IBM Cloud Docs
Concesión de acceso de configuración de Satellite a clústeres

Concesión de acceso de configuración de Satellite a clústeres

De forma predeterminada, los clústeres que cree en una ubicación de Satellite tienen instalados automáticamente los componentes de configuración de Satellite. Sin embargo, debe otorgar a las cuentas de servicio que utiliza la configuración de Satellite el acceso adecuado para ver y gestionar recursos de Kubernetes en cada clúster.

Satellite La configuración requiere acceso de administrador a los clústeres para gestionarlos. Puede configurar el acceso de una de las maneras siguientes.

  • Automáticamente durante la creación del clúster. Elija esta opción si desea utilizar plantillas de almacenamiento de Satellite.
  • Manualmente después de la creación del clúster. Elija esta opción si desea un acceso más controlado y no tiene previsto utilizar plantillas de almacenamiento de Satellite.

Si no otorga acceso de configuración de Satellite, no puede utilizar la funcionalidad de configuración de Satellite más adelante para ver o desplegar los recursos de Kubernetes para sus clústeres.

Otorgamiento automático del acceso de configuración de Satellite a los clústeres

Puede otorgar acceso de configuración a Satellite al clúster especificando la opción relevante al crear el clúster.

Para otorgar a Satellite acceso de configuración para gestionar los recursos de Kubernetes desde la consola, seleccione Habilitar acceso de administrador de clúster para Satellite Config al crear el clúster. Para configurar el acceso con la CLI, especifique la opción --enable-config-admin cuando cree el clúster.

Si no ha otorgado acceso de configuración a Satellite durante la creación del clúster, siga los pasos de Otorgar manualmente acceso de configuración a los clústeres a Satellite.

Otorgamiento manual del acceso de configuración de Satellite a los clústeres

Si no ha otorgado a Satellite acceso de configuración al clúster durante la creación del clúster, todavía puede configurar el acceso manualmente.

Elija una de las opciones siguientes:

  • Acceso de administración al crear un clúster de Satellite: Puede habilitar permisos de administración al crear el clúster en la consola o en la CLI utilizando la opción --enable-config-admin en el mandato ibmcloud oc cluster create satellite. Después de crear el clúster, debe realizar un inicio de sesión único ejecutando ibmcloud ks cluster config en la línea de mandatos.
  • Acceso de administración para clústeres en la nube pública: Consulte Registro de clústeres existentes con Satellite Configurar.
  • Acceso personalizado o acceso para clústeres de Satellite a los que no ha optado con el acceso de administración: Lleve a cabo los pasos siguientes.

Para personalizar el acceso, o para añadir acceso a los clústeres de Satellite en los que no ha optado por el acceso de administración en el momento de crear el clúster.

  1. Acceda a su clúster de Satellite.

  2. Para cada clúster del grupo de clústeres, otorgue acceso de configuración de Satellite para gestionar los recursos de Kubernetes. Elija una de las siguientes opciones: acceso de administrador de clúster, acceso personalizado del lado del clúster o acceso personalizado limitado a un proyecto. Para obtener más información, consulte la documentación deKubernetes.

    Si elige una opción de acceso personalizado, es posible que algunos componentes de la configuración de Satellite no funcionen. Por ejemplo, si otorga acceso para ver sólo determinados recursos, no puede utilizar suscripciones para crear recursos de Kubernetes en el grupo de clústeres. Para ver un inventario de los recursos de Kubernetes de un clúster, la configuración de Satellite debe tener un rol adecuado que esté enlazado a la cuenta de servicio de razee-viewer. Para desplegar recursos de Kubernetes en un clúster utilizando suscripciones, Satellite Config debe tener un rol adecuado que esté enlazado a la cuenta de servicio de razee-editor.

Acceso de administración de clúster

Otorgue a las cuentas de servicio de configuración de Satellite acceso al rol de administración del clúster.

kubectl create clusterrolebinding razee-cluster-admin --clusterrole=razee-cluster-admin --serviceaccount=razeedeploy:razee-viewer --serviceaccount=razeedeploy:razee-editor --serviceaccount=razeedeploy:razee-satcon

Acceso personalizado, en todo el clúster

Cree políticas RBAC personalizadas para otorgar acceso de configuración de Satellite a las acciones y recursos de Kubernetes que desee para el clúster.

