OpenShift 4之访问权限分级授权

最新推荐文章于 2023-04-25 10:56:57 发布
最新推荐文章于 2023-04-25 10:56:57 发布
阅读量656 收藏
点赞数
分类专栏: OpenShift 4 Ops 文章标签: OpenShit 访问权限 访问授权 CRC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/103414273
版权
OpenShift 4 同时被 2 个专栏收录
271 篇文章 77 订阅
订阅专栏
Ops
59 篇文章 1 订阅
订阅专栏

目标

本文档将实现在多个用户之间对Project对象访问进行授权。这些场景包括:

  1. 用admin1创建project1项目,因此admin1具有project1项目的管理员权限。
  2. admin1可以将project1项目的管理员权限授权给admin2,此时admin2拥有admin1相同权限。
  3. admin2可以将project1项目的管理员权限从admin1收回。
  4. admin2可以将project1项目的编辑权限授权给admin3,并将project1项目的查看权限授权给admin4。
  5. admin3无法将project1的查看权限授权给admin5。
  6. admin4可以将project1的编辑权限授权给admin5。
    在这里插入图片描述

实现和验证

  1. 参照《OpenShift 4之增加用户》创建admin1-admin5用户。
  2. 用admin1登录,然后创建project1项目。
$ oc login -u admin1 -p admin1
$ oc new-project project1
  1. 用admin2登录,确认无法访问project1项目。
$ oc login -u admin2 -p admin2
$ oc project project1
  1. 用admin1登录,执行命令将project1项目的管理员权限授权给admin2,
$ oc login -u admin1 -p admin1
$ oc adm policy add-role-to-user admin admin2 -n project1
  1. 重新执行第3步,确认这次admin2可以访问project1项目。
  2. 用admin2执行命令将project1项目的管理员权限从admin1收回。
$ oc adm policy remove-role-from-user admin admin1 -n project1
  1. 用admin1登录,确认已经无法访问project1项目了。
$ oc login -u admin1 -p admin1
$ oc get project project1
  1. 用admin2登录,给admin3编辑project1项目的权限、给admin4查看project1项目的权限。
$ oc adm policy add-role-to-user edit admin3 -n project1
$ oc adm policy add-role-to-user view admin4 -n project1
  1. 用admin3登录,确认可以访问project1项目。
$ oc login -u admin3 -p admin3
$ oc get project project1
  1. 用admin3执行以下命令,确认admin3无法把查看project1的权限授权给admin5,这是因为admin3没有project1的管理权限。
$ oc adm policy add-role-to-user view admin5 -n project1
  1. 用admin4执行以下命令,确认admin4不可以把编辑project1权限授权给admin5,这是因为admin4没有project1的管理权限。
$ oc login -u admin4 -p admin4
$ oc adm policy add-role-to-user view admin5 -n project1
  1. 用admin2用户登录并执行查看project1项目有权限,都是哪些用户有这些权限。
$ oc login -u admin2 -p admin2

$ oc get rolebindings
NAME                    AGE
admin-0                 29m
edit                    13m
system:deployers        29m
system:image-builders   29m
system:image-pullers    29m
view                    12m

$ oc describe rolebindings admin-0
Name:         admin-0
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  admin
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin2  

$ oc describe rolebindings edit
Name:         edit
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  edit
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin3  

$ oc describe rolebindings view
Name:         view
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  view
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin4
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)和oschart(github.com/sjenning/oschart/oschart)来监视群集的启动和运行。 我欢迎PR将此扩展到其他平台。 有关更多信息,请参见下面 。 waitfor-pod :等待指定的pod出现(由oinst用作助手)。 bastion-ssh和bastion-scp-使用ssh堡垒访问群集节点。 install-custom-kubelet-将自定义kubelet安装到集群中。 set-worker-parameters-设置各种kubelet参
OpenShift4架构概述.pdf
12-06
Redhat内部培训资料
todo-oracle-openshift3:用于连接到远程oracle数据库的示例应用程序
05-14
要创建应用程序,请运行followig命令 rhc create-app todo jbosseap --env OPENSHIFT_ORACLE_DB_CONNECTION_URL=<VALUE> OPENSHIFT_ORACLE_DB_USERNAME=<VALUE> OPENSHIFT_ORACLE_DB_PASSWORD=<VALUE> --from-code=https://github.com/shekhargulati/todo-oracle.git
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
在VMware上自动配置OpenShift 4.6 该存储库包含一组手册,以帮助促进OpenShift 4.6在VMware上的部署。 OpenShift 4.6的更改 请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的早期版本一起使用。 之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改的更多详细信息,请参见。 背景 这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR记录 部署httpd服务器以承载安装工件 HAProxy的部署和适用的配置 部署dhcpd和适用的固定主机条目(静态分配) 上载RHCOS OVA模板 在VMware上部署和配置RHCOS VM 有序启动虚拟机 要求 要利用本指南中的自动化功能,您需要带以下内容: VMware
安装OpenShift 4.x集群-Linux开发
05-27
OpenShift安装程序支持的平台带有KVM的AWS Libvirt(仅开发)OpenStack(实验性)快速入门首先,安装所有构建依赖项。 克隆此存储库OpenShift安装程序支持的平台AWS AWS(UPI)Azure裸机(UPI)裸机(IPI)(实验性)GCP GCP(UPI)具有KVM的Libvirt(仅开发)OpenStack OpenStack(UPI)(实验性)oVirt vSphere vSphere( UPI)快速入门首先,安装所有构建依赖项。 克隆此存储库。 然后使用以下命令构建openshift-install二进制文件:hack / build.sh这将创建bin / openshift-install。 然后可以调用此二进制文件来创建OpenShift集群,如下所示:bin / openshift-
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 961
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
关于Open Shift(OKD) 中 用户认证、权限管理、SCC 管理的一些笔记
山河已无恙
04-25 948
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为 openshift 用户认证和权限管理以及scc管理相关笔记学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
Openshift 用户,角色和RBAC
weixin_30596023的博客
11-25 363
OCP中的权限管理沿用的Kubernetes RBAC机制,授权模式主要取决于下面几个因数 Rules 针对主要对象的操作权限,比如建立Pod Sets of permittedverbson a set ofobjects. For example, whether something cancreatepods. Rol...
OpenShift基础到精通
06-20
<div> <p> <img src="https://img-bss.csdnimg.cn/202006200149361743.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149446628.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200149522584.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006200150009290.png" alt="" /></p> <p> <img src="https://img-bss.csdnimg.cn/202006302322144521.png" alt="" /></p> <p> <br /></p> </div>
OPENSHIFT-280-1-创建用户与授权
拙能胜巧
12-15 2929
0.实验环境的简单介绍。lab install-post setup主要是配置好文件(HOSTS配置和执行ANSIBLE的脚本)。ansible-playbook -i inventory full_classroom_install.yml | grep TASK执行ANSIBLE脚本,这里筛选列出其过程。 模拟git仓库地址:http://workstation.lab.example.co...
一种改进的基于角色的分级授权访问控制模型
05-10
大多数企业的业务处理在功能访问权限和数据访问权限上有较高要求,而基于角色的访问控制模型的数据访问控制能力是有限的. 因此,文中提出了一种改进的基于角色的分级授权访问控制模型,该模型将用户、功能权限访问数据进行分级,自上而下形成树状结构,并形成了用户级别- 功能- 数据级别之间的映射关系,实现了逐级授权. 该模型已成功运用于云南省大型科学仪器协作共用网络服务平台上,实现了较高的数据访问控制能力.
Red Hat OpenShift 4 Foundations.pdf
12-08
