15.3. 使用 podman RHEL 系统角色创建带有 secret 的 Quadlet 应用程序

流程

1. 显示证书和私钥文件的内容：

   $ cat ~/certificate.pem
   -----BEGIN CERTIFICATE-----
   ...
   -----END CERTIFICATE-----
   
   $ cat ~/key.pem
   -----BEGIN PRIVATE KEY-----
   ...
   -----END PRIVATE KEY-----

   Copy to Clipboard Toggle word wrap

   在后续步骤中需要此信息。

2. 将您的敏感变量存储在加密文件中：

   1. 创建 vault ：

      $ ansible-vault create vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>

      Copy to Clipboard Toggle word wrap

   2. 在 ansible-vault create 命令打开编辑器后，以 <key>: <value> 格式输入敏感数据：

      root_password: <root_password>
      certificate: |-
        -----BEGIN CERTIFICATE-----
        ...
        -----END CERTIFICATE-----
      key: |-
        -----BEGIN PRIVATE KEY-----
        ...
        -----END PRIVATE KEY-----

      Copy to Clipboard Toggle word wrap

      确保 certificate 和 key 变量中的所有行都以两个空格开头。

   3. 保存更改，并关闭编辑器。Ansible 加密 vault 中的数据。

3. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   - name: Deploy a wordpress CMS with MySQL database
     hosts: managed-node-01.example.com
     vars_files:
       - vault.yml
     tasks:
     - name: Create and run the container
       ansible.builtin.include_role:
         name: rhel-system-roles.podman
       vars:
         podman_create_host_directories: true
         podman_activate_systemd_unit: false
         podman_quadlet_specs:
           - name: quadlet-demo
             type: network
             file_content: |
               [Network]
               Subnet=192.168.30.0/24
               Gateway=192.168.30.1
               Label=app=wordpress
           - file_src: quadlet-demo-mysql.volume
           - template_src: quadlet-demo-mysql.container.j2
           - file_src: envoy-proxy-configmap.yml
           - file_src: quadlet-demo.yml
           - file_src: quadlet-demo.kube
             activate_systemd_unit: true
         podman_firewall:
           - port: 8000/tcp
             state: enabled
           - port: 9000/tcp
             state: enabled
         podman_secrets:
           - name: mysql-root-password-container
             state: present
             skip_existing: true
             data: "{{ root_password }}"
           - name: mysql-root-password-kube
             state: present
             skip_existing: true
             data: |
               apiVersion: v1
               data:
                 password: "{{ root_password | b64encode }}"
               kind: Secret
               metadata:
                 name: mysql-root-password-kube
           - name: envoy-certificates
             state: present
             skip_existing: true
             data: |
               apiVersion: v1
               data:
                 certificate.key: {{ key | b64encode }}
                 certificate.pem: {{ certificate | b64encode }}
               kind: Secret
               metadata:
                 name: envoy-certificates

   Copy to Clipboard Toggle word wrap

   该流程创建一个与 MySQL 数据库配对的 WordPress 内容管理系统。podman_quadlet_specs role 为 Quadlet 定义一组配置，它指向以某种方式一起工作的一组容器或服务。它包括以下规范：

   • Wordpress 网络由 quadlet-demo 网络单元定义。
   • MySQL 容器的卷配置由 file_src: quadlet-demo-mysql.volume 字段定义。
   • template_src: quadlet-demo-mysql.container.j2 字段用于生成 MySQL 容器的配置。
   • 两个 YAML 文件如下：file_src: envoy-proxy-configmap.yml 和 file_src: quadlet-demo.yml.请注意，.yml 不是一个有效的 Quadlet 单元类型，因此这些文件将只会被复制，不会作为 Quadlet 规范处理。
   • Wordpress 和 envoy 代理容器和配置由 file_src: quadlet-demo.kube 字段定义。kube 单元将之前 [Kube] 部分中的 YAML 文件称为 Yaml=quadlet-demo.yml 和 ConfigMap=envoy-proxy-configmap.yml。

4. 验证 playbook 语法：

   $ ansible-playbook --syntax-check --ask-vault-pass ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   请注意，这个命令只验证语法，不会防止错误但有效的配置。

5. 运行 playbook：

   $ ansible-playbook --ask-vault-pass ~/playbook.yml

   Copy to Clipboard Toggle word wrap