防止用戶在OpenShift / OKD集群上創建項目

從下面的鏈接下載並以PDF格式支持本文。

theロード下載PDF指南

關門

如果您有一個新創建的OpenShift / OKD Kubernetes集群，則用戶可以默認創建項目/名稱空間，而無需諮詢集群管理員。對於大多數配置，應禁用此功能，以防止濫用群集的計算資源。此外，開發人員需要遵循正確的過程將應用程序部署到OpenShift集群環境。

本指南介紹了如何防止登錄用戶自行創建項目。相反，您會看到一條消息，指示您向相關團隊發送電子郵件以創建項目，並獲得使用該項目的授權。

您需要一個符合本指南要求的OpenShift容器環境。查看我們有關如何創建OpenShift集群的指南：

使用CodeReady容器設置本地OpenShift 4集群

如何在CentOS 7上設置本地OpenShift Origin（OKD）集群

如何使用minishift運行本地Openshift集群

在OpenShift中禁用項目自配置

首先，使用以下命令查看自我配置的群集角色綁定的用法。

$ oc describe clusterrolebinding.rbac self-provisioners

----
Name:         self-provisioners
Labels:       
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
Role:
  Kind:  ClusterRole
  Name:  self-provisioner
Subjects:
  Kind   Name                        Namespace
  ----   ----                        ---------
  Group  system:authenticated:oauth

必須刪除 自我配置 組系統中的群集角色：已驗證：oauth：

 oc patch clusterrolebinding.rbac self-provisioners -p '{"subjects": null}'

您應該獲得以下輸出：

clusterrolebinding.rbac.authorization.k8s.io/self-provisioners patched

如果自配置群集角色綁定將自配置角色綁定到的用戶，組或服務帳戶的數量超過系統：authenticated：oauth group，請執行以下命令。

 oc adm policy 
    remove-cluster-role-from-group self-provisioner 
    system:authenticated:oauth

您可以使用以下命令直接應用補丁：

oc patch clusterrolebinding.rbac self-provisioners -p '{ "metadata": { "annotations": { "rbac.authorization.kubernetes.io/autoupdate": "false" } } }'

查看自配置群集角色綁定的內容。

oc edit clusterrolebinding.rbac self-provisioners

該值必須設置如下 錯了

.....
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "false"
.....

以經過身份驗證的用戶身份登錄，並確認您不能自行設置項目。

$ oc new-project test
Error from server (Forbidden): You may not request a new project via this API.

使用OpenShift自定義項目請求消息

您需要自定義OpenShift用戶嘗試從CLI或Web控制台創建項目時出現的消息。

從CLI

以具有cluster-admin特權的用戶身份登錄，然後編輯project.config.openshift.io/cluster資源。

$ oc edit project.config.openshift.io/cluster

使用自定義消息的值更新projectRequestMessage參數。

projectRequestMessage: "To request a project, contact OpenShift Admin Team at [email protected]"

從網絡儀錶板

打開OpenShift Web控制台， 行政管理 → 集群設置 頁面。

請點擊 全局配置 顯示所有配置資源。

查找條目 該項目

請點擊 YAML 編輯它。

projectRequestMessage: "To request a project, contact OpenShift Admin Team at [email protected]"

保存更改後。用戶可以嘗試以開發者或服務帳戶的身份創建一個新項目，並且該請求將不被處理。用戶收到您剛剛設置的自定義消息。

OpenShift和Kubernetes詳細信息：

使用Cephfs的Kubernetes的Ceph永久存儲

使用Ceph RBD的Kubernetes持久存儲

用於運行Kubernetes的最小的容器操作系統

如何使用NodePort安裝Kubernetes儀錶板

如何創建管理員用戶以訪問Kubernetes儀錶板

從下面的鏈接下載並以PDF格式支持本文。

theロード下載PDF指南

關門