Jump To Close Expand all Collapse all Table of contents 认证和授权 1. 身份验证和授权概述 Expand section "1. 身份验证和授权概述" Collapse section "1. 身份验证和授权概述" 1.1. 关于 OpenShift Container Platform 中的身份验证 1.2. 关于 OpenShift Container Platform 中的授权 2. 了解身份验证 Expand section "2. 了解身份验证" Collapse section "2. 了解身份验证" 2.1. 用户 2.2. 组 2.3. API 身份验证 Expand section "2.3. API 身份验证" Collapse section "2.3. API 身份验证" 2.3.1. OpenShift Container Platform OAuth 服务器 Expand section "2.3.1. OpenShift Container Platform OAuth 服务器" Collapse section "2.3.1. OpenShift Container Platform OAuth 服务器" 2.3.1.1. OAuth 令牌请求 2.3.1.2. API 模仿 2.3.1.3. Prometheus 身份验证指标 3. 配置内部 OAuth 服务器 Expand section "3. 配置内部 OAuth 服务器" Collapse section "3. 配置内部 OAuth 服务器" 3.1. OpenShift Container Platform OAuth 服务器 3.2. OAuth 令牌请求流量和响应 3.3. 内部 OAuth 服务器选项 Expand section "3.3. 内部 OAuth 服务器选项" Collapse section "3.3. 内部 OAuth 服务器选项" 3.3.1. OAuth 令牌期间选项 3.3.2. OAuth 授权选项 3.4. 配置内部 OAuth 服务器的令牌期间 3.5. 为内部 OAuth 服务器配置令牌不活跃超时 3.6. 自定义内部 OAuth 服务器 URL 3.7. OAuth 服务器元数据 3.8. OAuth API 事件故障排除 4. 配置 OAuth 客户端 Expand section "4. 配置 OAuth 客户端" Collapse section "4. 配置 OAuth 客户端" 4.1. 默认 OAuth 客户端 4.2. 注册其他 OAuth 客户端 4.3. 为 OAuth 客户端配置令牌不活跃超时 4.4. 其他资源 5. 管理用户拥有的 OAuth 访问令牌 Expand section "5. 管理用户拥有的 OAuth 访问令牌" Collapse section "5. 管理用户拥有的 OAuth 访问令牌" 5.1. 列出用户拥有的 OAuth 访问令牌 5.2. 查看用户拥有的 OAuth 访问令牌的详情 5.3. 删除用户拥有的 OAuth 访问令牌 6. 了解身份提供程序配置 Expand section "6. 了解身份提供程序配置" Collapse section "6. 了解身份提供程序配置" 6.1. 关于 OpenShift Container Platform 中的身份提供程序 6.2. 支持的身份提供程序 6.3. 移除 kubeadmin 用户 6.4. 身份提供程序参数 6.5. 身份提供程序 CR 示例 7. 配置身份提供程序 Expand section "7. 配置身份提供程序" Collapse section "7. 配置身份提供程序" 7.1. 配置 HTPasswd 身份提供程序 Expand section "7.1. 配置 HTPasswd 身份提供程序" Collapse section "7.1. 配置 HTPasswd 身份提供程序" 7.1.1. 关于 OpenShift Container Platform 中的身份提供程序 7.1.2. 使用 Linux 创建 HTPasswd 文件 7.1.3. 使用 Windows 创建 HTPasswd 文件 7.1.4. 创建 HTPasswd secret 7.1.5. HTPasswd CR 示例 7.1.6. 将身份提供程序添加到集群中 7.1.7. 为 HTPasswd 身份提供程序更新用户 7.1.8. 使用 web 控制台配置身份提供程序 7.2. 配置 Keystone 身份提供程序 Expand section "7.2. 配置 Keystone 身份提供程序" Collapse section "7.2. 配置 Keystone 身份提供程序" 7.2.1. 关于 OpenShift Container Platform 中的身份提供程序 7.2.2. 创建 secret 7.2.3. 创建配置映射 7.2.4. Keystone CR 示例 7.2.5. 将身份提供程序添加到集群中 7.3. 配置 LDAP 身份提供程序 Expand section "7.3. 配置 LDAP 身份提供程序" Collapse section "7.3. 配置 LDAP 身份提供程序" 7.3.1. 关于 OpenShift Container Platform 中的身份提供程序 7.3.2. 关于 LDAP 身份验证 7.3.3. 创建 LDAP secret 7.3.4. 创建配置映射 7.3.5. LDAP CR 示例 7.3.6. 将身份提供程序添加到集群中 7.4. 配置基本身份验证身份提供程序 Expand section "7.4. 配置基本身份验证身份提供程序" Collapse section "7.4. 配置基本身份验证身份提供程序" 7.4.1. 关于 OpenShift Container Platform 中的身份提供程序 7.4.2. 关于基本身份验证 7.4.3. 创建 secret 7.4.4. 创建配置映射 7.4.5. 基本身份验证 CR 示例 7.4.6. 将身份提供程序添加到集群中 7.4.7. 