随着容器化的快速发展,大数据原有的分布式任务调度模式,正在被基于Kubernetes的技术架构所取代。CCE云容器引擎是华为云推出的支持Kubernetes社区原生应用和工具,应用级自动弹性伸缩,自动化搭建云上容器平台。用户通过云容器引擎可以快速高效的将微服务部署在云端。

为方便管理员对CCE资源的权限管理,后台提供了多种维度的细粒度权限管理。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力,分别从集群和命名空间层面对用户组或用户进行细粒度授权,具体解释如下:

集群权限:是基于IAM系统策略的授权,可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。

命名空间权限:是基于Kubernetes RBAC能力的授权。可以让用户或用户组拥有“工作负载”、“网络管理”、“存储管理”、“命名空间”权限。

基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的命名空间权限,两者是完全独立的,互不影响,但要配合使用。同时,为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时,多个权限会同时生效(取并集)。

通常一个公司中有多个部门或项目,每个部门又有多个成员。所以,在配置权限时需要进行详细设计。如下图所示的组织架构图,权限该如何设置呢?

主管:DAVID

由于DAVID需要配置CCE相关的所有权限(包括集群、k8s资源等)。所以,单独为DAVID创建用户组“cce-admin”,并配置所有项目的权限:“CCE Administrator”。

温馨提示

CCE AdministratorCCE的管理员权限,拥有该服务的所有权限,不需要再赋予其他权限。

CCE FullAccessCCE ReadOnlyAccessCCE的集群管理权限,仅针对与集群相关的资源(如集群、节点)有效,您必须确保同时配置了“命名空间权限”,才能有操作Kubernetes资源(如工作负载、Service等)的权限。

运维组长:JAMES

为JAMES创建用户组“cce-sre”,并配置所有项目的权限:“CCE FullAccess”。自此,便有了所有项目的集群管理权限。

由于很多工程师都需要只读权限,所以,应创建只读用户组“read_only”。然后,将相关用户都添加到此用户组。最后,在CCE的“权限管理”、“命名空间权限”界面为此用户组逐个赋予所有集群的“view”权限。

开发组长:ROBERT

由于开发组成员并不需要配置集群管理权限,但也要有界面的只读权限,所以,应赋予只读用户组“read_only”CCE界面的只读权限。

同时,再另外赋予其k8s资源的管理员权限。

运维工程师:WILLIAM

为WILLIAM创建用户组“cce-sre-b4”,然后配置北京四项目的“CCE FullAccess”。

开发工程师:LINDA、PETER

由于前面已经在用户组“read-only”中为两位工程师配置的全局的只读权限,这里只需要再另外配置相应的管理权限即可。

小问题:

能否只配置命名空间权限,不配置集群管理权限?

由于界面权限是由IAM系统策略进行判断,所以,如果未配置集群管理权限,就没有打开界面的权限。

那是否可以使用API呢?

答案也是否定的,因为API都需要进行IAM的token认证。

那是否可以使用kubectl命令呢?

答案是肯定的。但前提是要先从界面上下载kubectl配置文件。所以,如果先配置了集群权限,然后再界面下载认证文件。后面再删除集群管理权限(保留命名空间权限),依然可以使用kubectl来操作k8s集群。

点击这里,了解更多精彩内容

【华为云技术分享】云容器引擎 CCE权限管理实践相关推荐

  1. 华为云-云容器引擎 CCE新功能发布动态

    新功能发布动态 更新时间: 2020/06/29 GMT+08:00 查看PDF 分享 本文介绍了云容器引擎CCE各特性版本的功能发布和对应的文档动态,新特性将按照时间计划在各个区域(Region)陆 ...

  2. 华为云PaaS平台微服务治理5云容器引擎CCE

    5云容器引擎CCE 5.1CCE介绍 云容器引擎CCE(Cloud Container Engine)提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动 ...

  3. 【华为云技术分享】iSulad轻量化容器实践解析

    容器应用带来的困扰 容器应用在2019年迎来新的一轮浪潮,全球整体容器市场规模以高达30%的速度高歌猛进,大多数企业开始全面拥抱容器化,容器的规模.密度愈加扩大. 根据Sysdig 2019年容器使用 ...

