Despliegue de OpenShift

Este artículo profundiza en cómo podrías modificar tu despliegue de Bitwarden autoalojado Helm Chart basado en las ofertas específicas de OpenShift.

Este ejemplo demostrará Rutas de OpenShift en lugar de los controladores de ingreso predeterminados.

Deshabilitar ingreso predeterminado

1. Accede a my-values.yaml.

2. Deshabilite el ingreso predeterminado especificando ingress.enabled: false:
   

Bash
general:
  domain: "replaceme.com"
  ingress:
    enabled: false

Los valores de ingreso restantes no requieren modificación, ya que el ajuste ingress.enabled: false hará que el gráfico los ignore.

Agregar manifiesto en bruto para rutas

Ubica la sección rawManifests en my-values.yaml. Esta sección es donde se asignarán los manifiestos de la Ruta OpenShift.

Un archivo de ejemplo para una sección de rawManifests que utiliza OpenShift Routes puede ser descargado  tipo: enlace de activo id: 330r6BrWsFLL9FLZbPSLIc.

Se requiere una clase de almacenamiento compartido para la mayoría de las implementaciones de OpenShift. El almacenamiento ReadWriteMany debe estar habilitado. Esto se puede hacer a través del método de tu elección, una opción es usar el Provisionador Externo de Subdirectorios NFS.

El comando oc se puede utilizar para desplegar secretos. Se puede obtener una id válida de instalación y clave desde bitwarden.com/host/. Para obtener más información, consulte ¿Para qué se utilizan mi ID de instalación y mi clave de instalación?

El siguiente comando es un ejemplo:

Bash
oc create secret generic custom-secret -n bitwarden \
    --from-literal=globalSettings__installation__id="REPLACE" \
    --from-literal=globalSettings__installation__key="REPLACE" \
    --from-literal=globalSettings__mail__smtp__username="REPLACE" \
    --from-literal=globalSettings__mail__smtp__password="REPLACE" \
    --from-literal=globalSettings__yubico__clientId="REPLACE" \
    --from-literal=globalSettings__yubico__key="REPLACE" \
    --from-literal=globalSettings__hibpApiKey="REPLACE" \
    --from-literal=SA_PASSWORD="REPLACE" # If using SQL pod 
    # --from-literal=globalSettings__sqlServer__connectionString="REPLACE" # If using your own SQL server

Se requiere una cuenta de servicio en OpenShift ya que cada contenedor necesita ejecutar comandos elevados al iniciar. Estos comandos están bloqueados por los SCCs restringidos de OpenShift. Necesitamos crear una cuenta de servicio y asignarla al SCC anyuid.

1. Ejecute los siguientes comandos con la herramienta de línea de comandos oc:
   

   Bash
   oc create sa bitwarden-sa
   oc adm policy add-scc-to-user anyuid -z bitwarden-sa

2. A continuación, actualiza my-values.yaml para usar la nueva cuenta de servicio. Establezca las siguientes claves con el nombre de la cuenta de servicio bitwarden-sa que se creó en el paso anterior:
   

   Bash
   component.admin.podServiceAccount
   component.api.podServiceAccount
   component.attachments.podServiceAccount
   component.events.podServiceAccount
   component.icons.podServiceAccount
   component.identity.podServiceAccount
   component.notifications.podServiceAccount
   component.scim.podServiceAccount
   component.sso.podServiceAccount
   component.web.podServiceAccount
   database.podServiceAccount

   Aquí hay un ejemplo en el archivo my-values.yaml:

Bash
component:
  # The Admin component
  admin:
    # Additional deployment labels
    labels: {}
    # Image name, tag, and pull policy
    image:
      name: bitwarden/admin
    resources:
      requests:
        memory: "64Mi"
        cpu: "50m"
      limits:
        memory: "128Mi"
        cpu: "100m"
    securityContext:
    podServiceAccount: bitwarden-sa