基本身份供应商的 Apache HTTPD 配置示例 Expand section "7.4.7. 基本身份供应商的 Apache HTTPD 配置示例" Collapse section "7.4.7. 基本身份供应商的 Apache HTTPD 配置示例" 7.4.7.1. 文件要求 7.4.8. 基本身份验证故障排除 7.5. 配置请求标头身份提供程序 Expand section "7.5. 配置请求标头身份提供程序" Collapse section "7.5. 配置请求标头身份提供程序" 7.5.1. 关于 OpenShift Container Platform 中的身份提供程序 7.5.2. 关于请求标头身份验证 Expand section "7.5.2. 关于请求标头身份验证" Collapse section "7.5.2. 关于请求标头身份验证" 7.5.2.1. Microsoft Windows 上的 SSPI 连接支持 7.5.3. 创建配置映射 7.5.4. 请求标头 CR 示例 7.5.5. 将身份提供程序添加到集群中 7.5.6. 使用请求标头进行 Apache 验证的配置示例 7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序 Expand section "7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" Collapse section "7.6. 配置 GitHub 或 GitHub Enterprise 身份提供程序" 7.6.1. 关于 OpenShift Container Platform 中的身份提供程序 7.6.2. 注册 GitHub 应用程序 7.6.3. 创建 secret 7.6.4. 创建配置映射 7.6.5. GitHub CR 示例 7.6.6. 将身份提供程序添加到集群中 7.7. 配置 GitLab 身份提供程序 Expand section "7.7. 配置 GitLab 身份提供程序" Collapse section "7.7. 配置 GitLab 身份提供程序" 7.7.1. 关于 OpenShift Container Platform 中的身份提供程序 7.7.2. 创建 secret 7.7.3. 创建配置映射 7.7.4. GitLab CR 示例 7.7.5. 将身份提供程序添加到集群中 7.8. 配置 Google 身份提供程序 Expand section "7.8. 配置 Google 身份提供程序" Collapse section "7.8. 配置 Google 身份提供程序" 7.8.1. 关于 OpenShift Container Platform 中的身份提供程序 7.8.2. 创建 secret 7.8.3. Google CR 示例 7.8.4. 将身份提供程序添加到集群中 7.9. 配置 OpenID Connect 身份提供程序 Expand section "7.9. 配置 OpenID Connect 身份提供程序" Collapse section "7.9. 配置 OpenID Connect 身份提供程序" 7.9.1. 关于 OpenShift Container Platform 中的身份提供程序 7.9.2. 创建 secret 7.9.3. 创建配置映射 7.9.4. OpenID Connect CR 示例 7.9.5. 将身份提供程序添加到集群中 7.9.6. 使用 web 控制台配置身份提供程序 8. 使用 RBAC 定义和应用权限 Expand section "8. 使用 RBAC 定义和应用权限" Collapse section "8. 使用 RBAC 定义和应用权限" 8.1. RBAC 概述 Expand section "8.1. RBAC 概述" Collapse section "8.1. RBAC 概述" 8.1.1. 默认集群角色 8.1.2. 评估授权 Expand section "8.1.2. 评估授权" Collapse section "8.1.2. 评估授权" 8.1.2.1. 集群角色聚合 8.2. 项目和命名空间 8.3. 默认项目 8.4. 查看集群角色和绑定 8.5. 查看本地角色和绑定 8.6. 向用户添加角色 8.7. 创建本地角色 8.8. 创建集群角色 8.9. 本地角色绑定命令 8.10. 集群角色绑定命令 8.11. 创建集群管理员 9. 移除 kubeadmin 用户 Expand section "9. 移除 kubeadmin 用户" Collapse section "9. 移除 kubeadmin 用户" 9.1. kubeadmin 用户 9.2. 移除 kubeadmin 用户 10. 了解并创建服务帐户 Expand section "10. 了解并创建服务帐户" Collapse section "10. 了解并创建服务帐户" 10.1. 服务帐户概述 10.2. 创建服务帐户 10.3. 为服务帐户授予角色的示例 11. 在应用程序中使用服务帐户 Expand section "11. 在应用程序中使用服务帐户" Collapse section "11. 在应用程序中使用服务帐户" 11.1. 服务帐户概述 11.2. 默认服务帐户 Expand section "11.2. 默认服务帐户" Collapse section "11.2. 默认服务帐户" 11.2.1. 默认集群服务帐户 11.2.2. 默认项目服务帐户和角色 11.3. 创建服务帐户 11.4. 在外部使用服务帐户凭证 12. 使用服务帐户作为 OAuth 客户端 Expand section "12. 使用服务帐户作为 OAuth 客户端" Collapse section "12. 使用服务帐户作为 OAuth 客户端" 12.1. 服务帐户作为 OAuth 客户端 Expand section "12.1. 服务帐户作为 OAuth 客户端" Collapse section "12.1. 服务帐户作为 OAuth 客户端" 12.1.1. 重定向作为 OAuth 客户端的服务帐户的 URI 13. 界定令牌作用域 Expand section "13. 界定令牌作用域" Collapse section "13. 界定令牌作用域" 13.1. 关于界定令牌作用域 Expand section "13.1. 关于界定令牌作用域" Collapse section "13.1. 关于界定令牌作用域" 13.1.1. 用户范围 13.1.2. 角色范围 14. 使用绑定的服务帐户令牌 Expand section "14. 使用绑定的服务帐户令牌" Collapse section "14. 使用绑定的服务帐户令牌" 14.1. 关于绑定服务帐户令牌 14.2. 使用卷投射配置绑定服务帐户令牌 15. 管理安全性上下文约束 Expand section "15. 管理安全性上下文约束" Collapse section "15. 管理安全性上下文约束" 15.1. 关于安全性上下文约束 Expand section "15.1. 关于安全性上下文约束" Collapse section "15.1. 关于安全性上下文约束" 15.1.1. 默认安全性上下文约束 15.1.2. 安全性上下文约束设置 15.1.3. 安全性上下文约束策略 15.1.4. 控制卷 15.1.5. 准入控制 15.1.6. 安全性上下文约束优先级 15.2. 关于预分配安全性上下文约束值 15.3. 安全性上下文约束示例 15.4. 创建安全性上下文约束 15.5. 基于角色的对安全性上下文限制的访问 15.6. 安全性上下文约束命令参考 Expand section "15.6. 安全性上下文约束命令参考" Collapse section "15.6. 安全性上下文约束命令参考" 15.6.1. 列出安全性上下文约束 15.6.2. 检查安全性上下文约束 15.6.3. 删除安全性上下文约束 15.6.4. 更新安全性上下文约束 16. 模拟 system:admin 用户 Expand section "16. 模拟 system:admin 用户" Collapse section "16. 模拟 system:admin 用户" 16.1. API 模仿 16.2. 模拟 system:admin 用户 16.3. 模拟 system:admin 组 17. 同步 LDAP 组 Expand section "17. 同步 LDAP 组" Collapse section "17. 同步 LDAP 组" 17.1. 关于配置 LDAP 同步 Expand section "17.1. 关于配置 LDAP 同步" Collapse section "17.1. 关于配置 LDAP 同步" 17.1.1. 关于 RFC 2307 配置文件 17.1.2. 关于 Active Directory 配置文件 17.1.3. 关于增强 Active Directory 配置文件 17.2. 运行 LDAP 同步 Expand section "17.2. 运行 LDAP 同步" Collapse section "17.2. 运行 LDAP 同步" 17.2.1. 将 LDAP 服务器与 OpenShift Container Platform 同步 17.2.2. 将 OpenShift Container Platform 组与 LDAP 服务器同步 17.2.3. 将 LDAP 服务器上的子组与 OpenShift Container Platform 同步 17.3. 运行组修剪任务 17.4. 自动同步 LDAP 组 17.5. LDAP 组同步示例 Expand section "17.5. LDAP 组同步示例" Collapse section "17.5. LDAP 组同步示例" 17.5.1. 使用 RFC 2307 模式同步组 17.5.2. 使用 RFC2307 模式及用户定义的名称映射来同步组 17.5.3. 使用 RFC 2307 及用户定义的容错来同步组 17.5.4. 使用 Active Directory 模式同步组 17.5.5. 使用增强 Active Directory 模式同步组 Expand section "17.5.5. 使用增强 Active Directory 模式同步组" Collapse section "17.5.5. 使用增强 Active Directory 模式同步组" 17.5.5.1. LDAP 嵌套成员资格同步示例 17.6. LDAP 同步配置规格 Expand section "17.6. LDAP 同步配置规格" Collapse section "17.6. LDAP 同步配置规格" 17.6.1. v1.LDAPSyncConfig 17.6.2. v1.StringSource 17.6.3. v1.LDAPQuery 17.6.4. v1.RFC2307Config 17.6.5. v1.ActiveDirectoryConfig 17.6.6. v1.AugmentedActiveDirectoryConfig 18. 管理云供应商凭证 Expand section "18. 管理云供应商凭证" Collapse section "18. 管理云供应商凭证" 18.1. 关于 Cloud Credential Operator Expand section "18.1. 关于 Cloud Credential Operator" Collapse section "18.1. 关于 Cloud Credential Operator" 18.1.1. 模式 18.1.2. 默认行为 18.1.3. 其他资源 18.2. 使用 mint 模式 Expand section "18.2. 使用 mint 模式" Collapse section "18.2. 使用 mint 模式" 18.2.1. Mint 模式权限要求 Expand section "18.2.1. Mint 模式权限要求" Collapse section "18.2.1. Mint 模式权限要求" 18.2.1.1. Amazon Web Services(AWS)权限 18.2.1.2. Google Cloud Platform(GCP)权限 18.2.2. 