OpenShift 4 - 为 OpenShift 托管集群配置用户认证(视频)

已于 2024-04-07 11:47:36 修改
阅读量273 收藏
点赞数
文章标签: openshift 前端
于 2023-07-26 16:14:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/131872426
版权
本文详细介绍了如何在OpenShift4.14及更高版本中,结合ACM2.9和AWS环境创建及管理托管集群。内容涵盖了使用HyperShift部署、HTPasswd用户认证配置、访问权限管理以及通过Ansible进行自动化操作。此外,还提供了删除集群、生成KUBECONFIG文件的步骤,并讨论了不同用户角色的权限差异。
摘要由CSDN通过智能技术生成

OpenShift / RHEL / DevSecOps / Ansible 汇总目录
说明:本文已经在 OpenShift 4.14 + ACM 2.9 + AWS 环境中验证

本文是《OpenShift 4 - 用 HyperShift 实现以“托管集群”方式部署运行 OpenShift 集群(视频)》的后续。

文章目录

托管集群的管理模式

由于 OpenShift 托管集群的 “控制平面” 是运行在 “管理集群” 中对应的命名空间里,因此 “控制集群” 的一部分运维管理是由 “管理集群” 的管理员完成的。

  • “管理集群”的管理员负责创建、升级所有“托管集群”环境、手动扩展“托管集群”的节点、配置“托管集群”的认证方式等。
  • “托管集群”的管理员负责管理管理自己集群内部资源的管理,例如分配所属“托管集群”的用户的访问权限、安装 Operator 等。
  • “托管集群”的一般用户负责部署应用资源,监控应用运行。
    在这里插入图片描述
    本文为演示方便,将在 “管理集群” 上为一个 “托管集群” 配置 HTPasswd 认证方式。正式环境可以配置例如 RedHat SSO 或其他更正式的用户认证方式。

创建托管集群

  1. 执行命令可以创建一个名为 devops 的托管集群。
$ CLUSTER_NAME=devops
$ hcp create cluster aws \
  --name ${CLUSTER_NAME} \
  --infra-id ${CLUSTER_NAME} \
  --region us-west-1 \
  --zones us-west-1b,us-west-1c \
  --instance-type m5a.large \
  --root-volume-type gp3 \
  --root-volume-size 100 \
  --etcd-storage-class gp3-csi \
  --control-plane-availability-policy SingleReplica \
  --infra-availability-policy SingleReplica \
  --network-type OVNKubernetes \
  --release-image quay.io/openshift-release-dev/ocp-release:4.13.2-x86_64 \
  --node-pool-replicas 1 \
  --namespace local-cluster \
  --secret-creds aws-credentials \
  --auto-repair \
  --generate-ssh

  1. 在托管集群完成创建后,可以查看到登录该托管集群的方法,包括 API 地址、管理员和密码。
    在这里插入图片描述

  2. (可选)可执行以下命令删除托管集群。

$ hcp destroy cluster aws --name ${CLUSTER_NAME} --secret-creds aws-credentials --namespace local-cluster
  1. 生成访问集群所使用的 KUBECONFIG 文件。
$ oc get secret ${CLUSTER_NAME}-kubeadmin-password -n local-cluster --template='{{ .data.password }}' | base64 -d > $HOME/.kube/${CLUSTER_NAME}.kubeadmin-password
$ oc get secret ${CLUSTER_NAME}-admin-kubeconfig -n local-cluster --template='{{ .data.kubeconfig }}' | base64 -d > $HOME/.kube/${CLUSTER_NAME}-kubeconfig

配置基于 HTPasswd 的用户认证

  1. 执行命令创建一个包含用户名和密码的文件,然后再基于该文件在 local-cluster 项目中生成 Secret 对象 ${CLUSTER_NAME}-htpass-secret。
$ htpasswd -b -c users.htpasswd user1 password
$ htpasswd -b users.htpasswd user2 password
$ oc create secret generic ${CLUSTER_NAME}-htpass-secret --from-file=htpasswd=users.htpasswd -n local-cluster
  1. 执行名创建基于 HTPasswd 的 identityProvider 配置 文件,它使用了 ${CLUSTER_NAME}-htpass-secret 对象作为认证源。
$ cat << EOF > patch.yaml
spec:
  configuration:
    oauth:
      identityProviders:
        - htpasswd:
            fileData:
              name: ${CLUSTER_NAME}-htpass-secret
          mappingMethod: claim
          name: my_htpasswd_provider
          type: HTPasswd
EOF
  1. 备份 ${CLUSTER_NAME}-kubeadmin-password 中的密码,因为下一步会自动删除这个 secret 对象。
  2. 执行命令,使用 patch.yaml 更新名为 ${CLUSTER_NAME} 的 hostedcluster 配置。
$ oc patch hostedcluster ${CLUSTER_NAME} -n local-cluster --type merge --patch-file patch.yaml
  1. 查看 oauth-openshift 相关的 pod 的状态,更新完。
$ oc get pod -n local-cluster-${CLUSTER_NAME} | grep oauth-openshift -w
oauth-openshift-757f596578-xf5m8                      2/2     Running     0          31s

