Voraussetzungen für das Deployment des OCI Native Ingress Controller als Cluster-Add-on

Der native OCI-Ingress-Controller erfordert Berechtigungen für den Zugriff auf Ressourcen, die von anderen Oracle Cloud Infrastructure-Services (wie dem Load-Balancer-Service und dem Certificates-Service) erstellt wurden. Sie erteilen dieselben Berechtigungen, unabhängig davon, ob Sie den nativen OCI-Ingress-Controller als eigenständiges Programm oder als Cluster-Add-on installieren. Und die Berechtigungen sind identisch, unabhängig davon, ob Sie einen Instanz-Principal, einen Benutzer-Principal oder einen Workload-Identitäts-Principal für den nativen OCI-Ingress-Controller eingerichtet haben. Die Art und Weise, wie Sie diese Berechtigungen erteilen, hängt jedoch von dem von Ihnen eingerichteten Principal-Typ ab:

• Bei der Verwendung von Instanz-Principals erbt der native OCI-Ingress-Controller die Berechtigungen, die der Instanz erteilt wurden, auf der er über eine dynamische Gruppe ausgeführt wird, zu der die Instanz gehört. Informationen zum Erstellen der dynamischen Gruppe für Instanz-Principals finden Sie unter Instanz-Principals zum Aktivieren des Zugriffs auf OCI-Services und -Ressourcen verwenden.
• Bei der Verwendung von Benutzer-Principals erbt der native OCI-Ingress-Controller die Berechtigungen, die einem Benutzer über eine Gruppe erteilt wurden, zu der der der Benutzer gehört. Informationen zum Erstellen des Benutzers und der Gruppe für Benutzer-Principals finden Sie unter Benutzer-Principals zum Aktivieren des Zugriffs auf OCI-Services und -Ressourcen verwenden.
• Bei der Verwendung von Workload-Identitäts-Principals erbt der native OCI-Ingress-Controller die Berechtigungen, die einer Workload erteilt wurden, die auf einem angegebenen Cluster ausgeführt wird, im Kubernetes-Serviceaccount und Namespace, der während der Installation für den nativen OCI-Ingress-Controller erstellt wurde. Weitere Informationen finden Sie unter Workload-Identitäts-Principals verwenden, um den Zugriff auf OCI-Services und -Ressourcen zu ermöglichen.

Um Berechtigungen für den nativen Ingress-Controller von OCI einzurichten, erstellen Sie eine Policy für die Gruppe (im Fall von Benutzer-Principals), für die dynamische Gruppe (im Fall von Instanz-Principals) oder für die Workload (im Fall von Workload-Identitäts-Principals) mit Policy-Anweisungen für den Zugriff auf OCI-Services und -Ressourcen:

1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
2. Folgen Sie den Anweisungen unter So erstellen Sie eine Policy, und geben Sie der Policy einen Namen (Beispiel: acme-oke-native-ingress-controller-policy).

3. Wenn Sie Instanz-Principals oder Benutzer-Principals verwenden, geben Sie Policy-Anweisungen ein, um den Zugriff auf die OCI-Services und -Ressourcen zuzulassen, die vom nativen OCI-Ingress-Controller verwendet werden, in folgendem Format:

   Allow <group|dynamic-group> <subject-name> to <verb> <resource> in <location>   
   

   Hierbei gilt:

