检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
限。 操作步骤 登录云容器实例管理控制台,在左侧导航栏中选择“权限管理”,进入权限管理页面。 单击“添加授权”,进入添加授权页面。 图1 添加授权 在添加授权页面,选择要授权使用的命名空间,此处选择“rbac-test-3”。 图2 选择命名空间 为“委托账号”增加“admin”权限,在展开的选项中进行如下配置:
授权项分类 表1 Namespace 权限 对应API接口 授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建Namespace POST /api/v1/namespaces CCI:namespace:create √ √ 查询namespace
定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IA
权限和授权项 权限及授权项说明 授权项分类
服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的CCI权限,并结合实际需求进行选择,CCI支持的系统策略,请参见CCI系统策略。如果您需要对除CCI之外的其它服务授权,IAM支持服务的所有策略请参见权限策略。
ew权限为例,被授权的CCI CommonOperations用户在该Namespace下只有只读权限。 登录云容器实例管理控制台,在左侧导航栏中选择“权限管理”,进入权限管理页面。 单击“添加授权”,进入添加授权页面。 图1 添加授权 在添加授权页面,选择要授权使用的命名空间,
启动命令 启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前解决。您可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成。
容器启动命令 启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前解决。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或C
} ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version":
其他负载通过“服务名称:端口”方法),将“服务名称”定义为mysql,并指定负载访问端口3306映射到容器的3306端口(mysql镜像的默认访问端口)。 这样在云容器实例内部,通过mysql:3306就可以访问MySQL负载。 配置完成后,单击“下一步”,确认规格后单击“提交”。
https://wordpress.org/。 WordPress需配合MySQL一起使用,WordPress运行内容管理程序,MySQL作为数据库存储数据。在容器中运行通常会将WordPress和MySQL分别运行两个容器中,如下图所示。 父主题: 负载创建
n。 支持对当前用户下的所有命名空间进行授权,以提供更好的前端显示体验。 如果同时基于IAM,授予系统角色(IAM RBAC授权)和授予自定义策略(IAM细粒度授权),则判定CCI权限的优先级顺序为:IAM RBAC授权>IAM细粒度授权。 图1 CCI权限管理 命名空间权限 Kubernetes
使用容器引擎可以直接运行Wordpress和MySQL,且可以使用--link参数将两个容器连接,在不改动代码的情况下让Wordpress的容器访问MySQL的容器。 执行下面的命令运行MySQL。 docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=********
"{{subnet-id}}" } } MySQL 调用创建Deployment接口部署MySQL。 Deployment名称为mysql。 设置Pod的标签为app:mysql。 使用mysql:5.7镜像。 设置容器环境变量MYSQL_ROOT_PASSWORD为“********”,请替换为您设置的密码。
name: mysql spec: replicas: 1 selector: matchLabels: name: mysql template: metadata: labels: name: mysql
limits: memory: "256Mi" cpu: "250m" - name: mysql-checker image: centos resources: requests: memory:
更细粒度更灵活。 两种授权模型场景下的策略、授权项等并不互通,推荐使用基于策略授权的模型进行授权。角色授权系统权限和策略授权系统权限分别介绍两种模型的系统权限。 关于IAM的详细介绍,请参见IAM产品介绍。 角色授权系统权限 CCI服务支持基于角色授权的授权模型。默认情况下,管理
权限管理 CCI权限说明 创建用户并授权使用CCI 为用户/用户组授权命名空间权限 为委托账号授权命名空间权限 CCI自定义策略 委托联邦用户管理资源 系统委托说明
n。 支持对当前用户下的所有命名空间进行授权,以提供更好的前端显示体验。 如果同时基于IAM,授予系统角色(IAM RBAC授权)和授予自定义策略(IAM细粒度授权),则判定CCI权限的优先级顺序为:IAM RBAC授权>IAM细粒度授权。 图1 CCI权限管理 命名空间权限 Kubernetes
该权限在所有区域项目中都生效。访问CCI时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系,因此给用户授予角色
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
