OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text of their respective owners. 摘要 摘要 本文档提供在 OpenShift Container Platform 中定义身份提供程序的说明。它还讨论如何配置基于角 色的访问控制来保护集群的安全。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证

Istio 项目，为创建部署的服务提供发现、负载均衡、服务对服务身份验证、故障 恢复、指标和监控的服务网络提供了便捷的方法。服务网格还提供更复杂的操作功能，其中包括 A/B 测 试、canary 发行版本、访问控制以及端到端验证。 1.1.2. 核心功能 Red Hat OpenShift Service Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服务标识和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略强制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.2. SERVICE MESH Hat OpenShift Service Mesh 版本 版本 2.2.3 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service

分布式追踪 4 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights 仍然会被存储，但不会在 Jaeger UI 中显 示。(TRACING-3139) 目前，分布式追踪平台(Tempo)在 IBM Z (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 7. 获取支持 如果您在执行本文档所述的某个流程或 OpenShift Container Platform 时遇到问题，请访问 红帽客户门户 网站。 通过红帽客户门户网站： 搜索或者浏览红帽知识库，了解与红帽产品相关的文章和解决方案。 提交问题单给红帽支持。 访问其他产品文档。 要识别集群中的问题，您可以在 OpenShift Cluster Manager 中使用 Insights。Insights

上运行的集群的用户定义的出站路由 1.2.2.5. 将集群安装到 vSphere 版本 7.0 1.2.2.6. 使用安装程序置备的基础架构在裸机上安装集群 1.2.2.7. 处理 AWS、Azure 和 GCP 上的云 API 访问的凭证请求 1.2.2.8. 指定 control plane 和计算节点的磁盘类型和大小 1.2.2.9. 对于 Azure 安装，增加了 control plane 节点的最小磁盘大小 1.2 Platform 4.6.20 程序漏洞修复更新 1.8.17.1. 更新 1.8.18. RHBA-2021:0753 - OpenShift Container Platform 4.6.21 程序漏洞修复更新 1.8.18.1. 更新 1.8.19. RHBA-2021:0825 - OpenShift Container Platform 4.6.22 程序漏洞修复更新 1.8.19.1 和 和 GCP 上的云 上的云 API 访问 访问的凭 的凭证请 证请求 求 现在，install-config.yaml 文件中有一个新的 credentialsMode 字段，它定义了如何为 OpenShift Container Platform 组件处理 CredentialsRequest 自定义资源，以便在 AWS、Azure 和 GCP 上访问云 API。现在，有 3 个可以配置的模式：

义的 的标签 标签和 和标签 标签（技 （技术预览 术预览） ） 现在，您可以在 Google Cloud Platform (GCP) 中配置用户定义的标签和标签，以对资源进行分组，以及 管理资源访问和成本。用户定义的标签只能应用到使用 OpenShift Container Platform 安装程序及其核心 组件创建的资源。用户定义的标签只能应用到使用 OpenShift Container Container Platform 4.14 中，为 oc login 命令提供了一个新的 oc 命令行 (CLI) 选项 -- web。 有了这个增强，您可以使用 Web 浏览器登录，因此您不需要将访问令牌插入到命令行中。 如需更多信息，请参阅使用 Web 浏览器登录到 OpenShift CLI。 1.3.5.3. oc new-build 的增 的增强 强 新的 oc CLI 标志 --import-mode CSI 卷 卷 功能 功能 IBM Power® IBM Z® 和 和 IBM® LinuxONE 克隆 支持 支持 扩展 支持 支持 Snapshot 支持 支持 1.3.8. 认证和授权 1.3.8.1. SCC 抢 抢占防止 占防止 在这个版本中，您可以要求工作负载使用特定的安全性上下文约束 (SCC)。通过设置特定的 SCC，您可 以防止您希望在集群中被另一个 SCC 抢占的

Platform 4.13 CI/CD 8 4 5 6 1 2 相对于构建过程能够处理文件的构建根目录的目录。 要从所引用镜像中复制文件的位置。 提供的可选 secret，如需要凭证才能访问输入镜像。 注意 注意 如果您的集群使用 ImageDigestMirrorSet、ImageTagMirrorSet 或 ImageContentSourcePolicy 对象来配置存储库镜像，则只能使用镜像的 的字符串，此文件将覆盖源存储库中可 能存在的任何 Dockerfile。 如果 ref 字段注明拉取请求，则系统将使用 git fetch 操作，然后 checkout FETCH_HEAD。 如果未提供 ref 值，OpenShift Container Platform 将执行浅克隆 ( --depth=1)。这时，仅下载与默认分支 （通常为 master）上最近提交相关联的文件。这将使存储库下载速度加快，但不会有完整的提交历史记 警告 警告 如果 Git 克隆操作要经过执行中间人 (MITM) TLS 劫持或重新加密被代理连接的代 理，该操作不起作用。 2.3.4.1. 使用代理 使用代理 如果 Git 存储库只能使用代理访问，您可以在构建配置的 source 部分中定义要使用的代理。您可以同时 配置要使用的 HTTP 和 HTTPS 代理。两个字段都是可选的。也可以在 NoProxy 字段中指定不应执行代 理的域。 注意

