OpenShift 4 - 了解Secret

最新推荐文章于 2023-02-27 17:04:21 发布
最新推荐文章于 2023-02-27 17:04:21 发布
阅读量1.2k 收藏 4
点赞数 2
分类专栏: OpenShift 4 secret 文章标签: openshift secret
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107216845
版权

OpenShift 4.x HOL教程汇总

文章目录

关于Secret对象

和ConfigMap对象用来保存明文格式的参数不同,Kubernetes 的 Secret 对象类型是用来保存敏感信息的,这些敏感信息包括:密码、登录凭证、OAuth 令牌和ssh key等。

三种途径创建Secret对象

执行以下命令查看创建secret的三种方法(子命令)。

$ oc create secret --help
Create a secret using specified subcommand.
 
Usage:
  oc create secret [flags]
 
Available Commands:
  docker-registry Create a secret for use with a Docker registry
  generic         Create a secret from a local file, directory or literal value
  tls             Create a TLS secret
 
Use "oc <command> --help" for more information about a given command.
Use "oc options" for a list of global command-line options (applies to all commands).

从说明可以看出这三种不同子命令适用不同情况:

  1. generic:使用命令参数或文件创建secret。OpenShift支持的文件有以下类型:key-value键值对文件、docker或podman登录Registry的身份凭证文件、git客户端登录git服务器的身份凭证文件等。
  2. docker-registry:使用docker或podman登录Registry,然后用生成的身份凭证创建secret。注意,当还没有身份凭证文件的时候使用该命令,如果本地已经有了访问Registry的身份凭证文件,则还是使用“generic”子命令生成secret对象(在后面有例子)。
  3. tls:使用公钥/私钥证书对创建secret。

Secret对象的结构

我们在Secret对象中可以使用type指定key和value的结构。当使用以下特定类型secret的时候服务器会验证其结构是否有效:

  • kubernetes.io/service-account-token:使用serviceaccount令牌的secret。
  • kubernetes.io/basic-auth. 使用基本(用户名/密码)认证的secret
  • kubernetes.io/ssh-auth. 使用SSH Key认证的secret
  • kubernetes.io/tls. 使用TLS 证书的secret
  • kubernetes.io/dockercfg. 使用docker的 .dockercfg 文件required Docker credentials.
  • kubernetes.io/dockerconfigjson. 使用docker的 .docker/config.json 文件 for required Docker credentials.

在Secret中可以指定“type=Opaque”,这样secret就会使用通用结构保存key-value对,而不验证其结构的有效性。

执行以下命令,查看一个新建项目的secret对象。OpenShift缺省为每个项目创建如下几个secret,注意它们的类型。

$ oc new-project my-secret
$ oc get secret -n my-secret
NAME                       TYPE                                  DATA   AGE
builder-dockercfg-cjng2    kubernetes.io/dockercfg               1      30h
builder-token-s28sk        kubernetes.io/service-account-token   4      30h
builder-token-tx7fv        kubernetes.io/service-account-token   4      30h
default-dockercfg-2cqn5    kubernetes.io/dockercfg               1      30h
default-token-4k7vk        kubernetes.io/service-account-token   4      30h
default-token-ntgp2        kubernetes.io/service-account-token   4      30h
deployer-dockercfg-khptz   kubernetes.io/dockercfg               1      30h
deployer-token-h76xc       kubernetes.io/service-account-token   4      30h
deployer-token-mdlcl       kubernetes.io/service-account-token   4      30h

创建Secret对象

一般结构Secret

通过命令创建Secret

  1. 执行命令,创建记录username和password的generic类型的secret对象。
$ echo -n 'admin' > ./username.txt
$ echo -n '1f2d1e2e67df' > ./password.txt
$ kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
  1. 查看生成的secret对象。注意此时Type类型是Opaque,另外Data的长度分别是12 bytes和5 bytes,这是没有base64编码之前原文的长度。
$ oc describe secrets/db-user-pass
Name:         db-user-pass
Namespace:    my-secret
Labels:       <none>
Annotations:  <none>
 
Type:  Opaque
 
Data
====
password.txt:  12 bytes
username.txt:  5 bytes
  1. 执行命令查看secrets/db-user-pass对象,确认在secret对象的data中保存的变量值为base64后的字符串。
$ oc get secrets/db-user-pass -oyaml
apiVersion: v1
data:
  password.txt: MWYyZDFlMmU2N2Rm
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2020-09-28T00:40:58Z"
  name: db-user-pass
  namespace: my-secret
  resourceVersion: "406667"
  selfLink: /api/v1/namespaces/my-secret/secrets/db-user-pass
  uid: 17f96d35-b753-4062-9518-a505fb04ec3f
 
