1.2. 使用带有 Amazon Web Services 的 Helm 安装受信任的配置文件分析器

您可以使用来自红帽的 Helm Chart 在 OpenShift 上安装红帽受信任的配置文件分析器(RHTPA)服务。此流程指导您通过使用 Helm 的自定义值文件将 Amazon Web Services (AWS)与 RHTPA 集成。

重要

如果机密值在安装后发生变化，OpenShift 会重新部署 RHTPA。

先决条件

一个运行 4.14 或更高版本的 Red Hat OpenShift Container Platform 集群。
- 支持 Ingress 资源来提供使用 HTTPS 的公开可信证书。
Helm 版本 3.17 或更高版本。
为 Helm 置备传输层安全(TLS)证书的功能。
可访问以下服务的 AWS 帐户：
- 简单存储服务(S3)
- 使用 PostgreSQL 数据库实例进行关系数据库服务(RDS)
- Cognito 与现有 Cognito 域.
创建了以下未指定版本的 S3 存储桶名称： https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html
- trustify-UNIQUE_ID
重要
这个存储桶名称必须在同一分区中的所有 AWS 区域中的所有 AWS 帐户之间唯一。有关存储桶命名规则的更多信息，请参阅 Amazon 的 S3 文档。
使用 cluster-admin 角色访问 OpenShift Web 控制台。
安装了 oc 和 helm 二进制文件的工作站。

流程

在工作站中，打开一个终端，然后使用命令行界面登录到 OpenShift：
语法
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
```
```
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
```
Example
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
```
```
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
```
注意
您可以从 OpenShift Web 控制台找到要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名，然后点 Copy login 命令。再次提供您的用户名和密码，然后单击 Display Token 以查看该命令。
为 RHTPA 部署创建一个新项目：
语法
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oc new-project PROJECT_NAME
```
```
oc new-project PROJECT_NAME
```
Example
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oc new-project trusted-profile-analyzer
```
```
$ oc new-project trusted-profile-analyzer
```
打开新文件进行编辑：
Example
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
vi values-rhtpa-aws.yaml
```
```
$ vi values-rhtpa-aws.yaml
```
将 RHTPA 值文件模板复制并粘贴到新 values-rhtpa-aws.yaml 文件中。
使用相关的 AWS 信息更新 values-rhtpa-aws.yaml 文件。
1. 将 REGION,USER_POOL_ID,FRONTEND_CLIENT_ID, 和 WALKER_CLIENT_ID 替换为相关的 Amazon Cognito 信息。您可以在 User pool overview 部分的 AWS Cognito Console 中找到此信息。
2. 将 UNIQUE_ID 替换为您的 trustify- S3 存储桶的唯一存储桶名称。
3. 保存文件并退出编辑器。

使用您的 AWS 凭证创建 S3 存储 secret 资源：

语法

Copy to Clipboard Toggle word wrap

apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY

apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY

Example

Copy to Clipboard Toggle word wrap

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF

$ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF

创建 OpenID Connect (OIDC)指导客户端 secret 资源：

语法

Copy to Clipboard Toggle word wrap

apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET

apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET

Example

Copy to Clipboard Toggle word wrap

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF

$ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-walker
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF

使用您的 Amazon RDS 凭据创建两个 PostgreSQL 数据库机密资源。

PostgreSQL 标准用户 secret 资源：

语法

Copy to Clipboard Toggle word wrap

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

Example

Copy to Clipboard Toggle word wrap

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF

$ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF

PostgreSQL 管理员 secret 资源：

语法

Copy to Clipboard Toggle word wrap

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

Example

Copy to Clipboard Toggle word wrap

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF

$ cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF

在 AWS 管理控制台中配置 Amazon Virtual Private Cloud (VPC)安全组，以允许端口 5432。

打开新文件进行编辑：
Example
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
vi values-importers.yaml
```
```
$ vi values-importers.yaml
```
将 RHTPA importers 值文件模板复制并粘贴到新 values-importers.yaml 文件中。
保存文件并退出编辑器。

设置 shell 环境：

语法

Copy to Clipboard Toggle word wrap

export NAMESPACE=PROJECT_NAME
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

export NAMESPACE=PROJECT_NAME
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

Example

Copy to Clipboard Toggle word wrap

export NAMESPACE=trusted-profile-analyzer
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

$ export NAMESPACE=trusted-profile-analyzer
$ export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

添加 OpenShift Helm Chart 仓库：

Example

Copy to Clipboard Toggle word wrap

helm repo add openshift-helm-charts https://charts.openshift.io/

$ helm repo add openshift-helm-charts https://charts.openshift.io/

从 Helm Chart 仓库中获取最新的 Chart 信息：
Example
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
helm repo update
```
```
$ helm repo update
```

运行 Helm Chart:

语法

Copy to Clipboard Toggle word wrap

helm upgrade redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --values PATH_TO_IMPORTER_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL

helm upgrade redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --values PATH_TO_IMPORTER_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL

Example

Copy to Clipboard Toggle word wrap

helm upgrade redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa-aws.yaml --values values-importers.yaml --set-string appDomain=$APP_DOMAIN_URL

$ helm upgrade redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa-aws.yaml --values values-importers.yaml --set-string appDomain=$APP_DOMAIN_URL

注意

您可以多次运行此 Helm Chart，从 values 文件中应用当前配置的状态。

安装完成后，您可以使用 Cognito 用户池中的用户凭据来登录 RHTPA 控制台。您可以运行以下命令来找到 RHTPA 控制台 URL：

Example

Copy to Clipboard Toggle word wrap

oc -n $NAMESPACE get route --selector app.kubernetes.io/name=server -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'

$ oc -n $NAMESPACE get route --selector app.kubernetes.io/name=server -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'

其他资源

Amazon Simple Storage Service (S3)端点和配额文档。
Amazon Cognito 文档.
Amazon 关系数据库服务(RDS) 文档.
创建 Amazon S3 存储桶。
创建标准 Amazon SQS 队列.

1.2. 使用带有 Amazon Web Services 的 Helm 安装受信任的配置文件分析器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links