openshift/origin-base
自动构建
openshift
OpenShift Origin是Kubernetes的优化发行版,专为持续应用开发和多租户部署设计,提供开发者和运维工具,支持自动扩展、服务发现、持久存储及安全隔离,简化应用构建、部署和生命周期管理。
15 次收藏下载次数: 0状态:自动构建维护者:openshift仓库类型:镜像最近更新:2 年前
OpenShift Application Platform
镜像概述和主要用途
OpenShift Origin是Kubernetes的发行版,针对持续应用开发和多租户部署进行了优化。它在Kubernetes基础上添加了以开发者和运维为中心的工具,支持小型和大型团队实现快速应用开发、轻松部署与扩展,以及长期的生命周期维护。
核心功能和特性
- 轻松构建应用,集成服务发现和持久存储
- 快速扩展应用以应对需求增长,支持自动高可用性、负载均衡、健康检查和故障转移
- 推送源代码到Git仓库,自动部署容器化应用
- 提供Web控制台和命令行客户端,用于构建和监控应用
- 集中式管理整个技术栈、团队或组织:
- 创建可重用的系统组件模板,随时间迭代部署
- 以受控方式向整个组织推出软件栈修改
- 与现有身份验证机制集成,包括LDAP、Active Directory和GitHub等公共OAuth提供商
- 多租户支持,包括容器、构建和网络通信的团队与用户隔离:
- 允许开发者在生产环境中以细粒度控制安全运行容器
- 限制、跟踪和管理平台上的开发者和团队
- 集成Docker registry、自动边缘负载均衡、集群日志和集成指标
使用场景和适用范围
- 企业级应用开发:支持从代码提交到部署的完整开发流程,适合敏捷开发团队
- 多团队协作:通过项目隔离和权限控制,实现不同团队安全共享基础设施
- 微服务架构部署:提供服务发现、负载均衡和自动扩展,满足微服务架构需求
- DevOps实践:集成CI/CD流程,支持自动构建、测试和部署
- 混合云环境:可在本地、公有云或混合云环境中部署,提供一致的操作体验
详细的使用方法和配置说明
安装
如果已从https://github.com/openshift/origin/releases%E4%B8%8B%E8%BD%BD%E5%AE%A2%E6%88%B7%E7%AB%AF%E5%B7%A5%E5%85%B7%EF%BC%8C%E5%B0%86%E5%8C%85%E5%90%AB%E7%9A%84%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6%E6%B7%BB%E5%8A%A0%E5%88%B0PATH%E4%B8%AD%E3%80%82
- 在任何安装了Docker引擎的系统上,可运行
oc cluster up立即启动 - 如需使用https://github.com/openshift/openshift-ansible%E8%BF%9B%E8%A1%8C%E5%AE%8C%E6%95%B4%E9%9B%86%E7%BE%A4%E5%AE%89%E8%A3%85%EF%BC%8C%E8%AF%B7%E9%81%B5%E5%BE%AA%E9%AB%98%E7%BA%A7%E5%AE%89%E8%A3%85%E6%8C%87%E5%8D%97
- 如需从源码构建和运行,请参见CONTRIBUTING.adoc
核心概念
OpenShift围绕Docker容器和Kubernetes运行时概念构建了以开发者为中心的工作流:
- 镜像流(Image Stream):轻松标记、导入和发布集成registry中的Docker镜像
- 构建配置(Build Config):支持启动Docker构建、直接从源代码构建,或在镜像流标签更新时触发Jenkins Pipeline作业
- 部署配置(Deployment Config):在新镜像可用时自动重新部署
- 路由(Routes):通过公共DNS名称轻松暴露Kubernetes服务
- 项目(Projects):管理员可允许开发者请求包含预定义角色、配额和安全控制的项目,实现资源公平分配
有关OpenShift基础概念的更多信息,请参见文档站点。
OpenShift API
每个服务器上的OpenShift API位于https://<host>:8443/oapi/v1。这些API通过Swagger v1.2在https://<host>:8443/swaggerapi/oapi/v1进行描述。更多信息请参见API文档。
Kubernetes集成
OpenShift嵌入Kubernetes并通过安全和其他集成概念对其进行扩展。OpenShift Origin版本对应于Kubernetes发行版(例如,OpenShift 1.4包含Kubernetes 1.4)。
有关Kubernetes使用或Origin依赖的底层概念的更多信息,请参见:
- Kubernetes入门
- Kubernetes文档
- Kubernetes API
可运行的应用类型
OpenShift设计用于运行任何现有Docker镜像。此外,您可以定义使用Dockerfile生成新Docker镜像的构建。
为简化源代码运行体验,https://github.com/openshift/source-to-image%E5%85%81%E8%AE%B8%E5%BC%80%E5%8F%91%E8%80%85%E5%8F%AA%E9%9C%80%E6%8F%90%E4%BE%9B%E5%8C%85%E5%90%AB%E4%BB%A3%E7%A0%81%E7%9A%84%E5%BA%94%E7%94%A8%E6%BA%90%E4%BB%A3%E7%A0%81%E4%BB%93%E5%BA%93%E5%8D%B3%E5%8F%AF%E6%9E%84%E5%BB%BA%E5%92%8C%E8%BF%90%E8%A1%8C%E3%80%82%E5%AE%83%E9%80%9A%E8%BF%87%E5%B0%86%E7%8E%B0%E6%9C%89%E7%9A%84S2I%E5%90%AF%E7%94%A8Docker%E9%95%9C%E5%83%8F%E4%B8%8E%E5%BA%94%E7%94%A8%E6%BA%90%E4%BB%A3%E7%A0%81%E7%BB%93%E5%90%88%EF%BC%8C%E7%94%9F%E6%88%90%E6%96%B0%E7%9A%84%E5%8F%AF%E8%BF%90%E8%A1%8C%E5%BA%94%E7%94%A8%E9%95%9C%E5%83%8F%E3%80%82
可用的Source-to-Image构建器镜像包括:
- https://github.com/sclorg/s2i-ruby-container
- https://github.com/sclorg/s2i-python-container
- https://github.com/sclorg/s2i-nodejs-container
- https://github.com/sclorg/s2i-php-container
- https://github.com/sclorg/s2i-perl-container
- https://github.com/openshift-s2i/s2i-wildfly
应用镜像可通过以下数据库镜像轻松扩展数据库服务:
- https://github.com/sclorg/mysql-container
- https://github.com/sclorg/mongodb-container
- https://github.com/sclorg/postgresql-container
容器安全控制
OpenShift默认运行以下安全策略:
- 容器以非root唯一用户运行,与其他系统用户分离:
- 无法访问主机资源、以特权模式运行或成为root
- 具有系统管理员定义的CPU和内存限制
- 访问的任何持久存储将使用唯一SELinux标签,防止他人查看其内容
- 这些设置按项目划分,不同项目的容器默认无法相互查看
- 普通用户可运行Docker、源代码和自定义构建:
- 默认情况下,Docker构建可以(且通常)以root运行。可通过
builds/docker和builds/custom策略资源控制谁可以创建Docker构建
- 默认情况下,Docker构建可以(且通常)以root运行。可通过
- 普通用户和项目管理员无法更改其安全配额
许多Docker容器期望以root运行(因此可以编辑文件系统的所有内容)。镜像作者指南提供了使镜像默认更安全的建议:
- 不要以root运行
- 使要写入的目录可被组写入并归组ID 0所有
- 如果可执行文件需要绑定到<1024的端口,为其设置net-bind能力
如果运行自己的集群并希望容器以root运行,可通过以下命令授予当前项目中容器该权限:
bash# 授予当前项目中的默认服务账户访问以UID 0(root)运行的权限 oc adm add-scc-to-user anyuid -z default
有关限制应用的更多信息,请参见安全文档。
支持的Kubernetes Alpha特性
上游Kubernetes的某些特性尚未在OpenShift中启用,原因包括可支持性、安全性或上游特性的限制。
Kubernetes定义
- Alpha:功能可用,但不保证向后兼容性或功能移至Beta时的数据保留;可能存在重大bug,适用于测试和原型设计;未来可能被替换或重大重新设计;通常不提供迁移到Beta的支持,仅提供变更文档
- Beta:功能可用且普遍认为可解决预期问题,但可能需要稳定或额外反馈;可能适合在受限环境下的有限生产使用;不太可能被替换或删除,但仍可能需要迁移的功能变更
