Taken na implementatie

  • Artikel
  • 3 minuten om te lezen

Van toepassing op: ✔️ Virtuele Linux-heavy_check_mark: flexibele schaalsets

Nadat u een OpenShift-cluster hebt geïmplementeerd, kunt u extra items configureren. In dit artikel wordt het volgende beschreven:

  • Een aanmelding configureren met behulp van Azure Active Directory (Azure AD)
  • Logboeken configureren Azure Monitor OpenShift te bewaken
  • Metrische gegevens en logboekregistratie configureren
  • Open Service Broker for Azure (OSBA) installeren

Een aanmelding configureren met behulp van Azure Active Directory

Als u Azure Active Directory voor verificatie wilt gebruiken, moet u eerst een Azure AD-app-registratie maken. Dit proces omvat twee stappen: het maken van de app-registratie en het configureren van machtigingen.

Een app-registratie maken

Deze stappen gebruiken de Azure CLI om de app-registratie te maken en de GUI (portal) om de machtigingen in te stellen. Voor het maken van de app-registratie hebt u de volgende vijf gegevens nodig:

  • Weergavenaam: App-registratienaam (bijvoorbeeld OCPAzureAD)
  • Startpagina: URL van OpenShift-console (bijvoorbeeld https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Id-URI: URL van OpenShift-console (bijvoorbeeld https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Antwoord-URL: hoofd-openbare URL en de naam van de app-registratie (bijvoorbeeld https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD )
  • Wachtwoord: beveiligd wachtwoord (gebruik een sterk wachtwoord)

In het volgende voorbeeld wordt een app-registratie gemaakt met behulp van de voorgaande informatie:

az ad app create --display-name OCPAzureAD --homepage https://masterdns343khhde.westus.cloudapp.azure.com/console --reply-urls https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/hwocpadint --identifier-uris https://masterdns343khhde.westus.cloudapp.azure.com/console --password {Strong Password}

Als de opdracht is geslaagd, krijgt u een JSON-uitvoer die vergelijkbaar is met:

{
  "appId": "12345678-ca3c-427b-9a04-ab12345cd678",
  "appPermissions": null,
  "availableToOtherTenants": false,
  "displayName": "OCPAzureAD",
  "homepage": "https://masterdns343khhde.westus.cloudapp.azure.com/console",
  "identifierUris": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/console"
  ],
  "objectId": "62cd74c9-42bb-4b9f-b2b5-b6ee88991c80",
  "objectType": "Application",
  "replyUrls": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD"
  ]
}

Noteer de appId-eigenschap die wordt geretourneerd door de opdracht voor een latere stap.

In Azure Portal:

  1. Selecteer Azure Active Directory > App-registratie.

  2. Zoek naar uw app-registratie (bijvoorbeeld OCPAzureAD).

  3. Klik in de resultaten op de app-registratie.

  4. Selecteer onder Instellingen de optie Vereiste machtigingen.

  5. Selecteer onder Vereiste machtigingen de optie Toevoegen.

    App-registratie

  6. Klik op Stap 1: Selecteer API en klik vervolgens op Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory). Klik onderaan op Selecteren.

    Api voor app-registratie selecteren

  7. Selecteer in Stap 2: Machtigingen, selecteer Aanmelden en lees gebruikersprofiel onder Gedelegeerde machtigingen en klik vervolgens op Selecteren.

    Toegang tot app-registratie

  8. Selecteer Gereed.

OpenShift configureren voor Azure AD-verificatie

Als u OpenShift wilt configureren voor het gebruik van Azure AD als verificatieprovider, moet het bestand /etc/origin/master/master-config.yaml op alle hoofdknooppunten worden bewerkt.

Zoek de tenant-id met behulp van de volgende CLI-opdracht:

az account show

Zoek in het yaml-bestand de volgende regels:

oauthConfig:
  assetPublicURL: https://masterdns343khhde.westus.cloudapp.azure.com/console/
  grantConfig:
    method: auto
  identityProviders:
  - challenge: true
    login: true
    mappingMethod: claim
    name: htpasswd_auth
    provider:
      apiVersion: v1
      file: /etc/origin/master/htpasswd
      kind: HTPasswdPasswordIdentityProvider

Voeg de volgende regels in direct na de voorgaande regels:

  - name: <App Registration Name>
    challenge: false
    login: true
    mappingMethod: claim
    provider:
      apiVersion: v1
      kind: OpenIDIdentityProvider
      clientID: <appId>
      clientSecret: <Strong Password>
      claims:
        id:
        - sub
        preferredUsername:
        - unique_name
        name:
        - name
        email:
        - email
      urls:
        authorize: https://login.microsoftonline.com/<tenant Id>/oauth2/authorize
        token: https://login.microsoftonline.com/<tenant Id>/oauth2/token

Zorg ervoor dat de tekst correct wordt uitgelijnd onder identityProviders. Zoek de tenant-id met behulp van de volgende CLI-opdracht: az account show

Start de OpenShift-masterservices opnieuw op alle hoofdknooppunten:

sudo /usr/local/bin/master-restart api
sudo /usr/local/bin/master-restart controllers

In de OpenShift-console ziet u nu twee opties voor verificatie: htpasswd_auth en [App-registratie].

OpenShift bewaken met Azure Monitor logboeken

Er zijn drie manieren om de Log Analytics-agent toe te voegen aan OpenShift.

  • De Log Analytics-agent voor Linux rechtstreeks installeren op elk OpenShift-knooppunt
  • VM Azure Monitor extensie inschakelen op elk OpenShift-knooppunt
  • De Log Analytics-agent installeren als een OpenShift-daemonset

Lees de volledige instructies voor meer informatie.

Metrische gegevens en logboekregistratie configureren

Op basis van de vertakking kunnen de Azure Resource Manager voor OpenShift Container Platform en OKD invoerparameters bieden voor het inschakelen van metrische gegevens en logboekregistratie als onderdeel van de installatie.

De Marketplace-aanbieding voor OpenShift Container Platform biedt ook een optie voor het inschakelen van metrische gegevens en logboekregistratie tijdens de installatie van het cluster.

Als metrische gegevens/logboekregistratie niet zijn ingeschakeld tijdens de installatie van het cluster, kunnen ze later eenvoudig worden ingeschakeld.

Azure Cloud Provider in gebruik

SSH naar het bastion-knooppunt of eerste hoofd-knooppunt (op basis van sjabloon en vertakking in gebruik) met behulp van de referenties die tijdens de implementatie zijn opgegeven. Voer de volgende opdracht uit:

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True \
-e openshift_metrics_cassandra_storage_type=dynamic

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True \
-e openshift_logging_es_pvc_dynamic=true

Azure Cloud Provider niet in gebruik

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True

Open Service Broker for Azure (OSBA) installeren

Met Service Broker voor Azure of OSBA kunt u uw Azure Cloud Services rechtstreeks vanuit OpenShift inrichten. OSBA in een Open Service Broker API-implementatie voor Azure. De Open Service Broker-API is een specificatie die een algemene taal definieert voor cloudproviders die cloudeigen toepassingen kunnen gebruiken om cloudservices te beheren zonder dat ze zijn vergrendeld.

Volg de instructies hier om OSBA te installeren op OpenShift: https://github.com/Azure/open-service-broker-azure#openshift-project-template .

Notitie

Voltooi alleen de stappen in de sectie OpenShift Project sjabloon en niet de volledige sectie Installeren.

Volgende stappen