管理凭证 root secret 格式 18.2.3. 带有删除或轮转管理员级凭证的 Mint 模式 Expand section "18.2.3. 带有删除或轮转管理员级凭证的 Mint 模式" Collapse section "18.2.3. 带有删除或轮转管理员级凭证的 Mint 模式" 18.2.3.1. 手动轮转云供应商凭证 18.2.3.2. 删除云供应商凭证 18.2.4. 其他资源 18.3. 使用 passthrough 模式 Expand section "18.3. 使用 passthrough 模式" Collapse section "18.3. 使用 passthrough 模式" 18.3.1. passthrough 模式权限要求 Expand section "18.3.1. passthrough 模式权限要求" Collapse section "18.3.1. passthrough 模式权限要求" 18.3.1.1. Amazon Web Services(AWS)权限 18.3.1.2. Microsoft Azure 权限 18.3.1.3. Google Cloud Platform(GCP)权限 18.3.1.4. Red Hat OpenStack Platform(RHOSP)权限 18.3.1.5. Red Hat Virtualization(RHV)权限 18.3.1.6. VMware vSphere 权限 18.3.2. 管理凭证 root secret 格式 18.3.3. passthrough 模式凭证维护 Expand section "18.3.3. passthrough 模式凭证维护" Collapse section "18.3.3. passthrough 模式凭证维护" 18.3.3.1. 手动轮转云供应商凭证 18.3.4. 在安装后减少权限 18.3.5. 其他资源 18.4. 使用手动模式 Expand section "18.4. 使用手动模式" Collapse section "18.4. 使用手动模式" 18.4.1. 使用 AWS STS 的手动模式 18.4.2. 使用手动维护的凭证升级集群 18.4.3. 其他资源 18.5. 在 Amazon Web Services Secure Token Service 中使用手动模式 Expand section "18.5. 在 Amazon Web Services Secure Token Service 中使用手动模式" Collapse section "18.5. 在 Amazon Web Services Secure Token Service 中使用手动模式" 18.5.1. 关于使用 AWS 安全令牌服务手动模式 18.5.2. 使用 STS 为手动模式安装 OpenShift Container Platform 集群 Expand section "18.5.2. 使用 STS 为手动模式安装 OpenShift Container Platform 集群" Collapse section "18.5.2. 使用 STS 为手动模式安装 OpenShift Container Platform 集群" 18.5.2.1. 配置 Cloud Credential Operator 工具 18.5.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源 Expand section "18.5.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源" Collapse section "18.5.2.2. 使用 Cloud Credential Operator 实用程序创建 AWS 资源" 18.5.2.2.1. 单独创建 AWS 资源 18.5.2.2.2. 使用单个命令创建 AWS 资源 18.5.2.3. 运行安装程序 18.5.2.4. 验证安装 18.5.3. 使用 STS 为手动模式升级 OpenShift Container Platform 集群 Expand section "18.5.3. 使用 STS 为手动模式升级 OpenShift Container Platform 集群" Collapse section "18.5.3. 使用 STS 为手动模式升级 OpenShift Container Platform 集群" 18.5.3.1. 配置 Cloud Credential Operator 工具 18.5.3.2. 使用 Cloud Credential Operator 实用程序升级 AWS 资源 18.5.3.3. 使用手动维护的凭证升级集群 Settings Close Language: 한국어 日本語 简体中文 English Language: 한국어 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 한국어 日本語 简体中文 English Language: 한국어 日本語 简体中文 English Format: Multi-page Single-page Format: Multi-page Single-page 18.3.4. 在安装后减少权限 在使用 passthrough 模式时,每个组件都有相同的权限供所有其他组件使用。如果您在安装后不减少权限,则所有组件都有运行安装程序所需的广泛权限。 安装后,您可以将凭证的权限减少到仅限运行集群所需的权限,这由您正在使用的 OpenShift Container Platform 版本的发行镜像中的 CredentialsRequest CR 定义。 要找到 AWS、Azure 或 GCP 所需的 CredentialsRequest CR,并了解如何更改 CCO 所用权限,请参阅为 AWS、Azure 或 GCP 手动创建 IAM。 Previous Next
