/docs/MyDocs

Starting Apache

===============

    oc new-app eboraas/apache                                   - will get an image from dockerhub and create image-stream, dc, rc, pod and the service

        - Actually, it will fail complaining that "Current security policy prevents your containers from being run as the root user". 

        - It is necessary to either modify docker image to run as standard user (better) or allow or original docker image to run as root.

    oc adm policy add-scc-to-user anyuid -z default             - add 'anyuid' capability (ability to run as any user, also root) to service account (default)

        - The 'default' service account is used to run containers within our current project. Alternatively, we can create another privileged service account 

        and instruct openshift to use it to run the pod.

        - The result can be verified by calling 'oc edit scc anyuid' and refering to the listed 'users'. 

        - Afterwards, the apache service has to be redeployed.

    oc deploy apache --latest                                   - redeploys teh latest version of apache and apply changes to security context

        - Apache pods will be running after this point. Now we need to configure a route. 

    oc expose service/apache --hostname=apache.apps.suren.me    - makes apache service available under the specified host name (works with HTTP and any TLS service supporting SNI, i.e. HTTPS)

 

 - 'new-app' will actually create several objects, all of which can be listed with 'oc get all'

    is/apache                                                   - image stream

    dc/apache                                                   - deployment config

    rc/apache-#                                                 - replication controller (along with current deployment revision)

    po/apache-#-<id>                                            - actually running pod (along with current deployment revision and a replication-id for each running replica)

    svc/apache                                                  - service

    routes/apache                                               - the route is created afterwards with expose command

 

Persistent Storage

==================

 - Adding persistent storage using shared mount-point on all nodes

    oc volumes dc/apache --add -t hostPath --path='/mnt/openshift/apache/' -m /etc/apache2                      - change deployment configuration and volume to it

        - It will, actually, immideately redeploy pod which would fail due to invalid 'scc' being selected (see security). After adding the 'hostPath' volume

        our pod will match 'restricted' scc instead of 'anyuid' because 'hostPath' volumes are not allowed under 'anyuid' (just check 'oc get scc')

        - Therefore, we also need to add 'hostmount-anyuid' capability to the service account running pod

    oc adm policy add-scc-to-user hostmount-anyuid -z default                                                   - add 'hostmount-anyuid' capability to service account (default)

        - Though, this is not enough. It seems by default pod does not announce that it needs root. As explained in the security section, from the 'scc' matching

        container requirements, the 'scc' with the highest priority and lowest possible permissions within the priority level is selected. The selected 'scc' can

        be checked with: 'oc get <pod> -o yaml | grep scc'.

        - One solution is to increase priority of 'hostmount-anyuid' 

        ? How we can indicate what root is required?

    oc edit scc hostmount-anyuid                                - set high value for priority and save

        - Again we need to redeploy the pod

    oc deploy apache --latest                                   - redeploys the latest version of apache and selects appropriate scc

 

 - This is, however, not the best approach as it container will not verify if the Gluster/NFS is actually mounter or not. Instead a GlusterFS service can be registered with 

 endpoints pointing to all (main?) gluster nodes. Then, the persistent volume and persistent volume claims are made. The claim can be mounted with

    oc volumes dc/apache --add -t pvc --claim-name=gfs-openshift -m /mnt/openshift

 The firewall should be configured on all gluster nodes to allow connections to the gluster service. Otherwise the volume will be mounted read-only as default firewall rules

 allow access to local gluster node, but not remotes (so, the read will successed for local replica, but there will be no quorum for writes):

    firewall-cmd  --permanent  --zone=public --add-service=glusterfs

    firewall-cmd --reload

 Further problems can be investigated by checking gluster logs which can be found on the node running pod with

    ps xa | grep glusterfs | grep apache-4-8ol0q-glusterfs

 Potentially, the issues with SELinux are possible. The labels should match. Check documentation.

     ls -lZ /mnt/openshift/                                     - check SELinux labels on mount

 

 

 - We can get default configuration out of container using 'rsync' command

    oc rsync <pod>:/etc/apache2 /mnt/openshift/                 - copies specified folder in running pod to the local folder

 

 - After the apache confiugration is changed, we need restart containers. This can be achieved to scalling it to 0 and, then, scalling back to 1.

    oc scale --replicas 0 rc/apache-#

    oc scale --replicas 1 rc/apache-#

 

 - Later volume can be removed with

    oc volumes dc/apache --add --remove --name=<vol_name>       - <vol_name> can be found by listing vilumes

 

Database

========

 - Deploy from template

    oc process --parameters -n openshift mysql-persistent       - List parameters of the mysql template

    oc process -n openshift -v MYSQL_USER=adei -v MYSQL_PASSWORD=adei -v MYSQL_ROOT_PASSWORD=ipepdv -v MYSQL_DATABASE=adei -v VOLUME_CAPACITY=1Gi -v MYSQL_VERSION=5.7 mysql-persistent | oc create -f -

 - Check the actually configure user and password

    oc exec pod/<pod> env

 - Expose on non-standard port (find the port with 'oc describe svc/mysql | grep NodePort')

    oc expose dc/mysql --type NodePort --name mysql-ingress    

 or alternatively using IP (EXTERNAL-IP in 'oc get svc' output).

    oc expose dc/mysql --type LoadBalancer --name mysql-ingress        

 The traffic to these IP should be routed to one of the OpenShift nodes)

    route add -net 172.46.0.0 netmask 255.255.0.0 gw 192.168.26.1