OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

理解多租户

Red Hat Advanced Cluster Security for Kubernetes 提供了在 Central 实例中实现多租户的方法。

您可以使用基于角色的访问控制 (RBAC) 和 RHACS 中的访问范围来实现多租户。

理解资源范围

RHACS 包含在 RBAC 中使用的资源。除了关联资源的权限外,每个资源也具有范围。

在 RHACS 中,资源的范围类型如下:

  • 全局范围,资源未分配给任何集群或命名空间

  • 集群范围,资源分配给特定集群

  • 命名空间范围,资源分配给特定命名空间

创建自定义访问范围时,资源的范围非常重要。自定义访问范围用于在 RHACS 中创建多租户。

只有集群或命名空间范围的资源才适用于访问范围中的范围。全局范围的资源不受访问范围的范围限制。因此,RHACS 中的多租户只能针对按集群或命名空间进行范围限定的资源实现。

每个命名空间的多租户配置示例

RHACS 中多租户的一个常见示例是将用户与特定命名空间关联,并仅允许他们访问其特定命名空间。

以下示例结合了自定义权限集、访问范围和角色。分配此角色的用户或组只能查看特定命名空间或集群中与其范围相关的 CVE 信息、违规和部署信息。

步骤

  1. 在 RHACS 门户中,选择**平台配置** → **访问控制**。

  2. 选择**权限集**。

  3. 单击**创建权限集**。

  4. 输入权限集的**名称**和**描述**。

  5. 选择以下资源和访问级别,然后单击**保存**

    • 读取 警报

    • 读取 部署

    • 读取 部署扩展

    • 读取 镜像

    • 读取 K8s 角色

    • 读取 K8s 角色绑定

    • 读取 K8s 主体

    • 读取 网络图

    • 读取 网络策略

    • 读取 密钥

    • 读取 服务账户

  6. 选择**访问范围**。

  7. 单击**创建访问范围**。

  8. 输入访问范围的**名称**和**描述**。

  9. 在**允许的资源**部分,选择要用于范围限定的命名空间,然后单击**保存**。

  10. 选择**角色**。

  11. 单击**创建角色**。

  12. 输入角色的**名称**和**描述**。

  13. 选择之前创建的权限集访问范围赋予角色,然后点击保存

  14. 将角色分配给所需的使用者或群组。请参见将角色分配给使用者或群组

拥有示例角色的使用者在 RHACS 仪表盘中看到的选项,与管理员可用的选项相比非常有限。使用者只能看到相关的页面。

限制

对于具有全局范围的资源,无法在 RHACS 中实现多租户。

以下资源具有全局范围:

  • 访问

  • 管理

  • 检测

  • 集成

  • 漏洞管理审批

  • 漏洞管理请求

  • 监控镜像

  • 工作流管理

这些资源在所有 RHACS Central 实例中的使用者之间共享,无法进行范围限定。

其他资源