Políticas para Kubernetes Engine (OKE)
Muestra cómo permitir a Disaster Recovery (DR) gestionar Kubernetes Engine (OKE) que forma parte de la pila de aplicaciones.
Políticas para configurar mediante la entidad de recurso
Allow dynamic-group <Dynamic_group_Name> to manage compute-container-family in compartment <cluster_compartment>
Allow dynamic-group <Dynamic_group_Name> to manage object-family in compartment <compartment>
Allow dynamic-group <Dynamic_group_Name> to manage cluster-family in comparment <>
allow dynamic-group <Dynamic_group_Name> to manage cluster-virtualnode-pools in comparment <>
Virtual Node Pool
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-reader',
request.principal.cluster_id = '<Cluster_OCID>'}
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-creator',
request.principal.cluster_id = '<Cluster_OCID>'}
Políticas para configurar mediante la autenticación de usuarios:
Política para el acceso al cubo de Object Storage desde OKE:
Esta política permite al servicio de recuperación ante desastres de pila completa acceder al cubo de almacenamiento de objetos para cargar la copia de seguridad de configuración. La política para el acceso al cubo de Object Storage desde el cluster de OKE depende del tipo de cluster.
Pool de nodos gestionado:
Crear un grupo dinámico <cluster1_dg> con
All {instance.compartment.id = '<compartment_ocid>'}Crear una política:
Allow dynamic-group cluster1_dg to manage object-family in compartment <compartment>
Allow dynamic-group cluster1_dg to manage cluster-family in compartment <compartment>Pool de nodos virtual:
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-reader',
request.principal.cluster_id = '<Cluster_OCID>'}
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-creator',
request.principal.cluster_id = '<Cluster_OCID>'}Estas políticas proporcionan pods que se ejecutan en el espacio de nombres brie con la cuenta de servicio brie-reader o brie-creator para leer y escribir en el cubo de Object Storage.
Política para la instancia de contenedor:
Esta política permite que las instancias de contenedor en tiempo de ejecución creadas por el servicio de recuperación ante desastres de pila completa accedan al cluster de OKE y al cubo de almacenamiento de objetos. Crear un grupo dinámico <bastion1_dg> con
All {resource.type='computecontainerinstance'}
Allow dynamic-group bastion1_dg to manage object-family in compartment <compartment>
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Política para el host de salto
Si utiliza el host de salto, esta política permite que Full Stack DR acceda al cluster de OKE y a los cubos de Object Storage.
Si el host de salto y el cluster están en el mismo compartimento, puede evitar pasos para crear un nuevo grupo dinámico y una política para proporcionar acceso al cubo de Object Storage.
Crear un grupo dinámico <bastion1_dg> con
All {instance.compartment.id = '<compartment_ocid>'}Crear una política:
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Allow dynamic-group bastion1_dg to manage cluster in compartment
<compartment>Si no tiene un host de salto y necesita iniciar una instancia de contenedor, cree la siguiente política:
Allow group <> to manage compute-container-family in compartment <cluster_compartment>
Allow group <> to use virtual-network-family in compartment <cluster_network_compartment>
Allow group <> to read repos in tenancyTemas relacionados