多恩斯基的博客

ArgoCD 在更新完应用后可以根据更新的状态触发相关事件，例如：on-sync-succeeded，on-sync-running，on-sync-failed 等。针对这些事件，可以通过不同的渠道（例如：Email、Slack、Grafna、Webhook）发送给指定通知方。

本文在 OpenShift 4.15 + RHACM 2.10 环境中进行验证。

RHACM（Advanced Cluster Management for Kubernetes）是 RedHat 面向 OpenShift 的多云管理产品，可以用来对分布在多云环境中 自建或托管 OpenShift 集群以及经认证的 Kubernetes 集群进行生命周期管理、发布和升级应用、统一安全策略管理、运行集中监控。在 RHACM 的多云管理运行环境中包含以下两种角色：1）Hub 是多云管理的控制平面，它可以运行在任一个 OpenShift 集群上。

文章目录部署Gogs+PostgreSQL配置Webhook导入Git Repo到Gogs根据Git Repo部署应用注意事项Gogs的Webhook配置界面和github稍有区别。下图是Gogs的Webhook配置界面，其中推送地址是OpenShift BuildConfig中的部署Gogs+PostgreSQL执行命令，创建项目和Gogs和PostgreSQL应用资源。其中所有参数都在...

OpenShift 4 - 为 Etcd 数据库整理碎片

已在 RHEL 8.4 上验证本文的前置条件：RHEL8 - 配置基于安装 ISO 文件的 YUM Repo文章目录准备环境扫描容器镜像CVE漏洞下载OVAL文件扫描容器镜像查看容器镜像扫描结果扫描容器镜像合规扫描镜像符合PCI-DSS规范情况修复违规风险参考准备环境安装scap扫描工具。$ yum install -y openscap-utils scap-security-guide wget安装容器工具$ yum install -y podman buildah安装其

本文介绍如何在一个节点上部署一套 all-in-one 的 Ansible Automation Platform 2.3 的运行环境。

红帽 RHIdM 基于开源项目 FreeIPA，其内部提供 LDAP 功能可用来存储用户信息。本文将在 OpenShift 环境中配置从 FreeIPA/RHIdM 向 RHSSO 同步用户和组的配置数据。

本文将部署一个应用，然后用 RHSSO 对应用访问进行身份认证，并对不同的登录用户和应用资源进行访问授权。

Ansible 的 Playbook 执行目标是 “清单” 中的主机和分组。在 AAP 控制台中可以手工创建 “主机” 并通过 “清单” 关联主机和分组，也可从外部环境中批量导入“主机” 和 “清单” 信息。标准 “清单” 中包含哪些主机是静态的，因此必须手动向 “清单” 中添加或删除 “主机”，执行 Playbook 的目标 “清单” 才会有变化。而 AAP 的 “智能清单” 相当于 “主机视图”，可以通过更改 “智能清单” 的过滤条件来动态变更它包含的 “主机”。

在上一篇《Ansible Automation Platform - 用 Ansible Navigator 开发测试 Playbook》 一文中，在 Playbook 中使用明文记录了 AAP Controller 的访问地址，以及用户名和密码。我们可以使用以下几种方法对 Playbook 中的敏感进行保护

在前一篇 《[Ansible Automation Platform - 功能构成](https://blog.csdn.net/weixin_43902588/article/details/127829720)》一文中介绍了 Ansible Automation Controller (自动化控制台) 就是以前的 Ansible Tower，它提供了集中的自动化运维管理和运行平台。

红帽 Ansible Automation Platform（简称 AAP）是取代原有红帽 Ansible Tower 的新一代 IT 自动化平台。在运维管理能力方面，它延续并扩展了 Ansible Tower 具备的广泛自动化运维管理能力，可以对各类云以及边缘环境中的主机、网络、安全进行自动化的管理、配置、运维。

