用于 Kubeturbo 的Turbonomic实例和证书

Kubeturbo 连接到 Turbonomic 以管理集群中的容器化工作负载。对于无缝连接，请确保使用有效的试用许可证或高级许可证部署了 Turbonomic ，并且已启动并正在运行。

注：

如果您正在通过 Turbonomic 用户界面部署 Kubeturbo，请跳过此主题。本主题中描述的信息是部署过程中自动收集的。

透平工程学实例信息

一个 Kubeturbo 代理程序只能与一个 Turbonomic 实例进行通信。如果您的环境具有多个实例，请为每个 Turbonomic 实例配置一个 Kubeturbo 代理程序。多个 Kubeturbo 代理程序可以占用相同的名称空间或单独的名称空间。

记录 Turbonomic 实例的以下信息。部署 Kubeturbo 时，您将需要此信息。

透平工程学实例，如 URL https://10.1.1.1 或 https://myinstance.com
Turbonomic 实例版本

部署需要 Kubeturbo 映像标记版本。

映像标记版本的格式应该为 x.x.x。此版本取决于并且应该始终与 Turbonomic 实例版本匹配。例如，如果您的 Turbonomic 实例版本是 8.18.0 ，请指定与图像标记版本相同的实例版本。

要获取透平工程学实例的版本，请打开透平工程学用户界面并单击导航菜单中的帮助图标。
浊实例凭证 (请参阅下一节)

Turbonomic实例证书

Kubeturbo 可以使用以下凭证来连接到 Turbonomic 实例。

表 1. Kubeturbo 支持的证书
透平工程实例	部署 Kubeturbo	支持的证书
SaaS	OperatorHub 运算符	(建议）以下证书类型之一：安全令牌 OAuth 2.0 `clientId` 和 `clientSecret` (不建议）本地用户账户的用户名和密码（以 Base64 密文形式提供）
SaaS	YAML Helm	(推荐) OAuth 2.0 `clientId` 和 `clientSecret` (不建议）本地用户账户的用户名和密码（以 Base64 密文形式提供）
Non-SaaS (OVA、 Red Hat OpenShift, AWS EKS, Azure AKS, Google Cloud Cloud GKE)	OperatorHub YAML Helm 运算符	(推荐) OAuth 2.0 `clientId` 和 `clientSecret` (不建议）本地用户账户的用户名和密码（以 Base64 密文形式提供）

使用安全令牌作为凭证

如果您使用 Turbonomic 的 SaaS 实例并通过安全客户端管理目标，请为客户端使用安全令牌。

要生成安全令牌，请打开 Turbonomic SaaS 用户界面并浏览至 设置> 安全客户机管理。有关完整指示信息，请参阅 OperatorHub 和其他部署的安全客户机部署主题。

部署 Kubeturbo 时，无需配置任何凭证。

使用 OAuth 2.0 作为凭证

使用 Turbonomic API 创建和管理 OAuth 2.0 客户端凭据。这些凭据比从 Turbonomic 用户界面创建的本地账户凭据更安全。

要创建 OAuth 2.0 客户端凭据，请执行以下步骤：

登录 Turbonomic 实例。
在浏览器地址栏中，将 URL 更改为 https://{your_instance_address}/swagger/#/Authorization/createClient 。

例如，将 URL 更改为 https://my-instance.com/swagger/#/Authorization/createClient 。
单击 " 试用 "。

在正文部分，用以下请求替换示例请求。此请求包含生成OAuth 2.0 凭证所需的所有参数。

注：

您可以为 "clientName" 指定一个不同的值，以便轻松识别凭据，但其他所有值应保持不变。

{
  "clientName": "turbo",
  "grantTypes": [
    "client_credentials"
  ],
  "clientAuthenticationMethods": [
    "client_secret_post"
  ],
  "scopes": [
    "role:PROBE_ADMIN"
  ],
  "tokenSettings": {
    "accessToken": {
      "ttlSeconds": 600
    }
  }
}

单击执行，然后滚动到服务器响应部分。如果凭据生成成功，则显示代码为 200 的响应。
在回复中查找并记录 clientID 和 clientSecret 凭据。关闭应用程序接口后，这些凭据将无法检索，因此必须记录下来。

您创建的凭据必须转换为 Base64。

在 Linux 中，可以运行以下命令将每个凭据转换为 Base64。

echo {credential} | base64

注：

如果证书无法转换为 Base64 ，则可能存在无效或不支持的字符，必须修改后才能成功转换为 Base64。

确保记录 Base64 凭据，以便在 Kubeturbo 部署中使用。

使用本地账户用户名和密码作为凭证

注：

未来版本将停止对这些证书的支持。

您可以在 Turbonomic 用户界面上设置本地用户账户。作为设置账户的一部分，您需要配置用户名和密码作为凭证。部署 Kubeturbo 时，可以使用存储用户名和密码的秘钥，或以 Base64 格式指定用户名和密码。

指导原则和说明：

创建用户账户前

在创建 Kubeturbo 将用于连接到 Turbonomic 实例的用户帐户之前，请查看以下需求。
- Kubeturbo 需要一个具有站点管理员或管理员角色的 Turbonomic 本地用户账户。这一级别的权限允许 Kubeturbo 在 Turbonomic 用户界面中自动将自己添加为容器平台目标。不支持 SSO 用户帐户。
- 如果通过 Active Directory (LDAP) 管理 Turbonomic 用户帐户，那么该帐户可以是本地用户或 Active Directory 用户。对于 Active Directory 用户，格式为 //。
- 如果使用 SSO 或多因子认证 (MFA) ，那么用户帐户必须是本地用户，而不是 SSO 用户。
创建用户帐户

有关创建所需用户帐户的常规指示信息，请参阅此主题。创建用户帐户后，请记录纯文本用户名和密码。
将纯文本用户名和密码转换为Base64
您创建的凭据必须转换为 Base64。
在 Linux 中，可以运行以下命令将每个凭据转换为 Base64。
```
echo {credential} | base64
```
注：
如果证书无法转换为 Base64 ，则可能存在无效或不支持的字符，必须修改后才能成功转换为 Base64。
确保记录 Base64 用户名和密码。部署 Kubeturbo 时，您将需要此信息。
Kubeturbo 接受的用户账户凭据

部署 Kubeturbo 时，您有以下选项:
- 使用存储用户名和密码的私钥。
  
  涡轮工程学建议使用私钥，因为它更安全。
  
  配置私钥的步骤因部署方法而异。查看特定部署方法的主题以查看相关步骤。
  
  缺省情况下， Kubeturbo 会在私钥中查找并使用凭证 (如果该私钥存在)。如果不存在私钥， Kubeturbo 将使用纯文本用户名和密码。
- 以明文形式指定用户名和密码。建议不要使用此选项，因为它不安全。