控制用户权限
本节介绍如何创建用户,并使用企业空间、项目和角色控制用户的访问权限。有关用户权限控制的更多信息,请参阅用户和角色管理。
作为多租户系统,KubeSphere 支持在平台、集群、企业空间和项目级别基于角色对用户的权限进行控制,实现逻辑层面的资源隔离。
前提条件
您需要准备一个 Kubernetes 集群,并已安装 KubeSphere。
创建用户
使用默认用户 admin 和密码 P@88w0rd 登录 KubeSphere Web 控制台。
说明 为了您的账户安全,首次登录时系统会提示您修改密码。密码修改后,后续请使用新密码登录。
点击用户和角色管理。
在左侧导航栏,选择用户。
在用户列表页面,点击创建。
在创建用户对话框,输入以下必填参数:
用户名:用户的名称。
邮箱:用户的邮箱地址。
密码:用户的密码。
点击确定。用户创建后将显示在用户列表中。
创建企业空间
登录 KubeSphere Web 控制台。
点击企业空间管理,点击创建。
在创建企业空间的基本信息页面,输入企业空间的名称(例如 demo-workspace)。
说明 对于多集群环境,设置企业空间的基本信息后,点击下一步。在集群设置页面,选择企业空间需要使用的集群。
点击确定。企业空间创建后将显示在企业空间列表中。
创建企业空间角色
在企业空间列表页面,点击企业空间的名称 demo-workspace 进入该企业空间。
在左侧导航栏,选择企业空间设置 > 企业空间角色。
企业空间角色列表页面默认列出以下四个内置角色。
角色 描述 workspace-viewer
企业空间观察员,可以查看企业空间中的所有资源。
workspace-self-provisioner
企业空间普通成员,可以查看企业空间设置、管理应用模板、创建项目。
workspace-regular
企业空间普通成员,可以查看企业空间设置。
workspace-admin
企业空间管理员,可以管理企业空间中的所有资源。
说明 企业空间内置角色的名称以 <企业空间名称>-<角色名称> 格式显示。例如,在名称为 demo-workspace 的企业空间中,角色 admin 的实际角色名称为 demo-workspace-admin。
在企业空间角色列表页面,点击创建。
在创建企业空间角色对话框,输入名称,然后点击编辑权限继续。
在编辑权限对话框,权限归类在不同的功能模块下。
在本示例中,点击项目管理,并为该角色选择项目创建、项目管理和项目查看。
说明 依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。
点击确定。新创建的角色将显示在企业空间角色列表中。
邀请用户到企业空间
在左侧导航栏,选择企业空间设置 > 企业空间成员。
在企业空间成员列表页面,点击邀请。
在邀请成员对话框,点击用户右侧的并为用户分配在当前企业空间中的角色。
点击确定。用户被邀请后将显示在企业空间成员列表中。
创建项目
在左侧导航栏,选择项目。
在项目页签,点击创建。
在创建项目对话框,输入项目的名称(例如 demo-project)。
说明 对于多集群环境,您需要选择要创建项目的集群。
点击确定。项目创建后将显示在项目列表中。
创建项目角色
在项目页签,点击项目的名称 demo-project 进入该项目。
在左侧导航栏,选择项目设置 > 项目角色。
项目角色页面默认列出以下三个内置角色。
角色 描述 viewer
项目观察员,可以查看项目中的所有资源。
operator
项目管理员,可以管理项目中除用户和角色之外的资源。
admin
项目管理员,可以管理项目中的所有资源。
在项目角色列表页面,点击创建。
在创建角色对话框,输入名称,然后点击编辑权限继续。
在编辑权限对话框,权限归类在不同的功能模块下。
在本示例中,点击访问控制,并为该角色选择成员查看和角色查看。
说明 依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。
点击确定。新创建的角色将显示在项目角色列表中。
邀请用户到项目
在左侧导航栏,选择项目设置 > 项目成员。
在项目成员列表页面,点击邀请。
在邀请成员对话框,点击用户右侧的并为用户分配在当前项目中的角色。
点击确定。用户被邀请后将显示在项目成员列表中。