如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創(chuàng)新互聯(lián)主營(yíng)城口網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,重慶APP軟件開(kāi)發(fā),城口h5微信平臺(tái)小程序開(kāi)發(fā)搭建,城口網(wǎng)站營(yíng)銷推廣歡迎城口等地區(qū)企業(yè)咨詢

隨著容器化的快速發(fā)展，大數(shù)據(jù)原有的分布式任務(wù)調(diào)度模式，正在被基于Kubernetes的技術(shù)架構(gòu)所取代。CCE云容器引擎是華為云推出的支持Kubernetes社區(qū)原生應(yīng)用和工具，應(yīng)用級(jí)自動(dòng)彈性伸縮，自動(dòng)化搭建云上容器平臺(tái)。用戶通過(guò)云容器引擎可以快速高效的將微服務(wù)部署在云端。

為方便管理員對(duì)CCE資源的權(quán)限管理，后臺(tái)提供了多種維度的細(xì)粒度權(quán)限管理。CCE的權(quán)限管理包括“集群權(quán)限”和“命名空間權(quán)限”兩種能力，分別從集群和命名空間層面對(duì)用戶組或用戶進(jìn)行細(xì)粒度授權(quán)，具體解釋如下：

集群權(quán)限：  是基于IAM系統(tǒng)策略的授權(quán)，可以讓用戶組擁有“集群管理”、“節(jié)點(diǎn)管理”、“節(jié)點(diǎn)池管理”、“模板市場(chǎng)”、“插件管理”權(quán)限。

命名空間權(quán)限：  是基于Kubernetes RBAC能力的授權(quán)?？梢宰層脩艋蛴脩艚M擁有“工作負(fù)載”、“網(wǎng)絡(luò)管理”、“存儲(chǔ)管理”、“命名空間”權(quán)限。

基于IAM系統(tǒng)策略的“集群權(quán)限”與基于Kubernetes RBAC能力的命名空間權(quán)限，兩者是完全獨(dú)立的，互不影響，但要配合使用。同時(shí)，為用戶組設(shè)置的權(quán)限將作用于用戶組下的全部用戶。當(dāng)給用戶或用戶組添加多個(gè)權(quán)限時(shí)，多個(gè)權(quán)限會(huì)同時(shí)生效（取并集）。

 

通常一個(gè)公司中有多個(gè)部門或項(xiàng)目，每個(gè)部門又有多個(gè)成員。所以，在配置權(quán)限時(shí)需要進(jìn)行詳細(xì)設(shè)計(jì)。如下圖所示的組織架構(gòu)圖，權(quán)限該如何設(shè)置呢？

主管：DAVID

由于DAVID需要配置CCE相關(guān)的所有權(quán)限（包括集群、k8s資源等）。所以，單獨(dú)為DAVID創(chuàng)建用戶組“cce-admin”，并配置所有項(xiàng)目的權(quán)限：“CCE Administrator”。

 

溫馨提示  ：

CCE Administrator：CCE的管理員權(quán)限，擁有該服務(wù)的所有權(quán)限，不需要再賦予其他權(quán)限。

CCE FullAccess、CCE ReadOnlyAccess：CCE的集群管理權(quán)限，僅針對(duì)與集群相關(guān)的資源（如集群、節(jié)點(diǎn)）有效，您必須確保同時(shí)配置了“命名空間權(quán)限”，才能有操作Kubernetes資源（如工作負(fù)載、Service等）的權(quán)限。

運(yùn)維組長(zhǎng)：JAMES

為JAMES創(chuàng)建用戶組“cce-sre”，并配置所有項(xiàng)目的權(quán)限：“CCE FullAccess”。自此，便有了所有項(xiàng)目的集群管理權(quán)限。

 

由于很多工程師都需要只讀權(quán)限，所以，應(yīng)創(chuàng)建只讀用戶組“read_only”。然后，將相關(guān)用戶都添加到此用戶組。最后，在CCE的“權(quán)限管理”、“命名空間權(quán)限”界面為此用戶組逐個(gè)賦予所有集群的“view”權(quán)限。

 

 

開(kāi)發(fā)組長(zhǎng)：ROBERT

由于開(kāi)發(fā)組成員并不需要配置集群管理權(quán)限，但也要有界面的只讀權(quán)限，所以，應(yīng)賦予只讀用戶組“read_only”CCE界面的只讀權(quán)限。

 

同時(shí)，再另外賦予其k8s資源的管理員權(quán)限。

 

運(yùn)維工程師：WILLIAM

為WILLIAM創(chuàng)建用戶組“cce-sre-b4”，然后配置北京四項(xiàng)目的“CCE FullAccess”。

 

開(kāi)發(fā)工程師：LINDA、PETER

由于前面已經(jīng)在用戶組“read-only”中為兩位工程師配置的全局的只讀權(quán)限，這里只需要再另外配置相應(yīng)的管理權(quán)限即可。

 

小問(wèn)題：

能否只配置命名空間權(quán)限，不配置集群管理權(quán)限？

由于界面權(quán)限是由IAM系統(tǒng)策略進(jìn)行判斷，所以，如果未配置集群管理權(quán)限，就沒(méi)有打開(kāi)界面的權(quán)限。

那是否可以使用API呢？

答案也是否定的，因?yàn)锳PI都需要進(jìn)行IAM的token認(rèn)證。

那是否可以使用kubectl命令呢？

答案是肯定的。但前提是要先從界面上下載kubectl配置文件。所以，如果先配置了集群權(quán)限，然后再界面下載認(rèn)證文件。后面再刪除集群管理權(quán)限（保留命名空間權(quán)限），依然可以使用kubectl來(lái)操作k8s集群。

上述就是小編為大家分享的如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁(yè)名稱：如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐
分享URL：http://muchs.cn/article44/pdgjhe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開(kāi)發(fā)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站內(nèi)鏈、企業(yè)網(wǎng)站制作、App設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)