15.3. rhpam711-authoring-ha.yaml template
HA 持久编写环境的应用程序模板,用于 Red Hat Process Automation Manager 7.11 - 弃用
15.3.1. 参数
模板允许您定义值上获取的参数。然后,该值将在引用参数的位置替换。可在对象列表字段的任意文本字段中定义引用。如需更多信息,请参阅 Openshift 文档。
变量名称 | 镜像环境变量 | 描述 | 示例值 | 必填 |
---|---|---|---|---|
| — | 应用程序的名称。 | myapp | true |
| — | 包含 KIE_ADMIN_USER 和 KIE_ADMIN_PWD 值的 secret。 | rhpam-credentials | true |
|
| KIE 服务器控制器令牌用于 bearer 身份验证。(设置 org.kie.server.controller.token 系统属性) | — | False |
|
| 允许 KIE 服务器绕过经过身份验证的用户以获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性) | false | False |
|
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) | java:/jboss/datasources/rhpam | False |
|
| MySQL 数据库用户名。 | RHPAM | False |
|
| MySQL 数据库密码。 | — | False |
|
| MySQL 数据库名称。 | rhpam7 | False |
| — | KIE 服务器数据库卷的持久性存储大小。 | 1Gi | true |
| — | 安装 MySQL 镜像的 ImageStream 的命名空间。ImageStream 已安装在 openshift 命名空间中。只有在在不同的命名空间/项目中安装了 ImageStream 时,才需要修改此参数。默认为 "openshift"。 | openshift | False |
| — | MySQL 镜像版本,旨在与 MySQL 版本对应。默认为 "8.0"。 | 8.0 | False |
|
| KIE Server MySQL Hibernate dialect. | org.hibernate.dialect.MySQL8Dialect | true |
|
| KIE 服务器模式.有效值为 'DEVELOPMENT' 或 'SVVPUCTION'。在生产环境模式中,您无法在 KIE 服务器上部署工件的 SNAPSHOT 版本,且无法更改现有容器中的工件版本。(设置 org.kie.server.mode 系统属性)。 |
| False |
|
| KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性) | enabled | False |
|
| KIE 服务器类过滤。(设置 org.drools.server.filter.classes 系统属性) | true | False |
|
| 如果设置为 false,则会启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性) | false | False |
|
| Business Central 的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix> | — | False |
|
| Business Central 的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-rhpamcentr-<project>.<default-domain-suffix> | — | False |
|
| KIE 服务器的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix> | — | False |
|
| KIE 服务器的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-kieserver-<project>.<default-domain-suffix> | — | False |
| — | 包含 Business Central 的密钥存储文件的 secret 名称。 | businesscentral-app-secret | true |
|
| Business Central 机密中的密钥存储文件的名称。 | keystore.jks | False |
|
| 与 Business Central 的服务器证书关联的名称。 | JBoss | False |
|
| Business Central 的密钥存储和证书的密码。 | mykeystorepass | False |
| — | 包含 KIE 服务器的密钥存储文件的 secret 名称。 | kieserver-app-secret | true |
|
| KIE 服务器的 secret 中的密钥存储文件的名称。 | keystore.jks | False |
|
| 与 KIE 服务器的服务器证书关联的名称。 | JBoss | False |
|
| KIE 服务器的密钥存储和证书的密码。 | mykeystorepass | False |
|
| 用于连接到 JMS 代理的用户名。 | jmsBrokerUser | true |
|
| 连接到 JMS 代理的密码。 | — | true |
| — | datagrid 镜像。 | registry.redhat.io/jboss-datagrid-7/datagrid73-openshift:1.6 | True |
| — | Datagrid Container CPU 限制。 | 1000m | true |
| — | DataGrid Container 内存限制。 | 2Gi | true |
| — | DataGrid 运行时数据的持久性存储大小。 | 1Gi | true |
| — | AMQ Broker 镜像。 | registry.redhat.io/amq7/amq-broker:7.8 | true |
| — | 标准代理用户的用户角色。 | admin | true |
| — | 代理的名称。 | broker | true |
| — | 指定消息数据可以使用的最大内存量。如果没有指定值,则会分配系统内存的一半。 | 10 GB | False |
| — | AMQ 代理卷的持久性存储大小。 | 1Gi | true |
| — | 集群的代理副本数。 | 2 | true |
|
| 如果设置为 true,请打开 KIE Server 全局发现功能(Set the org.kie.server.controller.openshift.global.discovery.enabled 系统属性) | false | False |
|
| 启用通过 OpenShift 内部服务端点连接到 KIE 服务器。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性) | true | False |
|
| KIE ServerTemplate 缓存 TTL 以毫秒为单位。(设置 org.kie.server.controller.template.cache.ttl 系统属性) | 5000 | False |
