15.3. rhpam711-authoring-ha.yaml template


HA 持久编写环境的应用程序模板,用于 Red Hat Process Automation Manager 7.11 - 弃用

15.3.1. 参数

模板允许您定义值上获取的参数。然后,该值将在引用参数的位置替换。可在对象列表字段的任意文本字段中定义引用。如需更多信息,请参阅 Openshift 文档

变量名称镜像环境变量描述示例值必填

APPLICATION_NAME

 — 

应用程序的名称。

myapp

true

CREDENTIALS_SECRET

 — 

包含 KIE_ADMIN_USER 和 KIE_ADMIN_PWD 值的 secret。

rhpam-credentials

true

KIE_SERVER_CONTROLLER_TOKEN

KIE_SERVER_CONTROLLER_TOKEN

KIE 服务器控制器令牌用于 bearer 身份验证。(设置 org.kie.server.controller.token 系统属性)

 — 

False

KIE_SERVER_BYPASS_AUTH_USER

KIE_SERVER_BYPASS_AUTH_USER

允许 KIE 服务器绕过经过身份验证的用户以获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性)

false

False

KIE_SERVER_PERSISTENCE_DS

KIE_SERVER_PERSISTENCE_DS

KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性)

java:/jboss/datasources/rhpam

False

MYSQL_USER

RHPAM_USERNAME

MySQL 数据库用户名。

RHPAM

False

MYSQL_PWD

RHPAM_PASSWORD

MySQL 数据库密码。

 — 

False

MYSQL_DB

RHPAM_DATABASE

MySQL 数据库名称。

rhpam7

False

MYSQL_DB_VOLUME_CAPACITY

 — 

KIE 服务器数据库卷的持久性存储大小。

1Gi

true

MYSQL_IMAGE_STREAM_NAMESPACE

 — 

安装 MySQL 镜像的 ImageStream 的命名空间。ImageStream 已安装在 openshift 命名空间中。只有在在不同的命名空间/项目中安装了 ImageStream 时,才需要修改此参数。默认为 "openshift"。

openshift

False

MYSQL_IMAGE_STREAM_TAG

 — 

MySQL 镜像版本,旨在与 MySQL 版本对应。默认为 "8.0"。

8.0

False

KIE_SERVER_MYSQL_DIALECT

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate dialect.

org.hibernate.dialect.MySQL8Dialect

true

KIE_SERVER_MODE

KIE_SERVER_MODE

KIE 服务器模式.有效值为 'DEVELOPMENT' 或 'SVVPUCTION'。在生产环境模式中,您无法在 KIE 服务器上部署工件的 SNAPSHOT 版本,且无法更改现有容器中的工件版本。(设置 org.kie.server.mode 系统属性)。

开发

False

KIE_MBEANS

KIE_MBEANS

KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性)

enabled

False

DROOLS_SERVER_FILTER_CLASSES

DROOLS_SERVER_FILTER_CLASSES

KIE 服务器类过滤。(设置 org.drools.server.filter.classes 系统属性)

true

False

PROMETHEUS_SERVER_EXT_DISABLED

PROMETHEUS_SERVER_EXT_DISABLED

如果设置为 false,则会启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性)

false

False

BUSINESS_CENTRAL_HOSTNAME_HTTP

HOSTNAME_HTTP

Business Central 的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>

 — 

False

BUSINESS_CENTRAL_HOSTNAME_HTTPS

HOSTNAME_HTTPS

Business Central 的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-rhpamcentr-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTP

HOSTNAME_HTTP

KIE 服务器的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

KIE_SERVER_HOSTNAME_HTTPS

HOSTNAME_HTTPS

KIE 服务器的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-kieserver-<project>.<default-domain-suffix>

