入门
第 1 章 了解您的云部署选项
您可以使用您拥有的云帐户或在 Amazon Web Services (AWS) 或 Google Cloud Platform (GCP) 上安装 OpenShift Dedicated。本文档提供有关 OpenShift Dedicated 集群的云部署选项的详细信息。
1.1. OpenShift Dedicated 云部署选项概述
OpenShift Dedicated 将 OpenShift Container Platform 集群作为 Amazon Web Services (AWS) 或 Google Cloud Platform (GCP) 上的受管服务提供。
通过客户云订阅 (CCS) 模型,您可以在您拥有的现有 AWS 或 GCP 云帐户中部署集群。
另外,您可以在由红帽拥有的一个云帐户中安装 OpenShift Dedicated。
1.1.1. 使用客户云订阅 (CCS) 模型部署集群
客户云订阅 (CCS) 模型允许您在您拥有的现有 AWS 或 GCP 帐户中部署 Red Hat Managed OpenShift Dedicated 集群。为了提供此服务,红帽需要用户满足几个先决条件,Red Hat Site Reliability 工程师 (SRE) 支持这个服务。
在 CCS 模型中,客户直接为云成本支付云基础架构供应商,云基础架构帐户是客户拥有的机构的一部分,对红帽授予了特定访问权限。在此模式中,客户为 CCS 订阅支付红帽,并支付云供应商来实现云成本。
通过使用 CCS 模型,除了红帽提供的服务外,您还可以使用云供应商提供的服务。
1.1.2. 在 Red Hat 云帐户中部署集群
作为 CCS 模型的替代选择,您可以在 Red Hat 拥有的 AWS 或 GCP 云帐户中部署 OpenShift Dedicated 集群。通过这种模型,红帽负责云帐户,并且红帽直接支付云基础架构成本。客户只支付红帽订阅成本。
1.2. 后续步骤
第 2 章 OpenShift Dedicated 入门
按照以下步骤快速创建 OpenShift Dedicated 集群,授予用户访问权限、部署第一个应用程序,并了解如何扩展和删除集群。
2.1. 先决条件
- 您已参阅 OpenShift Dedicated 简介 以及 架构概念 的文档。
- 您已查看了 OpenShift Dedicated 云部署选项。
2.2. 创建 OpenShift Dedicated 集群
您可以通过客户云订阅 (CCS) 模型或红帽拥有的云供应商帐户安装 OpenShift Dedicated。如需有关 OpenShift Dedicated 部署选项的更多信息,请参阅了解您的云部署选项。
从以下方法中选择来部署集群。
2.2.1. 使用 CCS 模型创建集群
完成以下部分中的步骤,在您拥有的云帐户中部署 OpenShift Dedicated:
- 使用 CCS 在 AWS 上创建集群 :您可以使用 CCS 模型在您自己的 Amazon Web Services (AWS)帐户中安装 OpenShift Dedicated。
使用 CCS 在 GCP 上创建集群 :您可以使用 CCS 模型在您自己的 Google Cloud Platform (GCP)帐户中安装 OpenShift Dedicated。
- 红帽建议使用 GCP Workload Identity Federation (WIF)作为身份验证类型,以安装并与 Google Cloud Platform (GCP)上部署的 OpenShift Dedicated 集群交互,因为它提供了增强的安全性。如需更多信息,请参阅使用 Workload Identity Federation 在 GCP 上创建集群。
- 红帽还建议在带有 Private Service Connect (PSC)的 Private 集群模式中创建在 Google Cloud Platform (GCP)上部署的 OpenShift Dedicated 集群,以管理和监控集群以避免所有公共入口流量。如需更多信息,请参阅 私有服务连接概述。
- 有关使用服务帐户身份验证类型在 Google Cloud Platform (GCP) 上安装并与之交互,请参阅在 GCP 上创建集群。
2.2.2. 使用红帽云帐户创建集群
完成以下部分中的步骤,以在由红帽拥有的云帐户中部署 OpenShift Dedicated:
- 使用红帽云帐户在 AWS 上创建集群 :您可以在由红帽拥有的 AWS 帐户中安装 OpenShift Dedicated。
- 使用红帽云帐户在 GCP 上创建集群 :您可以在由红帽拥有的 GCP 帐户中安装 OpenShift Dedicated。
2.3. 配置身份提供程序
安装 OpenShift Dedicated 后,您必须将集群配置为使用身份提供程序。然后,您可以在身份提供程序中添加成员以授予它们对集群的访问权限。
您可以为 OpenShift Dedicated 集群配置不同的身份提供程序类型。支持的类型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 htpasswd 身份提供程序。
htpasswd 身份提供程序选项仅用于创建单一静态管理用户。htpasswd 不支持作为 OpenShift Dedicated 的通用身份提供程序。
以下流程将 GitHub 身份提供程序配置为示例。
配置 GitHub 身份验证后,用户可以使用 GitHub 凭证登录 OpenShift Dedicated。要防止具有任何 GitHub 用户 ID 的任何人登录到 OpenShift Dedicated 集群,您必须将访问权限限制为只有特定 GitHub 机构或团队中的访问。
先决条件
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
- 您有一个 GitHub 用户帐户。
- 您在 GitHub 帐户中创建了 GitHub 组织。如需更多信息,请参阅 GitHub 文档中的从头开始创建新机构。
- 如果要限制用户访问 GitHub 团队,您已在 GitHub 机构中创建了一个团队。如需更多信息,请参阅 GitHub 文档中的创建团队。
流程
- 进入到 OpenShift Cluster Manager 并选择您的集群。
- 选择 Access control → Identity provider。
- 从 Add identity provider 下拉菜单中选择 GitHub 身份提供程序类型。
- 输入身份提供程序的唯一名称。之后无法更改名称。
按照 GitHub 文档中的步骤,在 GitHub 机构中注册 OAuth 应用程序。
注意您必须在 GitHub 机构下注册 OAuth 应用程序。如果您注册了不属于集群用户或团队的组织拥有的 OAuth 应用程序,则集群的用户身份验证将无法成功。
对于 GitHub OAuth 应用程序配置中的主页 URL,请指定 OpenShift Cluster Manager 的 添加一个 GitHub 身份提供程序 页面中自动生成的 OAuth 回调 URL 的
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>
部分。以下是 GitHub 身份提供程序的主页 URL 示例:
https://oauth-openshift.apps.openshift-cluster.example.com
对于 GitHub OAuth 应用配置中的授权回调 URL,请指定 OpenShift Cluster Manager 上的 添加一个 GitHub 身份提供程序 页面中自动生成的完整 OAuth 回调 URL。完整的 URL 使用以下语法:
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
- 返回到 OpenShift Cluster Manager 中的 Edit identity provider: GitHub 对话框,然后从 Mapping method 下拉菜单中选择 Claim。
- 为 GitHub OAuth 应用程序输入 Client ID 和 Client secret。OAuth 应用的 GitHub 页面提供 ID 和 secret。
可选:输入主机名。
注意在使用托管 GitHub Enterprise 实例时,必须输入一个主机名。
- 可选: 您可以指定证书颁发机构 (CA) 文件来验证配置的 GitHub Enterprise URL 的服务器证书。点 Browse 找到并附加 CA 文件到身份提供程序。
- 选择 Use organizations 或 Use teams 以限制对机构中 GitHub 机构或 GitHub 团队的访问。
输入您要限制访问权限的机构或团队的名称。点 Add more 指定多个机构或团队。
注意指定的组织必须拥有使用前面的步骤注册的 OAuth 应用程序。如果指定了团队,它必须存在于拥有使用前面的步骤注册的 OAuth 应用程序的机构中。
点 Add 以应用身份提供程序配置。
注意激活身份提供商配置的过程可能需要大约两分钟。
验证
- 配置成为活跃后,身份提供程序会在集群的 OpenShift Cluster Manager 页面中的 Access control → Identity provider 下列出。
其他资源
- 有关配置每个支持的身份提供程序类型的详细步骤,请参阅 配置身份提供程序。
2.4. 为用户授予管理员权限
为集群配置身份提供程序并将用户添加到身份提供程序后,您可以为用户授予 dedicated-admin
集群特权。
先决条件
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
流程
- 进入到 OpenShift Cluster Manager 并选择您的集群。
- 点 Access control 选项卡。
- 在 Cluster Roles and Access 选项卡中,点 Add user。
- 输入身份提供程序用户的用户 ID。
-
点 Add user 为用户授予
dedicated-admin
集群特权。
验证
-
授予权限后,该用户被列为集群的 Access control → Cluster Roles and Access 下的
dedicated-admins
组的一部分。
其他资源
2.5. 访问集群
配置身份提供程序后,用户可从 Red Hat OpenShift Cluster Manager 访问集群。
先决条件
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
- 将您的用户帐户添加到配置的身份提供程序中。
流程
- 在 OpenShift Cluster Manager 中点您要访问的集群。
- 点 Open Console。
- 点身份提供程序,并提供您的凭证以登录到集群。
- 点 Open console 为集群打开 Web 控制台。
- 点身份提供程序,并提供您的凭证以登录到集群。完成您的供应商提供的任何授权请求。
2.6. 从 Developer Catalog 部署应用程序
在 OpenShift Dedicated web 控制台中,您可以从 Developer Catalog 部署测试应用程序,并使用路由公开它。
先决条件
- 已登陆到 Red Hat Hybrid Cloud Console。
- 您创建了 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
- 将您的用户帐户添加到配置的身份提供程序中。
流程
- 进入 OpenShift Cluster Manager 中的 Cluster List 页面。
- 点您要查看的集群旁的选项图标 (HBAC)。
- 点 Open console。
- 集群控制台将在新的浏览器窗口中打开。使用您配置的身份提供程序凭证登录到您的红帽帐户。
- 在 Administrator 视角中,选择 Home → Projects → Create Project。
- 输入项目的名称,并选择性地添加 Display Name 和 Description。
- 点 Create 以创建该项目。
- 切换到 Developer 视角并选择 +Add。验证所选项目是您刚才创建的项目。
- 在 Developer Catalog 对话框中,选择 All services。
- 在 Developer Catalog 页面中,从菜单中选择 Languages → JavaScript。
点 Node.js,然后点 Create 以打开 Create Source-to-Image 应用程序 页面。