   • <group|dynamic-group> ist entweder group (im Fall von Benutzer-Principals) oder dynamic-group (im Fall von Instanz-Principals)
   • <subject-name> ist entweder der Name der Gruppe (im Fall von Benutzer-Principals) oder der Name der dynamischen Gruppe (im Fall von Instanz-Principals). Beispiel: acme-oke-nat-ing-cont-dyn-grp. Wenn eine Gruppe oder dynamische Gruppe nicht in der Standardidentitätsdomain enthalten ist, stellen Sie dem Namen der Gruppe oder dynamischen Gruppe den Namen der Identitätsdomain im Format <group|dynamic-group> '<identity-domain-name>'/'<group-name|dynamic-group-name>' voran. Sie können auch eine Gruppe oder dynamische Gruppe mit ihrer OCID im Format group id <group-ocid> oder dynamic-group id <dynamic-group-ocid> angeben.
   • <verb> <resource> ist eine der folgenden Optionen (alle sind in separaten Policy-Anweisungen erforderlich):
     • manage load-balancers
     • use virtual-network-family
     • manage cabundles
     • manage cabundle-associations
     • manage leaf-certificates
     • read leaf-certificate-bundles
     • manage leaf-certificate-versions
     • manage certificate-associations
     • read certificate-authorities
     • manage certificate-authority-associations
     • read certificate-authority-bundles
     • read public-ips
     • manage floating-ips
     • manage waf-family
     • read cluster-family
     • use tag-namespaces (nur erforderlich, wenn der native OCI-Ingress-Controller definierte Tags auf Load Balancer anwenden soll. Informationen hierzu finden Sie unter Definierte Tags auf den Load Balancer anwenden)
   • <location> ist eine der folgenden Optionen:
     • tenancy, wenn der native OCI-Ingress-Controller Zugriff auf Ressourcen im gesamten Mandanten haben soll.
     • compartment <compartment-name>, wenn der native OCI-Ingress-Controller nur Zugriff auf Ressourcen im Compartment mit dem Namen haben soll, den Sie als compartment <compartment-name> angeben.

   Beispiel:

   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage load-balancers in compartment acme-oke-cluster-compartment

   Die Syntax für die vollständige Liste der Policy-Anweisungen lautet wie folgt:

   Allow <group|dynamic-group> <subject-name> to manage load-balancers in <location>   
   Allow <group|dynamic-group> <subject-name> to use virtual-network-family in <location>
   Allow <group|dynamic-group> <subject-name> to manage cabundles in <location>
   Allow <group|dynamic-group> <subject-name> to manage cabundle-associations in <location>
   Allow <group|dynamic-group> <subject-name> to manage leaf-certificates in <location>
   Allow <group|dynamic-group> <subject-name> to read leaf-certificate-bundles in <location>
   Allow <group|dynamic-group> <subject-name> to manage leaf-certificate-versions in <location>
   Allow <group|dynamic-group> <subject-name> to manage certificate-associations in <location>
   Allow <group|dynamic-group> <subject-name> to read certificate-authorities in <location>
   Allow <group|dynamic-group> <subject-name> to manage certificate-authority-associations in <location>
   Allow <group|dynamic-group> <subject-name> to read certificate-authority-bundles in <location>
   Allow <group|dynamic-group> <subject-name> to read public-ips in <location>
   Allow <group|dynamic-group> <subject-name> to manage floating-ips in <location>
   Allow <group|dynamic-group> <subject-name> to manage waf-family in <location>
   Allow <group|dynamic-group> <subject-name> to read cluster-family in <location>
   Allow <group|dynamic-group> <subject-name> to use tag-namespaces in <location>

   Beispiel für eine vollständige Liste der Policy-Anweisungen:

   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage load-balancers in compartment acme-oke-cluster-compartment   
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to use virtual-network-family in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage cabundles in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage cabundle-associations in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage leaf-certificates in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to read leaf-certificate-bundles in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage leaf-certificate-versions in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage certificate-associations in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to read certificate-authorities in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage certificate-authority-associations in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to read certificate-authority-bundles in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to read public-ips in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage floating-ips in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to manage waf-family in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to read cluster-family in compartment acme-oke-cluster-compartment
   Allow dynamic-group acme-oke-nat-ing-cont-dyn-grp to use tag-namespaces in compartment acme-oke-cluster-compartment

4. Wenn Sie Workload-Identitäts-Principals verwenden, geben Sie Policy-Anweisungen ein, um den Zugriff auf die OCI-Services und -Ressourcen zuzulassen, die vom nativen OCI-Ingress-Controller verwendet werden, in folgendem Format:

   Allow any-user to <verb> <resource> in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}

   Hierbei gilt:

