Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

19.7. 了解多租户

Red Hat Advanced Cluster Security for Kubernetes 提供了在 Central 实例中实现多租户的方法。

您可以使用 RHACS 中的基于角色的访问控制(RBAC)和访问范围来实施多租户。

19.7.1. 了解资源范围
复制链接

RHACS 包括 RBAC 中使用的资源。除了为资源关联权限外,每个资源也有范围。

在 RHACS 中,资源被限定为以下类型:

  • 全局范围,其中资源没有分配给任何集群或命名空间
  • 集群范围,其中将资源分配给特定的集群
  • 命名空间范围,其中将资源分配给特定命名空间

在创建自定义访问范围时,资源范围非常重要。自定义访问范围用于在 RHACS 中创建多租户。

只有属于集群或命名空间范围的资源只适用于访问范围中的范围。全局范围资源不受访问范围的范围。因此,RHACS 中的多租户只能针对由集群或命名空间范围的资源实现。

19.7.2. 每个命名空间的多租户配置示例
复制链接

RHACS 中多租户的常见示例是将用户与特定命名空间相关联,仅允许他们访问其特定命名空间。

以下示例组合了自定义权限集、访问范围和角色。使用此角色分配的用户或组只能查看 CVE 信息、违反以及特定命名空间中部署的信息。

流程

  1. 在 RHACS 门户中,选择 Platform Configuration Access Control
  2. 选择 Permission Sets
  3. Create permissions set
  4. 为权限集输入 NameDescription

  5. 选择以下资源和访问级别,然后点 保存

    • READ Alert
    • READ 部署
    • READ DeploymentExtension
    • READ 镜像
    • READ K8sRole
    • READ K8sRoleBinding
    • READ K8sSubject
    • READ NetworkGraph
    • READ NetworkPolicy
    • READ Secret
    • READ ServiceAccount
  6. 选择 Access Scopes
  7. 单击 Create access scope
  8. 为访问范围输入 NameDescription
  9. Allowed resources 部分中,选择您要用于范围的命名空间,然后单击 Save
  10. 选择 Roles
  11. 单击 Create role
  12. 输入角色的名称和描述。
  13. 选择之前创建的 Permission SetAccess 范围,然后单击 Save
  14. 将角色分配给您所需的用户或组。请参阅 将角色分配给用户或组
注意

与管理员可用的选项相比,带有示例角色的用户的 RHACS 仪表板选项会很小。只有相关页面对用户可见。

19.7.3. 限制:
复制链接

对于具有 全局范围 的资源,无法在 RHACS 中实现多租户。

以下资源有一个全局范围:

  • 权限
  • 管理
  • 检测
  • 集成
  • VulnerabilityManagementApprovals
  • VulnerabilityManagementRequests
  • WatchedImage
  • 工作流管理

这些资源在 RHACS Central 实例中的所有用户之间共享,且不能有范围。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat