Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Cluster- und Projektrollen

Cluster- und Projektrollen definieren die Benutzerautorisierung innerhalb eines Clusters oder Projekts.

Um diese Rollen zu verwalten,

  1. Klicken Sie auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen und gehen Sie zur Cluster oder zur Projekt/Namensräume Registerkarte.

Mitgliedschaft und Rollenvergabe

Die Projekte und Cluster, auf die nicht-administrative Benutzer zugreifen können, werden durch die Mitgliedschaft bestimmt. Die Mitgliedschaft ist eine Liste von Benutzern, die basierend auf den Rollen, die ihnen in diesem Cluster oder Projekt zugewiesen wurden, Zugriff auf ein bestimmtes Cluster oder Projekt haben. Jedes Cluster und Projekt enthält eine Registerkarte, die ein Benutzer mit den entsprechenden Berechtigungen nutzen kann, um die Mitgliedschaft zu verwalten.

Wenn Sie ein Cluster oder Projekt erstellen, weist Rancher Ihnen automatisch die Rolle des Owner dafür zu. Benutzer, die die Rolle Owner zugewiesen bekommen haben, können anderen Benutzern Rollen im Cluster oder Projekt zuweisen.

Nicht-administrative Benutzer können standardmäßig nicht auf vorhandene Projekte/Cluster zugreifen. Ein Benutzer mit den entsprechenden Berechtigungen (typischerweise der Eigentümer) muss die Projekt- und Cluster-Mitgliedschaft ausdrücklich zuweisen.

Cluster-Rollen

Cluster-Rollen sind Rollen, die Sie Benutzern zuweisen können, um ihnen Zugriff auf ein Cluster zu gewähren. Es gibt zwei primäre Cluster-Rollen: Owner und Member.

  • Cluster-Eigentümer:

    Diese Benutzer haben die volle Kontrolle über das Cluster und alle darin enthaltenen Ressourcen.

  • Cluster-Mitglied:

    Diese Benutzer können die meisten Ressourcen auf Cluster-Ebene einsehen und neue Projekte erstellen.

    Wenn ein Cluster-Mitglied ein Projekt erstellt, wird dem Benutzer automatisch Projekt-Eigentümerrechte zugewiesen. Dies gewährt ihnen umfassende Kontrolle über das Projekt und die damit verbundenen Ressourcen, einschließlich der Berechtigungen, Arbeitslasten bereitzustellen. Ohne durchgesetzte Pod-Sicherheitsstandards (PSS) und Pod-Sicherheitszulassung (PSA) kann ein Cluster-Mitglied privilegierte Container im Cluster ausführen.

Benutzerdefinierte Cluster-Rollen

Rancher ermöglicht es Ihnen, benutzerdefinierte Cluster-Rollen einem Standardbenutzer anstelle der typischen Owner oder Member Rollen zuzuweisen. Diese Rollen können entweder eine integrierte benutzerdefinierte Cluster-Rolle oder eine von einem Rancher-Administrator definierte Rolle sein. Sie sind praktisch, um engen oder spezialisierten Zugriff für einen Standardbenutzer innerhalb eines Clusters zu definieren. Siehe die Tabelle unten für eine Liste der integrierten benutzerdefinierten Cluster-Rollen.

Cluster-Rollen-Referenz

Die folgende Tabelle listet jede integrierte benutzerdefinierte Cluster-Rolle auf, die verfügbar ist, und ob dieses Zugriffslevel in den Standardberechtigungen auf Cluster-Ebene, Cluster Owner und Cluster Member, enthalten ist.

Integrierte Cluster-Rolle Besitzer Mitglied

Projekte erstellen

Cluster-Sicherungen verwalten

Cluster-Kataloge verwalten

Cluster-Mitglieder verwalten

Knoten verwalten (siehe Tabelle unten)

Speicher verwalten

Alle Projekte anzeigen

Cluster-Kataloge anzeigen

Cluster-Mitglieder anzeigen

Knoten anzeigen

Berechtigungen für Knoten verwalten

Die folgende Tabelle listet die für die Rolle Manage Nodes in RKE und RKE2 verfügbaren Berechtigungen auf.