 — 

False

BUSINESS_CENTRAL_HTTPS_SECRET

 — 

包含 Business Central 的密钥存储文件的 secret 名称。

businesscentral-app-secret

true

BUSINESS_CENTRAL_HTTPS_KEYSTORE

HTTPS_KEYSTORE

Business Central 机密中的密钥存储文件的名称。

keystore.jks

False

BUSINESS_CENTRAL_HTTPS_NAME

HTTPS_NAME

与 Business Central 的服务器证书关联的名称。

JBoss

False

BUSINESS_CENTRAL_HTTPS_PASSWORD

HTTPS_PASSWORD

Business Central 的密钥存储和证书的密码。

mykeystorepass

False

KIE_SERVER_HTTPS_SECRET

 — 

包含 KIE 服务器的密钥存储文件的 secret 名称。

kieserver-app-secret

true

KIE_SERVER_HTTPS_KEYSTORE

HTTPS_KEYSTORE

KIE 服务器的 secret 中的密钥存储文件的名称。

keystore.jks

False

KIE_SERVER_HTTPS_NAME

HTTPS_NAME

与 KIE 服务器的服务器证书关联的名称。

JBoss

False

KIE_SERVER_HTTPS_PASSWORD

HTTPS_PASSWORD

KIE 服务器的密钥存储和证书的密码。

mykeystorepass

False

APPFORMER_JMS_BROKER_USER

APPFORMER_JMS_BROKER_USER

用于连接到 JMS 代理的用户名。

jmsBrokerUser

true

APPFORMER_JMS_BROKER_PASSWORD

APPFORMER_JMS_BROKER_PASSWORD

连接到 JMS 代理的密码。

 — 

true

DATAGRID_IMAGE

 — 

datagrid 镜像。

registry.redhat.io/jboss-datagrid-7/datagrid73-openshift:1.6

True

DATAGRID_CPU_LIMIT

 — 

Datagrid Container CPU 限制。

1000m

true

DATAGRID_MEMORY_LIMIT

 — 

DataGrid Container 内存限制。

2Gi

true

DATAGRID_VOLUME_CAPACITY

 — 

DataGrid 运行时数据的持久性存储大小。

1Gi

true

AMQ_BROKER_IMAGE

 — 

AMQ Broker 镜像。

registry.redhat.io/amq7/amq-broker:7.8

true

AMQ_ROLE

 — 

标准代理用户的用户角色。

admin

true

AMQ_NAME

 — 

代理的名称。

broker

true

AMQ_GLOBAL_MAX_SIZE

 — 

指定消息数据可以使用的最大内存量。如果没有指定值,则会分配系统内存的一半。

10 GB

False

AMQ_VOLUME_CAPACITY

 — 

AMQ 代理卷的持久性存储大小。

1Gi

true

AMQ_REPLICAS

 — 

集群的代理副本数。

2

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

如果设置为 true,请打开 KIE Server 全局发现功能(Set the org.kie.server.controller.openshift.global.discovery.enabled 系统属性)

false

False

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

启用通过 OpenShift 内部服务端点连接到 KIE 服务器。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性)

true

False

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate 缓存 TTL 以毫秒为单位。(设置 org.kie.server.controller.template.cache.ttl 系统属性)

5000

False

IMAGE_STREAM_NAMESPACE

 — 

安装 Red Hat Process Automation Manager 镜像的 ImageStreams 的命名空间。这些 ImageStream 通常安装在 openshift 命名空间中。只有在在不同的命名空间/项目中安装了 ImageStreams 时,才需要修改此参数。

openshift

true

BUSINESS_CENTRAL_IMAGE_STREAM_NAME

 — 

用于 Business Central 的镜像流的名称。默认为 "rhpam-businesscentral-rhel8"。

rhpam-businesscentral-rhel8

true

KIE_SERVER_IMAGE_STREAM_NAME

 — 

用于 KIE 服务器的镜像流名称。默认为 "rhpam-kieserver-rhel8"。

rhpam-kieserver-rhel8

true

IMAGE_STREAM_TAG

 — 

指向镜像流中镜像的命名指针。默认为 "7.11.0"。

7.11.0

True

MAVEN_MIRROR_URL

MAVEN_MIRROR_URL

Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。

 — 

False

MAVEN_MIRROR_OF

MAVEN_MIRROR_OF

KIE 服务器的 Maven 镜像配置。

外部:QUS,!repo-rhpamcentr

False

MAVEN_REPO_ID

MAVEN_REPO_ID

用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。

repo-custom

False

MAVEN_REPO_URL

MAVEN_REPO_URL

Maven 存储库或服务的完全限定 URL。

http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/

False

MAVEN_REPO_USERNAME

MAVEN_REPO_USERNAME

用于访问 Maven 存储库的用户名(如果需要)。

 — 

False

MAVEN_REPO_PASSWORD

MAVEN_REPO_PASSWORD

如果需要,用于访问 Maven 存储库的密码。

 — 

False

GIT_HOOKS_DIR

GIT_HOOKS_DIR

用于 git hook 的目录(如果需要)。

/opt/kie/data/git/hooks

False

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

为 EJB 计时器数据库数据存储服务设置 refresh-interval。

60000

true

BUSINESS_CENTRAL_VOLUME_CAPACITY

 — 

Business Central 运行时数据的持久性存储大小。

1Gi

true

BUSINESS_CENTRAL_JAVA_MAX_MEM_RATIO

JAVA_MAX_MEM_RATIO

Business Central 容器 JVM 最大内存比率。-Xmx 设置为容器中可用内存的比例。默认值为 80,这意味着上限为 80%。要跳过添加 -Xmx 选项,请将此值设置为 0。

80

true

BUSINESS_CENTRAL_MEMORY_LIMIT

 — 

Business Central 容器内存限值。

4Gi

true

BUSINESS_CENTRAL_CPU_LIMIT

 — 

Business Central 容器 CPU 限制。

2

true

BUSINESS_CENTRAL_CPU_REQUEST

 — 

Business Central 容器 CPU 请求。

1500m

true

BUSINESS_CENTRAL_MEMORY_REQUEST

 — 

Business Central 容器内存请求。

3Gi

true

KIE_SERVER_MEMORY_LIMIT

 — 

KIE 服务器容器内存限值。

2Gi

true

KIE_SERVER_MEMORY_REQUEST

 — 

KIE 服务器容器内存请求.

1536Mi

true

KIE_SERVER_CPU_LIMIT

 — 

KIE 服务器容器 CPU 限制。

1

true

KIE_SERVER_CPU_REQUEST

 — 

KIE 服务器容器 CPU 请求.

