您好,登录后才能下订单哦!
这期内容当中小编将会给大家带来有关如何进行云容器引擎CCE权限管理实践,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
随着容器化的快速发展,大数据原有的分布式任务调度模式,正在被基于Kubernetes的技术架构所取代。CCE云容器引擎是华为云推出的支持Kubernetes社区原生应用和工具,应用级自动弹性伸缩,自动化搭建云上容器平台。用户通过云容器引擎可以快速高效的将微服务部署在云端。
为方便管理员对CCE资源的权限管理,后台提供了多种维度的细粒度权限管理。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力,分别从集群和命名空间层面对用户组或用户进行细粒度授权,具体解释如下:
集群权限: 是基于IAM系统策略的授权,可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。
命名空间权限: 是基于Kubernetes RBAC能力的授权。可以让用户或用户组拥有“工作负载”、“网络管理”、“存储管理”、“命名空间”权限。
基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的命名空间权限,两者是完全独立的,互不影响,但要配合使用。同时,为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时,多个权限会同时生效(取并集)。
通常一个公司中有多个部门或项目,每个部门又有多个成员。所以,在配置权限时需要进行详细设计。如下图所示的组织架构图,权限该如何设置呢?
由于DAVID需要配置CCE相关的所有权限(包括集群、k8s资源等)。所以,单独为DAVID创建用户组“cce-admin”,并配置所有项目的权限:“CCE Administrator”。
温馨提示 :
CCE Administrator:CCE的管理员权限,拥有该服务的所有权限,不需要再赋予其他权限。
CCE FullAccess、CCE ReadOnlyAccess:CCE的集群管理权限,仅针对与集群相关的资源(如集群、节点)有效,您必须确保同时配置了“命名空间权限”,才能有操作Kubernetes资源(如工作负载、Service等)的权限。
为JAMES创建用户组“cce-sre”,并配置所有项目的权限:“CCE FullAccess”。自此,便有了所有项目的集群管理权限。
由于很多工程师都需要只读权限,所以,应创建只读用户组“read_only”。然后,将相关用户都添加到此用户组。最后,在CCE的“权限管理”、“命名空间权限”界面为此用户组逐个赋予所有集群的“view”权限。
由于开发组成员并不需要配置集群管理权限,但也要有界面的只读权限,所以,应赋予只读用户组“read_only”CCE界面的只读权限。
同时,再另外赋予其k8s资源的管理员权限。
为WILLIAM创建用户组“cce-sre-b4”,然后配置北京四项目的“CCE FullAccess”。
由于前面已经在用户组“read-only”中为两位工程师配置的全局的只读权限,这里只需要再另外配置相应的管理权限即可。
能否只配置命名空间权限,不配置集群管理权限?
由于界面权限是由IAM系统策略进行判断,所以,如果未配置集群管理权限,就没有打开界面的权限。
那是否可以使用API呢?
答案也是否定的,因为API都需要进行IAM的token认证。
那是否可以使用kubectl命令呢?
答案是肯定的。但前提是要先从界面上下载kubectl配置文件。所以,如果先配置了集群权限,然后再界面下载认证文件。后面再删除集群管理权限(保留命名空间权限),依然可以使用kubectl来操作k8s集群。
上述就是小编为大家分享的如何进行云容器引擎CCE权限管理实践了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。