Üzembe helyezés utáni feladatok

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Az OpenShift-fürt üzembe helyezése után további elemeket is konfigurálhat. Ez a cikk a következőket ismerteti:

  • Egyszeri bejelentkezés konfigurálása az Azure Active Directory (Azure AD) használatával
  • Azure Monitor-naplók konfigurálása az OpenShift monitorozásához
  • Metrikák és naplózás konfigurálása
  • Az Open Service Broker for Azure (OSBA) telepítése

Egyszeri bejelentkezés konfigurálása az Azure Active Directory használatával

Az Azure Active Directory hitelesítéshez való használatához először létre kell hoznia egy Azure AD alkalmazásregisztrációt. Ez a folyamat két lépésből áll: az alkalmazásregisztráció létrehozásával és az engedélyek konfigurálásával.

Alkalmazásregisztráció létrehozása

Ezek a lépések az Azure CLI használatával hozzák létre az alkalmazásregisztrációt, a felhasználói felület (portál) pedig az engedélyeket. Az alkalmazásregisztráció létrehozásához az alábbi öt információra van szüksége:

  • Megjelenítendő név: Alkalmazásregisztráció neve (például OCPAzureAD)
  • Kezdőlap: OpenShift-konzol URL-címe (például https://masterdns343khhde.westus.cloudapp.azure.com/console)
  • Azonosító URI: OpenShift-konzol URL-címe (például https://masterdns343khhde.westus.cloudapp.azure.com/console)
  • Válasz URL-címe: Fő nyilvános URL-cím és az alkalmazásregisztráció neve (például https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD)
  • Jelszó: Biztonságos jelszó (erős jelszó használata)

Az alábbi példa az előző információk alapján hoz létre alkalmazásregisztrációt:

az ad app create --display-name OCPAzureAD --homepage https://masterdns343khhde.westus.cloudapp.azure.com/console --reply-urls https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/hwocpadint --identifier-uris https://masterdns343khhde.westus.cloudapp.azure.com/console --password {Strong Password}

Ha a parancs sikeres, a következőhöz hasonló JSON-kimenetet kap:

{
  "appId": "12345678-ca3c-427b-9a04-ab12345cd678",
  "appPermissions": null,
  "availableToOtherTenants": false,
  "displayName": "OCPAzureAD",
  "homepage": "https://masterdns343khhde.westus.cloudapp.azure.com/console",
  "identifierUris": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/console"
  ],
  "objectId": "62cd74c9-42bb-4b9f-b2b5-b6ee88991c80",
  "objectType": "Application",
  "replyUrls": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD"
  ]
}

Jegyezze fel a parancsból visszaadott appId tulajdonságot egy későbbi lépésben.

Az Azure Portalon:

  1. Válassza az Azure ActiveDirectory-alkalmazásregisztráció> lehetőséget.

  2. Keresse meg az alkalmazásregisztrációt (például OCPAzureAD).

  3. Az eredmények között kattintson az alkalmazásregisztrációra.

  4. A Beállítások területen válassza a Szükséges engedélyek lehetőséget.

  5. A Kötelező engedélyek területen válassza a Hozzáadás lehetőséget.

    Alkalmazásregisztráció

  6. Kattintson az 1. lépés: API kiválasztása elemre, majd a Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory) elemre. Kattintson a lenti Kiválasztás gombra.

    Alkalmazásregisztráció – API kiválasztása

  7. A 2. lépés: Engedélyek kiválasztása területen válassza a Bejelentkezés és felhasználói profil olvasása lehetőséget a Delegált engedélyek területen, majd kattintson a Kiválasztás gombra.

    Alkalmazásregisztrációs hozzáférés

  8. Válassza a Kész lehetőséget.

OpenShift konfigurálása Azure AD hitelesítéshez

Ahhoz, hogy az OpenShift Azure AD hitelesítésszolgáltatóként legyen konfigurálva, az /etc/origin/master/master-config.yaml fájlt minden főcsomóponton szerkeszteni kell.

Keresse meg a bérlőazonosítót a következő CLI-paranccsal:

az account show

A yaml-fájlban keresse meg a következő sorokat:

oauthConfig:
  assetPublicURL: https://masterdns343khhde.westus.cloudapp.azure.com/console/
  grantConfig:
    method: auto
  identityProviders:
  - challenge: true
    login: true
    mappingMethod: claim
    name: htpasswd_auth
    provider:
      apiVersion: v1
      file: /etc/origin/master/htpasswd
      kind: HTPasswdPasswordIdentityProvider

Szúrja be a következő sorokat közvetlenül az előző sorok után:

  - name: <App Registration Name>
    challenge: false
    login: true
    mappingMethod: claim
    provider:
      apiVersion: v1
      kind: OpenIDIdentityProvider
      clientID: <appId>
      clientSecret: <Strong Password>
      claims:
        id:
        - sub
        preferredUsername:
        - unique_name
        name:
        - name
        email:
        - email
      urls:
        authorize: https://login.microsoftonline.com/<tenant Id>/oauth2/authorize
        token: https://login.microsoftonline.com/<tenant Id>/oauth2/token

Győződjön meg arról, hogy a szöveg megfelelően igazodik az identityProviders alatt. Keresse meg a bérlőazonosítót a következő CLI-paranccsal: az account show

Indítsa újra az OpenShift-főszolgáltatásokat az összes főcsomóponton:

sudo /usr/local/bin/master-restart api
sudo /usr/local/bin/master-restart controllers

Az OpenShift konzolon most két hitelesítési lehetőség látható: htpasswd_auth és [Alkalmazásregisztráció].

OpenShift monitorozása Azure Monitor-naplókkal

A Log Analytics-ügynököt háromféleképpen lehet hozzáadni az OpenShifthez.

  • Telepítse a Linuxhoz készült Log Analytics-ügynököt közvetlenül minden OpenShift-csomópontra
  • Azure Monitor virtuálisgép-bővítmény engedélyezése minden OpenShift-csomóponton
  • A Log Analytics-ügynök telepítése OpenShift-démonkészletként

További részletekért olvassa el a teljes utasításokat .

Metrikák és naplózás konfigurálása

Az ág alapján az OpenShift-tárolóplatformhoz és az OKD-hez készült Azure Resource Manager-sablonok bemeneti paramétereket biztosíthatnak a metrikák és a naplózás telepítésének részeként történő engedélyezéséhez.

Az OpenShift Tárolóplatform Marketplace-ajánlata lehetővé teszi a metrikák és a naplózás engedélyezését a fürt telepítése során.

Ha a fürt telepítése során a metrikák/naplózás nem volt engedélyezve, a tény után egyszerűen engedélyezhetők.

Használatban lévő Azure Cloud Provider

SSH a megerősített csomóponthoz vagy az első fő csomóponthoz (a használatban lévő sablon és ág alapján) az üzembe helyezés során megadott hitelesítő adatokkal. Adja ki a következő parancsot:

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True \
-e openshift_metrics_cassandra_storage_type=dynamic

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True \
-e openshift_logging_es_pvc_dynamic=true

Az Azure Cloud Provider nincs használatban

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True

Az Open Service Broker for Azure (OSBA) telepítése

Az Azure-hoz készült Service Broker vagy OSBA megnyitásával közvetlenül az OpenShiftből építhet ki Azure Cloud Services. OSBA egy Open Service Broker API-implementációban az Azure-hoz. Az Open Service Broker API egy olyan specifikáció, amely meghatározza a felhőszolgáltatók általános nyelvét, amellyel a natív felhőalkalmazások zárolás nélkül kezelhetik a felhőszolgáltatásokat.

Az OSBA OpenShiftre való telepítéséhez kövesse az itt található utasításokat: https://github.com/Azure/open-service-broker-azure#openshift-project-template.

Megjegyzés

Csak az OpenShift-projektsablon szakaszban végezze el a lépéseket, a teljes Telepítés szakaszt nem.

Következő lépések