   • <verb> <resource> ist eine der folgenden Optionen (alle sind in separaten Policy-Anweisungen erforderlich):
     • manage load-balancers
     • use virtual-network-family
     • manage cabundles
     • manage cabundle-associations
     • manage leaf-certificates
     • read leaf-certificate-bundles
     • manage leaf-certificate-versions
     • manage certificate-associations
     • read certificate-authorities
     • manage certificate-authority-associations
     • read certificate-authority-bundles
     • read public-ips
     • manage floating-ips
     • manage waf-family
     • read cluster-family
     • use tag-namespaces (nur erforderlich, wenn der native OCI-Ingress-Controller definierte Tags auf Load Balancer anwenden soll. Informationen hierzu finden Sie unter Definierte Tags auf den Load Balancer anwenden)
   • <location> ist eine der folgenden Optionen:
     • tenancy, wenn der native OCI-Ingress-Controller Zugriff auf Ressourcen im gesamten Mandanten haben soll.
     • compartment <compartment-name>, wenn der native OCI-Ingress-Controller nur Zugriff auf Ressourcen im Compartment mit dem Namen haben soll, den Sie als compartment <compartment-name> angeben.
   • request.principal.namespace = 'native-ingress-controller-system' ist der Name des Namespace, der während der Installation für den nativen Ingress-Controller von OCI erstellt wurde.
   • request.principal.service_account = 'oci-native-ingress-controller' ist der Name des Serviceaccounts, der während der Installation für den nativen Ingress-Controller von OCI erstellt wurde.
   • <cluster-ocid> ist die OCID des Clusters, die Sie zuvor abgerufen haben.

   Beispiel:

   Allow any-user to manage load-balancers in tenancy where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = 'ocid1.cluster.oc1.iad.aaaaaaaa______ska'}

   Die Syntax für die vollständige Liste der Policy-Anweisungen lautet:

   Allow any-user to manage load-balancers in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to use virtual-network-family in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage cabundles in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage cabundle-associations in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage leaf-certificates in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to read leaf-certificate-bundles in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage leaf-certificate-versions in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage certificate-associations in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to read certificate-authorities in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage certificate-authority-associations in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to read certificate-authority-bundles in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to read public-ips in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage floating-ips in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to manage waf-family in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to read cluster-family in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}
   Allow any-user to use tag-namespaces in <location> where all {request.principal.type = 'workload', request.principal.namespace = 'native-ingress-controller-system', request.principal.service_account = 'oci-native-ingress-controller', request.principal.cluster_id = '<cluster-ocid>'}

Der native OCI-Ingress-Controller, unabhängig davon, ob er als Standalone-Programm oder als Cluster-Add-on installiert ist, verwendet Webhooks, um Podbereitschaftsgates in Podspezifikationen zu injizieren. Um die Sicherheit zu gewährleisten, muss der Webhook-Server im HTTPS-Modus ausgeführt werden, für den ein Paar Zertifikate und Schlüssel erforderlich ist. Der native Ingress-Controller von OCI verwendet Certificate Manager (auch als Cert-Manager bezeichnet), um die Zertifikate und Schlüssel für den Webhook-Server zu generieren und zu verwalten. Daher müssen Sie den Cert-Manager auf dem Cluster installieren, um Pod Readiness-Gates zu verwenden.

Unabhängig davon, ob Sie den nativen OCI-Ingress-Controller als eigenständiges Programm oder als Cluster-Add-on installieren, können Sie cert-manager auf zwei Arten installieren und ausführen:

• Sie können cert-manager als Open-Source-Produkt installieren und ausführen, indem Sie Folgendes eingeben:

  kubectl apply -f https://github.com/jetstack/cert-manager/releases/latest/download/cert-manager.yaml

• Sie können cert-manager als Cluster-Add-on installieren und ausführen. Weitere Informationen zur Installation von cert-manager als Cluster-Add-on finden Sie unter Cluster-Add-on installieren.

Weitere Informationen zum cert-Manager finden Sie in der cert-manager.io-Dokumentation.