第 2 章 安装 Cryostat
您可以使用 Operator Lifecycle Manager (OLM)在 Red Hat OpenShift 上的项目中安装 Red Hat build of Cryostat Operator。
安装 Red Hat build of Cryostat Operator 后,您可以使用 Red Hat OpenShift web 控制台中的 Web 控制台创建 Cryostat 实例。
您还可以从红帽生态系统目录下载最新的 Cryostat 组件镜像。
2.1. 使用 Red Hat build of Cryostat Operator 在 Red Hat OpenShift 上安装 Cryostat
您可以使用 Operator Lifecycle Manager (OLM)在 Red Hat OpenShift 集群的项目中安装 Red Hat build of Cryostat Operator。您可以使用 Red Hat build of Cryostat Operator 创建单个命名空间或多命名空间 Cryostat 实例。您可以使用可从 Red Hat OpenShift Web 控制台访问的 GUI 来控制这些实例。
如果需要将 Red Hat build of Cryostat Operator 订阅从 Cryostat 2.0 升级到 Cryostat 3.0,您必须将更新频道从 stable-2.0 改为 stable。
先决条件
- 创建 OpenShift Container Platform 4.12 或更高版本集群。
- 创建具有在项目中安装 Red Hat build of Cryostat Operator 权限的 Red Hat OpenShift 用户帐户。
- 在集群中安装了 Operator Lifecycle Manager (OLM)。
使用 Red Hat OpenShift 的 cert-manager Operator 安装了 cert-manager。
- 如果使用 OpenShift Container Platform 4.12 或更高版本,您可以为 Red Hat OpenShift 安装 cert-manager Operator。如需更多信息,请参阅 Red Hat OpenShift (OpenShift Container Platform)的 cert-manager Operator。
- 使用 Red Hat OpenShift Web 控制台登录到 Red Hat OpenShift。
流程
- 在您的浏览器中,使用 Web 控制台进入到 Home > Projects。
- 选择您要在其中安装 Red Hat build of Cryostat Operator 的项目的名称。
安装 Red Hat build of Cryostat Operator:
- 在 Web 控制台的导航菜单中导航到 Operators > OperatorHub。
- 从列表中选择 Red Hat build of Cryostat Operator。您可以使用屏幕右上角的搜索框来查找 Red Hat build of Cryostat Operator。
要在项目中安装 Red Hat build of Cryostat Operator,点 Install。
Red Hat OpenShift Web 控制台会提示您创建 Cryostat 自定义资源(CR)。
注意从 Cryostat 3.0 开始,在 安装模式 区域中 ,集群中的所有命名空间(默认) 单选按钮是唯一可用的选项。
您可以手动或自动创建 CR。如果要手动创建 CR,请参阅第 4 步。如果要自动创建 CR,请参阅第 5 步。
如果要手动创建 CR,请完成以下步骤:
使用 Web 控制台进入到 Operators > Installed Operators,然后从安装的 Operator 列表中选择 Red Hat build of Cryostat Operator :
图 2.1. 在安装的 Operator 列表中查看 Red Hat build of Cryostat operator
- 点 Details 标签页。
要创建 Cryostat 实例,请转至 Provided APIs 部分。然后,在 Cryostat 下,单击 Create instance。
注意从 Cryostat 3.0 开始,Cryostat API 可让您创建单命名空间和多命名空间 Cryostat 实例。
图 2.2. 选择 Red Hat build of Cryostat Operator 提供的 Cryostat API
- 点 Form view 单选按钮或 YAML view 单选按钮。如果要在 YAML 配置文件中输入您的信息,点 YAML 视图。
- 为您要创建的 Cryostat 实例指定唯一名称。
- 可选 :在 Labels 字段中,为您要部署的 Operand 工作负载指定标签或注解。
在 Target Namespaces 字段中,选择您要允许此 Cryostat 实例访问并使用的命名空间。另外,您可以选择安装 Cryostat 的同一命名空间,也可以选择不同的命名空间。要添加额外的命名空间,请点击 +Add Target Namespace。
重要可以访问 Cryostat 实例的用户可以访问该 Cryostat 实例可见的任何命名空间中的所有目标应用程序。因此,当部署多命名空间 Cryostat 实例时,您必须考虑要选择哪些命名空间进行监控,哪些命名空间要安装 Cryostat,以及您要授予哪些用户访问权限。
您还可以为您的部署指定额外的配置选项:
图 2.3. 使用 web 控制台中的表单创建 Cryostat 实例
另外,您可以使用 YAML 模板来创建实例,并指定其他配置选项,而不使用以下格式:
图 2.4. 使用 web 控制台中的 YAML 模板创建 Cryostat 实例
如果要使用自动提示选项创建 CR,请按照提示的说明操作,然后完成以下步骤:
- 点 Form view 单选按钮或 YAML view 单选按钮。如果要在 YAML 配置文件中输入您的信息,点 YAML 视图。
- 为您要创建的 Cryostat 实例指定唯一名称。
- 可选 :在 Labels 字段中,为您要部署的 Operand 工作负载指定标签或注解。
