Jump To Close Expand all Collapse all Table of contents 身份验证 1. 了解身份验证 Expand section "1. 了解身份验证" Collapse section "1. 了解身份验证" 1.1. 用户 1.2. 组 1.3. API 身份验证 Expand section "1.3. API 身份验证" Collapse section "1.3. API 身份验证" 1.3.1. OpenShift Container Platform OAuth 服务器 Expand section "1.3.1. OpenShift Container Platform OAuth 服务器" Collapse section "1.3.1. OpenShift Container Platform OAuth 服务器" 1.3.1.1. OAuth 令牌请求 1.3.1.2. API 模仿 1.3.1.3. Prometheus 身份验证指标 2. 证书类型和描述 Expand section "2. 证书类型和描述" Collapse section "2. 证书类型和描述" 2.1. 证书验证 2.2. API 服务器的用户提供的证书 2.3. 代理证书 2.4. 服务 CA 证书 2.5. 节点证书 2.6. Bootstrap 证书 2.7. etcd 证书 2.8. olm 证书 2.9. 用户提供的默认入口证书 2.10. 入口证书(Ingress certificate) 3. 监控和集群日志记录 Operator 组件证书 4. Control plane 证书 5. 配置内部 OAuth 服务器 Expand section "5. 配置内部 OAuth 服务器" Collapse section "5. 配置内部 OAuth 服务器" 5.1. OpenShift Container Platform OAuth 服务器 5.2. OAuth 令牌请求流量和响应 5.3. 内部 OAuth 服务器选项 Expand section "5.3. 内部 OAuth 服务器选项" Collapse section "5.3. 内部 OAuth 服务器选项" 5.3.1. OAuth 令牌期间选项 5.3.2. OAuth 授权选项 5.4. 配置内部 OAuth 服务器的令牌期间 5.5. 注册其他 OAuth 客户端 5.6. OAuth 服务器元数据 5.7. OAuth API 事件故障排除 6. 了解身份提供程序配置 Expand section "6. 了解身份提供程序配置" Collapse section "6. 了解身份提供程序配置" 6.1. 关于 OpenShift Container Platform 中的身份提供程序 6.2. 支持的身份提供程序 6.3. 移除 kubeadmin 用户 6.4. 身份提供程序参数 6.5. 身份提供程序 CR 示例 7. 配置身份提供程序 Expand section "7. 配置身份提供程序" Collapse section "7. 配置身份提供程序" 7.1. 配置 HTPasswd 身份提供程序 Expand section "7.1. 配置 HTPasswd 身份提供程序" Collapse section "7.1. 配置 HTPasswd 身份提供程序" 7.1.1. 关于 OpenShift Container Platform 中的身份提供程序 7.1.2. 使用 Linux 创建 HTPasswd 文件 7.1.3. 使用 Windows 创建 HTPasswd 文件 7.1.4. 创建 HTPasswd secret 7.1.5. HTPasswd CR 示例 7.1.6. 将身份提供程序添加到集群中 7.1.7. 为 HTPasswd 身份提供程序更新用户 7.1.8. 使用 web 控制台配置身份提供程序 7.2. 配置 Keystone 身份提供程序 Expand section "7.2. 配置 Keystone 身份提供程序" Collapse section "7.2. 配置 Keystone 身份提供程序" 7.2.1. 关于 OpenShift Container Platform 中的身份提供程序 7.2.2. 创建 secret 7.2.3. 创建 ConfigMap 7.2.4. Keystone CR 示例 7.2.5. 将身份提供程序添加到集群中 7.3. 配置 LDAP 身份提供程序 Expand section "7.3. 配置 LDAP 身份提供程序" Collapse section "7.3. 配置 LDAP 身份提供程序" 7.3.1. 关于 OpenShift Container Platform 中的身份提供程序 7.3.2. 关于 LDAP 身份验证 7.3.3. 创建 LDAP Secret 7.3.4. 创建 ConfigMap 7.3.5. LDAP CR 示例 7.3.6. 将身份提供程序添加到集群中 7.4. 配置基本身份验证身份提供程序 Expand section "7.4. 配置基本身份验证身份提供程序" Collapse section "7.4. 配置基本身份验证身份提供程序" 7.4.1. 关于 OpenShift Container Platform 中的身份提供程序 7.4.2. 关于基本身份验证 7.4.3. 创建 secret 7.4.4. 创建 ConfigMap 7.4.5. 基本身份验证 CR 示例 7.4.6. 将身份提供程序添加到集群中 7.4.7. 基本身份供应商的 Apache HTTPD 配置示例 Expand section "7.4.7. 基本身份供应商的 Apache HTTPD 配置示例" Collapse section "7.4.7. 基本身份供应商的 Apache HTTPD 配置示例" 7.4.7.1. 文件要求 7.4.8. 基本身份验证故障排除 7.5. 配置请求标头身份提供程序 Expand section "7.5. 配置请求标头身份提供程序" Collapse section "7.5. 配置请求标头身份提供程序" 7.5.1. 关于 OpenShift Container Platform 中的身份提供程序 7.5.2. 关于请求标头身份验证 Expand section "7.5.2. 关于请求标头身份验证" Collapse section "7.5.2. 