Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.8. 配置网络

4.8.1. 配置网络策略
复制链接

默认情况下,OpenShift 集群中的所有 Pod 都可以相互通信,即使它们位于不同的命名空间中。在 OpenShift Dev Spaces 中,这可能会导致一个用户项目中的工作区 Pod 将流量发送到其他用户项目中的另一个工作区 Pod。

为安全起见,可以使用 NetworkPolicy 对象配置多租户隔离,以限制用户项目中的所有传入的通信。但是,OpenShift Dev Spaces 项目中的 Pod 必须能够与用户项目中的 Pod 通信。

先决条件

  • OpenShift 集群有网络限制,如多租户隔离。

流程

  • allow-from-openshift-devspaces NetworkPolicy 应用到每个用户项目。allow-from-openshift-devspaces NetworkPolicy 允许从 OpenShift Dev Spaces 命名空间的传入流量到用户项目中的所有 Pod。

    例 4.43. allow-from-openshift-devspaces.yaml

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
    name: allow-from-openshift-devspaces
spec:
    ingress:
    - from:
        - namespaceSelector:
            matchLabels:
                kubernetes.io/metadata.name: openshift-devspaces
    1 
    
    podSelector: {}
    2 
    
    policyTypes:
    - Ingress
    1
    OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces
    2
    podSelector 选择项目中的所有 Pod。

  • OPTIONAL : 在使用网络策略应用配置多租户隔离时,还必须应用 allow-from-openshift-apiserverallow-from-workspaces-namespaces NetworkPolicies 到 openshift-devspacesallow-from-openshift-apiserver NetworkPolicy 允许从 openshift-apiserver 命名空间中的传入流量到 devworkspace-webhook-server 启用 Webhook。allow-from-workspaces-namespaces NetworkPolicy 允许从每个用户项目的传入流量到 che-gateway pod。

    例 4.44. allow-from-openshift-apiserver.yaml

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-apiserver
  namespace: openshift-devspaces
    1 
    
spec:
  podSelector:
    matchLabels:
      app.kubernetes.io/name: devworkspace-webhook-server
    2 
    
  ingress:
    - from:
        - podSelector: {}
          namespaceSelector:
            matchLabels:
              kubernetes.io/metadata.name: openshift-apiserver
  policyTypes:
    - Ingress
    1
    OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces
    2
    podSelector 只选择 devworkspace-webhook-server pod

    例 4.45. allow-from-workspaces-namespaces.yaml

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-workspaces-namespaces
  namespace: openshift-devspaces
    1 
    
spec:
  podSelector: {}
    2 
    
  ingress:
    - from:
        - podSelector: {}
          namespaceSelector:
            matchLabels:
              app.kubernetes.io/component: workspaces-namespace
  policyTypes:
    - Ingress
    1
    OpenShift Dev Spaces 命名空间。默认为 openshift-devspaces
    2
    podSelector 选择 OpenShift Dev Spaces 命名空间中的所有 pod。
  • 第 4.2 节 “配置项目”
  • 网络隔离
  • 使用网络策略配置多租户隔离

4.8.2. 配置 Dev Spaces 主机名
复制链接

此流程描述了如何将 OpenShift Dev Spaces 配置为使用自定义主机名。

先决条件

  • 对目标 OpenShift 集群具有管理权限的活动 oc 会话。请参阅 CLI 入门
  • 生成证书和私钥文件。
重要

要生成私钥和证书的对,相同的证书颁发机构(CA)必须与其他 OpenShift Dev Spaces 主机一起使用。

重要

请求 DNS 供应商将自定义主机名指向集群入口。

流程

  1. 为 OpenShift Dev Spaces 预创建项目: 

    $ oc create project openshift-devspaces

  2. 创建 TLS secret: 

    $ oc create secret TLS <tls_secret_name> \
    1 
    
--key <key_file> \
    2 
    
--cert <cert_file> \
    3 
    
-n openshift-devspaces
    1
    TLS secret 名称
    2
    具有私钥的文件
    3
    具有证书的文件

  3. 在 secret 中添加所需的标签: 

    $ oc label secret <tls_secret_name> \
    1 
    
app.kubernetes.io/part-of=che.eclipse.org -n openshift-devspaces
    1
    TLS secret 名称

  4. 配置 CheCluster 自定义资源。请参阅 第 4.1.2 节 “使用 CLI 配置 CheCluster 自定义资源”

    spec:
  networking:
    hostname: <hostname>
    1 
    
    tlsSecretName: <secret>
    2
    1
    自定义 Red Hat OpenShift Dev Spaces 服务器主机名
    2
    TLS secret 名称
  5. 如果 OpenShift Dev Spaces 已部署,请等待所有 OpenShift Dev Spaces 组件的推出完成。

其他资源

4.8.3. 将不可信 TLS 证书导入到 Dev Spaces
复制链接

OpenShift Dev Spaces 组件与外部服务通信通过 TLS 加密。它们需要由可信证书颁发机构(CA)签名的 TLS 证书。因此,您必须导入到 OpenShift Dev Spaces 中由外部服务使用的所有不受信任的 CA 链,例如:

  • 代理
  • 身份供应商(OIDC)
  • 源代码存储库供应商(Git)

OpenShift Dev Spaces 使用 OpenShift Dev Spaces 项目中的标记 ConfigMap 作为 TLS 证书的源。ConfigMap 可以有任意数量的键,每个键都有随机数量的证书。Operator 将所有 ConfigMap 合并到一个标题为 ca-certs-merged 中,并将它作为卷挂载到 OpenShift Dev Spaces 服务器、仪表板和工作区 Pod 中。默认情况下,Operator 会在两个位置的用户工作区中挂载 ca-certs-merged ConfigMap: /public-certs/etc/pki/ca-trust/extracted/pem/etc/pki/ca-trust/extracted/pem 目录是系统在红帽(如 CentOS、Fedora)上为可信证书颁发机构提取的 CA 证书的位置。当用户的工作空间启动并运行时,CLI 工具会自动使用来自系统可信位置的证书。

注意

当 OpenShift 集群包含通过 cluster- wide-proxy 配置 添加的集群范围可信 CA 证书时,OpenShift Dev Spaces Operator 会检测到它们,并使用 config.openshift.io/inject-trusted-cabundle="true" 标签自动注入 ConfigMap。根据此注解,OpenShift 会在 ConfigMap 的 ca-bundle.crt 键中自动注入集群范围的可信 CA 证书。

先决条件

  • 对目标 OpenShift 集群具有管理权限的活动 oc 会话。请参阅 CLI 入门
  • openshift-devspaces 项目存在。
  • 对于每个要导入的 CA 链:使用 PEM 格式的 root CA 和中间证书,采用 ca-cert-for-devspaces- <count>.pem 文件。

流程

  1. 将所有 CA 链 PEM 文件链到 custom-ca-certificates.pem 文件中,并删除与 Java 信任存储不兼容的返回字符。 

    $ cat ca-cert-for-devspaces-*.pem | tr -d '\r' > custom-ca-certificates.pem

  2. 使用所需的 TLS 证书创建 custom-ca-certificates ConfigMap: 

    $ oc create configmap custom-ca-certificates \
    --from-file=custom-ca-certificates.pem \
    --namespace=openshift-devspaces

  3. 标记 custom-ca-certificates ConfigMap: 

    $ oc label configmap custom-ca-certificates \
    app.kubernetes.io/component=ca-bundle \
    app.kubernetes.io/part-of=che.eclipse.org \
    --namespace=openshift-devspaces
  4. 如果之前尚未部署,部署 OpenShift Dev Spaces。否则,请等待 OpenShift Dev Spaces 组件的推出完成。
  5. 重启正在运行的工作区以使更改生效。

验证步骤

  1. 验证 ConfigMap 是否包含您的自定义 CA 证书。此命令返回 PEM 格式的 CA 捆绑包证书: 

    $ oc get configmap \
    --namespace=openshift-devspaces \
    --output='jsonpath={.items[0:].data.custom-ca-certificates\.pem}' \
    --selector=app.kubernetes.io/component=ca-bundle,app.kubernetes.io/part-of=che.eclipse.org

  2. 在 OpenShift Dev Spaces 服务器日志中验证导入的证书计数是否不是 null : 

    $ oc logs deploy/devspaces --namespace=openshift-devspaces \
    | grep tls-ca-bundle.pem
  3. 启动一个工作区,获取创建它的项目名称:< workspace_namespace > 并等待工作区启动。

  4. 验证 ca-certs-merged ConfigMap 是否包含您的自定义 CA 证书。此命令以 PEM 格式返回 OpenShift Dev Spaces CA 捆绑包证书: 

    $ oc get configmap che-trusted-ca-certs \
    --namespace=<workspace_namespace> \
    --output='jsonpath={.data.tls-ca-bundle\.pem}'

  5. 验证工作区 pod 是否挂载 ca-certs-merged ConfigMap: 

    $ oc get pod \
    --namespace=<workspace_namespace> \
    --selector='controller.devfile.io/devworkspace_name=<workspace_name>' \
    --output='jsonpath={.items[0:].spec.volumes[0:].configMap.name}' \
    | grep ca-certs-merged

  6. 获取工作区 pod 名称 < workspace_pod_name>: 

    $ oc get pod \
    --namespace=<workspace_namespace> \
    --selector='controller.devfile.io/devworkspace_name=<workspace_name>' \
    --output='jsonpath={.items[0:].metadata.name}' \

  7. 验证工作区容器是否具有您的自定义 CA 证书。此命令以 PEM 格式返回 OpenShift Dev Spaces CA 捆绑包证书: 

    $ oc exec <workspace_pod_name> \
    --namespace=<workspace_namespace> \
    -- cat /public-certs/tls-ca-bundle.pem

其他资源

4.8.4. 添加标签和注解
复制链接

4.8.4.1. 配置 OpenShift 路由以使用路由器划分
复制链接

您可以为 OpenShift Route 配置标签、注解和域,以用于 路由器分片

先决条件

流程

  • 配置 CheCluster 自定义资源。请参阅 第 4.1.2 节 “使用 CLI 配置 CheCluster 自定义资源”

    spec:
  networking:
    labels: <labels>
    1 
    
    domain: <domain>
    2 
    
    annotations: <annotations>
    3
    1
    一个无结构的键值映射,目标入口控制器用来过滤一组 Routes to service。
    2
    目标入口控制器服务的 DNS 名称。
    3
    一个无结构的键值映射,它存储了一个资源。

其他资源

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部