注意您可能需要点 Clear All Filters 以显示 Node.js 选项。
- 在 Git 部分中,点 Try sample。
- 在 Name 字段中添加一个唯一名称。该值将用于命名关联的资源。
- 确认选择了 Deployment 和 Create a route。
- 点 Create 以部署应用。部署 pod 需要几分钟时间。
-
可选:选择 Node.js 应用程序并查看其边栏来检查 Topology 窗格中的 pod 状态。您必须等待
nodejs
构建完成,并且nodejs
Pod 处于 Running 状态,然后继续。 部署完成后,点应用程序的路由 URL,其格式类似如下:
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
浏览器中打开一个新标签页,其中包含类似如下的信息:
Welcome to your Node.js application on OpenShift
可选:删除应用程序并清理您创建的资源:
- 在 Administrator 视角中,进入 Home → Projects。
- 点项目的操作菜单,再选择 Delete Project。
2.7. 扩展集群
您可以从 OpenShift Cluster Manager 扩展负载均衡器、持久性存储容量和 OpenShift Dedicated 集群的节点数。
先决条件
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
流程
扩展负载均衡器的数量或持久性存储容量:
- 进入到 OpenShift Cluster Manager 并选择您的集群。
- 从 Actions 下拉菜单中选择 Edit load balancer 和 persistent storage。
- 选择您要缩放的负载均衡器数量。
- 选择您要扩展到的持久性存储容量。
- 点应用。自动扩展会自动发生。
扩展节点数:
- 进入到 OpenShift Cluster Manager 并选择您的集群。
- 从 Actions 下拉菜单中选择 Edit node count。
- 选择 机器池。
- 选择 每个区的节点数。
- 点应用。自动扩展会自动发生。
验证
- 在 Details 标题下的 Overview 选项卡中,您可以查看负载均衡器配置、持久性存储详情以及实际和所需节点数。
其他资源
- 有关机器池的详情,请参考 关于机器池。
- 有关为集群中的计算节点启用自动扩展的详细步骤,请参阅关于集群中的自动扩展节点。
2.8. 从用户撤销管理员权限
按照本节中的步骤从用户撤销 dedicated-admin
权限。
先决条件
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
-
为用户授予
dedicated-admin
权限。
流程
- 进入到 OpenShift Cluster Manager 并选择您的集群。
- 点 Access control 选项卡。
- 在 Cluster Roles and Access 选项卡中,选择用户旁的 并点 Delete。
验证
-
撤销权限后,用户将不再列为您的集群的 OpenShift Cluster Manager 页面中的 Access control → Cluster Roles and Access 下的
dedicated-admins
组的一部分。
2.9. 撤销对集群的用户访问权限
您可以将身份提供程序用户从配置的身份提供程序中删除来撤销集群访问权限。
您可以为 OpenShift Dedicated 集群配置不同类型的身份提供程序。以下示例流程为为集群配置身份的 GitHub 组织或团队的成员撤销集群访问权限。
先决条件
- 您有一个 OpenShift Dedicated 集群。
- 您有一个 GitHub 用户帐户。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
流程
- 进入 github.com 并登录到您的 GitHub 帐户。
从 GitHub 机构或团队中删除该用户:
- 如果您的身份提供程序配置使用 GitHub 组织,请按照 GitHub 文档中的从您的机构中删除成员的步骤进行操作。
- 如果您的身份提供程序配置使用 GitHub 机构中的团队,请按照 GitHub 文档中的从团队中删除机构成员的步骤进行操作。
验证
- 从身份提供程序中删除用户后,用户无法在集群中进行身份验证。
2.10. 删除集群
您可以在 Red Hat OpenShift Cluster Manager 中删除 OpenShift Dedicated 集群。
- 已登陆到 OpenShift Cluster Manager。
- 您创建了 OpenShift Dedicated 集群。
流程
- 在 OpenShift Cluster Manager 中,点您要删除的集群。
- 从 Actions 下拉菜单中选择 Delete cluster。
以粗体突出显示的集群名称,然后点 Delete。集群删除会自动进行。
注意如果您删除了安装到 GCP 共享 VPC 中的集群,请通知主机项目的 VPC 所有者,以删除在集群创建过程中引用的服务帐户的 IAM 策略角色。
2.11. 后续步骤
2.12. 其他资源
- 有关 OpenShift Dedicated 版本的生命周期结束日期的详情,请查看 OpenShift Dedicated 更新生命周期。
- 如需有关部署 OpenShift Dedicated 集群的更多信息,请参阅在 AWS 上创建集群 和在 GCP 上创建集群。
- 有关升级集群的文档,请参阅 OpenShift Dedicated 集群升级。
Legal Notice
Copyright © 2024 Red Hat, Inc.
OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).
Modified versions must remove all Red Hat trademarks.
Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.
Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.