16.2. 创建声明性配置

流程

1. 运行以下命令来创建权限集。本例创建一个名为 "restricted" 的权限集，并保存为 permission-set.yaml 文件。它为 Administration 资源设置读写访问权限，以及对 Access 资源的读访问权限。

   $ roxctl declarative-config create permission-set \
   --name="restricted" \
   --description="Restriction permission set that only allows \
   access to Administration and Access resources" \
   --resource-with-access=Administration=READ_WRITE_ACCESS \
   --resource-with-access=Access=READ_ACCESS > permission-set.yaml

   Copy to Clipboard Toggle word wrap

2. 输入以下命令，创建允许访问 Administration 和 Access 资源的角色。本例创建一个名为 "restricted" 的角色，并保存为 role.yaml 文件。

   $ roxctl declarative-config create role \
   --name="restricted" \
   --description="Restricted role that only allows access to Administration and Access" \
   --permission-set="restricted" \
   --access-scope="Unrestricted" > role.yaml

   Copy to Clipboard Toggle word wrap

3. 输入以下命令，从上一步中创建的两个 YAML 文件创建配置映射。这个示例创建 declarative-configurations 配置映射。

   $ kubectl create configmap declarative-configurations \ 

   1

   
   --from-file permission-set.yaml --from-file role.yaml \
   -o yaml --namespace=stackrox > declarative-configs.yaml

   Copy to Clipboard Toggle word wrap

   1

   对于 OpenShift Container Platform，使用 oc create。

4. 输入以下命令应用配置映射：

   $ kubectl apply -f declarative-configs.yaml 

   1

   Copy to Clipboard Toggle word wrap

   1

   对于 OpenShift Container Platform，请使用 oc apply。

   应用配置映射后，从 Central 中提取的配置信息会创建资源。

   注意

   虽然监视间隔为 5 秒，如以下段落中所述，但可将配置映射的更改传播到 Central 挂载时可能会有延迟。

   您可以配置以下间隔来指定声明性配置如何与 Central 交互：

   • 配置监视间隔： Central 检查更改的时间间隔每 5 秒进行一次。您可以使用 ROX_DECLARATIVE_CONFIG_WATCH_INTERVAL 环境变量配置此间隔。
   • 协调间隔： 默认情况下，声明性配置与 Central 协调每 20 秒进行。您可以使用 ROX_DECLARATIVE_CONFIG_RECONCILE_INTERVAL 环境变量配置此间隔。