OpenShift 4之设置用户/组对项目的访问权限

最新推荐文章于 2023-05-26 20:00:19 发布
最新推荐文章于 2023-05-26 20:00:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: OpenShift 4 Ops 安全 文章标签: OpenShift policy group user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/103412127
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
Ops
59 篇文章 2 订阅
订阅专栏

OpenShift 4之设置用户/组对项目的访问权限

环境与目标

假设OpenShift环境中有以下User、Group、Project对象。

用户

  • 开发人员:developer1、developer2
  • 测试人员:tester1、tester2

  • 开发组:developer
  • 测试组:tester

项目

  • project-cicd
  • project-uat

目标

开发人员对project-cicd项目有操作权限,对project-uat环境只有查看权限
测试人员对project-uat环境有操作权限,对project-cicd环境只有查看权限

实现

创建资源

  1. 用《OpenShift 4之增加用户》方法创建用户。
  2. 创建组
$ oc adm groups new developer
$ oc adm groups new tester
  1. 创建项目
$ oc new-project project-cicd
$ oc new-project project-uat

关联用户和组

$ oc adm groups add-users developer developer1 developer2
$ oc adm groups add-users tester tester1 tester2

设置组权限

$ oc adm policy add-role-to-group edit developer -n project-cicd
$ oc adm policy add-role-to-group view developer -n project-uat
$ oc adm policy add-role-to-group edit tester -n project-uat
$ oc adm policy add-role-to-group view tester -n project-cicd

