Aufgaben nach der BereitstellungPost-deployment tasks

Nach der Bereitstellung eines OpenShift-Clusters können Sie zusätzliche Elemente konfigurieren.After you deploy an OpenShift cluster, you can configure additional items. In diesem Artikel wird Folgendes behandelt:This article covers:

  • Konfigurieren des einmaligen Anmeldens mit Azure Active Directory (Azure AD)How to configure single sign-on by using Azure Active Directory (Azure AD)
  • Konfigurieren von Azure Monitor-Protokollen zum Überwachen von OpenShiftHow to configure Azure Monitor logs to monitor OpenShift
  • Konfigurieren von Metriken und ProtokollierungHow to configure metrics and logging
  • Installieren von Open Service Broker für Azure (OSBA)How to install Open Service Broker for Azure (OSBA)

Konfigurieren des einmaligen Anmeldens mit Azure Active DirectoryConfigure single sign-on by using Azure Active Directory

Um Azure Active Directory für die Authentifizierung zu verwenden, müssen Sie zuerst eine Azure AD-App-Registrierung erstellen.To use Azure Active Directory for authentication, first you need to create an Azure AD app registration. Dieser Prozess umfasst zwei Schritte: das Erstellen der App-Registrierung und das Konfigurieren von Berechtigungen.This process involves two steps: creating the app registration, and configuring permissions.

Erstellen einer App-RegistrierungCreate an app registration

Für diese Schritte wird die Azure-Befehlszeilenschnittstelle verwendet, um die App-Registrierung zu erstellen, und die grafische Benutzeroberfläche (das Portal), um die Berechtigungen festzulegen.These steps use the Azure CLI to create the app registration, and the GUI (portal) to set the permissions. Für die Erstellung der App-Registrierung werden die folgenden fünf Angaben benötigt:To create the app registration, you need the following five pieces of information:

Im folgenden Beispiel wird eine App-Registrierung mit den obigen Informationen erstellt:The following example creates an app registration by using the preceding information:

az ad app create --display-name OCPAzureAD --homepage https://masterdns343khhde.westus.cloudapp.azure.com/console --reply-urls https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/hwocpadint --identifier-uris https://masterdns343khhde.westus.cloudapp.azure.com/console --password {Strong Password}

Nach erfolgreicher Befehlsausführung erhalten Sie eine JSON-Ausgabe wie die folgende:If the command is successful, you get a JSON output similar to:

{
  "appId": "12345678-ca3c-427b-9a04-ab12345cd678",
  "appPermissions": null,
  "availableToOtherTenants": false,
  "displayName": "OCPAzureAD",
  "homepage": "https://masterdns343khhde.westus.cloudapp.azure.com/console",
  "identifierUris": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/console"
  ],
  "objectId": "62cd74c9-42bb-4b9f-b2b5-b6ee88991c80",
  "objectType": "Application",
  "replyUrls": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD"
  ]
}

Notieren Sie sich die zurückgegebene appId-Eigenschaft zur späteren Verwendung.Take note of the appId property returned from the command for a later step.

Führen Sie im Azure-Portal die folgenden Schritte aus:In the Azure portal:

  1. Klicken Sie auf Azure Active Directory > App-Registrierung.Select Azure Active Directory > App Registration.

  2. Suchen Sie nach Ihrer App-Registrierung. (z. B. OCPAzureAD).Search for your app registration (for example, OCPAzureAD).

  3. Klicken Sie in den Ergebnissen auf die App-Registrierung.In the results, click the app registration.

  4. Klicken Sie unter Einstellungen auf Erforderliche Berechtigungen.Under Settings, select Required permissions.

  5. Wählen Sie unter Erforderliche Berechtigungen die Option Hinzufügen aus.Under Required Permissions, select Add.

    App-Registrierung

  6. Klicken Sie auf „Schritt 1: API auswählen“ und dann auf Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory) .Click Step 1: Select API, and then click Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory). Klicken Sie im unteren Bereich auf Auswählen.Click Select at the bottom.

    App-Registrierung: API auswählen

  7. Wählen Sie in „Schritt 2: Berechtigungen auswählen“ unter Delegierte Berechtigungen die Berechtigung Anmelden und Benutzerprofil lesen aus, und klicken Sie anschließend auf Auswählen.On Step 2: Select Permissions, select Sign in and read user profile under Delegated Permissions, and then click Select.

    App-Registrierung: Zugriff

  8. Wählen Sie Fertigaus.Select Done.

Konfigurieren von OpenShift für die Azure AD-AuthentifizierungConfigure OpenShift for Azure AD authentication

Wenn Sie OpenShift für die Verwendung von Azure AD als Authentifizierungsanbieter konfigurieren möchten, muss die Datei „/etc/origin/master/master-config.yaml“ auf allen Masterknoten bearbeitet werden.To configure OpenShift to use Azure AD as an authentication provider, the /etc/origin/master/master-config.yaml file must be edited on all master nodes.

