OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text CONTAINER PLATFORM 中的身份验证 1.3. 关于 OPENSHIFT CONTAINER PLATFORM 中的授权 第 第 2 章 章 了解身份 了解身份验证 验证 2.1. 用户 2.2. 组 2.3. API 身份验证 第 第 3 章 章 配置内部 配置内部 OAUTH 服 服务 务器 器 3.1. OPENSHIFT CONTAINER PLATFORM OAUTH 客户端 4.3. 为 OAUTH 客户端配置令牌不活跃超时 4.4. 其他资源 第 第 5 章 章 管理用 管理用户拥 户拥有的 有的 OAUTH 访问 访问令牌 令牌 5.1. 列出用户拥有的 OAUTH 访问令牌 5.2. 查看用户拥有的 OAUTH 访问令牌的详情 5.3. 删除用户拥有的 OAUTH 访问令牌 第 第 6 章 章 了解身份提供程序配置 了解身份提供程序配置 6.1. 关于

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 序置备并由集群维护的基础架构中，也可以将集群部署到您自己准备和维护的基础架构中。 这两种基本类型的 OpenShift Container Platform 集群通常称为安装程序置备的基础架构集群和用户置备 的基础架构集群。 两种类型的集群都具有以下特征： 默认提供无单点故障的高可用性基础架构 管理员可以控制要应用的更新内容和更新的时间 两种类型的集群都使用同一个安装程序来部署。安装程序生成的主要资产是用于 台容器拉取镜像并向红帽提供 telemetry 数据。 在 OpenShift Container Platform 4.2 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 序置备并由集群维护的基础架构中，也可以将集群部署到您自己准备和维护的基础架构中。 这两种基本类型的 OpenShift Container Platform 集群通常称为安装程序置备的基础架构集群和用户置备 的基础架构集群。 两种类型的集群都具有以下特征： 默认提供无单点故障的高可用性基础架构 管理员可以控制要应用的更新内容和更新的时间 两种类型的集群都使用同一个安装程序来部署。安装程序生成的主要资产是用于 台容器拉取镜像并向红帽提供 telemetry 数据。 在 OpenShift Container Platform 4.3 中，您可以在以下平台上安装使用用户置备的基础架构集群： AWS Azure GCP VMware vSphere 裸机 在用户置备的基础架构上安装，每台机器都可拥有完整的互联网访问能力，您可以将集群放置在代理后 面，也可以执行受限网络安装。在受限网络安装中，您可以下载安装集群所需的镜像（image），将它们

the property of their respective owners. 摘要 摘要 本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . 应用程序概述 用程序概述 1.1. 使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 DEVELOPER 视角创建应用程序 3.2. 从已安装的 OPERATOR 创建应用程序 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。

the property of their respective owners. 摘要 摘要 本文档说明如何通过不同方式创建和管理在 OpenShift Container Platform 上运行的用户置备应用程 序实例。这包括处理项目以及使用 Open Service Broker API 置备应用程序。 . . . . . . . . . . . . . . . . . . . . . . 应用程序概述 用程序概述 1.1. 使用项目 1.2. 处理应用程序 1.3. 使用 RED HAT MARKETPLACE 第 第 2 章 章 项 项目 目 2.1. 处理项目 2.2. 以其他用户身份创建项目 2.3. 配置项目创建 第 第 3 章 章 创 创建 建应 应用程序 用程序 3.1. 使用 DEVELOPER 视角创建应用程序 3.2. 从已安装的 OPERATOR 创建应用程序 授予或撤销对项目的访问权限，并为用户管理集群角色。您 还可以在创建用于自动置备新项目的项目模板时编辑项目配置资源。 使用 CLI，您可以通过模拟对 OpenShift Container Platform API 的请求来以不同的用户创建项目。当您 请求创建新项目时，OpenShift Container Platform 会使用一个端点来根据自定义模板来置备项目。作为 集群管理员，您可以选择阻止经过身份验证的用户组自助置备新项目。

INGRESS CONTROLLER 日志 6.7. 查看 INGRESS CONTROLLER 状态 6.8. 配置 INGRESS CONTROLLER 6.8.1. 设置自定义默认证书 6.8.2. 删除自定义默认证书 6.8.3. 扩展 Ingress Controller 6.8.4. 配置 Ingress 访问日志 6.8.5. Ingress Controller 分片 10 10 主机网络访问，则将授予 pod 对底层网络基础架构的访问权限。 1.1. OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod 可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 一个 domain 值在所有 Ingress 控制器中需要是唯一的，且不能更新。 如果为空，默认值为