RedHat关于OpenShift的线上培训课件
分布式事务概述 (资料)
热门推荐
weixin_33877092的博客
08-11 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
openshift/origin学习记录(11)——赋予用户集群管理员权限
个人学习记录
10-19 3323
由于system:admin默认没有密码,没法登录web console,这里通过指令给账号dev赋予集群管理员权限。 # oc login -u system:admin # oc adm policy add-cluster-role-to-user cluster-admin dev这样就可以用dev账号访问web console。访问default等工程。
Openshift平台容器内root权限获取方案
丶何人能及 的博客
10-21 2152
第1章 文章目的 第2章 结合SCC安全机制的解决方案 2.1 什么是scc 2.2 操作步骤 1文章目的 Openshift平台中,当在容器内需要用到root权限时,仅仅在dockerfile中指定user为root还是不够的,结合privileged参数以及oc adm policy add-scc-to-group anyuid system:authe...
openshift origin 用户权限创建
j_ychen的博客
04-11 4000
接上一篇的安装完成后需要创建用户,才能登陆平台。安装的时候我采用了在Ansible的hosts文件中定义了HTPasswd文件作为后端的用户身份信息库。安装程序自动生成了数据文件/etc/origin/master/htpasswd。但是此时该文件还是一个空文件,并没有任何用户信息。1.  这里我通过htpasswd命令来创建用户# htpasswd -b /etc/origin/master/h...
openshift v1.5 不能登录system:admin 问题
简先生的研究记录
03-20 301
  这个好像是无法解决的,我按照github和google所有步骤试过了,还是不能登录system:admin 。需要密码。弄了两个小时,后来放弃了,直接使用新版本3.6的,按照官网方法部署,可以使用直接登录超管了,不需要密码了。特此发文,提醒广大群众,不要浪费时间。 ...
openshift重启后,以系统管理员system:admin登录系统,提示要输入密码问题解决方案
pingweicheng的博客
03-01 1783
问题描述:当我们关闭掉openshift容器云,在下一次通过 openshift start & 命令启动openshift后,想通过system:admin登录系统发现openshift提示用户要输入密码,由于system:admin是通过密钥证书免密登录系统的,所以此处会出现system:admin无法登录openshift的问题。 如下图分别是执行openshift s...
RHEL 8 - 配置基于安装 ISO 文件的 YUM Repo
多恩斯基的博客
06-04 3277
目录挂载 iso配置 yum repo
openshift怎么配置访问内网的外部代理?
最新发布
09-26
### 回答1: 在 OpenShift 中配置访问内网的外部代理需要以下几步: 1. 在 OpenShift 集群中配置代理服务器,以便路由对内网的请求。 2. 在集群中的容器中配置 HTTP_PROXY 环境变量,以便使用代理服务器进行网络请求。 3. 在容器中更新代理配置文件,以指定要使用的代理服务器。 4. 验证代理配置是否生效,以确保可以访问内网。 请注意,上述步骤仅是大致流程,具体的步骤可能因集群环境和代理服务器的不同而有所差异。建议您在实施前仔细阅读相关文档和说明,以确保您使用的配置是正确和安全的。 ### 回答2: 要在OpenShift中配置访问内网的外部代理,可以按照以下步骤进行操作: 1. 首先,在OpenShift集群中创建一个用于访问内网的外部代理服务。这可以是一个独立的代理服务器或者其他设备,具体取决于你的环境。确保该代理服务已经正确配置,并可以访问内网资源。 2. 在OpenShift集群中创建一个命名空间,用于部署和管理代理应用。 3. 编写一个Dockerfile,用于创建一个基于OpenShift的镜像,该镜像能够启动代理应用。在Dockerfile中,可以指定代理服务的地址和端口,以便应用能够正确连接到代理。 4. 构建镜像,并将其推送到OpenShift的内部镜像仓库。 5. 创建一个Deployment配置文件,用于在OpenShift集群中部署代理应用。在配置文件中,指定刚才推送到仓库的镜像,并将其部署到之前创建的命名空间。 6. 配置代理应用的路由,以便可以从集群外部访问该应用。可以使用OpenShift的路由功能来实现。确保路由的目标端口与代理应用的端口一致。 7. 最后,将OpenShift集群的出口流量路由到代理应用。这可以通过OpenShift的网络策略功能来实现。配置网络策略,允许来自OpenShift集群的流量通过代理应用进行转发。 通过以上步骤,你就可以在OpenShift中配置访问内网的外部代理。 ### 回答3: 要在OpenShift上配置访问内网的外部代理,可以按照以下步骤进行操作: 1. 登录到OpenShift集群的Master节点上,并使用root或有sudo权限的用户执行以下命令,编辑OpenShift默认的路由配置文件: ```shell vi /etc/origin/master/master-config.yaml ``` 2. 在`routingConfig`部分添加以下代码块,以配置代理: ```yaml routingConfig: proxyRedirect: false subdomain: "" location: "" httpProxy: "http://proxy.example.com:8080" # 修改为你的代理地址和端口 httpsProxy: "http://proxy.example.com:8080" noProxy: "localhost,127.0.0.1,.example.com" # 修改为不需要代理的内网地址,多个地址使用逗号分隔 ``` 3. 保存并关闭文件。 4. 重启OpenShift Master服务以使更改生效: ```shell systemctl restart origin-master.service ``` 5. 配置完成后,OpenShift的路由将会通过指定的代理进行访问内网资源。 注意事项: - `httpProxy`和`httpsProxy`的地址和端口需要替换为你实际使用的代理服务器地址和端口。 - `noProxy`用于指定不需要代理的内网地址,多个地址之间使用逗号分隔。 - 如果没有权限修改OpenShift Master配置文件,可以联系集群管理员进行配置。 - 要确保代理服务器能够访问到内网资源,并且OpenShift节点能够通过代理服务器进行访问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值