750m

true

BUSINESS_CENTRAL_CONTAINER_REPLICAS

 — 

Business Central Container 副本,定义将启动多少个 Business Central 容器。

2

true

KIE_SERVER_CONTAINER_REPLICAS

 — 

KIE Server Container 副本,定义将启动多少个 KIE 服务器容器。

2

true

SSO_URL

SSO_URL

RH-SSO URL。

https://rh-sso.example.com/auth

False

SSO_REALM

SSO_REALM

RH-SSO Realm 名称。

 — 

False

BUSINESS_CENTRAL_SSO_CLIENT

SSO_CLIENT

Business Central RH-SSO 客户端名称。

 — 

False

BUSINESS_CENTRAL_SSO_SECRET

SSO_SECRET

Business Central RH-SSO 客户端 Secret。

252793ed-7118-4ca8-8dab-5622fa97d892

False

KIE_SERVER_SSO_CLIENT

SSO_CLIENT

KIE 服务器 RH-SSO 客户端名称。

 — 

False

KIE_SERVER_SSO_SECRET

SSO_SECRET

KIE 服务器 RH-SSO 客户端机密.

252793ed-7118-4ca8-8dab-5622fa97d892

False

SSO_USERNAME

SSO_USERNAME

如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。

 — 

False

SSO_PASSWORD

SSO_PASSWORD

用于创建客户端的 RH-SSO Realm 管理密码。

 — 

False

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO 禁用 SSL 证书验证。

false

False

SSO_PRINCIPAL_ATTRIBUTE

SSO_PRINCIPAL_ATTRIBUTE

用作用户名的 RH-SSO 主体属性。

preferred_username

False

AUTH_LDAP_URL

AUTH_LDAP_URL

用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。

ldap://myldap.example.com:389

False

AUTH_LDAP_BIND_DN

AUTH_LDAP_BIND_DN

绑定用于身份验证的 DN。

uid=admin,ou=users,ou=example,ou=com

False

AUTH_LDAP_BIND_CREDENTIAL

AUTH_LDAP_BIND_CREDENTIAL

用于身份验证的 LDAP 凭据。

密码

False

AUTH_LDAP_LOGIN_MODULE

AUTH_LDAP_LOGIN_MODULE

将登录模块设置为可选的标志。需要默认值

optional

False

AUTH_LDAP_JAAS_SECURITY_DOMAIN

AUTH_LDAP_JAAS_SECURITY_DOMAIN

用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。

 — 

False

AUTH_LDAP_BASE_CTX_DN

AUTH_LDAP_BASE_CTX_DN

开始用户搜索的顶级上下文的 LDAP 基本 DN。

ou=users,ou=example,ou=com

False

AUTH_LDAP_BASE_FILTER

AUTH_LDAP_BASE_FILTER

用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。

(uid={0})

False

AUTH_LDAP_SEARCH_SCOPE

AUTH_LDAP_SEARCH_SCOPE

要使用的搜索范围。

SUBTREE_SCOPE

False

AUTH_LDAP_SEARCH_TIME_LIMIT

AUTH_LDAP_SEARCH_TIME_LIMIT

用户或组搜索的超时时间(毫秒)。

10000

False

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。

distinguishedName

False

AUTH_LDAP_PARSE_USERNAME

AUTH_LDAP_PARSE_USERNAME

指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。

true

False

AUTH_LDAP_USERNAME_BEGIN_STRING

AUTH_LDAP_USERNAME_BEGIN_STRING

定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

 — 

False

AUTH_LDAP_USERNAME_END_STRING

AUTH_LDAP_USERNAME_END_STRING

定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

 — 

False

AUTH_LDAP_ROLE_ATTRIBUTE_ID

AUTH_LDAP_ROLE_ATTRIBUTE_ID

包含用户角色的属性的名称。

memberOf

False

AUTH_LDAP_ROLES_CTX_DN

AUTH_LDAP_ROLES_CTX_DN

用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。

ou=groups,ou=example,ou=com

False

AUTH_LDAP_ROLE_FILTER

AUTH_LDAP_ROLE_FILTER

用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。

(memberOf={1})

False

AUTH_LDAP_ROLE_RECURSION

AUTH_LDAP_ROLE_RECURSION

角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。

1

False

AUTH_LDAP_DEFAULT_ROLE

AUTH_LDAP_DEFAULT_ROLE

所有经过身份验证的用户包括的角色

user

False

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。

name

False

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。

false

False

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。

false

False

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。

 — 

False

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3

 — 

False

AUTH_ROLE_MAPPER_REPLACE_ROLE

AUTH_ROLE_MAPPER_REPLACE_ROLE

是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。

 — 

False

15.3.2. 对象(object)

CLI 支持各种对象类型。可在 Openshift 文档中找到 这些对象类型及其缩写的列表。

15.3.2.1. 服务

服务是一个抽象,它定义了一组逻辑 pod 和用于访问它们的策略。如需更多信息,请参阅 container-engine 文档

服务端口名称描述

${APPLICATION_NAME}-rhpamcentr

8080

http

所有 Business Central Web 服务器的端口。

8443

https

${APPLICATION_NAME}-datagrid-ping

8888

ping

集群的 JGroups ping 端口。

${APPLICATION_NAME}-datagrid

11222

HotRod

为通过 Hot Rod 协议访问应用提供服务。

${APPLICATION_NAME}-kieserver

8080

http

所有 KIE 服务器 web 服务器的端口。

8443

https

${APPLICATION_NAME}-amq-tcp

61616

 — 

代理的 OpenWire 端口。

ping

8888

 — 

amq 集群的 JGroups ping 端口。

${APPLICATION_NAME}-mysql

3306

 — 

MySQL 服务器的端口。

15.3.2.2. Routes

路由是通过为服务提供外部可访问的主机名(如 www.example.com )公开服务的方法。路由器可以使用定义的路由和由服务标识的端点来提供从外部客户端到应用程序的命名连接。每个路由都由路由名称、服务选择器和(可选)安全配置组成。如需更多信息,请参阅 Openshift 文档

服务安全性Hostname

insecure-${APPLICATION_NAME}-rhpamcentr-http

none

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

${APPLICATION_NAME}-rhpamcentr-https

TLS 透传

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

insecure-${APPLICATION_NAME}-kieserver-http

none

${KIE_SERVER_HOSTNAME_HTTP}

${APPLICATION_NAME}-kieserver-https

TLS 透传

${KIE_SERVER_HOSTNAME_HTTPS}

15.3.2.3. 部署配置

OpenShift 中的部署是基于用户定义的模板(称为部署配置)的复制控制器。部署是手动创建的,或响应触发的事件。如需更多信息,请参阅 Openshift 文档

15.3.2.3.1. 触发器

触发器驱动创建新部署以响应 OpenShift 内部和外部的事件。如需更多信息,请参阅 Openshift 文档

Deployment触发器

${APPLICATION_NAME}-rhpamcentr

ImageChange

${APPLICATION_NAME}-kieserver

ImageChange

${APPLICATION_NAME}-mysql

ImageChange

15.3.2.3.2. Replicas

复制控制器确保指定数量的 pod "replicas" 在任意时间点上都在运行。如果太多,复制控制器会终止一些 pod。如果太多,它会启动更多。如需更多信息,请参阅 container-engine 文档

DeploymentReplicas

${APPLICATION_NAME}-rhpamcentr

2

${APPLICATION_NAME}-kieserver

2

${APPLICATION_NAME}-mysql

1

15.3.2.3.3. Pod 模板
15.3.2.3.3.1. 服务帐户

服务帐户是各个项目中存在的 API 对象。它们可以像任何其他 API 对象一样创建和删除。如需更多信息,请参阅 Openshift 文档

Deployment服务帐户

${APPLICATION_NAME}-rhpamcentr

${APPLICATION_NAME}-rhpamsvc

${APPLICATION_NAME}-kieserver

${APPLICATION_NAME}-rhpamsvc

15.3.2.3.3.2. 镜像
Deployment镜像

${APPLICATION_NAME}-rhpamcentr

${BUSINESS_CENTRAL_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-kieserver

${KIE_SERVER_IMAGE_STREAM_NAME}

${APPLICATION_NAME}-mysql

mysql

15.3.2.3.3.3. 就绪度(Readiness)探测

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/ready

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/readycheck

${APPLICATION_NAME}-mysql

/bin/sh -i -c MYSQL_PWD="$MYSQL_PASSWORD" mysql -h 127.0.0.1 -u $MYSQL_USER -D $MYSQL_DATABASE -e 'SELECT 1'

15.3.2.3.3.4. 存活度(Liveness)探测

${APPLICATION_NAME}-rhpamcentr

Http Get on http://localhost:8080/rest/healthy

${APPLICATION_NAME}-kieserver

Http Get on http://localhost:8080/services/rest/server/healthcheck

${APPLICATION_NAME}-mysql

tcpSocket on port 3306

15.3.2.3.3.5. 公开的端口
Deployments名称端口协议

${APPLICATION_NAME}-rhpamcentr

Jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

${APPLICATION_NAME}-kieserver

Jolokia

8778

TCP

http

8080

TCP

https

8443

TCP

${APPLICATION_NAME}-mysql

 — 

3306

TCP

15.3.2.3.3.6. 镜像环境变量
Deployment变量名称描述示例值

${APPLICATION_NAME}-rhpamcentr

APPLICATION_USERS_PROPERTIES

 — 

/opt/kie/data/configuration/application-users.properties

APPLICATION_ROLES_PROPERTIES

 — 

/opt/kie/data/configuration/application-roles.properties

KIE_ADMIN_USER

admin 用户名

根据凭证 secret 设置

KIE_ADMIN_PWD

admin 用户密码

根据凭证 secret 设置

KIE_MBEANS

KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性)

${KIE_MBEANS}

KIE_SERVER_CONTROLLER_OPENSHIFT_ENABLED

 — 

true

KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED

如果设置为 true,请打开 KIE Server 全局发现功能(Set the org.kie.server.controller.openshift.global.discovery.enabled 系统属性)

${KIE_SERVER_CONTROLLER_OPENSHIFT_GLOBAL_DISCOVERY_ENABLED}

KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE

启用通过 OpenShift 内部服务端点连接到 KIE 服务器。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性)

${KIE_SERVER_CONTROLLER_OPENSHIFT_PREFER_KIESERVER_SERVICE}

KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL

KIE ServerTemplate 缓存 TTL 以毫秒为单位。(设置 org.kie.server.controller.template.cache.ttl 系统属性)

${KIE_SERVER_CONTROLLER_TEMPLATE_CACHE_TTL}

KIE_SERVER_CONTROLLER_TOKEN

KIE 服务器控制器令牌用于 bearer 身份验证。(设置 org.kie.server.controller.token 系统属性)

${KIE_SERVER_CONTROLLER_TOKEN}

WORKBENCH_ROUTE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

MAVEN_MIRROR_URL

Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。

${MAVEN_MIRROR_URL}

MAVEN_REPO_ID

用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。

${MAVEN_REPO_ID}

MAVEN_REPO_URL

Maven 存储库或服务的完全限定 URL。

${MAVEN_REPO_URL}

MAVEN_REPO_USERNAME

用于访问 Maven 存储库的用户名(如果需要)。

${MAVEN_REPO_USERNAME}

MAVEN_REPO_PASSWORD

如果需要,用于访问 Maven 存储库的密码。

${MAVEN_REPO_PASSWORD}

GIT_HOOKS_DIR

用于 git hook 的目录(如果需要)。

${GIT_HOOKS_DIR}

HTTPS_KEYSTORE_DIR

 — 

/etc/businesscentral-secret-volume

HTTPS_KEYSTORE

Business Central 机密中的密钥存储文件的名称。

${BUSINESS_CENTRAL_HTTPS_KEYSTORE}

HTTPS_NAME

与 Business Central 的服务器证书关联的名称。

${BUSINESS_CENTRAL_HTTPS_NAME}

HTTPS_PASSWORD

Business Central 的密钥存储和证书的密码。

${BUSINESS_CENTRAL_HTTPS_PASSWORD}

JGROUPS_PING_PROTOCOL

 — 

kubernetes.KUBE_PING

KUBERNETES_NAMESPACE

 — 

 — 

KUBERNETES_LABELS

 — 

cluster=jgrp.k8s.${APPLICATION_NAME}.rhpamcentr

APPFORMER_INFINISPAN_SERVICE_NAME

 — 

${APPLICATION_NAME}-datagrid

APPFORMER_INFINISPAN_PORT

 — 

11222

APPFORMER_JMS_BROKER_ADDRESS

 — 

${APPLICATION_NAME}-amq-tcp

APPFORMER_JMS_BROKER_PORT

 — 

61616

APPFORMER_JMS_BROKER_USER

用于连接到 JMS 代理的用户名。

${APPFORMER_JMS_BROKER_USER}

APPFORMER_JMS_BROKER_PASSWORD

连接到 JMS 代理的密码。

${APPFORMER_JMS_BROKER_PASSWORD}

JAVA_MAX_MEM_RATIO

Business Central 容器 JVM 最大内存比率。-Xmx 设置为容器中可用内存的比例。默认值为 80,这意味着上限为 80%。要跳过添加 -Xmx 选项,请将此值设置为 0。

${BUSINESS_CENTRAL_JAVA_MAX_MEM_RATIO}

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO Realm 名称。

${SSO_REALM}

SSO_SECRET

Business Central RH-SSO 客户端 Secret。

${BUSINESS_CENTRAL_SSO_SECRET}

SSO_CLIENT

Business Central RH-SSO 客户端名称。

${BUSINESS_CENTRAL_SSO_CLIENT}

SSO_USERNAME

如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。

${SSO_USERNAME}

SSO_PASSWORD

用于创建客户端的 RH-SSO Realm 管理密码。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO 禁用 SSL 证书验证。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

用作用户名的 RH-SSO 主体属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

Business Central 的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-rhpamcentr-<project>.<default-domain-suffix>

${BUSINESS_CENTRAL_HOSTNAME_HTTP}

HOSTNAME_HTTPS

Business Central 的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-rhpamcentr-<project>.<default-domain-suffix>

${BUSINESS_CENTRAL_HOSTNAME_HTTPS}

AUTH_LDAP_URL

用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

绑定用于身份验证的 DN。

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

用于身份验证的 LDAP 凭据。

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

将登录模块设置为可选的标志。需要默认值

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

开始用户搜索的顶级上下文的 LDAP 基本 DN。

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

要使用的搜索范围。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

用户或组搜索的超时时间(毫秒)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

包含用户角色的属性的名称。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

所有经过身份验证的用户包括的角色

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-kieserver

WORKBENCH_SERVICE_NAME

 — 

${APPLICATION_NAME}-rhpamcentr

TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL

为 EJB 计时器数据库数据存储服务设置 refresh-interval。

${TIMER_SERVICE_DATA_STORE_REFRESH_INTERVAL}

数据源

 — 

RHPAM

RHPAM_DATABASE

MySQL 数据库名称。

${MYSQL_DB}

RHPAM_DRIVER

 — 

mariadb

RHPAM_USERNAME

MySQL 数据库用户名。

${MYSQL_USER}

RHPAM_PASSWORD

MySQL 数据库密码。

${MYSQL_PWD}

RHPAM_SERVICE_HOST

 — 

${APPLICATION_NAME}-mysql

RHPAM_SERVICE_PORT

 — 

3306

KIE_SERVER_PERSISTENCE_DIALECT

KIE Server MySQL Hibernate dialect.