OpenShift补充定义
- Not Yet Secure:因对集群有重大安全或稳定性风险而尚未启用的功能;通常适用于可能允许平台上权限提升或拒绝服务行为的功能;在某些情况下适用于尚未进行完整安全审查的新功能
- Potentially Insecure:在多用户环境中需要额外工作才能正确保护的功能;默认仅对集群管理员启用,不建议为不受信任用户启用;通常会在其可用后的1个版本内识别并修复
- Tech Preview:因各种原因被视为不受支持的功能在文档中称为"技术预览";Kubernetes Alpha和Beta功能被视为技术预览,尽管偶尔某些功能会提前毕业;除豁免外,任何技术预览功能在OpenShift Container Platform中不受支持
- Disabled Pending Migration:这些是Kubernetes中新但起源于OpenShift的功能,因此需要为现有用户提供迁移;通常通过为现有集群提供无缝迁移来尽量减少上游Kubernetes引入的功能对OpenShift用户的影响;通常在1个Kubernetes版本内解决
特性支持状态
| 特性 | Kubernetes | OpenShift | 说明 |
|---|---|---|---|
| 第三方资源 | Alpha (1.4, 1.5) | Not Yet Secure | 第三方资源仍在 upstream 积极开发中;已知问题包括无法清理 etcd 中的资源,可能导致对集群的拒绝服务***;正在考虑仅为开发环境启用 |
| 垃圾回收 | Alpha (1.3) Beta (1.4, 1.5) | Tech Preview (1.4, 1.5) | 垃圾回收将自动删除服务器上的相关资源,因此考虑到潜在的数据丢失风险,在垃圾回收升级到Beta并经过完整发布周期测试后才会在Origin中启用 |
| Stateful Sets | Alpha (1.3, 1.4) Beta (1.5) | Tech Preview (1.3, 1.4, 1.5) | Stateful Sets仍在积极开发中,在1.5发布前不保证向后兼容性。从1.5开始,Stateful Sets将默认启用,并保证一定的向后兼容性 |
| Init Containers | Alpha (1.3, 1.4) Beta(1.5) | Tech Preview (1.3, 1.4, 1.5) | Init容器已正确保护,但在1.6之前不会正式支持 |
| 联邦集群 | Alpha (1.3) Beta (1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | Kubernetes联邦服务器可使用适当的凭据对Origin集群使用;已知问题包括联邦中的租户支持以及联邦和普通集群之间一致访问控制的能力;目前未分发Origin特定的联邦二进制文件 |
| Deployment | Beta (1.3, 1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | OpenShift推出了DeploymentConfigs,一个功能更全面的Deployment对象。DeploymentConfigs更适合开发者流程,可推送代码并自动部署,还提供更高级的钩子和自定义部署。当在OpenShift外部管理变更时使用Kubernetes Deployments |
| Replica Sets | Beta (1.3, 1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | Replica Sets执行与Replication Controllers相同的功能,但具有更强大的标签语法。两者均可使用 |
| Ingress | Beta (1.2, 1.3, 1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | OpenShift推出了Routes,一个功能更全面的Ingress对象。在1.5中,路由器可以读取Ingress规则(默认禁用),但由于Ingress对象引用密钥,必须授予路由器对集群的极高访问权限才能运行。未来变更可能会降低启用Ingress的安全影响 |
| PodSecurityPolicy | Beta (1.3, 1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | OpenShift推出了SecurityContextConstraints,然后将其上游化为PodSecurityPolicy。计划启用上游PodSecurityPolicy以自动迁移现有SecurityContextConstraints。PodSecurityPolicy尚未完成完整安全审查,这将是技术预览的标准之一。SecurityContextConstraints是PodSecurityPolicy功能的超集 |
