红帽全球峰会10.2. 创建数据平面 secret
您必须创建 data plane 需要的 Secret 自定义资源(CR)才能操作。data plane 节点使用 Secret CR 来保护节点间的访问,将节点操作系统注册到红帽客户门户网站,以启用节点存储库,并提供 Compute 节点有权访问 libvirt。
要在节点间启用安全访问,您必须生成两个 SSH 密钥,并为每个密钥创建一个 SSH 密钥 Secret CR:
启用 Ansible 管理数据平面上的 RHEL 节点的 SSH 密钥。Ansible 使用这个用户和密钥执行命令。您可以为数据平面中的每个
OpenStackDataPlaneNodeSetCR 创建 SSH 密钥。- 启用在 Compute 节点之间实例迁移的 SSH 密钥。
先决条件
-
预置备的节点在
$HOME/.ssh/authorized_keys文件中为具有免密码sudo特权的用户配置 SSH 公钥。如需更多信息,请参阅 RHEL 配置基本系统设置指南中的 管理 sudo 访问。
流程
对于未置备的节点,为 Ansible 创建 SSH 密钥对:
$ ssh-keygen -f <key_file_name> -N "" -t rsa -b 4096-
将
<key_file_name> 替换为用于密钥对的名称。
-
将
为 Ansible 创建
SecretCR,并将其应用到集群:$ oc create secret generic dataplane-ansible-ssh-private-key-secret \ --save-config \ --dry-run=client \ --from-file=ssh-privatekey=<key_file_name> \ --from-file=ssh-publickey=<key_file_name>.pub \ [--from-file=authorized_keys=<key_file_name>.pub] -n openstack \ -o yaml | oc apply -f --
将
<key_file_name> 替换为 SSH 密钥对文件的名称和位置。 -
可选:只包括创建
数据平面时必须置备的裸机节点的--from-file=authorized_keys选项。
-
将
如果要创建 Compute 节点,请为迁移创建一个 secret。
为实例迁移创建 SSH 密钥对:
$ ssh-keygen -f ./nova-migration-ssh-key -t ecdsa-sha2-nistp521 -N ''为迁移创建
SecretCR,并将其应用到集群:$ oc create secret generic nova-migration-ssh-key \ --save-config \ --from-file=ssh-privatekey=nova-migration-ssh-key \ --from-file=ssh-publickey=nova-migration-ssh-key.pub \ -n openstack \ -o yaml | oc apply -f -
对于还没有注册到红帽客户门户网站的节点,为 subscription-manager 凭证创建
SecretCR 以注册节点:$ oc create secret generic subscription-manager \ --from-literal rhc_auth='{"login": {"username": "<subscription_manager_username>", "password": "<subscription_manager_password>"}}'-
将
<subscription_manager_username> 替换为您为subscription-manager设置的用户名。 -
将
<subscription_manager_password> 替换为您为subscription-manager设置的密码。
-
将
创建包含红帽 registry 凭证的
SecretCR:$ oc create secret generic redhat-registry --from-literal edpm_container_registry_logins='{"registry.redhat.io": {"<username>": "<password>"}}'将
<username> 和 <password> 替换为您的 Red Hat registry 用户名和密码凭证。有关如何创建 registry 服务帐户的详情,请参考知识库文章 创建 Registry 服务账户。
如果要创建 Compute 节点,请为 libvirt 创建一个 secret。
在工作站上创建一个名为
secret_libvirt.yaml的文件,以定义 libvirt secret:apiVersion: v1 kind: Secret metadata: name: libvirt-secret namespace: openstack type: Opaque data: LibvirtPassword: <base64_password>将
<base64_password> 替换为 base64 编码的字符串,其最大长度为 63 个字符。您可以使用以下命令生成 base64 编码的密码:$ echo -n <password> | base64提示如果您不想对用户名和密码进行 base64encode,您可以使用
stringData字段而不是data字段来设置用户名和密码。
创建
SecretCR:$ oc apply -f secret_libvirt.yaml -n openstack
验证
SecretCR 是否已创建:$ oc describe secret dataplane-ansible-ssh-private-key-secret $ oc describe secret nova-migration-ssh-key $ oc describe secret subscription-manager $ oc describe secret redhat-registry $ oc describe secret libvirt-secret
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}