10.7. 更新策略定义
在集群升级过程中,在所有 master 重启时,会自动协调 默认集群角色 来恢复任何缺少的权限。
如果您自定义默认集群角色并希望确保角色协调不会修改它们:
保护每个角色免受协调:
$ oc annotate clusterrole.rbac <role_name> --overwrite rbac.authorization.kubernetes.io/autoupdate=false
警告您必须手动更新包含此设置的角色,以便在升级后包含任何新的或所需的权限。
生成默认 bootstrap 策略模板文件:
$ oc adm create-bootstrap-policy-file --filename=policy.json
注意文件的内容因 OpenShift Container Platform 版本而异,但文件仅包含默认策略。
- 更新 policy.json 文件,使其包含任何集群角色自定义。
使用策略文件自动协调不受协调保护的角色和角色绑定:
$ oc auth reconcile -f policy.json
协调安全性上下文约束:
# oc adm policy reconcile-sccs \ --additive-only=true \ --confirm
