1.7. 为 Argo CD push 模型创建自定义服务帐户
通过在 hub 集群中创建 managedserviceaccount
资源,在受管集群中创建服务帐户。使用 clusterpermission
资源为服务帐户授予特定权限。
创建用于 Argo CD push 模型的自定义服务帐户包括以下优点:
- Application Manager 附加组件在每个受管集群上运行。默认情况下,Argo CD 控制器使用服务帐户 Application Manager 将这些资源推送到受管集群。
- Application manager 服务帐户具有大量权限,因为应用程序订阅附加组件使用 Application manager 服务在受管集群中部署应用程序。如果您希望一组有限的权限,请不要使用 Application manager 服务帐户。
- 您可以指定您希望 Argo CD push 模型使用的不同服务帐户。当 Argo CD 控制器将资源从集中 hub 集群推送到受管集群时,您可以使用与默认应用程序管理器不同的服务帐户。通过使用不同的服务帐户,您可以控制为此服务帐户授予的权限。
-
服务帐户必须存在于受管集群上。为方便创建具有关联权限的服务帐户,请在集中式 hub 集群上使用
managedserviceaccount
资源和新的clusterpermission
资源。
完成所有以下步骤后,您可以为受管服务帐户授予集群权限。使用集群权限,您的受管服务帐户具有在受管集群中部署应用程序资源所需的权限。完成以下步骤以:
1.7.1. 创建受管服务帐户
hub 上的 managedserviceaccount
自定义资源提供了一种便捷的方法,可以在受管集群上创建 serviceaccounts
。当在 hub 集群上的 < managed_cluster
> 命名空间中创建 managedserviceccount
自定义资源时,会在受管集群上创建一个 serviceccount
。
要创建受管服务帐户,请参阅启用 managedserviceaccount add-ons。
1.7.2. 创建集群权限
创建服务帐户时,它没有关联任何权限。要为新服务帐户授予权限,请使用 clusterpermission
资源。集群permission
资源在 hub 上的受管集群命名空间中创建。它提供了一种便捷的方式来创建角色,在受管集群中的集群角色资源,并通过 rolebinding
或 clusterrolebinding
资源将它们绑定到服务帐户。
要为部署到 &
lt;managed
; 服务帐户权限,请使用以下内容创建一个 YAML:cluster> 上的 mortgage 命名空间的示例 mortgage 应用程序授予 <managed-sa
-sample>apiVersion: rbac.open-cluster-management.io/v1alpha1 kind: ClusterPermission metadata: name: <clusterpermission-msa-subject-sample> namespace: <managed cluster> spec: roles: - namespace: default rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["get", "list", "create", "update", "delete", "patch"] - apiGroups: [""] resources: ["configmaps", "secrets", "pods", "podtemplates", "persistentvolumeclaims", "persistentvolumes"] verbs: ["get", "update", "list", "create", "delete", "patch"] - apiGroups: ["storage.k8s.io"] resources: ["*"] verbs: ["list"] - namespace: mortgage rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["get", "list", "create", "update", "delete", "patch"] - apiGroups: [""] resources: ["configmaps", "secrets", "pods", "services", "namespace"] verbs: ["get", "update", "list", "create", "delete", "patch"] clusterRole: rules: - apiGroups: ["*"] resources: ["*"] verbs: ["get", "list"] roleBindings: - namespace: default roleRef: kind: Role subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample> - namespace: mortgage roleRef: kind: Role subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample> clusterRoleBinding: subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample>
-
将 YAML 文件保存到名为
cluster-permission.yaml
的文件中。 -
运行
oc apply -f cluster-permission.yaml
。 -
示例 &
lt;clusterpermission&
gt; 在 mortgage 命名空间中创建一个名为 <clusterpermission-msa-subject-sample
> 的角色。如果尚不存在,请创建一个命名空间mortgage
。 -
查看在 <
managed cluster>
; 上创建的资源。
创建示例 < clusterpermission&
gt; 后,会在示例受管集群中创建以下资源:
-
在 default 命名空间中,一个名为 <
clusterpermission-msa-subject-sample
> 的角色。 -
在 default 命名空间中一个名为
<clusterpermission-msa-subject-sample
> 的 roleBinding,用于将角色绑定到受管服务帐户。 -
mortgage 命名空间中的一个名为
<clusterpermission-msa-subject-sample
> 的角色。 -
mortgage 命名空间中的一个名为 &
lt;clusterpermission-msa-subject-sample
> 的 roleBinding,用于将角色绑定到受管服务帐户。 -
一个名为 <
clusterpermission-msa-subject-sample
> 的 clusterRole。 -
一个名为 <
clusterpermission-msa-subject-sample>
; 的 clusterRoleBinding,用于将 clusterRole 绑定到受管服务帐户。
1.7.3. 在 GitOpsCluster 资源中使用受管服务帐户
GitOpsCluster 资源使用放置将所选受管集群导入到 Argo CD 中,包括创建包含用于访问集群的信息的 Argo CD 集群 secret。默认情况下,Argo CD 集群 secret 使用 application manager 服务帐户来访问受管集群。
-
要将 GitOpsCluster 资源更新为使用受管服务帐户,请使用受管服务帐户的名称添加
managedServiceAccountRef
属性。 要创建 GitOpsCluster 自定义资源,请将以下 YAML 保存为 Gitops.YAML :
--- apiVersion: apps.open-cluster-management.io/v1beta1 metadata: name: argo-acm-importer namespace: openshift-gitops spec: managedServiceAccountRef: <managed-sa-sample> argoServer: cluster: notused argoNamespace: openshift-gitops placementRef: kind: Placement apiVersion: cluster.open-cluster-management.io/v1beta1 name: all-openshift-clusters namespace: openshift-gitops
-
将 YAML 文件保存到名为
gitops.yaml
的文件中。 -
运行
oc apply -f gitops.yaml
。 进入
openshift-gitops
命名空间,并验证是否有名为 <managed cluster-managed-sa-sample-cluster-secret> 的新 Argo CD 集群 secret
:% oc get secrets -n openshift-gitops <managed cluster-managed-sa-sample-cluster-secret> NAME TYPE DATA AGE <managed cluster-managed-sa-sample-cluster-secret> Opaque 3 4m2s
1.7.4. 创建 Argo CD 应用程序
