OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 GITLAB 身份提供程序 7.8. 配置 GOOGLE 身份提供程序 7.9. 配置 OPENID CONNECT 身份提供程序 第 第 8 章 章 使用 使用 RBAC 定 定义 义和 和应 应用 用权 权限 限 8.1. RBAC 概述 8.2. 项目和命名空间 8.3. 默认项目 5 5 6 7 8 8 8 9 11 11 11 11 12 13 14 16 17 19 19

持久性卷声明的 持久性卷声明的访问 访问模式。使用 模式。使用 ReadWriteOnce 时 时， ，单 单个 个节 节点可以通 点可以通过读 过读写 写权 权 限挂 限挂载该 载该卷。 卷。 持久性卷声明的大小。 持久性卷声明的大小。 b. 输 作 作为 为集群管理 集群管理员 员，在安装后需要配置 ，在安装后需要配置 registry 来使用存 来使用存储 储。 。 先决条件 先决条件 集群管理 集群管理员权 员权限。 限。 VMware vSphere 上有一个集群。 上有一个集群。 为 为集群置 集群置备 备的持久性存 的持久性存储 持久性卷声明的 持久性卷声明的访问 访问模式。使用 模式。使用 ReadWriteOnce 时 时， ，单 单个 个节 节点可以通 点可以通过读 过读写 写权 权 限挂 限挂载该 载该卷。 卷。 持久性卷声明的大小。 持久性卷声明的大小。 b. 输

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 53 7. bootstrap 机器将 OpenShift MTU 和 VXLAN 配置集成。如果在这些云上已有帐户和凭证，您可以重复使 用这些帐户，但可能需要修改帐户，以便具有在它们上安装 OpenShift Container Platform 集群所需的权 限。 您可以使用安装程序置备的基础架构方法，为您的硬件上为 RHV、vSphere 和 裸机 创建适当的机器实 例。 如果要重复使用广泛的云基础架构，可以完成用户置备的基础架构安装。使用这些安装，您可以在安装过 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ --quayHostname \ --quayRoot

enShift 开发者工具提供 Jenkins 镜像，它直 接与 OpenShift Container Platform 集成。Jenkins 可通过使用 Samples Operator 模板或认证的 Helm Chart 在 OpenShift 上部署。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM CI/CD 概述 概述 3 第 2 章 构建（BUILD） CI/CD 6 1 2 3 4 二进制（本地）输入 输入 secret 外部工件 (artifact) 您可以在单个构建中组合多个输入。但是，由于内联 Dockerfile 具有优先权，它可能会覆盖任何由其他输 入提供的名为 Dockerfile 的文件。二进制（本地）和 Git 存储库是互斥的输入。 如果不希望在构建生成的最终应用程序镜像中提供构建期间使用的某些资源或凭证，或者想要消耗在 源类型，它会有效地被忽略并且替换成客户端发送的内 容。 如果 BuildConfig 定义了 Git 源类型，则会动态禁用它，因为 Binary 和 Git 是互斥的，并且二进 制流中提供给构建器的数据将具有优先权。 您可以将 HTTP 或 HTTPS 方案的 URL 传递给 --from-file 和 --from-archive，而不传递文件名。将 - from-file 与 URL 结合使用时，构建器镜像中文件的名称由

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 9 7. bootstrap 机器将 OpenShift 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 $ sudo ./mirror-registry install \ --quayHostname \ --quayRoot 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 $ sudo ./mirror-registry install -v \ --targetHostname \ --targetUsername

Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE Red Hat Marketplace 是一个开源云市场，您可以在其中发现并访问在公共云和内部运行的基于容器的环 境的认证软件。 OpenShift Container Platform 4.10 构 构建 建应 应用程序 用程序 4 第 2 章 项目 2.1. 处理项目 通过项目（project），一个社区 Project 视图。 2. 在 Project 页面中,选择 Project Access 选项卡。 3. 点击 Add Access 为默认权限添加新权限行。 图 图 2.2. 项 项目 目权 权限 限 4. 输入用户名，点 Select a role 下拉列表，然后选择适当的角色。 5. 点击 Save 添加新权限。 您还可以使用： Select a role 下拉列表修改现有用户的访问权限。 将应用程序打包为 chart 并共享。 7.1.2. 红帽 OpenShift Helm chart 认证 您可以选择由红帽为要在 Red Hat OpenShift Container Platform 上部署的所有组件验证并认证 Helm chart。图表采用自动化红帽 OpenShift 认证工作流，确保安全合规，以及与平台的最佳集成和经验。认 证可确保 chart 的完整性，并确保 Helm

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 OpenShift Container Platform 4.13 安装 安装 12 7. bootstrap 机器将 OpenShift Container 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 4. 您可以在登录后镜像 OpenShift Container 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 4. 您可以在登录后镜像 OpenShift Container

Platform 中的主要组件源自 Red Hat Enterprise Linux（RHEL） 和相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件 的严格测试和认证计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 OpenShift Container Platform 4.7 架 架构 构 14 7. bootstrap 机器将 OpenShift Container 节点只能包含在一个 MCP 中。如果节点有多个与多个 MCP 对应的标签，如 worker,infra，它由 infra 自定义池而不是 worker 池管理。自定义池根据节点标签在选择 节点时具有优先权。不属于自定义池的节点由 worker 池管理。 建议您为集群中要管理的每个节点角色创建一个自定义池。例如，如果您创建 infra 节点来处理 infra 工作 负载，建议创建一个自定义 infra

Platform 中的主要组件源自 Red Hat Enterprise Linux（RHEL） 和相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件 的严格测试和认证计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 OpenShift Container Platform 4.10 架 架构 构 18 7. bootstrap 机器将 OpenShift Container 节点只能包含在一个 MCP 中。如果节点有多个与多个 MCP 对应的标签，如 worker,infra，它由 infra 自定义池而不是 worker 池管理。自定义池根据节点标签在选择 节点时具有优先权。不属于自定义池的节点由 worker 池管理。 建议您为集群中要管理的每个节点角色创建一个自定义池。例如，如果您创建 infra 节点来处理 infra 工作 负载，建议创建一个自定义 infra

Operator（CVO）在线并安装 etcd Operator。etcd Operator 在所有 control plane 节点上扩展 etcd。 6. 临时 control plane 关机，并将控制权交给生产环境 control plane。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM 安装概述 安装概述 9 7. bootstrap 机器将 OpenShift 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 4. 您可以在登录后镜像 OpenShift Container 您可以通过将您的系统配置为信任生成的 rootCA 证书来避免运行 --tls-verify=false。如需 更多信息，请参阅"使用 SSL 保护到 Red Hat Quay 的连接"和"配置系统以信任证书认证机 构"。 注意 注意 您还可以在安装后通过 https://:8443 访问 UI 登录。 4. 您可以在登录后镜像 OpenShift Container