Die Mandanten-ID können Sie mit dem folgenden CLI-Befehl ermitteln:Find the tenant ID by using the following CLI command:

az account show

Suchen Sie in der YAML-Datei nach folgenden Zeilen:In the yaml file, find the following lines:

oauthConfig:
  assetPublicURL: https://masterdns343khhde.westus.cloudapp.azure.com/console/
  grantConfig:
    method: auto
  identityProviders:
  - challenge: true
    login: true
    mappingMethod: claim
    name: htpasswd_auth
    provider:
      apiVersion: v1
      file: /etc/origin/master/htpasswd
      kind: HTPasswdPasswordIdentityProvider

Fügen Sie unmittelbar nach den obigen Zeilen die folgenden Zeilen ein:Insert the following lines immediately after the preceding lines:

  - name: <App Registration Name>
    challenge: false
    login: true
    mappingMethod: claim
    provider:
      apiVersion: v1
      kind: OpenIDIdentityProvider
      clientID: <appId>
      clientSecret: <Strong Password>
      claims:
        id:
        - sub
        preferredUsername:
        - unique_name
        name:
        - name
        email:
        - email
      urls:
        authorize: https://login.microsoftonline.com/<tenant Id>/oauth2/authorize
        token: https://login.microsoftonline.com/<tenant Id>/oauth2/token

Stellen Sie sicher, dass der Text unter „identityProviders“ korrekt ausgerichtet ist.Make sure the text aligns correctly under identityProviders. Die Mandanten-ID können Sie mit dem folgenden CLI-Befehl ermitteln: az account showFind the tenant ID by using the following CLI command: az account show

Starten Sie die OpenShift-Masterdienste auf allen Masterknoten neu:Restart the OpenShift master services on all master nodes:

sudo /usr/local/bin/master-restart api
sudo /usr/local/bin/master-restart controllers

In der OpenShift-Konsole werden nun zwei Authentifizierungsoptionen angezeigt: „htpasswd_auth“ und [App-Registrierung].In the OpenShift console, you now see two options for authentication: htpasswd_auth and [App Registration].

Überwachen von OpenShift mit Azure Monitor-ProtokollenMonitor OpenShift with Azure Monitor logs

Zum Hinzufügen des Log Analytics-Agents zu OpenShift stehen drei Möglichkeiten zur Verfügung.There are three ways to add the Log Analytics agent to OpenShift.

  • Installieren des Log Analytics-Agents für Linux direkt auf jedem OpenShift-KnotenInstall the Log Analytics agent for Linux directly on each OpenShift node
  • Aktivieren der Azure Monitor-VM-Erweiterung auf jedem OpenShift-KnotenEnable Azure Monitor VM Extension on each OpenShift node
  • Installieren des Log Analytics-Agents als OpenShift-DaemongruppeInstall the Log Analytics agent as an OpenShift daemon-set

Ausführlichere Informationen finden Sie in den vollständigen Anweisungen.Read the full instructions for more details.

Konfigurieren von Metriken und ProtokollierungConfigure metrics and logging

Basierend auf dem Branch können die Azure Resource Manager-Vorlagen für OpenShift Container Platform und OKD als Teil der Installation Eingabeparameter für die Aktivierung von Metriken und die Protokollierung enthalten.Based on the branch, the Azure Resource Manager templates for OpenShift Container Platform and OKD may provide input parameters for enabling metrics and logging as part of the installation.

Das Marketplace-Angebot für OpenShift Container Platform umfasst zudem eine Option für die Aktivierung von Metriken und der Protokollierung während der Clusterinstallation.The OpenShift Container Platform Marketplace offer also provides an option to enable metrics and logging during cluster installation.

Wenn Metriken und die Protokollierung während der Installation des Clusters nicht aktiviert wurden, können sie später auf einfache Weise aktiviert werden.If metrics / logging wasn't enabled during the installation of the cluster, they can easily be enabled after the fact.

Mit Azure-CloudanbieterAzure Cloud Provider in use

Stellen Sie eine SSH-Verbindung mit dem Bastion-Knoten oder dem ersten Masterknoten her (basierend auf der verwendeten Vorlage und dem Branch), und verwenden Sie dazu die während der Bereitstellung angegebenen Anmeldeinformationen.SSH to the bastion node or first master node (based on template and branch in use) using the credentials provided during deployment. Geben Sie den folgenden Befehl ein:Issue the following command:

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True \
-e openshift_metrics_cassandra_storage_type=dynamic

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True \
-e openshift_logging_es_pvc_dynamic=true

Ohne Azure-CloudanbieterAzure Cloud Provider not in use

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True

Installieren von Open Service Broker für Azure (OSBA)Install Open Service Broker for Azure (OSBA)

Mit Open Service Broker für Azure (OSBA) können Sie Azure Cloud Services direkt über OpenShift bereitstellen.Open Service Broker for Azure, or OSBA, lets you provision Azure Cloud Services directly from OpenShift. OSBA ist eine Open Service Broker-API-Implementierung für Azure.OSBA in an Open Service Broker API implementation for Azure. Die Open Service Broker-API ist eine Spezifikation einer gemeinsamen Sprache für Cloudanbieter, die cloudbasierte Anwendungen zur Verwaltung von Clouddiensten unabhängig verwenden können.The Open Service Broker API is a spec that defines a common language for cloud providers that cloud native applications can use to manage cloud services without lock-in.

Anweisungen zum Installieren von OSBA auf OpenShift finden Sie hier: https://github.com/Azure/open-service-broker-azure#openshift-project-template.To install OSBA on OpenShift, follow the instructions located here: https://github.com/Azure/open-service-broker-azure#openshift-project-template.

Hinweis

Führen Sie nur die Schritte im Abschnitt zur OpenShift-Projektvorlage aus und nicht die Schritte des gesamten Abschnitts zur Installation.Only complete the steps in the OpenShift Project Template section and not the entire Installing section.

Nächste SchritteNext steps