使用推送模型从 Argo CD 控制台部署 Argo CD 应用程序。Argo CD 应用程序使用受管服务帐户 < managed-sa-sample
> 部署。
- 登录到 Argo CD 控制台。
- 点 Create a new application。
- 选择集群 URL。
-
进入 Argo CD 应用程序,并确认它具有您传播到 <
managed cluster
> 的给定权限,如角色和集群角色。
1.7.5. 使用策略创建受管服务帐户和集群权限
When the GitOpsCluster resource is updated with the `managedServiceAccountRef`, each managed cluster in the placement of this GitOpsCluster needs to have the service account. If you have several managed clusters, it becomes tedious for you to create the managed service account and cluster permission for each managed cluster. You can simply this process by using a policy to create the managed service account and cluster permission for all your managed clusters
当您将 managedServiceAccount
和 clusterPermission
资源应用到 hub 集群时,此策略的放置会绑定到本地集群。在 GitOpsCluster 资源放置中,将这些资源复制到所有受管集群的受管集群命名空间中。
使用策略创建 managedServiceAccount
和 clusterPermission
资源包括以下属性:
-
更新策略中的
managedServiceAccount
和clusterPermission
对象模板会导致在所有受管集群中更新所有managedServiceAccount
和clusterPermission
资源。 -
直接更新到
managedServiceAccount
和clusterPermission
资源会恢复到原始状态,因为策略强制执行它。 如果 GitOpsCluster 放置的放置决定更改,策略将管理受管集群命名空间中的资源的创建和删除。
- 要为 YAML 创建策略以创建受管服务帐户和集群权限,请使用以下内容创建一个 YAML:
apiVersion: policy.open-cluster-management.io/v1 kind: Policy metadata: name: policy-gitops namespace: openshift-gitops annotations: policy.open-cluster-management.io/standards: NIST-CSF policy.open-cluster-management.io/categories: PR.PT Protective Technology policy.open-cluster-management.io/controls: PR.PT-3 Least Functionality spec: remediationAction: enforce disabled: false policy-templates: - objectDefinition: apiVersion: policy.open-cluster-management.io/v1 kind: ConfigurationPolicy metadata: name: policy-gitops-sub spec: pruneObjectBehavior: None remediationAction: enforce severity: low object-templates-raw: | {{ range $placedec := (lookup "cluster.open-cluster-management.io/v1beta1" "PlacementDecision" "openshift-gitops" "" "cluster.open-cluster-management.io/placement=aws-app-placement").items }} {{ range $clustdec := $placedec.status.decisions }} - complianceType: musthave objectDefinition: apiVersion: authentication.open-cluster-management.io/v1alpha1 kind: ManagedServiceAccount metadata: name: <managed-sa-sample> namespace: {{ $clustdec.clusterName }} spec: rotation: {} - complianceType: musthave objectDefinition: apiVersion: rbac.open-cluster-management.io/v1alpha1 kind: ClusterPermission metadata: name: <clusterpermission-msa-subject-sample> namespace: {{ $clustdec.clusterName }} spec: roles: - namespace: default rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["get", "list", "create", "update", "delete"] - apiGroups: [""] resources: ["configmaps", "secrets", "pods", "podtemplates", "persistentvolumeclaims", "persistentvolumes"] verbs: ["get", "update", "list", "create", "delete"] - apiGroups: ["storage.k8s.io"] resources: ["*"] verbs: ["list"] - namespace: mortgage rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["get", "list", "create", "update", "delete"] - apiGroups: [""] resources: ["configmaps", "secrets", "pods", "services", "namespace"] verbs: ["get", "update", "list", "create", "delete"] clusterRole: rules: - apiGroups: ["*"] resources: ["*"] verbs: ["get", "list"] roleBindings: - namespace: default roleRef: kind: Role subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample> - namespace: mortgage roleRef: kind: Role subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample> clusterRoleBinding: subject: apiGroup: authentication.open-cluster-management.io kind: ManagedServiceAccount name: <managed-sa-sample> {{ end }} {{ end }} --- apiVersion: policy.open-cluster-management.io/v1 kind: PlacementBinding metadata: name: binding-policy-gitops namespace: openshift-gitops placementRef: name: lc-app-placement kind: Placement apiGroup: cluster.open-cluster-management.io subjects: - name: policy-gitops kind: Policy apiGroup: policy.open-cluster-management.io --- apiVersion: cluster.open-cluster-management.io/v1beta1 kind: Placement metadata: name: lc-app-placement namespace: openshift-gitops spec: numberOfClusters: 1 predicates: - requiredClusterSelector: labelSelector: matchLabels: name: local-cluster
-
将 YAML 文件保存到名为
policy.yaml
的文件中。 -
运行
oc apply -f policy.yaml
。 -
在策略的对象模板中,它会迭代 GitOpsCluster 关联的放置决定,并应用以下
managedServiceAccount
和clusterPermission
模板: