开始使用
OpenShift Dedicated 入门
摘要
第 1 章 了解您的云部署选项
您可以使用您自己的云帐户在 Amazon Web Services(AWS)或 Google Cloud Platform(GCP)上安装 OpenShift Dedicated,也可以使用由红帽拥有的云帐户。本文档提供有关 OpenShift Dedicated 集群的云部署选项的详细信息。
1.1. OpenShift Dedicated 云部署选项概述
OpenShift Dedicated 在 Amazon Web Services(AWS)或 Google Cloud Platform(GCP)上将 OpenShift Container Platform 集群作为受管服务提供。
通过客户 Cloud Subscription(CCS)模型,您可以在您拥有的现有 AWS 或 GCP 云帐户中部署集群。
另外,您还可以在红帽拥有的云帐户中安装 OpenShift Dedicated。
1.1.1. 使用客户云订阅(CCS)模型部署集群
借助 Customer Cloud Subscription(CCS)模型,可以在您拥有的现有 AWS 或 GCP 帐户中部署 Red Hat 管理的 OpenShift Dedicated 集群。为了提供此服务,红帽需要满足几个前提条件,红帽站点可靠性工程师(SRE)支持该服务。
在 CCS 模型中,客户直接为云成本支付云基础架构供应商,而云基础架构帐户是客户拥有的机构的一部分,具有授予红帽的特定访问权限。在这种模式中,客户为 CCS 订阅支付红帽,并支付云提供商作为云成本。
通过使用 CCS 模型,除了红帽提供的服务之外,您还可以使用云供应商提供的服务。
1.1.2. 在 Red Hat 云帐户中部署集群
作为 CCS 模型的替代选择,您可以在 AWS 或 GCP 云帐户中部署 OpenShift Dedicated 集群。通过这种模式,红帽负责云帐户,而云基础架构成本则直接被红帽支付。客户仅支付红帽订阅成本。
1.2. 后续步骤
第 2 章 OpenShift Dedicated 入门
按照以下步骤,快速创建 OpenShift Dedicated 集群,授予用户访问权限、部署第一个应用程序,并了解如何扩展和删除集群。
2.1. 先决条件
- 您已查看了 OpenShift Dedicated 的介绍,以及 架构概念 的文档。
- 您已查看了 OpenShift Dedicated 云部署选项。
2.2. 创建 OpenShift Dedicated 集群
您可以通过客户 Cloud Subscription(CCS)模型或在由红帽拥有的云帐户中安装 OpenShift Dedicated。如需有关 OpenShift Dedicated 部署选项的更多信息,请参阅了解您的云部署选项。
从以下任一方法中选择部署您的集群。
2.2.1. 使用 CCS 模型创建集群
完成以下部分中的一个步骤,在您自己的云帐户中部署 OpenShift Dedicated:
- 使用 CCS 在 AWS 上创建集群 :您可以使用 CCS 模型在您自己的 Amazon Web Services(AWS)帐户中安装 OpenShift Dedicated。
- 使用 CCS 在 GCP 上创建集群 :您可以使用 CCS 模型在您自己的 Google Cloud Platform(GCP)帐户中安装 OpenShift Dedicated。
2.2.2. 使用 Red Hat Cloud 帐户创建集群
完成以下部分中的一个步骤,在由红帽拥有的云中部署 OpenShift Dedicated:
- 使用 Red Hat Cloud account 在 AWS 上创建集群 :您可以在红帽拥有的 AWS 帐户中安装 OpenShift Dedicated。
- 使用 Red Hat Cloud account 在 GCP 上创建集群 :您可以在红帽拥有的 GCP 帐户中安装 OpenShift Dedicated。
2.3. 配置身份提供程序
安装 OpenShift Dedicated 后,必须将集群配置为使用身份提供程序。然后,您可以在身份提供程序中添加成员来授予它们对集群的访问权限。
您可以为 OpenShift Dedicated 集群配置不同的身份提供程序类型。支持的类型包括 GitHub、GitHub Enterprise、GitLab、Google、LDAP、OpenID Connect 和 htpasswd 身份提供程序。
htpasswd 身份提供程序选项仅包含创建单个静态管理用户。htpasswd 不支持作为 OpenShift Dedicated 的通用身份提供程序。
以下流程将 GitHub 身份提供程序配置为示例。
配置 GitHub 身份验证后,用户可以使用其 GitHub 凭据登录 OpenShift Dedicated。为防止具有任何 GitHub 用户 ID 的任何人登录 OpenShift Dedicated 集群,您必须将访问权限限制为特定的 GitHub 机构或团队。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
- 您有一个 GitHub 用户帐户。
- 您在 GitHub 帐户中创建 GitHub 机构。如需更多信息,请参阅 GitHub 文档中的 从头开始创建新机构。
- 如果您要限制用户对 GitHub 团队的访问权限,已在 GitHub 机构中创建了一个团队。如需更多信息,请参阅 GitHub 文档中的 创建团队。
流程
- 导航到 OpenShift Cluster Manager Hybrid Cloud Console 并选择您的集群。
- 选择 Access control → Identity provider。
- 从 Add identity provider 下拉菜单中选择 GitHub 身份提供程序类型。
- 输入身份提供程序的唯一名称。稍后无法更改该名称。
