2.4. 在 OpenShift 4.x 中设置 Fuse 控制台
在 OpenShift 4.x 上,设置 Fuse 控制台涉及保护、安装和部署它。
首先,您必须生成客户端证书,以便可以保护 Fuse 控制台,如 第 2.4.1 节 “生成证书来保护 OpenShift 4.x 上的 Fuse 控制台” 所述。
生成客户端证书后,您可以选择安装和部署 Fuse 控制台:
第 2.4.2 节 “使用 OperatorHub 在 OpenShift 4.x 上安装和部署 Fuse 控制台”
您可以使用 Fuse Console Operator 安装和部署 Fuse 控制台,以便它能够访问特定命名空间中的 Fuse 应用程序。
第 2.4.3 节 “使用命令行在 OpenShift 4.x 上安装和部署 Fuse 控制台”
您可以使用命令行和其中一个 Fuse 控制台模板来安装和部署 Fuse 控制台,以便它可以访问 OpenShift 集群或特定命名空间中的多个命名空间中的 Fuse 应用程序。
您可以使用命令行选项安装其中一个 RBAC Fuse 控制台模板,为 Fuse 控制台实施基于角色的访问控制(RBAC),如 第 2.4.3 节 “使用命令行在 OpenShift 4.x 上安装和部署 Fuse 控制台” 所述。
注意在本发行版本中,当您使用操作器安装 Fuse 控制台时,不支持 RBAC。
2.4.1. 生成证书来保护 OpenShift 4.x 上的 Fuse 控制台
在 OpenShift 4.x 上,若要在 Fuse 控制台代理和 Jolokia 代理之间保持连接,您必须在部署 Fuse 控制台前生成客户端证书。您必须使用服务签名证书颁发机构私钥来为客户端证书签名。
您必须为每个 OpenShift 集群生成并签署单独的客户端证书。对于多个集群,不要使用相同的证书。
先决条件
-
有
集群管理员对 OpenShift 集群的访问权限。 如果您要为多个 OpenShift 集群生成证书,并且之前在当前目录中为不同的集群生成证书,请执行以下操作之一以确保为当前集群生成不同的证书:
-
从当前目录中删除现有证书文件(如
ca.crt、ca.key和ca.srl)。 更改到其他工作目录。例如,如果您的当前工作目录命名为
cluster1,请创建一个新的cluster2目录,并将工作目录改为其中:mkdir ../cluster2cd ../cluster2
-
从当前目录中删除现有证书文件(如
流程
以具有集群管理员访问权限的用户身份登录 OpenShift:
oc login -u <user_with_cluster_admin_role>
执行以下命令来检索服务签名证书颁发机构密钥:
检索证书:
oc get secrets/signing-key -n openshift-service-ca -o "jsonpath={.data['tls\.crt']}" | base64 --decode > ca.crt检索私钥:
oc get secrets/signing-key -n openshift-service-ca -o "jsonpath={.data['tls\.key']}" | base64 --decode > ca.key
生成客户端证书,如 Kubernetes 证书管理 中所述,使用
easyrsa、openssl或cfssl。以下是使用 openssl 的示例命令:
生成私钥:
openssl genrsa -out server.key 2048
编写 CSR 配置文件。
cat <<EOT >> csr.conf [ req ] default_bits = 2048 prompt = no default_md = sha256 distinguished_name = dn [ dn ] CN = fuse-console.fuse.svc [ v3_ext ] authorityKeyIdentifier=keyid,issuer:always keyUsage=keyEncipherment,dataEncipherment,digitalSignature extendedKeyUsage=serverAuth,clientAuth EOT
生成 CSR:
openssl req -new -key server.key -out server.csr -config csr.conf
发布签名证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000 -extensions v3_ext -extfile csr.conf
后续步骤
您需要此证书来为 Fuse 控制台创建 secret,如以下部分所述,具体取决于您要安装 Fuse 控制台的方式:
2.4.2. 使用 OperatorHub 在 OpenShift 4.x 上安装和部署 Fuse 控制台
要在 OpenShift 4.x 上安装 Fuse 控制台,您可以使用 OpenShift OperatorHub 提供的 Fuse Console Operator。要部署 Fuse 控制台,请创建一个已安装的 Operator 实例。
前提条件
-
有
集群管理员对 OpenShift 集群的访问权限。 - 您已为 Fuse 控制台生成客户端证书,如生成证书 以保护 OpenShift 4.x 上的 Fuse 控制台 中所述。
流程
安装和部署 Fuse 控制台:
-
以具有集群管理员访问权限的用户身份登录 Web 浏览器中的 OpenShift 控制台。
- 选择 Home > Projects,然后选择您要添加 Fuse 控制台的项目。
- 点 Operators,然后点 OperatorHub。
- 在搜索字段窗口中,键入 Fuse Console 来过滤操作器列表。
- 点 Fuse Console Operator。
在 Fuse Console Operator 安装窗口中,点 Install。
Create Operator Subscription 表单将打开。
对于 安装模式,您可以将 Fuse Console Operator 安装到特定命名空间(当前 OpenShift 项目)。
请注意,在安装操作器后,您可以选择部署 Fuse 控制台以监控集群中的所有命名空间中的应用程序,或者仅监控安装了 Fuse Console operator 的命名空间中的应用程序。
对于 Approval Strategy,您可以选择 Automatic 或 Manual 来配置 OpenShift 如何处理 Fuse Console Operator 的更新。
- 如果选择 Automatic 更新,当有新版本的 Fuse Console Operator 可用时,OpenShift Operator Lifecycle Manager (OLM)将自动升级 Fuse 控制台的运行实例,而无需人为干预。
- 如果选择手动 更新,则当有新版 Operator 可用时,OLM 会创建更新请求。作为集群管理员,您必须手动批准该更新请求,才可将 Fuse Console Operator 更新至新版本。
点 Subscribe.
OpenShift 在当前命名空间中安装 Fuse Console Operator。
- 要验证安装,点 Operators,然后点 Installed Operators。您可以在操作器列表中看到 Fuse 控制台。
在终端窗口中,使用以下命令,使用您在 OpenShift 4.x 上保护 Fuse 控制台 生成的证书来创建 secret 并在 Fuse 控制台中挂载它,其中 APP_NAME 是 Fuse Console Deployment 的名称(如
fuse-console)。oc create secret tls APP_NAME-tls-proxying --cert server.crt --key server.key
例如,如果 Fuse Console 应用程序的名称是 fuse-console,请输入以下命令:
oc create secret tls fuse-console-tls-proxying --cert server.crt --key server.key
如果成功,这个命令会返回一个响应来确认创建了 secret,例如:
secret/fuse-console-operator-tls-proxying created
使用 OpenShift Web 控制台部署 Fuse 控制台:
- 在 Installed Operators 列表中,单击 Name 列下的 Fuse Console。
在 Provided APIs 下的 Overview 页面中,点 Create Instance。此时会打开一个新的自定义资源定义(CRD)文件。
默认情况下,Fuse Console 部署到当前命名空间中。
如果要部署 Fuse 控制台来发现和管理当前命名空间中的应用程序,请跳至下一步。
另外,如果要部署 Fuse 控制台,以在集群中的所有命名空间中发现和管理应用程序(以及您是一个经过身份验证的用户),请通过将
spec.type字段的值从namespace改为cluster来编辑 CRD 文件。点 Create。
部署 Fuse 控制台后,Fuse Console CRD 页面将打开显示新的 Fuse 控制台服务。
对于 Fuse 7.7.0,部署的 Fuse 控制台可能会在一段时间后变得不稳定,持续停止和重启错误 Liveness 探测失败。此不稳定是由 Fuse 控制台 pod 在 OpenShift 上超过其内存分配造成的。
要修复不稳定,请修改 Fuse 控制台部署的内存限值,如下所示:
-
使用
oc rollout pause命令暂停 Fuse Console pod 的自动重新部署。 -
编辑 Fuse Console 的部署配置(YAML 文件),以增加内存分配。将
containers:resources:limits:memory和containers:resources:requests:memory字段的值从 32Mi 改为 100Mi。 -
使用
oc rollout resume命令恢复 Fuse Console pod 自动重新部署。
