OpenShift 4 - 锁定被保护的 OpenShift 资源,禁止删除和修改操作(附视频)

已于 2023-01-10 18:36:04 修改
阅读量1.4k 收藏
点赞数
分类专栏: DevOps OpenShift 4 安全 文章标签: 安全 kubernetes docker
于 2021-12-26 21:42:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122160588
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.9环境中验证

文章目录

安装 Resource Locker Operator

在 OpenShift 中使用缺省配置安装 Resource Locker Operator 即可。
在这里插入图片描述

配置被保护的 OpenShift 资源

  1. 执行命令,创建项目
$ oc new-project resource-locker-test
  1. 创建一个 Role(注意:角色可以对 configmaps 类对象进行修改),并绑定到 serviceaccount。
$ oc create serviceaccount sa-resource-locker -n resource-locker-test
 
$ oc apply -f - << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: role-configmaps
  namespace: resource-locker-test
rules:
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - list
  - get
  - watch
  - create
  - update
  - patch
EOF
 
$ oc apply -f - << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: sa-resource-locker-can-manage-configmaps
  namespace: resource-locker-test
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: role-configmaps
subjects:
- kind: ServiceAccount
  name: sa-resource-locker
  namespace: resource-locker-test
EOF
  1. 创建一个 ResourceLocker 对象,其中包含被保护的 ConfigMap 对象,并使用前面创建的 ServiceAccount。注意:“excludedPaths”部分是不受保护的部分
$ oc apply -f - << EOF
apiVersion: redhatcop.redhat.io/v1alpha1
kind: ResourceLocker
metadata:
  name: resourelocker-configmap
  namespace: resource-locker-test
spec:
  resources:
    - excludedPaths:
        - .metadata
        - .status
        - .spec.replicas
      object:
        apiVersion: v1
        kind: ConfigMap
        metadata:
          name: locked-configmap
          namespace: resource-locker-test
        data:
          key1: value1
  serviceAccountRef:
    name: sa-resource-locker
EOF
  1. 查看 ConfigMap 对象的内容。
$ oc get configmap locked-configmap -n resource-locker-test
NAME               DATA   AGE
locked-configmap   1      48s

$ oc get configmap locked-configmap -n resource-locker-test -oyaml
apiVersion: v1
data:
  key1: value1
kind: ConfigMap
。。。
  1. 修改 ConfigMap 对象,确认虽然提示修改成功。但是再查看 ConfigMap 对象内容,确认对象实际没有发生变化。
$ oc apply -n resource-locker-test -f - << EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: locked-configmap
  namespace: resource-locker-test
data:
  key1: modified-value1
EOF
 
$ oc get configmap locked-configmap -n resource-locker-test -oyaml
  1. 删除 ConfigMap 对象,确认虽然提示删除成功。但是再查看 ConfigMap 对象,确认对象实际没有被删除。
$ oc delete configmap locked-configmap -n resource-locker-test
configmap "locked-configmap" deleted

$ oc get configmap locked-configmap -n resource-locker-test
NAME               DATA   AGE
locked-configmap   1      7s

更改被保护OpenShift 资源

  1. 删除名为 resourelocker-configmap 的 ResourceLocker。
$ oc delete ResourceLocker resourelocker-configmap -n resource-locker-test
  1. 确认此时 locked-configmap 对象还有存在。
$ oc get configmap locked-configmap -n resource-locker-test -oyaml
apiVersion: v1
data:
  key1: value1
kind: ConfigMap
。。。
  1. 修改 locked-configmap 对象,确认此时可以修改了。
$ oc patch configmap locked-configmap -p '{"data": {"key1": "value1-new"}}'
configmap/locked-configmap patched
$ oc get configmap locked-configmap -n resource-locker-test -oyaml
apiVersion: v1
data:
  key1: value1-new
kind: ConfigMap
。。。
  1. 执行命令,创建新的 ResourceLocker 对象,其中定义了 locked-configmap 对象的新内容。
$ oc apply -f - << EOF
apiVersion: redhatcop.redhat.io/v1alpha1
kind: ResourceLocker
metadata:
  name: resourelocker-configmap-modified
  namespace: resource-locker-test
spec:
  resources:
    - excludedPaths:
        - .metadata
        - .status
        - .spec.replicas
      object:
        apiVersion: v1
        kind: ConfigMap
        metadata:
          name: locked-configmap
          namespace: resource-locker-test
        data:
          key1: value1-modified
  serviceAccountRef:
    name: sa-resource-locker
EOF
  1. 确认此时 locked-configmap 对象的内容又被新的 ResourceLocker 对象锁定了。
$ oc get configmap locked-configmap -n resource-locker-test -oyaml
apiVersion: v1
data:
  key1: value1-modified
kind: ConfigMap
。。。