${KIE_SERVER_MYSQL_DIALECT}

KIE_SERVER_PERSISTENCE_DS

KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JNDI

KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性)

${KIE_SERVER_PERSISTENCE_DS}

RHPAM_JTA

 — 

true

KIE_ADMIN_USER

admin 用户名

根据凭证 secret 设置

KIE_ADMIN_PWD

admin 用户密码

根据凭证 secret 设置

KIE_MBEANS

KIE 服务器 mbeans 启用/禁用。(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性)

${KIE_MBEANS}

KIE_SERVER_MODE

KIE 服务器模式.有效值为 'DEVELOPMENT' 或 'SVVPUCTION'。在生产环境模式中,您无法在 KIE 服务器上部署工件的 SNAPSHOT 版本,且无法更改现有容器中的工件版本。(设置 org.kie.server.mode 系统属性)。

${KIE_SERVER_MODE}

DROOLS_SERVER_FILTER_CLASSES

KIE 服务器类过滤。(设置 org.drools.server.filter.classes 系统属性)

${DROOLS_SERVER_FILTER_CLASSES}

PROMETHEUS_SERVER_EXT_DISABLED

如果设置为 false,则会启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性)

${PROMETHEUS_SERVER_EXT_DISABLED}

KIE_SERVER_BYPASS_AUTH_USER

允许 KIE 服务器绕过经过身份验证的用户以获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性)

${KIE_SERVER_BYPASS_AUTH_USER}

KIE_SERVER_CONTROLLER_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

KIE_SERVER_CONTROLLER_PROTOCOL

 — 

WS

KIE_SERVER_ID

 — 

 — 

KIE_SERVER_ROUTE_NAME

 — 

insecure-${APPLICATION_NAME}-kieserver

KIE_SERVER_STARTUP_STRATEGY

 — 

OpenShiftStartupStrategy

MAVEN_MIRROR_URL

Business Central 和 KIE 服务器的 Maven 镜像必须使用。如果配置镜像,此镜像必须包含构建和部署服务所需的所有工件。

${MAVEN_MIRROR_URL}

MAVEN_MIRROR_OF

KIE 服务器的 Maven 镜像配置。

${MAVEN_MIRROR_OF}

MAVEN_REPOS

 — 

RHPAMCENTR,EXTERNAL

RHPAMCENTR_MAVEN_REPO_ID

 — 

repo-rhpamcentr

RHPAMCENTR_MAVEN_REPO_SERVICE

 — 

${APPLICATION_NAME}-rhpamcentr

RHPAMCENTR_MAVEN_REPO_PATH

 — 

/maven2/

RHPAMCENTR_MAVEN_REPO_USERNAME

 — 

根据凭证 secret 设置

RHPAMCENTR_MAVEN_REPO_PASSWORD

 — 

根据凭证 secret 设置

EXTERNAL_MAVEN_REPO_ID

用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来将其从可选配置的镜像中排除。例如: external:datacentre,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL 但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但不会在 MAVEN_MIRROR_OF 中使用。

${MAVEN_REPO_ID}

EXTERNAL_MAVEN_REPO_URL

Maven 存储库或服务的完全限定 URL。

${MAVEN_REPO_URL}

EXTERNAL_MAVEN_REPO_USERNAME

用于访问 Maven 存储库的用户名(如果需要)。

${MAVEN_REPO_USERNAME}

EXTERNAL_MAVEN_REPO_PASSWORD

如果需要,用于访问 Maven 存储库的密码。

${MAVEN_REPO_PASSWORD}

HTTPS_KEYSTORE_DIR

 — 

/etc/kieserver-secret-volume

HTTPS_KEYSTORE

KIE 服务器的 secret 中的密钥存储文件的名称。

${KIE_SERVER_HTTPS_KEYSTORE}

HTTPS_NAME

与 KIE 服务器的服务器证书关联的名称。

${KIE_SERVER_HTTPS_NAME}

HTTPS_PASSWORD

KIE 服务器的密钥存储和证书的密码。

${KIE_SERVER_HTTPS_PASSWORD}

KUBERNETES_NAMESPACE

 — 

 — 

KUBERNETES_LABELS

 — 

cluster=jgrp.k8s.${APPLICATION_NAME}.kieserver

SSO_URL

RH-SSO URL。

${SSO_URL}

SSO_OPENIDCONNECT_DEPLOYMENTS

 — 

ROOT.war

SSO_REALM

RH-SSO Realm 名称。

${SSO_REALM}

SSO_SECRET

KIE 服务器 RH-SSO 客户端机密.