Berechtigungen für Knoten verwalten RKE RKE2

SSH-Zugriff

Knoten löschen

Cluster hoch- und herunterskalieren

*

In RKE2 müssen Sie die Berechtigung haben, einen Cluster zu bearbeiten, um Cluster hoch- und herunterskalieren zu können.

Für Details, wie jede Cluster-Rolle auf Kubernetes-Ressourcen zugreifen kann, können Sie diese in der Rancher UI nachschlagen:

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen.

  3. Klicken Sie auf die Registerkarte Cluster.

  4. Klicken Sie auf den Namen einer einzelnen Rolle. Die Tabelle zeigt alle Operationen und Ressourcen, die von der Rolle erlaubt sind.

Beim Anzeigen der mit den Standardrollen, die von Rancher erstellt wurden, verbundenen Ressourcen, wird, wenn mehrere Kubernetes-API-Ressourcen in einem einzelnen Listeneintrag vorhanden sind, (Custom) an die Ressource angehängt. Dies sind keine benutzerdefinierten Ressourcen, sondern lediglich ein Hinweis darauf, dass es mehrere Kubernetes-API-Ressourcen als eine Ressource gibt.

Einem Cluster-Mitglied eine benutzerdefinierte Cluster-Rolle zuweisen

Nachdem ein Administrator eine benutzerdefinierte Cluster-Rolle eingerichtet hat, können Clusterbesitzer und -administratoren diese Rollen dann Cluster-Mitgliedern zuweisen.

Um einem neuen Cluster-Mitglied eine benutzerdefinierte Rolle zuzuweisen, können Sie die Rancher-Benutzeroberfläche verwenden. Um die Berechtigungen eines bestehenden Mitglieds zu ändern, müssen Sie die Rancher-API-Ansicht verwenden.

Um die Rolle einem neuen Cluster-Mitglied zuzuweisen,

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Gehen Sie zu dem Cluster, in dem Sie einem Mitglied eine Rolle zuweisen möchten, und klicken Sie auf Erkunden.

  3. Klicken Sie auf menu:Cluster[Cluster-Mitglieder].

  4. Klicken Sie auf Hinzufügen.

  5. Wählen Sie im Abschnitt Clusterberechtigungen die benutzerdefinierte Cluster-Rolle aus, die dem Mitglied zugewiesen werden soll.

  6. Klicken Sie auf Erstellen.

Ergebnis: Das Mitglied hat die zugewiesene Rolle.

Um einem bestehenden Cluster-Mitglied eine beliebige benutzerdefinierte Rolle zuzuweisen,

  1. Klicken Sie auf ☰ > Benutzer & Authentifizierung.

  2. Gehen Sie zu dem Mitglied, dem Sie die Rolle geben möchten. Klicken Sie auf ⋮ > Konfiguration bearbeiten.

  3. Wenn Sie benutzerdefinierte Rollen hinzugefügt haben, werden diese im Abschnitt Benutzerdefiniert angezeigt. Wählen Sie die Rolle aus, die Sie dem Mitglied zuweisen möchten.

  4. Klicken Sie auf Speichern.

Ergebnis: Das Mitglied hat die zugewiesene Rolle.

Projektrollen

Projektrollen sind Rollen, die verwendet werden können, um Benutzern Zugriff auf ein Projekt zu gewähren. Es gibt drei Hauptprojektrollen: Owner, Member und Read Only.

  • Projekt-Eigentümer:

    Diese Benutzer haben die volle Kontrolle über das Projekt und alle Ressourcen darin.

  • Projektmitglied:

    Diese Benutzer können projektbezogene Ressourcen wie Namespaces und Workloads verwalten, aber keine anderen Projektmitglieder verwalten.

Standardmäßig erbt die Rancher-Rolle project-member von der Rolle Kubernetes-edit, und die Rolle project-owner erbt von der Rolle Kubernetes-admin. Daher ermöglichen sowohl die Rollen project-member als auch project-owner die Verwaltung von Namespaces, einschließlich der Möglichkeit, Namespaces zu erstellen und zu löschen.

  • Nur Lesen:

    Diese Benutzer können alles im Projekt einsehen, aber nichts erstellen, aktualisieren oder löschen.

