OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 121 123 124 124 124 125 126 127 127 127 127 128 128 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 134 138 150 156 156 162 167 172 176 189 目 目录 录 3 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 4 第 1 章 身份验证和授权概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 此术语表定义了 OpenShift Container

INGRESS CONTROLLER 日志 6.7. 查看 INGRESS CONTROLLER 状态 6.8. 配置 INGRESS CONTROLLER 6.8.1. 设置自定义默认证书 6.8.2. 删除自定义默认证书 6.8.3. 扩展 Ingress Controller 6.8.4. 配置 Ingress 访问日志 6.8.5. Ingress Controller 分片 10 10 名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 一个 domain endpointPublishingStrategy 的值不能被更新。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls

章 章 安装 安装 OPENSHIFT CONTAINER PLATFORM 2.1. 概述 2.2. 与 OPENSHIFT CONTAINER PLATFORM 进行交互 2.3. 理解角色和认证 第 第 3 章 章 配置 配置 OPENSHIFT CONTAINER PLATFORM 3.1. 概述 3.2. 更改身份提供者中的日志 3.3. 创建用户帐户 3.4. 部署 OPENSHIFT 要安装 OpenShift Container Platform，您需要具备以下条件： 至少两台物理的或虚拟的 RHEL 7+ 机器，具有完全限定的域名（可以是真实的域名，也可以是网 络中的域名）和 无密码的 SSH 访问权限。本指南使用 master.openshift.example.com 和 node.openshift.example.com。这些机器必须能够使用这些域名相互 ping 通。如果您使用 安装 CRI-O: # yum -y install cri-o 安装 Docker: # yum -y install docker 2.1.5. 设置无密码 SSH 访问 在 master 上运行安装程序前，请设置无密码 SSH 访问权限，因为安装程序需要它才能访问该机器。为 此，请运行以下命令： $ ssh-keygen 按照提示操作，并在被要求输入 pass phrase 时按回车键。

名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 domain 值在所有 providerParameters.gcp.clientAccess 子字段。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls 指定路由器可以保存数据以查找匹配的路由的时长。 如果把这个值设置得太短，对于 edge-terminated, reencrypted, 或 passthrough 的路由，则可能会导致路由器回退到使用默认证书，即使 正在使用一个更加匹配的证书时也是如此。如果未设置，则默认检查延 迟为 5s。 tunnelTimeout 指定隧道连接在隧道闲置期间保持打开的时长，包括 websockets。如果未设置，则默认超时为

enShift 开发者工具提供 Jenkins 镜像，它直 接与 OpenShift Container Platform 集成。Jenkins 可通过使用 Samples Operator 模板或认证的 Helm Chart 在 OpenShift 上部署。 第 第 1 章 章 OPENSHIFT CONTAINER PLATFORM CI/CD 概述 概述 3 第 2 章 构建（BUILD） sslVerify=false，则可以关闭 iVSSL 验证： 2.3.4.2.4. 从 从 .gitconfig 文件 文件为 为安全 安全 Git 创 创建 建 secret 如果 Git 服务器使用双向 SSL 和用户名加密码进行保护，您必须将证书文件添加到源构建中，并在 .gitconfig 文件中添加对证书文件的引用。 先决条件 先决条件 您必须具有 Git 凭证。 流程 流程 将证书文件添加到源构建中，并在 构建（ 建（BUILD） ） 13 1 2 3. 创建 secret： 用户的 Git 用户名。 此用户的密码。 重要 重要 为了避免必须再次输入密码，需要在构建中指定 source-to-image（S2I）镜像。但是，如 果无法克隆存储库，您仍然必须指定用户名和密码才能推进构建。 其他 其他资 资源 源 应用程序源代码中的 /var/run/secrets/openshift

io 的 pull secret，并将它保存到 .json 文件中。 2. 为您的镜像 registry 生成 base64 编码的用户名和密码或令牌： 通过 和 指定 registry 的用户名和密码。 3. 以 JSON 格式创建您的 pull secret 副本： 指定到存储 pull secret 的文件夹的路径，以及您创建的 JSON registry.example.com 或 registry.example.com:8443 使用 为您的镜像 registry 指定 base64 编码的用户名和密码。 该文件类似于以下示例： "auths": { "cloud.openshift.com": { "auth": "b3BlbnNo...", "email": Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 关于

