Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

10.7. 更新策略定义

在集群升级过程中,在所有 master 重启时,会自动协调 默认集群角色 来恢复任何缺少的权限。

如果您自定义默认集群角色并希望确保角色协调不会修改它们:

  1. 保护每个角色免受协调:

    $ oc annotate clusterrole.rbac <role_name> --overwrite rbac.authorization.kubernetes.io/autoupdate=false
    警告

    您必须手动更新包含此设置的角色,以便在升级后包含任何新的或所需的权限。

  2. 生成默认 bootstrap 策略模板文件:

    $ oc adm create-bootstrap-policy-file --filename=policy.json
    注意

    文件的内容因 OpenShift Container Platform 版本而异,但 文件仅包含默认策略。

  3. 更新 policy.json 文件,使其包含任何集群角色自定义。
  4. 使用策略文件自动协调不受协调保护的角色和角色绑定:

    $ oc auth reconcile -f policy.json
  5. 协调安全性上下文约束:

    # oc adm policy reconcile-sccs \
        --additive-only=true \
        --confirm