Benutzer, die die Rolle Owner oder Member für ein Projekt zugewiesen bekommen, erben automatisch die Rolle namespace creation. Diese Rolle ist jedoch eine Kubernetes ClusterRole, was bedeutet, dass ihr Geltungsbereich alle Projekte im Cluster umfasst. Daher können Benutzer, die ausdrücklich die Rolle owner oder member für ein Projekt zugewiesen bekommen, Namespaces in anderen Projekten erstellen, denen sie zugewiesen sind, selbst wenn ihnen nur die Rolle Read Only zugewiesen ist.

Benutzerdefinierte Projektrollen

Rancher ermöglicht es Ihnen, benutzerdefinierte Projektrollen einem Standardbenutzer anstelle der typischen Rollen Owner, Member oder Read Only zuzuweisen. Diese Rollen können entweder eine integrierte benutzerdefinierte Projektrolle oder eine von einem Rancher-Administrator definierte Rolle sein. Sie sind praktisch, um engen oder spezialisierten Zugriff für einen Standardbenutzer innerhalb eines Projekts zu definieren. Siehe die Tabelle unten für eine Liste der integrierten benutzerdefinierten Projektrollen.

Referenz der Projektrollen

Die folgende Tabelle listet jede integrierte benutzerdefinierte Projektrolle auf, die in Rancher verfügbar ist, und ob sie auch von der Rolle Owner, Member oder Read Only gewährt wird.

Integrierte Projektrolle Besitzer Mitglied Nur Lesen

Projektmitglieder verwalten

Namespaces erstellen

Config Maps verwalten

Ingress verwalten

Projektkataloge verwalten

Geheimnisse verwalten

Servicekonten verwalten

Manage Services (Services verwalten)

Verwalten von Volumes

Workloads verwalten

Geheimnisse anzeigen

ConfigMaps anzeigen

Ingress anzeigen

Projektmitglieder anzeigen

Projektkataloge anzeigen

Servicekonten anzeigen

Dienste anzeigen

Volumes anzeigen

Workloads anzeigen

Hinweise:

  • Jede oben aufgeführte Projektrolle, einschließlich Owner, Member und Read Only, besteht aus mehreren Regeln, die den Zugriff auf verschiedene Ressourcen gewähren. Sie können die Rollen und deren Regeln auf der Seite Global > Sicherheit > Rollen anzeigen.

  • Beim Anzeigen der mit den Standardrollen, die von Rancher erstellt wurden, verbundenen Ressourcen, wird, wenn mehrere Kubernetes-API-Ressourcen in einem einzelnen Listeneintrag vorhanden sind, (Custom) an die Ressource angehängt. Dies sind keine benutzerdefinierten Ressourcen, sondern lediglich ein Hinweis darauf, dass es mehrere Kubernetes-API-Ressourcen als eine Ressource gibt.

  • Die Rolle Manage Project Members erlaubt es dem Projekteigentümer, beliebige Mitglieder des Projekts zu verwalten und ihnen unabhängig von ihrem Zugriff auf die Projektressourcen jede projektbezogene Rolle zuzuweisen. Seien Sie vorsichtig, wenn Sie diese Rolle einzeln zuweisen.

Benutzerdefinierte Rollen definieren

Wie bereits erwähnt, können benutzerdefinierte Rollen für die Verwendung auf Cluster- oder Projektebene definiert werden. Das Kontextfeld definiert, ob die Rolle auf der Seite der Cluster-Mitglieder, der Projekt-Mitglieder oder auf beiden angezeigt wird.

Bei der Definition einer benutzerdefinierten Rolle können Sie den Zugriff auf bestimmte Ressourcen gewähren oder Rollen angeben, von denen die benutzerdefinierte Rolle erben soll. Eine benutzerdefinierte Rolle kann aus einer Kombination spezifischer Berechtigungen und geerbter Rollen bestehen. Alle Berechtigungen sind additiv. Das bedeutet, dass die Definition einer engeren Berechtigung für eine bestimmte Ressource nicht eine breitere Berechtigung, die in einer Rolle definiert ist, von der die benutzerdefinierte Rolle erbt, überschreibt.

