 UI 、基于角色的访问控制(Role Based AccessControl) 、AD/LDAP 集成、以及审计日志(Auditlogging) 等企业用户需求的功能,同时还原生支持中文。
Harbor镜像仓库安装与使用
axibazZ的博客
06-28 405
Harbor(港口,港湾)是一个用于存储和分发Docker镜像的企业级Registry服务器。除了Harbor这个私有镜像仓库之外,还有Docker官方提供的Registry。相对Registry,Harbor具有很多优势: 1. 提供分层传输机制,优化网络传输 Docker镜像是是分层的,而如果每次传输都使用全量文件(所以用FTP的方式并不适合),显然不经济。必须提供识别分层传输的机制,以层的UUID为标识,确定传输的对象。 2. 提供WEB界面,优化用户体验 只用镜像的名字来进行上传下载显然很不方便,需
podman-镜像-容器-基本操作
aggie4628的专栏
05-30 1389
podman 基本操作,亲测可用
OpenShift简介(二)
justlpf的专栏
08-30 9821
参考文章: OpenShift简介_虹科云科技的博客-CSDN博客_openshift架构详解openshift是红帽的云开发平台即服务(PaaS),底层以Docker作为容器引擎驱动,以k8s作为容器编排引擎组件,openshift提供了开发语言、中间件、自动化流程工具及界面等元素,提供了一套完整的基于容器的应用云平台。OKD是 Kubernetes 的一个发行版,针对持续应用程序开发和多租户部署进行了优化。OKD 还充当上游代码库,红帽 OpenShift Online和红帽 OpenShift 容器平
OpenShift:关于OpenShift(OKD)通过命令行的方式部署镜像以及S2I流程Demo
山河已无恙
04-25 1369
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为安装完OpenShift, 利用OpenShift引擎部署一个镜像应用和一个S2I流程部署应用 Demo学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正傍晚时分,你坐在屋檐下,看着天慢慢地黑下去,心里寂寞而凄凉,感到自己的生命被剥夺了。当时我是个年轻人,但我害怕这样生活下去,衰老下去。在我看来,这是比死亡更可怕的事。--------王小波。
OCP培训笔记
yingwei13mei的博客
06-25 2729
Openshift是什么?能干什么? 所谓得Paas者得天下,Openshift**是红帽的云开发平台即服务(PaaS)。 IT发展方向:容器化所有应用,目的实现DEVOPS,目前的几种实现方式: 1)AWS Devops 参考:https://www.sohu.com/a/213232086_411876 2)Openshift 3)RunC和Podman (Openshift4.1) Run...
OpenShift基础到精通
06-20
<div> <p> <img src="https://img-bss.csdnimg.cn/202006200149361743.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149446628.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149522584.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200150009290.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006302322144521.png" alt="" /></p> <p> <br /></p> </div>
DO280中OpenShift镜像管理
weixin_33747129的博客
01-06 1454
2019独角兽企业重金招聘Python工程师标准>>> ...
Open Shift 镜像流相关---ImageStream tag
焱宣的博客
10-31 622
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Open Shift 镜像流相关---ImageStream tagTagging images一、Image tags 镜像标签:二、Image tags conventions 镜像标签惯例三、Adding tags to image streams 给镜像流添加标签:四、Removing tags from image streams五、 Referencing images in imagestreams 通过镜像流引用镜像
openshift container platform
09-30
5. 安全性:OpenShift Container Platform 提供了丰富的安全功能,包括网络隔离、身份认证、访问控制等。它还支持横向扩展的服务网格,可以保护容器之间的通信安全。 总之,OpenShift Container Platform 是一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值