15.5. rhpam712-prod-immutable-kieserver.yaml template
在生产环境中不可变 KIE 服务器的应用程序模板,适用于 Red Hat Process Automation Manager 7.12 - 已弃用
15.5.1. 参数
模板允许您定义接受值的参数。然后,该值会在引用参数的位置替换。可在对象列表字段中的任意文本字段中定义引用。如需更多信息,请参阅 Openshift 文档。
变量名称 | 镜像环境变量 | 描述 | 示例值 | 必填 |
---|---|---|---|---|
| — | 应用程序的名称。 | myapp | true |
| — | 包含 KIE_ADMIN_USER 和 KIE_ADMIN_PWD 值的 secret | rhpam-credentials | true |
| — | 安装 Red Hat Process Automation Manager 镜像的 ImageStreams 的命名空间。这些 ImageStreams 通常安装在 openshift 命名空间中。只有在不同的命名空间/项目中安装 ImageStream 时,才需要修改此参数。默认为 "openshift"。 | openshift | true |
| — | 用于 KIE 服务器的镜像流的名称。默认为 "rhpam-kieserver-rhel8"。 | rhpam-kieserver-rhel8 | true |
| — | 指向镜像流中镜像的命名指针。默认为 "7.12.0"。 | 7.12.0 | true |
|
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) | java:/jboss/datasources/rhpam | False |
| — | 安装 PostgreSQL 镜像的 ImageStream 的命名空间。ImageStream 已安装在 openshift 命名空间中。只有在不同的命名空间/项目中安装 ImageStream 时,才需要修改此参数。默认为 "openshift"。 | openshift | False |
| — | PostgreSQL 镜像版本,用于与 PostgreSQL 版本对应。默认为 "10"。 | 10 | False |
|
| KIE Server PostgreSQL 数据库用户名。 | rhpam | False |
|
| KIE Server PostgreSQL 数据库密码。 | — | False |
|
| KIE Server PostgreSQL 数据库名称。 | rhpam7 | False |
|
| 允许 PostgreSQL 处理 XA 事务。 | 100 | true |
| — | 数据库卷的持久性存储大小。 | 1Gi | true |
|
| KIE Server PostgreSQL Hibernate 定位. | org.hibernate.dialect.PostgreSQLDialect | true |
|
| KIE Server mbeans 启用/禁用.(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性) | enabled | False |
|
| KIE 服务器类过滤.(设置 org.drools.server.filter.classes 系统属性) | true | False |
|
| 如果设置为 false,则启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性) | false | False |
|
| http 服务路由的自定义主机名。默认主机名留空,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix> | — | False |
|
| https 服务路由的自定义主机名。默认主机名留空,例如: <application-name>-kieserver-<project>.<default-domain-suffix> | — | False |
| — | 包含密钥存储文件的 secret 名称。 | kieserver-app-secret | true |
|
| 机密中的密钥存储文件的名称。 | keystore.jks | False |
|
| 与服务器证书关联的名称。 | jboss | False |
|
| 密钥存储和证书的密码。 | mykeystorepass | False |
|
| 允许 KIE 服务器绕过经过身份验证的用户获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性) | false | False |
|
| 带有可选别名的 KIE 服务器容器部署配置。Format: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2 | rhpam-kieserver-library=org.openshift.quickstarts:rhpam-kieserver-library:1.6.0-SNAPSHOT | true |
| — | 应用的 Git 源 URI。 | https://github.com/jboss-container-images/rhpam-7-openshift-image.git | true |
