1 - Yleiskuvaus

Last modified by Kimmo Tykkälä on 2024/11/21 16:23

 

Yliopiston konttialustan ensisijainen tavoite on tukea yliopistolla tapahtuvaa sovelluskehitystä ja järjestelmäylläpitoa helpottamalla OCI-mallin mukaisissa Linux -konteissa (esim. docker) toimivien sovellusten viemistä tuotantoon.

Kyseessä on keskitetty alusta, jossa toisistaan riippumattomat sovellukset toimivat yhteisessä virtuaalikoneklusterissa konttien rajausten suojaamina. Tietoliikenne klusterin ulkopuolelle tehdään yhteisten ip-osoitteiden kautta joihin viitataan Route-objekteilla, joissa voidaan käyttää CNAME -attribuutilla määritettyjä palvelunimiä.

Openshiftistä yleisesti:

OpenShift on Red Hat -yrityksen tuottama Kubernetes-pohjainen järjestelmä. Miltei kaikki Kubernetes-ominaisuudet toimivat sellaisenaan. Käyttäjien kannalta on kuitenkin muutama huomionarvoinen seikka:

  • OpenShiftissä tavalliset käyttäjät saavat käyttöoikeuden pelkkään "Projektiin" joka on käytännössä Kubernetes-namespace muutamilla lisärajoituksilla. Käyttäjien tunnuksille annetaan oikeus tehdä asioita pelkästään omaan namespaceen.
  • Käyttäjien prosesseja konteissa ei ajeta root-oikeuksilla edes kontin sisällä (ohjeita tässä).
  • Käyttäjillä ei ole cluster-admin -oikeuksia, eli esimerkiksi omien ingressien määrittäminen ei ole mahdollista. Ingressin sijasta käytetään Route-objektia joita voidaan luoda projektikohtaisesti.

Konttialustan käyttö yliopistolla, tai "Tarvitsen paikan missä pyöritän sovellustani konteissa":

Jotta yhteistä konttialustaa voisi käyttää, on oltava: 

  • jokin projekti tai palvelu, jolla on omistajataho ja WBS yliopistolla.

Lisäksi konttialustaprojektille on nimettävä:

  • palveluvastaava (henkilö)
  • teknisiä vastuuhenkilöitä

Palveluvastaavalla ja vastuuhenkilöillä on oltava työsuhde yliopistoon.

Lisäksi on oltava (tai luotava) 

jonka käyttäjille annetaan pääsy ylläpitämään Openshiftissä toimivaa kontitettua sovellusta.

Kaikilla ylläpitoa tekevillä henkilöillä on oltava yliopiston käyttäjätunnus. IAM-ryhmän jäsenlista on projektin/palvelun itse määritettävissä ja projekti/palvelu on vastuussa listan oikeellisuudesta. Myös ulkopuoliset konsultit tai HY:n opiskelijat voivat olla IAM-ryhmän jäseniä ja näin ollen konttialustalla toimivan sovelluksen ylläpitäjiä. 

Lisäksi on hyvä katsoa Konttipalvelun reunaehdot projekteille.

Kontteja pääsee ajamaan kun tilaa projektin Onify-lomakkeella, odottaa hyväksynnän saapumista (tavallisesti maksimissaan yksi työpäivä jos tilauksessa ei ole tarkennettavaa)  ja alkaa käyttää Openshiftiä.

"Openshift-projektin" tilaus vertautuu virtuaalikoneiden tilaamiseen linux-ylläpidolta, "IAM-ryhmä" vertautuu tässä ylläpito-oikeudellisten tunnusten pyytämiseen tilatuille virtuaalikoneille! IAM-ryhmän jäsenlistaan on siis hyvä suhtautua asiaankuuluvalla huolellisuudella.

 

Yhteystietoja

Suositeltu yhteydenottotapa kysymyksiin on:

https://helsinkifi.slack.com  #kontit 

Resurssien lisäys ja muutospyynnöt kannattaa lähettää sähköpostilla.

grp- openshift -owner@helsinki.fi (alustan ylläpito ja kehitys)

tike-ohjelmistotuotanto@helsinki.fi (sovelluskehitys)