Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.4. 使用带有 Amazon Web Services 的 Helm 安装受信任的配置文件分析器

您可以使用来自红帽的 Helm Chart 在 OpenShift 上安装红帽受信任的配置文件分析器(RHTPA)服务。此流程指导您通过使用 Helm 的自定义值文件将 Amazon Web Services (AWS)与 RHTPA 集成。

重要

如果机密值在安装后发生变化,OpenShift 会重新部署 RHTPA。

先决条件

  • 一个运行 4.16 或更高版本的 Red Hat OpenShift Container Platform 集群。

    • 支持 Ingress 资源来提供使用 HTTPS 的公开可信证书。
  • Helm 版本 3.17 或更高版本。
  • 为 Helm 置备传输层安全(TLS)证书 的功能。

  • 可访问以下服务的 AWS 帐户:

    • 简单存储服务(S3)
    • 使用 PostgreSQL 数据库实例进行关系数据库服务(RDS)
    • Cognito 与现有 Cognito 域.

  • 创建了以下 未指定版本的 S3 存储桶名称: https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html

    • trustify-UNIQUE_ID
    重要

    这个存储桶名称必须在同一分区中的所有 AWS 区域中的所有 AWS 帐户之间唯一。有关 存储桶命名规则 的更多信息,请参阅 Amazon 的 S3 文档。

  • 使用 cluster-admin 角色访问 OpenShift Web 控制台。
  • 安装了 ochelm 二进制文件的工作站。

流程

  1. 在工作站中,打开一个终端,然后使用命令行界面登录到 OpenShift: 

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
     
    $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    注意

    您可以从 OpenShift Web 控制台找到要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名,然后点 Copy login 命令。再次提供您的用户名和密码,然后单击 Display Token 以查看该命令。

  2. 为 RHTPA 部署创建一个新项目: 

    oc new-project PROJECT_NAME
     
    $ oc new-project trusted-profile-analyzer

  3. 打开新文件进行编辑: 

    $ vi values-rhtpa.yaml
  4. RHTPA 值文件模板 复制并粘贴到新 values-rhtpa.yaml 文件中。

  5. 使用相关 AWS 信息更新 values-rhtpa.yaml 文件。

    1. REGION,USER_POOL_ID,FRONTEND_CLIENT_ID, 和 CLI_CLIENT_ID 替换为您的相关的 Amazon Cognito 信息。您可以在 User pool overview 部分的 AWS Cognito Console 中找到此信息。
    2. UNIQUE_ID 替换为您的 trustify- S3 存储桶的唯一存储桶名称。
    3. 保存文件并退出编辑器。

  6. 使用您的 AWS 凭证创建 S3 存储 secret 资源: 

    apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY
     
    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF

  7. 创建 OpenID Connect (OIDC)客户端 secret 资源: 

    apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET
     
    $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF

  8. 使用您的 Amazon RDS 凭据创建两个 PostgreSQL 数据库机密资源。

    1. PostgreSQL 标准用户 secret 资源: 

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
       
      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF

    2. PostgreSQL 管理员 secret 资源: 

      apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT
       
      $ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF
    3. 在 AWS 管理控制台中配置 Amazon Virtual Private Cloud (VPC)安全组,以允许端口 5432。

  9. 打开新文件进行编辑: 

    $ vi values-importers.yaml
    1. RHTPA importers 值文件模板 复制并粘贴到新 values-importers.yaml 文件中。
    2. 保存文件并退出编辑器。

  10. 设置 shell 环境: 

    $ export NAMESPACE=trusted-profile-analyzer
$ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

  11. 添加 OpenShift Helm Chart 仓库: 

    $ helm repo add openshift-helm-charts https://charts.openshift.io/

  12. 从 Helm Chart 仓库中获取最新的 Chart 信息: 

    $ helm repo update

  13. 运行 Helm Chart: 

    helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --values PATH_TO_IMPORTER_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL
     
    $ helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --values values-importers.yaml --set-string appDomain=$APP_DOMAIN_URL
    注意

    您可以多次运行此 Helm Chart,从 values 文件中应用当前配置的状态。

  14. 安装完成后,您可以使用 OIDC 供应商中的用户凭证登录到 RHTPA 控制台。您可以运行以下命令来找到 RHTPA 控制台 URL: 

    $ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=server -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

Legal Notice

Theme

© 2026 Red Hat返回顶部