关于请求标头身份验证" 7.5.2.1. Microsoft Windows 上的 SSPI 连接支持 7.5.3. 创建 ConfigMap 7.5.4. 请求标头 CR 示例 7.5.5. 将身份提供程序添加到集群中 7.5.6. 使用请求标头进行 Apache 验证的配置示例 7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序 Expand section "7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" Collapse section "7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" 7.6.1. 关于 OpenShift Container Platform 中的身份提供程序 7.6.2. 注册 GitHub 应用程序 7.6.3. 创建 secret 7.6.4. 创建 ConfigMap 7.6.5. GitHub CR 示例 7.6.6. 将身份提供程序添加到集群中 7.7. 配置 GitLab 身份提供程序 Expand section "7.7. 配置 GitLab 身份提供程序" Collapse section "7.7. 配置 GitLab 身份提供程序" 7.7.1. 关于 OpenShift Container Platform 中的身份提供程序 7.7.2. 创建 secret 7.7.3. 创建 ConfigMap 7.7.4. GitLab CR 示例 7.7.5. 将身份提供程序添加到集群中 7.8. 配置 Google 身份提供程序 Expand section "7.8. 配置 Google 身份提供程序" Collapse section "7.8. 配置 Google 身份提供程序" 7.8.1. 关于 OpenShift Container Platform 中的身份提供程序 7.8.2. 创建 secret 7.8.3. Google CR 示例 7.8.4. 将身份提供程序添加到集群中 7.9. 配置 OpenID Connect 身份提供程序 Expand section "7.9. 配置 OpenID Connect 身份提供程序" Collapse section "7.9. 配置 OpenID Connect 身份提供程序" 7.9.1. 关于 OpenShift Container Platform 中的身份提供程序 7.9.2. 创建 secret 7.9.3. 创建 ConfigMap 7.9.4. OpenID Connect CR 示例 7.9.5. 将身份提供程序添加到集群中 7.9.6. 使用 web 控制台配置身份提供程序 8. 配置证书 Expand section "8. 配置证书" Collapse section "8. 配置证书" 8.1. 替换默认入口证书 Expand section "8.1. 替换默认入口证书" Collapse section "8.1. 替换默认入口证书" 8.1.1. 了解默认入口证书 8.1.2. 替换默认入口证书 8.2. 添加 API 服务器证书 Expand section "8.2. 添加 API 服务器证书" Collapse section "8.2. 添加 API 服务器证书" 8.2.1. 向 API 服务器添加指定名称的证书 8.3. 使用服务提供的证书 secret 保护服务流量 Expand section "8.3. 使用服务提供的证书 secret 保护服务流量" Collapse section "8.3. 使用服务提供的证书 secret 保护服务流量" 8.3.1. 了解服务用证书 8.3.2. 添加服务证书 8.3.3. 向 ConfigMap 添加服务证书 8.3.4. 手动轮转生成的服务证书 8.3.5. 手动轮转服务 CA 证书 9. 使用 RBAC 定义和应用权限 Expand section "9. 使用 RBAC 定义和应用权限" Collapse section "9. 使用 RBAC 定义和应用权限" 9.1. RBAC 概述 Expand section "9.1. RBAC 概述" Collapse section "9.1. RBAC 概述" 9.1.1. 默认集群角色 9.1.2. 评估授权 Expand section "9.1.2. 评估授权" Collapse section "9.1.2. 评估授权" 9.1.2.1. 集群角色聚合 9.2. 项目和命名空间 9.3. 默认项目 9.4. 查看集群角色和绑定 9.5. 查看本地角色和绑定 9.6. 向用户添加角色 9.7. 创建本地角色 9.8. 创建集群角色 9.9. 本地角色绑定命令 9.10. 集群角色绑定命令 9.11. 创建集群管理员 10. 移除 kubeadmin 用户 Expand section "10. 移除 kubeadmin 用户" Collapse section "10. 移除 kubeadmin 用户" 10.1. kubeadmin 用户 10.2. 移除 kubeadmin 用户 11. 配置用户代理 Expand section "11. 配置用户代理" Collapse section "11. 配置用户代理" 11.1. 关于用户代理 11.2. 配置用户代理 12. 了解并创建服务帐户 Expand section "12. 了解并创建服务帐户" Collapse section "12. 了解并创建服务帐户" 12.1. 服务帐户概述 12.2. 创建服务帐户 12.3. 为服务帐户授予角色的示例 13. 在应用程序中使用服务帐户 Expand section "13. 在应用程序中使用服务帐户" Collapse section "13. 在应用程序中使用服务帐户" 13.1. 服务帐户概述 13.2. 默认服务帐户 Expand section "13.2. 默认服务帐户" Collapse section "13.2. 默认服务帐户" 13.2.1. 默认集群服务帐户 13.2.2. 默认项目服务帐户和角色 13.3. 创建服务帐户 13.4. 在外部使用服务帐户凭证 14. 使用服务帐户作为 OAuth 客户端 Expand section "14. 使用服务帐户作为 OAuth 客户端" Collapse section "14. 使用服务帐户作为 OAuth 客户端" 14.1. 服务帐户作为 OAuth 客户端 Expand section "14.1. 