| — | 安装 Red Hat Process Automation Manager 镜像的 ImageStreams 的命名空间。这些 ImageStream 通常安装在 openshift 命名空间中。只有在在不同的命名空间/项目中安装了 ImageStreams 时,才需要修改此参数。 | openshift | true |
| — | 用于 Business Central 的镜像流的名称。默认为 "rhpam-businesscentral-rhel8"。 | rhpam-businesscentral-rhel8 | true |
| — | 用于 KIE 服务器的镜像流名称。默认为 "rhpam-kieserver-rhel8"。 | rhpam-kieserver-rhel8 | true |
| — | 指向镜像流中镜像的命名指针。默认为 "7.11.0"。 | 7.11.0 | True |
|
| Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。 | — | False |
|
| KIE 服务器的 Maven 镜像配置。 | 外部:QUS,!repo-rhpamcentr | False |
|
| 用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。 | repo-custom | False |
|
| Maven 存储库或服务的完全限定 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | False |
|
| 用于访问 Maven 存储库的用户名(如果需要)。 | — | False |
|
| 如果需要,用于访问 Maven 存储库的密码。 | — | False |
|
| 用于 git hook 的目录(如果需要)。 |
| False |
|
| 为 EJB 计时器数据库数据存储服务设置 refresh-interval。 | 60000 | true |
| — | Business Central 运行时数据的持久性存储大小。 | 1Gi | true |
|
|
Business Central 容器 JVM 最大内存比率。 | 80 | true |
| — | Business Central 容器内存限值。 | 4Gi | true |
| — | Business Central 容器 CPU 限制。 | 2 | true |
| — | Business Central 容器 CPU 请求。 | 1500m | true |
| — | Business Central 容器内存请求。 | 3Gi | true |
| — | KIE 服务器容器内存限值。 | 2Gi | true |
| — | KIE 服务器容器内存请求. | 1536Mi | true |
| — | KIE 服务器容器 CPU 限制。 | 1 | true |
| — | KIE 服务器容器 CPU 请求. | 750m | true |
| — | Business Central Container 副本,定义将启动多少个 Business Central 容器。 | 2 | true |
| — | KIE Server Container 副本,定义将启动多少个 KIE 服务器容器。 | 2 | true |
|
| RH-SSO URL。 | https://rh-sso.example.com/auth | False |
|
| RH-SSO Realm 名称。 | — | False |
|
| Business Central RH-SSO 客户端名称。 | — | False |
|
| Business Central RH-SSO 客户端 Secret。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| KIE 服务器 RH-SSO 客户端名称。 | — | False |
|
| KIE 服务器 RH-SSO 客户端机密. | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| 如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。 | — | False |
|
| 用于创建客户端的 RH-SSO Realm 管理密码。 | — | False |
|
| RH-SSO 禁用 SSL 证书验证。 | false | False |
|
| 用作用户名的 RH-SSO 主体属性。 | preferred_username | False |
|
| 用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。 | ldap://myldap.example.com:389 | False |
|
| 绑定用于身份验证的 DN。 | uid=admin,ou=users,ou=example,ou=com | False |
|
| 用于身份验证的 LDAP 凭据。 | 密码 | False |
|
| 将登录模块设置为可选的标志。需要默认值 | optional | False |
|
| 用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。 | — | False |
|
| 开始用户搜索的顶级上下文的 LDAP 基本 DN。 | ou=users,ou=example,ou=com | False |
|
| 用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。 | (uid={0}) | False |
|
| 要使用的搜索范围。 |
| False |
|
| 用户或组搜索的超时时间(毫秒)。 | 10000 | False |
|
| 包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。 | distinguishedName | False |
|
| 指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。 | true | False |
|
| 定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 | — | False |
|
| 定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 | — | False |
|
| 包含用户角色的属性的名称。 | memberOf | False |
|
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。 | ou=groups,ou=example,ou=com | False |
|
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 | (memberOf={1}) | False |
|
| 角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。 | 1 | False |
|
| 所有经过身份验证的用户包括的角色 | user | False |
|
| roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。 | name | False |
|
| 表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。 | false | False |
|
| roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。 | false | False |
