$ oc apply -f - <<EOF
apiVersion: sharedresource.openshift.io/v1alpha1
kind: SharedSecret
metadata:
name: my-share
spec:
secretRef:
name: <name of secret>
namespace: <namespace of secret>
EOF- 文档
- OpenShift Container Platform
- 存储
- 使用容器存储接口 (CSI)
- 共享资源 CSI 驱动程序操作符 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上安装具有自定义设置的集群
- 在 GCP 上安装具有网络自定义设置的集群
- 在 GCP 的受限网络中安装集群
- 将集群安装到 GCP 中的现有 VPC
- 将集群安装到 GCP 中的共享 VPC
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板将集群安装到 GCP 中的共享 VPC
- 在具有用户预配基础设施的受限网络中,在 GCP 上安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud(经典版)上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备安装在 OpenStack 上使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装具有自定义设置的集群
- 在您自己的基础设施上的 OpenStack 上安装集群
- 在 OpenStack 受限网络中安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用 rootVolume 和本地磁盘上的 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础设施卸载 OpenStack 上的集群
- OpenStack 的安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中使用 IBM Z 和 IBM LinuxONE 创建具有多架构计算机器的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理集群
- 使用多架构调整运算符管理多架构集群上的工作负载
- 多架构调整运算符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 准备用户
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和说明
- 合规性 Operator
- 文件完整性 Operator
- 安全配置文件 Operator
- NBDE Tang Server Operator
- 适用于 Red Hat OpenShift 的 cert-manager Operator
- 适用于 Red Hat OpenShift 的 cert-manager Operator 概述
- 适用于 Red Hat OpenShift 的 cert-manager Operator 发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager Operator
- 配置出站代理
- 使用 cert-manager Operator API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager Operator
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用 cert-manager 运算符保护 Red Hat OpenShift 的路由
- 监控 Red Hat OpenShift 的 cert-manager 运算符
- 配置 cert-manager 和 Red Hat OpenShift 的 cert-manager 运算符的日志级别
- 卸载 Red Hat OpenShift 的 cert-manager 运算符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 了解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络运算符
- 网络安全
- 配置 Ingress 控制器以进行手动 DNS 管理
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控制和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义PKI
- OpenStack上的负载均衡
- 使用MetalLB进行负载均衡
- 将辅助接口指标与网络附件关联
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置CSI卷
- CSI内联临时卷
- 共享资源 CSI 驱动程序操作符
- CSI卷快照
- CSI卷克隆
- 管理默认存储类
- CSI自动迁移
- 非正常节点关机后分离CSI卷
- AWS Elastic Block Store CSI驱动程序操作符
- AWS Elastic File Service CSI驱动程序操作符
- Azure Disk CSI驱动程序操作符
- Azure File CSI驱动程序操作符
- Azure Stack Hub CSI驱动程序操作符
- GCP PD CSI驱动程序操作符
- GCP Filestore CSI驱动程序操作符
- IBM Cloud块存储 (VPC) CSI驱动程序操作符
- IBM Power虚拟服务器块存储CSI驱动程序操作符
- OpenStack Cinder CSI驱动程序操作符
- OpenStack Manila CSI驱动程序操作符
- Secrets Store CSI驱动程序操作符
- CIFS/SMB CSI驱动程序操作符
- VMware vSphere CSI驱动程序操作符
- 通用临时卷
- 扩展持久卷
- 动态配置
- 注册表
- 操作符
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和守护程序集
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表板
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观测性