服务帐户作为 OAuth 客户端" Collapse section "14.1. 服务帐户作为 OAuth 客户端" 14.1.1. 重定向作为 OAuth 客户端的服务帐户的 URI 15. 界定令牌作用域 Expand section "15. 界定令牌作用域" Collapse section "15. 界定令牌作用域" 15.1. 关于界定令牌作用域 Expand section "15.1. 关于界定令牌作用域" Collapse section "15.1. 关于界定令牌作用域" 15.1.1. 用户范围 15.1.2. 角色范围 16. 管理安全性上下文约束 Expand section "16. 管理安全性上下文约束" Collapse section "16. 管理安全性上下文约束" 16.1. 关于安全性上下文约束 Expand section "16.1. 关于安全性上下文约束" Collapse section "16.1. 关于安全性上下文约束" 16.1.1. SCC 策略 16.1.2. 控制卷 16.1.3. 准入 16.1.4. SCC 优先级 16.2. 关于预分配安全性上下文约束值 16.3. 安全性上下文约束示例 16.4. 创建安全性上下文约束 16.5. 基于角色的安全性上下文约束访问权限 16.6. 安全性上下文约束参考命令 Expand section "16.6. 安全性上下文约束参考命令" Collapse section "16.6. 安全性上下文约束参考命令" 16.6.1. 列出 SCC 16.6.2. 检查 SCC 16.6.3. 删除 SCC 16.6.4. 更新 SCC 17. 模拟 system:admin 用户 Expand section "17. 模拟 system:admin 用户" Collapse section "17. 模拟 system:admin 用户" 17.1. API 模仿 17.2. 模拟 system:admin 用户 17.3. 模拟 system:admin 组 18. 同步 LDAP 组 Expand section "18. 同步 LDAP 组" Collapse section "18. 同步 LDAP 组" 18.1. 关于配置 LDAP 同步 Expand section "18.1. 关于配置 LDAP 同步" Collapse section "18.1. 关于配置 LDAP 同步" 18.1.1. 关于 RFC 2307 配置文件 18.1.2. 关于 Active Directory 配置文件 18.1.3. 关于增强 Active Directory 配置文件 18.2. 运行 LDAP 同步 Expand section "18.2. 运行 LDAP 同步" Collapse section "18.2. 运行 LDAP 同步" 18.2.1. 将 LDAP 服务器与 OpenShift Container Platform 同步 18.2.2. 将 OpenShift Container Platform 组与 LDAP 服务器同步 18.2.3. 将 LDAP 服务器上的子组与 OpenShift Container Platform 同步 18.3. 运行组修剪任务 18.4. LDAP 组同步示例 Expand section "18.4. LDAP 组同步示例" Collapse section "18.4. LDAP 组同步示例" 18.4.1. 使用 RFC 2307 模式同步组 18.4.2. 使用 RFC2307 模式及用户定义的名称映射来同步组 18.4.3. 使用 RFC 2307 及用户定义的容错来同步组 18.4.4. 使用 Active Directory 模式同步组 18.4.5. 使用增强 Active Directory 模式同步组 Expand section "18.4.5. 使用增强 Active Directory 模式同步组" Collapse section "18.4.5. 使用增强 Active Directory 模式同步组" 18.4.5.1. LDAP 嵌套成员资格同步示例 18.5. LDAP 同步配置规格 Expand section "18.5. LDAP 同步配置规格" Collapse section "18.5. LDAP 同步配置规格" 18.5.1. v1.LDAPSyncConfig 18.5.2. v1.StringSource 18.5.3. v1.LDAPQuery 18.5.4. v1.RFC2307Config 18.5.5. v1.ActiveDirectoryConfig 18.5.6. v1.AugmentedActiveDirectoryConfig 19. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问 Expand section "19. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问" Collapse section "19. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问" 19.1. 允许从其他主机对 API 服务器进行基于 JavaScript 的访问 20. 加密 etcd 数据 Expand section "20. 加密 etcd 数据" Collapse section "20. 加密 etcd 数据" 20.1. 关于 etcd 加密 20.2. 启用 etcd 加密 20.3. 禁用 etcd 加密 法律通告 Settings Close Language: 简体中文 日本語 English Language: 简体中文 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 简体中文 日本語 English Language: 简体中文 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page 第 3 章 监控和集群日志记录 Operator 组件证书 监控组件使用服务 CA 证书保护其流量。这些证书有效 2 年,并可在服务 CA 轮转时自动替换。轮转每每 13 个月进行一次。 如果证书在 openshift-monitoring 或 openshift-logging 命名空间中,它会被自动管理并轮转。 管理 这些证书由系统而不是用户管理。 Previous Next