Как да

Предотвратяване на потребителите да създават проекти в OpenShift / OKD клъстер

Предотвратяване на потребителите да създават проекти в OpenShift / OKD клъстер

Ако имате новосъздаден клъстер OpenShift / OKD Kubernetes, потребителите по подразбиране могат да създават проекти / пространства от имена, без да се консултират с администратора на клъстера. В повечето настройки ще искате да деактивирате тази функция, за да сте сигурни, че клъстерните изчислителни ресурси не се използват неправилно. И за разработчиците да следват правилния процес за разполагане на приложения в OpenShift Cluster Environment.

В това ръководство ще обсъдим как сами ще деактивирате влезлите потребители да създават проекти. Вместо това те ще видят съобщение, което им казва да изпратят имейл до съответния екип за създаване на проект и предоставяне на разрешения за тях да използват проекта.

Трябва да имате работеща среда на OpenShift Container, за да следвате това ръководство. Проверете ръководствата, които имаме за това как да създадем OpenShift клъстери:

Настройте локален клъстер OpenShift 4 с контейнери CodeReady

Как да настроите локален клъстер OpenShift Origin (OKD) на CentOS 7

Как да стартирам локален клъстер Openshift с Minishift

Деактивиране на самодоставяне на проекти в OpenShift

Първо разгледайте самодоставчици използване на свързване на клъстерни роли с командата по-долу.

$ oc описва свързването на клъстери.rbac самообзавеждащи ---- Име: самообслужващи Етикети:  Анотации: rbac.упълномощаване.кубернети.io / autoupdate: true Роля: Kind: ClusterRole Name: self-provisioner Subjects: Kind Name Space Names ---- ---- --------- Система на групата: удостоверена: oauth

Трябва да премахнем самообслужващ се клъстерна роля от групата система: удостоверено: oauth:

 oc patch clusterrolebinding.rbac самообзавеждащи -p '"предмети": null'

Трябва да получите изход, както по-долу:

свързване на клъстери.rbac.упълномощаване.k8s.io / самообслужващи кръпки

Ако обвързването на ролята на клъстера на самодоставчици обвързва ролята на самодоставчика с повече потребители, групи или акаунти на услуги от система: удостоверено: oauth група, изпълнете следната команда:

 oc adm policy \ remove-cluster-role-from-group self-provisioner \ system: удостоверено: oauth

Можете да приложите пластира директно със следната команда:

oc patch clusterrolebinding.rbac самообзавеждащи се -p '"метаданни": "анотации": "rbac.упълномощаване.кубернети.io / autoupdate ":" false " '

Потвърдете съдържанието на задължителната роля на клъстера на самодоставчици:

oc редактиране на clusterrolebinding.rbac самодоставчици

Сега стойността трябва да бъде настроена на невярно.

... метаданни: анотации: rbac.упълномощаване.кубернети.io / autoupdate: "невярно".. 

Влезте като удостоверен потребител и се уверете, че той вече не може да предостави самостоятелно проект:

$ oc Тест за нов проект Грешка от сървъра (Забранено): Възможно е да не поискате нов проект чрез този API.

Персонализирайте съобщението за заявка за проект в OpenShift

Трябва да персонализираме съобщението, което потребителите на OpenShift ще получат, когато се опитат да създадат проекти от CLI или уеб конзола.

От CLI

Влезте като потребител с клъстер-администратор привилегии и редактирайте проект.конфиг.отворен превключвател.io / клъстер ресурс:

$ oc редактиране на проект.конфиг.отворен превключвател.io / клъстер 

Актуализирайте projectRequestMessage параметър със стойността на вашето персонализирано съобщение:

projectRequestMessage: "За да заявите проект, свържете се с администраторския екип на OpenShift на [имейл защитен]"

От уеб таблото за управление

Отворете уеб конзолата OpenShift и отидете до Администрация → Настройки на клъстера страница.

Щракнете Глобална конфигурация за да видите всички ресурси за конфигуриране.

Намерете записа за Проекти

Кликнете върху ЯМЛ за да го редактирате.

projectRequestMessage: "За да заявите проект, свържете се с администраторския екип на OpenShift на [имейл защитен]"

След като запазите промените. Потребителите могат да опитат да създават нови проекти като акаунт на разработчик или услуга и заявката няма да премине. Потребителите ще получат потребителското съобщение, което току-що зададохме.

Курсове на OpenShift:

Практически OpenShift за разработчици - нов курс 2021

Ultimate Openshift (2021) Bootcamp от School of Devops

Повече за OpenShift и Kubernetes:

Постоянно съхранение на Ceph за Kubernetes с Cephfs

Постоянно съхранение за Kubernetes с Ceph RBD

Най-добрите операционни системи за минимални контейнери за стартиране на Kubernetes

Как да инсталирате таблото за управление на Kubernetes с NodePort

Как да създам администраторски потребител за достъп до таблото за управление Kubernetes

Внедрете клъстер Kubernetes с Ansible & Kubespray
Има различни начини за внедряване на клъстер Kubernetes, готов за производство. В тази статия ще се съсредоточим върху внедряването на клъстер Kuberne...
Наблюдавайте използването на ресурсите на Docker Containers с Ctop
Търсили ли сте отгоре като интерфейс за показатели и мониторинг на контейнери?. Ctop е инструмент за команден ред, написан, за да предостави кратък и ...
Инсталирайте Dokku (Docker PaaS) на Ubuntu 20.04 | 18.04
Dokku е разширяема платформа с отворен код като услуга, която работи на един сървър по ваш избор. Ако някога сте използвали Heroku, помислете за него ...