Створення адміністраторів Платформи

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Загальний опис

Адміністратори Платформи — технічні адміністратори інфраструктури Платформи. Роль потрібна для виконання операцій розгортання Платформи та окремих реєстрів, встановлення оновлень, взаємодії з адміністратором обладнання для оцінки необхідних ресурсів для коректної взаємодії Платформи тощо.

Детальніше про класи ролей Платформи та їх функціональні обов’язки ви можете переглянути на сторінках:

Після Розгортання Платформи на цільових оточеннях, система автоматично створює єдиного адміністратора — kube:admin. Цей користувач потрібен для створення першого адміністратора Платформи, який надалі зможе додавати інших адміністраторів, а також створювати реєстри.

Створення адміністраторів Платформи відбувається в адміністративній панелі Control Plane.

2. Призначення адміністраторів

Щоб створити першого адміністратора, виконайте наступні кроки:

  1. Увійдіть до Openshift-консолі під користувачем kube:admin.

    Логін та пароль для входу як kube:admin можна отримати у команди технічної підтримки Платформи.

    cp platform admins 1

  2. Відкрийте Home > Projects та знайдіть проєкт control-plane.

    Далі відкрийте розділ Networking > Routes та перейдіть за посиланням до компонента control-plane-console.

    cp deploy consent data 1

  3. Увійдіть до консолі Control Plane як kube:admin із тими ж логіном та паролем, що ви використовували для входу в OpenShift.

    update cluster mgmt 01

    cp platform admins 1

  4. Перейдіть до розділу Керування Платформою та натисніть Редагувати.

    update cluster mgmt 1

  5. Відкрийте секцію Адміністратори та додайте нового адміністратора(-ів), яким необхідно надати доступ для керування Платформою.

    cp platform admins 19

    Натисніть + (Додати) та у новому вікні введіть дані кожного адміністратора, а саме:

    • Ім’я

    • Прізвище

    • Електронна пошта

    • Тимчасовий пароль

    Вимоги до пароля:

    • Мінімум 10 символів.

    • Принаймні одна мала літера.

    • Принаймні одна велика літера.

    • Мінімум одна цифра.

    • Принаймні один спеціальний символ (@, #, $, %, ^, &, +, =).

    • Використовуйте лише латинські літери.

    • Без пробілів.

    Ознайомтеся з актуальними вимогами безпеки на сторінці Політика паролів.

    cp platform mgmt 09

    Для того, щоб надати доступ декільком особам, повторіть дію для кожного адміністратора окремо (+ > вкажіть дані адміністратора > Підтвердити).

    Використовуйте нижній регістр для введення даних електронної пошти.

    Доступні символи: "0-9", "a-z", "_", "-", "@", ".", ",".

    cp platform admins 19 2

  6. Натисніть Підтвердити, щоб зберегти зміни.

    Ви можете також видалити адміністратора, натиснувши на відповідну іконку 🗑 навпроти імені користувача.

    В результаті у секції Керування Платформою > Запити на оновлення формується запит зі статусом Новий та типом операції Оновлення адміністраторів Платформи.

    cp platform admins 20

  7. Відкрийте необхідний запит, натиснувши іконку перегляду — 👁.

  8. У новому вікні зіставте 2 версії змін, переконайтеся, що внесені вами дані вірні, та натисніть Підтвердити</b>.

    Запропоновані будуть внесені до конфігурації файлу deploy-templates/values.yaml компонента cluster-mgmt у разі підтвердження.

    cp platform admins 20 1

    Після підтвердження, зміни застосуються до master-гілки відповідного репозиторію, в результаті чого запуститься процес збірки коду MASTER-Build-cluster-mgmt.

    Після завершення процедури, система створює обліковий запис адміністратора Платформи із відповідними правами доступу.

    Ви можете перевірити доступ за декілька хвилин.

    Адміністратор Платформи автоматично отримує всі необхідні права доступу: групи Cluster-admins і cluster-mgmt-admin, та роль cp-cluster-mgmt-admin у сервісі Keycloak.

    Адміністратор Платформи має повний доступ до Openshift та Control Plane.

    Він може призначати інших адміністраторів Платформи, створювати реєстри, а також додавати їх адміністраторів.

    Детальніше про створення адміністраторів реєстру ви можете ознайомитися на сторінці Створення адміністраторів реєстру.

  9. Тепер ви можете увійти до Control Plane як повноцінний адміністратор Платформи. Для цього вийдіть з облікового запису kube:admin та увійдіть через опцію Log in with keycloak як адміністратор із наданими логіном та паролем.

    cp platform admins 21

    Надалі ви можете додавати та видаляти адміністраторів Платформи за аналогією до kube:admin, як описано у кроках вище поточної інструкції.

Альтернативний шлях підтвердження змін у сервісі Gerrit

Адміністратори Платформи, які увійшли під власним обліковим записом (не kube:admin), мають змогу підтверджувати запити на оновлення не лише в інтерфейсі Control Plane, а й у сервісі Gerrit. Надалі вони також зможуть перевірити статус виконання збірки коду із конфігурацією cluster-mgmt у сервісі Jenkins. Для цього:

  1. Відкрийте необхідний запит на оновлення та перейдіть до системи рецензування коду Gerrit за вихідним посиланням.

    cp platform admins 20

  2. Підтвердьте зміни: Code Review +2 > Submit.

    cp platform admins 22

    Після підтвердження та злиття змін до master-гілки відповідного репозиторію, запускається процес збірки коду — MASTER-Build-cluster-mgmt.

  3. Перейдіть за посиланням унизу сторінки та перегляньте статус виконання процесу (Jenkins CI > Build Started > сервіс Jenkins > cluster-mgmt > Master-Build-cluster-mgmt).

    cp platform admins 24

    cp platform admins 25

3. Керування доступом до адміністративного порталу

Права доступу на адміністрування та моделювання регламенту в адміністративному порталі надає адміністратор Платформи у реалмі openshift сервісу Keycloak.

Для цього виконайте наступні кроки:

  1. Увійдіть до Openshift-консолі. Використовуйте отримані логін та пароль.

    Логін та пароль для входу можна отримати у команди технічної підтримки.

  2. Перейдіть до Projects > user-management.

    cp platform admins 3

  3. Знайдіть розділ Networking та перейдіть за посиланням до сервісу keycloak.

    cp platform admins 4

  4. Виконайте вхід до Keycloak Administration Console із секретами (username та пароль) Keycloak.

    cp platform admins 4 1

    cp platform admins 7

    Отримати username та пароль можна у секретах до Keycloak-сервісу.

    Для цього перейдіть до секції Workloads > Secrets > keycloak та скопіюйте секрети.

    cp platform admins 5

    cp platform admins 6

  5. Увійдіть до реалму openshift > Users та оберіть необхідного користувача зі списку.

    cp platform admins 26

  6. Перейдіть на вкладку Role Mappings та у стовпці Available Roles оберіть роль cp-registry-admin-<registry-name>, де <registry-name> — назва реєстру, в якому розгорнуто адміністративний портал.

  7. Натисніть кнопку Add selected. В результаті роль переміститься до стовпця Assigned Roles, після чого доступ буде відкрито.

4. Пов’язані сторінки

Як адміністратор Платформи, ви можете створювати, оновлювати конфігурації інфраструктурних та реєстрових компонентів, а також додавати інших адміністраторів Платформи та реєстрів, які на ній розгорнуті.