Platform 4.9+ 支持 OVN-Kubernetes。 在 OpenShift Container Platform 上认证并通过 Service Mesh 一致性测试的第三方 Container Network Interface(CNI)插件。如需更多信息，请参阅认证的 OpenShift CNI 插件。 1.6.2.4. Service Mesh 支持的配置 支持的配置 此 Red Hat RequestAuthentication 资源。以下示例在向 httpbin 工作负载发送请求时，需要在 Authorization 标头中有一个 JWT。 1.13.3. 配置密码套件和 ECDH curves（策展） 密码套件和 Elliptic-curve Diffie-Hellman（ECDH 策展）可以帮助您保护服务网格的安全。您可以使用 spec.security.controlplane 资源中使用 spec.istio.global.tls.ecdhCurves 定义以逗号隔开的密码套件列表。如果其中任何一个属性为空，则使 用默认值。 如果您的服务网格使用 TLS 1.2 或更早版本， cipherSuites 设置就会有效。它在使用 TLS 1.3 时无效。 在以逗号分开的列表中设置密码组合，以优先级顺序进行排列。例如，ecdhCurves: CurveP256, CurveP384

io 的 pull secret，并将它保存到 .json 文件中。 2. 为您的镜像 registry 生成 base64 编码的用户名和密码或令牌： 通过 和 指定 registry 的用户名和密码。 3. 以 JSON 格式创建您的 pull secret 副本： 指定到存储 pull secret 的文件夹的路径，以及您创建的 JSON registry.example.com 或 registry.example.com:8443 使用 为您的镜像 registry 指定 base64 编码的用户名和密码。 该文件类似于以下示例： "auth": "b3BlbnNo...", "email": "you@example.com" }, "quay.io": Podman 3.3 和 OpenSSL 的 Red Hat Enterprise Linux(RHEL)8。 Red Hat Quay 服务的完全限定域名，它必须通过 DNS 服务器解析。 目标主机上的免密码 sudo 访问。 目标主机上的基于密钥的 SSH 连接。为本地安装自动生成 SSH 密钥。对于远程主机，您必须生 成自己的 SSH 密钥。 2 个或更多 vCPU。 8 GB RAM。 关于

流程 流程 1. 使用红帽生态系统目录从红帽仓库搜索特定容器镜像并选择所需的镜像。 2. 点 Get this image 来查找您的容器镜像的命令。 3. 运行以下命令，并输入您的用户名和密码进行验证： 4. 运行以下命令下载镜像并将其保存在本地： $ podman login registry.redhat.io Username: 户名和密 名和密码 码。 。这是用于登录到诸如access.redhat.com之类的资源的标准凭据集。虽然可 以在OpenShift Container Platform上使用此身份验证方法，但在生产环境部署中不支持此方法。 此身份验证方法应该只限于在OpenShift Container Platform之外的独立项目中使用。 您可以在 podman login 中使用您的凭证（用户名和密码，或身份验证令牌）来访问新 68 3. 获 获取 取 Ingress Operator 的 的证书 证书： ： 4. 使用以下命令 使用以下命令启 启用集群的默 用集群的默认证书 认证书来信任路由： 来信任路由： 5. 使用默 使用默认 认路由通 路由通过 过 podman 登 登录 录： ： 5.2. 手 手动 动公开受保 公开受保护

由以下 Container Network Interface (CNI) 插件之一提供的主要集群网络： OVN-Kubernetes 网络插件，默认插件 OpenShift SDN 网络插件 经认证的第三方替代主网络插件 用于网络插件管理的 Cluster Network Operator 用于 TLS 加密 Web 流量的 Ingress Operator 用于名称分配的 DNS Operator 名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 domain 值在所有 protocol nodePort.protocol defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls