Stratégies pour Kubernetes Engine (OKE)

Indique comment autoriser la récupération après sinistre à gérer le moteur Kubernetes (OKE) faisant partie de la pile d'applications.

Stratégie pour l'accès au bucket Object Storage à partir d'OKE :

Cette stratégie permet au service Full Stack DR d'accéder au bucket Object Storage pour télécharger la sauvegarde de configuration. La stratégie d'accès au bucket Object Storage à partir du cluster OKE dépend du type de cluster.

Pool de noeuds géré :

Créer un groupe dynamique <cluster1_dg> avec

All {instance.compartment.id = '<compartment_ocid>'}

Créer une stratégie:

Allow dynamic-group cluster1_dg to manage object-family in compartment <compartment>
Allow dynamic-group cluster1_dg to manage cluster-family in compartment <compartment>

Pool de noeuds virtuels :

Créez les stratégies suivantes :

Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-reader',
request.principal.cluster_id = '<Cluster_OCID>'}
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-creator',
request.principal.cluster_id = '<Cluster_OCID>'}

Ces stratégies permettent aux pods exécutés dans l'espace de noms brie avec le compte de service brie-reader ou brie-creator de lire et d'écrire dans le bucket Object Storage.

Stratégie pour l'instance de conteneur :

Cette stratégie permet aux instances de conteneur d'exécution créées par le service Full Stack DR d'accéder au cluster OKE et au bucket Object Storage. Créer un groupe dynamique <bastion1_dg> avec

All {resource.type='computecontainerinstance'}

Créer une stratégie:

Allow dynamic-group bastion1_dg to manage object-family in compartment <compartment>
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>

Stratégie pour l'hôte de saut

Si vous utilisez un hôte de saut, cette stratégie permet à Full Stack DR d'accéder au cluster OKE et aux buckets Object Storage.

Si l'hôte et le cluster de saut se trouvent dans le même compartiment, vous pouvez éviter les étapes de création d'un groupe dynamique et d'une stratégie pour fournir l'accès au bucket Object Storage.

Créer un groupe dynamique <bastion1_dg> avec

All {instance.compartment.id = '<compartment_ocid>'}

Créer une stratégie:

Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Allow dynamic-group bastion1_dg to manage cluster in compartment
    <compartment>

Si vous ne disposez pas d'un hôte de saut et que vous avez besoin d'une instance de conteneur de lancement, créez la stratégie suivante :

Allow group <> to manage compute-container-family in compartment <cluster_compartment>
Allow group <> to use virtual-network-family in compartment <cluster_network_compartment>
Allow group <> to read repos in tenancy

Rubriques connexes

Configuration de stratégies pour la création et le déploiement de clusters

Rubrique parent : Stratégies pour les autres services gérés par Full Stack Disaster Recovery

Documentation Oracle Cloud Infrastructure

Stratégies pour Kubernetes Engine (OKE)