$ echo 'MWYyZDFlMmU2N2Rm' | base64 -d
1f2d1e2e67df
$ echo 'YWRtaW4=' | base64 -d
admin

通过YAML创建Secret

在定义secret对象的YAML中可以使用data和stringData定义需要记录的内容,它们的区别如下:

  1. 如果直接用YAML创建secret对象,可以先将字符串做base64编码。
$ echo -n 'admin' | base64
YWRtaW4=
$ echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm
  1. 创建内容如下的mysecret1.yaml文件,其中username和password是base64后的内容。
apiVersion: v1
kind: Secret
metadata:
  name: mysecret1
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm
  1. 执行命令,创建secret对象。
$ oc apply -f ./mysecret1.yaml
secret/mysecret1 created
  1. 在YAML中除了在data中使用base64编码字符串外,还可以在stringData中直接使用明文,OpenShift会在创建secret的时候自动进行base64编码。
  2. 创建内容如下的mysecret2.yaml文件,注意config.yaml的key和后面的value都是明文,它们都属于stringData。
apiVersion: v1
kind: Secret
metadata:
  name: mysecret2
type: Opaque
stringData:
  config.yaml: |-
    apiUrl: "https://my.api.com/api/v1"
    username: "username"
    password: "password"
  1. 执行命令创建mysecret2,然后确认config.yaml后的value已经被自动base64编码了。
$ oc apply -f ./mysecret2.yaml
secret/mysecret2 created
$ oc get secret/mysecret2 -oyaml
apiVersion: v1
kind: Secret
type: Opaque
data:
  config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6ICJ1c2VybmFtZSIKcGFzc3dvcmQ6ICJwYXNzd29yZCI=
metadata:
  name: mysecret2
  namespace: my-secret
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","kind":"Secret","metadata":{"annotations":{},"name":"mysecret2","namespace":"my-secret"},"stringData":{"config.yaml":"apiUrl: \"https://my.api.com/api/v1\"\nusername: \"username\"\npassword: \"password\""},"type":"Opaque"}
  creationTimestamp: "2020-09-28T01:27:32Z"
  resourceVersion: "2092932"
  selfLink: /api/v1/namespaces/my-secret/secrets/mysecret2
  uid: 8db8a8c0-51c7-4904-9eb5-ff956282cf72
  1. 创建内容如下的mysecret3.yaml文件。确认username同时在data和stringData都有。
apiVersion: v1
kind: Secret
metadata:
  name: mysecret3
type: Opaque
data:
  username: YWRtaW4=
stringData:
  username: administrator
  1. 执行名创建mysecret3对象,然后确认此时username的内容是通过stringData定义的内容,这说明stringData的内容会覆盖data中相同key的内容。
$ oc get secret/mysecret3 -oyaml
apiVersion: v1
data:
  username: YWRtaW5pc3RyYXRvcg==
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret3","namespace":"my-secret"},"stringData":{"username":"administrator"},"type":"Opaque"}
  creationTimestamp: "2020-09-28T02:08:23Z"
。。。 

$ echo 'YWRtaW5pc3RyYXRvcg==' | base64 -d
administrator

属于dockerconfigjson或dockercfg类型的pull-secret

pull-secret是Kubernetes中专门用来访问Registry的secet。我们可以把pull-secret看成是一种“特定”类型的secret。pull-secret本身的类型有可能是kubernetes.io/dockerconfigjson或kubernetes.io/dockercfg(取决于secret对象是从本地的.docker/config.json文件还是.dockercfg生成的)。

我们可以使用以下三种方式创建pull-secret,其中第一种方法是用USERNAME和PASSWORD直接访问REGISTRY_SERVER,在此过程中会先在本地生成.docker/config.json文件并基于它生成pull-secret。而后两种方法是直接使用本地已有的身份凭证文件.docker/config.json或.dockercfg(当docker或podman在首次访问Registry的时候会将身份凭证保存在文件中)。

$ oc create secret docker-registry <PULL_SECRET_NAME> \
    --docker-server=<REGISTRY_SERVER> \
    --docker-username=<USERNAME> \
    --docker-password=<PASSWORD> \
    --docker-email=<EMAIL>

$ oc create secret generic <PULL_SECRET_NAME> \
    --from-file=.dockerconfigjson=<PATH/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson

$ oc create secret generic <PULL_SECRET_NAME> \
    --from-file=.dockercfg=<PATH/.dockercfg> \
    --type=kubernetes.io/dockercfg
  1. 执行命令创建一个访问registry.redhat.io的pull-secret。注意:用户名和密码是随意写的,这说明在创建secret的时候不会验证该用户名和密码是否有效。
$ oc create secret docker-registry registry-redhat-secret \
    --docker-server=registry.redhat.io \
    --docker-username=user1 \
    --docker-password=password1
  1. 查看registry-redhat-secret对象的内容,确认“.dockerconfigjson”后是经过base64编码的访问凭证。
$ oc get secret registry-redhat-secret -o yaml
apiVersion: v1
data:
  .dockerconfigjson: 4oCYe2F1dGhzOnt5b3VyLnJ........
kind: Secret
metadata:
  ...
  name: <PULL_SECRET_NAME>
  ...
type: kubernetes.io/dockerconfigjson
  1. 执行以下命令将“.dockerconfigjson”内容解析出来,确认内容就是前面生成secret所使用的访问Registry的相关信息。
$ oc get secret PULL_SECRET_NAME --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"your.registry.com":{"username":"user1","password":"password1","email":"","auth":"dXNlcjE6cGFzc3dvcmQxCg=="}}}
  1. 执行命令再将auth的内容解析出来,确认就是用户名和密码的组合。
$ echo "dXNlcjE6cGFzc3dvcmQxCg==" | base64 --decode
user1:password1

basic-auth类型secret

basic-auth类型secret是由username和password、或者token组成。

$ oc create secret generic <secret_name> \
    --from-literal=username=<user_name> \
    --from-literal=password=<password> \
    --type=kubernetes.io/basic-auth
 
$ oc create secret generic <secret_name> \
    --from-literal=password=<token> \
    --type=kubernetes.io/basic-auth

ssh-auth类型secret

ssh-auth使用ssh私钥生成secret。以下以访问git

  1. 执行以下命令,全部采用缺省内容生成ssh密钥对。
$ ssh-keygen -t rsa -C "your_email@example.com"
  1. 在打算用secret登录的目标环境中导入生成的公钥。
  2. 执行命令,基于私钥生成secret。
$ oc create secret generic <SECRET_NAME> \
    --from-file=ssh-privatekey=/path/to/.ssh/id_rsa \
    --from-file=ssh-publickey=/path/to/.ssh/id_rsa.pub 
    --type=kubernetes.io/ssh-auth
  1. 基于以下YAML创建Pod。其中将<SECRET_NAME>的内容挂载到“/etc/secret-volume”下。
apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
  labels:
    name: secret-test
spec:
  volumes:
  - name: secret-volume
    secret:
      secretName: <SECRET_NAME>
  containers:
  - name: ssh-test-container
    image: mySshImage
    volumeMounts:
    - name: secret-volume
      readOnly: true
      mountPath: "/etc/secret-volume"
  1. 此后就可以在Pod中用/etc/secret-volume/ssh-privatekey建立SSH链接。

引用或使用Secret中内容

从Secret中解析出其内容

  1. 执行命令,将前面创建的secret/db-user-pass中的所有内容解析出来,输出到STOUT。
$ oc extract secret/db-user-pass --to=-
# password.txt
1f2d1e2e67df
# username.txt
admin
  1. 使用以下命令,将secret/db-user-pass中的所有内容解析出来,并保存到db-user-pass目录下。
$ mkdir db-user-pass && oc extract secret/db-user-pass --to=./db-user-pass
db-user-pass/password.txt
db-user-pass/username.txt

在Pod中通过挂载存储使用Secret

  1. 创建内容如下的my-redis.yaml文件。其中将mysecret挂载到pod中的/etc/foo下面的子目录中。
apiVersion: v1
kind: Pod
metadata:
  name: my-redis
spec:
  containers:
  - name: my-redis
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username
  1. 执行命令创建pod。然后进入该pod,并在相应目录中查看secret的内容。
$ oc apply -f my-redis.yaml
pod/my-redis created
 
