Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Funções de Cluster e Projeto

As funções de cluster e projeto definem a autorização do usuário dentro de um cluster ou projeto.

Para gerenciar essas funções,

  1. Clique em ☰ > Usuários e Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função e vá para a aba Cluster ou Projeto/namespace.

Associação e Atribuição de Função

Os projetos e clusters acessíveis a usuários não administrativos são determinados pela associação. A associação é uma lista de usuários que têm acesso a um cluster ou projeto específico com base nas funções que foram atribuídas a eles nesse cluster ou projeto. Cada cluster e projeto inclui uma aba que um usuário com as permissões apropriadas pode usar para gerenciar a associação.

Quando você cria um cluster ou projeto, o Rancher automaticamente atribui você como Owner dele. Usuários atribuídos à função Owner podem atribuir funções a outros usuários no cluster ou projeto.

Usuários não administrativos não podem acessar nenhum projeto/cluster existente por padrão. Um usuário com permissões apropriadas (tipicamente o proprietário) deve atribuir explicitamente a associação do projeto e do cluster.

Funções de Cluster

Funções de cluster são funções que você pode atribuir a usuários, concedendo-lhes acesso a um cluster. Existem duas funções principais de cluster: Owner e Member.

  • Proprietário do Cluster:

    Esses usuários têm controle total sobre o cluster e todos os recursos nele.

  • Membro do Cluster:

    Esses usuários podem visualizar a maioria dos recursos em nível de cluster e criar novos projetos.

    Quando um Membro do Cluster cria um projeto, o usuário é automaticamente atribuído a privilégios de Proprietário do Projeto. Isso lhes concede controle abrangente sobre o projeto e seus recursos associados, incluindo permissões para implantar cargas de trabalho. Sem a aplicação das Normas de Segurança de Pod (PSS) e Admissão de Segurança de Pod (PSA), um Membro do Cluster pode executar contêineres privilegiados no cluster.

Funções de Cluster Personalizadas

O Rancher permite que você atribua funções de cluster personalizadas a um usuário padrão em vez das típicas funções Owner ou Member. Essas funções podem ser uma função de cluster personalizada incorporada ou uma definida por um administrador do Rancher. Elas são convenientes para definir acesso restrito ou especializado para um usuário padrão dentro de um cluster. Veja a tabela abaixo para uma lista de funções de cluster personalizadas incorporadas.

Referência de Funções de Cluster

A tabela a seguir lista cada função de cluster personalizada incorporada disponível e se esse nível de acesso está incluído nas permissões padrão em nível de cluster, Cluster Owner e Cluster Member.

Função de Cluster Incorporada Proprietário Membro

Criar Projetos

Gerenciar Backups de Cluster

Gerenciar Catálogos de Cluster

Gerenciar Membros do Cluster

Gerenciar Nós (veja a tabela abaixo)

Gerenciar Armazenamento

Ver Todos os Projetos

Ver Catálogos de Cluster

Ver Membros do Cluster

Ver Nós

Gerenciar Permissões de Nós

A tabela a seguir lista as permissões disponíveis para a função Manage Nodes no RKE e RKE2.

Gerenciar Permissões de Nós RKE RKE2

Acesso SSH

Excluir Nós

Escalar Clusters Para Cima e Para Baixo

*

No RKE2, você deve ter permissão para editar um cluster para poder escalar clusters para cima e para baixo.

Para detalhes sobre como cada função de cluster pode acessar recursos do Kubernetes, você pode consultá-los na interface do Rancher:

  1. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função.

  3. Clique na aba Cluster.

  4. Clique no nome de uma função individual. A tabela mostra todas as operações e recursos que são permitidos pela função.

Ao visualizar os recursos associados às funções padrão criadas pelo Rancher, se houver múltiplos recursos da API do Kubernetes em um item de linha, o recurso terá (Custom) anexado a ele. Estes não são recursos personalizados, mas apenas uma indicação de que há múltiplos recursos da API do Kubernetes como um único recurso.

Atribuindo uma Função de Cluster Personalizada a um Membro do Cluster

Após um administrador configurar uma função de cluster personalizada, os proprietários e administradores do cluster podem então atribuir essas funções aos membros do cluster.

