红帽全球峰会15.4. rhpam712-prod-immutable-monitor.yaml template
用于 Red Hat Process Automation Manager 7.12 的生产环境中的路由器和监控控制台的应用程序模板 - 已弃用
15.4.1. 参数
模板允许您定义接受值的参数。然后,该值会在引用参数的位置替换。可在对象列表字段中的任意文本字段中定义引用。如需更多信息,请参阅 Openshift 文档。
| 变量名称 | 镜像环境变量 | 描述 | 示例值 | 必填 |
|---|---|---|---|---|
|
| — | 应用程序的名称。 | myapp | true |
|
|
| 用于 maven 存储库的 id (如果已设置)。默认是随机生成的。 | repo-custom | False |
|
|
| Maven 存储库或服务的完全限定 URL。 | http://nexus.nexus-project.svc.cluster.local:8081/nexus/content/groups/public/ | False |
|
|
| 用于访问 Maven 存储库的用户名(如果需要)。 | — | False |
|
|
| 如果需要,用于访问 Maven 存储库的密码。 | — | False |
|
|
| 可选的 Business Central 的服务名称(如果需要的话),以允许服务查找(如 maven repo usage)。 | myapp-rhpamcentr | False |
|
| — | 包含 KIE_ADMIN_USER 和 KIE_ADMIN_PWD 值的 secret | rhpam-credentials | true |
|
|
| 如果设置为 true,请打开 KIE Server 全局发现功能(设置 org.kie.server.controller.openshift.global.discovery.enabled 系统属性) | false | False |
|
|
| 如果开启了 Business Central 的 OpenShift 集成,则将此参数设置为 true 可让通过 OpenShift 内部服务端点连接到 KIE Server。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性) | true | False |
|
|
| KIE ServerTemplate Cache TTL,以毫秒为单位(设置 org.kie.server.controller.template.cache.ttl 系统属性) | 5000 | False |
|
| — | 安装 Red Hat Process Automation Manager 镜像的 ImageStreams 的命名空间。这些 ImageStreams 通常安装在 openshift 命名空间中。只有在不同的命名空间/项目中安装 ImageStream 时,才需要修改此参数。默认为 "openshift"。 | openshift | true |
|
| — | 指向镜像流中镜像的命名指针。默认为 "7.12.0"。 | 7.12.0 | False |
|
| — | http 服务路由的自定义主机名。默认主机名留空,例如: insecure-<application-name>-smartrouter-<project>.<default-domain-suffix> | — | False |
|
| — | https 服务路由的自定义主机名。默认主机名留空,例如: <application-name>-smartrouter-<project>.<default-domain-suffix> | — | False |
|
|
| API 通信中使用的路由器 ID。(路由器属性 org.kie.server.router.id) | kie-server-router | true |
|
|
| KIE 服务器路由器协议.(用于构建 org.kie.server.router.url.external 属性) | http | False |
|
|
| 可以找到路由器的公共 URL。格式 http://<host>:<port> (Router 属性 org.kie.server.router.url.external) | — | False |
|
|
| Business Central 用户界面中使用的路由器名称。(路由器属性 org.kie.server.router.name) | KIE Server Router | true |
|
| — | 包含密钥存储文件的 secret 名称。 | smartrouter-app-secret | true |
|
| — | 机密中的密钥存储文件的名称。 | keystore.jks | False |
|
|
| 与服务器证书关联的名称。 | jboss | False |
|
|
| 密钥存储和证书的密码。 | mykeystorepass | False |
|
|
| KIE 服务器监控 bearer 身份验证的令牌。(设置 org.kie.server.controller.token 系统属性) | — | False |
|
|
| http 服务路由的自定义主机名。默认主机名留空,例如: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix> | — | False |
|
|
| https 服务路由的自定义主机名。默认主机名留空,例如: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix> | — | False |
|
| — | 包含密钥存储文件的 secret 名称。 | businesscentral-app-secret | true |
|
|
| 机密中的密钥存储文件的名称。 | keystore.jks | False |
|
|
| 与服务器证书关联的名称。 | jboss | False |
|
|
| 密钥存储和证书的密码。 | mykeystorepass | False |
|
| — | Business Central 容器内存限值。 | 2Gi | true |
|
| — | Business Central 容器内存请求。 | 1536Mi | true |
|
| — | Business Central 容器 CPU 限制。 | 1 | true |
|
| — | Business Central 容器 CPU 请求. | 750m | true |
|
| — | 智能路由器容器内存限值。 | 512Mi | False |
|
|
| RH-SSO URL。 | https://rh-sso.example.com/auth | False |
|
|
| RH-SSO Realm 名称。 | — | False |
|
|
| Business Central 监控 RH-SSO 客户端名称. | — | False |
|
|
| Business Central 监控 RH-SSO 客户端 Secret。 | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
|
| 用于创建客户端的 RH-SSO Realm admin 用户名(如果不存在)。 | — | False |
|
|
| 用于创建客户端的 RH-SSO Realm 管理员密码。 | — | False |
|
|
| RH-SSO 禁用 SSL 证书验证. | false | False |
|
|
| RH-SSO Principal Attribute,用作用户名。 | preferred_username | False |
|
|
| 要连接的 LDAP 端点以进行身份验证。对于故障转移,请设置两个或更多 LDAP 端点,用空格分开。 | ldap://myldap.example.com:389 | False |
|
|
| LDAP 登录模块标志,增加了与 Elytron 上传统安全子系统的向后兼容性。"可选"是唯一支持的值(如果设置),它将在使用 KIE_ADMIN_USER 添加用户的 Elytron 配置中创建分布式域。 | optional | False |
|
|
| 启用故障转移,如果 LDAP Url 不可访问,它将切换到 KieFsRealm。 | true | False |
|
|
| 用于身份验证的绑定 DN。 | uid=admin,ou=users,ou=example,ou=com | False |
|
|
| 用于身份验证的 LDAP 凭据。 | 密码 | False |
|
|
| 顶级上下文的 LDAP 基础 DN 开始用户搜索。 | ou=users,ou=example,ou=com | False |
|
|
| 用于查找要进行身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。搜索过滤器的一个常见示例是(uid={0})。 | (uid={0}) | False |
|
|
| 指明用户查询是否递归。 | true | False |
|
|
| 用户或角色搜索的超时时间(毫秒)。 | 10000 | False |
|
|
| 包含用户角色的属性名称。 | memberOf | False |
|
|
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色的 DN,而是包含用户角色对象的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所属的 DN。 | ou=groups,ou=example,ou=com | False |
|
|
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。与输入用户名匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 | (memberOf={1}) | False |
|
|
| 角色搜索的递归级别数量将保存在匹配的上下文下。将此选项设置为 0 来禁用递归。 | 1 | False |
|
|
| 包含所有经过身份验证的用户的角色。 | user | False |
|
|
| 提供 LDAP 身份映射的新身份,此 env 一起使用的模式是 'attribute_name=attribute_value;another_attribute_name=value' | sn=BlankSurname;cn=BlankCommonName | False |
|
|
| 如果后面应遵循 LDAP 引用:对应于 REFERRAL ('java.naming.referral') 环境属性。允许的值: 'ignore', 'follow', 'throw' | — | False |
|
|
| 存在时,roleMapping 将配置为使用提供的属性文件或角色。此参数定义属性文件的完全限定域名或一组具有以下模式 'role=role1;another-role=role2' 的角色。文件中每个条目的格式为 original_role=role1,role2,role3 | role=role1,role3,role4;role7=role,admin | False |
|
|
| 当设置为 'true' 时,映射的角色将保留所有已定义映射的角色。 | — | False |
|
|
| 当设置为 'true' 时,映射的角色将保留所有没有定义的映射的角色。 | — | False |
15.4.2. 对象(object)
CLI 支持各种对象类型。Openshift 文档 可以找到这些对象类型及其缩写的列表。
15.4.2.1. 服务
服务是一个抽象,用于定义一组逻辑的 pod 以及用于访问它们的策略。如需更多信息,请参阅 container-engine 文档。
| 服务 | 端口 | 名称 | 描述 |
|---|---|---|---|
|
| 8080 | http | 所有 Business Central 监控 Web 服务器的端口。 |
| 8443 | https | ||
|
| 9000 | http | 智能路由器服务器 http 和 https 端口。 |
| 9443 | https |
15.4.2.2. Routes
路由是通过为服务提供一个外部可访问主机名(如 www.example.com )来公开服务的方法。定义的路由和由服务标识的端点可由路由器使用,从而从外部客户端向应用程序提供命名连接。每个路由都由路由名称、服务选择器和(可选)安全配置组成。如需更多信息,请参阅 Openshift 文档。
| 服务 | 安全性 | Hostname |
|---|---|---|
| insecure-${APPLICATION_NAME}-rhpamcentrmon-http | none |
|
|
| TLS 透传 |
|
| insecure-${APPLICATION_NAME}-smartrouter-http | none |
|
|
| TLS 透传 |
|
15.4.2.3. 部署配置
OpenShift 中的部署是基于名为部署配置的用户定义的模板的复制控制器。部署是手动创建的,或响应触发的事件。如需更多信息,请参阅 Openshift 文档。
15.4.2.3.1. 触发器
触发器驱动创建新部署以响应 OpenShift 内部和外部的事件。如需更多信息,请参阅 Openshift 文档。
| Deployment | 触发器 |
|---|---|
|
| ImageChange |
|
| ImageChange |
15.4.2.3.2. Replicas
复制控制器确保任意一个时间运行指定数量的 pod "replicas"。如果数量太多,复制控制器会终止一些 pod。如果数量太少,它会启动更多。如需更多信息,请参阅 container-engine 文档。
| Deployment | Replicas |
|---|---|
|
| 1 |
|
| 2 |
15.4.2.3.3. Pod 模板
15.4.2.3.3.1. 服务帐户
服务帐户是各个项目中存在的 API 对象。它们可以像任何其他 API 对象一样创建或删除。如需更多信息,请参阅 Openshift 文档。
| Deployment | 服务帐户 |
|---|---|
|
|
|
|
|
|
15.4.2.3.3.2. 镜像
| Deployment | 镜像 |
|---|---|
|
| rhpam-businesscentral-monitoring-rhel8 |
|
| rhpam-smartrouter-rhel8 |
15.4.2.3.3.3. 就绪度(Readiness)探测
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/ready
Http Get on http://localhost:8080/rest/ready15.4.2.3.3.4. 存活度(Liveness)探测
${APPLICATION_NAME}-rhpamcentrmon
Http Get on http://localhost:8080/rest/healthy
Http Get on http://localhost:8080/rest/healthy15.4.2.3.3.5. 公开端口
| Deployments | 名称 | 端口 | 协议 |
|---|---|---|---|
|
| Jolokia | 8778 |
|
| http | 8080 |
| |
| https | 8443 |
| |
|
| http | 9000 |
|
15.4.2.3.3.6. 镜像环境变量
| Deployment | 变量名称 | 描述 | 示例值 |
|---|---|---|---|
|
|
| — |
|
|
| — |
| |
|
| admin 用户名 | 根据凭证 secret 设置 | |
|
| admin 用户密码 | 根据凭证 secret 设置 | |
|
| — | RHPAMCENTR,EXTERNAL | |
|
| — | repo-rhpamcentr | |
|
| 可选的 Business Central 的服务名称(如果需要的话),以允许服务查找(如 maven repo usage)。 |
| |
|
| — |
| |
|
| — | 根据凭证 secret 设置 | |
|
| — | 根据凭证 secret 设置 | |
|
| 用于 maven 存储库的 id (如果已设置)。默认是随机生成的。 |
| |
|
| Maven 存储库或服务的完全限定 URL。 |
| |
|
| 用于访问 Maven 存储库的用户名(如果需要)。 |
| |
|
| 如果需要,用于访问 Maven 存储库的密码。 |
| |
|
| — | true | |
|
| 如果设置为 true,请打开 KIE Server 全局发现功能(设置 org.kie.server.controller.openshift.global.discovery.enabled 系统属性) |
| |
|
| 如果开启了 Business Central 的 OpenShift 集成,则将此参数设置为 true 可让通过 OpenShift 内部服务端点连接到 KIE Server。(设置 org.kie.server.controller.openshift.prefer.kieserver.service 系统属性) |
| |
|
| KIE ServerTemplate Cache TTL,以毫秒为单位(设置 org.kie.server.controller.template.cache.ttl 系统属性) |
| |
|
| KIE 服务器监控 bearer 身份验证的令牌。(设置 org.kie.server.controller.token 系统属性) |
| |
|
| — |
| |
|
| 机密中的密钥存储文件的名称。 |
| |
|
| 与服务器证书关联的名称。 |
| |
|
| 密钥存储和证书的密码。 |
| |
|
| — | kubernetes.KUBE_PING | |
|
| — | — | |
|
| — | cluster=jgrp.k8s.${APPLICATION_NAME}.rhpamcentrmon | |
|
| RH-SSO URL。 |
| |
|
| — | ROOT.war | |
|
| RH-SSO Realm 名称。 |
| |
|
| Business Central 监控 RH-SSO 客户端 Secret。 |
| |
|
| Business Central 监控 RH-SSO 客户端名称. |
| |
|
| 用于创建客户端的 RH-SSO Realm admin 用户名(如果不存在)。 |
| |
|
| 用于创建客户端的 RH-SSO Realm 管理员密码。 |