$ oc rsh my-redis
# ls -l /etc/foo/my-group/my-username
-rw-r--r--. 1 root root 5 Sep 28 02:47 /etc/foo/my-group/my-username
# cat /etc/foo/my-group/my-username
admin

在Pod中通过环境变量使用Secret

  1. 创建内容如下的my-redis-env.yaml文件,其中在pod中通过SECRET_USERNAME和SECRET_PASSWORD环境变量分别引用了前面创建的mysecret对象中的username和password。
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  1. 执行命令,根据my-redis-env.yaml创建pod对象。然后进入这个pod,并查看SECRET_USERNAME和SECRET_PASSWORD两个环境变量应该已经有内容了。
$ oc apply -f my-redis-env.yaml
pod/secret-env-pod created
 
$ oc rsh secret-env-pod
# echo $SECRET_USERNAME
admin
# echo $SECRET_PASSWORD
1f2d1e2e67df

在Pod中使用pull_secret

通过以下方式可以在pod中引用名为“PULL_SECRET_NAME”的pull_secret。

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: your.registry.com/REPOSITORY/IMAGE:TAG
  imagePullSecrets:
    - name: <PULL_SECRET_NAME>

在ServiceAccount中使用secret和pull-secret

  1. 执行命令,查看项目中名为default的SerivceAccount的配置,确认其引用了2个secret和一个“imagePullSecrets”。
$ oc get sa default -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2020-09-28T01:05:49Z"
  name: default
  namespace: my-secret
  resourceVersion: "2077534"
  selfLink: /api/v1/namespaces/my-secret/serviceaccounts/default
  uid: c3f4429b-56be-4414-9e7c-1782d3d9ad2a
secrets:
-- name: default-dockercfg-2cqn5
-- name: default-token-ntgp2
imagePullSecrets:
-- name: default-dockercfg-2cqn5
  1. 执行命令查看前面创建的名为my-redis的Pod的配置。然后确认“volumes”部分除了有主动声明挂载的mysecret对象(只包含username),OpenShift还自动挂载了名为default-token-ntgp2的secret对象。
$ oc get pod my-redis -oyaml
。。。
  volumes:
  - name: foo
    secret:
      defaultMode: 420
      items:
      - key: username
        path: my-group/my-username
      secretName: mysecret
  - name: default-token-ntgp2
    secret:
      defaultMode: 420
      secretName: default-token-ntgp2
。。。
  1. 执行命令,进入在前面创建的名为my-redis的Pod,然后查看“/var/run/secrets/kubernetes.io/serviceaccount/”目录,确认有名为“ca.crt”、“namespace”、“service-ca.crt”和“token”的4个文件和对应的link。这4个就是OpenShift自动将项目中名为default的ServiceAccount中的secret注入到新建的Pod里面的键值对。
$ oc rsh my-redis
# ls -al /var/run/secrets/kubernetes.io/serviceaccount/
total 0
drwxrwxrwt. 3 root root 160 Sep 29 06:26 .
drwxr-xr-x. 3 root root  60 Sep 29 06:26 ..
drwxr-xr-x. 2 root root 120 Sep 29 06:26 ..2020_09_29_06_26_16.707525435
lrwxrwxrwx. 1 root root  31 Sep 29 06:26 ..data -> ..2020_09_29_06_26_16.707525435
lrwxrwxrwx. 1 root root  13 Sep 29 06:26 ca.crt -> ..data/ca.crt
lrwxrwxrwx. 1 root root  16 Sep 29 06:26 namespace -> ..data/namespace
lrwxrwxrwx. 1 root root  21 Sep 29 06:26 service-ca.crt -> ..data/service-ca.crt
lrwxrwxrwx. 1 root root  12 Sep 29 06:26 token -> ..data/token
  1. 执行命令,查看名为default的ServiceAccount所用到的名为“default-token-XXXX”的secret。确认其中包含的键值对即为上一步被my-redis Pod所引用的4个键值对。
$ oc get secret default-token-ntgp2 -oyaml

