機械翻訳について

OpenShift

Helmチャート・プロパティkubernetesPlatformOpenShiftに設定

オペレータ・バージョン3.3.2以降、オペレータkubernetesPlatform Helmチャート・プロパティをOpenShiftに設定します。 このプロパティは、OpenShiftセキュリティ要件に対応します。 具体的には、オペレータのデプロイメントおよびWebLogic Serverインスタンスのオペレータによって作成されたポッドには、securityContextの構成にrunAsUser: 1000が含まれません。 これは、OpenShiftのデフォルトのrestrictedセキュリティ・コンテキスト制約に対応するためです。 詳細は、「Helmのオペレータ構成値」を参照してください。

専用ネームスペースの使用

オペレータの個々のインスタンスをインストールするユーザーに、Kubernetesクラスタ・レベルでリソースを作成するために必要な権限が「ない」場合は、Dedicatedネームスペース選択戦略を使用して、ローカル・ネームスペースでのみドメイン・リソースを管理するように制限するオペレータ・インスタンス(「オペレータ・ネームスペース管理」を参照)、およびドメイン・カスタム・リソース(CRD)を手動でインストールする必要がある場合があります(「インストールの準備」を参照)。

WebLogic Kubernetes Operatorは、管理するドメインごとに自動作成されたサービスに接続することを想定しています。 配置されているネットワーク構成では、その接続を許可する必要があります。そうしないと、オペレータはドメインのステータスを正確に報告できないためです。 詳細については、MOS 2988024.1を参照してください。

WITを使用して、targetパラメータをOpenShiftに設定

WebLogic Image Tool (WIT)、createrebaseまたはupdateコマンドを使用してDomain in Imageドメイン・ホーム、Model in ImageイメージまたはModel in Image補助イメージを作成する場合、ターゲットのKubernetes環境の--targetパラメータを指定できます。 値は、DefaultまたはOpenShiftのいずれかです。 OpenShiftオプションは、これらのファイルのグループ・アクセス権がユーザー権限(ほとんどの場合、書き込み可能グループ)と同じになるように、ドメイン・ディレクトリ・ファイルを変更します。 --chownでOSグループおよびユーザー設定を指定しない場合、このオプションのDefault設定はoracle:oracleからoracle:rootに変更され、OpenShift環境が期待されます。

OpenShiftでWebLogicを実行するためのセキュリティ要件

2020年8月からOracle Container Registryから取得したバージョン3.1およびWebLogic ServerまたはFusion Middleware Infrastructureイメージで始まるWebLogic Kubernetes Operatorイメージには、デフォルトのグループがrootに設定されたUID 1000を持つoracleユーザーが存在します。

次に、標準のWebLogic Serverイメージでファイル・システム・グループの所有権がどのように構成されているかを示す標準のWebLogic Dockerfileからの抜粋を示します:

# Setup filesystem and oracle user
# Adjust file permissions, go to /u01 as user 'oracle' to proceed with WLS installation
# ------------------------------------------------------------
RUN mkdir -p /u01 && \
    chmod 775 /u01 && \
    useradd -b /u01 -d /u01/oracle -m -s /bin/bash oracle && \
    chown oracle:root /u01

COPY --from=builder --chown=oracle:root /u01 /u01

OpenShiftでは、デフォルトで、コンテナごとにrootグループに高いランダムUIDを割り当てるrestrictedセキュリティ・コンテキスト制約が適用されます。 前述の標準イメージは、restrictedセキュリティ・コンテキスト制約と連携するように設計されています。

ただし、独自のイメージをビルドする場合、古いバージョンのイメージを使用する場合、または別のソースからイメージを取得する場合は、必要な権限がない可能性があります。 OpenShiftでイメージを動作させるには、同様のファイル・システム権限を構成する必要がある場合があります。 具体的には、次のディレクトリにグループとしてrootがあり、グループの読取り、書込みおよび実行権限が設定されている(有効化されている)ことを確認する必要があります:

  • オペレータのための/operatorおよび/logs
  • WebLogic ServerおよびFusion Middleware Infrastructureイメージの場合、/u01 (または、Oracle Homeおよびドメインを異なるロケーションに配置した場合の最終親ディレクトリ)。

OpenShift要件およびオペレータの詳細は、OpenShiftを参照してください。