打开 Fuse 控制台:
对于 命名空间 部署,在 OpenShift Web 控制台中,打开安装 Fuse Console operator 的项目,然后选择 Overview。在 Project Overview 页面中,向下滚动到 Launcher 部分,再单击 Fuse Console URL 以打开它。
对于 集群部署,在 OpenShift Web 控制台的标题栏中,点网格图标(
)。在弹出菜单中,单击 红帽应用程序 下的 Fuse 控制台 URL 链接。
登录到 Fuse 控制台。
浏览器中打开了 Authorize Access 页面,其中列出了所需权限。
点击 Allow selected permissions。
Fuse 控制台在浏览器中打开,并显示您有权访问的 Fuse 应用程序 pod。
对于您要查看的应用程序,点 Connect。
此时将打开一个新浏览器窗口,显示 Fuse 控制台中的应用程序。
2.4.3. 使用命令行在 OpenShift 4.x 上安装和部署 Fuse 控制台
在 OpenShift 4.x 中,您可以选择其中一个部署选项来从命令行安装和部署 Fuse 控制台:
- 集群 - Fuse 控制台可以发现并连接到在 OpenShift 集群上的多个命名空间(项目)间部署的 Fuse 应用程序。要部署此模板,您必须具有 OpenShift 集群的管理员角色。
- 具有基于角色的访问控制的集群 - 具有可配置的基于角色的访问控制(RBAC)的集群模板。如需更多信息,请参阅 OpenShift 4.x [对于 OpenShift 4.x] 中的 Fuse Console的基于角色访问控制,请参阅 OpenShift 4.x] 上 Fuse 控制台的基于角色的访问控制。
- 命名空间 - Fuse 控制台可以访问特定的 OpenShift 项目(命名空间)。要部署此模板,您必须具有 OpenShift 项目的管理员角色。
- 带有基于角色的访问控制的命名空间 - 带有可配置 RBAC 的命名空间模板。如需更多信息,请参阅 OpenShift 4.x [对于 OpenShift 4.x] 中的 Fuse Console的基于角色访问控制,请参阅 OpenShift 4.x] 上 Fuse 控制台的基于角色的访问控制。
要查看 Fuse 控制台模板的参数列表,请运行以下命令:
oc process --parameters -f https://github.com/jboss-fuse/application-templates/blob/application-templates-2.1.0.fuse-sb2-7_11_1-00016-redhat-00002//fuse-console-namespace-os4.json
先决条件
- 在安装和部署 Fuse 控制台前,您必须生成一个使用服务签名证书颁发机构签名的客户端证书,如生成证书以保护 OpenShift 4.x 上的 Fuse 控制台安全 中所述。
-
有 OpenShift
集群的集群管理员角色。 - 已安装 Fuse Console 镜像流(以及其他 Fuse 镜像流),如 在 OpenShift 4.x 服务器上安装 Fuse 镜像流和模板 中所述。
流程
使用以下命令验证是否安装了 Fuse Console 镜像流,以检索所有模板的列表:
oc get template -n openshift
另外,如果要使用新发行标签更新已安装的镜像流,请使用以下命令将 Fuse Console 镜像导入到 openshift 命名空间:
oc import-image fuse7/fuse7-console:1.7 --from=registry.redhat.io/fuse7/fuse-console:1.7 --confirm -n openshift
运行以下命令来获取 Fuse Console APP_NAME 值:
oc process --parameters -f TEMPLATE-FILENAME
其中
TEMPLATE-FILENAME是以下模板之一:集群模板:
使用可配置的 RBAC 的集群模板:
命名空间模板:
带有可配置的 RBAC 的命名空间模板:
例如,对于使用可配置的 RBAC 的集群模板,请运行以下命令:
oc process --parameters -f https://github.com/jboss-fuse/application-templates/blob/application-templates-2.1.0.fuse-sb2-7_11_1-00016-redhat-00002//fuse-console-cluster-rbac.yml
从您在 OpenShift 4.x 上保护 Fuse 控制台 生成的证书,使用以下命令创建 secret 并将其挂载到 Fuse 控制台中(其中 APP_NAME 是 Fuse Console 应用程序的名称)。
oc create secret tls APP_NAME-tls-proxying --cert server.crt --key server.key