参考

https://kubernetes.io/zh/docs/concepts/configuration/secret/
https://docs.openshift.com/container-platform/4.5/openshift_images/managing_images/using-image-pull-secrets.html
https://docs.openshift.com/container-platform/4.4/builds/creating-build-inputs.html#builds-secrets-overview_creating-build-inputs
https://www.qikqiak.com/k8strain/config/serviceaccount/

dawnsky.liu
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
运行在笔记本上的OpenShift4环境
老菜的博客
06-21 596
Red Hat CodeReady Containers(crc)用于在笔记本/台式机上构建一个最小化的 OpenShift4 开发/测试环境。 开箱即用,网络顺畅的话,10分钟就可以搞定。支持win10,macos,linux。将虚拟机和运行在虚拟机中的 OpenShift 打包提供给用户。 基本介绍 硬件需求 4 physical CPU cores 9 GB of free memory 35 GB of storage space 支持操作系统版本 Windows Windows 10 Fall
OpenShift从源码构建部署应用初体验
jj_tyro的专栏
03-31 7686
OpenShift从源码构建部署应用初体验 这两天在翻OceanBase 0.4版本(唯一开源的版本)的源码,原因是前些天有人讲OceanBase非分区表的数据也是打散到多个节点分布的,这与我观看过的蚂蚁金融云上OB文档不一样,文档中讲OB是基于表分区在多个节点间分布数据的,非分区表不打散全部数据的任一副本只存放在一个节点上。后来了解到是OB过往版本与现行版本间数据分布的方式不一样。 所以大致...
openshiftsecret
Jian Sun_的博客
03-05 1069
1、用户认证 openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内对系统进行访问。 获取token:oc whoami -t 获取tokenAPI:/oauth/token/request 2、身份验证 identity provider openshift提供不同的适配器链接不同的用户...
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 985
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
OpenShift 4 - 全图形化 Step-by-Step 部署容器应用(附视频)
多恩斯基的博客
04-01 2182
文章目录webbackendmongodbhealth参考 parks-workshop web quay.io/openshiftroadshow/parksmap backend http://nationalparks-parks-workshop.apps.cluster-b327.b327.sandbox824.opentlc.com/ws/info/ mongodb $ oc create -n openshift -f https://raw
OpenShift 4 - 基于Memory的HPA
多恩斯基的博客
04-04 331
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.6环境中验证 安装并发压力工具 $ yum install httpd 部署测试应用和HPA $ oc new-project memory-hpa $ oc apply -f manifests/frontend.yaml $ oc create -f manifests/frontend-v1-memory-hpa.yaml 对应用并发压力测试 $ ab -n 10000 -c 40 https://
IT运维面试问题总结-LVS、Keepalived、HAProxy、Kubernetes、OpenShift
empty_csx的博客
05-08 2919
文章目录1.简述ETCD及其特点2、简述ETCD适应的场景?3、简述HAProxy及其特性 1.简述ETCD及其特点 etcd 是 CoreOS 团队发起的开源项目,是一个管理配置信息和服务发现(service discovery)的项目,它的目标是构建一个高可用的分布式键值(key-value)数据库,基于 Go 语言实现。 特点: 简单:支持 REST 风格的 HTTP+JSON API 安全:支持 HTTPS 方式的访问 快速:支持并发 1k/s 的写操作 可靠:支持分布式结构,基于 Raft 的一
快速部署OpenShift应用
weixin_33739627的博客
03-26 3886
本文介绍了使用Service Catalog和OC命令部署OpenShift应用、部署基本概念和流程、扩展存储、清理OpenShift对象等。以Angular 6集成Spring Boot 2,Spring Security,JWT和CORS中的Spring Boot和Angular项目为例,详细讲解了S2I和Pipeline两种部署方式。 OKD版本3.11,Spring Boot项目源码her...
如何在红帽OpenShift容器平台上部署A10 Networks的Secure Service Mesh
A实大大的博客
07-03 439
什么是红帽® OpenShift®容器平台? 红帽®OpenShift®是一个企业就绪型Kubernetes容器平台,可以实现全堆栈自动化运营,以管理混合云和多云部署。开发人员可以轻松地通过一系列得到支持的技术,部署各种应用,因此,团队可以选择使用自己喜欢的语言、框架、数据库,来构建和部署服务。 什么是A10 Networks的Secure Service Mesh? A10 Netw...
