搜索

7.2. 授予用户权限来监控用户定义的项目

download PDF

集群管理员可以监控所有 OpenShift Container Platform 核心项目和用户定义的项目。

您还可以向开发人员和其他用户授予不同的权限:

  • 监控用户定义的项目
  • 配置用于监控用户定义的项目的组件
  • 为用户定义的项目配置警报路由
  • 为用户定义的项目管理警报和静默

您可以通过分配以下监控角色或集群角色之一来授予权限:

表 7.1. 监控角色
角色名称描述项目

user-workload-monitoring-config-edit

具有此角色的用户可以编辑 user-workload-monitoring-config ConfigMap 对象,为用户定义的工作负载监控配置 Prometheus、Prometheus Operator、Alertmanager 和 Thanos Ruler。

openshift-user-workload-monitoring

monitoring-alertmanager-api-reader

如果启用了用户定义的 Alertmanager,具有此角色的用户对用户定义的 Alertmanager API 具有读取访问权限。

openshift-user-workload-monitoring

monitoring-alertmanager-api-writer

如果启用了用户定义的 Alertmanager,具有此角色的用户对用户定义的 Alertmanager API 具有读写访问权限。

openshift-user-workload-monitoring

表 7.2. 监控集群角色
集群角色名称描述项目

monitoring-rules-view

具有此集群角色的用户具有用户定义的项目的 PrometheusRule 自定义资源(CR)的读取访问权限。它们也可以在 OpenShift Container Platform Web 控制台的 Developer 视角中查看警报和静默。

可以与 RoleBinding 绑定到任何用户项目。

monitoring-rules-edit

具有此集群角色的用户可为用户定义的项目创建、修改和删除 PrometheusRule CR。它们也可以在 OpenShift Container Platform Web 控制台的 Developer 视角中管理警报和静默。

可以与 RoleBinding 绑定到任何用户项目。

monitoring-edit

具有此集群角色的用户具有与具有 monitoring-rules-edit 集群角色的用户相同的权限。另外,用户可以创建、读取、修改和删除 ServiceMonitorPodMonitor 资源,以从服务和 pod 中提取指标。

可以与 RoleBinding 绑定到任何用户项目。

alert-routing-edit

具有此集群角色的用户可为用户定义的项目创建、更新和删除 AlertmanagerConfig CR。

可以与 RoleBinding 绑定到任何用户项目。

其他资源

7.2.1. 使用 Web 控制台授予用户权限

您可以使用 OpenShift Container Platform Web 控制台为 openshift-monitoring 项目或自己的项目授予用户权限。

先决条件

  • 您可以使用具有 cluster-admin 集群角色的用户身份访问集群。
  • 要将角色分配到的用户帐户已存在。

流程

  1. 在 OpenShift Container Platform Web 控制台的 Administrator 视角中,进入 User Management RoleBindings Create binding
  2. Binding Type 部分中,选择 Namespace Role Binding 类型。
  3. Name 字段中输入角色绑定的名称。
  4. Namespace 字段中,选择要授予访问权限的项目。

    重要

    您使用此流程向用户授予的监控角色或集群角色权限只适用于您在 Namespace 字段中选择的项目。

  5. Role Name 列表中选择监控角色或集群角色。
  6. Subject 部分,选择 User
  7. Subject Name 字段中,输入用户名称。
  8. 选择 Create 以应用角色绑定。

7.2.2. 使用 CLI 授予用户权限

您可以使用 OpenShift CLI (oc)为 openshift-monitoring 项目或自己的项目授予用户权限。

重要

无论您选择的角色或集群角色,都必须作为集群管理员将其与特定项目进行绑定。

先决条件

  • 您可以使用具有 cluster-admin 集群角色的用户身份访问集群。
  • 要将角色分配到的用户帐户已存在。
  • 已安装 OpenShift CLI(oc)。

流程

  • 要为项目的用户分配监控角色,请输入以下命令:

    $ oc adm policy add-role-to-user <role> <user> -n <namespace> --role-namespace <namespace> 1
    1
    <role > 替换为您要监控角色,<user> 替换为您要为其分配角色的用户,& lt;namespace > 替换为您要授予访问权限的项目。
  • 要为项目的用户分配监控集群角色,请输入以下命令:

    $ oc adm policy add-cluster-role-to-user <cluster-role> <user> -n <namespace> 1
    1
    <cluster-role > 替换为您要监控 集群角色,<user> 替换为您要为其分配集群角色的用户,将 & lt;namespace > 替换为您要授予访问权限的项目。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.