Policys für Kubernetes Engine (OKE)
Zeigt, wie Sie das Verwalten der Kubernetes-Engine (OKE), die Teil des Anwendungsstacks ist, durch Disaster Recovery (DR) zulassen.
Policy für Objektspeicher-Bucket-Zugriff von OKE:
Mit dieser Policy kann Full Stack DR-Service auf den Objektspeicher-Bucket zugreifen, um ein Konfigurationsbackup hochzuladen. Die Policy für den Objektspeicher-Bucket-Zugriff vom OKE-Cluster hängt vom Clustertyp ab.
Verwalteter Knotenpool:
Erstellen Sie eine dynamische Gruppe <cluster1_dg> mit
All {instance.compartment.id = '<compartment_ocid>'}Policy erstellen:
Allow dynamic-group cluster1_dg to manage object-family in compartment <compartment>
Allow dynamic-group cluster1_dg to manage cluster-family in compartment <compartment>Virtueller Knotenpool:
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-reader',
request.principal.cluster_id = '<Cluster_OCID>'}
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-creator',
request.principal.cluster_id = '<Cluster_OCID>'}Diese Policys geben Pods, die im Brie-Namespace mit dem Serviceaccount brie-reader oder brie-creator ausgeführt werden, zum Lesen und Schreiben in den Objektspeicher-Bucket an.
Policy für Containerinstanz:
Mit dieser Policy können vom Full Stack DR-Service erstellte Laufzeitcontainerinstanzen auf das OKE-Cluster und den Objektspeicher-Bucket zugreifen. Dynamische Gruppe <bastion1_dg> mit
All {resource.type='computecontainerinstance'}
Allow dynamic-group bastion1_dg to manage object-family in compartment <compartment>
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Policy für Jump-Host
Wenn Sie einen Jump-Host verwenden, kann mit dieser Policy Full Stack DR auf das OKE-Cluster und die Objektspeicher-Buckets zugreifen.
Wenn sich Jump-Host und Cluster in demselben Compartment befinden, können Sie Schritte zum Erstellen einer neuen dynamischen Gruppe und Policy vermeiden, um Zugriff auf den Objektspeicher-Bucket zu erteilen.
Dynamische Gruppe <bastion1_dg> mit
All {instance.compartment.id = '<compartment_ocid>'}Policy erstellen:
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Allow dynamic-group bastion1_dg to manage cluster in compartment
<compartment>Wenn Sie keinen Jump-Host haben und eine Startcontainerinstanz benötigen, erstellen Sie die folgende Policy:
Allow group <> to manage compute-container-family in compartment <cluster_compartment>
Allow group <> to use virtual-network-family in compartment <cluster_network_compartment>
Allow group <> to read repos in tenancyVerwandte Themen
Übergeordnetes Thema: Policys für andere von Full Stack Disaster Recovery verwaltete Services