9.6. 네임스페이스 간에 데이터 볼륨을 복제할 수 있는 사용자 권한 활성화
네임스페이스의 격리 특성으로 인해 기본적으로 사용자는 다른 네임스페이스에 리소스를 복제할 수 없습니다.
사용자가 가상 머신을 다른 네임스페이스에 복제할 수 있도록 하려면 cluster-admin
역할의 사용자가 새 클러스터 역할을 만들어야 합니다. 이 클러스터 역할을 사용자에게 바인딩하면 사용자가 가상 머신을 대상 네임스페이스에 복제할 수 있습니다.
9.6.1. 데이터 볼륨 복제를 위한 RBAC 리소스 생성
datavolumes
리소스에 대한 모든 작업 권한을 활성화하는 새 클러스터 역할을 만듭니다.
사전 요구 사항
- 클러스터 관리자 권한이 있어야 합니다.
프로세스
ClusterRole
매니페스트를 만듭니다.apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: <datavolume-cloner> 1 rules: - apiGroups: ["cdi.kubevirt.io"] resources: ["datavolumes/source"] verbs: ["*"]
- 1
- 클러스터 역할의 고유 이름입니다.
클러스터에 클러스터 역할을 만듭니다.
$ oc create -f <datavolume-cloner.yaml> 1
- 1
- 이전 단계에서 만든
ClusterRole
매니페스트 파일 이름입니다.
소스 및 대상 네임스페이스 모두에 적용되고 이전 단계에서 만든 클러스터 역할을 참조하는
RoleBinding
매니페스트를 만듭니다.apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: <allow-clone-to-user> 1 namespace: <Source namespace> 2 subjects: - kind: ServiceAccount name: default namespace: <Destination namespace> 3 roleRef: kind: ClusterRole name: datavolume-cloner 4 apiGroup: rbac.authorization.k8s.io
클러스터에 역할 바인딩을 만듭니다.
$ oc create -f <datavolume-cloner.yaml> 1
- 1
- 이전 단계에서 만든
RoleBinding
매니페스트 파일 이름입니다.