Open main menu

Changes

Openshift basics

2,373 bytes added, 12:46, 27 November 2019
Openshift specific object
Indítsuk el a minishift-et.
<pre>
# minishfit minishift start
-- Starting profile 'minishift'
-- Check if deprecated options are used ... OK
<br>
===Törlés===
A '''minishift delete''' paranccsal az aktuális VM-et töröljük csak le, nem a minishift programot. A törlés után egy minishift start új VM-et fog készíteni.
<pre>
# minishift delete
You are deleting the Minishift VM: 'minishift'. Do you want to continue [y/N]?: y
Removing entries from kubeconfig for cluster: 192-168-42-64:8443
Deleting the Minishift VM...
Minishift VM deleted.
</pre>
<br>
}}
<br>
 
===Új névtér hozzáadása===
Hozzuk létre az új névteret.
<pre>
# kubectl create namespace mynamespace
</pre>
<br>
 
Rendeljük hozzá az admin clusterrole-t a developer user-hez a mynamespace névtérben. Ezzel teljhatalmat kap a developer a mynamesapce-ben.
<pre>
# kubectl create rolebinding developer-admin --namespace=mynamespace --clusterrole=admin --user=developer
rolebinding.rbac.authorization.k8s.io/developer-admin created
</pre>
<br>
 
Ezzel létrejött a developer-admin rolebindig a mynamespace-ben, listázzuk ki:
<pre>
# kubectl get rolebinding developer-admin -n mynamespace -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
creationTimestamp: "2019-09-22T10:51:01Z"
name: developer-admin
namespace: mynamespace
resourceVersion: "35751"
selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/mynamespace/rolebindings/developer-admin
uid: de318108-dd26-11e9-bc53-52540074f436
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: developer
</pre>
<br>
 
Most lépjünk be a developer-el, láthatjuk, hogy megjelent a névtér listában a mynamespace is:
<pre>
# oc login
Authentication required for https://192.168.42.214:8443 (openshift)
Username: developer
Password:
Login successful.
 
You have access to the following projects and can switch between them with 'oc project <projectname>':
 
mynamespace
* myproject
 
Using project "myproject".
</pre>
<br>
<br>
=Openshift specific object=
===DeploymentConfig===
<br>
 
==Service with ssl encryption==
 
Az egésznek a mozgató rugója, hogy a service objektumban szerepeltetjük a '''service.alpha.openshift.io/serving-cert-secret-name''' annotációt. Az itt megadott értékkel (a példában '''my-app-internal-cert''') létre fog jönni automatikusan egy TLS típusú secret mikor kiadjuk a svc-re az apply parancsot.
service.yaml
<source lang="C++">
apiVersion: v1
kind: Service
metadata:
annotations:
service.alpha.openshift.io/serving-cert-secret-name: my-app-internal-cert
labels:
app: my-app
configurable: "true"
name: my-app
namespace: mynamespace
...
</source>
 
 
Ezt a kulcsot fogja a service titkosításra használni.
<pre>
# kubectl get secret pod-monitor-internal-cert -o yaml
------------------------------------------------------
apiVersion: v1
data:
tls.crt: SDGSDFGsda...
tls.key: AFGGSDGcs....
kind: Secret
metadata:
name: my-app-internal-cert
namespace: mynamespace
ownerReferences:
- apiVersion: v1
kind: Service
name: my-app
type: kubernetes.io/tls
</pre>
 
 
A '''my-app-internal-cert''' secret-et bele kell tenni a Deployment-hez tartozó service-account-ba is, hogy mount-olni tudjuk majd a pod-ba: <br>
service-account.yaml
<source lang="C++">
apiVersion: v1
kind: ServiceAccount
metadata:
labels:
app: my-app
name: my-app
secrets:
...
- name: my-app-internal-cert
</source>
 
 
 
deployment.yaml
<source lang="C++">
- mountPath: /var/run/secrets/https-internal-cert
name: https-internal-cert
readOnly: true
...
volumes:
- name: https-internal-cert
secret:
defaultMode: 420
secretName: my-app-internal-cert
</source>
 
 
<br>
<br>
 
==Router==
http://people.redhat.com/jrivera/openshift-docs_preview/openshift-origin/glusterfs-review/install_config/router/index.html<br>
https://medium.com/bitnami-perspectives/running-containers-in-openshift-629af79945b5
 
Névtér független
<pre>
# kubectl get SecurityContextConstraints anyuid -o yaml
</pre>
<source lang="C++">
# kubectl get SecurityContextConstraints anyuid -n default -o yaml
allowHostDirVolumePlugin: false
allowHostIPC: false
kubernetes.io/description: anyuid provides all features of the restricted SCC
but allows users to run with any UID and any GID.
creationTimestamp: "2019-07-05T14:25:44Z"
name: anyuid
resourceVersion: "641"
selfLink: /apis/security.openshift.io/v1/securitycontextconstraints/anyuid
uid: c6610551-9f30-11e9-ba85-525400efb4ec
priority: 10
readOnlyRootFilesystem: false
supplementalGroups:
type: RunAsAny
users: []- system:serviceaccount:mynamespace:default
volumes:
- configMap
<br>
=HAproxy metrikák gyűjtése='''Run container as root'''<br>https://docsAzt hogy melyik pod futtathat root nevében konténert a '''SecurityContextConstraints''' objektumok írják le.openshiftItt meg lehet határozni, hogy milyen user-nek és group-nak engedjük meg a konténer futtatását a konténeren belül.com/containerA '''SecurityContextConstraints''' definícióban a user szekcióban meg lehet adni service account-okat, és akkor az adott serviceAccount-hoz rendelt deploymenthez tartozó pod-oknak meg lehet engedni hogy a nekik tetsző user-el futtassanak process-platform/3eket.10/install_config/router/default_haproxy_routerHa nincs megengedi a root futtatás egy pod-nak, akkor egy nem privilegizált user-el fog futni.html<brpre>https://docs# oc edit scc anyuidsecuritycontextconstraints.security.openshift.comio/container-platformanyuid edited</3.10/admin_guide/router.html<brpre>
A HAProxy szolgáltat magáról prometheus szabványú metrikákat '''mynamespace''' névtérben lévő '''default''' nevű service account-al futtatott pod-oknak megengedjük a routertetszőleges user választást. <pre>-hez tartozó Kubernetes servicesystem:serviceaccount:mynamespace:default</pre>Ha egy deployment-en keresztül. A metrikákat lekérdező végpont (metrics) alapból be van kapcsolva. Ezt ki lehet kapcsolninek külön nem adjuk meg, de attól még gyűjteni fogja a metrikákat a HAProxyakkor az adott névtér default serviceAccount-jával fog futni.
The metrics are collected from both the router controller and from HAProxy every 5 seconds. The router metrics counters start at zero when the router is deployed and increase over time. The HAProxy metrics counters are reset to zero every time haproxy is reloaded. The router collects HAProxy statistics for each frontend, backend and server.
<br>
<br>==Metrikák lekérdezéseTemplate==A metrikák lekérdezésére két lehetőség vanhttps://docs. # felhasználó név + jelszó használata# RBAC szabályok definiálása a megfelelő serviceAccount openshift.com/container-hozplatform/3.11/dev_guide/templates.html
<br>
===User + jelszó alapú lekérdezés ===
Felhasználó név alapú lekérdezés esetén az alapértelmezett metrika URL az alábbi:
<pre>
http://<user>:<password>@<router_IP>:<STATS_PORT>/metrics# oc get template -n mynamespaceNAME DESCRIPTION PARAMETERS OBJECTS 4 (3 blank) 2mytemplate-1 This template contains the DeploymentConfig, Service, Route and ServiceAccoun... 11 (5 blank) 5
</pre>
A metrika user, jelszó és port a router-hez tartozó service definíciójában van. Ehhez elsőként meg kell keresni a router-hez tartozó service-t:
<pre>
# kubectl get svc -n default
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
router ClusterIP 172.30.130.191 <none> 80/TCP,443/TCP,1936/TCP 4d
</pre>
Láthatjuk, hogy az '''1936'''-os porton is hallgatózik, ez a metrika végpontjának a portja.
Most nézzünk bele a service definíciójába, hogy megkapjuk a user és pass-t is:
<pre>
# kubectl oc get svc router template mytemplate-1 -n default mynamespace -o yamlapiVersion: template.openshift.io/v1kind: ServiceTemplate
metadata:
annotations: prometheus.openshift.io/password: 4v9a7ucfMi prometheus.openshift.io/username: admin ...
</pre>
Ennek függvényében, a node IP címét felhasználva, (minishfit IP) a metrika URL az alábbi: http://admin:4v9a7ucfMi@192.168.42.64:1936/metrics<br><br>==Fájl másolása konténerekből== 
<pre>
# curl adminkubectl cp <névtér>/<pod-név>:4v9a7ucfMi@192.168.42.64:1936/metrics# HELP apiserver_audit_event_total Counter of audit events generated and sent to the audit backend.# TYPE apiserver_audit_event_total counterapiserver_audit_event_total 0# HELP apiserver_client_certificate_expiration_seconds Distribution of the remaining lifetime on the certificate used to authenticate a request.# TYPE apiserver_client_certificate_expiration_seconds histogramapiserver_client_certificate_expiration_seconds_bucket{le="0"} 0apiserver_client_certificate_expiration_seconds_bucket{le="21600"} 0apiserver_client_certificate_expiration_seconds_bucket{le="43200"} 0apiserver_client_certificate_expiration_seconds_bucket{le="86400"} 0apiserver_client_certificate_expiration_seconds_bucket{le="172800"} 0apiserver_client_certificate_expiration_seconds_bucket{le="345600"} 0apiserver_client_certificate_expiration_seconds_bucket{le="604800"} 0<fájl elérési út> <cél-mappa-neve>
</pre>
<br>Pl: <br> kubectl cp mynamespace/example-pod:/tmp/example.txt /home/adam/
===ServiceAccount alapú lekérdezés==={{note|Fontos, hogy a konténerben legyen rsync vagy tar telepítve, ezek valamelyikével fogja a Kubernetes végrehajtani a másolást}}
<br>A cp OpenShfit megfelelője a oc rsync :==Metrika fajták==http oc rsync mynamespace/example-pod:/tmp/people.redhatexample.com/jriveratxt /openshift-docs_previewhome/openshift-originadam/glusterfs-review/architecture/networking/haproxy-router.html<br> 
<br>
Retrieved from "http://wiki.berki.org/index.php/Special:MobileDiff/3426...4388"