Standard-Cluster- und Projektrollen

Standardmäßig wird einem Standardbenutzer, der einen neuen Cluster oder ein neues Projekt erstellt, automatisch eine Eigentümerrolle zugewiesen: entweder Cluster-Eigentümer oder Projekt-Eigentümer. In einigen Organisationen können diese Rollen jedoch zu weitreichenden administrativen Zugriff gewähren. In diesem Anwendungsfall können Sie die Standardrolle in etwas restriktiveres ändern, wie z. B. eine Reihe individueller Rollen oder eine benutzerdefinierte Rolle.

Es gibt zwei Methoden, um die Standard-Cluster-/Projektrollen zu ändern:

  • Benutzerdefinierte Rollen zuweisen: Erstellen Sie eine benutzerdefinierte Rolle für entweder Ihren Cluster oder Projekt und setzen Sie dann die benutzerdefinierte Rolle als Standard.

  • Individuelle Rollen zuweisen: Konfigurieren Sie mehrere Cluster/Projekt Rollen als Standard für die Zuweisung an den erstellenden Benutzer.

    Zum Beispiel können Sie anstelle der Zuweisung einer Rolle, die andere Rollen erbt (wie cluster owner), eine Mischung aus individuellen Rollen (wie manage nodes und manage storage) wählen.

  • Obwohl Sie eine Standardrolle sperren können, weist das System die Rolle weiterhin Benutzern zu, die einen Cluster/ein Projekt erstellen.

  • Nur Benutzer, die Cluster/Projekte erstellen, erben ihre Rollen. Benutzer, die später zur Cluster-/Projektmitgliedschaft hinzugefügt werden, müssen ausdrücklich ihren Rollen zugewiesen werden.

Konfiguration der Standardrollen für Cluster- und Projektersteller

Sie können die Cluster- oder Projektrolle(n) ändern, die automatisch dem erstellenden Benutzer zugewiesen werden.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollen-Vorlagen.

  3. Klicken Sie auf die Registerkarte Cluster oder Projekt/Namensräume.

  4. Finden Sie die benutzerdefinierte oder individuelle Rolle, die Sie als Standard verwenden möchten. Bearbeiten Sie dann die Rolle, indem Sie ⋮ > Konfiguration bearbeiten auswählen.

  5. Aktivieren Sie im Abschnitt Cluster Creator Default oder Project Creator Default die Rolle als Standard.

  6. Klicken Sie auf Speichern.

Ergebnis: Die Standardrollen werden basierend auf Ihren Änderungen konfiguriert. Rollen, die Cluster-/Projekt-Erstellern zugewiesen sind, zeigen ein Häkchen in der Spalte Cluster/Projekt Creator Default an.

Wenn Sie eine Standardrolle entfernen möchten, bearbeiten Sie die Berechtigung und wählen Sie Nein aus der Option für Standardrollen aus.

Verhalten bei der Widerrufung der Cluster-Mitgliedschaft

Wenn Sie die Cluster-Mitgliedschaft für einen Standardbenutzer widerrufen, der ausdrücklich Mitglied sowohl des Clusters als auch eines Projekts innerhalb des Clusters ist, verliert dieser Standardbenutzer seine Cluster-Rollen, behält jedoch seine Projekt-Rollen bei. Mit anderen Worten, obwohl Sie die Berechtigungen des Benutzers zum Zugriff auf den Cluster und seine Knoten widerrufen haben, kann der Standardbenutzer weiterhin:

Wenn Sie den Zugriff eines Benutzers innerhalb eines Clusters vollständig widerrufen möchten, widerrufen Sie sowohl seine Cluster- als auch seine Projektmitgliedschaften.

Externes RoleTemplate Verhalten

In Rancher v2.9.0 und später können externe RoleTemplate Objekte nur erstellt werden, wenn das zugrunde liegende ClusterRole im lokalen Cluster existiert oder das ExternalRules in Ihrer Konfiguration festgelegt ist.

Zur Erläuterung: Das zugrunde liegende ClusterRole enthält Clusterregeln und -privilegien und verwendet dasselbe metadata.name, das in den RoleTemplate in Ihrem jeweiligen Cluster verwendet wird, auf das sich das ClusterRoleTemplateBinding/ProjectRoleTemplateBinding bezieht. Darüber hinaus beachten Sie, dass escalate Berechtigungen auf RoleTemplates erforderlich sind, um externe RoleTemplates mit ExternalRules zu erstellen.