База знаний
Войти

Администрирование

Управление доступом

Назначение прав доступа пользователям/группе пользователей для неймспейса кластера можно произвести со страницы "Управление доступом" соответствующего неймспейса.

В неймспейсе на странице "Управление доступом" раздела "Администрирование" доступны три вкладки (рисунок 267):

  • Платформа;
  • Кластер;
  • Неймспейс.

Рисунок 267 ‒ Страница "Управление доступом"

Со страницы "Управление доступом" неймспейса при наличии соответствующих разрешений можно:

  • создавать, изменять и удалять назначения прав доступа пользователям/группам на неймспейс, в котором находится пользователь;
  • просматривать перечень платформенных и кластерных назначений прав доступа для пользователей и групп, имеющих доступ к этому неймспейсу. Записи, доступные только для просмотра, некликабельны.

Статусная модель назначения прав доступа в неймспейсе отражает применения назначений пользователей/групп пользователей, имеющих доступ к неймспейсу:

  • В блоке "Статус применения в кластере управления" сгруппированы результаты применения назначений в самом кластере управления (см. Сноска 2), в Opensearch.
  • Блок "Статус применения в клиентских кластерах" отражает успешность применения прав доступа в кластере и применение ролей в ArgoCD. Для уровня "Платформа" приведен количественный показатель, отражающий отношение кластеров, в которых назначение было успешно применено, к общему количеству кластеров. Для остальных уровней приведена цветовая индикация успешности применения назначений.

Сноска 2 Кластер управления отвечает за некоторые объекты клиентских кластеров, например, объекты API-групп: cluster.x-k8s.io, bootstrap.cluster.x-k8s.io, infrastructure.cluster.x-k8s.io, permissions.shturval.tech. Поэтому на каждом уровне доступа в набор доступа для получения таких объектов необходимы платформенные разрешения. Именно поэтому в статусах назначения прав доступа можно увидеть применение назначения в кластер управления, даже если назначенные разрешения относятся к кластеру или неймспейсу.

Согласно цветовой индикации:

  • зеленый ‒ успешно применено;
  • красный ‒ в результате применения прав доступа есть ошибки;
  • серый ‒ применение не требуется. Это может быть в случае, если в наборе доступов не было запрошено выделение прав доступа, например, в Opensearch.

Назначение прав группе пользователей

Для назначения прав доступа группе пользователей необходимо перейти на вкладку "Неймспейс", нажать +. На открывшемся экране (рисунок 268) отобразится форма "Назначение прав доступа" группе, в которой нужно выполнить следующие действия:

  • В поле "Название группы" начать вводить имя группы. Со второго введенного символа будет выполнен поиск группы по каталогу, подключенному при интеграции с LDAP (например, AD или openLDAP). Если каталог не подключен, нельзя будет указать название группы вручную и назначить права группе пользователей.
  • В результате поиска будет получен список имен групп, выбрать необходимую группу из списка. Поиск регистрозависимый: если не найдена группа, уточнить введенные данные. Все пользователи, входящие в группу, получат выделенные полномочия.

Рисунок 268 ‒ Назначение прав доступа группе

  • Когда название группы будет указано, выбрать перечень наборов доступов, которые требуется присвоить группе и нажать кнопку Сохранить. Название группы после создания записи не будет доступно для редактирования. При необходимости изменения названия группы удалить запись и создать новую.

Назначение прав пользователю

Для назначения прав доступа пользователю перейти на вкладку "Неймспейс", нажать +. В результате отобразится форма "Назначение прав доступа" (рисунок 269), в которой нужно выполнить следующие действия:

  • Уникальное имя пользователя возможно задать в соответствии с каталогом, подключенным при интеграции с LDAP (например, AD или openLDAP). Если каталог не подключен, нельзя будет указать пользователя вручную и назначить ему права. В поле "Уникальное имя пользователя" начать вводить имя пользователя. Со второго введенного символа будет выполнен поиск пользователей по каталогу. В результате поиска отобразится список пользователей, имена которых содержат указанные символы.
  • Выбрать имя пользователя из списка. Поиск по каталогу регистрозависимый, поэтому если пользователь не найден или отсутствует в списке, уточнить введенные данные.

Рисунок 269 ‒ Назначение прав доступа пользователю

  • Поле того как "Уникальное имя пользователя" будет заполнено, выбрать наборы доступов, которые требуется присвоить пользователю, затем нажать кнопку Сохранить. Имя пользователя после создания записи не будет доступно для редактирования. При необходимости изменить имя пользователя, удалить запись и создать новую.

См. подробнее в п. Менеджер доступов о наборах доступов, доступных для назначения.

Следует обратить внимание, что, если набор доступов на уровне неймспейса включает роль в ArgoCD, при назначении такого набора группе/пользователю будет открыт доступ к проекту ArgoCD только одного неймспейса.

Кастомные ресурсы

CRD (Custom Resource Definition) ‒ специальный ресурс, который позволяет создавать новые типы ресурсов для расширения функционала.

Можно управлять кастомными ресурсами (Custom Resource) в вашем неймспейсе. Для этого следует перейти на страницу "Кастомные ресурсы" раздела "Администрирование" (рисунок 270). Страница отображает список CRD, созданных в клиентском кластере и сгруппированных по API-группам. В списке отображено количество созданных кастомных ресурсов скоупа неймспейса для каждого CRD. По умолчанию ресурсы отсортированы по алфавиту. В интерфейсе есть переключатель "Показывать только при наличии данных", позволяющий скрыть CRD, в которых нет кастомных ресурсов.

Рисунок 270 ‒ Кастомные ресурсы

По нажатию на название CRD можно перейти на страницу со списком кастомных ресурсов этой CRD.

Для добавления кастомного ресурса следует использовать функцию импорта манифеста и загружать манифест кастомного ресурса для применения в неймспейсе кластера. Подробнее об импорте манифестов см. в п. Действия в кластере. Созданный кастомный ресурс будет добавлен в список кастомных ресурсов CRD.

На странице просмотра кастомного ресурса можно внести изменения в манифест, а также скопировать его. После изменения манифеста следует выполнить проверку. Результат проверки будет доступен в правой части экрана. Можно раскрыть блок результата проверки, чтобы увидеть полный манифест. Если валидация формата манифеста кастомного ресурса не пройдена, будет недоступна проверка манифеста.

Далее необходимо сохранить внесенные изменения в манифест кастомного ресурса, т.к. изменения не применяются без сохранения.