集群和项目角色
集群和项目角色定义集群或项目内的用户授权。
要管理这些角色:
-
单击 ☰ > 用户 & 认证。
-
在左侧导航栏中,单击角色并转到集群或项目或命名空间选项卡。
成员资格和角色分配
非管理用户可以访问的项目和集群由 成员资格 决定。成员资格是根据该集群或项目中分配的角色而有权访问特定集群或项目的用户列表。每个集群和项目都包含一个选项卡,具有适当权限的用户可以使用该选项卡来管理成员资格。
创建集群或项目时,Rancher 会自动将创建者分配为所有者
。分配了所有者
角色的用户可以在集群或项目中给其他用户分配角色。
默认情况下,非管理员用户无法访问任何现有项目/集群。具有适当权限的用户(通常是所有者)必须显式分配项目和集群成员资格。 |
集群角色
集群角色 是你可以分配给用户的角色,以授予他们对集群的访问权限。集群的两个主要角色分别是所有者
和成员
。
-
集群所有者:
可以完全控制集群及其中的所有资源。
-
集群成员:
可以查看大多数集群级别的资源并创建新项目。
自定义集群角色
Rancher 支持将 自定义集群角色 分配给普通用户,而不是典型的所有者
或成员
角色。这些角色可以是内置的自定义集群角色,也可以是 Rancher 管理员定义的角色。这些角色便于为集群内的普通用户定义更受限或特定的访问权限。有关内置自定义集群角色的列表,请参阅下表。
集群角色参考
下表列出了可用的内置自定义集群角色,以及默认的集群级别角色集群所有者
和集群成员
是否包含该权限:
内置集群角色 | 所有者 | 成员 |
---|---|---|
创建项目 |
✓ |
✓ |
管理集群备份 |
✓ |
|
管理集群应用商店 |
✓ |
|
管理集群成员 |
✓ |
|
管理节点(见下表) |
✓ |
|
管理存储 |
✓ |
|
查看所有项目 |
✓ |
|
查看集群应用商店 |
✓ |
✓ |
查看集群成员 |
✓ |
✓ |
查看节点 |
✓ |
✓ |
管理节点权限
下表列出了 RKE 和 RKE2 中管理节点
角色可用的权限:
管理节点权限 | RKE | RKE2 |
---|---|---|
SSH 访问 |
✓ |
✓ |
删除节点 |
✓ |
✓ |
集群的垂直扩缩容 |
✓ |
* |
*在 RKE2 中,你必须拥有编辑集群的权限才能对集群进行垂直扩缩容。
如果需要了解各个集群角色如何访问 Kubernetes 资源,在 Rancher UI 中找到这些角色:
-
在左上角,单击 ☰ > 用户 & 认证。
-
在左侧导航栏中,单击角色。
-
单击集群选项卡。
-
单击角色的名称。表格会显示角色授权的所有操作和资源。
在查看 Rancher 创建的默认角色关联的资源时,如果在一行上有多个 Kubernetes API 资源,则该资源将带有 |
为集群成员提供自定义集群角色
在管理员设置自定义集群角色后,集群所有者和管理员可以将这些角色分配给集群成员。
要将自定义角色分配给新的集群成员,你可以使用 Rancher UI。要修改现有成员的权限,你需要使用 Rancher API 视图。
要将角色分配给新的集群成员:
-
点击 ☰ > 集群管理。
-
转到要将角色分配给成员的集群,然后单击 Explore。
-
点击
。 -
单击添加。
-
在集群权限中,选择要分配给成员的自定义集群角色。
-
单击创建。
结果:成员具有所分配的角色。
要将自定义角色分配给现有集群成员:
-
单击 ☰ > 用户 & 认证。
-
找到要分配角色的成员。单击 ⋮ > 编辑配置。
-
如果你添加了自定义角色,它们将显示在自定义中。选择要分配给成员的角色。
-
单击保存。
结果:成员具有所分配的角色。
项目角色
项目角色 是用于授予用户访问项目权限的角色。主要的项目角色分别是所有者
、成员
和只读
。
-
项目所有者:
可以完全控制项目及其中的所有资源。
-
项目成员:
可以管理项目范围的资源,如命名空间和工作负载,但不能管理其他项目成员。
默认情况下,Rancher 的 |
-
只读:
可以查看项目中的所有内容,但不能创建、更新或删除任何内容。
如果用户分配到了项目的 |
自定义项目角色
Rancher 支持将 自定义项目角色 分配给普通用户,而不是典型的所有者
、成员
或只读
角色。这些角色可以是内置的自定义项目角色,也可以是 Rancher 管理员定义的角色。这些角色便于为项目内的普通用户定义更受限或特定的访问权限。有关内置自定义项目角色的列表,请参阅下表。
项目角色参考
下表列出了 Rancher 中可用的内置自定义项目角色,以及这些角色是否由所有者
,成员
或只读
角色授予的:
注意事项:
|
定义自定义角色
如前所述,你可以定义自定义角色,并将这些角色用在集群或项目中。上下文字段定义了角色是否显示在集群成员页面、项目成员页面或同时显示在这两个页面。
定义自定义角色时,你可以授予对特定资源的访问权限,或指定自定义角色应继承的角色。自定义角色可以由特定授权和继承角色组成。所有授权都是累加的。换言之,如果你为特定资源定义更受限的授权,自定义角色继承的角色中定义的更广泛的授权不会被覆盖。