Políticas Obrigatórias do Serviço IAM para Usar Nós Virtuais
Saiba mais sobre as políticas do IAM a serem criadas para usar nós virtuais com o Kubernetes Engine (OKE).
Para poder usar nós virtuais, você sempre precisa configurar pelo menos uma política do serviço IAM, que é necessária em todas as circunstâncias pelos administradores da tenancy e pelos usuários não administradores. Para permitir que usuários não administradores usem nós virtuais, você também deve configurar uma política adicional:
-
Obrigatório em todas as circunstâncias, para administradores de tenancy e também para usuários não administradores: Para criar e usar clusters com nós virtuais e pools de nós virtuais, você deve endossar o serviço Kubernetes Engine para permitir que nós virtuais criem instâncias de contêiner na tenancy do serviço Kubernetes Engine com uma VNIC conectada a uma sub-rede de uma VCN em sua tenancy. Crie uma política no compartimento raiz com as seguintes instruções de política, exatamente como mostrado abaixo:
define tenancy ske as ocid1.tenancy.oc1..aaaaaaaacrvwsphodcje6wfbc3xsixhzcan5zihki6bvc7xkwqds4tqhzbaq define compartment ske_compartment as ocid1.compartment.oc1..aaaaaaaa2bou6r766wmrh5zt3vhu2rwdya7ahn4dfdtwzowb662cmtdc5fea endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with subnets in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance',request.principal.subnet=2.subnet.id} endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with vnics in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance',request.principal.subnet=2.subnet.id} endorse any-user to associate compute-container-instances in compartment ske_compartment of tenancy ske with network-security-group in tenancy where ALL {request.principal.type='virtualnode',request.operation='CreateContainerInstance'} -
Também necessário para usuários não administradores: Para criar e usar clusters com nós virtuais e pools de nós virtuais, conceda aos usuários as permissões necessárias. Para conceder essas permissões, crie uma política do serviço IAM com as seguintes instruções de política:
allow group <group-name> to manage cluster-virtualnode-pools in compartment <compartment-name>allow group <group-name> to read virtual-network-family in compartment <compartment-name>allow group <group-name> to manage vnics in compartment <compartment-name>Observe que, se um grupo não estiver no domínio de identidades padrão, coloque o nome do grupo no formato
group '<identity-domain-name>'/'group-name'como prefixo. Você também pode especificar um grupo usando seu OCID, no formatogroup id <group-ocid>.