配置托管集群用户的访问权限

  1. 执行获得使用 kubeadmin 用户访问托管集群的 kubeconfig 文件,并将其设到 KUBECONFIG 环境变量。
$ KUBECONFIG=$HOME/.kube/${CLUSTER_NAME}-kubeconfig
  1. 执行命令,设置托管集群的 user1 用户的访问权限。说明:可以显示声明使用的 kubeconfig 参数。
$ oc adm policy add-cluster-role-to-user cluster-admin user1 --kubeconfig=$HOME/.kube/${CLUSTER_NAME}-kubeconfig
  1. 执行命令退出托管管集群。
$ unset KUBECONFIG

访问验证

  1. 执行命令,使用 user1 或 user2 用户登录托管集群。
$ HOSTED_CLUSTER_API=https://$(oc get hostedcluster -n local-cluster ${CLUSTER_NAME} -ojsonpath={.status.controlPlaneEndpoint.host}):6443
$ oc login $HOSTED_CLUSTER_API -u user1 -p password
  1. 使用 user1 或 user2 用户登录托管集群控制台。由于 user1 已是集群管理员,他可以看到集群所有资源;而 user2 是一般用户,他只能看到下图中集群有限的资源。
    在这里插入图片描述

视频

演示视频

参考

https://hypershift-docs.netlify.app/how-to/cluster-configuration/

dawnsky.liu
关注
Openshift 4.4 静态 IP 离线安装系列:初始安装
sinat_28371057的博客
12-01 1205
Openshift 4.4 静态 IP 离线安装系列:初始安装 上篇文章准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例Image Stream和OperatorHub中的所有 RedHat Operators。本文就开始正式安装OCP(Openshift Container Platform) 集群,包括 DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。 OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配...
OpenShift企业版管理开发实战视频
01-23
课程试看,只有两集,请大家看清楚再下载。需要全部视频请联系。
OpenShift 4 - 用 HyperShift 实现以“托管集群”方式部署运行 OpenShift 集群视频
多恩斯基的博客
01-01 1421
红帽 HyperShift 是实现以托管的方式运行 OpenShift 集群 Control Plane 控制平面的开源项目,使用 HyperShift 可以在一个 RHACM 管理集群中统一运行多个托管 OpenShift 集群的 Control Plane,而这些托管集群的 Worker 还是运行在各自集群中。
OpenShift 4 - 使用 OADP 对容器应用进行备份和恢复(附视频
多恩斯基的博客
01-08 1793
文章目录部署测试应用部署 parkmap 应用部署 MSSQL 应用安装环境安装OADP安装 velero 客户端安装 MinIO安装 MinIO 客户端安装 MinIO 服务端容器实现应用备份和恢复 部署测试应用 部署 parkmap 应用 oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/oadp-operator/master/tests/e2e/sample-applications/parks-app/manifest4.8.y
OpenShift 4 - 在 OpenShift Virtualization 上自动部署 OpenShift 托管集群(演示视频)
最新发布
多恩斯基的博客
09-07 614
说明:本文初始是在 OpenShift 4.12 + OpenShift Virtualization 4.12 + ACM 2.8 或 MCE 2.3 的环境中验证,目前已经在 OpenShift 4.15 + OpenShift Virtualization 4.15 + ACM 2.10 或 MCE 2.5 的环境中验证。
OpenShift官方教程,有下载链接
随笔记录-分享&记忆
03-22 4959
下载地址: http://download.csdn.net/detail/shenhonglei1234/9790368
openshift-post-install:安装后第2天OpenShift 4的任务
05-07
安装后/ OpenShift 4的第二天任务 这些手册旨在自动执行常见的“第二天” OpenShift配置任务。 此回购仍在进行中。 背景 包括以下功能: ... 为用户列表分配集群管理员角色。 代理人 创建其他CA信任ConfigMa
openshift-gitops-rhacm:使用RHACM和Argo CD管理OpenShift集群的示例
03-15
使用RHACM和Argo CD管理OpenShift / Kubernetes集群 部署使用: $ oc apply --kustomize bootstrap 概述 使用的组件: (RHACM) 部署新的OpenShift集群 在集线器群集和受管群集上部署外部机密 在集线器群集上...
hcloud-okd4:在Hetzner Cloud上部署OKD4(OpenShift
02-04
通过这个项目,用户可以利用Terraform和Packer等工具,在Hetzner Cloud上自动化创建和配置OpenShift集群。 首先,**Terraform** 是HashiCorp公司开发的一款基础设施即代码(IAC)工具,用于管理和配置计算、存储、...
nodejs-openshift:在 OpenShift 上运行 nodejs v0.10.x 的示例应用程序
07-14
