4.2.4. 클러스터 역할 및 로컬 역할
역할은 일련의 리소스에서 수행할 수 있는 허용된 동사 집합인 정책 규칙 컬렉션입니다. OpenShift Container Platform에는 사용자 및 클러스터 전체 또는 로컬에 바인딩할 수 있는 기본 클러스터 역할 세트가 포함되어 있습니다.
| 기본 클러스터 역할 | 설명 |
|---|---|
| admin | 프로젝트 관리자입니다. 로컬 바인딩 에서 사용되는 경우 admin 사용자는 프로젝트의 모든 리소스를 보고 할당량을 제외한 프로젝트의 모든 리소스를 수정할 수 있습니다. |
| basic-user | 프로젝트 및 사용자에 대한 기본 정보를 가져올 수 있는 사용자입니다. |
| cluster-admin | 모든 프로젝트에서 모든 작업을 수행할 수 있는 슈퍼 유저입니다. 로컬 바인딩을 사용하여 사용자에게 바인딩 하면 할당량과 프로젝트의 모든 리소스에 대한 모든 작업을 완전히 제어할 수 있습니다. |
| cluster-status | 기본 클러스터 상태 정보를 가져올 수 있는 사용자입니다. |
| edit | 프로젝트에서 대부분의 오브젝트를 수정할 수 있지만 역할 또는 바인딩을 보거나 수정할 권한은 없는 사용자입니다. |
| self-provisioner | 자체 프로젝트를 만들 수 있는 사용자입니다. |
| view | 수정할 수는 없지만 프로젝트의 오브젝트를 대부분 볼 수 있는 사용자입니다. 역할 또는 바인딩을 보거나 수정할 수 없습니다. |
| cluster-reader | 클러스터의 개체를 읽을 수는 있지만 볼 수 없는 사용자입니다. |
사용자와 그룹은 동시에 여러 역할과 연결되거나 바인딩 될 수 있습니다.
프로젝트 관리자는 각각 CLI를 사용하여 연결된 동사 및 리소스의 매트릭스를 포함하여 역할을 시각화하여 로컬 역할 및 바인딩을 볼 수 있습니다.
프로젝트 관리자에게 바인딩된 클러스터 역할은 로컬 바인딩 을 통해 프로젝트에서 제한됩니다. cluster -admin 또는 system:admin 에 부여된 클러스터 역할과 같이 클러스터 전체에 바인딩되지 않습니다.
클러스터 역할은 클러스터 수준에서 정의된 역할 이지만 클러스터 수준 또는 프로젝트 수준에서 바인딩할 수 있습니다.
4.2.4.1. 클러스터 역할 업데이트
OpenShift Container Platform 클러스터 업그레이드 후 서버가 시작될 때 기본 역할이 업데이트되고 자동으로 조정됩니다. 조정 중에 기본 역할에서 누락된 권한이 추가됩니다. 역할에 더 많은 권한을 추가하면 제거되지 않습니다.
기본 역할을 사용자 지정하고 자동 역할 조정을 방지하도록 구성한 경우 OpenShift Container Platform을 업그레이드할 때 정책 정의를 수동으로 업데이트해야 합니다.