演示视频

视频

参考

https://github.com/redhat-cop/resource-locker-operator

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift 调度命令
acpf94337的博客
03-30 357
oc adm manage-node oc-node07 --schedulable=true #可调度 oc adm manage-node oc-node07 --schedulable=false #不可调度 oc adm manage-node test-oc02 --evacuate #驱散所有pod oc adm manage-node test-oc02 --ev...
JAVA面试题分享一百一十二:什么是服务网格?
最新发布
之乎者也·的博客
11-30 926
Service Mesh 又译作“服务网格”,作为服务间通信的基础设施层。Buoyant 公司的 CEO Willian Morgan 在他的这篇文章中解释了什么是 Service Mesh,为什么云原生应用需要 Service Mesh。下面是 Willian Morgan 对 Service Mesh 的解释。翻译成中文是:服务网格(Service Mesh)是处理服务间通信的基础设施层。它负责构成现代云原生应用程序的复杂服务拓扑来可靠地交付请求。
Jimmy的文档: openshift origin ConfigMaps
hj19870806的专栏
06-07 896
                                                                           Openshift Origin ConfigMaps      ConfigMaps 是openshift提供的一种管理配置参数的工具,在容器运行过程中,需要配置很多变量和参数,这些变量和参数可能随时都有变化,因此这些变量不适合保存在容器中,若保存...
kubernetes/k8s概念】configMap配置管理
zhonglinzhang
07-20 1万+
ConfigMap概述            ConfigMap API资源提供了将配置注入容器的机制,ConfigMap可用于存储细粒度信息如单个属性,或粗粒度信息如整个配置文件或JSON对象。      ConfigMap API资源存储键/值对配置数据,这些数据可以在pods里使用。ConfigMap跟Secrets类似,但是ConfigMap可以更方便的处理不包含敏感信息的字符串。 ...
Openshift 用户,角色和RBAC
weixin_30596023的博客
11-25 371
OCP中的权限管理沿用的Kubernetes RBAC机制,授权模式主要取决于下面几个因数 Rules 针对主要对象的操作权限,比如建立Pod Sets of permittedverbson a set ofobjects. For example, whether something cancreatepods. Rol...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的早期版本一起使用。 之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
cluster-openshift-apiserver-operator:openshift-apiserver操作员在集群上安装和维护openshift-apiserver
04-01
OpenShift API服务器操作员管理和更新。 该操作员基于OpenShift框架,并且通过“ (CVO)安装。 它包含以下子系统: 操作员 配置观察者 默认情况下,操作员通过metrics服务公开指标。 指标是从以下组件中收集的: ...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
OpenShift-Spring:测试应用
05-02
OpenShift弹簧 测试应用
openshift-cartridge-oracle-saas
07-12
OpenShift Oracle SaaS 连接器盒
openshift 学习笔记-6 secret and quota
vito
10-18 3975
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
Kubernetes基础:ConfigMap:增删改查
热门推荐
知行合一 止于至善
01-03 1万+
ConfigMapKubernetes 在1.2版本中引入的功能,这篇文章围绕者ConfigMap的4种常用的方式创建方法进行介绍,并将关联的查询和修改删除操作进行说明。
OpenshiftConfigmap的使用
weixin_30530939的博客
09-24 750
先基于外部镜像构建一个deployment ericdeMacBook-Pro:nginx ericnie$ oc new-app ericnie2017/nginx:v1.0 --allow-missing-images --name=nginx-demo -n myproject --> Found Docker image 48a076d (9 minutes ...
今天收到阿里巴巴一个电话面试
mark's technic world
05-19 4944
1如何区分同一session不同会话用户 答JsessionId 2redis有哪些常用数据类型 答:string,list,set,sorted set,map 3redis客户端get请求流程 客户端执行一个命令的流程如下: 通过Socket发送请求协议Server通过读事件接受请求,且存入查询缓存从命令表找到相应的命令实现执行命令,且把执行结果存入到响应缓存中客户端写
Openshift Origin 3]OpenShift 3 : 基于Docker的私有PaaS平台
记录所学所思
07-16 6286
OpenShift 3 : 基于Docker的私有PaaS平台【编者的话】OpenShift是一个非常有前途的私用PaaS解决方案,它可以减少从项目开始到自动构建应用和部署的时间,它支持绝大多数的Web架构,将成为基于Docker的私有PaaS平台领域的参照。OpenShift是一个私有的PaaS(Platform-as-a-Service)解决方案,主要用来在容器中搭建、部署以及运行应用程序。它是
kubernetes以单个文件的方式挂载 configMap及挂载注意事项
江晓龙的博客
05-16 9875
kubernetes 以单个文件的方式挂载 configMap 及挂载注意事项 问题现象 默认挂载 configMap 时,kubernetes 会覆盖掉挂载的整个目录,哪怕使用 items 也会导致整个目录被覆盖。 我们经常需要把一些程序的配置文件通过configmap挂载到容器中,一般都是单个文件,默认情况下,configmap就会将整个目录的文件情况,只保留configmap中存储的文件,这样一来其他配置文件丢失,我们的程序自然就起不来了。 解决方案 使用volumeMount.subPath来声明我
Openshift介绍及常用命令
chao199512的博客
02-01 8966
OpenShift是红帽公司的一个开源容器应用平台,以docker作为容器引擎,以k8s模型编排、调度容器。在两者的基础上,红帽公司提供了一套更加完善的容器应用管理平台。可以部署在物理机,虚拟机,公有云,私有云等各种环境下。     功能(有很多基于k8s的概念):         s2i:基于git或svn的代码快速生成应用容器镜像;         deployment:快熟部署容器镜像...
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值