Ansible Tower 管理指南 v3.8.1-182页
05-18
### 4. 清单文件导入 - **自定义动态清单脚本**: 使用脚本动态生成清单,适合变动频繁的环境。 - **SCM 清单源字段**: 结合版本控制系统(如Git)管理清单。 ### 5. 多凭证分配 - **多凭证策略**: 如何为不同的任务...
安装程序:安装OpenShift 4.x集群
02-16
OpenShift安装程序 支持平台 (仅开发) 快速开始 首先,安装所有。 克隆此存储库。 然后使用以下命令构建openshift-install二进制文件: hack/build.sh 这将创建bin/openshift-install 。 然后可以调用此二进制文件来创建OpenShift集群,如下所示: bin/openshift-install create cluster 安装程序将显示一系列提示,提示用户特定信息,并对所有其他内容使用合理的默认值。 在非交互式上下文中,可以通过来绕过提示。 如果遇到问题,请参阅。 连接到集群 完成时, openshift-install二进制文件将打印有关连接到新集群的详细信息,这些文件也可在.openshift_install.log文件中找到。 输出示例: INFO Waiting 10m0s for the opens
OPENSHIFT-4-执行命令-实验
拙能胜巧
11-08 646
1.检查机器并确认环境正常。登陆OCP。创建项目。 2.获取所有的资源列表信息。 3.查看pod的日志,显示出现错误。 4.获取事件信息并按照指定规则排序,显示在抓取镜像的时候发生错误,详细显示pod的信息。 5.获取镜像文件的配置信息并以yaml格式输出,找到容器所包含的镜像。 6.查看pod列表信息,仍然node2节点在等待容器创建。登陆到node2节点,手动抓取镜像。 7.登陆到...
OpenShift 4 - 配置OpenShift集群日志环境EFK
多恩斯基的博客
04-17 1576
文章目录安装Elastic Search Operator安装Cluster Logging Operator查看Kibana OpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana(EFK)的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。 安装Elastic Search Operator 以下步骤采...
OpenShift 4 - 提权运行容器
多恩斯基的博客
07-12 670
Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。 运行HTTP容器 $ oc new-project http $ oc new-app --docker-image=httpd:2.4.17 查看pod状态,确认已经是“CrashLoopBackOff”状态。 $ oc get pod -w NAME READY STATUS
OpenShift 4 - 使用辅助安装器安装单节点 OpenShift (视频)
多恩斯基的博客
02-27 1605
我们可以在虚机或裸机上安装单节点 OpenShift,其中在 Far Edge 环境中运行更适合裸机部署单节点 OpenShift,而 Development 或 Testing 环境可以用虚机部署单节点 OpenShift。在虚机中安装好的单节点 OpenShift 同红帽的 OpenShift Local 环境非常相近,它们都是运行在虚机中,而且都是只有一个节点。OpenShift 辅助安装器既可用来安装单节点 OpenShift,也可用来安装标准的多节点 OpenShift 集群。
OpenShift 4 - RBAC基于Role的访问授权
多恩斯基的博客
08-06 1334
文章目录RBAC相关概念Role隶属于集群的Role(Cluster Role)隶属于项目的Role(Local Role)RoleBinding查看用户的RBAC参考 RBAC相关概念 在OpenShift中和RBAC(基于角色的访问控制)包括以下相关对象。 身份主体(Subject):一个user、group或serviceaccount。 规则(Rule):定义了对于指定object可以做的操作(操作包括:get, list, create, update, delete, deletecollect
OpenShift 4 之使用持久化存储
多恩斯基的博客
12-07 920
没使用持久化存储 创建一个项目,然后在其中部署一个应用,再生成应用的Route,最后获取Route访问地址。 $ oc new-project my-storage $ oc new-app https://github.com/liuxiaoyu-git/image-uploader.git $ oc expose svc image-uploader $ oc get route imag...
OPENSHIFT-4-执行命令-一般性问题排错
拙能胜巧
11-08 517
1.首先检查机器并确认环境正常。登陆OCP。创建一个项目。 2.创建一个应用。查看带有php标签的相关状态,发现显示镜像无法找到,而前面的说明里有镜像的对应路径。重新创建一个应用。获取pod列表信息。 3.查看pod的日志,发现没有输出显示。 4.查看事件列表,发现有记录显示pod处于failed状态。 5.登陆master节点查看节点状态,发现node1和node2都是notready状...
OpenShift 4 之获取版本升级路径图
多恩斯基的博客
12-08 1030
OpenShift 4 之获取版本升级路径图安装graphviz和jq工具生成OpenShift 4升级路径图 安装graphviz和jq工具 在/etc/yum.repo目录下新建graphviz.repo文件,将以下yum源内容添加到文件中。 [atomic] name = CentOS / Red Hat Enterprise Linux $releasever - atomic mir...
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值