OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 121 123 124 124 124 125 126 127 127 127 127 128 128 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 134 138 150 156 156 162 167 172 176 189 目 目录 录 3 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 4 第 1 章 身份验证和授权概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 此术语表定义了 OpenShift Container

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator，即 Red Hat Operator 和经认证的 Operator。 一些 Red Hat Operator 用来提供集群功能，如调度程序和问题检测器。其他 Operator 则可供您自助管理 并在应用程序中使用，例如 etcd。OpenShift Container Platform 还提供由社区构建和维护并经过认证的 Operator 。这些经过认证的 Operator 为传统应用程序提供 API 的平台。您可以选择提供 免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator，即 Red Hat Operator 和经认证的 Operator。 一些 Red Hat Operator 用来提供集群功能，如调度程序和问题检测器。其他 Operator 则可供您自助管理 并在应用程序中使用，例如 etcd。OpenShift Container Platform 还提供由社区构建和维护并经过认证的 Operator 。这些经过认证的 Operator 为传统应用程序提供 API 的平台。您可以选择提供 免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE Red Hat Marketplace 是一个开源云市场，您可以在其中发现并访问在公共云和内部运行的基于容器的环 境的认证软件。 OpenShift Container Platform 4.9 构 构建 建应 应用程序 用程序 4 第 2 章 项目 2.1. 处理项目 通过项目（project），一个社区用 将应用程序打包为 chart 并共享。 6.1.2. 红帽 OpenShift Helm chart 认证 您可以选择由红帽为要在 Red Hat OpenShift Container Platform 上部署的所有组件验证并认证 Helm chart。图表采用自动化红帽 OpenShift 认证工作流，确保安全合规，以及与平台的最佳集成和经验。认 证可确保 chart 的完整性，并确保 Helm 集群上无缝工作。 6.1.3. 其他资源 有关如何将 Helm chart 认证为红帽合作伙伴的更多信息，请参阅 Red Hat Certification of Helm charts for OpenShift。 如需有关红帽合作伙伴 OpenShift 和容器认证指南的更多信息，请参阅 OpenShift 和容器认证合 作伙伴指南。 如需 chart 列表，请参阅 Red Hat Helm

Platform 集群的过程。 1.3. 使用 RED HAT MARKETPLACE Red Hat Marketplace 是一个开源云市场，您可以在其中发现并访问在公共云和内部运行的基于容器的环 境的认证软件。 OpenShift Container Platform 4.10 构 构建 建应 应用程序 用程序 4 第 2 章 项目 2.1. 处理项目 通过项目（project），一个社区 将应用程序打包为 chart 并共享。 7.1.2. 红帽 OpenShift Helm chart 认证 您可以选择由红帽为要在 Red Hat OpenShift Container Platform 上部署的所有组件验证并认证 Helm chart。图表采用自动化红帽 OpenShift 认证工作流，确保安全合规，以及与平台的最佳集成和经验。认 证可确保 chart 的完整性，并确保 Helm 集群上无缝工作。 7.1.3. 其他资源 有关如何将 Helm chart 认证为红帽合作伙伴的更多信息，请参阅 Red Hat Certification of Helm charts for OpenShift。 如需有关红帽合作伙伴 OpenShift 和容器认证指南的更多信息，请参阅 OpenShift 和容器认证合 作伙伴指南。 如需 chart 列表，请参阅 Red Hat Helm

INGRESS CONTROLLER 日志 6.7. 查看 INGRESS CONTROLLER 状态 6.8. 配置 INGRESS CONTROLLER 6.8.1. 设置自定义默认证书 6.8.2. 删除自定义默认证书 6.8.3. 扩展 Ingress Controller 6.8.4. 配置 Ingress 访问日志 6.8.5. Ingress Controller 分片 10 10 名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 一个 domain endpointPublishingStrategy 的值不能被更新。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls

Platform 中的主要组件源自 Red Hat Enterprise Linux（RHEL） 和相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件 的严格测试和认证计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 目录安装的 Operator。从 OperatorHub 安装 Operator 后，可全局或特定命名空间中在用户应 用程序中运行。 提供默认目录源，其中包括 Red Hat Operator、经过认证的 Operator 和社区 Operator。集群管理员也可 以添加自己的自定义目录源，这些源可以包含一组自定义的 Operator。 开发人员可以使用 Operator SDK 来帮助编写利用 平台。您可以选择提供免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版 本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

Platform 中的主要组件源自 Red Hat Enterprise Linux（RHEL） 和相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件 的严格测试和认证计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator。在从 OperatorHub 安装 Operator 后，可以以全局的方式或针对特定命 名空间，在用户应用程序中运行。 提供默认目录源，其中包括 Red Hat Operator、经过认证的 Operator 和社区 Operator。集群管理员也可 以添加自己的自定义目录源，这些源可以包含一组自定义的 Operator。 开发人员可以使用 Operator SDK 来帮助编写利用 平台。您可以选择提供免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版 本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 domain 值在所有 providerParameters.gcp.clientAccess 子字段。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls 指定路由器可以保存数据以查找匹配的路由的时长。 如果把这个值设置得太短，对于 edge-terminated, reencrypted, 或 passthrough 的路由，则可能会导致路由器回退到使用默认证书，即使 正在使用一个更加匹配的证书时也是如此。如果未设置，则默认检查延 迟为 5s。 tunnelTimeout 指定隧道连接在隧道闲置期间保持打开的时长，包括 websockets。如果未设置，则默认超时为

68 3. 获 获取 取 Ingress Operator 的 的证书 证书： ： 4. 使用以下命令 使用以下命令启 启用集群的默 用集群的默认证书 认证书来信任路由： 来信任路由： 5. 使用默 使用默认 认路由通 路由通过 过 podman 登 登录 录： ： 5.2. 手 手动 动公开受保 公开受保护 不受信任，则 则需要 需要--tls-verify=false 。您可以将一个自定 。您可以将一个自定义 义的 的 可信 可信证书设 证书设置 置为 为 Ingress Operator 的默 的默认证书 认证书。 。 使用自定 使用自定义 义路由公开 路由公开registry： ： 1. 使用路由的 使用路由的 TLS 密 密钥创 钥创建一个 建一个