Red Hat Summit1.16. Red Hat OpenShift GitOps を使用した respectRBAC の設定
Argo CD の respectRBAC 機能は、Argo CD がクラスター上のリソースを監視する方法を制御します。デフォルトでは、Argo CD はクラスタースコープでクラスター上のすべての Kubernetes リソース (CRD) を監視しようとします。respectRBAC 機能を使用すると、リソースの除外を手動で設定することなく、コントローラー RBAC のみを使用して ArgoCD コントローラーによる特定のリソースの検出や同期を制限できます。
この機能を有効にするには、Argo CD リソースで .spec.controller.respectRBAC キーを設定します。このキーを設定すると、コントローラーはリストまたはアクセスできないリソースの監視を自動的に停止します。たとえば、こうすることで、Argo CD クラスターロールにより、Argo CD が OpenShift Routes を監視できなくなるといった状況が回避されます。監視できなくなると、同期中にリソースの監視ができない旨のエラーが発生してしまいます。
コマンドラインインターフェイス (CLI) または Web コンソールを使用して Argo CD インスタンスを作成し、respectRBAC 機能を有効にできます。
前提条件
Subscription リソースで namespace を作成して更新していることを確認し、Subscription がクラスタースコープの Argo CD インスタンスをホストできるようにします。詳細は、「Argo CD インスタンスを使用してクラスタースコープのリソースの管理」を参照してください。
1.16.1. CLI を使用した respectRBAC の設定
CLI を使用して respectRBAC 機能を設定できます。
手順
respectRBAC機能を設定するには、YAML オブジェクトファイル (例:argo-cd-resource.yaml) を作成します。respectRBACを作成するためのArgoCDYAML の例:apiVersion: argoproj.io/v1beta1 kind: ArgoCD metadata: name: example-argocd spec: controller: respectRBAC: strict各項目の説明:
metadata.name- Argo CD インスタンスの名前を指定します。
spec.controller.respectRBAC-
ArgoCDリソースのspec.controller.respectRBACキーの値をnormalまたはstrictとして定義します。リソースの表示は軽量な操作であるため、精度と速度のバランスをとるために値をnormalに設定することを検討してください。値をnormalに設定したときに、Argo CD がリソースにアクセスできないことを示すエラーを報告する場合は、値をstrictに設定します。strictに設定すると、サーバーへの API 呼び出しの数が増え、Argo CD が RBAC リソースの追加検証を実行して権限を決定するため、normalよりも正確になります。
次のコマンドを実行して、YAML ファイルに変更を適用します。
$ oc apply -f argocd-resource.yaml -n argo-cd-instanceArgoCDリソースを含む YAML ファイルの名前と、ArgoCDをホストする namespace を指定します。次のコマンドを実行して、
.status.phaseフィールドのステータスがAvailableであることを確認します。$ oc get argocd <argocd_instance_name> -n <argocd_namespace> -o jsonpath='{.status.phase}'<argocd_instance_name>は、Argo CD インスタンスの名前に置き換えます (例:example-argocd)。ConfigMapリソースのresource.respectRBACパラメーターが正常に更新されていることを確認します。argocd-cmconfig map の内容を取得するには、次のコマンドを実行します。$ oc get cm argocd-cm -n <argocd_namespace> -o yaml-
argocd-cmConfigMapにresource.respectRBACパラメーターが含まれていることを確認し、その値がstrictまたはnormalに設定されていることを確認します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}