Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

6.5. 启用和限制自提供的项目 Per Service Account

默认情况下,服务帐户无法创建项目。但是,管理员可以为每个服务帐户启用此功能,给定服务帐户请求的自助置备项目数量可使用 ProjectRequestLimit准入控制插件来限制

注意

如果服务帐户被允许创建项目,则您无法信任上放置的任何标签,因为项目编辑器可以操作这些标签。

  1. 如果服务帐户不存在,在项目中创建服务帐户:

    $ oc create sa <sa_name>
  2. 以具有 cluster-admin 权限的用户身份,将 self-provisioner 集群角色添加到服务帐户:

    $ oc adm policy \
        add-cluster-role-to-user self-provisioner \
        system:serviceaccount:<project>:<sa_name>
  3. 编辑 /etc/origin/master/master-config.yaml 中的 master 配置文件,并将 ProjectRequestLimit 部分中的 maxProjectsForServiceAccounts 参数值设置为任何给定 self-provisioner-enabled 服务帐户可以创建的最大项目数。

    例如,以下配置为每个服务帐户设置三个项目的全局限值:

    admissionConfig:
      pluginConfig:
        ProjectRequestLimit:
          configuration:
            apiVersion: v1
            kind: ProjectRequestLimitConfig
            maxProjectsForServiceAccounts: 3
  4. 保存更改后,重启 OpenShift Container Platform 以使更改生效:

    # master-restart api
    # master-restart controllers
  5. 以服务帐户身份登录并创建新项目,验证是否已应用您的更改。

    1. 使用其令牌作为服务帐户登录:

      $ oc login --token <token>
    2. 创建一个新项目

      $ oc new-project <project_name>