Para atribuir uma função personalizada a um novo membro do cluster, você pode usar a interface do Rancher. Para modificar as permissões de um membro existente, você precisará usar a visualização da API do Rancher.

Para atribuir a função a um novo membro do cluster,

  1. Clique em ☰ > Gerenciamento de Cluster.

  2. Vá para o cluster onde você deseja atribuir uma função a um membro e clique em Explorar.

  3. Clique em menu:Cluster[Membros do Cluster].

  4. Clique em Adicionar.

  5. Na seção Permissões do Cluster, escolha a função de cluster personalizada que deve ser atribuída ao membro.

  6. Clique em Criar.

Resultado: O membro tem a função atribuída.

Para atribuir qualquer função personalizada a um membro existente do cluster,

  1. Clique em ☰ > Usuários e Autenticação.

  2. Vá até o membro a quem você deseja dar a função. Clique no ⋮ > Editar Configuração.

  3. Se você adicionou funções personalizadas, elas aparecerão na seção Personalizado. Escolha a função que você deseja atribuir ao membro.

  4. Clique em Salvar.

Resultado: O membro tem a função atribuída.

Funções de Projeto

Funções de projeto são funções que podem ser usadas para conceder acesso a um projeto aos usuários. Existem três funções principais de projeto: Owner, Member e Read Only.

  • Proprietário do Projeto:

    Esses usuários têm controle total sobre o projeto e todos os recursos nele.

  • Membro do Projeto:

    Esses usuários podem gerenciar recursos específicos do projeto, como namespaces e cargas de trabalho, mas não podem gerenciar outros membros do projeto.

Por padrão, a função Rancher de project-member herda da função Kubernetes-edit, e a função project-owner herda da função Kubernetes-admin. Assim, tanto as funções project-member quanto project-owner permitirão o gerenciamento de namespaces, incluindo a capacidade de criar e excluir namespaces.

  • Apenas Leitura:

    Esses usuários podem ver tudo no projeto, mas não podem criar, atualizar ou excluir nada.

Usuários atribuídos à função Owner ou Member para um projeto herdam automaticamente a função namespace creation. No entanto, essa função é um ClusterRole do Kubernetes, o que significa que seu escopo se estende a todos os projetos no cluster. Portanto, usuários explicitamente atribuídos à função owner ou member para um projeto podem criar namespaces em outros projetos aos quais estão atribuídos, mesmo com apenas a função Read Only atribuída.

Funções de Projeto Personalizadas

O Rancher permite que você atribua funções de projeto personalizadas a um usuário padrão em vez das típicas funções Owner, Member ou Read Only. Essas funções podem ser uma função de projeto personalizada incorporada ou uma definida por um administrador do Rancher. Elas são convenientes para definir acesso restrito ou especializado para um usuário padrão dentro de um projeto. Veja a tabela abaixo para uma lista de funções de projeto personalizadas incorporadas.

Referência de Funções de Projeto

A tabela a seguir lista cada função de projeto personalizada incorporada disponível no Rancher e se também é concedida pela função Owner, Member ou Read Only.

Função de Projeto Incorporada Proprietário Membro Apenas Leitura

Gerenciar Membros do Projeto

Criar Namespaces

Gerenciar Config Maps

Gerenciar Ingress

Gerenciar Catálogos de Projetos

Gerenciar Segredos

Gerenciar Contas de Serviço

Gerenciar Serviços

Gerenciar Volumes

Gerenciar Cargas de Trabalho

Visualizar Segredos

Visualizar Config Maps

Visualizar Ingress

Visualizar Membros do Projeto

Visualizar Catálogos de Projetos

Visualizar Contas de Serviço

Visualizar Serviços

Visualizar Volumes

Visualizar Cargas de trabalho

Notas:

  • Cada função de projeto listada acima, incluindo Owner, Member e Read Only, é composta por várias regras que concedem acesso a diversos recursos. Você pode visualizar as funções e suas regras na página Global > Segurança > Funções.

  • Ao visualizar os recursos associados às funções padrão criadas pelo Rancher, se houver múltiplos recursos da API do Kubernetes em um item de linha, o recurso terá (Custom) anexado a ele. Estes não são recursos personalizados, mas apenas uma indicação de que há múltiplos recursos da API do Kubernetes como um único recurso.