在 Target Namespaces 字段中,选择您要允许此 Cryostat 实例访问并使用的命名空间。另外,您可以选择安装 Cryostat 的同一命名空间,也可以选择不同的命名空间。要添加额外的命名空间,请点击 +Add Target Namespace。
重要可以访问 Cryostat 实例的用户可以访问该 Cryostat 实例可见的任何命名空间中的所有目标应用程序。因此,当部署多命名空间 Cryostat 实例时,您必须考虑要选择哪些命名空间进行监控,哪些命名空间要安装 Cryostat,以及您要授予哪些用户访问权限。
您还可以为您的部署指定额外的配置选项:
图 2.5. 使用 web 控制台中的表单创建 Cryostat 实例
另外,您可以使用 YAML 模板来创建实例,并指定其他配置选项,而不使用以下格式:
图 2.6. 使用 web 控制台中的 YAML 模板创建 Cryostat 实例
要为 Cryostat 实例启动创建过程,请点击 Create。
您必须等待 Cryostat 实例的所有资源就绪,然后才能访问它。
验证
- 在 Web 控制台的导航菜单中,点 Operators,然后点 Installed Operators。
- 在安装的 operator 表中,选择 Red Hat build of Cryostat Operator。
选择 Cryostat 选项卡。
您的 Cryostat 实例在实例表中打开,并列出以下条件:
-
TLSSetupComplete设置为true。 -
MainDeploymentAvailable设置为true。 可选:如果您启用了报告生成器服务,则会显示
ReportsDeploymentAvailable,并将它设为true。图 2.7. OpenShift 上 Cryostat 实例的 Status 列下设置为 True 的条件示例
-
可选: 从 Cryostat 表中选择您的 Cryostat 实例。进入 Cryostat Conditions 表,您可以在其中查看每个条件的更多信息。
图 2.8. 列出每个条件及其条件的 Cryostat Conditions 表示例
其他资源
2.1.1. 使用 Web 控制台访问 Cryostat
您可以使用可从 Red Hat OpenShift Web 控制台访问的 Web 控制台来访问和控制 Cryostat。
Cryostat 与 Red Hat OpenShift 中内置的 OAuth 服务器集成。当您尝试访问 Red Hat OpenShift 上的 Cryostat 时,OAuth 服务器会将您定向到 Red Hat OpenShift 登录页面,您可以在其中输入 Red Hat OpenShift 凭证。输入凭证后,OAuth 服务器会将您定向到 Cryostat web 控制台。
如果要访问 OpenShift Container Platform 中的所有 Cryostat 功能,您必须为 Red Hat OpenShift 用户帐户请求 Cryostat 特定的基于角色的访问控制(RBAC)权限。
请参阅 RBAC 权限。
先决条件
- 在项目中创建一个 Cryostat 实例。
- 使用 Red Hat OpenShift Web 控制台登录。
流程
- 在 Red Hat OpenShift web 控制台中,导航到 Installed Operators,然后从列表中选择 Red Hat build of Cryostat Operator。
要选择您要访问的 Cryostat 实例,请点 Cryostat 选项卡,然后从列表中选择这个 Cryostat 实例。
图 2.9. 在 Cryostat 选项卡下选择 Cryostat 实例的示例
要访问 Cryostat 登录屏幕,请点击 Application URL 部分中的链接。OAuth 服务器将您重定向到 OpenShift Container Platform 登录页面,以便您可以获取 OAuth 访问令牌来向 Cryostat API 进行身份验证。
图 2.10. 在 Application URL 部分下选择链接的示例
输入您的凭证详情,然后点 Login。当您第一次通过 OAuth 服务器登录时,Web 浏览器上打开一个 Authorize Access 页面。
图 2.11. 在 Web 浏览器中打开的 Authorize Access 页面示例
- 检查 Requested 权限 选项,然后选中所需的复选框。要优化 Cryostat 性能,请选中这两个复选框。
选择以下选项之一:
- 如果要接受您选择的请求权限,点 Allow selected permissions 按钮。
如果要拒绝所有请求的权限选项,点 Deny 按钮。
您的 Web 浏览器会将您重定向到 Cryostat Web 控制台,您可以在其中监控 Java 虚拟机(JVM)中运行的 Java 应用程序。
2.1.2. RBAC 权限
从 Cryostat 3.0 开始,当安装 Cryostat 实例时,您可以使用 Cryostat CRD 中的 .spec.authorizationOptions.openShiftSSO.accessReview 字段来指定访问 Cryostat 所需的基于角色的访问控制(RBAC)权限。Cryostat 应用程序的安装命名空间中的默认角色 是创建 pod/exec。
任何分配了指定 RBAC 角色的 Red Hat OpenShift 用户帐户都可以完全访问 Cryostat 控制台和所有 Cryostat 功能。如果 Red Hat OpenShift 帐户没有所需的 RBAC 权限,则此用户将阻止访问 Cryostat。
图 2.12. 指定 OpenShift SSO Access Review 授权选项
您可以使用以下字段指定访问 Cryostat 所需的自定义 RBAC 设置:
| 字段 | 详情 |
|---|---|
| group | 资源的 API 组
指定 |
| name |
为 指定一个空值表示所有名称。 |
| namespace | 要请求的操作的命名空间 目前,没有命名空间和所有命名空间之间没有区别。请考虑以下指南:
|
| resource | 现有资源类型
指定 |
| subresource | 现有资源类型 指定空值意味着没有资源类型。 |
| verb |
kubernetes 资源 API 动词(例如:
指定 |
| version | 资源的 API 版本
指定 |
