OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证 2.1. 用户 用户 2.2. 组 2.3. API 身份验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 服务器 3.2. OAUTH 令牌请求流量和响应 3.3. 内部 OAUTH 服务器选项 3.4. 配置内部 OAUTH 服务器的令牌期间 3.5. 为内部 OAUTH 服务器配置令牌不活跃超时

build error: failed to pull image 信息，您可以使用 以下方法之一解决这个错误： 创建一个输入 secret，其中包含构建器镜像的仓库和所有已知 mirror 系统的身份验证凭据。在本 例中，为到镜像 registry 及其 mirror 的凭证创建一个 pull secret。 使用输入 secret 作为 BuildConfig 对象上的 pull secret。 为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置： .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 2.3.4.2.1. 自 自动 动把源克隆 把源克隆 secret 添加到 添加到构 构建配置 建配置 BuildConfig，OpenShift Container Platform 可以自动填充其源克隆 secret 引用。这会使生成的构 建自动使用存储在引用的 secret 中的凭证与远程 Git 存储库进行身份验证，而无需进一步配置。 若要使用此功能，包含 Git 存储库凭证的一个 secret 必须存在于稍后创建 BuildConfig 的命名空间中。 此 secret 必须包含前缀为 build.openshift

为构建器 pod 提供了通常无权访问 的资源的访问权限，例如私有存储库或具有自签名或不可信 SSL 证书的存储库。 支持以下源克隆 secret 配置。 .gitconfig 文件 基本身份验证 SSH 密钥身份验证 可信证书颁发机构 注意 注意 您还可以组合使用这些配置来满足特定的需求。 3.4.2.1. 自 自动把源克隆 把源克隆 secret 添加到 添加到构建配置 建配置 创建 BuildConfig，OpenShift Container Platform 可以自动填充其源克隆 secret 引用。这会使生成的 Build 自动使用存储在引用的 Secret 中的凭证与远程 Git 存储库进行身份验证，而无需进一步配置。 若要使用此功能，包含 Git 存储库凭证的Secret 必须存在于稍后创建 BuildConfig 的命名空间中。此 Secret 还必须包含前缀为 build.openshift /var/run/secrets/openshift.io/source/ 文件夹。 3.4.2.5. 从源代 从源代码基本身份 基本身份验证创建 建 secret 基本身份验证需要 --username 和 --password 的组合或 token 才能与 SCM 服务器进行身份验证。 先决条件 先决条件 用于访问私有存储库的用户名和密码。 流程 流程 1. 先创建 secret，再使用用户名和密码访问私有存储库：

集成的OPENSHIFT CONTAINER PLATFORM REGISTRY 1.3. 第三方 REGISTRY 1.4. RED HAT QUAY REGISTRIES 1.5. 启用了身份验证的红帽 REGISTRY 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM中的 中的IMAGE REGISTRY OPERATOR 2.1. 云平台和 OPENSTACK 中的最小逻辑单元。pod 由一个或多个容器组成，可在 worker 节点上运行。 私有 私有 registry registry 是实现容器镜像 registry API 的服务器。私有 registry 是需要身份验证的 registry，允许用户 访问其内容。 公共 公共 registry registry 是实现容器镜像 registry API 的服务器。公共 registry 是以公开方式提供其内容的 Hat Quay Container Registry 实例，为 OpenShift Container Platform 集群提供大多数容器镜像和 Operator。 registry 身份 身份验证 验证 要将镜像推送 (push) 到私有镜像仓库，registry 需要根据凭据验证其用户。 route 公开服务，以允许从 OpenShift Container Platform 实例外的用户和应用程序对

证的集群 的集群简 简化的安装和更新体 化的安装和更新体验 验 此发行版本包括更改，用于改进安装和更新以手动模式使用 Cloud Credential Operator (CCO) 的集群进 行云供应商身份验证。oc adm release extract 命令的以下参数简化了云凭证的手动配置： --included 使用此参数只提取特定集群配置所需的清单。 如果您使用集群功能禁用一个或多个可选组件 前会显示一个"Cluster in STS Mode" 通知，以确保它正确运行。Operator 安装 安装页面也被修改，以添加所需的角色 角色 ARN 字段。如需更多信息，请参阅云供应商上的 Operator 的令牌 身份验证。 1.3.4.2. Developer Perspective (开 开发 发者 者视 视角 角) 在这个版本中，web 控制台的 Developer 视角有几个更新。现在您可以执行以下操作： 支持列表 支持列表 表 表 1.1. OpenShift Container Platform 功能 功能 功能 功能 IBM Power® IBM Z® 和 和 IBM® LinuxONE 备用身份验证供应商 支持 支持 使用 Local Storage Operator 自动设备发现 不支持 支持 使用机器健康检查功能自动修复损坏的机器 不支持 不支持 IBM Cloud 的云控制器管理器

管理员必须执行特定的任务以使最终用户可以连接到 View 桌面。 n 使用嵌入式 RSA SecurID 软件令牌第 7 页， 如果您创建 RSA SecurID 软件令牌并将其分发给最终用户，他们只需要输入 PIN 码即可进行身份验证， 不需要输入 PIN 码和令牌代码。 VMware, Inc. 5 n 支持的 View 桌面操作系统第 8 页， 管理员可以使用客户操作系统来创建虚拟机，并在客户操作系统中安装 View 文档中有关创建桌面池的主题。 n 要将双因素身份验证（如 RSA SecurID 或 RADIUS 身份验证）与 View Client 一起使用，您必须在 View 连接服务器上启用此功能。RADIUS 身份验证可用于 View 5.1 或更高版本的 View 连接服务器。有关详细 信息，请参阅《VMware View 管理指南》文档中有关双因素身份验证的主题。 n 为允许最终用户保存他们的 View re View 管理指南》文档 中“设置用户身份验证”一章中的“允许用户保存凭据”的主题。 n 确认桌面池是否设置为使用 PCoIP 显示协议。请参阅《VMware View 管理指南》文档。 使用嵌入式 RSA SecurID 软件令牌 如果您创建 RSA SecurID 软件令牌并将其分发给最终用户，他们只需要输入 PIN 码即可进行身份验证，不需 要输入 PIN 码和令牌代码。 设置要求

REGISTRY 常用术语表 1.2. 集成的 OPENSHIFT 镜像 REGISTRY 1.3. 第三方 REGISTRY 1.4. RED HAT QUAY REGISTRIES 1.5. 启用了身份验证的红帽 REGISTRY 第 第 2 章 章 OPENSHIFT CONTAINER PLATFORM中的 中的IMAGE REGISTRY OPERATOR 2.1. 云平台和 OPENSTACK 中的最小逻辑单元。pod 由一个或多个容器组成，可在 worker 节点上运行。 私有 私有 registry registry 是实现容器镜像 registry API 的服务器。私有 registry 是需要身份验证的 registry，允许用户 访问其内容。 公共 公共 registry registry 是实现容器镜像 registry API 的服务器。公共 registry 是以公开方式提供其内容的 像 registry OpenShift 镜像 registry 是 OpenShift Container Platform 提供的 registry，用于管理镜像。 registry 身份 身份验证 验证 要将镜像推送 (push) 到私有镜像仓库，registry 需要根据凭据验证其用户。 route 公开服务，以允许从 OpenShift Container Platform 实例外的用户和应用程序对

CLI(oc)。 您已设置了一个远程写入兼容端点（如 Thanos），并且知道端点 URL。有关与远程写入功能兼 容的端点的信息，请参阅 Prometheus 远程端点和存储文档。 您已为远程写入端点设置了身份验证凭证。 小心 小心 要降低安全风险，请避免在不使用加密 HTTP 的情况下通过未加密的 HTTP 向端点发送指标。 流程 流程 1. 编辑 openshift-monitoring 项目中的 data/config.yaml/prometheusK8s 下添加一个 remoteWrite: 部分。 3. 在本节中添加端点 URL 和身份验证凭证： 对于 endpoint_authentication_credentials，请替换端点的凭据。目前支持的身份验证方法是 $ oc -n openshift-monitoring edit configmap cluster-monitoring-config 前支持的身份验证方法是 基本身份验证 (basicAuth) 和客户端 TLS (tlsConfig) 身份验证。 以下示例配置基本身份验证： 相应地替换 和 。 以下示例显示了基本的身份验证配置，remoteWriteAuth 是 name 值，user 和 password 是 key 值。这些值包含端点身份验证凭证： 以下示例配置客户端

配置为在受限网络中使用，并可访问您配置的证书和凭证。 您已从 Red Hat OpenShift Cluster Manager 站点的 Pull Secret页面下载了 pull secret，并已修改 为包含镜像存储库身份验证信息。 流程 流程 在堡垒主机上完成以下步骤： 1. 查看 OpenShift Container Platform 下载页面，以确定您要安装的 OpenShift Container Platform 5.1. 管理镜像概述 您可通过 OpenShift Container Platform 与镜像交互并设置镜像流，具体取决于镜像 registry 所处的位 置、这些 registry 的任何身份验证要求以及您预期的构建和部署性能。 5.1.1. 镜像概述 镜像流包含由标签识别的任意数量的容器镜像。提供相关镜像的单一虚拟视图，类似于容器镜存储库。 通过监控镜像流，构建和部署可在添加或修改 Docker 客户端的 .dockercfg $HOME/.docker/config.json 文件是一个 Docker 凭证文件，如果您之前已 登录安全或不安全的 registry，则该文件会保存您的身份验证信息。 要拉取（pull）并非来自 OpenShift Container Platform 内部 registry 的安全容器镜像，您必须从 Docker 凭证创建一个 pull secret，并将其添加到您的服务帐户。

镜像拉取（pull）策略概述 5.4. 使用镜像 PULL SECRET 5.4.1. 允许 pod 在项目间引用镜像 5.4.2. 允许 Pod 引用其他安全 registry 中的镜像 5.4.2.1. 通过委托身份验证从私有 registry 拉取（pull） 5.4.3. 更新全局集群 pull secret 第 第 6 章 章 管理 管理镜 镜像流 像流 6.1. 为什么使用镜像流 6.2. 配置镜像流 使用镜像概述 12.2. 配置 JENKINS 镜像 12.2.1. 配置和自定义 12.2.1.1. OpenShift Container Platform OAuth 身份验证 12.2.1.2. Jenkins 身份验证 12.2.2. Jenkins 环境变量 12.2.3. 向 Jenkins 提供跨项目访问权限 12.2.4. Jenkins 跨卷挂载点 12.2.5. 通过 Source-to-image 5.1. 管理镜像概述 您可通过 OpenShift Container Platform 与镜像交互并设置镜像流，具体取决于镜像 registry 所处的位 置、这些 registry 的任何身份验证要求以及您预期的构建和部署性能。 5.1.1. 镜像概述 镜像流包含由标签识别的任意数量的容器镜像。提供相关镜像的单一虚拟视图，类似于容器镜存储库。 通过监控镜像流，构建和部署可在添加或修改