Wie man

Verhindern, dass Benutzer Projekte in OpenShift / OKD-Cluster erstellen Creating

Verhindern, dass Benutzer Projekte in OpenShift / OKD-Cluster erstellen Creating

Wenn Sie einen neu erstellten OpenShift / OKD Kubernetes-Cluster haben, können Benutzer standardmäßig Projekte / Namespaces erstellen, ohne den Cluster-Administrator zu konsultieren. In den meisten Setups sollten Sie diese Funktion deaktivieren, um sicherzustellen, dass die Compute-Ressourcen des Clusters nicht missbraucht werden. Und damit Entwickler den korrekten Prozess für die Bereitstellung von Anwendungen in der OpenShift-Clusterumgebung befolgen.

In diesem Leitfaden besprechen wir, wie Sie eingeloggte Benutzer vom eigenständigen Erstellen von Projekten deaktivieren. Stattdessen wird ihnen eine Nachricht angezeigt, in der sie aufgefordert werden, eine E-Mail an das entsprechende Team zur Projekterstellung und zur Erteilung von Berechtigungen zur Verwendung des Projekts zu senden.

Sie sollten über eine funktionierende OpenShift Container-Umgebung verfügen, um dieser Anleitung folgen zu können. Sehen Sie sich die Anleitungen an, die wir zum Erstellen eines OpenShift-Clusters haben:

Lokalen OpenShift 4-Cluster mit CodeReady-Containern einrichten

So richten Sie einen lokalen OpenShift Origin (OKD)-Cluster unter CentOS 7 ein

So führen Sie einen lokalen Openshift-Cluster mit Minishift aus

Deaktivieren der Projekt-Self-Provisioning auf OpenShift

Erster Blick auf die Selbstversorger Verwendung der Clusterrollenbindung mit dem folgenden Befehl.

$ oc beschreiben clusterrolebinding.rbac-Selbstversorger ---- Name: Selbstversorger Labels:  Anmerkungen: rbac.Genehmigung.Kubernetes.io/autoupdate: true Rolle: Kind: ClusterRollenname: self-provisioner Betreffe: Kindname Namespace ---- ---- --------- Gruppensystem:authenticated:oauth

Wir müssen die entfernen Selbstversorger Clusterrolle aus der Gruppe system:authentifiziert:oauth:

 oc-Patch-Cluster-Rollenbindung.rbac-Selbstversorger -p '"subjects": null'

Sie sollten eine Ausgabe wie unten erhalten:

Clusterrollenbindung.rbac.Genehmigung.k8s.io/Self-Provisioner gepatcht

Wenn die Rollenbindung des Self-Provisioners-Clusters die Self-Provisioner-Rolle an mehr Benutzer, Gruppen oder Dienstkonten bindet als die system:authentifiziert:oauth Gruppe, führen Sie den folgenden Befehl aus:

 oc adm policy \ remove-cluster-role-from-group self-provisioner \ system:authenticated:oauth

Sie können den Patch direkt mit dem folgenden Befehl anwenden:

oc-Patch-Cluster-Rollenbindung.rbac self-provisioners -p ' "metadata":  "annotations":  "rbac.Genehmigung.Kubernetes.io/autoupdate": "false"   '

Bestätigen Sie den Inhalt der Clusterrollenbindung der Self-Provider:

oc Clusterrollenbindung bearbeiten.rbac-Selbstversorger

Der Wert sollte jetzt auf eingestellt sein falsch.

… Metadaten: Anmerkungen: rbac.Genehmigung.Kubernetes.io/autoupdate: "falsch„… 

Melden Sie sich als authentifizierter Benutzer an und überprüfen Sie, ob er ein Projekt nicht mehr selbst bereitstellen kann:

$ oc new-project test Fehler vom Server (Forbidden): Sie können kein neues Projekt über diese API anfordern.

Passen Sie die Projektanfragenachricht auf OpenShift an

Wir müssen die Nachricht anpassen, die OpenShift-Benutzer erhalten, wenn sie versuchen, Projekte über die CLI oder die Webkonsole zu erstellen.

Von CLI

Melden Sie sich als Benutzer mit . an Cluster-Admin Berechtigungen und bearbeiten Sie die Projekt.Konfiguration.offene Schicht.io/cluster Ressource:

$ oc Projekt bearbeiten.Konfiguration.offene Schicht.io/cluster 

Aktualisieren Sie die projectRequestMessage Parameter mit dem Wert für Ihre benutzerdefinierte Nachricht:

projectRequestMessage: "Um ein Projekt anzufordern, wenden Sie sich an das OpenShift-Admin-Team unter [email protected]"

Vom Web-Dashboard

Öffnen Sie die OpenShift-Webkonsole und navigieren Sie zum Verwaltung → Cluster-Einstellungen Seite.

Klicken Globale Konfiguration um alle Konfigurationsressourcen anzuzeigen.

Finde den Eintrag für Projekte

Klick auf das YAML um es zu bearbeiten.

projectRequestMessage: "Um ein Projekt anzufordern, wenden Sie sich an das OpenShift-Admin-Team unter [email protected]"

Nachdem Sie die Änderungen gespeichert haben. Benutzer können versuchen, neue Projekte als Entwickler- oder Dienstkonto zu erstellen, und die Anfrage wird nicht bearbeitet. Die Benutzer erhalten die benutzerdefinierte Nachricht, die wir gerade festgelegt haben.

OpenShift-Kurse:

Praktisches OpenShift für Entwickler - Neuer Kurs 2021

Ultimate Openshift (2021) Bootcamp von School of Devops

Mehr zu OpenShift und Kubernetes:

Ceph Persistent Storage für Kubernetes mit Cephfs

Persistenter Speicher für Kubernetes mit Ceph RBD

Top-Minimal-Container-Betriebssysteme zum Ausführen von Kubernetes

So installieren Sie das Kubernetes-Dashboard mit NodePort

So erstellen Sie einen Administratorbenutzer für den Zugriff auf das Kubernetes-Dashboard

Fix mkvirtualenv-Befehl nicht auf Ubuntu gefundenbun
In diesem kurzen Tutorial zeigen wir Ihnen, wie Sie es installieren mkvirtualenv (virtualenvwrapper & virtualenv) auf einem Ubuntu Linux-Rechner. virt...
MongoDB 4 konfigurieren.4 Replikat-Set auf Ubuntu 20.04|18.04|16.04
In diesem Handbuch zeige ich Ihnen, wie Sie das MongoDB Replica Set unter Ubuntu 20 konfigurieren.04|18.04|16.04 Server. MongoDB ist ein NoSQL-Datenba...
Was ist eine DLL-Datei und wie wird sie geöffnet?
Wenn Sie ein Windows-Benutzer sind, sind wir ziemlich sicher, dass ein Fehler aufgetreten ist, der Ihnen mitteilt, dass eine DLL-Datei fehlt. Und es i...