| — | Git 分支/标签引用。 | main | False |
| — | 要构建的 Git 项目中的路径;对于 root 项目目录为空。 | quickstarts/library-process/library | False |
| — | GitHub 触发器机密。 | — | true |
| — | 通用构建触发器机密。 | — | true |
|
| 用于 S2I 构建的 Maven 镜像。如果启用,镜像必须包含构建和运行所需服务所需的所有工件。 | — | False |
|
| KIE 服务器的 Maven 镜像配置. | 外部:* | False |
|
| 用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来从可选配置的镜像中排除。例如: external:*,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL,但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但无法在 MAVEN_MIRROR_OF 中使用。 | repo-custom | False |
|
| Maven 存储库的完全限定 URL。 | — | False |
|
| 用于访问 Maven 存储库的用户名(如果需要)。 | — | False |
|
| 如果需要,用于访问 Maven 存储库的密码。 | — | False |
|
| 可选的 Business Central 的服务名称(如果需要的话),以允许服务查找(如 maven repo usage)。 | myapp-rhpamcentr | False |
| — | 将从中复制存档到部署文件夹中的目录列表。如果未指定,将复制 /target 中的所有存档。 | — | False |
|
| 为 EJB 计时器服务 database-data-store 设置 refresh-interval。 | 30000 | False |
| — | KIE 服务器容器内存限值。 | 2Gi | true |
| — | KIE 服务器容器内存请求. | 1536Mi | true |
| — | KIE 服务器容器 CPU 限制。 | 1 | true |
| — | KIE 服务器容器 CPU 请求. | 750m | true |
|
| 禁用管理 api,也不允许 KIE 容器部署/未部署或启动/停止。(将属性 org.kie.server.mgmt.api.disabled 设置为 true) | true | true |
|
| RH-SSO URL。 | https://rh-sso.example.com/auth | False |
|
| RH-SSO Realm 名称。 | — | False |
|
| KIE Server RH-SSO 客户端名称。 | — | False |
|
| KIE 服务器 RH-SSO 客户端机密. | 252793ed-7118-4ca8-8dab-5622fa97d892 | False |
|
| 用于创建客户端的 RH-SSO Realm admin 用户名(如果不存在)。 | — | False |
|
| 用于创建客户端的 RH-SSO Realm 管理员密码。 | — | False |
|
| RH-SSO 禁用 SSL 证书验证. | false | False |
|
| RH-SSO Principal Attribute,用作用户名。 | preferred_username | False |
|
| 要连接的 LDAP 端点以进行身份验证。对于故障转移,请设置两个或更多 LDAP 端点,用空格分开。 | ldap://myldap.example.com:389 | False |
|
| LDAP 登录模块标志,增加了与 Elytron 上传统安全子系统的向后兼容性。"可选"是唯一支持的值(如果设置),它将在使用 KIE_ADMIN_USER 添加用户的 Elytron 配置中创建分布式域。 | optional | False |
|
| 启用故障转移,如果 LDAP Url 不可访问,它将切换到 KieFsRealm。 | true | False |
|
| 用于身份验证的绑定 DN。 | uid=admin,ou=users,ou=example,ou=com | False |
|
| 用于身份验证的 LDAP 凭据。 | 密码 | False |
|
| 顶级上下文的 LDAP 基础 DN 开始用户搜索。 | ou=users,ou=example,ou=com | False |
|
| 用于查找要进行身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。搜索过滤器的一个常见示例是(uid={0})。 | (uid={0}) | False |
|
| 指明用户查询是否递归。 | true | False |
|
| 用户或角色搜索的超时时间(毫秒)。 | 10000 | False |
|
| 包含用户角色的属性名称。 | memberOf | False |
|
