命名空间权限
命名空间权限
1. 命名空间权限说明
命名空间权限是基于Kubernetes RBAC能力的授权,通过权限设置可以让子账号拥有操作不同Kubernetes资源的不同权限。
Kubernetes资源通过命名空间进行权限设置,目前包含cluster-admin、admin、edit、view四种角色,详见下表。
| 默认的ClusterRole | 描述 |
|---|---|
| cluster-admin | 具有Kubernetes所有资源对象操作权限。 |
| admin | 允许admin访问,可以限制在一个Namespace中使用RoleBinding。如果在RoleBinding中使用,则允许对Namespace中大多数资源进行读写访问。这一角色不允许操作Namespace本身,也不能写入资源限额。 |
| edit | 允许对命名空间内的大多数资源进行读写操作。 |
| view | 允许对多数对象进行只读操作,但是对secret是不可访问的。 |
2. 为子账号授权命名空间权限
2.1. 配置说明
仅主帐号可以对子账号进行授权操作;
子账号拥有项目权限后,对其设置的命名空间权限方可生效;
当给子账号添加多个权限时,多个权限会同时生效(取并集)。
2.2. 通过容器云控制台为子账号授权命名空间权限
添加授权
对不存在任何容器权限的子账号进行初始授权,并且支持批量添加。
- 登录容器云控制台;
- 若默认进入的集群非目标集群,可在顶部的集群切换栏,切换进入集群;
- 在容器云控制台左侧导航栏中,点击 【授权管理】进入授权管理列表页面;
单击【添加】,进入【添加授权】页面。根据实际需求完成参数配置;
- 子账号:选择需要添加授权的子账号,支持添加多个子账号;
- 命名空间:选择集群下的命名空间,支持选择所有命名空间;
- 访问权限:指定访问权限,包括cluster-admin、admin、edit、view四种权限;
完成授权配置后,单击确认,授权成功;
批量授权
对已经存在容器权限的子账号进行追加授权,并且支持批量追加。
- 登录容器云控制台;
- 若默认进入的集群非目标集群,可在顶部的集群切换栏,切换进入集群;
- 在容器云控制台左侧导航栏中,点击 【授权管理】进入授权管理列表页面;
在列表中选择需要追加授权的子账号,单击【批量授权】,进入【批量授权】页面。根据实际需求完成参数配置。不允许重复追加同一命名空间的同一种权限;
- 命名空间:选择集群下的命名空间,支持选择所有命名空间;
- 访问权限:指定访问权限,包括cluster-admin、admin、edit、view四种权限;
完成授权配置后,单击确认,授权成功。
编辑、删除授权
支持对某一子账号的授权进行编辑和删除操作。