華為雲技術分享雲容器引擎 CCE許可權管理實踐

隨著容器化的快速發展，大資料原有的分布式任務排程模式，正在被基於kubernetes的技術架構所取代。cce雲容器引擎是華為雲推出的支援kubernetes社群原生應用和工具，應用級自動彈性伸縮，自動化搭建雲上容器平台。使用者通過雲容器引擎可以快速高效的將微服務部署在雲端。

為方便管理員對cce資源的許可權管理，後台提供了多種維度的細粒度許可權管理。cce的許可權管理包括「集群許可權」和「命名空間許可權」兩種能力，分別從集群和命名空間層面對使用者組或使用者進行細粒度授權，具體解釋如下：

集群許可權：是基於iam系統策略的授權，可以讓使用者組擁有「集群管理」、「節點管理」、「節點池管理」、「模板市場」、「外掛程式管理」許可權。

命名空間許可權：是基於kubernetes rbac能力的授權。可以讓使用者或使用者組擁有「工作負載」、「網路管理」、「儲存管理」、「命名空間」許可權。

基於iam系統策略的「集群許可權」與基於kubernetes rbac能力的命名空間許可權，兩者是完全獨立的，互不影響，但要配合使用。同時，為使用者組設定的許可權將作用於使用者組下的全部使用者。當給使用者或使用者組新增多個許可權時，多個許可權會同時生效（取並集）。

通常乙個公司中有多個部門或專案，每個部門又有多個成員。所以，在配置許可權時需要進行詳細設計。如下圖所示的組織架構圖，許可權該如何設定呢？

主管：d**id

由於d**id需要配置cce相關的所有許可權（包括集群、k8s資源等）。所以，單獨為d**id建立使用者組「cce-admin」，並配置所有專案的許可權：「cce administrator」。

的管理員許可權，擁有該服務的所有許可權，不需要再賦予其他許可權。

cce fullaccess

、cce readonlyaccess

：cce

的集群管理許可權，僅針對與集群相關的資源（如集群、節點）有效，您必須確保同時配置了「命名空間許可權」，才能有操作

kubernetes

資源（如工作負載、

service

等）的許可權。

運維組長：james

為james建立使用者組「cce-sre」，並配置所有專案的許可權：「cce fullaccess」。自此，便有了所有專案的集群管理許可權。

由於很多任務程師都需要唯讀許可權，所以，應建立唯讀使用者組「read_only」。然後，將相關使用者都新增到此使用者組。最後，在cce的「許可權管理」、「命名空間許可權」介面為此使用者組逐個賦予所有集群的「view」許可權。

開發組長：robert

由於開發組成員並不需要配置集群管理許可權，但也要有介面的唯讀許可權，所以，應賦予唯讀使用者組「read_only」cce介面的唯讀許可權。

同時，再另外賦予其k8s資源的管理員許可權。

運維工程師：william

為william建立使用者組「cce-sre-b4」，然後配置北京四項目的「cce fullaccess」。

開發工程師：linda、peter

由於前面已經在使用者組「read-only」中為兩位工程師配置的全域性的唯讀許可權，這裡只需要再另外配置相應的管理許可權即可。

小問題：

能否只配置命名空間許可權，不配置集群管理許可權？

由於介面許可權是由iam系統策略進行判斷，所以，如果未配置集群管理許可權，就沒有開啟介面的許可權。

那是否可以使用api呢？

答案也是否定的，因為api都需要進行iam的token認證。

那是否可以使用kubectl命令呢？

華為雲技術分享 雲容器引擎 CCE許可權管理實踐