开通使用宿主机网络及目录挂载权限
oc edit scc restricted
所有节点放开9100的访问权限
iptables -I OS_FIREWALL_ALLOW -p tcp -m tcp --dport 9100 -j ACCEPT
【openshift教程-18】【敏感信息管理secrets】
openshift可以通过secrets来管理敏感信息。例如数据库用户名、密码
还可以通过不同环境下的secrets来管理不同环境下的服务。例如测试环境的app-demo和线上的app-demo,使用不同的secrets来使用测试环境的库或者线上的库
【openshift教程-17】【内核参数调优】
官方文档:https://docs.openshift.org/latest/admin_guide/sysctls.html
例如支持队列个数参数调优
vim /etc/origin/node/node-config.yaml
experimental-allowed-unsafe-sysctls:- "net.core.somaxconn"
systemctl restart origin-node.service
在配置模板中,添加systcl调优的注释
或者在安装过程中制定kuberne...
【openshift教程-16】【一次性任务、定时任务】
openshift支持的Job完全是k8s的任务机制。
可以通过查看容器的执行状态,还可以查看执行日志
一次性任务:myjob.yml
myjob.yml
apiVersion: batch/v1
kind: Job
metadata:
name: myjob
spec:
template:
metadata:
name: myjob
spec:
containers:
- name: hello
image: busyb...
【openshift教程-15】【自动扩容、缩容】
Horizontal Pod Autoscaling可以根据CPU使用率或应用自定义metrics自动扩展Pod数量(支持replication controller、deployment和replica set)。
oc project hello-world
oc autoscale deploymentconfig cakephp-mysql-persistent --max=5 --min=2 --cpu-percent=60
注意,要自动触发hpa,需要给资源设置限额,当超过限额后才会触...
【openshift教程-14】【应用数据持久化】
核心概念:持久化卷(persistentvolume)和持久化请求(persistentvolumeclaim)
创建一个持久化卷,要有一个共享存储,如Glusterfs、ceph、OpenStack cinder、nfs等等
以nfs为例
一、创建一个nfs共享存储
例如在Openshift集群外的一台机器上,nile-0:
yum -y install nfs-utils rpcbind
echo '/data/exports/pv0002 *(rw,sync,all_squash)' >> /...
【openshift教程-13】【挂载宿主机目录】
宿主机上:
mkdir -p /data/logs
chown -R 1001:0 /data/因为所有启动用户都是1001用户(default),所以设置权限给default
添加权限,设置运行所用用户可以使用mount
$ oc edit scc restricted
Change runAsUser.Type to RunAsAny.
Add allowHostDirVolumePlugin: true.
Save the changes.
【openshift教程-12.4】【设置serviceaccount,永久token】
1、添加serviceaccount
oc create serviceaccount cronjob-shanhai
等于创建了system:serviceaccount:shanhai:cronjob-shanhai
2、查询产生的secret
3、获取token
oc describe secret cronjob-shanhai-token-trtvh
4、添加权限
oc policy add-role-to-user cronjob-edit system:serviceaccount:s...
【openshift教程-12.3】【添加template权限】
创建一个clusterrole,并授权给所有的认证用户
template-view.json 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
7...
【openshift教程-12.2】【自定义权限】
导出edit和view的clusterrole
oc export clusterrole edit -o json >>edit.json
oc export clusterrole view -o json >>view.json
以view.json为基础,创建自定义role命名为sfg-view.json,添加一个verbs
资源为pod和pod/exec
创建自定义clusterrole
oc create -f sfg-view.json
使用sfg-view,使用户具有对某一个项目打...