${KIE_SERVER_SSO_SECRET}

SSO_CLIENT

KIE 服务器 RH-SSO 客户端名称。

${KIE_SERVER_SSO_CLIENT}

SSO_USERNAME

如果不存在,用于创建客户端的 RH-SSO Realm admin 用户名。

${SSO_USERNAME}

SSO_PASSWORD

用于创建客户端的 RH-SSO Realm 管理密码。

${SSO_PASSWORD}

SSO_DISABLE_SSL_CERTIFICATE_VALIDATION

RH-SSO 禁用 SSL 证书验证。

${SSO_DISABLE_SSL_CERTIFICATE_VALIDATION}

SSO_PRINCIPAL_ATTRIBUTE

用作用户名的 RH-SSO 主体属性。

${SSO_PRINCIPAL_ATTRIBUTE}

HOSTNAME_HTTP

KIE 服务器的 http 服务路由的自定义主机名。为默认主机名保留空白,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTP}

HOSTNAME_HTTPS

KIE 服务器的 https 服务路由的自定义主机名。为默认主机名保留空白,例如:<application-name>-kieserver-<project>.<default-domain-suffix>

${KIE_SERVER_HOSTNAME_HTTPS}

AUTH_LDAP_URL

用于连接身份验证的 LDAP 端点。对于故障转移,请设置两个或多个 LDAP 端点,用空格分开。

${AUTH_LDAP_URL}

AUTH_LDAP_BIND_DN

绑定用于身份验证的 DN。

${AUTH_LDAP_BIND_DN}

AUTH_LDAP_BIND_CREDENTIAL

用于身份验证的 LDAP 凭据。

${AUTH_LDAP_BIND_CREDENTIAL}

AUTH_LDAP_LOGIN_MODULE

将登录模块设置为可选的标志。需要默认值

${AUTH_LDAP_LOGIN_MODULE}

AUTH_LDAP_JAAS_SECURITY_DOMAIN

用于解密密码的 JaasSecurityDomain 的 JMX ObjectName。

${AUTH_LDAP_JAAS_SECURITY_DOMAIN}

AUTH_LDAP_BASE_CTX_DN

开始用户搜索的顶级上下文的 LDAP 基本 DN。

${AUTH_LDAP_BASE_CTX_DN}

AUTH_LDAP_BASE_FILTER

用于查找用于身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。搜索过滤器的常见示例为(uid={0})。

${AUTH_LDAP_BASE_FILTER}

AUTH_LDAP_SEARCH_SCOPE

要使用的搜索范围。

${AUTH_LDAP_SEARCH_SCOPE}

AUTH_LDAP_SEARCH_TIME_LIMIT

用户或组搜索的超时时间(毫秒)。

${AUTH_LDAP_SEARCH_TIME_LIMIT}

AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE

包含用户 DN 的用户条目中的属性名称。如果用户本身的 DN 包含特殊字符,例如,反斜杠可以防止正确的用户映射,这可能是必需的。如果属性不存在,则使用条目的 DN。

${AUTH_LDAP_DISTINGUISHED_NAME_ATTRIBUTE}

AUTH_LDAP_PARSE_USERNAME

指明是否为用户名解析 DN 的标志。如果设置为 true,则会为用户名解析 DN。如果设置为 false,则不会为用户名解析 DN。这个选项与 usernameBeginString 和 usernameEndString 一起使用。

${AUTH_LDAP_PARSE_USERNAME}

AUTH_LDAP_USERNAME_BEGIN_STRING

定义要从 DN 的开头删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

${AUTH_LDAP_USERNAME_BEGIN_STRING}

AUTH_LDAP_USERNAME_END_STRING

定义要从 DN 末尾删除的字符串,以显示用户名。这个选项与 usernameEndString 一起使用,只有在 parseUsername 设为 true 时才会考虑。

${AUTH_LDAP_USERNAME_END_STRING}

AUTH_LDAP_ROLE_ATTRIBUTE_ID

包含用户角色的属性的名称。

${AUTH_LDAP_ROLE_ATTRIBUTE_ID}

AUTH_LDAP_ROLES_CTX_DN

用于搜索用户角色的上下文的固定 DN。这不是实际角色所在的 DN,而是包含用户角色的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所在的 DN。

${AUTH_LDAP_ROLES_CTX_DN}

AUTH_LDAP_ROLE_FILTER

用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 替换为使用 {0} 表达式的任意任何位置的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。在输入用户名上匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。

${AUTH_LDAP_ROLE_FILTER}

AUTH_LDAP_ROLE_RECURSION

角色搜索的递归级别数将位于匹配的上下文下。通过将它设置为 0 来禁用递归。

${AUTH_LDAP_ROLE_RECURSION}

AUTH_LDAP_DEFAULT_ROLE

所有经过身份验证的用户包括的角色

${AUTH_LDAP_DEFAULT_ROLE}

AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID

roleCtxDN 上下文中包含角色名称的属性名称。如果 roleAttributeIsDN 属性设置为 true,则此属性用于查找角色的 name 属性。

${AUTH_LDAP_ROLE_NAME_ATTRIBUTE_ID}

AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN

表示查询返回的 DN 是否包含 roleNameAttributeID 的标志。如果设置为 true,则会检查 roleNameAttributeID 的 DN。如果设置为 false,则不会检查 roleNameAttributeID 的 DN。此标志可以提高 LDAP 查询的性能。

${AUTH_LDAP_PARSE_ROLE_NAME_FROM_DN}

AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN

roleAttributeID 是否包含角色对象的完全限定 DN。如果为 false,则从上下文名称的 roleNameAttributeId 属性的值中获取角色名称。某些目录模式(如 Microsoft Active Directory)要求此属性设置为 true。

${AUTH_LDAP_ROLE_ATTRIBUTE_IS_DN}

AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK

如果您不使用引用,可以忽略这个选项。在使用引用时,此选项表示属性名称,其中包含为特定角色定义的用户,如 member,如果角色对象位于引用中。根据此属性名称的内容检查用户。如果没有设置这个选项,则检查将始终失败,因此无法将角色对象存储在引用树中。

${AUTH_LDAP_REFERRAL_USER_ATTRIBUTE_ID_TO_CHECK}

AUTH_ROLE_MAPPER_ROLES_PROPERTIES

存在时,roleMapping Login 模块将配置为使用所提供的文件。此参数定义将角色映射到替换角色的属性文件或资源的完全限定文件路径和名称。文件中每个条目的格式为 original_role=role1,role2,role3

${AUTH_ROLE_MAPPER_ROLES_PROPERTIES}

AUTH_ROLE_MAPPER_REPLACE_ROLE

是否添加到当前角色,还是将当前角色替换为映射的角色。如果设置为 true,则替换。

${AUTH_ROLE_MAPPER_REPLACE_ROLE}

${APPLICATION_NAME}-mysql

MYSQL_USER

MySQL 数据库用户名。

${MYSQL_USER}

MYSQL_PASSWORD

MySQL 数据库密码。

${MYSQL_PWD}

MYSQL_DATABASE

MySQL 数据库名称。

${MYSQL_DB}

MYSQL_DEFAULT_AUTHENTICATION_PLUGIN

 — 

mysql_native_password

15.3.2.3.3.7. 卷
Deployment名称mountPath用途readOnly

${APPLICATION_NAME}-rhpamcentr

businesscentral-keystore-volume

/etc/businesscentral-secret-volume

SSL 证书

true

${APPLICATION_NAME}-kieserver

kieserver-keystore-volume

/etc/kieserver-secret-volume

SSL 证书

true

${APPLICATION_NAME}-mysql

${APPLICATION_NAME}-mysql-pvol

/var/lib/mysql/data

mysql

false

15.3.2.4. 外部依赖项

15.3.2.4.1. VolumeClaim

PersistentVolume 对象是 OpenShift 集群中的存储资源。管理员通过从 GCE Persistent Disks、AWS Elastic Block Stores (EBS)和 NFS 挂载等源创建 PersistentVolume 对象来置备存储。如需更多信息,请参阅 Openshift 文档

名称访问模式

${APPLICATION_NAME}-rhpamcentr-claim

ReadWriteMany

${APPLICATION_NAME}-mysql-claim

ReadWriteOnce

15.3.2.4.2. Secrets

此模板需要安装以下机密才能运行应用程序:

  • businesscentral-app-secret
  • kieserver-app-secret
15.3.2.4.3. 集群

OpenShift EAP 中的集群通过 Kubernetes 发现机制来实现。这可以通过使用 < kubernetes.KUBE_PING/> 元素在 standalone-openshift.xml 中配置 JGroups 协议堆栈 来实现。模板配置为使用 kubernetes.KUBE_PING

使用的发现机制由 JGROUPS_PING_PROTOCOL 环境变量指定,它可以设置为 kubernetes.KUBE_PING如果没有为 JGROUPS_PING_PROTOCOL 指定值,则镜像使用的默认值是 Kubernetes.KUBE _PING。

要使 kubernetes.KUBE_PING 正常工作,必须执行以下步骤:

  1. KUBERNETES_NAMESPACE 环境变量必须使用分配给 pod 的 kubernetes metadata.namespace 设置。如果没有设置,服务器将充当单一节点集群(一个"集群")。
  2. 应设置 KUBERNETES_LABELS 环境变量(请参阅上面的表)。如果没有设置,则应用程序外的 pod (命名空间中的 pod)会尝试加入。
  3. 用作 KUBERNETES_LABELS 的值必须作为标签添加到对应的部署配置中。按照惯例,值为 cluster=kubernetes.ping.<name>-cluster,使用的 name 是 console-cluster, consolemon-cluster, kieserver-cluster。
  4. 必须向运行 Pod 的服务帐户授予授权,以允许访问 Kubernetes 的 REST api。这会在命令行中完成。

例 15.1. 策略命令

在 myproject 命名空间中使用 default 服务帐户:

oc policy add-role-to-user view system:serviceaccount:myproject:default -n myproject

在 myproject 命名空间中使用 eap-service-account :

oc policy add-role-to-user view system:serviceaccount:myproject:eap-service-account -n myproject
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.