如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

隨著容器化的快速發(fā)展，大數(shù)據(jù)原有的分布式任務(wù)調(diào)度模式，正在被基于Kubernetes的技術(shù)架構(gòu)所取代。CCE云容器引擎是華為云推出的支持Kubernetes社區(qū)原生應(yīng)用和工具，應(yīng)用級自動彈性伸縮，自動化搭建云上容器平臺。用戶通過云容器引擎可以快速高效的將微服務(wù)部署在云端。

為方便管理員對CCE資源的權(quán)限管理，后臺提供了多種維度的細(xì)粒度權(quán)限管理。CCE的權(quán)限管理包括“集群權(quán)限”和“命名空間權(quán)限”兩種能力，分別從集群和命名空間層面對用戶組或用戶進(jìn)行細(xì)粒度授權(quán)，具體解釋如下：

集群權(quán)限：  是基于IAM系統(tǒng)策略的授權(quán)，可以讓用戶組擁有“集群管理”、“節(jié)點(diǎn)管理”、“節(jié)點(diǎn)池管理”、“模板市場”、“插件管理”權(quán)限。

命名空間權(quán)限：  是基于Kubernetes RBAC能力的授權(quán)。可以讓用戶或用戶組擁有“工作負(fù)載”、“網(wǎng)絡(luò)管理”、“存儲管理”、“命名空間”權(quán)限。

基于IAM系統(tǒng)策略的“集群權(quán)限”與基于Kubernetes RBAC能力的命名空間權(quán)限，兩者是完全獨(dú)立的，互不影響，但要配合使用。同時(shí)，為用戶組設(shè)置的權(quán)限將作用于用戶組下的全部用戶。當(dāng)給用戶或用戶組添加多個(gè)權(quán)限時(shí)，多個(gè)權(quán)限會同時(shí)生效（取并集）。

通常一個(gè)公司中有多個(gè)部門或項(xiàng)目，每個(gè)部門又有多個(gè)成員。所以，在配置權(quán)限時(shí)需要進(jìn)行詳細(xì)設(shè)計(jì)。如下圖所示的組織架構(gòu)圖，權(quán)限該如何設(shè)置呢？

主管：DAVID

由于DAVID需要配置CCE相關(guān)的所有權(quán)限（包括集群、k8s資源等）。所以，單獨(dú)為DAVID創(chuàng)建用戶組“cce-admin”，并配置所有項(xiàng)目的權(quán)限：“CCE Administrator”。

溫馨提示  ：

CCE Administrator：CCE的管理員權(quán)限，擁有該服務(wù)的所有權(quán)限，不需要再賦予其他權(quán)限。

CCE FullAccess、CCE ReadOnlyAccess：CCE的集群管理權(quán)限，僅針對與集群相關(guān)的資源（如集群、節(jié)點(diǎn)）有效，您必須確保同時(shí)配置了“命名空間權(quán)限”，才能有操作Kubernetes資源（如工作負(fù)載、Service等）的權(quán)限。

運(yùn)維組長：JAMES

為JAMES創(chuàng)建用戶組“cce-sre”，并配置所有項(xiàng)目的權(quán)限：“CCE FullAccess”。自此，便有了所有項(xiàng)目的集群管理權(quán)限。

由于很多工程師都需要只讀權(quán)限，所以，應(yīng)創(chuàng)建只讀用戶組“read_only”。然后，將相關(guān)用戶都添加到此用戶組。最后，在CCE的“權(quán)限管理”、“命名空間權(quán)限”界面為此用戶組逐個(gè)賦予所有集群的“view”權(quán)限。

開發(fā)組長：ROBERT

由于開發(fā)組成員并不需要配置集群管理權(quán)限，但也要有界面的只讀權(quán)限，所以，應(yīng)賦予只讀用戶組“read_only”CCE界面的只讀權(quán)限。

同時(shí)，再另外賦予其k8s資源的管理員權(quán)限。

運(yùn)維工程師：WILLIAM

為WILLIAM創(chuàng)建用戶組“cce-sre-b4”，然后配置北京四項(xiàng)目的“CCE FullAccess”。

開發(fā)工程師：LINDA、PETER

由于前面已經(jīng)在用戶組“read-only”中為兩位工程師配置的全局的只讀權(quán)限，這里只需要再另外配置相應(yīng)的管理權(quán)限即可。

小問題：

能否只配置命名空間權(quán)限，不配置集群管理權(quán)限？

由于界面權(quán)限是由IAM系統(tǒng)策略進(jìn)行判斷，所以，如果未配置集群管理權(quán)限，就沒有打開界面的權(quán)限。

那是否可以使用API呢？

答案也是否定的，因?yàn)锳PI都需要進(jìn)行IAM的token認(rèn)證。

那是否可以使用kubectl命令呢？

答案是肯定的。但前提是要先從界面上下載kubectl配置文件。所以，如果先配置了集群權(quán)限，然后再界面下載認(rèn)證文件。后面再刪除集群管理權(quán)限（保留命名空間權(quán)限），依然可以使用kubectl來操作k8s集群。

上述就是小編為大家分享的如何進(jìn)行云容器引擎CCE權(quán)限管理實(shí)踐了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。