  • A função Manage Project Members permite que o proprietário do projeto gerencie qualquer membro do projeto e conceda a eles qualquer função com escopo de projeto, independentemente do acesso aos recursos do projeto. Tenha cuidado ao atribuir esta função individualmente.

Definindo Funções Personalizadas

Como mencionado anteriormente, funções personalizadas podem ser definidas para uso no nível de cluster ou projeto. O campo de contexto define se a função aparecerá na página de membros do cluster, na página de membros do projeto ou em ambas.

Ao definir uma função personalizada, você pode conceder acesso a recursos específicos ou especificar funções das quais a função personalizada deve herdar. Uma função personalizada pode ser composta por uma combinação de concessões específicas e funções herdadas. Todas as concessões são aditivas. Isso significa que definir uma concessão mais restrita para um recurso específico não substituirá uma concessão mais ampla definida em uma função da qual a função personalizada está herdando.

Funções Padrão de Cluster e Projeto

Por padrão, quando um usuário padrão cria um novo cluster ou projeto, ele é automaticamente atribuído a uma função de propriedade: seja proprietário do cluster ou proprietário do projeto. No entanto, em algumas organizações, essas funções podem estender excessivamente o acesso administrativo. Neste caso de uso, você pode alterar a função padrão para algo mais restritivo, como um conjunto de funções individuais ou uma função personalizada.

Existem dois métodos para alterar funções padrão de cluster/projeto:

  • Atribuir Funções Personalizadas: Crie uma função personalizada para seu cluster ou projeto, e então defina a função personalizada como padrão.

  • Atribuir Funções Individuais: Configure várias funções cluster/projeto como padrão para atribuição ao usuário que está criando.

    Por exemplo, em vez de atribuir uma função que herda outras funções (como cluster owner), você pode escolher uma mistura de funções individuais (como manage nodes e manage storage).

  • Embora você possa travar uma função padrão, o sistema ainda atribui a função a usuários que criam um cluster/projeto.

  • Apenas usuários que criam clusters/projetos herdam suas funções. Usuários adicionados à associação do cluster/projeto posteriormente devem ter suas funções atribuídas explicitamente.

Configurando Funções Padrão para Criadores de Cluster e Projeto

Você pode alterar as funções de cluster ou projeto que são atribuídas automaticamente ao usuário que está criando.

  1. No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função.

  3. Clique na aba Cluster ou Projeto/Namespaces.

  4. Encontre a função personalizada ou individual que você deseja usar como padrão. Em seguida, edite a função selecionando ⋮ > Editar Configuração.

  5. Na seção Cluster Creator Default ou Project Creator Default, ative a função como padrão.

  6. Clique em Salvar.

Resultado: As funções padrão são configuradas com base nas suas alterações. As funções atribuídas aos criadores de cluster/projeto exibem uma marca de verificação na coluna Cluster/Project Creator Default.

Se você deseja remover uma função padrão, edite a permissão e selecione Não na opção de funções padrão.

Comportamento de Revogação de Associação ao Cluster

Quando você revoga a associação ao cluster de um usuário padrão que está explicitamente atribuído à associação tanto ao cluster quanto a um projeto dentro do cluster, esse usuário padrão perde suas funções de cluster mas mantém suas funções de projeto. Em outras palavras, embora você tenha revogado as permissões do usuário para acessar o cluster e seus nós, o usuário padrão ainda pode:

Se você deseja revogar completamente o acesso de um usuário dentro de um cluster, revogue tanto suas associações ao cluster quanto ao projeto.

Comportamento Externo RoleTemplate

No Rancher v2.9.0 e versões posteriores, objetos externos RoleTemplate só podem ser criados se o ClusterRole de suporte existir no cluster local ou se o ExternalRules estiver configurado em sua configuração.

Para contextualizar, o ClusterRole de suporte contém regras e privilégios do cluster, e compartilha o mesmo metadata.name usado no RoleTemplate em seu respectivo cluster referenciado pelo ClusterRoleTemplateBinding/ProjectRoleTemplateBinding. Além disso, observe que permissões escalate em RoleTemplates são necessárias para criar RoleTemplates externos com ExternalRules.