|
| 如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。 | — | False |
|
| 存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3 | — | False |
|
| 是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。 | — | False |
15.3.2. 对象(object)
CLI 支持各种对象类型。可在 Openshift 文档中找到 这些对象类型及其缩写的列表。
15.3.2.1. 服务
服务是一个抽象,它定义了一组逻辑 pod 和用于访问它们的策略。如需更多信息,请参阅 container-engine 文档。
服务 | 端口 | 名称 | 描述 |
---|---|---|---|
| 8080 | http | 所有 Business Central Web 服务器的端口。 |
8443 | https | ||
| 8888 | ping | 集群的 JGroups ping 端口。 |
| 11222 | HotRod | 为通过 Hot Rod 协议访问应用提供服务。 |
| 8080 | http | 所有 KIE 服务器 web 服务器的端口。 |
8443 | https | ||
| 61616 | — | 代理的 OpenWire 端口。 |
| 8888 | — | amq 集群的 JGroups ping 端口。 |
| 3306 | — | MySQL 服务器的端口。 |
15.3.2.2. Routes
路由是通过为服务提供外部可访问的主机名(如 www.example.com
)公开服务的方法。路由器可以使用定义的路由和由服务标识的端点来提供从外部客户端到应用程序的命名连接。每个路由都由路由名称、服务选择器和(可选)安全配置组成。如需更多信息,请参阅 Openshift 文档。
服务 | 安全性 | Hostname |
---|---|---|
insecure-${APPLICATION_NAME}-rhpamcentr-http | none |
|
| TLS 透传 |
|
insecure-${APPLICATION_NAME}-kieserver-http | none |
|
| TLS 透传 |
|
15.3.2.3. 部署配置
OpenShift 中的部署是基于用户定义的模板(称为部署配置)的复制控制器。部署是手动创建的,或响应触发的事件。如需更多信息,请参阅 Openshift 文档。
15.3.2.3.1. 触发器
触发器驱动创建新部署以响应 OpenShift 内部和外部的事件。如需更多信息,请参阅 Openshift 文档。
Deployment | 触发器 |
---|---|
| ImageChange |
| ImageChange |
| ImageChange |
15.3.2.3.2. Replicas
复制控制器确保指定数量的 pod "replicas" 在任意时间点上都在运行。如果太多,复制控制器会终止一些 pod。如果太多,它会启动更多。如需更多信息,请参阅 container-engine 文档。
Deployment | Replicas |
---|---|
| 2 |
| 2 |
| 1 |
15.3.2.3.3. Pod 模板
15.3.2.3.3.1. 服务帐户
服务帐户是各个项目中存在的 API 对象。它们可以像任何其他 API 对象一样创建和删除。如需更多信息,请参阅 Openshift 文档。
Deployment | 服务帐户 |
---|---|
|
|
|
|
15.3.2.3.3.2. 镜像
Deployment | 镜像 |
---|---|
|
|
|
|
| mysql |
15.3.2.3.3.3. 就绪度(Readiness)探测
${APPLICATION_NAME}-rhpamcentr
Http Get on http://localhost:8080/rest/ready
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-mysql
/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'
15.3.2.3.3.4. 存活度(Liveness)探测
${APPLICATION_NAME}-rhpamcentr
Http Get on http://localhost:8080/rest/healthy
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-mysql
tcpSocket on port 3306
15.3.2.3.3.5. 公开的端口
Deployments | 名称 | 端口 | 协议 |
---|---|---|---|
| Jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
| Jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
| — | 3306 |
|
15.3.2.3.3.6. 镜像环境变量
Deployment | 变量名称 | 描述 | 示例值 |
---|---|---|---|
|
| — |
|
| — |
| |
| admin 用户名 | 根据凭证 secret 设置 | |
| admin 用户密码 | 根据凭证 secret 设置 | |
| KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性) |
| |
| — | true | |
| 如果设置为 true,请打开 KIE Server 全局发现功能(Set the org.kie.server.controller.openshift.global.discovery.enabled 系统属性) |
| |
| 启用通过 OpenShift 内部服务端点连接到 KIE 服务器。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性) |
| |
| KIE ServerTemplate 缓存 TTL 以毫秒为单位。(设置 org.kie.server.controller.template.cache.ttl 系统属性) |
| |
| KIE 服务器控制器令牌用于 bearer 身份验证。(设置 org.kie.server.controller.token 系统属性) |
| |
| — |
| |
| Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。 |
| |
| 用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。 |
| |
| Maven 存储库或服务的完全限定 URL。 |
| |
| 用于访问 Maven 存储库的用户名(如果需要)。 |
| |
| 如果需要,用于访问 Maven 存储库的密码。 |
| |
| 用于 git hook 的目录(如果需要)。 |
| |
| — |
| |
| Business Central 机密中的密钥存储文件的名称。 |
| |
| 与 Business Central 的服务器证书关联的名称。 |
| |
| Business Central 的密钥存储和证书的密码。 |
| |
| — | kubernetes.KUBE_PING | |
| — | — | |
| — | cluster=jgrp.k8s.${APPLICATION_NAME}.rhpamcentr | |
| — |
| |
| — | 11222 | |
| — |
| |
| — | 61616 | |
| 用于连接到 JMS 代理的用户名。 |
| |
| 连接到 JMS 代理的密码。 |
| |
|
Business Central 容器 JVM 最大内存比率。 |
| |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO Realm 名称。 |
| |
| Business Central RH-SSO 客户端 Secret。 |
| |
| Business Central RH-SSO 客户端名称。 |
| |
| 如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。 |
| |
| 用于创建客户端的 RH-SSO Realm 管理密码。 |
| |
| RH-SSO 禁用 SSL 证书验证。 |
| |
| 用作用户名的 RH-SSO 主体属性。 |
| |
| Business Central 的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix> |
| |
| Business Central 的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-rhpamcentr-<project>.<default-domain-suffix> |
| |
| 用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。 |
| |
| 绑定用于身份验证的 DN。 |
| |
| 用于身份验证的 LDAP 凭据。 |
| |
| 将登录模块设置为可选的标志。需要默认值 |
| |
| 用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。 |
| |
| 开始用户搜索的顶级上下文的 LDAP 基本 DN。 |
| |
| 用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。 |
| |
| 要使用的搜索范围。 |
| |
| 用户或组搜索的超时时间(毫秒)。 |
| |
| 包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。 |
| |
| 指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。 |
| |
| 定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 |
| |
| 定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 |
| |
| 包含用户角色的属性的名称。 |
| |
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。 |
| |
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 |
| |
| 角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。 |
| |
| 所有经过身份验证的用户包括的角色 |
| |
| roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。 |
| |
| 表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。 |
| |
| roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。 |
| |
| 如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。 |
| |
| 存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3 |
| |
| 是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。 |
| |
|
| — |
|
| 为 EJB 计时器数据库数据存储服务设置 refresh-interval。 |
| |
| — |
| |
| MySQL 数据库名称。 |
| |
| — | mariadb | |
| MySQL 数据库用户名。 |
| |
| MySQL 数据库密码。 |
| |
| — |
| |
| — | 3306 | |
| KIE Server MySQL Hibernate dialect. |
| |
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) |
| |
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) |
| |
| — | true | |
| admin 用户名 | 根据凭证 secret 设置 | |
| admin 用户密码 | 根据凭证 secret 设置 | |
| KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性) |
| |
| KIE 服务器模式.有效值为 'DEVELOPMENT' 或 'SVVPUCTION'。在生产环境模式中,您无法在 KIE 服务器上部署工件的 SNAPSHOT 版本,且无法更改现有容器中的工件版本。(设置 org.kie.server.mode 系统属性)。 |
| |
| KIE 服务器类过滤。(设置 org.drools.server.filter.classes 系统属性) |
| |
| 如果设置为 false,则会启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性) |
| |
| 允许 KIE 服务器绕过经过身份验证的用户以获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性) |
| |
| — |
| |
| — | WS | |
| — | — | |
| — | insecure-${APPLICATION_NAME}-kieserver | |
| — | OpenShiftStartupStrategy | |
| Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。 |
| |
| KIE 服务器的 Maven 镜像配置。 |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| — |
| |
| — |
| |
| — | 根据凭证 secret 设置 | |
| — | 根据凭证 secret 设置 | |
| 用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。 |
| |
| Maven 存储库或服务的完全限定 URL。 |
| |
| 用于访问 Maven 存储库的用户名(如果需要)。 |
| |
| 如果需要,用于访问 Maven 存储库的密码。 |
| |
| — |
| |
| KIE 服务器的 secret 中的密钥存储文件的名称。 |
| |
| 与 KIE 服务器的服务器证书关联的名称。 |
| |
| KIE 服务器的密钥存储和证书的密码。 |
| |
| — | — | |
