OpenShiftデプロイメント
この記事では、OpenShiftの特定の提供に基づいて、あなたがどのようにBitwarden自己ホスト型Helm Chartのデプロイメントを変更するかについて深く掘り下げています。
この例では、デフォルトのイングレスコントローラーの代わりにOpenShift Routesを示します。
デフォルトのイングレスを無効にする
アクセス
my-values.yaml。デフォルトのイングレスを無効にするには、
ingress.enabled: falseを指定します:
Bashgeneral:
domain: "replaceme.com"
ingress:
enabled: false残りのingress値は変更を必要としません。なぜなら、ingress.enabled: falseを設定すると、チャートはそれらを無視するように促されます。
ルートのための生のマニフェストを追加します
rawManifestsセクションをmy-values.yamlで見つけてください。このセクションは、OpenShift Routeマニフェストが割り当てられる場所です。
OpenShift Routesを使用するrawManifestsセクションの例ファイルは、 タイプ: アセット-ハイパーリンク id: 330r6BrWsFLL9FLZbPSLIcからダウンロードできます。
備考
上記の例では、destinationCACertificateは空の文字列に設定され��ています。これはOpenShiftのデフォルトの証明書設定を使用します。あるいは、ここに証明書の名前を指定するか、このガイドに従ってLet's Encryptを使用することもできます。もしそうするなら、各ルートの注釈にkubernetes.io/tls-acme: "true"を追加する必要があります。
ほとんどのOpenShiftデプロイメントには共有ストレージクラスが必要です。ReadWriteManyストレージを有効にする必要があります。これはあなたの選択した方法で行うことができます、一つの選択肢はNFSサブディレクトリ外部プロビジョナーを使用することです。
ocコマンドは、シークレットをデプロイするために使用できます。有効なインストールIDとキーは、bitwarden.com/host/から取得できます。詳細については、インストールIDとインストールキーは何に使われますか?をご覧ください。
次のコマンドは例です:
注意
この例では、シェルの履歴にコマンドを記録します。他の方法も秘密を安全に設定するために考慮されるかもしれません。
Bashoc create secret generic custom-secret -n bitwarden \
--from-literal=globalSettings__installation__id="REPLACE" \
--from-literal=globalSettings__installation__key="REPLACE" \
--from-literal=globalSettings__mail__smtp__username="REPLACE" \
--from-literal=globalSettings__mail__smtp__password="REPLACE" \
--from-literal=globalSettings__yubico__clientId="REPLACE" \
--from-literal=globalSettings__yubico__key="REPLACE" \
--from-literal=globalSettings__hibpApiKey="REPLACE" \
--from-literal=SA_PASSWORD="REPLACE" # If using SQL pod
# --from-literal=globalSettings__sqlServer__connectionString="REPLACE" # If using your own SQL serverOpenShiftでは、各コンテナが起動時に昇格コマンドを実行する必要があるため、サービスアカウントが必要です。これらのコマンドはOpenShiftの制限付きSCCによってブロックされています。私たちはサービスアカウントを作成し、それをanyuid SCCに割り当てる必要があります。
次のコマンドを
ocコマンドラインツールで実行してください:Bashoc create sa bitwarden-sa oc adm policy add-scc-to-user anyuid -z bitwarden-sa次に、新しいサービスアカウントを使用するように
my-values.yamlを更新してください。次のキーを前のステップで作成されたサービスアカウントbitwarden-saの名前に設定します:Bashcomponent.admin.podServiceAccount component.api.podServiceAccount component.attachments.podServiceAccount component.events.podServiceAccount component.icons.podServiceAccount component.identity.podServiceAccount component.notifications.podServiceAccount component.scim.podServiceAccount component.sso.podServiceAccount component.web.podServiceAccount database.podServiceAccountこれは
my-values.yamlファイルの例です:
Bashcomponent:
# The Admin component
admin:
# Additional deployment labels
labels: {}
# Image name, tag, and pull policy
image:
name: bitwarden/admin
resources:
requests:
memory: "64Mi"
cpu: "50m"
limits:
memory: "128Mi"
cpu: "100m"
securityContext:
podServiceAccount: bitwarden-sa備考
これらのポッドのセキュリティを微調整するために、自分自身のSCCを作成することができます。「OpenShift での SCC の管理」では、すぐに使える SSC と、必要に応じて独自の SSC を作成する方法について説明します。