OpenShift 4之访问权限分级授权

最新推荐文章于 2023-04-25 10:56:57 发布
最新推荐文章于 2023-04-25 10:56:57 发布
阅读量743 收藏
点赞数
分类专栏: OpenShift 4 Ops 文章标签: OpenShit 访问权限 访问授权 CRC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/103414273
版权
OpenShift 4 同时被 2 个专栏收录
272 篇文章 80 订阅
订阅专栏
Ops
59 篇文章 2 订阅
订阅专栏

目标

本文档将实现在多个用户之间对Project对象访问进行授权。这些场景包括:

  1. 用admin1创建project1项目,因此admin1具有project1项目的管理员权限。
  2. admin1可以将project1项目的管理员权限授权给admin2,此时admin2拥有admin1相同权限。
  3. admin2可以将project1项目的管理员权限从admin1收回。
  4. admin2可以将project1项目的编辑权限授权给admin3,并将project1项目的查看权限授权给admin4。
  5. admin3无法将project1的查看权限授权给admin5。
  6. admin4可以将project1的编辑权限授权给admin5。
    在这里插入图片描述

实现和验证

  1. 参照《OpenShift 4之增加用户》创建admin1-admin5用户。
  2. 用admin1登录,然后创建project1项目。
$ oc login -u admin1 -p admin1
$ oc new-project project1
  1. 用admin2登录,确认无法访问project1项目。
$ oc login -u admin2 -p admin2
$ oc project project1
  1. 用admin1登录,执行命令将project1项目的管理员权限授权给admin2,
$ oc login -u admin1 -p admin1
$ oc adm policy add-role-to-user admin admin2 -n project1
  1. 重新执行第3步,确认这次admin2可以访问project1项目。
  2. 用admin2执行命令将project1项目的管理员权限从admin1收回。
$ oc adm policy remove-role-from-user admin admin1 -n project1
  1. 用admin1登录,确认已经无法访问project1项目了。
$ oc login -u admin1 -p admin1
$ oc get project project1
  1. 用admin2登录,给admin3编辑project1项目的权限、给admin4查看project1项目的权限。
$ oc adm policy add-role-to-user edit admin3 -n project1
$ oc adm policy add-role-to-user view admin4 -n project1
  1. 用admin3登录,确认可以访问project1项目。
$ oc login -u admin3 -p admin3
$ oc get project project1
  1. 用admin3执行以下命令,确认admin3无法把查看project1的权限授权给admin5,这是因为admin3没有project1的管理权限。
$ oc adm policy add-role-to-user view admin5 -n project1
  1. 用admin4执行以下命令,确认admin4不可以把编辑project1权限授权给admin5,这是因为admin4没有project1的管理权限。
$ oc login -u admin4 -p admin4
$ oc adm policy add-role-to-user view admin5 -n project1
  1. 用admin2用户登录并执行查看project1项目有权限,都是哪些用户有这些权限。
$ oc login -u admin2 -p admin2

$ oc get rolebindings
NAME                    AGE
admin-0                 29m
edit                    13m
system:deployers        29m
system:image-builders   29m
system:image-pullers    29m
view                    12m

$ oc describe rolebindings admin-0
Name:         admin-0
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  admin
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin2  

$ oc describe rolebindings edit
Name:         edit
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  edit
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin3  

