2.2. コマンドラインを使用した OpenShift 4.x での Fuse Console のインストールおよびデプロイ
OpenShift 4.x では、次のデプロイメントオプションの 1 つを選択して、コマンドラインから Fuse Console をインストールおよびデプロイできます。
- cluster - Fuse Console は、OpenShift クラスターで複数の namespace (プロジェクト) 全体にデプロイされた Fuse アプリケーションを検索し、接続することができます。このテンプレートをデプロイするには、OpenShift クラスターの管理者ロールが必要です。
- ロールベースアクセス制御のあるクラスター - 設定可能なロールベースアクセス制御 (RBAC) のあるクラスターテンプレート。詳細は、OpenShift 4.x 上の Fuse Console のロールベースアクセス制御 を参照してください。
- namespace - Fuse Console は特定の OpenShift プロジェクト (namespace) にアクセスできます。このテンプレートをデプロイするには、OpenShift プロジェクトの管理者ロールが必要です。
- ロールベースアクセス制御のある namespace - 設定可能な RBAC のある namespace テンプレート。詳細は、OpenShift 4.x 上の Fuse Console のロールベースアクセス制御 を参照してください。
Fuse Console テンプレートのパラメーターリストを表示するには、以下の OpenShift コマンドを実行します。
oc process --parameters -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-namespace-os4.json
前提条件
- Fuse Console をインストールおよびデプロイする前に、OpenShift 4.x で Fuse Console をセキュア化するための証明書の生成 で説明されているとおりに、サービス署名認証局で署名されたクライアント証明書を生成している。
-
OpenShift クラスターの
cluster adminロールがある。 -
コンテナーイメージの
registry.redhat.ioを使用した認証 で説明されているように、registry.redhat.ioでの認証を設定している。 - OpenShift 4.x サーバーでの Fuse イメージストリームおよびテンプレートのインストール の説明どおりに、Fuse Console イメージストリーム (およびその他の Fuse イメージストリーム) がインストールされている。
手順
以下のコマンドを実行してすべてのテンプレートのリストを取得し、Fuse Console イメージストリームがインストールされていることを確認します。
oc get template -n openshift
任意で、すでにインストールされているイメージストリームを新しいリリースタグで更新する場合は、以下のコマンドを使用して openshift namespace に Fuse Console イメージをインポートします。
oc import-image fuse7/fuse-console-rhel8:1.10 --from=registry.redhat.io/fuse7/fuse-console-rhel8:1.10 --confirm -n openshift
以下のコマンドを実行して、Fuse Console の APP_NAME の値を取得します。
oc process --parameters -f TEMPLATE-FILENAME
ここで、
TEMPLATE-FILENAMEは以下のテンプレートのいずれかになります。クラスターテンプレート:
設定可能な RBAC のあるクラスターテンプレート:
namespace テンプレート:
設定可能な RBAC のある namespace テンプレート:
たとえば、設定可能な RBAC のあるクラスターテンプレートの場合は、以下のコマンドを実行します。
oc process --parameters -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-cluster-rbac.yml
以下のコマンドを使用して、OpenShift 4.x での Fuse Console のセキュア化 で生成した証明書からシークレットを作成し、Fuse Console にマウントします (APP_NAME は、Fuse Console アプリケーションの名前になります)。
oc create secret tls APP_NAME-tls-proxying --cert server.crt --key server.key
以下のコマンドを実行して、ローカルにコピーされた Fuse Console テンプレートをベースとした新しいアプリケーションを作成します。コマンドの myproject は OpenShift プロジェクトの名前、mytemp は Fuse Console テンプレートが含まれるローカルディレクトリーへのパス、myhost は Fuse Console にアクセスするホストの名前に置き換えます。
クラスターテンプレートの場合:
oc new-app -n myproject -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-cluster-os4.json -p ROUTE_HOSTNAME=myhost
RBAC テンプレートのあるクラスターの場合:
oc new-app -n myproject -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-cluster-rbac.yml -p ROUTE_HOSTNAME=myhost
namespace テンプレートの場合:
oc new-app -n myproject -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-namespace-os4.json