现、负 载平衡、服务对服务验证、故障恢复、指标和监控的功能。服务网格还提供更复杂的操作功能，其中包括 A/B 测试、canary 发行版本、速率限制、访问控制以及端到端验证。 1.2. 获取支持 如果您在执行本文档所述的某个流程时遇到问题，请访问红帽客户门户。您可通过该客户门户： 搜索或浏览红帽知识库，了解有关红帽产品的技术支持文章。 提交问题单给红帽支持。 注意 注意 在提交问题单的 在提交问题单的同时提供您的集群信息，可以帮助红帽支持为您进行排除故障。 这类信息可使用 oc adm must-gather 命令来收集。 唯一的集群 ID。 访问其他产品文档。 如果您对本文档有任何改进建议，或发现了任何错误，请访问 http://bugzilla.redhat.com，针对 OpenShift Container Platform 产品的 Documentation组件提交 Bugzilla 服务标识 务标识和安全性 和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 网格就可以对策略进行更改，而不需要修改应用程序代码。 遥 遥测 测 - 了解服务间的依赖关系以及服务间的网络数据流，从而可以快速发现问题。 1.3.3. Red

使用自定义构建器镜像 第 第 7 章 章 执 执行基本 行基本构 构建 建 7.1. 启动构建 7.2. 取消构建 7.3. 删除 BUILDCONFIG 7.4. 查看构建详情 7.5. 访问构建日志 第 第 8 章 章 触 触发 发和修改 和修改构 构建 建 8.1. 构建触发器 8.2. 构建 HOOK 第 第 9 章 章 执 执行高 行高级构 级构建 建 9.1. 设置构建资源 护构建 建 11.1. 在全局范围内禁用构建策略访问 11.2. 在全局范围内限制用户使用构建策略 11.3. 在项目范围内限制用户使用构建策略 第 第 12 章 章 构 构建配置 建配置资 资源 源 12.1. 构建控制器配置参数 12.2. 配置构建设置 第 第 13 章 章 构 构建故障排除 建故障排除 13.1. 解决资源访问遭到拒绝的问题 13.2. 服务证书生成失败 第 由一个或多个输入镜像和文件组成的数组。 对包含要复制的文件的镜像的引用。 源/目标路径的数组。 相对于构建过程能够处理文件的构建根目录的目录。 要从所引用镜像中复制文件的位置。 提供的可选 secret，如需要凭证才能访问输入镜像。 另外，如果输入镜像需要 pull secret，您可以将 pull secret 链接到构建所使用的服务帐户。默认情况下， 构建使用 builder 服务帐户。如果 secret 包含

或更早版本的集群日志记录升级到 OPENSHIFT LOGGING 5.X 10.2. 将 OPENSHIFT LOGGING 更新至当前版本 第 第 11 章 章 查 查看集群 看集群仪 仪表板 表板 11.1. 访问 ELASTISEARCH 和 OPENSHIFT LOGGING 仪表板 11.2. 关于 OPENSHIFT LOGGING 仪表板 11.3. LOGGING/ELASTICSEARCH 节点仪表板上的图表 容性。 1.1. 日志记录 5.4.9 此发行版本包括 OpenShift Logging 程序错误修复 5.4.9 。 1.1.1. 程序错误修复 在此次更新之前，Fluentd 收集器会警告未使用的配置参数。在这个版本中，删除了这些配置参 数及其警告信息。(LOG-3074) 在此次更新之前，Kibana 有一个固定的 24h OAuth cookie 过期时间，当 accessTokenInactivityTimeout Elasticsearch Operator 弃用通知 在日志记录子系统 5.4.3 中，Elasticsearch Operator 已被弃用，计划在以后的发行版本中删除。红帽将在 当前发行生命周期中提供对这个功能的程序漏洞修复和支持，但这个功能将不再获得改进，并将被删除。 作为使用 Elasticsearch Operator 管理默认日志存储的替代选择，您可以使用 Loki Operator。 1.6.2. 程序错误修复

目录 录 第 第 1 章 章 配置 配置 SAMPLES OPERATOR 1.1. 了解 SAMPLES OPERATOR 1.2. SAMPLES OPERATOR 配置参数 1.3. 访问 SAMPLES OPERATOR 配置 第 第 2 章 章 使用 使用带 带有一个 有一个备 备用 用 REGISTRY 的 的 SAMPLES OPERATOR 2.1. 关于镜像 REGISTRY 开始删除后，secret、镜像流和模板监控事件都会被忽略。 samplesRegistry 覆盖从中导入镜像的 registry。 注意 注意 在未显式设置 Samples Registry（如空字符串）或该 registry 已设置为 registry.redhat.io 时，如果没有拉取（pull）访问的 secret，则不会开始创建或更新 RHEL 内容。这两种情况下，镜 像导入将从需要凭证的 registry.redhat Samples Operator 版 本不同时，显示为 True。 1.3. 访问 SAMPLES OPERATOR 配置 您可使用所提供的参数来编辑文件，以此配置 Samples Operator。 先决条件 先决条件 安装 OpenShift 命令行界面 (CLI)，通常称为 oc。 流程 流程 访问 Samples Operator 配置： $ oc get configs.samples