1.3. 使用带有 Amazon Web Services 的 Helm 安装受信任的配置文件分析器

您可以使用来自红帽的 Helm Chart 在 OpenShift 上安装红帽受信任的配置文件分析器(RHTPA)服务。此流程指导您通过使用 Helm 的自定义值文件将 Amazon Web Services (AWS)与 RHTPA 集成。

重要

如果机密值在安装后发生变化，OpenShift 会重新部署 RHTPA。

先决条件

运行 4.15 或更高版本的 Red Hat OpenShift Container Platform 集群。
- 支持 Ingress 资源来提供使用 HTTPS 的公开可信证书。
Helm 版本 3.17 或更高版本。
为 Helm 置备传输层安全(TLS)证书的功能。
可访问以下服务的 AWS 帐户：
- 简单存储服务(S3)
- 使用 PostgreSQL 数据库实例进行关系数据库服务(RDS)
- Cognito 与现有 Cognito 域.
创建了以下未指定版本的 S3 存储桶名称： https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html
- trustify-UNIQUE_ID
重要
这个存储桶名称必须在同一分区中的所有 AWS 区域中的所有 AWS 帐户之间唯一。有关存储桶命名规则的更多信息，请参阅 Amazon 的 S3 文档。
使用 cluster-admin 角色访问 OpenShift Web 控制台。
安装了 oc 和 helm 二进制文件的工作站。

流程

在工作站中，打开一个终端，然后使用命令行界面登录到 OpenShift：
语法
```
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
```
```
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
```
Copy to Clipboard Toggle word wrap
Example
```
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
```
```
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
```
Copy to Clipboard Toggle word wrap
注意
您可以从 OpenShift Web 控制台找到要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名，然后点 Copy login 命令。再次提供您的用户名和密码，然后单击 Display Token 以查看该命令。
为 RHTPA 部署创建一个新项目：
语法
```
oc new-project PROJECT_NAME
```
```
oc new-project PROJECT_NAME
```
Copy to Clipboard Toggle word wrap
Example
```
oc new-project trusted-profile-analyzer
```
```
oc new-project trusted-profile-analyzer
```
Copy to Clipboard Toggle word wrap
打开新文件进行编辑：
Example
```
vi values-rhtpa.yaml
```
```
vi values-rhtpa.yaml
```
Copy to Clipboard Toggle word wrap
将 RHTPA 值文件模板复制并粘贴到新 values-rhtpa.yaml 文件中。
使用相关 AWS 信息更新 values-rhtpa.yaml 文件。
1. 将 REGION,USER_POOL_ID,FRONTEND_CLIENT_ID, 和 CLI_CLIENT_ID 替换为您的相关的 Amazon Cognito 信息。您可以在 User pool overview 部分的 AWS Cognito Console 中找到此信息。
2. 将 UNIQUE_ID 替换为您的 trustify- S3 存储桶的唯一存储桶名称。
3. 保存文件并退出编辑器。

使用您的 AWS 凭证创建 S3 存储 secret 资源：

语法

apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY

apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  aws_access_key_id: AWS_ACCESS_KEY
  aws_secret_access_key: AWS_SECRET_KEY

Copy to Clipboard

Toggle word wrap

Example

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: storage-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  aws_access_key_id: RHTPASTORAGE1EXAMPLE
  aws_secret_access_key: xBalrKUtnFEMI/K7RDENG/aPxRfzCYEXAMPLEKEY
EOF

Copy to Clipboard

Toggle word wrap

创建 OpenID Connect (OIDC)客户端 secret 资源：

语法

apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET

apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: PROJECT_NAME
type: Opaque
data:
  client-secret: SECRET

Copy to Clipboard

Toggle word wrap

Example

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: oidc-cli
  namespace: trusted-profile-analyzer
type: Opaque
data:
  client-secret: 5460cc91-4e20-4edd-881c-b15b169f8a79
EOF

Copy to Clipboard

Toggle word wrap

使用您的 Amazon RDS 凭据创建两个 PostgreSQL 数据库机密资源。

PostgreSQL 标准用户 secret 资源：

语法

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

Copy to Clipboard

Toggle word wrap

Example

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: jdoe
  db.password: example1234
  db.port: 5432
EOF

Copy to Clipboard

Toggle word wrap

PostgreSQL 管理员 secret 资源：

语法

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: PROJECT_NAME
type: Opaque
data:
  db.host: DB_HOST
  db.name: DB_NAME
  db.user: USERNAME
  db.password: PASSWORD
  db.port: PORT

Copy to Clipboard

Toggle word wrap

Example

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF

cat <<EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: postgresql-admin-credentials
  namespace: trusted-profile-analyzer
type: Opaque
data:
  data:
  db.host: rds.us-east-1.amazonaws.com
  db.name: rhtpadb
  db.user: admin
  db.password: example1234
  db.port: 5432
EOF

Copy to Clipboard

Toggle word wrap

在 AWS 管理控制台中配置 Amazon Virtual Private Cloud (VPC)安全组，以允许端口 5432。

打开新文件进行编辑：
Example
```
vi values-importers.yaml
```
```
vi values-importers.yaml
```
Copy to Clipboard Toggle word wrap
1. 将 RHTPA importers 值文件模板复制并粘贴到新 values-importers.yaml 文件中。
2. 保存文件并退出编辑器。

设置 shell 环境：

Example

export NAMESPACE=trusted-profile-analyzer
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

export NAMESPACE=trusted-profile-analyzer
export APP_DOMAIN_URL=-$NAMESPACE.$(oc -n openshift-ingress-operator get ingresscontrollers.operator.openshift.io default -o jsonpath='{.status.domain}')

Copy to Clipboard

Toggle word wrap

添加 OpenShift Helm Chart 仓库：

Example

helm repo add openshift-helm-charts https://charts.openshift.io/

helm repo add openshift-helm-charts https://charts.openshift.io/

Copy to Clipboard

Toggle word wrap

从 Helm Chart 仓库中获取最新的 Chart 信息：
Example
```
helm repo update
```
```
helm repo update
```
Copy to Clipboard Toggle word wrap

运行 Helm Chart:

语法

helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --values PATH_TO_IMPORTER_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL

helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values PATH_TO_VALUES_FILE --values PATH_TO_IMPORTER_VALUES_FILE --set-string appDomain=$APP_DOMAIN_URL

Copy to Clipboard

Toggle word wrap

Example

helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --values values-importers.yaml --set-string appDomain=$APP_DOMAIN_URL

helm upgrade --install redhat-trusted-profile-analyzer openshift-helm-charts/redhat-trusted-profile-analyzer -n $NAMESPACE --values values-rhtpa.yaml --values values-importers.yaml --set-string appDomain=$APP_DOMAIN_URL

Copy to Clipboard

Toggle word wrap

注意

您可以多次运行此 Helm Chart，从 values 文件中应用当前配置的状态。

安装完成后，您可以使用 OIDC 供应商中的用户凭证登录到 RHTPA 控制台。您可以运行以下命令来找到 RHTPA 控制台 URL：

Example

oc -n $NAMESPACE get route --selector app.kubernetes.io/name=server -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'

oc -n $NAMESPACE get route --selector app.kubernetes.io/name=server -o jsonpath='https://{.items[0].status.ingress[0].host}{"\n"}'

Copy to Clipboard

Toggle word wrap

1.3. 使用带有 Amazon Web Services 的 Helm 安装受信任的配置文件分析器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links