文档首页/ 华为云UCS/ 用户指南/ 权限管理/ 示例:某公司权限设计及配置
更新时间:2024-06-17 GMT+08:00

示例:某公司权限设计及配置

假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理,可以实现精细化授权的目标。

图1 组织结构示意图
  • 行管团队:负责管理公司所有资源的团队。
  • 开发团队:负责业务开发的团队。
  • 运维团队:负责查看并监控所有资源使用情况的团队。
  • 访客:预留的只读权限团队,指那些仅具有查看资源权限的人员。

通过表1,给公司不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。

表1 权限设置

职能团队

需要授予的策略

权限说明

行管团队

UCS FullAccess

UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。

开发团队

UCS CommonOperations

UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。

运维团队

UCS CIAOperations

UCS服务容器智能分析管理员权限。

访客

UCS ReadOnlyAccess

UCS服务只读权限(除容器智能分析只读权限)。

权限设计

公司不同的职能团队针对UCS资源的操作范围如下图所示:

图2 UCS资源操作全景
  • :由Tenant Administrator角色的管理员为各个职能团队授权。
  • :拥有UCS FullAccess权限的行管团队负责创建舰队、注册集群、将集群加入舰队,以及开通集群联邦能力,搭建多集群联邦基础设施。同时,行管团队创建权限,并将权限关联至舰队或未加入舰队的集群,使开发团队对具体的Kubernetes资源拥有相应的操作权限。
  • :拥有UCS CommonOperations权限的开发团队执行创建工作负载、流量分发等操作。
  • :拥有UCS CIAOperations权限的运维团队执行监控运维等操作。
  • :拥有UCS ReadOnlyAccess权限的访客进行集群、舰队、工作负载等资源的查看操作。

管理员:IAM授权

Tenant Administrator管理员按照图3方式为各个职能团队进行IAM授权,即:先创建四个用户组,分别为这些用户组授予UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess权限,然后为各个用户组添加用户。

图3 IAM授权方式

例如:为开发团队创建用户组dev,授予UCS CommonOperations权限,并添加devuser1、devuser2两个用户。

图4 授权记录
图5 用户管理

详细的操作指导请参见UCS服务资源权限(IAM授权)。需要注意的是,UCS的一些功能依赖其他云服务实现,在使用这些功能时,还需要授予其他云服务的权限。例如,创建权限时需要获取IAM用户列表,因此,为行管团队授予UCS FullAccess权限的同时还需授予VDC ReadOnlyAccess权限。

行管团队:搭建基础设施、配置权限策略

  1. 创建权限。

    为开发人员创建开发权限。

    图6 创建开发权限

  2. 创建舰队并将权限关联至舰队。

    舰队是多个集群的集合,舰队可以实现多集群的权限统一管理。行管人员关联上一步创建的开发权限至舰队,后续加入舰队的集群将拥有舰队的权限,这样开发人员就有操作舰队中集群资源(如创建工作负载)的权限了。详细的操作指导请参见管理容器舰队

  3. 注册集群,并将它们添加到舰队中。

    UCS服务支持注册华为云集群、本地集群、多云集群及附着集群,行管人员可以根据实际需求选择。详细的操作指导请参见华为云集群附着集群概述本地集群概述多云集群概述

  4. 开通集群联邦。

    集群联邦可以提供:多集群统一编排、跨集群弹性伸缩、跨集群服务发现、应用故障自动迁移等能力。集群联邦开通后,舰队内的成员集群将自动接入联邦。

开发团队:创建工作负载、流量分发

行管人员将多集群联邦基础设施搭建完成后,开发人员就可以使用这些基础设施资源了,详细的操作指导请参见工作负载流量分发

运维团队:查看并监控资源使用情况

运维人员利用容器智能分析提供的智能分析、仪表盘、通知配置、7x24小时守护功能,实时监控工作负载资源,分析应用健康状态,以及完成其他日常运维工作。详细的操作指导请参见容器智能分析

访客:查看资源

访客(仅具有查看资源权限的人员)可执行集群、舰队、工作负载等资源的查看操作。