RBAC テンプレートのある namespace の場合:
oc new-app -n myproject -f https://raw.githubusercontent.com/jboss-fuse/application-templates/application-templates-2.1.0.fuse-7_13_0-00014-redhat-00001/fuse-console-namespace-rbac.yml
OpenShift Web コンソールを開くように Fuse Console を設定するには、以下のコマンドを実行して
OPENSHIFT_WEB_CONSOLE_URL環境変数を設定します。oc set env dc/${APP_NAME} OPENSHIFT_WEB_CONSOLE_URL=`oc get -n openshift-config-managed cm console-public -o jsonpath={.data.consoleURL}`以下のコマンドを実行して、Fuse Console デプロイメントの状態と URL を取得します。
oc status
- ブラウザーから Fuse Console にアクセスするには、手順 7. で返される URL (例: https://fuse-console.192.168.64.12.nip.io) を使用します。
2.2.1. OpenShift 4.x で Fuse Console をセキュア化するための証明書の生成
OpenShift 4.x で、Fuse Console プロキシーと Jolokia エージェントとの間の接続をセキュアにするには、Fuse Console をデプロイする前にクライアント証明書を生成する必要があります。サービス署名認証局の秘密鍵を使用して、クライアント証明書を署名する必要があります。
この手順は、コマンドラインを使用して Fuse Console をインストールおよびデプロイしている場合に のみ 実行する必要があります。Fuse Console Operator を使用している場合は、Fuse Console Operator がこのタスクを処理します。
各 OpenShift クラスターに別のクライアント証明書を生成し、署名する必要があります。複数のクラスターに同じ証明書を使用しないでください。
前提条件
-
OpenShift クラスターにアクセス可能な
cluster admin権限がある。 複数の OpenShift クラスターの証明書を生成し、現在のディレクトリーに別のクラスターの証明書を生成している場合は、以下のいずれかを実行して、現在のクラスターに別の証明書を生成するようにします。
-
現在のディレクトリーから既存の証明書ファイル (
ca.crt、ca.key、およびca.srl) を削除します。 別の作業ディレクトリーに移動します。たとえば、現在の作業ディレクトリーの名前が
cluster1の場合、新しいcluster2ディレクトリーを作成し、作業ディレクトリーをそのディレクトリーに変更します。mkdir ../cluster2cd ../cluster2
-
現在のディレクトリーから既存の証明書ファイル (
手順
cluster admin 権限を持つユーザーとして OpenShift にログインします。
oc login -u <user_with_cluster_admin_role>
以下のコマンドを実行して、サービス署名認証局のキーを取得します。
以下を実行して、証明書を取得します。
oc get secrets/signing-key -n openshift-service-ca -o "jsonpath={.data['tls\.crt']}" | base64 --decode > ca.crt以下を実行して、秘密鍵を取得します。
oc get secrets/signing-key -n openshift-service-ca -o "jsonpath={.data['tls\.key']}" | base64 --decode > ca.key
Kubernetes certificates administration の説明にしたがって、
easyrsa、openssl、またはcfsslを使用して、クライアント証明書を生成します。以下に、openssl を使用したコマンドの例を示します。
秘密鍵を生成します。
openssl genrsa -out server.key 2048
CSR 設定ファイルを作成します。
cat <<EOT >> csr.conf [ req ] default_bits = 2048 prompt = no default_md = sha256 distinguished_name = dn [ dn ] CN = fuse-console.fuse.svc [ v3_ext ] authorityKeyIdentifier=keyid,issuer:always keyUsage=keyEncipherment,dataEncipherment,digitalSignature extendedKeyUsage=serverAuth,clientAuth EOT
ここでは、
CNパラメーターの値はアプリケーション名とアプリケーションが使用する namespace を参照します。CSR を生成します。
openssl req -new -key server.key -out server.csr -config csr.conf
署名済みの証明書を発行します。
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000 -extensions v3_ext -extfile csr.conf
次のステップ
コマンドラインを使用した OpenShift 4.x での Fuse Console のインストールおよびデプロイ で説明されているように、Fuse Console のシークレットを作成するには、この証明書が必要です。