- 可扩展性和性能
- 边缘计算
- 网络远边缘的挑战
- 为 ZTP 准备中心集群
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 针对 vDU 应用程序工作负载推荐的单节点 OpenShift 集群配置
- 验证 vDU 应用程序工作负载的集群调优
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 为单节点 OpenShift 部署预缓存镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第二日运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和恢复
- 从版本 3 迁移到 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- 控制台插件 [console.openshift.io/v1]
- 控制台快速入门 [console.openshift.io/v1]
- 控制台示例 [console.openshift.io/v1]
- 控制台YAML示例 [console.openshift.io/v1]
- 扩展API
- 镜像API
- 机器API
- 关于机器API
- 容器运行时配置 [machineconfiguration.openshift.io/v1]
- 控制器配置 [machineconfiguration.openshift.io/v1]
- 控制平面机器集 [machine.openshift.io/v1]
- Kubelet配置 [machineconfiguration.openshift.io/v1]
- 机器配置 [machineconfiguration.openshift.io/v1]
- 机器配置池 [machineconfiguration.openshift.io/v1]
- 机器健康检查 [machine.openshift.io/v1beta1]
- 机器 [machine.openshift.io/v1beta1]
- 机器集 [machine.openshift.io/v1beta1]
- 元数据API
- 监控API
- 关于监控API
- Alertmanager [monitoring.coreos.com/v1]
- Alertmanager配置 [monitoring.coreos.com/v1beta1]
- 告警重标记配置 [monitoring.openshift.io/v1]
- 告警规则 [monitoring.openshift.io/v1]
- Pod监控 [monitoring.coreos.com/v1]
- 探针 [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- Prometheus规则 [monitoring.coreos.com/v1]
- 服务监控 [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- 节点指标 [metrics.k8s.io/v1beta1]
- Pod指标 [metrics.k8s.io/v1beta1]
- 网络API
- 关于网络API
- 管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 基于策略的管理员外部路由 [k8s.ovn.org/v1]
- 基线管理员网络策略 [policy.networking.k8s.io/v1alpha1]
- 云私有IP配置 [cloud.network.openshift.io/v1]
- 出口防火墙 [k8s.ovn.org/v1]
- 出口IP [k8s.ovn.org/v1]
- 出口QoS [k8s.ovn.org/v1]
- 出口服务 [k8s.ovn.org/v1]
- 端点 [undefined/v1]
- 端点切片 [discovery.k8s.io/v1]
- 出口路由器 [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- Ingress类 [networking.k8s.io/v1]
- IP池 [whereabouts.cni.cncf.io/v1alpha1]
- 多网络策略 [k8s.cni.cncf.io/v1beta1]
- 网络附件定义 [k8s.cni.cncf.io/v1]
- 网络策略 [networking.k8s.io/v1]
- 重叠范围IP预留 [whereabouts.cni.cncf.io/v1alpha1]
- Pod网络连接检查 [controlplane.operator.openshift.io/v1alpha1]
- 路由 [route.openshift.io/v1]
- 服务 [undefined/v1]
- 节点API
- OAuth API
- Operator API
- 关于Operator API
- 身份验证 [operator.openshift.io/v1]
- 云凭据 [operator.openshift.io/v1]
- 集群CSIDriver [operator.openshift.io/v1]
- 控制台 [operator.openshift.io/v1]
- 配置 [operator.openshift.io/v1]
- 配置 [imageregistry.operator.openshift.io/v1]
- 配置 [samples.operator.openshift.io/v1]
- CSISnapshot控制器 [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNS记录 [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理器 [imageregistry.operator.openshift.io/v1]
- Ingress控制器 [operator.openshift.io/v1]
- Insights Operator [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorage版本迁移器 [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- Operator PKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub API
- 关于OperatorHub API
- 目录源 [operators.coreos.com/v1alpha1]
- 集群服务版本 [operators.coreos.com/v1alpha1]
- 安装计划 [operators.coreos.com/v1alpha1]
- OLM配置 [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- Operator状态 [operators.coreos.com/v2]
- Operator组 [operators.coreos.com/v1]
- 包清单 [packages.operators.coreos.com/v1]
- 订阅 [operators.coreos.com/v1alpha1]
- 策略API
- 项目API
- 供应API
- 关于供应API
- BMCEvent订阅 [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC API
- 角色API
- 调度和配额API
- 安全API
- 关于安全API
- 证书签名请求 [certificates.k8s.io/v1]
- 凭据请求 [cloudcredential.openshift.io/v1]
- Pod 安全策略审查 [security.openshift.io/v1]
- Pod 安全策略自身主体审查 [security.openshift.io/v1]
- Pod 安全策略主体审查 [security.openshift.io/v1]
- 范围分配 [security.openshift.io/v1]
- 密钥 [undefined/v1]
- 安全上下文约束 [security.openshift.io/v1]
- 服务账号 [undefined/v1]
- 存储 API
- 关于存储 API
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSI存储容量 [storage.k8s.io/v1]
- 持久卷 [undefined/v1]
- 持久卷声明 [undefined/v1]
- 存储类 [storage.k8s.io/v1]
- 存储状态 [migration.k8s.io/v1alpha1]
- 存储版本迁移 [migration.k8s.io/v1alpha1]
- 卷附加 [storage.k8s.io/v1]
- 卷快照 [snapshot.storage.k8s.io/v1]
- 卷快照类 [snapshot.storage.k8s.io/v1]
- 卷快照内容 [snapshot.storage.k8s.io/v1]
- 模板 API
- 用户和组 API
- 工作负载 API
- 关于工作负载 API
- 构建配置 [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- 定时作业 [batch/v1]
- 守护进程集 [apps/v1]
- 部署 [apps/v1]
- 部署配置 [apps.openshift.io/v1]
- 部署配置回滚 [apps.openshift.io/v1]
- 部署日志 [apps.openshift.io/v1]
- 部署请求 [apps.openshift.io/v1]
- 作业 [batch/v1]
- Pod [undefined/v1]
- 复制控制器 [undefined/v1]
- 副本集 [apps/v1]
- 有状态集 [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联邦
- 扩展
- OpenShift 服务网格控制台插件
- 适用于 2.1 的 3scale WebAssembly
- 适用于 2.0 的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
共享资源 CSI 驱动程序操作符
|
共享资源CSI驱动程序功能现已在Red Hat OpenShift 1.1构建中普遍可用。此功能现已在OpenShift Container Platform中弃用。要使用此功能,请确保您使用的是Red Hat OpenShift 1.1构建或更高版本。 |
作为集群管理员,您可以使用OpenShift Container Platform中的共享资源CSI驱动程序来配置包含Secret或ConfigMap对象内容的内联临时卷。这样,公开卷挂载的Pod和其他Kubernetes类型以及OpenShift Container Platform构建就可以安全地在集群中任何命名空间中使用这些对象的内容。为此,目前有两种类型的共享资源:用于Secret对象的SharedSecret自定义资源和用于ConfigMap对象的SharedConfigMap自定义资源。
|
要启用共享资源CSI驱动程序,您必须使用特性门启用特性。 |
关于CSI
存储供应商传统上将存储驱动程序作为Kubernetes的一部分提供。通过容器存储接口 (CSI) 的实现,第三方提供商可以使用标准接口交付存储插件,而无需更改核心Kubernetes代码。
CSI Operators为OpenShift Container Platform用户提供了诸如卷快照之类的存储选项,而这些选项在树内卷插件中是不可能的。
跨命名空间共享密钥
要在集群中跨命名空间共享密钥,您可以为要共享的Secret对象创建一个SharedSecret自定义资源 (CR) 实例。
先决条件
您必须具有执行以下操作的权限
-
在集群范围级别创建
sharedsecrets.sharedresource.openshift.io自定义资源定义 (CRD) 的实例。 -
管理集群中命名空间的 roles 和 role bindings,以控制哪些用户可以获取、列出和监视这些实例。
-
管理 roles 和 role bindings,以控制Pod指定的Service Account是否可以挂载引用要使用的
SharedSecretCR实例的容器存储接口 (CSI) 卷。 -
访问包含要共享的密钥的命名空间。
步骤
-
为要在集群中跨命名空间共享的
Secret对象创建一个SharedSecretCR 实例
在Pod中使用SharedSecret实例
要从Pod访问SharedSecret自定义资源 (CR) 实例,您可以授予给定的Service Account使用该SharedSecret CR实例的RBAC权限。
先决条件
-
您已为要在集群中跨命名空间共享的密钥创建了
SharedSecretCR 实例。 -
您必须具有执行以下操作的权限
-
通过输入
