Middleware (weblogic 활용) Weblogic Docker ConfigMap활용으로 Pod별 설정 제어 방법 (weblogic-ku…
페이지 정보
작성자 미들웨어 아이디로 검색 전체게시물 댓글 0건 조회 1,476회 좋아요 0회 작성일 22-04-20 14:54본문
- ConfigMap 설정 설명
- 구성 파일은 다음을 통해 Kubernetes Pod 및 작업에 제공할 수 있습니다.
- 구성 맵, 키-값 쌍 세트로 구성되며, 각 항목은 하나 이상의 운영자 관리 노드에서 읽기 전용 텍스트 파일로 액세스할 수 있습니다.
- 액세스는 도메인 전체, 단일 클러스터 내 또는 단일 서버에 제공될 수 있다.
- 각각의 경우에 액세스는 serverPod원하는 범위의 요소 내에서 구성됩니다.
- ConfigMap 설정 샘플
예를 들어 샘플로 my-map
key-1 and key-2 로 이름이 지정된 ConfigMap이 있는 경우 클러스터내의 동일한 디렉토리에 있는 별도의 파일로 두 값에 대한 액세스를 제공할 수 있습니다.
clusters: - clusterName: cluster-1 serverPod: volumes: - name: my-volume-1 configMap: name: my-map items: - key: key-1 path: first - key: key-2 path: second volumeMounts: - name: my-volume-1 mountPath: /weblogic-operator/my |
- ConfigMap 설정 경로
경로를 아래와 같이하면 경로에 있는 두 개의 파일에 액세스할 수 있습니다.
- /weblogic-operator/my/first
- /weblogic-operator/my/second.
버전 3.1부터 WebLogic Kubernetes Operator 이미지 및 2020년 8월 이후 Oracle Container Registry에서 얻은 WebLogic Server 이미지
oracle
에는 기본 그룹이 로 설정된 UID 1000 사용자가 root
있습니다.다음은 표준 WebLogic에서 발췌한 것입니다.도커파일 파일 시스템 그룹 소유권이 표준 WebLogic Server 이미지에서 구성되는 방식을 보여줍니다.
# Setup filesystem and oracle user
# Adjust file permissions, go to /u01 as user 'oracle' to proceed with WLS installation
# ------------------------------------------------------------
RUN mkdir -p /u01 && \
chmod 775 /u01 && \
useradd -b /u01 -d /u01/oracle -m -s /bin/bash oracle && \
chown oracle:root /u01
COPY --from=builder --chown=oracle:root /u01 /u01
기본적으로 OpenShift는 각 컨테이너에 대해 그룹에 restricted
높은 임의의 UID를 할당하는 보안 컨텍스트 제약 조건을 적용합니다. root
위에서 언급한 표준 이미지는 restricted
보안 컨텍스트 제약 조건과 함께 작동하도록 설계되었습니다.
그러나 자신의 이미지를 빌드하거나 이전 버전의 이미지를 가지고 있거나 다른 소스에서 이미지를 가져오는 경우 필요한 권한이 없을 수 있습니다. 이미지가 OpenShift에서 작동할 수 있도록 유사한 파일 시스템 권한을 구성해야 할 수도 있습니다. root
특히 다음 디렉터리가 그룹으로 포함되어 있고 그룹 읽기, 쓰기 및 실행 권한이 설정(활성화)되어 있는지 확인해야 합니다 .
- 연산자의 경우
/operator
및/logs
. - WebLogic Server 이미지의 경우
/u01
(또는 다른 위치에 배치하는 경우 Oracle 홈 및 도메인의 궁극적인 상위 디렉토리).
OpenShift 환경에 다른 기본 보안 컨텍스트 제약 조건이 있는 경우 보안 컨텍스트 제약 조건을 생성하여 UID 1000 사용을 허용하도록 OpenShift를 구성해야 할 수 있습니다. Oracle은 필요한 권한만 있는 사용자 정의 보안 컨텍스트 제약 조건을 정의하고 이를 WebLogic 포드에 적용할 것을 권장합니다. Oracle은 필요한 것보다 더 많은 권한을 제공하므로 보안 수준이 낮기 때문에 내장 anyuid
보안 컨텍스트 제약 조건을 사용하지 않는 것이 좋습니다.
사용자 지정 보안 컨텍스트 제약 조건 생성
사용자 지정 보안 컨텍스트 제약 조건을 생성하려면 다음 콘텐츠로 YAML 파일을 생성합니다. 이 예에서는 OpenShift 프로젝트가 호출 weblogic
되고 운영자 및 도메인을 실행하는 데 사용할 서비스 계정 이 호출된다고 가정합니다 weblogic-operator
. groups
환경에 맞게 및 users
섹션 에서 이를 변경해야 합니다.
kind: SecurityContextConstraints
apiVersion: v1
metadata:
name: uid1000
allowHostDirVolumePlugin: false
allowHostIPC: false
allowHostNetwork: false
allowHostPID: false
allowHostPorts: false
allowPrivilegeEscalation: true
allowPrivilegedContainer: false
fsGroup:
type: MustRunAs
groups:
- system:serviceaccounts:weblogic
readOnlyRootFilesystem: false
requiredDropCapabilities:
- KILL
- MKNOD
- SETUID
- SETGID
runAsUser:
type: MustRunAs
uid: 1000
seLinuxContext:
type: MustRunAs
supplementalGroups:
type: RunAsAny
users:
- system:serviceaccount:weblogic:weblogic-operator
volumes:
- configMap
- downwardAPI
- emptyDir
- persistentVolumeClaim
- projected
- secret
해당 파일을 호출했다고 가정하면 uid1000.yaml
다음 명령을 사용하여 보안 컨텍스트 제약 조건을 생성할 수 있습니다.
$ oc create -f uid1000.yaml
보안 컨텍스트 제약 조건을 생성한 후 WebLogic Kubernetes Operator를 설치할 수 있습니다. 보안 컨텍스트 제약 조건에서 권한을 부여한 것과 동일한 서비스 계정을 사용하는지 확인하십시오( weblogic-operator
앞의 예에서). 그런 다음 운영자는 UID 1000으로 실행되고, 운영자가 생성하는 모든 WebLogic 도메인도 UID 1000으로 실행됩니다.
OpenShift 요구 사항 및 연산자에 대한 추가 정보는 다음을 참조하십시오.오픈시프트.
전용 네임스페이스 사용
운영자의 개별 인스턴스를 설치하는 사용자에게 Kubernetes 클러스터 수준에서 리소스를 생성하는 데 필요한 권한이 없는 경우 운영자 인스턴스 및 관리하는 모든 WebLogic 도메인에 전용 네임스페이스를 사용할 수 있습니다. 설정 에 대한 자세한 내용은 dedicated
다음을 참조하십시오.운영자 헬멧 구성 값.
Helm 차트 속성 kubernetesPlatorm
을 다음으로 설정합니다.OpenShift
연산자 버전 3.3.2부터 연산자 kubernetesPlatform
Helm 차트 속성을 로 설정합니다 OpenShift
. 이 속성은 OpenShift 보안 요구 사항을 수용합니다. 자세한 내용은운영자 헬멧 구성 값.
WIT를 사용하여 target
매개변수를 다음으로 설정합니다.OpenShift
사용할 때WebLogic 이미지 도구(WIT), create
, rebase
또는 update
명령을 사용하여이미지의 도메인--target
도메인 홈 에서 대상 Kubernetes 환경에 대한 매개변수를 지정할 수 있습니다. 값은 Default
또는 OpenShift
입니다. 이 OpenShift
옵션은 해당 파일에 대한 그룹 권한이 사용자 권한(대부분의 경우 그룹 쓰기 가능)과 동일하도록 도메인 디렉토리 파일을 변경합니다. 에 OS 그룹 및 사용자 설정을 제공하지 않으면 이 옵션 --chown
의 설정이 에서 로 변경 되어 OpenShift 환경의 기대치에 부합합니다.Default
oracle:oracle
oracle:root
댓글목록
등록된 댓글이 없습니다.