OpenShift为开发者提供了一个预配置的开发环境,每个应用程序都有自己的独立容器,称为“gear”。在这些gear中,你可以安装特定版本的Node.js和其他依赖项,确保应用与其他项目隔离。 **准备工作** 1. **注册...
OpenShift 4 之Knative(1) - 创建Knative无服务器架构环境(附视频
多恩斯基的博客
12-19 956
OCP 4.2.8 Red Hat OpenShift Service Mesh 1.0.3 OpenShift Serverless Operator 1.2.0 Knative Eventing v 0.10.0 OpenShift Pipelines Operator 0.8.2 git clone -b release/0.7.x https://github.com/redhat-de...
OpenShift 4 - 在 OpenShift 上安装 GitLab(附视频
多恩斯基的博客
07-30 693
GitLab 是一个完整的开源 DevOps 平台,作为一个单一的应用程序交付,从根本上改变了开发、安全和运营团队协作和构建软件的方式。GitLab 帮助团队将 DevOps 周期时间从几周缩短到几分钟,降低开发流程成本,缩短上市时间,同时提高开发人员的生产力。...........................
两个OpenShift视频中的四张篇子摘要
jj_tyro的专栏
04-03 965
两个OpenShift视频中的四张篇子摘要 三月的某个周末,因为剧荒书荒,找来几个OpenShift视频学习,有好几个视频都是蛮不错的,但对于我这个初学者,印象深刻地还是其中四张PPT篇子,有助于理解OpenShift基于Kubernetes主要干了些什么。当时用手机对着屏幕还拍了照片,后来想整理成笔记时,由于拍得太过特写,以至于没留下视频名称的位置,害得又前后翻了半天历史记录,才找到正主。 ...
OpenShift 部署应用
justlpf的专栏
12-27 1325
OpenShift 中使用身份提供者(identity provider )来验证身份,因此创建用户前需要选择一种identity provider,最简单的提供者是htpasswd,htpasswd只是一个简单的文件,包含用户名和密码,它不需要任何复杂的安装或设置。项目允许用户在独立的空间组织和管理他们的内容,但部分以openshift-和kube-开头的项目是默认项目,运行集群的系统组件,openshift不推荐或限制用户在这些项目下运行 pod 或服务。文件,以下操作在bastion节点执行。
[微信公众号_独立知识点]internet访问解决方案
11-17
“微信公众平台深度开发Java版 v2.0”系列课程共有6季,使用JAVA语言,系统讲解微信公众平台订阅号、服务号官方列出的全部功能接口,包括:自定义菜单、个性化菜单(按需定制菜单)、群发消息、客服消息(有限次消息推送)、模板消息接(无限次消息推送)、微信网页开发(微信WEB开发、微信游戏)、微信JSSDK开发、用户管理、获取用户基本信息、网页授权获取用户基本信息(通过WEB得到用户信息)、二维码(临时二维码、永久二维码)、事件推送、接收普通消息、被动回复用户消息,等知识点。 以及,针对微信公众号开发的服务端架构设计方案。课程以微信公众号开发视角,讲解JAVA开发微信公众号所需的框架、第三方工具。 购买套餐还赠送经典微信开发课程——[微信公众号_独立知识点]环境搭建。该课程针对各种复杂的网络环境,讲解如何构建开发环境,已解决“没有服务器”、“没有固定IP”等开发者遇到的窘境。 课程采用独立知识点讲解,一个知识点,一组课程,真正做到“简单、高效、”以短的时间、实现的学习。更多课程信息请访问CSDN。网址:http://edu.csdn.net/lecturer/631 “微信公众平台企业号开发Java版”陆续上线。 详情 qq2326321088
OpenShift基础到精通
06-20
<div> <p> <img src="https://img-bss.csdnimg.cn/202006200149361743.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149446628.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149522584.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200150009290.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006302322144521.png" alt="" /></p> <p> <br /></p> </div>
OpenShift 4 - 用 Operator 部署 Redis 集群(附视频
多恩斯基的博客
07-28 1291
OpenShift 中提供了丰富的 PaaS 软件,其中之一就是企业版 Redis 集群软件。企业版 Redis 集群软件是通过 OpenShift 的 OperatorHub 安装部署的,本文介绍如何安装 Redis Enterprise Operator,并用其配置 Redis 集群环境。............
Openshift 学习一(搭建Openshift环境)
热门推荐
shaoyangdd的专栏
04-08 2万+
目的:       搭建Linux下的Openshift环境。参考资料:       开源容器云OpenShift 构建基于Kubernetes的企业应用云平台 ,陈耿 ,P253 ,2017.06 .pdf       下载地址:https://pan.baidu.com/s/1_D1k9tJpFTGr3wdnoeh7rA环境准备:      1.Linux 64位,CentOS 7 minim...
OpenShift 4 - 可观测性之用 OpenTelemetry+Tempo 实现 Distributed Tracing
多恩斯基的博客
08-04 979
说明:本文已经在支持 OpenShift 4.13 的环境中验证。
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值