| PodAntiAffinitySelectors | Beta (1.3, 1.4, 1.5) | Not Yet Secure (1.3) Tech Preview (1.4, 1.5) | 不允许终端用户设置非节点名称的PodAntiAffinitySelectors,因为可能通过拒绝服务***调度器 |
| NetworkPolicy | Beta (1.3, 1.4, 1.5) | Tech Preview (1.3, 1.4, 1.5) | 从1.5开始,OpenShift SDN将公开使用网络策略限制pod访问的实验模式。未来版本将扩展此支持 |
如本列表遗漏了Kubernetes支持但Origin中不运行的功能,请联系我们。
贡献
您可以在本地主机上开发或使用虚拟机,或者如果只想试用Origin,可以下载最新的Linux服务器或Windows和Mac OS X客户端预构建二进制文件。
首先,通过贡献指南启动并运行。
欢迎所有贡献 - Origin使用Apache 2许可证,不需要任何贡献者协议即可提交补丁。如遇到任何错误或问题,请打开issue,在OpenShift IRC频道(freenode上的#openshift-dev)提问,或参与容器运行时层的https://github.com/kubernetes/kubernetes%E3%80%82
有关Origin开发的更多详细信息,包括不同测试的设置方式,请参见https://github.com/openshift/origin/blob/master/HACKING.md%E3%80%82
如果要运行测试套件,请确保环境已设置,然后从origin目录运行:
bash# 运行验证器、单元测试和命令测试 $ make check # 运行命令行集成测试套件 $ hack/test-cmd.sh # 运行集成服务器测试套件 $ hack/test-integration.sh # 运行端到端测试套件 $ hack/test-end-to-end.sh # 运行上述所有测试 $ make test
集成和端到端测试需要安装etcd并将其添加到路径,端到端测试需要安装Docker。要安装etcd,可运行:
bash$ hack/install-etcd.sh
Origin的某些组件作为Docker镜像运行,包括images/builder/docker/*和images/deploy/*中的构建器和部署工具。要在本地构建它们,请运行:
bash$ hack/build-images.sh
要修改Web控制台,请查看assets/README.md文件,了解测试控制台和构建更改的说明。
安全响应
如果发现要保密披露的安全问题,请联系Red Hat的产品安全团队。详情请访问[***]
许可证
OpenShift根据Apache License, Version 2.0许可。
了解更多
- 公共文档
- API文档
- 我们的Trello路线图 涵盖正在处理的史诗和故事(点击查看各个项目)
如有问题或反馈,请通过Freenode上的IRC #openshift-dev或发送邮件至我们的邮件列表与我们联系。
alpine/openshift
Alpine 工具与轻量镜像
OpenShift命令行界面(CLI)及工具,包含oc、odo和crc(crc暂未就绪)
7.6千+ 次下载
11 个月前更新
openshift/origin-pod
openshift
OpenShift 3 的 Pod 基础设施镜像,相当于 Kubernetes 的 pause 镜像,由 OpenShift 基础设施构建。
17 次收藏1亿+ 次下载
2 年前更新
openshift/origin-deployer
openshift
用于在OpenShift Origin上执行部署操作的镜像,由OpenShift CI基础设施定期构建,作为OpenShift Origin项目的一部分。
11 次收藏1000万+ 次下载
2 年前更新
openshift/origin-docker-registry
openshift
OpenShift V3集成的镜像仓库,由OpenShift CI基础设施定期构建,作为OpenShift Origin的一部分。
15 次收藏1000万+ 次下载
2 年前更新
openshift/origin-cli
openshift
暂无描述
9 次收藏5000万+ 次下载
2 年前更新
openshift/origin-haproxy-router
openshift
一个动态流量路由器,可响应OpenShift PaaS安装中发布的路由
11 次收藏500万+ 次下载
2 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"