主页
产品
Red Hat OpenShift GitOps
1.16
声明性集群配置
2.3. 自定义集群范围的实例的权限

2.3. 自定义集群范围的实例的权限

作为集群管理员，若要自定义集群范围的实例的权限，您必须为 GitOps control plane 组件创建新的集群角色和集群角色绑定。

例如，以下说明仅侧重于用户定义的集群范围的实例。

流程

打开 Web 控制台的 Administrator 视角，再进入 User Management Roles Create Role。

使用以下 ClusterRole YAML 模板来添加规则来指定额外权限。

集群角色 YAML 模板示例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: example-spring-petclinic-argocd-application-controller 
rules:
  - verbs:
      - get
      - list
      - watch
    apiGroups:
      - '*'
    resources:
      - '*'
  - verbs:
      - '*'
    apiGroups:
      - ''
    resources: 
      - namespaces
      - persistentvolumes

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: example-spring-petclinic-argocd-application-controller


rules:
  - verbs:
      - get
      - list
      - watch
    apiGroups:
      - '*'
    resources:
      - '*'
  - verbs:
      - '*'
    apiGroups:
      - ''
    resources:


      - namespaces
      - persistentvolumes

Copy to Clipboard

Toggle word wrap

1: 根据 <argocd_name>-<argocd_namespace>-<control_plane_component> 命名规则的集群角色名称。
2: 要在集群级别授予权限的资源。

点 Create 添加集群角色。
通过执行以下步骤查找您要自定义权限的 control plane 组件使用的服务帐户：
1. 进入 Workloads Pods。
2. 从 Project 列表中，选择安装用户定义的集群范围实例的项目。
3. 点 control plane 组件的 pod，再进入 YAML 选项卡。
4. 找到 spec.ServiceAccount 字段并记录服务帐户。
进入 User Management RoleBindings Create binding。
点 Create binding。
将 Binding type 选择为 Cluster-wide role binding(ClusterRoleBinding)。
按照 <argocd_ name>-<argocd_namespace>-<control_plane_component> 命名约定输入 RoleBinding 名称的唯一值。
从 Role name 的下拉列表中，选择新创建的集群角色。
选择 Subject 作为 ServiceAccount，并提供 Subject 命名空间和名称。
1. 主题命名空间 ：spring-petclinic
2. 主题名称:example-argocd-application-controller
  注意
  对于 Subject name，请确保配置的值与您要自定义权限的 control plane 组件的 spec.ServiceAccount 字段的值相同。

点 Create。

您已为 control plane 组件的服务帐户和命名空间创建了所需的权限。ClusterRoleBinding 对象的 YAML 文件类似以下示例：

集群角色绑定的 YAML 文件示例

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-spring-petclinic-argocd-application-controller
subjects:
  - kind: ServiceAccount
    name: example-argocd-application-controller
    namespace: spring-petclinic
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: example-spring-petclinic-argocd-application-controller

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-spring-petclinic-argocd-application-controller
subjects:
  - kind: ServiceAccount
    name: example-argocd-application-controller
    namespace: spring-petclinic
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: example-spring-petclinic-argocd-application-controller

Copy to Clipboard

Toggle word wrap

返回顶部

2.3. 自定义集群范围的实例的权限

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links