Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

10.7. ポリシー定義の更新

クラスターのアップグレード時に、また任意のマスターの再起動時は常に、デフォルトのクラスターロール が欠落しているパーミッションを復元するために自動的に調整されます。

デフォルトクラスターロールをカスタマイズしており、ロールの調整によってそれらが変更されないようにするには、以下を実行します。

  1. 各ロールを調整から保護します。

    $ oc annotate clusterrole.rbac <role_name> --overwrite rbac.authorization.kubernetes.io/autoupdate=false
    警告

    この設定を含むロールがアップグレード後に新規または必須のパーミッションを組み込むように手動で更新する必要があります。

  2. デフォルトのブートストラップポリシーテンプレートを生成します。

    $ oc adm create-bootstrap-policy-file --filename=policy.json
    注記

    ファイルの内容は OpenShift Container Platform バージョンによって異なりますが、ファイルにはデフォルトポリシーのみが含まれます。

  3. policy.json ファイルを、クラスターロールのカスタマイズを組み込むように更新します。
  4. ポリシーを使用し、調整から保護されていないロールおよびロールバインディングを自動的に調整します。

    $ oc auth reconcile -f policy.json
  5. SCC (Security Context Constraints) を調整します。

    # oc adm policy reconcile-sccs \
        --additive-only=true \
        --confirm