  4. 华为云教程(云容器引擎CCE)

    文章目录 一.概述 二. 云容器引擎CCE 1. 创建CCE集群 2. 创建节点 3. 安装插件 4. 安装 5. 查看安装信息 6. 添加工作节点 7. 部署nginx服务 一.概述 云容器引擎,提 ...

  5. 从生根发芽到茁壮成长,百度云容器引擎CCE淬炼记

    [题记] "单集群峰值流量达10亿+,单租户容器规模50000+,经历过无数复杂业务.大流量.复杂化部署等方面的技术考验--"这就是百度云引以为傲的容器引擎服务CCE(Cloud ...

  6. 【华为云技术分享】三大前端技术(React,Vue,Angular)探密(下)

    [华为云技术分享]三大前端技术(React,Vue,Angular)探密(上) [Angular] Angular(通常被称为 "Angular 2+"或 "Angula ...

  7. 【华为云技术分享】“技术-经济范式”视角下的开源软件演进剖析-part 1

    前言 以互联网为代表的信息技术的迅猛发展对整个经济体系产生了巨大的影响.信息技术的发展一方面使知识的积累和传播更加迅速,知识爆炸性的增长:另一方面,使信息的获取变得越来越容易,信息交流的强度逐渐增加, ...

  8. 【华为云技术分享】“技术-经济范式”视角下的开源软件演进剖析-part 3

    4. 微观层面 4.1 个体动机 在开源软件发展之初, 商业组织的投入很少甚至没有, 完全是靠Richard Stallman 或者 linus Torvalds 这样的个人在努力推动开源软件艰难前行 ...

  9. 华为云云容器引擎CCE踩坑记

    前几天把在公司办公区机房的一部分业务系统迁移至华为云,在华为云上现有的kubernetes集群(云容器引擎CCE)中创建了一个命名空间,并启用了命名空间的网络隔离功能,在该命名空间中创建了一些pod- ...

最新文章

  1. 精心分享8个特别实用,但又鲜为人知的软件
  2. python 使用socks 爬虫_python爬虫基础之urllib的使用
  3. 尤金 卡巴斯基:网络安全已陷“黑暗时代”,我们该如何应对?
  4. 六行代码安装 GPU版本的TensorFlow
  5. WIN10+MinGW中文输出乱码的解决方法
  6. C语言作业界面,c语言作业20191011121223
  7. .NET技术大系概览
  8. MySQL中select * for update锁表的范围
  9. opencv绘制矩形框
  10. Java NIO之DatagramChannel
  11. echarts x轴文字个数太多_echartsX轴文本数据太长溢出问题
  12. 至强cpu型号列表_Cascade Lake全家福:图说第二代至强可扩展处理器
  13. JAVA上百实例源码网站
  14. vue2.0 海报生成器、二维码生成器
  15. Cadence Allegro Segments Over Voids 功能介绍图文教程
  16. python qq群管理_Python selenium 加载并保存QQ群成员,去除其群主、管理员信息的示例代码...
  17. 3个极品在线PDF转换成WORD服务网站,比软件给力!
  18. mplayer-2.3节:视频输出设备 .
  19. 地球物理勘探技术类毕业论文文献有哪些?
  20. linux用u盘拷文件损坏,复制到u盘的文件总是损坏怎么办解决?

热门文章

  1. es6 实例:Web 服务的客户端
  2. 玩游戏计算机丢失msvcp,Win10系统玩吃鸡提示游戏缺少msvcp140.dll的解决方法
  3. CAN笔记(7) CAN协议(二)
  4. total是什么牌子的电脑_干货!如何用Python在笔记本电脑上分析100GB数据(上)...
  5. oracle有时慢连接不上,Oracle 连接有时候慢,应用稍微一忙,偶尔出现连接失败 的故障解决过程...
  6. datagridview 筛选_【Excel】如何用通配符快速筛选到所需信息
  7. python-opencv学习第二章
  8. shop--7.店铺编辑和列表--店铺列表展示 前端
  9. vim-录制命令的使用
  10. 由锚点失效引发的hasLayout探究