16.2. 宣言型設定の作成

手順

1. 次のコマンドを入力して権限セットを作成します。この例では、"restricted" という名前のアクセス許可セットを作成し、permission-set.yaml ファイルとして保存します。これは、Administration リソースの読み取りおよび書き込みアクセスと、アクセスリソースへの読み取りアクセスを設定します。

   $ roxctl declarative-config create permission-set \
   --name="restricted" \
   --description="Restriction permission set that only allows \
   access to Administration and Access resources" \
   --resource-with-access=Administration=READ_WRITE_ACCESS \
   --resource-with-access=Access=READ_ACCESS > permission-set.yaml

   Copy to Clipboard Toggle word wrap

2. 次のコマンドを入力して、Administration と Access リソースへのアクセスを許可するロールを作成します。この例では、"restricted" という名前のロールを作成し、role.yaml ファイルとして保存します。

   $ roxctl declarative-config create role \
   --name="restricted" \
   --description="Restricted role that only allows access to Administration and Access" \
   --permission-set="restricted" \
   --access-scope="Unrestricted" > role.yaml

   Copy to Clipboard Toggle word wrap

3. 次のコマンドを入力して、前の手順で作成した 2 つの YAML ファイルから config map を作成します。この例では、declarative-configurations config map を作成します。

   $ kubectl create configmap declarative-configurations \ 

   1

   
   --from-file permission-set.yaml --from-file role.yaml \
   -o yaml --namespace=stackrox > declarative-configs.yaml

   Copy to Clipboard Toggle word wrap

   1

   OpenShift Container Platform の場合は、oc create を使用します。

4. 次のコマンドを入力して、config map を適用します。

   $ kubectl apply -f declarative-configs.yaml 

   1

   Copy to Clipboard Toggle word wrap

   1

   OpenShift Container Platform の場合は、oc apply を使用します。

   config map を適用すると、Central から抽出された設定情報によってリソースが作成されます。

   注記

   次の段落で説明するように、監視間隔は 5 秒ですが、config map から中央マウントへの変更の伝播に遅延が発生する可能性があります。

   次の間隔を設定して、宣言的設定が Central とどのように対話するかを指定できます。

   • 設定監視間隔: Central が変更をチェックする間隔は 5 秒ごとです。この間隔は、ROX_DECLAATIVE_CONFIG_WATCH_INTERVAL 環境変数を使用して設定できます。
   • 調整間隔: デフォルトでは、Central との宣言的な設定調整は 20 秒ごとに行われます。この間隔は、ROX_DECLARATIVE_CONFIG_RECONCILE_INTERVAL 環境変数を使用して設定できます。