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色的 DN,而是包含用户角色对象的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所属的 DN。 | ou=groups,ou=example,ou=com | False |
|
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。与输入用户名匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 | (memberOf={1}) | False |
|
| 角色搜索的递归级别数量将保存在匹配的上下文下。将此选项设置为 0 来禁用递归。 | 1 | False |
|
| 包含所有经过身份验证的用户的角色 | user | False |
|
| 提供 LDAP 身份映射的新身份,此 env 一起使用的模式是 'attribute_name=attribute_value;another_attribute_name=value' | sn=BlankSurname;cn=BlankCommonName | False |
|
| 如果后面应遵循 LDAP 引用:对应于 REFERRAL ('java.naming.referral') 环境属性。允许的值: 'ignore', 'follow', 'throw' | — | False |
|
| 存在时,roleMapping 将配置为使用提供的属性文件或角色。此参数定义属性文件的完全限定域名或一组具有以下模式 'role=role1;another-role=role2' 的角色。文件中每个条目的格式为 original_role=role1,role2,role3 | role=role1,role3,role4;role7=role,admin | False |
|
| 当设置为 'true' 时,映射的角色将保留所有已定义映射的角色。 | — | False |
|
| 当设置为 'true' 时,映射的角色将保留所有没有定义的映射的角色。 | — | False |
15.5.2. 对象(object)
CLI 支持各种对象类型。Openshift 文档 可以找到这些对象类型及其缩写的列表。
15.5.2.1. 服务
服务是一个抽象,用于定义一组逻辑的 pod 以及用于访问它们的策略。如需更多信息,请参阅 container-engine 文档。
服务 | 端口 | 名称 | 描述 |
---|---|---|---|
| 8080 | http | 所有 KIE 服务器 Web 服务器的端口。 |
8443 | https | ||
| 5432 | — | 数据库服务器的端口。 |
15.5.2.2. Routes
路由是通过为服务提供一个外部可访问主机名(如 www.example.com
)来公开服务的方法。定义的路由和由服务标识的端点可由路由器使用,从而从外部客户端向应用程序提供命名连接。每个路由都由路由名称、服务选择器和(可选)安全配置组成。如需更多信息,请参阅 Openshift 文档。
服务 | 安全性 | Hostname |
---|---|---|
insecure-${APPLICATION_NAME}-kieserver-http | none |
|
| TLS 透传 |
|
15.5.2.3. 构建配置
buildConfig
描述了单个构建定义,以及应该创建新构建时的一组触发器。buildConfig
是一个 REST 对象,可在 POST 中用于 API 服务器来创建新实例。如需更多信息,请参阅 Openshift 文档。
S2I 镜像 | link | 构建输出 | BuildTriggers 和设置 |
---|---|---|---|
rhpam-kieserver-rhel8:7.12.0 |
|
| GitHub, Generic, ImageChange, ConfigChange |
15.5.2.4. 部署配置
OpenShift 中的部署是基于名为部署配置的用户定义的模板的复制控制器。部署是手动创建的,或响应触发的事件。如需更多信息,请参阅 Openshift 文档。
15.5.2.4.1. 触发器
触发器驱动创建新部署以响应 OpenShift 内部和外部的事件。如需更多信息,请参阅 Openshift 文档。
Deployment | 触发器 |
---|---|
| ImageChange |
| ImageChange |
15.5.2.4.2. Replicas
复制控制器确保任意一个时间运行指定数量的 pod "replicas"。如果数量太多,复制控制器会终止一些 pod。如果数量太少,它会启动更多。如需更多信息,请参阅 container-engine 文档。
Deployment | Replicas |
---|---|
| 2 |
| 1 |
15.5.2.4.3. Pod 模板
15.5.2.4.3.1. 服务帐户
服务帐户是各个项目中存在的 API 对象。它们可以像任何其他 API 对象一样创建或删除。如需更多信息,请参阅 Openshift 文档。
Deployment | 服务帐户 |
---|---|
|
|
15.5.2.4.3.2. 镜像
Deployment | 镜像 |
---|---|
|
|
| postgresql |
15.5.2.4.3.3. 就绪度(Readiness)探测