运行以下命令,基于 Fuse Console 模板的本地副本创建新应用程序(其中 myproject 是 OpenShift 项目的名称,mytemp 是包含 Fuse Console 模板的本地目录的路径,myhost 是用于访问 Fuse 控制台的主机名:
对于集群模板:
oc new-app -n myproject -f {templates-base-url}/fuse-console-cluster-os4.json -p ROUTE_HOSTNAME=myhost”对于使用 RBAC 模板的集群:
oc new-app -n myproject -f {templates-base-url}/fuse-console-cluster-rbac.yml -p ROUTE_HOSTNAME=myhost”对于命名空间模板:
{templates-base-url}/fuse-console-namespace-os4.json对于使用 RBAC 模板的命名空间:
oc new-app -n myproject -f {templates-base-url}/fuse-console-namespace-rbac.yml
要配置 Fuse 控制台使其能够打开 OpenShift Web 控制台,请运行以下命令来设置
OPENSHIFT_WEB_CONSOLE_URL环境变量:oc set env dc/${APP_NAME} OPENSHIFT_WEB_CONSOLE_URL=`oc get -n openshift-config-managed cm console-public -o jsonpath={.data.consoleURL}`运行以下命令,获取 Fuse 控制台部署的状态和 URL:
oc status
- 要从浏览器访问 Fuse 控制台,请使用在第 7 步中返回的 URL (例如 https://fuse-console.192.168.64.12.nip.io)。
2.4.3.1. OpenShift 4.x 上 Fuse 控制台的基于角色的访问控制
Fuse 控制台提供基于角色的访问控制(RBAC),它根据 OpenShift 提供的用户授权推断访问。在 Fuse 控制台中,RBAC 决定用户在 pod 上执行 MBean 操作。
如需有关 OpenShift 授权的信息,请参阅 OpenShift 文档中的 "使用 RBAC 定义和应用权限" 部分。
如果要为 Fuse 控制台实施基于角色的访问权限,则必须使用可通过 RBAC (fuse-console-cluster-rbac.yml 或 fuse-console-namespace-rbac.yml)配置的模板之一,如 使用命令行在 OpenShift 4.x 上安装和部署 Fuse 控制台。
在本发行版本中,当您使用操作器安装 Fuse 控制台时,不支持 RBAC。
Fuse 控制台 RBAC 利用 OpenShift 中容器集资源的 操作动词 访问,以确定用户在 Fuse 控制台中对 pod 的 MBean 操作的访问。默认情况下,Fuse 控制台有两个用户角色:
admin
如果用户可以在 OpenShift 中更新 pod,则用户会限制 Fuse 控制台的 admin 角色。用户可以在 Fuse 控制台中为 pod 执行写入 MBean 操作。
Viewer
如果用户可以在 OpenShift 中获取 pod,则用户会限制 Fuse 控制台的 viewer 角色。用户可以在 Fuse 控制台中为 pod 执行 只读 MBean 操作。
如果不使用 RBAC 模板来安装 Fuse 控制台,则只有授予 pod 资源 更新 动词的 OpenShift 用户有权执行 Fuse Console MBeans 操作。授予 pod 资源的 get 动词的 用户可以查看 pod,但不能执行任何 Fuse 控制台操作。
2.4.3.2. 确定 OpenShift 4.x 上 Fuse 控制台的访问角色
Fuse 控制台基于角色的访问控制是从用户的 pod 的 OpenShift 权限中推断出来的。要确定向特定用户授予的 Fuse 控制台访问角色,请获取授予 Pod 用户的 OpenShift 权限。
先决条件
- 您知道用户名。
- 您知道 pod 的名称。
流程
要确定用户是否有用于 pod 的 Fuse Console admin 角色,请运行以下命令来查看用户是否可以更新 OpenShift 上的 pod:
oc auth can-i update pods/<pod> --as <user>
如果响应是
yes,则用户具有 pod 的 Fuse 控制台 管理员角色。用户可以在 Fuse 控制台中为 pod 执行写入 MBean 操作。要确定用户是否有用于 pod 的 Fuse Console viewer 角色,请运行以下命令来查看用户是否可以在 OpenShift 上获取 pod:
oc auth can-i get pods/<pod> --as <user>
如果响应是