验证

分别用开发人员和测试人员登录,然后在分别进入project-cicd和project-uat项目,确认是否可以执行以下命令浏览资源和创建资源。

  1. 验证是否可创建资源
$ oc new-app openshift/hello-openshift
$ oc expose svc hello-openshift
$ curl $(oc get route hello-openshift -o template --template '{{.spec.host}}')
  1. 验证是否可浏览资源
$ oc get all
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenShift — Overview
烟云的计算
11-27 1723
目录 文章目录目录前言OpenShift v3 — 将 Kubernetes “企业” 化选择 Kubernetes单集群实现多用户、多应用应用部署更简单、更安全运行多类型的应用负载应用程序外部访问OpenShift v4.0 — 从构建平台到运营平台使用 Prometheus + Grafana 进行管理和监控使用 Kubernetes Operators & CRDs 管理服务用 Kubernetes 安装升级 Kubernetes在不可变基础架构上部署 Kubernetes集群版本隔空更新(O
OpenShift — 架构设计
烟云的计算
11-27 2056
目录 文章目录目录分层架构基础架构层容器引擎层容器编排层PaaS 服务层界面及工具层核心组件核心概念容器(Container)和镜像(Image)用户User项目(Project)Pod部署(Deployment)服务(Service)路由(Router)模板(Template)构建(Build)和镜像流OpenShift 与 Kubernetes 的差异以应用为中心默认安全 分层架构 OpenShift 采用分层架构,自下而上包含了以下几个层次: 基础架构层 容器引擎层 容器编排层 PaaS 服务层
OpenShift 4之访问权限分级授权
多恩斯基的博客
12-06 710
目标 本文档将实现在多个用户之间对Project对象访问进行授权。这些场景包括: 用admin1创建project1项目,因此admin1具有project1项目的管理员权限。 admin1可以将project1项目的管理员权限授权给admin2,此时admin2拥有admin1相同权限。 admin2可以将project1项目的管理员权限从admin1收回。 admin2可以将project1...
openshift 容器云从入门到崩溃之四《配置用户验证》
acpf94337的博客
02-15 342
1、配置本地用户 之前安装的时候选择了htpasswd验证方式 先创建用户 # htpasswd -c /etc/origin/master/htpasswd admin 授权为集群管理员 # oc adm policy add-cluster-role-to-user cluster-admin admin 登陆到oc # oc login -u a...
openshift client 命令 之 groups
weixin_34049948的博客
09-06 239
为什么80%的码农都做不了架构师?>>> ...
OpenShift 4 - 基于URL的应用路由
多恩斯基的博客
08-26 668
本文部署4个应用,我们将使用相同的域名和不同的路径来访问它们。 创建项目并部署4个应用。 $ oc new-project myholiday $ oc new-app https://github.com/liuxiaoyu-git/workshop4.git --context-dir=attendee/myholiday \ --name=short-holiday -l app.kubernetes.io/part-of=holidays HOLIDAY_TYPE=short-break $
Openshift平台容器内root权限获取方案
丶何人能及 的博客
10-21 2246
第1章 文章目的 第2章 结合SCC安全机制的解决方案 2.1 什么是scc 2.2 操作步骤 1文章目的 Openshift平台中,当在容器内需要用到root权限时,仅仅在dockerfile中指定user为root还是不够的,结合privileged参数以及oc adm policy add-scc-to-group anyuid system:authe...
Openshift 上运行nginx
最新发布
weixin_41251391的博客
05-26 412
看log会发现pod没运行起来,原因是nginx 容器需要用root权限去运行,然而openshift为了安全,默认情况下不会让用户以root去运行,而非root用户没有权限开启nginx的80端口,导致报错;Deployment 在k8s和openshift 平台都有,DeploymentConfig k8s 平台上没有,所以选Deployment ,在k8s 上也可以兼容;为什么 OpenShift 集群运行 ngxin (1) 成功, 然而 OpenShift 集群运行 ngxin(2) 失败。
CentOS7.9上部署OpenShift3.11集群
xvktdmjg的博客
07-25 835
CentOS7.9上部署OpenShift3.11集群 OCP官网文档:https://docs.openshift.com/container-platform/3.11/welcome/index.html 版本: openshift 3.11.0 centos7.9 ansible 2.6.5 环境信息 主机名 IP 系统版本 配置 master.ocp.cn 192.168.108.110 CentOS 7.9 4C2G node1.ocp.cn 192.168.108.11
OpenShift 4 - 提权运行容器
多恩斯基的博客
07-12 670
Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。 运行HTTP容器 $ oc new-project http $ oc new-app --docker-image=httpd:2.4.17 查看pod状态,确认已经是“CrashLoopBackOff”状态。 $ oc get pod -w NAME READY STATUS
OpenSTF概述以及组成架构解读
Systemcall名屋
11-13 3306
https://segmentfault.com/a/1190000023580853
关于Open Shift(OKD) 中 用户认证、权限管理、SCC 管理的一些笔记
山河已无恙
04-25 1043
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为 openshift 用户认证和权限管理以及scc管理相关笔记学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
openshift 学习笔记-6 secret and quota
vito
10-18 3975
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
AWS RHEL/CentOS 7快速安装配置OpenShift 3.11
weixin_34239169的博客
09-06 823
OpenShift简介 微服务架构应用日渐广泛,Docker和Kubernetes技术是不可或缺的。Red Hat OpenShift 3是建立在Docker和Kubernetes基础之上的容器应用平台,用于开发和部署企业应用程序。 OpenShift版本 OpenShift Dedicated(Enterprise) Private, high-availability OpenShift c...
openshift 用户管理
lgggsg的博客
07-31 818
1. 新增一个用户如果还是用htpasswd,注意该文件(/etc/origin/master/htpasswd )是覆盖写入的。所以需要先备份 cd /etc/origin/master/ cp htpasswd htpasswd_20190731 ansible -m shell -a 'htpasswd -bc /etc/origin/master/htpasswd visitor...
Openshift服务部署中的权限控制
cloudvtech的博客
05-07 5338
一、前言Openshift具有很优秀的权限管理机制,提供非常细粒度的权限管理。访问Openshift平台服务的方式包括GUI、命令行、API、POD运行的权限,而可能的访问实体包括自然用户、外部应用程序、内部模块、POD内程序。这些不同的访问方式和访问实体需要使用灵活的机制去进行权限赋予和权限认证。自然用户访问Openshift平台的时候凭借用户名和密码或者kubeconfig的key文件可以在进...
OPENSHIFT-280-1-创建用户与授权
拙能胜巧
12-15 2950
0.实验环境的简单介绍。lab install-post setup主要是配置好文件(HOSTS配置和执行ANSIBLE的脚本)。ansible-playbook -i inventory full_classroom_install.yml | grep TASK执行ANSIBLE脚本,这里筛选列出其过程。 模拟git仓库地址:http://workstation.lab.example.co...
OpenShift 4 - 用自定义的TLS证书对访问OpenShift用户认证身份
多恩斯基的博客
08-02 1146
通过《OpenShift 4之增加 HTPasswd方式的身份认证》一文在OpenShift中增加一个用户(例如user100,密码password) 用user100登录OpenShift控制台,并创建user100-1项目。 用集群管理员在命令行登录OpenShift设置环境变量。 $ export OCP_USERNAME="user100" $ export OCP_API_SERVER=$(oc whoami --show-server) $ mkdir ${OCP_USERNAME} .
OpenShift 2.2.13 用户指南:云端应用程序管理详解
6. **安全性和权限管理**:讨论如何设置用户认证、访问控制和加密,确保应用程序的安全运行。 7. **监控与日志**:指导用户如何使用OpenShift内置的监控工具来追踪应用性能和异常。 8. **故障排查与优化**:提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值