主页
产品
OpenShift Container Platform
3.11
集群管理
20.3. 为自定义资源定义创建集群角色

20.3. 为自定义资源定义创建集群角色

创建集群范围的自定义资源定义(CRD)后，您可以为其授予权限。如果使用 admin、edit 和 view 默认集群角色，请利用集群角色聚合来制定规则。

重要

您必须为每个角色明确分配权限。权限更多的角色不会继承权限较少角色的规则。如果要为某个角色分配规则，还必须将该操作动词分配给具有更多权限的角色。例如，如果您将"get crontabs"权限授予 view 角色，则还必须将其授予 edit 和 admin 角色。admin 或 edit 角色通常分配给通过项目模板创建项目的用户。

先决条件

创建 CRD。

流程

为 CRD 创建集群角色定义文件。集群角色定义是一个 YAML 文件，其中包含适用于各个集群角色的规则。OpenShift Container Platform 控制器会将您指定的规则添加至默认集群角色中。

集群角色定义的 YAML 文件示例

apiVersion: rbac.authorization.k8s.io/v1 
kind: ClusterRole
items:
  - metadata:
      name: aggregate-cron-tabs-admin-edit 
      labels:
        rbac.authorization.k8s.io/aggregate-to-admin: "true" 
        rbac.authorization.k8s.io/aggregate-to-edit: "true" 
    rules:
      - apiGroups: ["stable.example.com"] 
        resources: ["crontabs"] 
        verbs: ["get", "list", "watch", "create",
                "update", "patch", "delete", "deletecollection"] 
  - metadata:
      name: aggregate-cron-tabs-view 
      labels:
        # Add these permissions to the "view" default role.
        rbac.authorization.k8s.io/aggregate-to-view: "true" 
        rbac.authorization.k8s.io/aggregate-to-cluster-reader: "true" 
    rules:
      - apiGroups: ["stable.example.com"] 
        resources: ["crontabs"] 
        verbs: ["get", "list", "watch"]

apiVersion: rbac.authorization.k8s.io/v1


kind: ClusterRole
items:
  - metadata:
      name: aggregate-cron-tabs-admin-edit


      labels:
        rbac.authorization.k8s.io/aggregate-to-admin: "true"


        rbac.authorization.k8s.io/aggregate-to-edit: "true"


    rules:
      - apiGroups: ["stable.example.com"]


        resources: ["crontabs"]


        verbs: ["get", "list", "watch", "create",
                "update", "patch", "delete", "deletecollection"]


  - metadata:
      name: aggregate-cron-tabs-view


      labels:
        # Add these permissions to the "view" default role.
        rbac.authorization.k8s.io/aggregate-to-view: "true"


        rbac.authorization.k8s.io/aggregate-to-cluster-reader: "true"


    rules:
      - apiGroups: ["stable.example.com"]


        resources: ["crontabs"]


        verbs: ["get", "list", "watch"]

Copy to Clipboard

Toggle word wrap

1: 使用 apiextensions.k8s.io/v1beta1 API。
2 8: 为定义指定名称。
3: 指定该标签向 admin 默认角色授予权限。
4: 指定该标签向 edit 默认角色授予权限。
5 11: 指定 CRD 的组名。
6 12: 指定适用于这些规则的 CRD 的复数名称。
7 13: 指定代表角色获得的权限的操作动词。例如，对 admin 和 edit 角色应用读写权限，对 view 角色应用只读权限。
9: 指定该标签向 view 默认角色授予权限。
10: 指定该标签向 cluster-reader 默认角色授予权限。

创建集群角色：
```
oc create -f <file-name>.yaml
```
```
oc create -f <file-name>.yaml
```
Copy to Clipboard Toggle word wrap

返回顶部

20.3. 为自定义资源定义创建集群角色

先决条件

流程

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links