yes,则用户具有 pod 的 Fuse Console viewer 角色。用户可以在 Fuse 控制台中为 pod 执行 只读 MBean 操作。根据上下文,Fuse 控制台可防止具有 viewer 角色的用户 执行写入 MBean 操作,方法是禁用一个选项,或者在用户尝试写入 MBean 操作时显示"operation not allowed for this user"消息。如果没有,则用户不绑定到任何 Fuse 控制台角色,用户无法在 Fuse 控制台中查看 pod。
2.4.3.3. 在 OpenShift 4.x 上自定义对 Fuse 控制台进行基于角色的访问权限
deployment-cluster-rbac.yml 和 deployment-namespace-rbac.yml 模板创建一个包含配置文件(ACL.yml的 ConfigMap。配置文件定义 MBean 操作允许的角色。
前提条件
您可以使用其中一个 Fuse 控制台 RBAC 模板(deployment-cluster-rbac.yml 或 deployment-namespace-rbac.yml)安装 Fuse 控制台。
流程
如果要自定义 Fuse 控制台 RBAC 角色:
运行以下命令来编辑 ConfigMap:
oc edit cm $APP_NAME-rbac
- 保存文件以使改变生效。OpenShift 会自动重启 Fuse 控制台 Pod。
2.4.3.4. 在 OpenShift 4.x 上为 Fuse 控制台禁用基于角色的访问控制
Fuse Console 的 HAWTIO_ONLINE_RBAC_ACL 环境变量将基于角色的访问控制(RBAC) ConfigMap 配置文件路径传递给 OpenShift 服务器。如果没有指定 HAWTIO_ONLINE_RBAC_ACL 环境变量,则禁用 RBAC 支持,并且只有被授予 pod 资源(OpenShift 中) 更新 动词的用户才会在 Fuse 控制台中调用 pod 的 MBeans 操作。
前提条件
您可以使用其中一个 Fuse 控制台 RBAC 模板(deployment-cluster-rbac.yml 或 deployment-namespace-rbac.yml)安装 Fuse 控制台。
流程
为 Fuse 控制台禁用基于角色的访问控制:
- 在 OpenShift 中,编辑 Fuse 控制台的 Deployment Config 资源。
删除整个
HAWTIO_ONLINE_RBAC_ACL环境变量定义。(请注意,仅清除其值并不够)。
- 保存文件以使改变生效。OpenShift 会自动重启 Fuse 控制台 Pod。
2.4.4. 在 OpenShift 4.x 上升级 Fuse 控制台
Red Hat OpenShift 4.x 处理对 Operator 的更新,包括 Red Hat Fuse operator。如需更多信息,请参阅 Operator OpenShift 文档。
另外,Operator 更新可以根据应用程序的配置方式触发应用程序升级。
对于 Fuse 控制台应用程序,您还可以通过编辑应用程序自定义资源定义的 .spec.version 字段来触发对应用程序的升级。
从 OCP 4.6 开始,Fuse Console operator 的 operator 频道的名称已从 alpha 改为 fuse-console-7.7.x。如果在将 OpenShift 升级到 OCP 4.6 后无法看到新的 operator 频道,请参阅 已知问题 ENTESB-15232 以了解有关如何刷新 OpenShift 上 OperatorHub 可见的 Operator 频道的详细信息。
前提条件
- 有 OpenShift 集群管理员权限。
流程
升级 Fuse 控制台应用程序:
在终端窗口中,使用以下命令更改应用程序自定义资源定义的
.spec.version字段:oc patch <project-name> <custom-resource-name> --type='merge' -p '{"spec":{"version":"1.7.1"}}'例如:
oc patch myproject example-fuseconsole --type='merge' -p '{"spec":{"version":"1.7.1"}}'检查应用程序的状态是否已更新:
oc get myproject
响应显示有关应用程序的信息,包括版本号:
NAME AGE URL IMAGE example-fuseconsole 1m https://fuseconsole.192.168.64.38.nip.io docker.io/fuseconsole/online:1.7.1
当您更改
.spec.version字段的值时,OpenShift 会自动重新部署应用。检查版本更改触发的重新部署状态:
oc rollout status deployment.v1.apps/example-fuseconsole
成功部署会显示这个响应:
deployment "example-fuseconsole" successfully rolled out
