Призначення адміністраторів платформи та надання їм прав доступу

Адміністратори Платформи — технічні адміністратори інфраструктури Платформи. Роль потрібна для виконання операцій розгортання Платформи та окремих реєстрів, встановлення оновлень, взаємодії з адміністратором обладнання для оцінки необхідних ресурсів для коректної взаємодії платформи тощо.

Детальніше про класи ролей Платформи та їх функціональні обов’язки ви можете переглянути за посиланням:

1. Створення тимчасового (one-time) адміністратора платформи

Після розгортання платформи у цільовому оточенні, в системі є лише один адміністратор — kube:admin. Цей користувач потрібний для створення найпершого тимчасового адміністратора платформи та надання йому прав доступу.

  1. Виконайте вхід до Openshift-консолі під користувачем kube:admin.

    Логін та пароль для входу під kube:admin можна отримати у команди технічної підтримки.

    cp platform admins 1

  2. Перейдіть до Projects > user-management.

    cp platform admins 3

  3. Знайдіть розділ Networking та перейдіть за посиланням до сервісу keycloak.

    cp platform admins 4

  4. Виконайте вхід до Keycloak Administration Console із секретами (username та пароль) Keycloak.

    cp platform admins 4 1

    cp platform admins 7

    Отримати username та пароль можна у секретах до Keycloak-сервісу.

    Для цього перейдіть до секції Workloads > Secrets > keycloak та скопіюйте секрети.

    cp platform admins 5

    cp platform admins 6

  5. Увійдіть до реалму openshift.

    cp platform admins 8

  6. Створіть першого тимчасового адміністратора платформи:

    • Для цього відкрийте розділ Users > Add user.

      cp platform admins 9

    • Додайте інформацію про користувача, а саме username (наприклад, one-time), Email (one-time@test.com) тощо.

    • Далі натисніть Save, щоб зберегти зміни.

      cp platform admins 10

    • На вкладці Credentials встановіть пароль для адміністратора. Якщо пароль тимчасовий — активуйте опцію Temporary > On.

      cp platform admins 11

  7. Додайте групи користувачу:

    • Перейдіть до Groups > Available Groups.

    • Призначте групи Cluster-admins та cp-cluster-mgmt-admin.

      В результаті групи будуть додані до Group Membership.

      cp platform admins 12

  8. Призначте ролі користувачу:

    • Перейдіть до Role Mappings > Available Roles.

    • Встановіть роль cp-cluster-mgmt-admin.

      cp platform admins 13

      cp platform admins 14

    Всі групи та ролі для тимчасового адміністратора призначаються вручну.

  9. Поверніться до консолі Openshift та відкрийте доступ до control-plane-gerrit (центрального Gerrit) для тимчасового (one-time) адміна.

    Тобто необхідно видати one-time-користувачу права адміністратора для control-plane-gerrit.

    Для цього необхідно зробити його учасником групи адміністраторів Gerrit — GerritGroupMember:

    • У проєкті control-plane перейдіть до розділу Home > Explore > GerritGroupMember.

    • Відкрийте вкладку Instances і створіть нового учасника, натиснувши Create GerritGroupMember.

      cp platform admins 15

    • У конфігураційному файлі .yaml додайте відповідні параметри адміністратора до секцій metadata й spec.

      cp platform admins 16

      Приклад 1. Параметри доступу у GerritGroupMember.
      kind: GerritGroupMember
metadata:
  name: cp-admin
  namespace: control-plane
spec:
  accoundId: onetime
  groupId: administrators

      • cp-admin — Назва адміністратора у GerritGroupMember.

      • namespace — простір імен/проєкт в Openshift, у рамках якого надається доступ.

      • accoundId — ім’я користувача (username у сервісі Keycloak).

    • Натисніть Save, щоб зберегти зміни.

2. Створення адміністратора платформи

Тимчасовий (one-time) адміністратор створює повноцінних адміністраторів платформи в інтерфейсі Control Plane.

  1. Увійдіть до консолі Control Plane як тимчасовий адміністратор.

    update cluster mgmt 01

  2. Перейдіть до розділу Керування платформою > Редагувати.

    cp platform admins 17

    cp platform admins 18

  3. У секції Адміністратори додайте нового (повноцінного) адміністратора(-ів) платформи:

    • Натисніть +, введіть дані адміністратора:

      • ім’я;

      • прізвище;

      • username (адреса електронної пошти). Службове ім’я користувача в системі;

      • пароль.

    • Натисніть Підтвердити.

      cp platform admins 19

      В результаті сформується запит на оновлення зі статусом NEW.

  4. Відкрийте необхідний запит на оновлення та перейдіть до системи рецензування коду Gerrit за посиланням.

    cp platform admins 20

    cp platform admins 21

  5. Підтвердьте зміни: Code Review +2 > Submit.

    cp platform admins 22

    Зміни з даними про адміністратора вносяться до репозиторію cluster-mgmt та записуються до файлу deploy-templates/values.yaml.

    cp platform admins 23

  6. Після злиття змін до master-гілки відповідного репозиторію, запускається процес збірки коду — MASTER-Build-cluster-mgmt. Можна перейти за посиланням та переглянути статус виконання.

    cp platform admins 24

    cp platform admins 25

  7. Після успішного проходження збірки, адміністратор додається до переліку адмінів платформи.

Такому (повноцінному) адміністратору платформи автоматично призначаються всі права доступу: групи Cluster-admins і cluster-mgmt-admin, та роль cp-cluster-mgmt-admin у Keycloak.

Адміністратор платформи має повний доступ до Openshift та Control Plane.

Він може призначати інших адміністраторів платформи, створювати реєстри, а також додавати адміністраторів реєстру та регламенту реєстру.

Детальніше про створення адміністраторів реєстру дивіться за посиланням: