第 3 章配置 RBAC 设置

当使用 Cryostat Operator 或 Helm Chart 安装 Cryostat 4.0 时，Cryostat 在 pod 中包含反向代理(openshift-oauth-proxy 或 oauth2_proxy)。所有对 Cryostat 的 API 请求以及 Cryostat Web 控制台或 Grafana 仪表板的所有用户都定向到此代理，该代理处理客户端会话来控制对应用程序的访问。当在 Red Hat OpenShift 上部署时，代理使用 Cryostat 安装命名空间通过与 Red Hat OpenShift 集群 SSO 供应商集成来执行对用户身份验证和授权的 RBAC 检查。

从 Cryostat 4.0 开始，Cryostat 对所有用户应用相同的基于角色的访问控制(RBAC)权限检查，以便允许或拒绝对产品的访问。默认情况下，Cryostat 应用程序的安装命名空间中的所需的 RBAC 角色是 创建 pod/exec。任何分配了所需 RBAC 角色的 Red Hat OpenShift 用户帐户都可以完全访问 Cryostat web 控制台和所有 Cryostat 功能。如果 Red Hat OpenShift 帐户没有所需的 RBAC 角色，则此用户将阻止访问 Cryostat。

注意

您可以选择使用 htpasswd 文件配置 auth 代理，以启用基本身份验证。在 Red Hat OpenShift 中，您可以定义额外的用户帐户，这些用户帐户可以访问除 Red Hat OpenShift SSO RBAC 访问之外的 Cryostat。

当使用 Cryostat Operator 安装 Cryostat 实例时，您可以选择使用 Cryostat 自定义资源(CR)中的 .spec.authorizationOptions.openShiftSSO.accessReview 字段来自定义访问 Cryostat 所需的 Red Hat OpenShift SSO RBAC 权限。

先决条件

使用 Red Hat OpenShift Web 控制台登录到 OpenShift Container Platform。

流程

如果要开始创建 Cryostat 实例，请执行以下步骤：
1. 在 Red Hat OpenShift web 控制台中，点 Operators > Installed Operators。
2. 从可用 Operator 列表中，选择 Red Hat build of Cryostat。
3. 在 Operator 详情页中，点 Details 选项卡。
4. 在 Provided APIs 部分中，选择 Cryostat，然后单击 Create instance。

在 Create Cryostat 面板上，要自定义对 Cryostat 的所有客户端访问所需的 SubjectAccessReview 或 TokenAccessReview，请选择以下选项之一：

如果使用 Form 视图：

点 Form view 单选按钮。
要打开附加选项，请展开 Advanced Configuration 以打开附加选项。
展开 Cryostat CR 的 Authorization Options > OpenShift SSO > Access Review 部分。
图 3.1. 访问 Cryostat 实例的查看属性

使用以下字段指定访问 Cryostat 所需的自定义 RBAC 设置：

字段	详情
group	资源的 API 组。 wilcard 星号(`*`)值表示所有组。
name	为 `get` 或删除请求的资源的名称，用于删除。空值表示所有名称。
namespace	要请求的操作的命名空间。目前，没有命名空间和所有命名空间之间没有区别。请考虑以下指南：对于 LocalSubjectAccessReviews，默认为一个空值。空值代表没有集群范围的资源。空值代表来自 SubjectAccessReview 或 SelfSubjectAccessReview 的所有命名空间范围的资源。
resource	现有资源类型。通配符星号(`*`)值表示所有资源类型。
subresource	现有资源类型。空值代表没有资源类型。
verb	Kubernetes 资源 API 动词（例如： `get`,`list`,`watch`,`create`,`update`,`delete`,`proxy`）。通配符星号(`*`)值表示所有操作动词。
version	资源的 API 版本。通配符星号(`*`)值表示所有版本。

如果使用 YAML 视图：

点 YAML 视图 单选按钮。

在 spec: 元素中，编辑 authorizationOptions:OpenShiftSSO 属性以匹配您的 RBAC 权限要求。

RBAC 权限配置示例

apiVersion: operator.cryostat.io/v1beta2
kind: Cryostat
metadata:
  name: cryostat-sample
  namespace: cryostat-test
spec:
  ...
  authorizationOptions:
    openShiftSSO:
      accessReview:
        group: <API group of resource>
        name: <Name of resource being requested or deleted>
        namespace: <Namespace of action being requested>
        resource: <An existing resource type>
        subresource: <An existig resource type>
        verb: <A Kubernetes resource API verb>
        version: <API version of resource>
  ...

apiVersion: operator.cryostat.io/v1beta2
kind: Cryostat
metadata:
  name: cryostat-sample
  namespace: cryostat-test
spec:
  ...
  authorizationOptions:
    openShiftSSO:
      accessReview:
        group: <API group of resource>
        name: <Name of resource being requested or deleted>
        namespace: <Namespace of action being requested>
        resource: <An existing resource type>
        subresource: <An existig resource type>
        verb: <A Kubernetes resource API verb>
        version: <API version of resource>
  ...

Copy to Clipboard

如果要为这个 Cryostat 实例配置自定义资源(CR)中的其他属性，请参阅本文档的其它部分来了解有关这些属性的更多信息。
如果要完成创建此 Cryostat 实例，请点击 Create。

当您点 Create 时，Operator 详情页中的 Cryostat 选项卡下提供了此 Cryostat 实例。然后，您可以通过点 Operator 详情页面上的实例名称来编辑 Cryostat 实例的 CR 属性，然后从 Actions 下拉菜单中选择 Edit Cryostat。

更新于 2025-03-21

第 3 章配置 RBAC 设置

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章 配置 RBAC 设置

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 3 章配置 RBAC 设置