| |
|
| RH-SSO 禁用 SSL 证书验证. |
| |
|
| RH-SSO Principal Attribute,用作用户名。 |
| |
|
| http 服务路由的自定义主机名。默认主机名留空,例如: insecure-<application-name>-rhpamcentrmon-<project>.<default-domain-suffix> |
| |
|
| https 服务路由的自定义主机名。默认主机名留空,例如: <application-name>-rhpamcentrmon-<project>.<default-domain-suffix> |
| |
|
| 要连接的 LDAP 端点以进行身份验证。对于故障转移,请设置两个或更多 LDAP 端点,用空格分开。 |
| |
|
| LDAP 登录模块标志,增加了与 Elytron 上传统安全子系统的向后兼容性。"可选"是唯一支持的值(如果设置),它将在使用 KIE_ADMIN_USER 添加用户的 Elytron 配置中创建分布式域。 |
| |
|
| 启用故障转移,如果 LDAP Url 不可访问,它将切换到 KieFsRealm。 |
| |
|
| 用于身份验证的绑定 DN。 |
| |
|
| 用于身份验证的 LDAP 凭据。 |
| |
|
| 顶级上下文的 LDAP 基础 DN 开始用户搜索。 |
| |
|
| 用于查找要进行身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。搜索过滤器的一个常见示例是(uid={0})。 |
| |
|
| 指明用户查询是否递归。 |
| |
|
| 用户或角色搜索的超时时间(毫秒)。 |
| |
|
| 包含用户角色的属性名称。 |
| |
|
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色的 DN,而是包含用户角色对象的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所属的 DN。 |
| |
|
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。与输入用户名匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 |
| |
|
| 角色搜索的递归级别数量将保存在匹配的上下文下。将此选项设置为 0 来禁用递归。 |
| |
|
| 包含所有经过身份验证的用户的角色。 |
| |
|
| 提供 LDAP 身份映射的新身份,此 env 一起使用的模式是 'attribute_name=attribute_value;another_attribute_name=value' |
| |
|
| 如果后面应遵循 LDAP 引用:对应于 REFERRAL ('java.naming.referral') 环境属性。允许的值: 'ignore', 'follow', 'throw' |
| |
|
| 存在时,roleMapping 将配置为使用提供的属性文件或角色。此参数定义属性文件的完全限定域名或一组具有以下模式 'role=role1;another-role=role2' 的角色。文件中每个条目的格式为 original_role=role1,role2,role3 |
| |
|
| 当设置为 'true' 时,映射的角色将保留所有已定义映射的角色。 |
| |
|
| 当设置为 'true' 时,映射的角色将保留所有没有定义的映射的角色。 |
| |
|
|
| — | — |
|
| — | 9000 | |
|
| — | 9443 | |
|
| 可以找到路由器的公共 URL。格式 http://<host>:<port> (Router 属性 org.kie.server.router.url.external) |
| |
|
| API 通信中使用的路由器 ID。(路由器属性 org.kie.server.router.id) |
| |
|
| Business Central 用户界面中使用的路由器名称。(路由器属性 org.kie.server.router.name) |
| |
|
| — |
| |
|
| — |
| |
|
| KIE 服务器路由器协议.(用于构建 org.kie.server.router.url.external 属性) |
| |
|
| 与服务器证书关联的名称。 |
| |
|
| 密钥存储和证书的密码。 |
| |
|
| — |
| |
|
| admin 用户名 | 根据凭证 secret 设置 | |
|
| admin 用户密码 | 根据凭证 secret 设置 | |
|
| KIE 服务器监控 bearer 身份验证的令牌。(设置 org.kie.server.controller.token 系统属性) |
| |
|
| — |
| |
|
| — | http | |
|
| — |
| |
|
| — | true |
15.4.2.3.3.7. 卷
| Deployment | 名称 | mountPath | 用途 | readOnly |
|---|---|---|---|---|
|
| businesscentral-keystore-volume |
| SSL 证书 | true |
|
|
|
| — | false |
15.4.2.4. 外部依赖项
15.4.2.4.1. 持久性卷声明
PersistentVolume 对象是 OpenShift 集群中的存储资源。通过从 GCE Persistent Disks、AWS Elastic Block Stores (EBS)和 NFS 挂载等源创建 PersistentVolume 对象来置备存储。如需更多信息,请参阅 Openshift 文档。
| 名称 | 访问模式 |
|---|---|
|
| ReadWriteMany |
|
| ReadWriteMany |
15.4.2.4.2. Secrets
此模板需要安装下列机密,以便应用运行:
- smartrouter-app-secret
- businesscentral-app-secret
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}