2.3. OpenShift 4.x 上 Fuse 控制台的基于角色的访问控制
Fuse 控制台提供基于角色的访问控制(RBAC),它根据 OpenShift 提供的用户授权推断访问。在 Fuse 控制台中,RBAC 决定用户在 pod 上执行 MBean 操作。
如需有关 OpenShift 授权的信息,请参阅 OpenShift 文档中的使用 RBAC 定义和应用权限 部分。
当使用 Operator 在 OpenShift 上安装 Fuse 控制台时,默认启用基于角色的访问控制。
如果要使用模板安装 Fuse 控制台,为它实施基于角色的访问权限,则必须使用可通过 RBAC 配置的模板之一(fuse-console-cluster-rbac.yml 或 fuse-console-namespace-rbac.yml)来安装 Fuse 控制台,如 使用命令行在 OpenShift 4.x 上安装和部署 Fuse 控制台。
Fuse 控制台 RBAC 利用 OpenShift 中容器集资源的 操作动词 访问,以确定用户在 Fuse 控制台中对 pod 的 MBean 操作的访问。默认情况下,Fuse 控制台有两个用户角色:
admin
如果用户可以在 OpenShift 中更新 pod,则用户会限制 Fuse 控制台的 admin 角色。用户可以在 Fuse 控制台中为 pod 执行写入 MBean 操作。
viewer
如果用户可以在 OpenShift 中获取 pod,则用户会限制 Fuse 控制台的 viewer 角色。用户可以在 Fuse 控制台中为 pod 执行 只读 MBean 操作。
如果您使用非RBAC 模板安装 Fuse 控制台,则只有授予 pod 资源 更新 动词的 OpenShift 用户有权执行 Fuse Console MBeans 操作。授予 pod 资源的 get 动词的 用户可以查看 pod,但不能执行任何 Fuse 控制台操作。
其他资源
2.3.1. 确定 OpenShift 4.x 上 Fuse 控制台的访问角色
Fuse 控制台基于角色的访问控制是从用户的 pod 的 OpenShift 权限中推断出来的。要确定向特定用户授予的 Fuse 控制台访问角色,请获取授予 Pod 用户的 OpenShift 权限。
先决条件
- 您知道用户名。
- 您知道 pod 的名称。
流程
要确定用户是否有用于 pod 的 Fuse Console admin 角色,请运行以下命令来查看用户是否可以更新 OpenShift 上的 pod:
oc auth can-i update pods/<pod> --as <user>
如果响应是
yes,则用户具有 pod 的 Fuse 控制台 管理员角色。用户可以在 Fuse 控制台中为 pod 执行写入 MBean 操作。要确定用户是否有用于 pod 的 Fuse Console viewer 角色,请运行以下命令来查看用户是否可以在 OpenShift 上获取 pod:
oc auth can-i get pods/<pod> --as <user>
如果响应是
yes,则用户具有 pod 的 Fuse Console viewer 角色。用户可以在 Fuse 控制台中为 pod 执行 只读 MBean 操作。根据上下文,Fuse 控制台可防止具有 viewer 角色的用户 执行写入 MBean 操作,方法是禁用一个选项,或者在用户尝试写入 MBean 操作时显示"operation not allowed for this user"消息。如果没有,则用户不绑定到任何 Fuse 控制台角色,用户无法在 Fuse 控制台中查看 pod。
2.3.2. 在 OpenShift 4.x 上自定义对 Fuse 控制台进行基于角色的访问权限
如果您使用 OperatorHub 安装 Fuse 控制台,则默认启用 基于角色的访问控制(RBAC),如 OpenShift 4.x 上 Fuse Console 的基于角色的访问控制所述。如果要自定义 Fuse Console RBAC 行为,在部署 Fuse 控制台前,您必须提供 ConfigMap 文件(定义自定义 RBAC 行为)。您必须将自定义 ConfigMap 文件放在安装 Fuse Console Operator 的同一命名空间中。
如果您使用命令行模板安装 Fuse 控制台,则 deployment-cluster-rbac.yml 和 deployment-namespace-rbac.yml 模板会创建一个包含配置文件(ACL.yml)的 ConfigMap。配置文件定义 MBean 操作允许的角色。
前提条件
-
您可以使用 OperatorHub 或其中一个 Fuse 控制台 RBAC 模板(
deployment-cluster-rbac.yml或deployment-namespace-rbac.yml)安装 Fuse 控制台。
流程
自定义 Fuse 控制台 RBAC 角色:
如果使用命令行安装 Fuse 控制台,安装模板会包含默认的 ConfigMap 文件,以便您可以跳过下一步。
如果您在部署 Fuse 控制台前,使用 OperatorHub 安装 Fuse 控制台,则创建一个 RBAC ConfigMap:
确保当前的 OpenShift 项目是您要安装 Fuse 控制台的项目。例如,如果您要在 fusetest 项目中安装 Fuse 控制台,请运行以下命令:
oc project fusetest
要从模板创建 Fuse Console RBAC ConfigMap 文件,请运行以下命令:
oc process -f {sb2-templates-base-url}/fuse-console-operator-rbac.yml -p APP_NAME=fuse-console | oc create -f -
运行以下命令,在编辑器中打开 ConfigMap:
oc edit cm $APP_NAME-rbac
例如:
oc edit cm fuse-console-rbac
- 编辑该文件。
- 保存文件以使改变生效。OpenShift 会自动重启 Fuse 控制台 Pod。
2.3.3. 在 OpenShift 4.x 上为 Fuse 控制台禁用基于角色的访问控制
如果您使用命令行安装 Fuse 控制台,并且指定了 Fuse 控制台 RBAC 模板之一,Fuse Console 的 HAWTIO_ONLINE_RBAC_ACL 环境变量会将基于角色的访问控制(RBAC) ConfigMap 配置文件路径传递给 OpenShift 服务器。如果没有指定 HAWTIO_ONLINE_RBAC_ACL 环境变量,则禁用 RBAC 支持,并且只有被授予 pod 资源(OpenShift 中) 更新 动词的用户才会在 Fuse 控制台中调用 pod 的 MBeans 操作。
请注意,当您使用 OperatorHub 安装 Fuse 控制台时,默认启用基于角色的访问控制,并且不会应用 HAWTIO_ONLINE_RBAC_ACL 环境变量。
前提条件
您可以使用命令行安装 Fuse 控制台,并指定其中一个 Fuse 控制台 RBAC 模板(deployment-cluster-rbac.yml 或 deployment-namespace-rbac.yml)。
流程
为 Fuse 控制台禁用基于角色的访问控制:
- 在 OpenShift 中,编辑 Fuse 控制台的 Deployment Config 资源。
删除整个
HAWTIO_ONLINE_RBAC_ACL环境变量定义。(请注意,仅清除其值并不够)。
- 保存文件以使改变生效。OpenShift 会自动重启 Fuse 控制台 Pod。