oc get sharedsecrets命令并获得非空列表来发现可用的SharedSecretCR实例。 -
确定Pod指定的Service Account是否允许使用给定的
SharedSecretCR实例。也就是说,您可以运行oc adm policy who-can use <特定SharedSecret的标识符>来查看您的命名空间中的Service Account是否列出。 -
确定Pod指定的Service Account是否允许使用
csi卷,或者您(作为直接创建Pod的请求用户)是否允许使用csi卷。有关详细信息,请参阅“了解和管理Pod安全准入”。
-
|
如果此列表中的最后两个先决条件均未满足,请创建或请求其他人创建必要的基于角色的访问控制 (RBAC),以便您可以发现 |
步骤
-
使用带有YAML内容的
oc apply命令授予给定的Service Account使用其Pod中的SharedSecretCR实例的RBAC权限目前,
kubectl和oc具有硬编码的特殊情况逻辑,将use动词限制在围绕Pod安全的 roles 上。因此,您不能使用oc create role …来创建使用SharedSecretCR实例所需的 role。$ oc apply -f - <<EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: shared-resource-my-share namespace: my-namespace rules: - apiGroups: - sharedresource.openshift.io resources: - sharedsecrets resourceNames: - my-share verbs: - use EOF -
使用
oc命令创建与 role 关联的RoleBinding$ oc create rolebinding shared-resource-my-share --role=shared-resource-my-share --serviceaccount=my-namespace:builder -
从Pod访问
SharedSecretCR实例$ oc apply -f - <<EOF kind: Pod apiVersion: v1 metadata: name: my-app namespace: my-namespace spec: serviceAccountName: default # containers omitted …. Follow standard use of ‘volumeMounts’ for referencing your shared resource volume volumes: - name: my-csi-volume csi: readOnly: true driver: csi.sharedresource.openshift.io volumeAttributes: sharedSecret: my-share EOF
跨命名空间共享ConfigMap
要在集群中跨命名空间共享ConfigMap,您可以为该ConfigMap创建一个SharedConfigMap自定义资源 (CR) 实例。
先决条件
您必须具有执行以下操作的权限
-
在集群范围级别创建
sharedconfigmaps.sharedresource.openshift.io自定义资源定义 (CRD) 的实例。 -
管理集群中命名空间的 roles 和 role bindings,以控制哪些用户可以获取、列出和监视这些实例。
-
管理集群中命名空间的 roles 和 role bindings,以控制挂载容器存储接口 (CSI) 卷的Pod中的哪些Service Account可以使用这些实例。
-
访问包含要共享的密钥的命名空间。
步骤
-
为要在集群中跨命名空间共享的ConfigMap创建一个
SharedConfigMapCR 实例$ oc apply -f - <<EOF apiVersion: sharedresource.openshift.io/v1alpha1 kind: SharedConfigMap metadata: name: my-share spec: configMapRef: name: <name of configmap> namespace: <namespace of configmap> EOF
在Pod中使用SharedConfigMap实例
后续步骤
要从Pod访问SharedConfigMap自定义资源 (CR) 实例,您可以授予给定的Service Account使用该SharedConfigMap CR实例的RBAC权限。
先决条件
-
您已为要在集群中跨命名空间共享的ConfigMap创建了
SharedConfigMapCR 实例。 -
您必须具有执行以下操作的权限
-
通过输入
oc get sharedconfigmaps命令并获得非空列表来发现可用的SharedConfigMapCR实例。 -
确定Pod指定的Service Account是否允许使用给定的
SharedSecretCR实例。也就是说,您可以运行oc adm policy who-can use <特定SharedSecret的标识符>来查看您的命名空间中的Service Account是否列出。 -
确定Pod指定的Service Account是否允许使用
csi卷,或者您(作为直接创建Pod的请求用户)是否允许使用csi卷。有关详细信息,请参阅“了解和管理Pod安全准入”。
-
|
如果此列表中的最后两个先决条件均未满足,请创建或请求其他人创建必要的基于角色的访问控制 (RBAC),以便您可以发现 |
步骤
-
使用包含 YAML 内容的
oc apply命令,授予给定的服务账户 RBAC 权限,以便其 Pod 使用SharedConfigMapCR 实例。目前,
kubectl和oc具有硬编码的特殊情况逻辑,将use动词限制在围绕 Pod 安全性的角色上。因此,您无法使用oc create role …创建使用SharedConfigMapCR 实例所需的 role。$ oc apply -f - <<EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: shared-resource-my-share namespace: my-namespace rules: - apiGroups: - sharedresource.openshift.io resources: - sharedconfigmaps resourceNames: - my-share verbs: - use EOF -
使用