通过将Java微服务编译成可执行程序、以及使用Distroless基础镜像精简应用容器镜像

Operator 是 RedHat 收购的 CoreOS 公司最早发起的一项有助于 Kubernetes 运维的技术框架体系。它可以将一套复杂系统环境（例如：主备或 HA 数据库、包含多个微服务+数据库的应用环境）所涉及到的所有资源、配置、最佳实践整体打包，并基于 CRD 提供对相关资源提供针对性运维管理操作（创建、备份、恢复、自愈等），从而帮助 Kubernetes 运维管理员简化对这些系统的运维操作、降低运维难度。OpenShift 提供并运行了大量的 Operator。

在OpenShift控制台Developer Catalog中先创建mysql项目，然后找到mysql-replication-example的Template。根据以下配置创建 MySQL 数据库，其中项目选中 mysql。说明：本文已经在 OpenShift 4.11 环境中验证。完成后查看创建的对象。

本文使用在 OpenShift 中使用由 Jenkins、Nexus、Sonarqube、RHACS 组成的 DevSecOps CICD Pipeline 环境对应用镜像进行安全扫描检查。在发现安全违规后，通过升级应用使用 Java 库、基础镜像等手段修复应用镜像，同时对暂时无法修复的安全违规项目进行暂缓处理。

在 OpenShift 中自带 VPA（垂直自动扩展） 和 HPA （水平自动扩展）功能，可通过动态更改 Pod 的资源分配数量或更改 Pod 的数量来满足应用的弹性负载变化。不过 HPA 和 VPA 主要是以 Pod 消耗的 CPU 和内存量判断是否需要对 Pod 进行扩展，因此使用上有一定局限。而 OpenShift 的 Custom Metrics Autoscaler 提供了可完全定制的扩展指标和扩展架构，能够实现更加灵活的容器弹性运行。

本文在 OpenShift 4.11+ ACS 3.71.0 环境中进行验证。

《OpenShift 4.x HOL教程汇总》说明：本文已经在OpenShift 4.7环境中验证文章目录环境要求安装 3Scale Operator安装API Manager登录管理控制台环境要求根据3scale的要求，安装运行3scale的OpenShift环境必须有2类存储：RWX和RWO。因此安全前可根据所在环境和下图OpenShift对存储支持配置好合适的存储类型。安装 3Scale Operator创建项目$ oc new-project 3scale在Operato

GitLab 是一个完整的开源 DevOps 平台，作为一个单一的应用程序交付，从根本上改变了开发、安全和运营团队协作和构建软件的方式。GitLab 帮助团队将 DevOps 周期时间从几周缩短到几分钟，降低开发流程成本，缩短上市时间，同时提高开发人员的生产力。...........................

在 OpenShift 中提供了丰富的 PaaS 软件，其中之一就是企业版 Redis 集群软件。企业版 Redis 集群软件是通过 OpenShift 的 OperatorHub 安装部署的，本文介绍如何安装 Redis Enterprise Operator，并用其配置 Redis 集群环境。............

在 RHACS 中自带丰富的安全策略，可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。本示例将创建一个定制安全策略，该策略只针对 “生产集群” ，它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............

Kubernetes 集群升级的现实问题：集群空余资源有限，但集群节点多，且升级窗口时间短。尽管可以提前在测试环节中验证，但在生产集群升级过程中还是存在一定风险。

关于Tekton和OpenShift PipelineTekton是Google推崇的云原生（就是面向Kubernetes）开源CICD框架，2019年已经得到Redhat等云厂商的支持。在OpenShift 4的OpenShift Pipeline中已经通过Operator Frame集成了Tekton框架，这样无需复杂集成和操作，我们就可实现各种基于Tekton的CICD Pipeline构.........

OpenShift Local 就是以前的红帽的 Codeready Container - CRC，它以 VM 的方式提供一个单机版的 OpenShift 运行环境。从 OpenShift 4.10 开始，CRC 名称正式改为 Red Hat OpenShift Local。

通常一套正式的OpenShift集群至少需要3个物理或虚拟节点，这对于一般技术人员学习产品或开发大多数应用显然是比较高的环境。为了降低OpenShift开发学习的门槛，Redhat为用户提供了一个可以单机运行的OpenShift（Codeready Container - CRC）环境。CRC是直接运行在虚拟机中，当我们下载虚拟机并启动后，一个OpenShift环境就运行起来了。

《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.10 环境中进行验证。在基于 DevSecOps 的应用发布过程中，我们可以使用 RHACS 的策略对镜像进行安全扫描，当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。但是不同的应用镜像依赖的运行环境不同，修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞，但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。参照《OpenShift 4

实现一个 CICD Pipeline，并用 RHACS 发现安全隐患

workspacePVC: petclinic-build-workspacemaven-settingsConfig Map: maven-settingsoc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .

《OpenShift 4.x HOL教程汇总》说明：本文已经在OpenShift 4.10环境中验证本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程中，借助 RHACS 发现并修复安全隐患 (视频)》演示文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考安装 Ansible 及其相关依赖包执行命令安装 Ansible。$ sudo dnf install a

部署并测试Hello的Serverless应用创建knative-demo项目。$ oc new-project knative-demo部署Knative的Hello应用。其中“–env TARGET=Knative”是将字符串传给TARGET环境变量。$ kn service create hello --image gcr.io/knative-samples/hellow...

《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.8 + RHACS 环境中进行验证。演示视频文章目录部署测试应用镜像漏洞分析应用镜像安全加固部署测试应用向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。$ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi

《OpenShift 4.x HOL教程汇总》本文在 OpenShift4.9 + RAHACS 环境中进行验证。创建 RHACS 的 Policy创建一个 Policy 的 JSON 文件，内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令，一旦发现有 curl 命令运行，立即终止 Pod 运行。{ "policies": [ { "id": "e0a224d9-ca08-

RHACM 是红帽面向容器云的高级集群管理平台，可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。

《OpenShift 4.x HOL教程汇总》说明：本文已经在OpenShift 4.9环境中验证使用默认配置安装 Trivy Operator，然后创建一个 “NamespaceScanner” 实例。apiVersion: trivy-operator.devopstales.io/v1kind: NamespaceScannermetadata: name: trivy-operator-main-config namespace: openshift-operatorsspe

《OpenShift 4.x HOL教程汇总》说明：本文已经在OpenShift 4.9环境中验证文章目录Clair 是什么？在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考Clair 是什么？Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具，后来 CoreOS 被红帽收购，Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。作为一款开源软件，Clair 即可单独运行，也可集成到其他软件中运行。

《OpenShift 4.x HOL教程汇总》OpenShift 使用的 elasticsearch 会受到 Log4j 的安全漏洞影响，可以使用以下方法屏蔽安全漏洞。文章目录OpenShift 3OpenShift 4OpenShift 3修改 elasticsearch 使用的 Java参数$ oc project openshift-logging$ oc get dc -l component=esNAME REVISIO

《OpenShift 4.x HOL教程汇总》文章目录MicroShift 是什么？安装运行 MicroShift安装运行 MicroShift 环境要求MicroShift 安装过程MicroShift 安装方法1MicroShift 安装方法2MicroShift 安装方法3安装 oc 客户端了解 MicroShift 运行环境验证环境参考MicroShift 是什么？MicroShift 是 Red Hat 的一个开源项目，它提供了一个针对小型边缘计算环境优化的 OpenShift/Kubern

《OpenShift 4.x HOL教程汇总》说明：本文已经在OpenShift 4.9环境中验证安装 Resource Locker Operator验证执行命令，创建项目$ oc new-project resource-locker-test创建一个 Role（注意：角色可以对 configmaps 类对象进行修改），并绑定到 serviceaccount。$ oc create serviceaccount resource-locker-test-sa -n resour