  1. Cree un rol de clúster con las acciones y recursos que desea otorgar. Por ejemplo, el mandato siguiente crea un rol de visor para que la configuración de Satellite pueda obtener una lista de todos los recursos de Kubernetes de un clúster, pero no pueda modificarlos.

    kubectl create clusterrole razee-viewer --verb=get,list,watch --resource="*.*"
    
    Descripción de los componentes de este mandato
    Componente Descripción
    razee-viewer El nombre del rol de clúster, como por ejemplo razee-viewer.
    --verb=get,list,watch Una lista de acciones separadas por comas que el rol autoriza. En este ejemplo, los verbos de acción son para roles típicos de un visor o un auditor, get,list,watch. Para ver otros posibles verbos, consulte la documentación deKubernetes.
    --resource="*.*" Una lista separada por comas de los recursos de Kubernetes a los que el rol autoriza acciones. En este ejemplo, se otorga acceso para todos los recursos de Kubernetes en todos los grupos de API, "*.*". Para ver otros recursos posibles, ejecute kubectl api-resources -o wide.
  2. Cree un enlace de rol de clúster que enlace la cuenta de servicio de configuración de Satellite al rol de clúster que ha creado anteriormente. Ahora, la configuración de Satellite tiene el acceso personalizado al clúster.

    kubectl create clusterrolebinding razee-viewer --clusterrole=razee-viewer --serviceaccount=razeedeploy:razee-viewer
    
    Descripción de los componentes de este mandato
    Componente Descripción
    razee-viewer El nombre del enlace del rol de clúster, como por ejemplo razee-viewer.
    --clusterrole=razee-viewer El nombre del rol de clúster que ha creado antes, como por ejemplo razee-viewer.
    --serviceaccount=razeedeploy:razee-viewer El nombre de una de las cuentas de servicio que los componentes de Satellite Config tienen configurado utilizar de forma predeterminada, razeedeploy:razee-viewer o razeedeploy:razee-editor.

Acceso personalizado, con ámbito en un proyecto

Cree políticas RBAC personalizadas para otorgar acceso a Satellite Config a las acciones, recursos de Kubernetes y proyectos (espacios de nombres) que desee.

  1. Cree un rol con las acciones y recursos que desea otorgar en el proyecto al que desea limitar el rol. Por ejemplo, el mandato siguiente crea un rol de editor para que la configuración de Satellite pueda desplegar y actualizar todos los recursos de Kubernetes del proyecto.

    kubectl create role razee-editor --namespace=default --verb=get,list,watch,create,update,patch,delete --resource="*.*"
    
    Descripción de los componentes de este mandato
    Componente Descripción
    razee-editor El nombre del rol de clúster, como por ejemplo razee-editor.
    --namespace default El proyecto (espacio de nombres) que constituirá el ámbito del rol, como por ejemplo default.
    --verb=get,list,watch,create,update,patch,delete Una lista de acciones separadas por comas que el rol autoriza. En este ejemplo, los verbos de acción son para los roles típicos de un editor, get,list,watch,create,update,patch,delete. Para ver otros posibles verbos, consulte la documentación deKubernetes.
    --resource="*.*" Una lista separada por comas de los recursos de Kubernetes a los que el rol autoriza acciones. En este ejemplo, se otorga acceso para todos los recursos de Kubernetes en todos los grupos de API, "*.*". Para ver otros recursos posibles, ejecute kubectl api-resources -o wide.
  2. Cree un enlace de rol que enlace la cuenta de servicio de configuración de Satellite al rol de clúster que ha creado anteriormente. Ahora, la configuración de Satellite tiene el acceso personalizado al clúster.

    kubectl create rolebinding razee-editor --namespace=default --role=razee-editor --serviceaccount=razeedeploy:razee-editor
    
    Descripción de los componentes de este mandato
    Componente Descripción
    razee-editor El nombre del enlace de rol, como por ejemplo razee-editor.
    --namespace default El proyecto (espacio de nombres) que constituirá el ámbito del enlace de rol, como por ejemplo default. El espacio de nombres tiene que coincidir con el espacio de nombres en el que está el rol.
    --role=razee-editor El nombre del rol que ha creado antes, como por ejemplo razee-editor.
    --serviceaccount=razeedeploy:razee-editor El nombre de una de las cuentas de servicio que los componentes de Satellite Config tienen configurado utilizar de forma predeterminada, razeedeploy:razee-viewer o razeedeploy:razee-editor.

Continúe configurando grupos de clúster y registre clústeres con Satellite Config.