Exemplo: projetar e configurar permissões para usuários em um departamento
Visão geral
O modo convencional de agendamento de tarefas distribuídas está sendo substituído pelo Kubernetes. O CCE permite que você implemente, gerencie e dimensione facilmente aplicações em contêiner na nuvem, fornecendo suporte para você usar o Kubernetes.
Para ajudar os administradores empresariais a gerenciar permissões de recursos em clusters, o CCE fornece políticas de permissão e medidas de gerenciamento multidimensionais e refinadas. As permissões do CCE são descritas a seguir:
- Cluster-level permissions: permitindo que um grupo de usuários execute operações em clusters, nós, pools de nós, gráficos e complementos. Essas permissões são atribuídas com base nas políticas do sistema do IAM.
- Namespace-level permissions: permitindo que um usuário ou grupo de usuários execute operações em recursos do Kubernetes, como cargas de trabalho, rede, armazenamento e namespaces. Essas permissões são atribuídas com base no Kubernetes RBAC.
Permissões de cluster e permissões de namespace são independentes uma da outra, mas devem ser usadas juntas. As permissões definidas para um grupo de usuários aplicam-se a todos os usuários no grupo de usuários. Quando várias permissões são adicionadas a um usuário ou grupo de usuários, elas entram em vigor ao mesmo tempo (o conjunto de união é usado).
Design de permissão
A seguir, a empresa X é usada como exemplo.
Geralmente, uma empresa tem vários departamentos ou projetos, e cada departamento tem vários membros. Projete como as permissões devem ser atribuídas a diferentes grupos e projetos e defina um nome de usuário para cada membro para facilitar a configuração de permissões e grupos de usuários subsequentes.
A figura a seguir mostra a estrutura organizacional de um departamento em uma empresa e as permissões a serem atribuídas a cada membro:
Diretor: o David
David é diretor de departamento da empresa X. Para atribuir a ele todas as permissões de CCE (permissões de cluster e namespace), crie o grupo de usuários cce-admin para David no console do IAM e atribua a função de CCE Administrator.
CCE Administrator: esta função tem todas as permissões do CCE. Você não precisa atribuir outras permissões.
CCE FullAccess e CCE ReadOnlyAccess: essas políticas estão relacionadas às permissões de gerenciamento de clusters e configuradas apenas para recursos relacionados a clusters (como clusters e nós). Você também deve configurar permissões de namespace para executar operações em recursos do Kubernetes (como cargas de trabalho e Serviços).
Líder de O&M: James
James é o líder da equipe de O&M do departamento. Ele precisa das permissões de cluster para todos os projetos e das permissões somente leitura para todos os namespaces.
Para atribuir as permissões, crie um grupo de usuários chamado cce-sre no console do IAM e adicione James a esse grupo de usuários. Em seguida, atribua CCE FullAccess ao grupo de usuários cce-sre para permitir que ele execute operações em clusters em todos os projetos.
Atribuir permissões somente leitura em todos os clusters e namespaces a todos os líderes de equipe e engenheiros
Você pode criar um grupo de usuários somente leitura chamado read_only no console do IAM e adicionar usuários ao grupo de usuários.
- Embora os engenheiros de desenvolvimento Linda e Peter não exijam permissões de gerenciamento de cluster, eles ainda precisam visualizar dados no console do CCE. Por conseguinte, a permissão de cluster de somente leitura é necessária.
- Para o engenheiro de O&M William, atribua a ele a permissão somente leitura em clusters nesta etapa.
- O líder da equipe de O&M, James, já tem as permissões de gerenciamento em todos os clusters. Você pode adicioná-lo ao grupo de usuários read_only para atribuir a permissão somente leitura em clusters a ele.
Os usuários James, Robert, William, Linda e Peter são adicionados ao grupo de usuários read_only.
Atribua a permissão somente leitura em clusters ao grupo de usuários read_only.
Retorne ao console do CCE e adicione a permissão somente leitura em namespaces ao grupo de usuários read_only ao qual os cinco usuários pertencem. Escolha Permissions no console do CCE, e atribua a política somente leitura ao grupo de usuários read_only para cada conjunto.
Após a conclusão da configuração, James tem as permissões de gerenciamento de cluster para todos os projetos e as permissões somente leitura em todos os namespaces, e Robert, William, Linda e Peter têm a permissão read-only em todos os clusters e namespaces.
Líder da equipe de desenvolvimento: Robert
Nas etapas anteriores, o Robert recebeu a permissão somente leitura em todos os clusters e namespaces. Agora, atribua as permissões de administrador em todos os namespaces para o Robert.
Portanto, atribua as permissões de administrador em todos os namespaces em todos os clusters para o Robert.
Engenheiro de O&M: William
Nas etapas anteriores, o William recebeu a permissão somente leitura em todos os clusters e namespaces. Ele também exige as permissões de gerenciamento de cluster em sua região. Portanto, você pode fazer logon no console do IAM, criar um grupo de usuários chamado cce-sre-b4 e atribuir CCE FullAccess ao William para sua região.
Agora, William tem as permissões de gerenciamento de cluster para sua região e a permissão somente leitura em todos os namespaces.
Engenheiros de desenvolvimento: Linda e Peter
Nas etapas anteriores, Linda e Peter receberam a permissão somente leitura em clusters e namespaces. Portanto, você só precisa atribuir a política de editar a eles.
Até agora, todas as permissões necessárias são atribuídas aos membros do departamento.
