Úlohy po nasazení

  • Článek
  • 3 min ke čtení

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ Flexibilní škálovací sady

Po nasazení clusteru OpenShift můžete nakonfigurovat další položky. Tento článek se věnuje:

  • Konfigurace jednotného přihlašování pomocí služby Azure Active Directory (Azure AD)
  • Konfigurace protokolů Azure Monitor monitorování OpenShiftu
  • Jak nakonfigurovat metriky a protokolování
  • Postup instalace open Service Broker pro Azure (OSBA)

Konfigurace jednotného přihlašování pomocí Azure Active Directory

Pokud chcete Azure Active Directory ověřování, musíte nejprve vytvořit registraci aplikace Azure AD. Tento proces zahrnuje dva kroky: vytvoření registrace aplikace a konfiguraci oprávnění.

Vytvoření registrace aplikace

V těchto krocích se k vytvoření registrace aplikace používá Azure CLI a k nastavení oprávnění se používá grafické uživatelské rozhraní (portál). K vytvoření registrace aplikace potřebujete následujících pět údajů:

  • Zobrazovaný název: Název registrace aplikace (například OCPAzureAD)
  • Domovská stránka: Adresa URL konzoly OpenShift (například https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Identifikátor URI: Adresa URL konzoly OpenShift (například https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Adresa URL odpovědi: Hlavní veřejná adresa URL a název registrace aplikace (například https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD )
  • Heslo: Zabezpečené heslo (použijte silné heslo)

Následující příklad vytvoří registraci aplikace pomocí předchozích informací:

az ad app create --display-name OCPAzureAD --homepage https://masterdns343khhde.westus.cloudapp.azure.com/console --reply-urls https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/hwocpadint --identifier-uris https://masterdns343khhde.westus.cloudapp.azure.com/console --password {Strong Password}

Pokud je příkaz úspěšný, zobrazí se výstup JSON podobný tomu:

{
  "appId": "12345678-ca3c-427b-9a04-ab12345cd678",
  "appPermissions": null,
  "availableToOtherTenants": false,
  "displayName": "OCPAzureAD",
  "homepage": "https://masterdns343khhde.westus.cloudapp.azure.com/console",
  "identifierUris": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/console"
  ],
  "objectId": "62cd74c9-42bb-4b9f-b2b5-b6ee88991c80",
  "objectType": "Application",
  "replyUrls": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD"
  ]
}

Poznamenejte si vlastnost appId vrácenou z příkazu pro pozdější krok.

Na webu Azure Portal:

  1. Vyberte Azure Active Directory > Registrace aplikace.

  2. Vyhledejte registraci vaší aplikace (například OCPAzureAD).

  3. Ve výsledcích klikněte na registraci aplikace.

  4. V Nastavení vyberte Požadovaná oprávnění.

  5. V části Požadovaná oprávnění vyberte Přidat.

    Registrace aplikace

  6. Klikněte na Krok 1: Vyberte rozhraní API a potom klikněte na Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory). V dolní části klikněte na Vybrat.

    Rozhraní API pro výběr registrace aplikace

  7. V kroku 2: Vyberte Oprávnění, v části Delegovaná oprávnění vyberte Přihlásit se a číst profil uživatele a potom klikněte na Vybrat.

    Přístup k registraci aplikace

  8. Vyberte Hotovo.

Konfigurace OpenShiftu pro ověřování Azure AD

Pokud chcete openshift nakonfigurovat tak, aby jako zprostředkovatele ověřování používat Azure AD, je nutné upravit soubor /etc/origin/master/master-config.yaml na všech hlavních uzlech.

POMOCÍ následujícího příkazu rozhraní příkazového řádku vyhledejte ID tenanta:

az account show

V souboru yaml vyhledejte následující řádky:

oauthConfig:
  assetPublicURL: https://masterdns343khhde.westus.cloudapp.azure.com/console/
  grantConfig:
    method: auto
  identityProviders:
  - challenge: true
    login: true
    mappingMethod: claim
    name: htpasswd_auth
    provider:
      apiVersion: v1
      file: /etc/origin/master/htpasswd
      kind: HTPasswdPasswordIdentityProvider

Vložte následující řádky bezprostředně za předchozí řádky:

  - name: <App Registration Name>
    challenge: false
    login: true
    mappingMethod: claim
    provider:
      apiVersion: v1
      kind: OpenIDIdentityProvider
      clientID: <appId>
      clientSecret: <Strong Password>
      claims:
        id:
        - sub
        preferredUsername:
        - unique_name
        name:
        - name
        email:
        - email
      urls:
        authorize: https://login.microsoftonline.com/<tenant Id>/oauth2/authorize
        token: https://login.microsoftonline.com/<tenant Id>/oauth2/token

Ujistěte se, že se text správně zarovná pod identityProviders. POMOCÍ následujícího příkazu rozhraní příkazového řádku vyhledejte ID tenanta: az account show

Restartujte hlavní služby OpenShift na všech hlavních uzlech:

sudo /usr/local/bin/master-restart api
sudo /usr/local/bin/master-restart controllers

V konzole OpenShift se teď zobrazí dvě možnosti ověřování: htpasswd_auth a [Registrace aplikace].

Monitorování OpenShiftu s Azure Monitor protokoly

Existují tři způsoby, jak přidat agenta Log Analytics do OpenShiftu.

  • Nainstalujte agenta Log Analytics pro Linux přímo na každý uzel OpenShift.
  • Povolení Azure Monitor virtuálního počítače na každém uzlu OpenShiftu
  • Instalace agenta Log Analytics jako sady démonů OpenShift

Další podrobnosti najdete v úplných pokynech.

Konfigurace metrik a protokolování

V závislosti na větvi mohou šablony Azure Resource Manager pro OpenShift Container Platform a OKD zadat vstupní parametry pro povolení metrik a protokolování v rámci instalace.

OpenShift Container Platform Marketplace také nabízí možnost povolit metriky a protokolování během instalace clusteru.

Pokud během instalace clusteru nebyly povolené metriky ani protokolování, můžete je po této skutečnosti snadno povolit.

Poskytovatel cloudu Azure, který se používá

SSH k uzlu bastionu nebo prvnímu hlavnímu uzlu (na základě šablony a větve, která se používá) pomocí přihlašovacích údajů poskytnutých během nasazování. Zadejte následující příkaz:

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True \
-e openshift_metrics_cassandra_storage_type=dynamic

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True \
-e openshift_logging_es_pvc_dynamic=true

Poskytovatel cloudu Azure se nevyu používá

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True

Instalace open Service Broker pro Azure (OSBA)

Otevření Service Broker pro Azure nebo OSBA umožňuje zř Azure Cloud Services z OpenShiftu. OSBA v implementaci open Service Broker API pro Azure. Open Service Broker API je specifikace, která definuje společný jazyk pro poskytovatele cloudu, který mohou nativní cloudové aplikace použít ke správě cloudových služeb bez zámku.

Pokud chcete nainstalovat OSBA na OpenShift, postupujte podle těchto pokynů: https://github.com/Azure/open-service-broker-azure#openshift-project-template .

Poznámka

Proveďte pouze kroky v části OpenShift Project Template (Šablona šablony), a ne celou část Installing (Instalace).

Další kroky