3.1. OPENSHIFT CONTAINER PLATFORM 安装概述 3.1.1. OpenShift 集群支持的平台 3.1.2. 安装过程 采用安装程序置备的基础架构的安装过程 采用用户置备的基础架构的安装过程 安装过程详细信息 安装范围 3.2. 关于 OPENSHIFT UPDATE 服务 3.3. 非受管 OPERATOR 的支持策略 3.4. 后续步骤 第 第 4 章 安装程序 使用以下方法之一来安装集群： 安装程序置备的基础架构 用户置备的基础架构 1.2. 关于 CONTROL PLANE control plane 管理集群中的 worker 节点和 pod。您可以使用机器配置池(MCP)配置节点。MCPS 是基于 它们处理的资源的机器组，如 control plane 组件或用户工作负载。OpenShift 容器平台为主机分配不同的 角色。这些角色定义机器在集群中的功能。集群包含标准 CoreOS(RHCOS)： 安装程序置备的部署 用户置备的基础架构部署 OpenShift Container Platform 安装程序创建部署集群所需的 Ignition 配置文件。Red Hat Enterprise Linux CoreOS(RHCOS)在初始配置过程中使用 Ignition 来执行常见磁盘任务，如分区、格式化、写入文 件和配置用户。在第一次启动过程中，Ignition 将从

访问 访问策略 策略 组角色，用于指明集群内的用户、应用程序和实体如何与另一个角色进行交互。访问策略会增加集群 安全性。 准入插件 准入插件 准入插件强制执行安全策略、资源限制或配置要求。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 只有批准的用户访问集群。要与 OpenShift Container OpenShift Container Platform Update Service 的 Operator，它根据图中的当前组件版本和信息 查看有效的更新和更新路径。 Compute 节 节点 点 负责执行集群用户工作负载的节点。Compute 节点也称为 worker 节点。 配置偏移 配置偏移 在节点上配置与机器配置指定的内容不匹配的情况。 containers 包括软件及其所有依赖项的轻量级和可 Kubernetes 体验。 第 第 1 章 章 架 架构 构概述 概述 3 部署 部署 维护应用程序生命周期的 Kubernetes 资源对象。 Docker 包含要在终端执行以编译镜像的用户命令的文本文件。 托管 托管 control plane OpenShift Container Platform 功能，允许从其 data plane 和 worker 在 OpenShift

主机网络访问，则将授予 pod 对底层网络基础架构的访问权限。 1.1. OPENSHIFT CONTAINER PLATFORM DNS 如果您运行多个服务，比如使用多个 pod 的前端和后端服务，则要为用户名和服务 IP 等创建环境变量， 使前端 pod 可以跟后端服务通信。如果删除并重新创建服务，可以为该服务分配一个新的 IP 地址，而且 需要重新创建前端 pod 来获取服务 IP 环境变量的更新值。另外，必须在任何前端 网络的常见术语表 该术语表定义了在网络内容中使用的常用术语。 身份 身份验证 验证 为了控制对 OpenShift Container Platform 集群的访问，集群管理员可以配置用户身份验证，并确保 只有批准的用户访问集群。要与 OpenShift Container Platform 集群交互，您必须对 OpenShift Container Platform API 进行身份验证。您可以通过在您对 您可以将容限应用到 pod。容限 (toleration) 允许调度程序调度具有匹配污点的 pod。 Web 控制台 控制台 用于管理 OpenShift Container Platform 的用户界面(UI)。 第 第 1 章 章 了解网 了解网络 络 9 第 2 章 访问主机 了解如何创建堡垒主机来访问 OpenShift Container Platform 实例，以及使用安全 shell

其他资源 第 第 3 章 章 设 设置和配置 置和配置 REGISTRY 3.1. 为 AWS 用户置备的基础架构配置 REGISTRY 3.2. 为 GCP 用户置备的基础架构配置 REGISTRY 3.3. 为 OPENSTACK 用户置备的基础架构配置 REGISTRY 3.4. 为 AZURE 用户置备的基础架构配置 REGISTRY 3.5. 为 RHOSP 配置 REGISTRY 3.6 由一个或多个容器组成，可在 worker 节点上运行。 私有 私有 registry registry 是实现容器镜像 registry API 的服务器。私有 registry 是需要身份验证的 registry，允许用户 访问其内容。 公共 公共 registry registry 是实现容器镜像 registry API 的服务器。公共 registry 是以公开方式提供其内容的 registry。 Quay registry，用于管理镜像。 registry 身份 身份验证 验证 要将镜像推送 (push) 到私有镜像仓库，registry 需要根据凭据验证其用户。 route 公开服务，以允许从 OpenShift Container Platform 实例外的用户和应用程序对 pod 进行网络访问。 缩减 缩减（ （scale down） ） 减少副本数。 扩 扩展（ 展（scale up） ） 增加副本数量。