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/readycheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container
15.5.2.4.3.4. 存活度(Liveness)探测
${APPLICATION_NAME}-kieserver
Http Get on http://localhost:8080/services/rest/server/healthcheck
${APPLICATION_NAME}-postgresql
/usr/libexec/check-container --live
15.5.2.4.3.5. 公开端口
Deployments | 名称 | 端口 | 协议 |
---|---|---|---|
| Jolokia | 8778 |
|
http | 8080 |
| |
https | 8443 |
| |
| — | 5432 |
|
15.5.2.4.3.6. 镜像环境变量
Deployment | 变量名称 | 描述 | 示例值 |
---|---|---|---|
|
| 可选的 Business Central 的服务名称(如果需要的话),以允许服务查找(如 maven repo usage)。 |
|
| admin 用户名 | 根据凭证 secret 设置 | |
| admin 用户密码 | 根据凭证 secret 设置 | |
| — |
| |
| KIE Server mbeans 启用/禁用.(设置 kie.mbeans 和 kie.scanner.mbeans 系统属性) |
| |
| KIE 服务器类过滤.(设置 org.drools.server.filter.classes 系统属性) |
| |
| 如果设置为 false,则启用 prometheus 服务器扩展。(设置 org.kie.prometheus.server.ext.disabled 系统属性) |
| |
| 允许 KIE 服务器绕过经过身份验证的用户获取与任务相关的操作,例如查询。(设置 org.kie.server.bypass.auth.user 系统属性) |
| |
| — | — | |
| — | insecure-${APPLICATION_NAME}-kieserver | |
| — |
| |
| 带有可选别名的 KIE 服务器容器部署配置。Format: containerId=groupId:artifactId:version|c2(alias2)=g2:a2:v2 |
| |
| 用于 S2I 构建的 Maven 镜像。如果启用,镜像必须包含构建和运行所需服务所需的所有工件。 |
| |
| KIE 服务器的 Maven 镜像配置. |
| |
| — | RHPAMCENTR,EXTERNAL | |
| — | repo-rhpamcentr | |
| 可选的 Business Central 的服务名称(如果需要的话),以允许服务查找(如 maven repo usage)。 |
| |
| — |
| |
| — | 根据凭证 secret 设置 | |
| — | 根据凭证 secret 设置 | |
| 用于 maven 存储库的 id。如果设置,可以通过将其添加到 MAVEN_MIRROR_OF 来从可选配置的镜像中排除。例如: external:*,!repo-rhpamcentr,!repo-custom。如果设置了 MAVEN_MIRROR_URL,但没有设置 MAVEN_MIRROR_ID,则 id 将随机生成,但无法在 MAVEN_MIRROR_OF 中使用。 |
| |
| Maven 存储库的完全限定 URL。 |
| |
| 用于访问 Maven 存储库的用户名(如果需要)。 |
| |
| 如果需要,用于访问 Maven 存储库的密码。 |
| |
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) |
| |
| — |
| |
| KIE Server PostgreSQL 数据库名称。 |
| |
| KIE 服务器持久性数据源.(设置 org.kie.server.persistence.ds 系统属性) |
| |
| — | true | |
| — | postgresql | |
| KIE Server PostgreSQL Hibernate 定位. |
| |
| KIE Server PostgreSQL 数据库用户名。 |
| |
| KIE Server PostgreSQL 数据库密码。 |
| |
| — |
| |
| — | 5432 | |
| 为 EJB 计时器服务 database-data-store 设置 refresh-interval。 |
| |
| — |
| |
| 机密中的密钥存储文件的名称。 |
| |
| 与服务器证书关联的名称。 |
| |
| 密钥存储和证书的密码。 |
| |
| 禁用管理 api,也不允许 KIE 容器部署/未部署或启动/停止。(将属性 org.kie.server.mgmt.api.disabled 设置为 true) |
| |
| — | OpenShiftStartupStrategy | |
| — | kubernetes.KUBE_PING | |
| — | — | |
| — | cluster=jgrp.k8s.${APPLICATION_NAME}.kieserver | |
