华为云UCS-权限管理:集群中Kubernetes资源权限

时间:2024-09-11 14:53:05

集群中Kubernetes资源权限

集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权,管理员可授予用户针对集群内特定Kubernetes资源对象的细化权限。这些资源包括集群级资源和命名空间级资源,细化的操作权限包括get、list、watch、create、update、patch,以及delete,权限最终作用在舰队或未加入舰队的集群的命名空间上。操作权限的说明如下:

  • get:按名称检索特定的资源对象。
  • list:检索命名空间中特定类型的所有资源对象。
  • watch:响应资源变化。
  • create:创建资源。
  • update:更新资源。
  • patch:局部更新资源。
  • delete:删除资源。

关于集群级资源、命名空间级资源的解释,请参考Kubernetes资源对象

例如,按照图1所示的方案配置权限后,用户A仅能对舰队的命名空间A中的Deployment、Pod、Service执行get、list、watch(只读操作)权限,而用户B可以对舰队的命名空间B中的全部资源执行全部操作。

图1 Kubernetes资源授权示意图

在U CS 控制台中内置了三种常见的权限类型:管理员权限、开发权限、只读权限,您可以直接使用这些权限类型为用户授权。当然,如果现有权限类型无法满足您的需求,也可以自定义权限,只需要指定操作类型和资源对象即可。

表3 权限类型说明

权限类型

说明

管理员权限

对所有Kubernetes资源对象的读写权限

开发权限

对大多数Kubernetes资源对象的读写权限,对命名空间、资源配额等Kubernetes资源对象的只读权限

只读权限

对所有Kubernetes资源对象的只读权限

support.huaweicloud.com/productdesc-ucs/ucs_productdesc_0009.html