4.2.4. 集群角色和本地角色
角色是策略 规则 的集合,这是一组可以对一组资源执行的允许动词。OpenShift Container Platform 包含一组默认的集群角色,可以绑定到集群范围 或 本地的 用户和组。
默认集群角色 | 描述 |
---|---|
admin | 项目管理者。如果 在本地绑定 中使用,admin 用户将有权查看项目中的任何资源,并且修改项目中除配额外的任何资源。 |
basic-user | 此用户可以获取有关项目和用户的基本信息。 |
cluster-admin | |
cluster-status | 此用户可以获取基本的集群状态信息。 |
edit | 此用户可以修改项目中的大多数对象,但没有权限查看或修改角色或绑定。 |
self-provisioner | 此用户可以创建自己的项目。 |
view | 此用户无法进行任何修改,但可以查看项目中的大多数对象。不能查看或修改角色或绑定。 |
cluster-reader | 此用户可以读取(但不能查看)集群中的对象。 |
请记住,用户和组可以同时关联或绑定到多个角色。
项目管理员可以视觉化角色,包括使用 CLI 关联的操作动词和资源列表 来查看本地角色和绑定。
通过 本地绑定 绑定到项目管理员的集群角色在项目中受到限制。它不会像授权给 cluster-admin 或 system : admin 的 集群角色那样在集群范围 绑定。
集群角色是在集群级别上定义的角色,但可以在集群级别或项目级别绑定。
4.2.4.1. 更新集群角色
任何 OpenShift Container Platform 集群升级后,会在服务器启动时更新默认角色并自动协调。在协调过程中,会添加默认角色中缺少的任何权限。如果您向角色添加了更多权限,则不会删除它们。
如果您自定义默认角色并配置了这些角色以防止自动角色协调,则必须在升级 OpenShift Container Platform 时 手动更新策略定义。