控制用户权限
本节介绍如何创建用户,并使用企业空间、项目和角色控制用户的访问权限。有关用户权限控制的更多信息,请参阅用户和角色管理。
KubeSphere 企业版的多租户系统分为三个层级,即集群、企业空间和项目。您可以在一个 KubeSphere 企业版集群中创建多个企业空间,每个企业空间下可以创建多个项目。KubeSphere 企业版为每个层级默认设有多个内置角色,您也可以创建拥有自定义权限的角色。
前提条件
您需要准备一个 Kubernetes 集群,并已安装 KubeSphere 企业版。
创建用户
-
使用默认用户 admin 和密码 P@88w0rd 登录 KubeSphere 企业版 Web 控制台。
备注 为了您的账户安全,首次登录时系统会提示您修改密码。密码修改后,后续请使用新密码登录。
-
点击用户和角色管理。
-
在左侧导航栏,选择用户。
-
在用户列表页面,点击创建。
-
在创建用户对话框,输入以下必填参数:
-
用户名:用户的名称。
-
邮箱:用户的邮箱地址。
-
密码:用户的密码。
-
-
点击确定。用户创建后将显示在用户列表中。
创建企业空间
-
登录 KubeSphere 企业版 Web 控制台。
-
点击企业空间管理。
-
点击默认企业空间 system-workspace。
-
进入企业空间后,点击左侧导航栏上方的 system-workspace。
-
在企业空间列表页面,点击创建企业空间。
-
在创建企业空间的基本信息页面,输入企业空间的名称(例如 demo-workspace)。
备注 对于多集群环境,设置企业空间的基本信息后,点击下一步。在集群设置页面,选择企业空间需要使用的集群。
-
点击确定。企业空间创建后将显示在企业空间列表中。
创建企业空间角色
-
在企业空间列表页面,点击企业空间的名称 demo-workspace 进入该企业空间。
-
在左侧导航栏,选择企业空间设置 > 企业空间角色。
企业空间角色列表页面默认列出以下四个内置角色。
角色 描述 workspace-viewer
企业空间观察员,可以查看企业空间中的所有资源。
workspace-self-provisioner
企业空间普通成员,可以查看企业设置、管理应用模板、创建项目和 DevOps 项目。
workspace-regular
企业空间普通成员,可以查看企业空间设置。
workspace-admin
企业空间管理员,可以管理企业空间中的所有资源。
备注 企业空间内置角色的名称以 <企业空间名称>-<角色名称> 格式显示。例如,在名称为 demo-workspace 的企业空间中,角色 admin 的实际角色名称为 demo-workspace-admin。
-
在企业空间角色列表页面,点击创建。
-
在创建企业空间角色对话框,输入名称,然后点击编辑权限继续。
-
在编辑权限对话框,权限归类在不同的功能模块下。
在本示例中,点击项目管理,并为该角色选择项目创建、项目管理和项目查看。
备注 依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。
-
点击确定。新创建的角色将显示在企业空间角色列表中。
邀请用户到企业空间
-
在左侧导航栏,选择企业空间设置 > 企业空间成员。
-
在企业空间成员列表页面,点击邀请。
-
在邀请成员对话框,点击用户右侧的
并为用户分配在当前企业空间中的角色。 -
点击确定。用户被邀请后将显示在企业空间成员列表中。
创建项目
-
在左侧导航栏,选择项目。
-
在项目页签,点击创建。
-
在创建项目对话框,输入项目的名称(例如 demo-project)。
备注 对于多集群环境,您需要选择要创建项目的集群。
-
点击确定。项目创建后将显示在项目列表中。
创建项目角色
-
在项目页签,点击项目的名称 demo-project 进入该项目。
-
在左侧导航栏,选择项目设置 > 项目角色。
项目列表页面默认列出以下三个内置角色。
角色 描述 viewer
项目观察员,可以查看项目中的所有资源。
operator
项目管理员,可以管理项目中除用户和角色之外的资源。
admin
项目管理员,可以管理项目中的所有资源。
-
在项目角色列表页面,点击创建。
-
在创建角色对话框,输入名称,然后点击编辑权限继续。
-
在编辑权限对话框,权限归类在不同的功能模块下。
在本示例中,点击访问控制,并为该角色选择成员查看和角色查看。
备注 依赖于表示当前授权项依赖所列出的授权项,勾选该权限后系统会自动选上所有依赖权限。
-
点击确定。新创建的角色将显示在项目角色列表中。