16.2. 创建声明配置

流程

1. 输入以下命令来创建权限集。本例创建一个名为"restricted"的权限集，并保存为 permission-set.yaml 文件。它为管理资源设置读写访问权限，以及对 Access 资源的读取访问权限。

   $ roxctl declarative-config create permission-set \
   --name="restricted" \
   --description="Restriction permission set that only allows \
   access to Administration and Access resources" \
   --resource-with-access=Administration=READ_WRITE_ACCESS \
   --resource-with-access=Access=READ_ACCESS > permission-set.yaml

   Copy to Clipboard Toggle word wrap

2. 输入以下命令，创建允许访问 Administration 和 Access 资源的角色。本例创建一个名为 "restricted" 的角色，并保存为 role.yaml 文件。

   $ roxctl declarative-config create role \
   --name="restricted" \
   --description="Restricted role that only allows access to Administration and Access" \
   --permission-set="restricted" \
   --access-scope="Unrestricted" > role.yaml

   Copy to Clipboard Toggle word wrap

3. 输入以下命令，从前面步骤中创建的两个 YAML 文件创建配置映射。这个示例创建 declarative-configurations 配置映射。

   $ kubectl create configmap declarative-configurations \ 

   1

   
   --from-file permission-set.yaml --from-file role.yaml \
   -o yaml --namespace=stackrox > declarative-configs.yaml

   Copy to Clipboard Toggle word wrap

   1

   对于 OpenShift Container Platform，请使用 oc create。

4. 输入以下命令应用配置映射：

   $ kubectl apply -f declarative-configs.yaml 

   1

   Copy to Clipboard Toggle word wrap

   1

   对于 OpenShift Container Platform，请使用 oc apply。

   应用配置映射后，从 Central 中提取的配置信息将创建资源。

   注意

   虽然观察间隔为 5 秒，但以下段落中所述，但可能会延迟从配置映射将更改从配置映射传播到 Central 挂载。

   您可以配置以下间隔，以指定声明配置如何与 Central 交互：

   • 配置监视间隔： Central 检查更改的时间间隔每 5 秒检查一次。您可以使用 ROX_DECLARATIVE_CONFIG_WATCH_INTERVAL 环境变量来配置此间隔。
   • 协调间隔：默认情况下，每 20 秒发生使用 Central 的声明配置协调。您可以使用 ROX_DECLARATIVE_CONFIG_RECONCILE_INTERVAL 环境变量来配置此间隔。