Uppgifter efter distributionen

  • Artikel
  • 3 minuter för att läsa

Gäller för: ✔️ Virtuella Linux-datorer:heavy_check_mark: Flexibla skalningsuppsättningar

När du har distribuerat ett OpenShift-kluster kan du konfigurera ytterligare objekt. I den här artikeln beskrivs:

  • Så här konfigurerar du enkel inloggning med hjälp av Azure Active Directory (Azure AD)
  • Så här konfigurerar du Azure Monitor för att övervaka OpenShift
  • Så här konfigurerar du mått och loggning
  • Så här installerar du Open Service Broker för Azure (OSBA)

Konfigurera enkel inloggning med hjälp av Azure Active Directory

Om du Azure Active Directory för autentisering måste du först skapa en Azure AD-appregistrering. Den här processen omfattar två steg: att skapa appregistreringen och konfigurera behörigheter.

Skapa en appregistrering

De här stegen använder Azure CLI för att skapa appregistreringen och det grafiska användargränssnittet (portalen) för att ange behörigheterna. För att skapa appregistreringen behöver du följande fem uppgifter:

  • Visningsnamn: Appregistreringsnamn (till exempel OCPAzureAD)
  • Startsida: Url för OpenShift-konsolen (till exempel https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Identifierar-URI: OpenShift-konsolens URL (till exempel https://masterdns343khhde.westus.cloudapp.azure.com/console )
  • Svars-URL: Master offentlig URL och appregistreringsnamnet (till exempel https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD )
  • Lösenord: Skydda lösenord (använd ett starkt lösenord)

I följande exempel skapas en appregistrering med hjälp av föregående information:

az ad app create --display-name OCPAzureAD --homepage https://masterdns343khhde.westus.cloudapp.azure.com/console --reply-urls https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/hwocpadint --identifier-uris https://masterdns343khhde.westus.cloudapp.azure.com/console --password {Strong Password}

Om kommandot lyckas får du JSON-utdata som liknar följande:

{
  "appId": "12345678-ca3c-427b-9a04-ab12345cd678",
  "appPermissions": null,
  "availableToOtherTenants": false,
  "displayName": "OCPAzureAD",
  "homepage": "https://masterdns343khhde.westus.cloudapp.azure.com/console",
  "identifierUris": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/console"
  ],
  "objectId": "62cd74c9-42bb-4b9f-b2b5-b6ee88991c80",
  "objectType": "Application",
  "replyUrls": [
    "https://masterdns343khhde.westus.cloudapp.azure.com/oauth2callback/OCPAzureAD"
  ]
}

Anteckna appId-egenskapen som returneras från kommandot för ett senare steg.

I Azure-portalen:

  1. Välj Azure Active Directory > appregistrering.

  2. Sök efter din appregistrering (till exempel OCPAzureAD).

  3. Klicka på appregistreringen i resultatet.

  4. Under Inställningar väljer du Nödvändiga behörigheter.

  5. Under Nödvändiga behörigheter väljer du Lägg till.

    Appregistrering

  6. Klicka på Steg 1: Välj API och klicka sedan Windows Azure Active Directory (Microsoft.Azure.ActiveDirectory). Klicka Välj längst ned.

    Välj API för appregistrering

  7. I Steg 2: Välj Behörigheter väljer du Logga in och läsa användarprofil under Delegerade behörigheter och klickar sedan på Välj.

    Åtkomst till appregistrering

  8. Välj Klar.

Konfigurera OpenShift för Azure AD-autentisering

För att OpenShift ska kunna använda Azure AD som autentiseringsprovider måste filen /etc/origin/master/master-config.yaml redigeras på alla huvudnoder.

Hitta klientorganisations-ID:t med hjälp av följande CLI-kommando:

az account show

I yaml-filen hittar du följande rader:

oauthConfig:
  assetPublicURL: https://masterdns343khhde.westus.cloudapp.azure.com/console/
  grantConfig:
    method: auto
  identityProviders:
  - challenge: true
    login: true
    mappingMethod: claim
    name: htpasswd_auth
    provider:
      apiVersion: v1
      file: /etc/origin/master/htpasswd
      kind: HTPasswdPasswordIdentityProvider

Infoga följande rader direkt efter föregående rader:

  - name: <App Registration Name>
    challenge: false
    login: true
    mappingMethod: claim
    provider:
      apiVersion: v1
      kind: OpenIDIdentityProvider
      clientID: <appId>
      clientSecret: <Strong Password>
      claims:
        id:
        - sub
        preferredUsername:
        - unique_name
        name:
        - name
        email:
        - email
      urls:
        authorize: https://login.microsoftonline.com/<tenant Id>/oauth2/authorize
        token: https://login.microsoftonline.com/<tenant Id>/oauth2/token

Kontrollera att texten justeras korrekt under identityProviders. Hitta klientorganisations-ID:t med hjälp av följande CLI-kommando: az account show

Starta om OpenShift-huvudtjänsterna på alla huvudnoder:

sudo /usr/local/bin/master-restart api
sudo /usr/local/bin/master-restart controllers

I OpenShift-konsolen visas nu två alternativ för autentisering: htpasswd_auth och [Appregistrering].

Övervaka OpenShift med Azure Monitor loggar

Det finns tre sätt att lägga till Log Analytics-agenten i OpenShift.

  • Installera Log Analytics-agenten för Linux direkt på varje OpenShift-nod
  • Aktivera Azure Monitor VM-tillägg på varje OpenShift-nod
  • Installera Log Analytics-agenten som en OpenShift-daemon-uppsättning

Läs de fullständiga anvisningarna för mer information.

Konfigurera mått och loggning

Baserat på -grenen kan Azure Resource Manager för OpenShift Container Platform och OKD tillhandahålla indataparametrar för att aktivera mått och loggning som en del av installationen.

Marketplace-erbjudandet för OpenShift Container Platform innehåller också ett alternativ för att aktivera mått och loggning under klusterinstallationen.

Om mått/loggning inte aktiverades under installationen av klustret kan de enkelt aktiveras i efterhand.

Azure-molnleverantör som används

SSH till skyddsnoden eller den första huvudnoden (baserat på mall och gren som används) med de autentiseringsuppgifter som angavs under distributionen. Utfärda följande kommando:

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True \
-e openshift_metrics_cassandra_storage_type=dynamic

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True \
-e openshift_logging_es_pvc_dynamic=true

Azure Cloud Provider används inte

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-metrics/config.yml \
-e openshift_metrics_install_metrics=True

ansible-playbook /usr/share/ansible/openshift-ansible/playbooks/openshift-logging/config.yml \
-e openshift_logging_install_logging=True

Installera Open Service Broker för Azure (OSBA)

Med Service Broker för Azure, eller OSBA, kan du etablera Azure Cloud Services direkt från OpenShift. OSBA i en Open Service Broker API-implementering för Azure. Open Service Broker-API:et är en specifikation som definierar ett gemensamt språk för molnleverantörer som molnbaserade program kan använda för att hantera molntjänster utan inlåsning.

Om du vill installera OSBA på OpenShift följer du anvisningarna här: https://github.com/Azure/open-service-broker-azure#openshift-project-template .

Anteckning

Slutför bara stegen i avsnittet OpenShift Project Template och inte i hela avsnittet Installera.

Nästa steg