红帽全球峰会第 1 章 保护集群
您可能需要手动创建和管理集群上的访问控制。要做到这一点,您必须配置 Red Hat Advanced Cluster Management for Kubernetes 的身份验证服务 要求,以便将工作负载加载到 Identity and Access Management (IAM)。
使用基于角色的访问控制和身份验证来识别用户关联的角色和集群凭证。要创建和管理集群凭证,请通过访问存储它们的 Kubernetes secret 来访问凭证。有关访问和凭证的详情,请查看以下文档:
需要的访问权限:集群管理员
1.1. 基于角色的访问控制
Red Hat Advanced Cluster Management for Kubernetes 支持的基于角色的控制访问(RBAC)。您的角色决定了您可以执行的操作。RBAC 基于 Kubernetes 中的授权机制,类似于 Red Hat OpenShift Container Platform。如需有关 RBAC 的更多信息,请参阅 OpenShift Container Platform 文档中的 RBAC 概述。
备注: 如果用户角色访问不可用,则控制台中的 Action 按钮会被禁用。
1.1.1. 角色概述
有些产品资源是基于集群范围的,有些则是命名空间范围。您必须将集群角色绑定和命名空间角色绑定应用到用户,以使访问控制具有一致性。查看 Red Hat Advanced Cluster Management for Kubernetes 支持的以下角色定义表列表:
| 角色 | 定义 |
|
|
这是 OpenShift Container Platform 的默认角色。具有集群范围内的绑定到 |
|
|
具有集群范围内的绑定到 |
|
|
具有集群范围内的绑定到 |
|
|
具有集群范围内的绑定到 |
|
|
具有集群范围内的绑定到 |
|
|
具有集群范围内的绑定到 |
|
|
具有 |
| admin, edit, view |
admin、edit 和 view 是 OpenShift Container Platform 的默认角色。具有命名空间范围绑定的用户可以访问特定命名空间中的 |
|
|
带有 |
重要:
- 任何用户都可以从 OpenShift Container Platform 创建项目,这为命名空间授予管理员角色权限。
-
如果用户无法访问集群的角色,则不会显示集群名称。集群名称可能显示有以下符号:
-。
1.1.2. 控制台和 API RBAC 表
要了解组件的基于角色的访问控制,请查看以下控制台和 API RBAC 表:
| 资源 | Admin | Edit | View |
|---|---|---|---|
| Application | 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
| Channel | 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
| Subscription | 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
| API | Admin | Edit | View |
|---|---|---|---|
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
|
| 创建、读取、更新、删除 | 创建、读取、更新、删除 | 读取 |
| 资源 | Admin | Edit | View |
|---|---|---|---|
| 策略(policy) | 创建、读取、更新、删除 | 读取、更新 | 读取 |
| PlacementBindings | 创建、读取、更新、删除 | 读取、更新 | 读取 |
| 放置 | 创建、读取、更新、删除 | 读取、更新 | 读取 |
| PlacementRules (已弃用) | 创建、读取、更新、删除 | 读取、更新 | 读取 |
| PolicyAutomations | 创建、读取、更新、删除 | 读取、更新 | 读取 |
| API | Admin | Edit | View |
|---|---|---|---|
|
| 创建、读取、更新、删除 | 读取、更新 | 读取 |
|
| 创建、读取、更新、删除 | 读取、更新 | 读取 |
|
| 创建、读取、更新、删除 | 读取、更新 | 读取 |
| API | Admin | Edit | View |
|
| create、read、update 和 delete | 读取、更新 | 读取 |
|
| create, get, list, watch, update, delete, patch | - | - |
|
| get、list、watch | get、list、watch | get、list、watch |
| 角色 | 角色描述 |
|
| 仅查看集群中的所有 Red Hat OpenShift Virtualization 资源。 |
|
| 在集群中创建、查看、编辑和删除 Red Hat OpenShift Virtualization 资源。 |
|
|
为 Red Hat OpenShift Virtualization 创建、查看、编辑和删除资源。您还可以访问 |
|
|
默认 |
|
|
默认 |
|
| 授予跨集群虚拟机迁移的管理员特权。授予从 hub 集群查看 multicluster Red Hat OpenShift Virtualization 控制台中的虚拟机的先决条件。 |
|
| 仅为集群间虚拟机迁移授予查看权限。授予从 hub 集群查看 multicluster Red Hat OpenShift Virtualization 控制台中的虚拟机的先决条件。 |
1.1.3. 其他资源
- 要了解每个组件可以完成的操作,请参阅实施基于角色的访问控制 以了解更多详细信息。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}