$ oc describe rolebindings view
Name:         view
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  view
Subjects:
  Kind  Name    Namespace
  ----  ----    ---------
  User  admin4
dawnsky.liu
关注
专栏目录
openshift权限管理
haiziccc的专栏
04-11 459
openshift中创建账户的默认角色是self-provisioner,而该角色是拥有创建project权限的。 https://docs.openshift.com/container-platform/4.2/authentication/using-rbac.html 但我们并不希望每个用户都拥有该权限,故需要对此进行调整。 oc describe clusterrole.r...
openshifit查看内置角色权限
nejore的博客
05-30 162
问题描述 openshift里面所有用户权限都是通过角色role来划分权限的,这个前提下,萌新对openshift内置的角色与权限很不熟悉,各种oc help都没查看到我需要的信息,最后发现是自己菜的比较彻底,红帽早就给我们准备好了命令 1.查看内置组对应的权限 oc get clusterrolebinding #该命令能罗列出内置的所有组的权限 2.查看支持的角色 oc get clusterrole 3.查看支持的权限 oc get clusterpolicy ...
OpenShift 4之设置用户/组对项目访问权限
多恩斯基的博客
12-05 1388
OpenShift 4之设置用户/组对项目访问权限环境与目标用户组项目目标实现创建资源关联用户和组设置组权限验证 环境与目标 假设OpenShift环境中有以下User、Group、Project对象。 用户 开发人员:developer1、developer2 测试人员:tester1、tester2 组 开发组:developer 测试组:tester 项目 project-cic...
Openshift服务部署中的权限控制
cloudvtech的博客
05-07 5381
一、前言Openshift具有很优秀的权限管理机制,提供非常细粒度的权限管理。访问Openshift平台服务的方式包括GUI、命令行、API、POD运行的权限,而可能的访问实体包括自然用户、外部应用程序、内部模块、POD内程序。这些不同的访问方式和访问实体需要使用灵活的机制去进行权限赋予和权限认证。自然用户访问Openshift平台的时候凭借用户名和密码或者kubeconfig的key文件可以在进...
openshift origin 用户权限创建
j_ychen的博客
04-11 4057
接上一篇的安装完成后需要创建用户,才能登陆平台。安装的时候我采用了在Ansible的hosts文件中定义了HTPasswd文件作为后端的用户身份信息库。安装程序自动生成了数据文件/etc/origin/master/htpasswd。但是此时该文件还是一个空文件,并没有任何用户信息。1.  这里我通过htpasswd命令来创建用户# htpasswd -b /etc/origin/master/h...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改的更多详细信息,请参见。 背景 这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于...
安装OpenShift 4.x集群-Linux开发
05-27
OpenShift安装程序支持的平台带有KVM的AWS Libvirt(仅开发)OpenStack(实验性)快速入门首先,安装所有构建依赖项。 克隆此存储库OpenShift安装程序支持的平台AWS AWS(UPI)Azure裸机(UPI)裸机(IPI)(实验性...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
安装程序:安装OpenShift 4.x集群
02-16
OpenShift安装程序 支持平台 (仅开发) 快速开始 首先,安装所有。 克隆此存储库。 然后使用以下命令构建openshift-install二进制文件: hack/build.sh 这将创建bin/openshift-install 。 然后可以调用此二进制...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
todo-oracle-openshift3:用于连接到远程oracle数据库的示例应用程序
05-14
要创建应用程序,请运行followig命令 rhc create-app todo jbosseap --env OPENSHIFT_ORACLE_DB_CONNECTION_URL=<VALUE> OPENSHIFT_ORACLE_DB_USERNAME=<VALUE> OPENSHIFT_ORACLE_DB_PASSWORD=<VALUE> --from-code=https://github.com/shekhargulati/todo-oracle.git
关于Open Shift(OKD) 中 用户认证、权限管理、SCC 管理的一些笔记
山河已无恙
04-25 1100
因为参加考试,会陆续分享一些OpenShift的笔记博文内容为 openshift 用户认证和权限管理以及scc管理相关笔记学习环境为 openshift v3 的版本,有些旧这里如果专门学习 openshift ,建议学习 v4 版本理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》
openshift资源及权限命令
nejore的博客
06-02 230
openshift资源及权限命令
一定要大道至简,分层分级授权
huyuminNo1的专栏
04-08 1564
变革的目的就是要多产粮食(销售收入、利润、优质交付、提升效率、账实相符、五个一……),以及增加土地肥力(战略贡献、客户满意、有效管理风险),不能对这两个目的直接和间接做出贡献的流程制度都要逐步简化。这样才可能在以客户为中心的奋斗目标下,持续保持竞争的优势。 我们要接受“瓦萨”号战舰沉没的教训。战舰的目的就是为了作战,任何装饰都是多余的。我们在变革中,要避免画蛇添足,使流程繁琐。变革的目的要始...
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 1012
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
Openshift 用户,角色和RBAC
weixin_30596023的博客
11-25 381
OCP中的权限管理沿用的Kubernetes RBAC机制,授权模式主要取决于下面几个因数 Rules 针对主要对象的操作权限,比如建立Pod Sets of permittedverbson a set ofobjects. For example, whether something cancreatepods. Rol...
linux权限值划分,linux中权限管理
weixin_35793018的博客
05-04 358
权限的描述:权限的意思就是用户拥有的对系统支配能力的大小在linux中是严格控制用户权限的,不同的用户给予不同的权限权限应遵循能少给就尽量少给的原则从而增加系统的安全性。进程安全上下文:进程对问件访问权限的应用模型:进程的属主与文件的属主是否相同,如果相同,则应用属主权限,如果不同 则去检测进程的属主是否与文件的属组相同如果相同,应用属组权限,否则就只能应用other权限。linux中权限划分:...
openshift/origin学习记录(11)——赋予用户集群管理员权限
个人学习记录
10-19 3384
由于system:admin默认没有密码,没法登录web console,这里通过指令给账号dev赋予集群管理员权限。 # oc login -u system:admin # oc adm policy add-cluster-role-to-user cluster-admin dev这样就可以用dev账号访问web console。访问default等工程。
OPENSHIFT-280-1-创建用户与授权
拙能胜巧
12-15 2981
0.实验环境的简单介绍。lab install-post setup主要是配置好文件(HOSTS配置和执行ANSIBLE的脚本)。ansible-playbook -i inventory full_classroom_install.yml | grep TASK执行ANSIBLE脚本,这里筛选列出其过程。 模拟git仓库地址:http://workstation.lab.example.co...
openshift怎么配置访问内网的外部代理?
最新发布
09-26
OpenShift 中配置访问内网的外部代理需要以下几步: 1. 在 OpenShift 集群中配置代理服务器,以便路由对内网的请求。 2. 在集群中的容器中配置 HTTP_PROXY 环境变量,以便使用代理服务器进行网络请求。 3. 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值