oc命令创建与 role 关联的RoleBindingoc create rolebinding shared-resource-my-share --role=shared-resource-my-share --serviceaccount=my-namespace:builder -
从 Pod 访问
SharedConfigMapCR 实例$ oc apply -f - <<EOF kind: Pod apiVersion: v1 metadata: name: my-app namespace: my-namespace spec: serviceAccountName: default # containers omitted …. Follow standard use of ‘volumeMounts’ for referencing your shared resource volume volumes: - name: my-csi-volume csi: readOnly: true driver: csi.sharedresource.openshift.io volumeAttributes: sharedConfigMap: my-share EOF
共享资源 CSI 驱动程序的其他支持限制
共享资源 CSI 驱动程序具有以下值得注意的限制
-
该驱动程序受容器存储接口 (CSI) 内联临时卷的限制。
-
readOnly字段的值必须为true。在创建Pod时,如果readOnly为false,则验证准入 Webhook 会拒绝 Pod 创建。如果由于某种原因无法联系验证准入 Webhook,则在 Pod 启动期间进行卷置备时,驱动程序会向 kubelet 返回错误。要求readOnly为true符合上游 Kubernetes CSI 驱动程序为关联卷应用 SELinux 标签的建议最佳实践。 -
驱动程序会忽略
FSType字段,因为它只支持tmpfs卷。 -
驱动程序会忽略
NodePublishSecretRef字段。相反,它使用带有use动词的SubjectAccessReviews来评估 Pod 是否可以获取包含SharedSecret或SharedConfigMap自定义资源 (CR) 实例的卷。 -
您无法创建名称以
openshift开头的SharedSecret或SharedConfigMap自定义资源 (CR) 实例。
关于共享资源 Pod 卷上 VolumeAttributes 的更多详细信息
|
共享资源CSI驱动程序功能现已在Red Hat OpenShift 1.1构建中普遍可用。此功能现已在OpenShift Container Platform中弃用。要使用此功能,请确保您使用的是Red Hat OpenShift 1.1构建或更高版本。 |
以下属性会以各种方式影响共享资源 Pod 卷
-
volumeAttributes属性中的refreshResource属性。 -
共享资源 CSI 驱动程序配置中的
refreshResources属性。 -
volumeAttributes属性中的sharedSecret和sharedConfigMap属性。
refreshResource 属性
共享资源 CSI 驱动程序会遵守 volumeAttributes 属性中卷的 refreshResource 属性。此属性控制在卷作为 Pod 启动的一部分初始置备**之后**,是否将基础 Secret 或 ConfigMap 对象内容的更新复制到卷中。refreshResource 的默认值为 true,这意味着内容会更新。
|
如果共享资源 CSI 驱动程序配置已禁用共享 |
refreshResources 属性
您可以使用全局开关来启用或禁用共享资源的刷新。此开关是共享资源 CSI 驱动程序的 csi-driver-shared-resource-config ConfigMap 中的 refreshResources 属性,您可以在 openshift-cluster-csi-drivers 命名空间中找到它。如果将此 refreshResources 属性设置为 false,则在卷的初始置备之后,不会更新存储在卷中的任何 Secret 或 ConfigMap 对象相关内容。
|
使用此共享资源 CSI 驱动程序配置禁用刷新会影响使用共享资源 CSI 驱动程序的集群的所有卷挂载,而不管这些卷的 |
在为 Pod 置备共享资源卷之前验证 volumeAttributes
在单个卷的 volumeAttributes 中,必须将 sharedSecret 或 sharedConfigMap 属性设置为 SharedSecret 或 SharedConfigMap CS 实例的值。否则,在 Pod 启动期间置备卷时,验证会检查该卷的 volumeAttributes,并在以下情况下向 kubelet 返回错误
-
sharedSecret和sharedConfigMap属性都指定了值。 -
sharedSecret和sharedConfigMap属性均未指定值。 -
sharedSecret或sharedConfigMap属性的值与集群中SharedSecret或SharedConfigMapCR 实例的名称不对应。
共享资源、Insights Operator 和 OpenShift Container Platform 构建之间的集成
共享资源、Insights Operator 和 OpenShift Container Platform 构建之间的集成简化了在 OpenShift Container Platform 构建中使用 Red Hat 订阅(RHEL 授权)的过程。
以前,在 OpenShift Container Platform 4.9.x 和更早版本中,您需要手动导入凭据并将它们复制到运行构建的每个项目或命名空间。
现在,在 OpenShift Container Platform 4.10 及更高版本中,OpenShift Container Platform 构建可以通过引用共享资源和 Insights Operator 提供的简单内容访问功能来使用 Red Hat 订阅(RHEL 授权)。
-
简单内容访问功能会将您的订阅凭据导入到众所周知的
Secret对象中。请参阅以下“其他资源”部分中的链接。 -
集群管理员会在该
Secret对象周围创建一个SharedSecret自定义资源 (CR) 实例,并向特定项目或命名空间授予权限。特别是,集群管理员会授予builder服务帐户使用该SharedSecretCR 实例的权限。 -
在这些项目或命名空间中运行的构建可以挂载引用
SharedSecretCR 实例及其授权的 RHEL 内容的 CSI 卷。