OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时 3.6. 自定义内部 OAUTH 服务器 URL

MESH 发行注记 1.3. 了解 SERVICE MESH 1.4. 服务网格部署模型 1.5. SERVICE MESH 和 ISTIO 的不同 1.6. 准备安装 SERVICE MESH 1.7. 安装 OPERATOR 1.8. 创建 SERVICEMESHCONTROLPLANE 1.9. 在服务网格中添加服务 1.10. 启用 SIDECAR 注入 1.11. 升级 SERVICE 管理用户和配置集 1.13. 安全性 1.14. 管理服务网格中的流量 1.15. 指标、日志和追踪 1.16. 性能和可扩展性 1.17. 为生产环境配置 SERVICE MESH 1.18. 连接服务网格 1.19. 扩展 1.20. 使用 3SCALE WEBASSEMBLY 模块 1.21. 使用 3SCALE ISTIO 适配器 1.22. 服务网格故障排除 1.23. ENVOY 代理故障排除 SERVICE MESH 和 ISTIO 的不同 2.4. 准备安装 SERVICE MESH 2.5. 安装 SERVICE MESH 2.6. 在 SERVICE MESH 中自定义安全性 2.7. 流量管理 2.8. 在 SERVICE MESH 上部署应用程序 2.9. 数据可视化和可观察性 2.10. 自定义资源 2.11. 使用 3SCALE ISTIO 适配器 2.12. 删除 SERVICE

在 RED HAT OPENSHIFT SERVICE MESH 上部署应用程序 4.2. 为服务网格配置分布式追踪 4.3. 应用程序示例 4.4. KIALI 教程 4.5. 分布式追踪 4.6. 自动路由创建 第 第 5 章 章 SERVICE MESH 用 用户 户指南 指南 5.1. 流量管理 第 第 6 章 章 支持 支持 6.1. 为红帽支持收集 RED HAT OPENSHIFT Red Hat OpenShift Service Mesh 是一个提供对服务网格（service mesh）的行为信息和操作控制的平 台，它为用户提供了一个连接、管理和监控微服务应用程序的统一方法。 术语 服务网格（service mesh）代表在分布式微服务架构中组成应用程序的微服务网络，以及这些微服务 间的交互。当服务网格的规模和复杂性增大时，了解和管理它就会变得非常困难。 Red Hat OpenShift Service Mesh。 Red Hat OpenShift Service Mesh 提供了一个方便的方法来创建一个部署的服务网络，它可提供发现、负 载平衡、服务对服务验证、故障恢复、指标和监控的功能。服务网格还提供更复杂的操作功能，其中包括 A/B 测试、canary 发行版本、速率限制、访问控制以及端到端验证。 1.2. 获取支持 如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可通过该客户门户：

1. 关于工作负载安全性 8.2. KUBEVIRT-CONTROLLER 服务帐户的其他 OPENSHIFT CONTAINER PLATFORM 安全性上下文约束和 LINUX 功能 8.3. 授权 8.4. 其他资源 第 第 9 章 章 使用 使用 VIRTCTL 和 和 LIBGUESTFS CLI 工具 工具 9.1. 安装 VIRTCTL 9.2. VIRTCTL 命令 9.3 cdi-operator 组 组件 件 组 组件 件 描述 描述 deployment/cdi-apiserver 通过提供安全上传令牌来管理将虚拟机磁盘上传到 PVC 的授权过程。 deployment/cdi-uploadproxy 将外部磁盘上传流量定向到适当的上传服务器 pod， 以便将其写入正确的 PVC。需要有效的上传令牌。 pod/cdi-importer helper（帮助程序）Pod，在创建数据卷时将虚拟机镜 选择顶级消费者的数量来过滤结果。 CPU chart 带有最高 CPU 使用率的 VirtualMachines 内存 内存图表 带有最高内存用量的 VirtualMachines 内存交 内存交换 换流量 流量图表 带有最高内存交换流量的 VirtualMachines vCPU 等待 等待图表 带有最高 vCPU 等待周期的 VirtualMachines 存 存储 储吞吐量 吞吐量图表 带有最高存储吞吐量使用量的

Virtualization 现在与 OpenShift Service Mesh 集成。您可以将虚拟机连接到服务网 格， 以使用 IPv4 监控、视觉化和控制在默认 pod 网络上运行虚拟机工作负载的 pod 间的流量。 OpenShift Virtualization 现在提供了一个统一的 API，用于自动导入和更新预定义的引导源。 3.3.1. 快速启动 有几个 OpenShift Virtualization 克隆策略克隆超过 100 个虚拟机，则 Ceph CSI 可能无法清除克隆。手动 删除克隆也会失败。(BZ#2055595) 作为临时解决方案，您可以重启 ceph-mgr 来清除虚拟机克隆。 未授权用户无法在虚 虚拟 拟机网 机网络 络接口 接口选项卡上使用添加网络接口按钮。(BZ#2056420) $ oc annotate --overwrite -n openshift-cnv hco "/spec/kubeMacPool" "value": null } ]' 第 第 3 章 章 OPENSHIFT VIRTUALIZATION 发 发行注 行注记 记 13 作为临时解决方案，未授权用户可以在创建虚拟机时使用 VM 向导时添加额外的网络接口。 非特权用户因为 RBAC 规则而无法向虚拟机添加磁盘。(BZ#2056421) 作为临时解决方案，请手动添加 RBAC 规则来允许特定用户添加磁盘。

配置 OPENSHIFT CONTAINER PLATFORM 3.1. 概述 3.2. 更改身份提供者中的日志 3.3. 创建用户帐户 3.4. 部署 OPENSHIFT 路由器 3.5. 部署内部 REGISTRY 第 第 4 章 章 使用 使用 WEB 控制台 控制台创 创建并 建并构 构建 建镜 镜像 像 4.1. 概述 4.2. 开始前 4.3. FORK SAMPLE 仓库 4 什么您的域名中使用 APPS 作 作为 为通配符条目？ 通配符条目？ 当使用 OpenShift Container Platform 部署应用程序时，内部路由器需要将传入请求代理 到对应的应用程序 pod。通过将 apps 用作应用程序域的一部分，应用程序流量会准确标 记为正确的 pod。 您也可以使用 apps 以外的其他项。 *.cloudapps.openshift.example.com. 300 --pool= 5. 使用提供了 OpenShift Container Platform 的池的池 ID 替换字符串 。池 ID 是一个长 字母数字字符串。 现在，这些 RHEL 系统被授权安装 OpenShift Container Platform。现在，您需要告诉系统从哪里获取 OpenShift Container Platform。 2.1.3. 设置软件仓库 在 master

章 章 OPENSHIFT DATA FOUNDATION 基 基础 础架 架构 构 2.1. 关于 OPERATOR 2.2. 存储集群部署方法 2.3. 节点类型 第 第 3 章 章 内部存 内部存储 储服 服务 务 第 第 4 章 章 外部存 外部存储 储服 服务 务 第 第 5 章 章 安全考 安全考虑 虑 5.1. FIPS-140-2 5.2. 代理环境 5.3. 数据加密选项 Container Platform registry，以及 使用 JBoss AMQ 的消息传递。 多云对象存储，具有一个轻量级 S3 API 端点，可以从多个云对象存储中提取存储和检索数据。 在内部对象存储中，具有一个稳定的 S3 API 端点，可扩展到数十拍字节（PB）和数十亿个对象 的环境，主要面向数据密集型应用。例如，使用 Spark、Pacesto、Red Hat AMQ Streams 数据库工作负载必须不使用 CephFS PV/PVC。 Red Hat OpenShift Data Foundation 版本 4.x 由一组软件项目组成，包括： Ceph，提供块存储、共享分布式文件系统以及内部对象存储 Ceph CSI，用于管理持久性卷和声明的调配和生命周期 NooBaa 提供多云对象网关 OpenShift Data Foundation、Rook-Ceph 和 NooBaa 操作器，用于初始化和管理

BARE METAL OPERATOR 扩展用户置备的集群 第 第 13 章 章 使用 使用辅 辅助安装程序安装内部 助安装程序安装内部 13.1. 使用 ASSISTED INSTALLER 安装内部集群 第 第 14 章 章 使用基于代理的安装程序安装内部集群 使用基于代理的安装程序安装内部集群 14.1. 准备使用基于代理的安装程序安装 14.2. 了解断开连接的安装镜像 14.3. 使用基于代理的安装程序安装 在集群的每个节点上运行的一个主节点代理，以确保容器在 pod 中运行。 负载 负载均衡器 均衡器 负载均衡器是客户端的单点联系。API 的负载均衡器在 control plane 节点之间分布传入的流量。 Machine Config Operator 一个 Operator，管理并应用基本操作系统和容器运行时的配置和更新，包括内核和 kubelet 之间的所 有配置和更新。 Operator Nutanix VMware vSphere AWS 上的 VMware Cloud（VMC） 裸机或其他平台基础架构 您可以将 OpenShift Container Platform 4 集群部署到内部硬件环境，或部署到云托管服务中，但集群中 的所有机器都必须位于相同的数据中心或云托管服务中。 如果要使用 OpenShift Container Platform，但不想自行管理集群，则有几个受管服务选项。如果要完全

Power VMware vSphere AWS 上的 VMware Cloud（VMC） 裸机或其他平台基础架构 您可以将 OpenShift Container Platform 4 集群部署到内部硬件环境，或部署到云托管服务中，但集群中 的所有机器都必须位于相同的数据中心或云托管服务中。 如果要使用 OpenShift Container Platform，但不想自行管理集群，则有几个受管服务选项。如果要完全 Operator。与其他需要部署机器并配置其操作系统以便在其中安装 OpenShift Container Platform 的 系统不同，RHCOS 操作系统是 OpenShift Container Platform 集群的一个内部组成部分。在 OpenShift Container Platform 的安装过程中为集群机器部署操作系统。请参阅 OpenShift Container Platform 3 和 OpenShift 网上红帽托管站点的内容镜像到隔离的镜像 registry 相同。镜像内容后，您要将每个集群配置为从镜像 registry 中检索此内容。 重要 重要 OpenShift Container Platform 集群的内部 registry 不能用作目标 registry，因为它不支持 没有标签的推送（在镜像过程中需要这个功能）。 如果选择不是 Red Hat OpenShift 的镜像 registry 的容器

示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Zipkin。启用网关时，只启用 OpenTelemetry 协议 (OTLP) gRPC。 在 Query Frontend 服务上公开 Jaeger Query gRPC 端点。 支持没有网关身份验证和授权的多租户。 1.4.4.2. 程序 程序错误 错误修复 修复 在此次更新之前，Tempo Operator 与断开连接的环境不兼容。在这个版本中，Tempo Operator 支持断开连接的环境。(TRACING-3145)