OpenShift 4 - DevSecOps Workshop (1) - 安装 Workshop 环境

已于 2022-03-27 18:09:12 修改
阅读量858 收藏 1
点赞数
分类专栏: DevOps 安全 OpenShift 4 文章标签: devops
于 2021-08-14 11:37:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/119696248
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.8环境中验证

OpenShift 4 - DevSecOps Workshop 系列视频

注意:本 Workshop 依赖的 Quay Operator 已经不再支持 Quay 3.3,因此将无法完成 Workshop 的安装过程。可以先以以上视频了解 Workshop 相关场景。

文章目录

DevSecOps Workshop 说明

本Workshop使用Tekton作为CI/CD的引擎实现如下DevSecOps的应用发布流程。
在这里插入图片描述

运行环境要求

OpenShift 集群,计算节点内存32G,配置有Storage。

配置 OpenShift 中的环境

注意:本节特殊说明外其他全部内容都是用OpenShift集群管理员进行操作。

安装DevSecOps Operator

  1. 用集群管理员创建一个新项目“devsecops”。
$ oc new-project devsecops
  1. 执行以下命令在本地的marketplace注册DevSecOps Operator。
$ oc apply -f - << EOF
apiVersion: operators.coreos.com/v1alpha1
kind: CatalogSource
metadata:
  name: redhatgov-operators
  namespace: openshift-marketplace
spec:
  sourceType: grpc
  image: quay.io/redhatgov/operator-catalog:latest
  displayName: Red Hat NAPS Community Operators
  publisher: RedHatGov
EOF
  1. 注册完,可在OpenShift控制台的OperatorHub中查找到“DevSecOps Operator”。
    在这里插入图片描述
  2. 将“DevSecOps Operator”安装到“devsecops”项目中。
    在这里插入图片描述
  3. 完成后可以在“安装的Operators”菜单中看到“DevSecOps Operator”。
    在这里插入图片描述

创建访问“registry.redhat.io”的Secret对象(可选)

如果OpenShift中未配能访问的“registry.redhat.io”的pull-secret,这需要根据本节向OpenShift添加能访问“registry.redhat.io”的pull-secret。

  1. 登录“https://access.redhat.com/terms-based-registry/”,点击“New Service Account”按钮。
    在这里插入图片描述
  2. 提供“Name”和“Description”信息,然后点击“CREATE”。
    在这里插入图片描述
  3. 进入“OpenShift Secret”栏目,点击“Step 1 Download Secret”中的“view its contents”链接,然后复制“data”区域内容。
    在这里插入图片描述
  4. 根据复制的“data”内容执行以下命令,在“devsecops”项目中创建secret对象。
$ oc apply -f - << EOF
apiVersion: v1
kind: Secret
metadata:
  name: devsecops-workshop-pull-secret
  namespace: devsecops
data:
  .dockerconfigjson: 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
type: kubernetes.io/dockerconfigjson
EOF

根据 DevSecOps Operator 创建 DevSecOps Workshop 环境

  1. 进入“DevSecOps Operator”,根据以下 2 个 YAML 之一创建一个“DevSecOpsWorkshop”实例。这里我们可以指定自动创建 3 个用户可以使用 workshop,用户名将分别为“user1”、“user2”、“user3”,默认密码都将是“openshift”。
apiVersion: redhatgov.io/v1alpha1
kind: DevSecOpsWorkshop
metadata:
  namespace: devsecops
  name: devsecopsworkshop
spec:
  devsecopsworkshop:
    workshopUsers:
      numberOfUsers: 3

或者

apiVersion: redhatgov.io/v1alpha1
kind: DevSecOpsWorkshop
metadata:
  namespace: devsecops
  name: devsecopsworkshop
spec:
  devsecopsworkshop:
    pullSecret:
      name: devsecops-workshop-pull-secret
      namespace: devsecops
    workshopUsers:
      numberOfUsers: 3
  1. 在“安装的 Operators”查看安装好的Operator,包括:codeready、gitea、sonar、quay、nexus。
    在这里插入图片描述
  2. 实例创建完可以在“开发者”视图中的“拓扑”中看到以下部署好的资源,包括:codeready、gitea、sonar、quay、nexus、rocket-chart等环境。
    在这里插入图片描述
  3. 在部署名为quayecosystem-quay的Pod时候,缺省可能会报以下错误(在Pod的日志中):
...
connect() to unix:/tmp/gunicorn_web.sock failed (2: No such file or directory) while connecting to upstream...
...

这是由于Quay使用LimitRange有可能和OpenShift环境有抵触,可以执行以下命令删除以下名为devsecops-core-resource-limits的LimitRange。

$ oc delete limitrange devsecops-core-resource-limits -n devsecops

访问Workshop环境

  1. 使用“user1、user2…”用户登录OpenShift(这些用户的密码全是“openshift”),然后查看“devsecops”项目中生成的Route资源。
$ oc get route -n devsecops
NAME                                   HOST/PORT                                                                           PATH         SERVICES                               PORT       TERMINATION            WILDCARD
codeready                              codeready-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                   /            che-host                               8080       edge/Redirect          None
codeready-dashboard                    codeready-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                   /dashboard   codeready-dashboard                    8080       edge/Redirect          None
devfile-registry                       devfile-registry-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                         devfile-registry                       8080       edge/Redirect          None
devsecops-workshop-dashboard-spawner   dashboard.apps.cluster-39c8.39c8.sandbox139.opentlc.com                                          devsecops-workshop-dashboard-spawner   8080-tcp   edge/Redirect          None
gitea-server                           gitea-server-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                             gitea-server                           <all>      edge/Redirect          None
keycloak                               keycloak-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                                 keycloak                               8080       edge/Redirect          None
nexus                                  nexus-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                                    nexus                                  8081       edge/Redirect          None
nexus-docker                           nexus-docker-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                             nexus                                  8082       edge/None              None
plugin-registry                        plugin-registry-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                          plugin-registry                        8080       edge/Redirect          None
quayecosystem-quay                     quay.apps.cluster-39c8.39c8.sandbox139.opentlc.com                                               quayecosystem-quay                     8080       edge/Redirect          None
quayecosystem-quay-config              quayecosystem-quay-config-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                quayecosystem-quay-config              8443       passthrough/Redirect   None
rocketchat                             rocketchat-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                               rocketchat                             3000-tcp   edge/Redirect          None
sonarqube                              sonarqube-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                                sonarqube                              <all>      edge/Redirect          None
username-distribution                  username-distribution-devsecops.apps.cluster-39c8.39c8.sandbox139.opentlc.com                    username-distribution                  8080-tcp   edge/Redirect          None
  1. 打开名为“DevSecOpsWorkshop”的Route地址。用任意邮箱和“redhatgov”密码登录。
    email:xiaoyliu@redhat.com
    password:redhatgov
    在这里插入图片描述
  2. 打开上图的“Workshop Dashborad”链接,并根据上图提示用“use1/openshift”登录。
    在这里插入图片描述
  3. 在“Authorize Access”页面中选择“Allow selected permissions”。
    在这里插入图片描述
  4. 系统会为登录用户“user1”创建运行环境,并最终显示Workshop控制台。
    在这里插入图片描述
    这样DevSecOps Workshop的环境就安装好了,下面可以根据Workshop说明进行操作了。
    另外,由于Workshop环境使用RedHat SSO和所有软件进行了单点登录集成,因此可用相同的用户登录OpenShift和所有其他软件。

通过名为“sonarqube”的路由访问SonarQube 控制台
在这里插入图片描述
通过名为“nexus”的路由访问Nexus控制台
在这里插入图片描述
通过名为“quayecosystem-quay”的路由访问Quay控制台
在这里插入图片描述
在安装完Quay后,也会在OpenShift控制台中增加了新的状态和菜单。
List item
在这里插入图片描述
通过名为“codeready”的路由访问CodeReady Workspaces控制台
在这里插入图片描述
Workshop的RocketChat应用
在这里插入图片描述

配置客户端环境

安装Tekton客户端

在“安装的Operators”中进入“Red Hat OpenShift Pipelines”,在“详情”页面下方个根据下图提示下载“tkn”客户端。在这里插入图片描述
或者执行以下命令下载Tekton客户端。

$ curl -L https://github.com/tektoncd/cli/releases/download/v0.20.0/tkn_0.20.0_Linux_x86_64.tar.gz | tar -xzf -
$ sudo mv tkn /usr/bin/

安装其他工具

安装3.x版的yq工具。

$ wget https://github.com/mikefarah/yq/releases/download/3.4.1/yq_linux_386
$ sudo mv yq_linux_386 /usr/bin/yq
$ sudo chmod +x /usr/bin/yq

设置环境变量

设置环境变量。说明:本文中统一使用“user1”用户进行操作。如使用其他用户,请自行修改后文中的相关命令。

$ USER=$(oc whoami)
$ DEV=${USER}-dev
$ CICD=${USER}-cicd
$ STAGE=${USER}-stage
$ GIT_URL=$(oc get route gitea-server -ojsonpath="{.spec.host}" -n devsecops)
$ GIT_REPO=https://${GIT_URL}/${USER}/openshift-tasks.git
$ NEXUS_URL=$(oc get route nexus -ojsonpath={.spec.host} -n devsecops)

参考

https://github.com/liuxiaoyu-git/devsecops-workshop-dashboard/tree/develop/tekton/workshop/content

dawnsky.liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DevOpsDevOps系统-devEops-开发自运维平台-运维体系解决方案,适用于多个应用环境的资产组织以及运维脚本的适应运行
02-05
开发者 :grinning_squinting_face:开发自运维平台 :face_without_mouth:初步 :face_savoring_food: 作者: :OK_hand:汪子哲 :raised_fist:徐晨亮 :oncoming_fist:张宇萍 :red_heart:感谢所有 :star:我的人你们是我前行的动力该项目为devEops的开头部分前端部分请关注 :red_heart: 运维体系解决方案(正在成长中)前后段分离啦!告别之前的Jinja2 :flexed_biceps:实践以资产,应用信息为中心的运维平台django模型和其余框架 :flexed_biceps:参考了众多django项目我的Django用的真的很棒travis和django TestCase :flexed_biceps:单元测试测试不规范但是努力去做 如果您关注:自动化运维,运维资源管理等内容 :star:我,给其他的运维人员如果您关注:django开发,rest-framework等内容 :star:我,给其他
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
OpenShift 4 - DevSecOps (1) - 安装 DevOps 环境
多恩斯基的博客
04-01 4229
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10环境中验证 本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程中,借助 RHACS 发现并修复安全隐患 (视频)》演示 文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考 安装 Ansible 及其相关依赖包 执行命令安装 Ansible。 $ sudo dnf install a
OpenShift 4 - DevSecOps Workshop (Jenkins版)
多恩斯基的博客
08-28 577
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 参照以下两篇文档安装Jenkins、Nexus、SonarQube、Quay、CodeReady Workspace、Gitea等Workshop需要的组件。注意将所有组件装在同一项目中。 OpenShift 4 - DevSecOps Workshop (1) - 安装Workshop环境 OpenShift 4 - 用 Operator 创建 Jenkins 环境 ...............
OpenShift 4 - DevSecOps - 视频
多恩斯基的博客
09-26 296
OpenShift 4.x HOL教程汇总》 说明:本文中的视频已经在OpenShift 4.8环境中验证 OpenShift DevOps(0)安装环境 OpenShift DevOps(1)运行第一个CICD OpenShift DevOps(2)一个简单的CICD OpenShift DevOps(3)实现单元测试 OpenShift DevOps(4)实现SAST任务 OpenShift DevOps(5)实现制品库任务 OpenShift DevOps(6)实现生成镜像任务 OpenShift
OpenShift Security (8) - 安装并运行 DevSecOps 应用
多恩斯基的博客
12-09 1861
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。 文章目录安装 DevSecOps Pipeline 演示环境运行 DevSecOps Pipeline 安装 DevSecOps Pipeline 演示环境 下载 devsecops demo 应用资源 $ git clone https://github.com/rcarrata/devsecops-demo.git $ ansible-galaxy collecti
OpenShift4-tools:OpenShift 4工具
04-08
oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)和oschart(github.com/sjenning/oschart/oschart)来监视群集的启动和...
openshift-starter-guides:OpenShift for Developers Workshop入门
05-12
针对开发人员的OpenShift入门指南概述受众体验水平初学者平均完成时间90分钟该研讨会旨在从开发人员的角度向您介绍使用的方法。 是一种将应用程序与所有依赖项打包在一起的标准化方法,以简化部署并加快交付速度。 ...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift-ansible-kvm:UPI在KVM上安装OpenShift 4的Ansible剧本
05-03
openshift-ansible-kvm 该存储库包含Ansible剧本,用于在KVM上进行OpenShift 4的UPI安装。 它同时支持和部署。 注意:此配置用于一次性测试,不支持生产使用。要求工作站(或称其为基础节点,控制节点...),运行...
registry:TLD管理软件
04-06
域注册表 完整堆栈顶级域(TLD)管理。 文献资料 安装 注册表应用 基于Rails 4安装的注册表(rbenv安装在Debian build doc下) 手动演示安装和数据库设置: cd /home/registry git clone git@github.com:internetee/registry.git demo-registry cd demo-registry rbenv local 2.2.2 bundle cp config/application.yml.sample config/application.yml # and edit it cp config/database.yml.sample config/database.yml # and edit it bundle exec rake db:setup:all # for production,
devsecops-workshop-dashboard
04-06
DevSecOps研讨会-安全软件工厂 该存储库包含有关Red Hat NAPS DevSecOps研讨会的最新版本的实验指南。 安装 以cluster-admin身份登录到OpenShift集群(已在4.4或更高版本上测试) 创建一个CatalogSource来导入RedHatGov操作员目录。 oc apply -f - << EOF apiVersion: operators.coreos.com/v1alpha1 kind: CatalogSource metadata: name: redhatgov-operators namespace: openshift-marketplace spec: sourceType: grpc image: quay.io/redhatgov/operator-catalog:latest displayName: Re
OpenShift 4 - DevSecOps Workshop (10) - 向Stage环境部署应用镜像
多恩斯基的博客
08-18 438
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 $ USER=$(oc whoami) $ DEV=${USER}-dev1 $ CICD=${USER}-cicd1 $ STAGE=${USER}-stage1 $ oc new-project ${STAGE} $ oc apply -f - << EOF apiVersion: tekton.dev/v1beta1 kind: Task metadata: name: git-v
安装配置BEA WorkShop JSP Editor
Schumann的专栏
03-02 1826
WorkShop简介  BEA最近收购了M7公司,将其开发的NitroX系列开发工具加入到BEA WorkShop产品家族中,新的BEA WorkShop产品家族包括五个部分,BEA Workshop for Struts、 BEA Workshop for JSF、BEA BEA WorkShop JSP Editor、BEA Workshop Studio以及原有的BEA WebLogic
DevSecOps 工具一览
超越梦想,一起飞!!!
06-21 8747
几年前,DevOps非常的火热,最近几年,基本上有能力的大公司的都在推行DevOps的最佳实践;但是目前在一些银行,金融,财务,电商等行业里面,DevSecOps也正在流行并大行其道。下面是DevSecOps的定义: DevSecOps 是一种把安全的最佳实战集成到DevOps的流程里面。 DevSecOps包括创立一种 安全即代码(‘Security as Code’ )的文化,从而在发布开发工程师和安全团队之间,建立一种可以持续的,灵活合作的机制和流程,从而把在传统软件开发流程里面最后由安全测试团队.
扫描docker安装的工具_DevSecOps的实现与相关开源工具
weixin_39971132的博客
12-19 338
DevSecOps的实现与相关开源工具DevSecOps是一种以自动化方式在DevOps流程中集成安全工具的方法。DevSecOps不仅仅是引入新的安全工具,还包括关于使用这些工具的必要知识。这需要对DevOps文化改进,需要对员工进行培训,并要求他们提高自己的技能。这使得他们能够更有效地协作,从而创造出一种“安全文化”。这种多文化、多学科的自动化安全环境使每个人都关注安全,而不仅仅是单个团队,这...
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
多恩斯基的博客
04-01 424
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
Doxygen + Graphviz windows+Windows Help Workshop安装配置(图解)
借你一秒
11-17 4055
一.什么是Doxygen?Doxygen 是一个程序的文件产生工具,可将程序中的特定批注转换成为说明文件。通常我们在写程序时,或多或少都会写上批注,但是对于其它人而言,要直接探索程序里的批注,与打捞铁达尼号同样的辛苦。大部分有用的批注都是属于针对函式,类别等等的说明。所以,如果能依据程序本身的结构,将批注经过处理重新整理成为一个纯粹的参考手册,对于后面利用您的程序代码的人而言将会减少许多的负担。不
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值