按照 GitHub 文档中的步骤,在您的 GitHub 机构注册 OAuth 应用程序。
注意您必须在 GitHub 组织下注册 OAuth 应用。如果您注册了没有由包含集群用户或团队的机构拥有的 OAuth 应用程序,则集群的用户身份验证将无法成功。
对于 GitHub OAuth 应用配置中的主页 URL,指定在 OpenShift Cluster Manager 的 Add a GitHub 身份提供程序 页面中自动生成的 OAuth 回调 URL 的
https://oauth-openshift.apps.<cluster_name>.<cluster_domain> 部分。以下是 GitHub 身份提供程序的主页 URL 示例:
https://oauth-openshift.apps.openshift-cluster.example.com
对于 GitHub OAuth 应用配置中的授权回调 URL,请指定 OpenShift Cluster Manager 上的 Add a GitHub 身份提供程序 页面中自动生成的完整 OAuth 回调 URL。完整 URL 具有以下语法:
https://oauth-openshift.apps.<cluster_name>.<cluster_domain>/oauth2callback/<idp_provider_name>
- 返回到 OpenShift Cluster Manager Hybrid Cloud Console 中的 Edit identity provider: GitHub 对话框,然后从 Mapping 方法 下拉菜单中选择 Claim。
- 为您的 GitHub OAuth 应用程序输入客户端 ID 和客户端 secret。OAuth 应用的 GitHub 页面提供 ID 和 secret。
可选:输入 主机名。
注意使用托管 GitHub Enterprise 实例时,必须输入主机名。
- 可选: 您可以指定一个证书颁发机构(CA)文件,以验证配置的 GitHub Enterprise URL 的服务器证书。点 Browse 查找并将 CA 文件附加到 身份提供程序。
- 选择 Use organizations 或 Use teams 来限制对机构中的 GitHub 机构或 GitHub 团队的访问。
输入您要限制访问的组织或团队的名称。点 Add 指定多个机构或团队。
注意指定机构必须拥有使用前面的步骤注册的 OAuth 应用程序。如果指定了一个团队,它必须在拥有使用前面的步骤注册的 OAuth 应用程序的机构中存在。
点 Add 以应用身份提供程序配置。
注意可能需要大约两分钟,身份提供程序配置才会变为活跃状态。
验证
- 在配置变为活跃后,身份供应商会在 OpenShift Cluster Manager Hybrid Cloud Console 页面中的 Access control → Identity Provider 下列出。
其他资源
- 有关配置每个支持的身份提供程序类型的详细步骤,请参阅 配置身份提供程序。
2.4. 为用户授予管理员权限
为集群配置身份提供程序并将用户添加到身份提供程序后,您可以为该用户授予 dedicated-admin 集群特权。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
流程
- 导航到 OpenShift Cluster Manager Hybrid Cloud Console 并选择您的集群。
- 点 Access control 选项卡。
- 在 Cluster Roles and Access 选项卡中,点 Add user。
- 输入身份提供程序用户的用户 ID。
-
单击 Add user,授予用户
dedicated-admin集群特权。
验证
-
在授予特权后,在 OpenShift Cluster Manager 页面中的 Access control → Cluster Roles and Access 下将用户列为
dedicated-admins组的一部分。
2.5. 访问集群
配置身份提供程序后,用户可从 Red Hat OpenShift Cluster Manager 访问集群。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
- 将您的用户帐户添加到配置的身份提供程序中。
流程
- 在 OpenShift Cluster Manager Hybrid Cloud Console 中,点您要访问的集群。
- 点 Open Console。
- 点击身份提供程序,并提供您的凭证以登录集群。
- 点击 Open console 打开集群的 Web 控制台。
- 点击身份提供程序,并提供您的凭证以登录到集群。完成由您的供应商提供的任何授权请求。
2.6. 从 Developer Catalog 部署应用程序
在 OpenShift Dedicated web 控制台中,您可以从 Developer Catalog 部署测试应用程序,并使用路由公开它。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
- 已为集群配置身份提供程序。
- 将您的用户帐户添加到配置的身份提供程序中。
流程
- 在 OpenShift Cluster Manager Hybrid Cloud Console 中点 Open console。
- 在 Administrator 视角中,选择 Home → Projects → Create Project。
- 输入项目的名称,并选择性地添加 Display Name 和 Description。
- 单击 Create 以创建项目。
- 切换到 Developer 视角,然后选择 +Add。验证 所选项目 是您刚刚创建的项目。
- 在 Developer Catalog 对话框中,选择 All services。