| RH-SSO URL。 |
| |
| — | ROOT.war | |
| RH-SSO Realm 名称。 |
| |
| KIE 服务器 RH-SSO 客户端机密. |
| |
| KIE Server RH-SSO 客户端名称。 |
| |
| 用于创建客户端的 RH-SSO Realm admin 用户名(如果不存在)。 |
| |
| 用于创建客户端的 RH-SSO Realm 管理员密码。 |
| |
| RH-SSO 禁用 SSL 证书验证. |
| |
| RH-SSO Principal Attribute,用作用户名。 |
| |
| http 服务路由的自定义主机名。默认主机名留空,例如: insecure-<application-name>-kieserver-<project>.<default-domain-suffix> |
| |
| https 服务路由的自定义主机名。默认主机名留空,例如: <application-name>-kieserver-<project>.<default-domain-suffix> |
| |
| 要连接的 LDAP 端点以进行身份验证。对于故障转移,请设置两个或更多 LDAP 端点,用空格分开。 |
| |
| LDAP 登录模块标志,增加了与 Elytron 上传统安全子系统的向后兼容性。"可选"是唯一支持的值(如果设置),它将在使用 KIE_ADMIN_USER 添加用户的 Elytron 配置中创建分布式域。 |
| |
| 启用故障转移,如果 LDAP Url 不可访问,它将切换到 KieFsRealm。 |
| |
| 用于身份验证的绑定 DN。 |
| |
| 用于身份验证的 LDAP 凭据。 |
| |
| 顶级上下文的 LDAP 基础 DN 开始用户搜索。 |
| |
| 用于查找要进行身份验证的用户上下文的 LDAP 搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。搜索过滤器的一个常见示例是(uid={0})。 |
| |
| 指明用户查询是否递归。 |
| |
| 用户或角色搜索的超时时间(毫秒)。 |
| |
| 包含用户角色的属性名称。 |
| |
| 用于搜索用户角色的上下文的固定 DN。这不是实际角色的 DN,而是包含用户角色对象的 DN。例如,在 Microsoft Active Directory 服务器中,这是用户帐户所属的 DN。 |
| |
| 用于查找与经过身份验证的用户关联的角色的搜索过滤器。从登录模块回调获取的输入用户名或 userDN 被替换为使用 {0} 表达式的过滤器。经过身份验证的用户 DN 被替换为使用 GC 任何位置的过滤器。与输入用户名匹配的搜索过滤器示例为(member={0})。在经过身份验证的用户DN 上匹配的替代方案是(member=maistra)。 |
| |
| 角色搜索的递归级别数量将保存在匹配的上下文下。将此选项设置为 0 来禁用递归。 |
| |
| 包含所有经过身份验证的用户的角色 |
| |
| 提供 LDAP 身份映射的新身份,此 env 一起使用的模式是 'attribute_name=attribute_value;another_attribute_name=value' |
| |
| 如果后面应遵循 LDAP 引用:对应于 REFERRAL ('java.naming.referral') 环境属性。允许的值: 'ignore', 'follow', 'throw' |
| |
| 存在时,roleMapping 将配置为使用提供的属性文件或角色。此参数定义属性文件的完全限定域名或一组具有以下模式 'role=role1;another-role=role2' 的角色。文件中每个条目的格式为 original_role=role1,role2,role3 |
| |
| 当设置为 'true' 时,映射的角色将保留所有已定义映射的角色。 |
| |
| 当设置为 'true' 时,映射的角色将保留所有没有定义的映射的角色。 |
| |
|
| KIE Server PostgreSQL 数据库用户名。 |
|
| KIE Server PostgreSQL 数据库密码。 |
| |
| KIE Server PostgreSQL 数据库名称。 |
| |
| 允许 PostgreSQL 处理 XA 事务。 |
|
15.5.2.4.3.7. 卷
Deployment | 名称 | mountPath | 用途 | readOnly |
---|---|---|---|---|
| kieserver-keystore-volume |
| SSL 证书 | true |
|
|
| postgresql | false |
15.5.2.5. 外部依赖项
15.5.2.5.1. 持久性卷声明
PersistentVolume
对象是 OpenShift 集群中的存储资源。通过从 GCE Persistent Disks、AWS Elastic Block Stores (EBS)和 NFS 挂载等源创建 PersistentVolume
对象来置备存储。如需更多信息,请参阅 Openshift 文档。
名称 | 访问模式 |
---|---|
| ReadWriteOnce |
15.5.2.5.2. Secrets
此模板需要安装下列机密,以便应用运行:
- kieserver-app-secret