| — | cluster=jgrp.k8s.${APPLICATION_NAME}.kieserver | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO Realm 名称。 |
| |
| KIE 服务器 RH-SSO 客户端机密. |
| |
| KIE 服务器 RH-SSO 客户端名称。 |
| |
| 如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。 |
| |
| 用于创建客户端的 RH-SSO Realm 管理密码。 |
| |
| RH-SSO 禁用 SSL 证书验证。 |
| |
| 用作用户名的 RH-SSO 主体属性。 |
| |
| KIE 服务器的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix> |
| |
| KIE 服务器的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-kieserver-<project>.<default-domain-suffix> |
| |
| 用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。 |
| |
| 绑定用于身份验证的 DN。 |
| |
| 用于身份验证的 LDAP 凭据。 |
| |
| 将登录模块设置为可选的标志。需要默认值 |
| |
| 用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。 |
| |
| 开始用户搜索的顶级上下文的 LDAP 基本 DN。 |
| |
| 用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。 |
| |
| 要使用的搜索范围。 |
| |
| 用户或组搜索的超时时间(毫秒)。 |
| |
| 包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。 |
| |
| 指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。 |
| |
| 定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 |
| |
| 定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。 |
| |
| 包含用户角色的属性的名称。 |
| |
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。 |
| |
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 |
| |
| 角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。 |
| |
| 所有经过身份验证的用户包括的角色 |
| |
| roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。 |
| |
| 表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。 |
| |
| roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。 |
| |
| 如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。 |
| |
| 存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3 |
| |
| 是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。 |
| |
|
| MySQL 数据库用户名。 |
|
| MySQL 数据库密码。 |
| |
| MySQL 数据库名称。 |
| |
| — | mysql_native_password |
15.3.2.3.3.7. 卷
Deployment | 名称 | mountPath | 用途 | readOnly |
---|---|---|---|---|
| businesscentral-keystore-volume |
| SSL 证书 | true |
| kieserver-keystore-volume |
| SSL 证书 | true |
|
|
| mysql | false |
15.3.2.4. 外部依赖项
15.3.2.4.1. VolumeClaim
PersistentVolume
对象是 OpenShift 集群中的存储资源。管理员通过从 GCE Persistent Disks、AWS Elastic Block Stores (EBS)和 NFS 挂载等源创建 PersistentVolume
对象来置备存储。如需更多信息,请参阅 Openshift 文档。
名称 | 访问模式 |
---|---|
| ReadWriteMany |
| ReadWriteOnce |
15.3.2.4.2. Secrets
此模板需要安装以下机密才能运行应用程序:
- businesscentral-app-secret
- kieserver-app-secret
15.3.2.4.3. 集群
OpenShift EAP 中的集群通过 Kubernetes 发现机制来实现。这可以通过使用 < kubernetes.KUBE_PING/> 元素在 standalone-openshift.xml 中配置 JGroups 协议堆栈
来实现。模板配置为使用 kubernetes.KUBE_PING
。
使用的发现机制由 JGROUPS_PING_PROTOCOL
环境变量指定,它可以设置为 kubernetes.KUBE_PING
。如果没有为
_PING。
JGROUPS_PING_PROTOCOL
指定值,则镜像使用的默认值是 Kubernetes.KUBE
要使 kubernetes.KUBE_PING
正常工作,必须执行以下步骤:
-
KUBERNETES_NAMESPACE
环境变量必须使用分配给 pod 的 kubernetes metadata.namespace 设置。如果没有设置,服务器将充当单一节点集群(一个"集群")。 -
应设置
KUBERNETES_LABELS
环境变量(请参阅上面的表)。如果没有设置,则应用程序外的 pod (命名空间中的 pod)会尝试加入。 -
用作
KUBERNETES_LABELS
的值必须作为标签添加到对应的部署配置中。按照惯例,值为cluster=kubernetes.ping.<name>-cluster
,使用的 name 是 console-cluster, consolemon-cluster, kieserver-cluster。 - 必须向运行 Pod 的服务帐户授予授权,以允许访问 Kubernetes 的 REST api。这会在命令行中完成。
例 15.1. 策略命令
在 myproject 命名空间中使用 default 服务帐户:
oc policy add-role-to-user view system:serviceaccount:myproject:default -n myproject
在 myproject 命名空间中使用 eap-service-account :
oc policy add-role-to-user view system:serviceaccount:myproject:eap-service-account -n myproject