- 在 Developer Catalog 页面中,从菜单中选择 Languages → JavaScript。
单击 Node.js,然后单击 Create 以打开 Create Source-to-Image 应用 页面。
注意您可能需要点击 Clear All Filters 以显示 Node.js 选项。
- 在 Git 部分中,单击 Try 示例。
- 在 Name 字段中添加唯一名称。该值将用于为关联的资源命名。
- 确认选择了 Deployment 和 Create a route。
- 单击 Create 以部署应用。部署容器集需要几分钟时间。
-
可选:选择 nodejs app 并查看其侧边栏,以检查 Topology 窗格中的 pod 状态。您必须等待
nodejs构建完成,并且nodejsPod 处于 Running 状态,然后再继续。 部署完成后,点应用程序的路由 URL,其格式与以下内容类似:
https://nodejs-<project>.<cluster_name>.<hash>.<region>.openshiftapps.com/
浏览器中打开一个新标签页,其中包含类似如下的信息:
Welcome to your Node.js application on OpenShift
可选:删除应用程序并清理您创建的资源:
- 在 Administrator 视角中,导航到 Home → Projects。
- 单击项目的操作菜单,再选择 Delete Project。
2.7. 扩展集群
您可以从 OpenShift Cluster Manager 来扩展 OpenShift Dedicated 集群的负载均衡器数量、持久性存储容量以及 OpenShift Dedicated 集群的节点数。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
流程
要扩展负载均衡器的数量或持久性存储容量:
- 导航到 OpenShift Cluster Manager Hybrid Cloud Console 并选择您的集群。
- 从 Actions 下拉菜单中选择 Edit 负载均衡器和持久性存储。
- 选择 您要扩展的负载均衡器 数。
- 选择您要扩展 的持久性存储 容量。
- 点应用。扩展功能自动发生。
要扩展节点数:
- 导航到 OpenShift Cluster Manager Hybrid Cloud Console 并选择您的集群。
- 从 Actions 下拉菜单中选择 Edit node count。
- 选择 Machine pool。
- 选择 每个区 的节点数。
- 点应用。扩展功能自动发生。
验证
- 在 Details 标题下的 Overview 选项卡中,您可以查看负载均衡器配置、持久性存储详情以及实际的节点计数。
2.8. 从用户撤销管理员特权
按照本节中的步骤,从用户撤销 dedicated-admin 特权。
先决条件
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
-
您为用户授予
dedicated-admin特权。
流程
- 导航到 OpenShift Cluster Manager Hybrid Cloud Console 并选择您的集群。
- 点 Access control 选项卡。
-
在 Cluster Roles and Access 选项卡中,选择用户旁的
并点 Delete。
验证
-
撤销权限后,在 OpenShift Cluster Manager 页面中的 Access control → Cluster Roles and Access on the cluster 的
dedicated-admins组不再被列为 dedicated-admins 组的一部分。
2.9. 撤销用户对集群的访问
您可以从配置的身份提供程序中删除集群从身份提供程序用户中撤销集群访问权限。
您可以为 OpenShift Dedicated 集群配置不同类型的身份提供程序。以下示例流程撤销为向集群置备的 GitHub 机构或团队成员的集群访问权限。
先决条件
- 您有一个 OpenShift Dedicated 集群。
- 您有一个 GitHub 用户帐户。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
流程
- 导航到 github.com 并登录到您的 GitHub 帐户。
从 GitHub 机构或团队中删除用户:
- 如果您的身份提供程序配置使用 GitHub 机构,请按照 GitHub 文档中的 从您的机构中删除成员 的步骤进行操作。
- 如果您的身份提供程序配置在 GitHub 机构中使用团队,请按照 GitHub 文档中的 某个团队中删除机构成员 中的步骤。
验证
- 从身份提供程序中删除用户后,用户无法向集群进行身份验证。
2.10. 删除集群
您可以在 Red Hat OpenShift Cluster Manager 中删除 OpenShift Dedicated 集群。
- 登录 OpenShift Cluster Manager 混合云控制台。
- 已创建一个 OpenShift Dedicated 集群。
流程
- 在 OpenShift Cluster Manager Hybrid Cloud Console 中,点您要删除的集群。
- 从 Actions 下拉菜单中选择 Delete cluster。
- 键入以粗体突出显示的集群名称,然后单击 Delete。集群删除会自动进行。
2.11. 后续步骤
2.12. 其他资源
- 有关 OpenShift Dedicated 版本结束日期的信息,请参阅 OpenShift Dedicated 更新生命周期。
- 有关部署 OpenShift Dedicated 集群的更多信息,请参阅 在 AWS 上创建集群,并在 GCP 上创建集群。
- 有关升级集群的文档,请参阅 OpenShift Dedicated 集群升级。