Criteri per Kubernetes Engine (OKE)

Mostra come consentire al recupero in seguito a calamità (DR) di gestire Kubernetes Engine (OKE) che fa parte dello stack di applicazioni.

Criterio per l'accesso al bucket di storage degli oggetti da OKE:

Questo criterio consente al servizio DR Full Stack di accedere al bucket di storage degli oggetti per caricare il backup della configurazione. Il criterio per l'accesso al bucket di storage degli oggetti dal cluster OKE dipende dal tipo di cluster.

Nodepool gestito:

Creare un gruppo dinamico <cluster1_dg> con

All {instance.compartment.id = '<compartment_ocid>'}

Creare un criterio:

Allow dynamic-group cluster1_dg to manage object-family in compartment <compartment>
Allow dynamic-group cluster1_dg to manage cluster-family in compartment <compartment>

Nodepool virtuale:

Creare i criteri riportati di seguito.

Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-reader',
request.principal.cluster_id = '<Cluster_OCID>'}
Allow any-user to manage objects in tenancy where all { request.principal.type = 'workload',
request.principal.namespace = 'brie', request.principal.service_account = 'brie-creator',
request.principal.cluster_id = '<Cluster_OCID>'}

Questi criteri consentono ai pod in esecuzione nello spazio di nomi brie con brie-reader o brie-creator dell'account di servizio di leggere e scrivere nel bucket di storage degli oggetti.

Criterio per l'istanza del contenitore:

Questo criterio consente alle istanze dei container runtime create dal servizio DR Full Stack di accedere al cluster OKE e al bucket di storage degli oggetti. Creare un gruppo dinamico <bastion1_dg> con

All {resource.type='computecontainerinstance'}

Creare un criterio:

Allow dynamic-group bastion1_dg to manage object-family in compartment <compartment>
Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>

Criterio per jump host

Se si utilizza l'host jump, questo criterio consente a Full Stack DR di accedere al cluster OKE e ai bucket di storage degli oggetti.

Se l'host e il cluster jump si trovano nello stesso compartimento, puoi evitare di eseguire passaggi per creare nuovi gruppi dinamici e criteri per fornire accesso al bucket di storage degli oggetti.

Creare un gruppo dinamico <bastion1_dg> con

All {instance.compartment.id = '<compartment_ocid>'}

Creare un criterio:

Allow dynamic-group bastion1_dg to manage cluster-family in compartment <compartment>Allow dynamic-group bastion1_dg to manage cluster in compartment
    <compartment>

Se non si dispone di un host di accesso immediato ed è necessario disporre di un'istanza del contenitore di avvio, creare il criterio seguente:

Allow group <> to manage compute-container-family in compartment <cluster_compartment>
Allow group <> to use virtual-network-family in compartment <cluster_network_compartment>
Allow group <> to read repos in tenancy

Argomenti correlati

Configurazione dei criteri per la creazione e la distribuzione del cluster

Argomento padre: criteri per altri servizi gestiti da Full Stack Disaster Recovery

Documentazione dell'infrastruttura Oracle Cloud

Criteri per Kubernetes Engine (OKE)