Dynamische Gruppe und Policy für selbstverwaltete Knoten erstellen
Erfahren Sie, wie Sie eine dynamische Gruppe und eine Policy erstellen, damit die Compute-Instanz, die einen selbstverwalteten Knoten hostet, einem erweiterten Cluster beitreten kann, das mit der Kubernetes-Engine erstellt wurde.
Bevor Sie selbstverwaltete Knoten erstellen können, müssen Sie:
- Neue dynamische Gruppe erstellen, die die Compute-Instanz enthält, die Sie dem Cluster als selbstverwalteten Knoten hinzufügen möchten
- Policy für die dynamische Gruppe mit einer Policy-Anweisung erstellen, mit der Compute-Instanzen in der dynamischen Gruppe einem vorhandenen Kubernetes-Cluster beitreten können
So erstellen Sie eine neue dynamische Gruppe und eine geeignete Policy mit der Konsole:
-
Erstellen Sie eine neue dynamische Gruppe, die die Compute-Instanz enthält, die Sie dem Cluster als selbstverwalteten Knoten hinzufügen möchten:
- Befolgen Sie die Anweisungen unter So erstellen Sie eine dynamische Gruppe in der IAM-Dokumentation, und geben sie der neuen dynamischen Gruppe einen Namen (Beispiel:
acme-oke-self-managed-node-dyn-grp). -
Geben Sie eine Regel mit den Compute-Instanzen im Compartment im folgenden Format ein:
ALL {instance.compartment.id = '<compartment-ocid>'}Hierbei ist
<compartment-ocid>die OCID des Compartments, zu dem das Cluster gehört.Beispiel:
ALL {instance.compartment.id = 'ocid1.compartment.oc1..aaaaaaaa23______smwa'} - Wählen Sie Erstellen.
- Befolgen Sie die Anweisungen unter So erstellen Sie eine dynamische Gruppe in der IAM-Dokumentation, und geben sie der neuen dynamischen Gruppe einen Namen (Beispiel:
- Erstellen Sie eine Policy für die dynamische Gruppe mit einer Policy-Anweisung, mit der Compute-Instanzen in der dynamischen Gruppe einem vorhandenen Kubernetes-Cluster beitreten können:
- Befolgen Sie die Anweisungen unter So erstellen Sie eine Policy in der IAM-Dokumentation, und Geben Sie der neuen Policy einen Namen (Beispiel:
acme-oke-self-managed-node-policy). -
Geben Sie eine Policy-Anweisung ein, damit Compute-Instanzen in der dynamischen Gruppe dem Cluster in folgendem Format beitreten können:
Allow dynamic-group <dynamic-group-name> to {CLUSTER_JOIN} in compartment <compartment-name>Hierbei gilt:
<dynamic-group-name>ist der Name der zuvor erstellten dynamischen Gruppe. Beispiel:acme-oke-self-managed-node-dyn-grp. Wenn eine dynamische Gruppe nicht in der Standardidentitätsdomain enthalten ist, stellen Sie dem Namen der dynamischen Gruppe den Namen der Identitätsdomain im Formatdynamic-group '<identity-domain-name>'/'<dynamic-group-name>'voran. Sie können die dynamische Gruppe auch mit ihrer OCID im Formatdynamic-group id <dynamic-group-ocid>angeben.<compartment-name>ist der Name des Compartments, zu dem das Cluster gehört. Beispiel:acme-oke-cluster-compartment
Beispiel:
Allow dynamic-group acme-oke-self-managed-node-dyn-grp to {CLUSTER_JOIN} in compartment acme-oke-cluster-compartmentWenn Sie diese Policy-Anweisung als zu zulässig betrachten, können Sie die Berechtigungen einschränken, um das Cluster explizit anzugeben, dem Sie den verwalteten Knoten hinzufügen möchten, indem Sie eine Policy-Anweisung in folgendem Format eingeben:
Allow dynamic-group <dynamic-group-name> to {CLUSTER_JOIN} in compartment <compartment-name> where { target.cluster.id = "<cluster-ocid>" } - Wählen Sie Erstellen aus, um die neue Policy zu erstellen.
- Befolgen Sie die Anweisungen unter So erstellen Sie eine Policy in der IAM-Dokumentation, und Geben Sie der neuen Policy einen Namen (Beispiel: