当前位置:网站首页>ArgoCD 用户管理、RBAC 控制、脚本登录、App 同步

ArgoCD 用户管理、RBAC 控制、脚本登录、App 同步

2022-07-23 09:13:00 进击云原生

命令行登录

参考:argocd 登录登出

登录:

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username admin

登出:

argocd logout argocd-server.argocd.svc.cluster.local

创建用户、授权

创建用户

参考:
用户管理

在 argocd/argocd-cm 中增加一个 gitops 用户,有生成 apiKey 和 login 权限。

 apiVersion: v1
 data:
   accounts.gitops: apiKey, login
 kind: ConfigMap
 metadata:
   labels:
     app.kubernetes.io/name: argocd-cm
     app.kubernetes.io/part-of: argocd
   name: argocd-cm
   namespace: argocd

修改后,会热加载,无需重启任何服务。

用 admin 用户登录后,修改 gitops 的密码为 [email protected](注意 current-password 是当前登录用户的密码,如果用 admin 登录的,就是 admin 的密码)

argocd account update-password \
  --account gitops \
  --current-password '[email protected]' \
  --new-password '[email protected]'

此时可以用命令行登录:

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username gitops

此用户登录进去看不到 admin 建的任何资源(app、project、仓库、cluster 等)。
给 gitops 用户生成 token:(这样生成的 token 从不过期,可以加–expires-in 参数设置过期时长)

# argocd account generate-token --account gitops
xxxx

之后就需要 login 了,需要指定–server 和–insecure

argocd app list --auth-token xxx --server argocd-server.argocd.svc.cluster.local --insecure

但使用 token 的方式,每次执行命令行都需要加参数,较为复杂。直接 login 后操作更为简单。

权限

参考:Rbac 权限控制

资源和动作有下面这些:

Resources: clusters, projects, applications, repositories, certificates, accounts, gpgkeys, logs, exec
Actions: get, create, update, delete, sync, override, action/<group/kind/action-name>

在 argocd-rbac-cm Configmaps 中给增加以下 policy.csv 就可以看到 admin 创建的 app、仓库等信息了:

 data:
   policy.csv: | p, role:gitops, applications, get, *, allow p, role:gitops, applications, create, *, allow p, role:gitops, applications, update, *, allow p, role:gitops, applications, sync, *, allow p, role:gitops, applications, override, *, allow p, role:gitops, repositories, get, *, allow p, role:gitops, repositories, create, *, allow p, role:gitops, repositories, update, *, allow p, role:gitops, projects, create, *, allow p, role:gitops, projects, get, *, allow p, role:gitops, clusters, get, *, allow p, role:gitops, clusters, list, *, allow g, gitops, role:gitops
 apiVersion: v1
 kind: ConfigMap
 metadata:
   labels:
     app.kubernetes.io/name: argocd-rbac-cm
     app.kubernetes.io/part-of: argocd
   name: argocd-rbac-cm
   namespace: argocd

注意:必须增加 g, gitops, role:gitops
将 gitops 用户加到 gitops 这个 role 中。

触发同步 sync

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username gitops

argocd app sync apps-by-top-app
原网站

版权声明
本文为[进击云原生]所创,转载请带上原文链接,感谢
https://liabio.blog.csdn.net/article/details/125899955

边栏推荐

猜你喜欢

随机推荐