OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证 2.1. 用户 2.2. 组 2.3. API 身份验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 客户端 4.3. 为 OAUTH 客户端配置令牌不活跃超时 4.4. 其他资源 第 第 5 章 章 管理用 管理用户拥 户拥有的 有的 OAUTH 访问 访问令牌 令牌 5.1. 列出用户拥有的 OAUTH 访问令牌 5.2. 查看用户拥有的 OAUTH 访问令牌的详情 5.3. 删除用户拥有的 OAUTH 访问令牌 第 第 6 章 章 了解身份提供程序配置 了解身份提供程序配置 6.1. 关于

Rancher 用户手册 第 1 页 共 35 页 修订记录 版本 更改说明 更新人 日期 0.1 文档创建 Rancher 团队 2018/11/12 0.2 文档更新 Rancher 团队 2018/12/28 0.3 文档更新 Rancher 团队 2018/12/29 0.4 文档更新 Rancher 团队 浏览器输入 Rancher Server URL，选择 Log in with SAIC 登陆按钮(可通过本地管理员登录， 默认账户 admin,密码为安装时第一次设置的密码)。 2.2.2. 登录认证 点击“Log in with SAIC”登陆按钮后会跳转到三方的 SSO 验证系统，填写登陆信息。 Page 6 2.2.3. 登录跳转 成功登陆后将自动跳转回 Rancher Rancher UI 页面。 3. 镜像库凭证配置 3.1. 概述 如果是内网环境或者使用私有仓库的镜像，需要为 Rancher 配置镜像仓库凭证，在创建应 用时用于拉取镜像时认证。 3.2. 操作说明 具体操作说明如下： 3.2.1. 进入项目视图 通过页面左上角的下拉菜单切换到目标项目。 Page 7 3.2.2. 配置镜像库凭证 进

yourdomain.com 的管理员门户（将 的管理员门户（将reg.yourdomain.com更改为您的主机名 更改为您的主机名harbor.cfg）。请注意，默 ）。请注意，默 认管理员用户名 认管理员用户名/密码为 密码为admin / Harbor12345 6、上传镜像进行上传测试 、上传镜像进行上传测试 a、指定镜像仓库地址 、指定镜像仓库地址 vim /etc/docker/daemon 是VMware公司开源的企业级 公司开源的企业级DockerRegistry项目，项目地址为 项目，项目地址为https://github.com/vmware/harbor。其目 。其目 标是帮助用户迅速搭建一个企业级的 标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以 服务。它以Docker公司开源的 公司开源的registry为基础，提供了管理 为基础，提供了管理UI， ， 基于角色的访问控制 基于角色的访问控制 基于角色的访问控制(Role Based Access Control)， ，AD/LDAP集成、以及审计日志 集成、以及审计日志(Auditlogging) 等企业用户需求的功 等企业用户需求的功 能，同时还原生支持中文。 能，同时还原生支持中文。Harbor的每个组件都是以 的每个组件都是以Docker容器的形式构建的，使用 容器的形式构建的，使用Docker Compose来对它进行部

敏感数据泄露攻击................................................................................34 2.6.3 身份认证攻击........................................................................................35 2.6.4 ......................................................................................41 3.4Istio 认证策略绕过攻击............................................................................... 43 3.4.1 攻击场景介绍 .............................................................................45 图 17 绕过 Istio JWT 认证访问结果........................................................45 图 18 云原生应用保护能力建设架构图................

地表明，在高度虚拟化的环境中，即使每台物理主机支持的用户和虚拟机总数增加，VMware ESX 也能实现高性能吞吐。 VMware ESX 能够达到多快？100,000 IOPS 甚至更高！ I/O 是虚拟环境中最重要的性能瓶颈之一，但是即使 I/O 资源占用量最大的应用程序也可以 在 VMware ESX 上快速运行。因此，最终用户不会知道其应用程序是从虚拟环境提供的，而 且他们通常不会觉察到任何延迟或开销。VMware 中的 500 个磁盘驱动器的吞吐量。举例来说，要生成 100,000 IOPS 的 I/O 速率，将需要运行 200,000 个 Microsoft Exchange 邮箱（LoadGen 高负载用户配置模式）。 有了这样强大的性能，即使要求最为苛刻的工作负载也可以实现虚拟化。 其他供应商尝试展示自己的 I/O 性能，但是其测试结果都受到了批评，因为这些可疑的测试 配置并未基于实际的虚拟化情 更为有效的内存管理。 5 直接驱动程序体系结构的优势 在 VMware ESX 中，VMware ESX 直接驱动程序模型利用了经过认证和加强的 I/O 驱动程 序。这些驱动程序必须首先通过 VMware 和硬件供应商联合进行的严格测试和优化步骤，然 后才能被认证为可以与 VMware ESX 结合使用。将这些驱动程序包含在虚拟化管理程序中 后，VMware ESX 可以在 CPU 调度和内存资

• 解决微服务化后带来的问题 温饱问题 • 计算资源的快速分配 • 基本的监控 • 快速部署 • 易于分配的存储 • 易于访问的外围（负载均衡） • 服务注册和发现 致富问题 • 认证和授权 • 智能路由 • 流量管理 • 服务降级 • … • 微服务拆分原则 • 业务API设计 • 数据一致性保证 • 可扩展性考虑 • …Kubernetes对于微服务的支撑 Configmap、Secret 负载均衡 简单负载均衡，基于Iptables Roundrobin 流量控制 简单根据服务实例进行控制云平台微服务演进之基于API网关的微服务方案 API网关功能增强 • 安全认证 • 流量控制 • 审计日志 • 黑白名单 • …K8S集群 云平台微服务演进之基于Spring Cloud的微服务方案 NS A Service Zuul Nginx Eureka 智能路由（灰度、蓝绿） • 流量管理（超时、重试、熔断） • 故障处理 • 故障注入 • … Mixer • 前提条件检查：安全认证，黑白名单， ACL检查 • 限流管理 • 遥测报告：日志监控 控制平面 数据平面 Istio-Auth • 服务间认证 • 终端用户认证Istio的核心组件 • Envoy 是一个高性能轻量级代理，它掌控了service的入口流量和出口流量，它提供了很多内置功能，如动态负

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 序置备并由集群维护的基础架构中，也可以将集群部署到您自己准备和维护的基础架构中。 这两种基本类型的 OpenShift Container Platform 集群通常称为安装程序置备的基础架构集群和用户置备 的基础架构集群。 两种类型的集群都具有以下特征： 默认提供无单点故障的高可用性基础架构 管理员可以控制要应用的更新内容和更新的时间 两种类型的集群都使用同一个安装程序来部署。安装程序生成的主要资产是用于 台容器拉取镜像并向红帽提供 telemetry 数据。 在 OpenShift Container Platform 4.2 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 序置备并由集群维护的基础架构中，也可以将集群部署到您自己准备和维护的基础架构中。 这两种基本类型的 OpenShift Container Platform 集群通常称为安装程序置备的基础架构集群和用户置备 的基础架构集群。 两种类型的集群都具有以下特征： 默认提供无单点故障的高可用性基础架构 管理员可以控制要应用的更新内容和更新的时间 两种类型的集群都使用同一个安装程序来部署。安装程序生成的主要资产是用于 台容器拉取镜像并向红帽提供 telemetry 数据。 在 OpenShift Container Platform 4.3 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS Azure GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们

the property of their respective owners. 摘要 摘要 本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . 应用程序概述 用程序概述 1.1. 使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 DEVELOPER 视角创建应用程序 3.2. 从已安装的 OPERATOR 创建应用程序 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。