创建企业空间、项目、用户和平台角色
KubeSphere 需要安装在您的机器中。
KubeSphere 的多租户系统分三个层级,即集群、企业空间和项目。KubeSphere 中的项目等同于 Kubernetes 的命名空间。
您需要创建一个新的进行操作,而不是使用系统企业空间,系统企业空间中运行着系统资源,绝大部分仅供查看。出于安全考虑,强烈建议给不同的租户授予不同的权限在企业空间中进行协作。
您可以在一个 KubeSphere 集群中创建多个企业空间,每个企业空间下可以创建多个项目。KubeSphere 为每个级别默认设有多个内置角色。此外,您还可以创建拥有自定义权限的角色。KubeSphere 多层次结构适用于具有不同团队或组织以及每个团队中需要不同角色的企业用户。
安装 KubeSphere 之后,您需要向平台添加具有不同角色的用户,以便他们可以针对自己授权的资源在不同的层级进行工作。一开始,系统默认只有一个用户 ,具有 platform-admin
角色。在本步骤中,您将创建一个用户 user-manager
,然后使用 user-manager
创建新用户。
以
admin
身份使用默认帐户和密码 (admin/[[email protected]](https://kubesphere.io/cdn-cgi/l/email-protection)
) 登录 Web 控制台。提示
出于安全考虑,强烈建议您在首次登录控制台时更改密码。若要更改密码,在右上角的下拉列表中选择用户设置,在密码设置中设置新密码,您也可以在用户设置 > 基本信息中修改控制台语言。
点击左上角的平台管理,然后选择访问控制。在左侧导航栏中,选择平台角色。四个内置角色的描述信息如下表所示。
备注
内置角色由 KubeSphere 自动创建,无法编辑或删除。
在用户中,点击创建。在弹出的对话框中,提供所有必要信息(带有*标记),然后在角色一栏选择
users-manager
。请参考下图示例。完成后,点击确定。新创建的帐户将显示在用户中的帐户列表中。
切换帐户使用
user-manager
重新登录,创建如下四个新帐户,这些帐户将在其他的教程中使用。提示
帐户登出请点击右上角的用户名,然后选择登出。
在本步骤中,您需要使用上一个步骤中创建的帐户 ws-manager
创建一个企业空间。作为管理项目、DevOps 项目和组织成员的基本逻辑单元,企业空间是 KubeSphere 多租户系统的基础。
以
ws-manager
身份登录 KubeSphere,它具有管理平台上所有企业空间的权限。点击左上角的平台管理,选择访问控制。在企业空间中,可以看到仅列出了一个默认企业空间system-workspace
,即系统企业空间,其中运行着与系统相关的组件和服务,您无法删除该企业空间。-
备注
如果您已启用多集群功能,您需要为企业空间,以便项目可以在集群中创建。
登出控制台,然后以
ws-admin
身份重新登录。在企业空间设置中,选择企业空间成员,然后点击邀请。邀请
project-admin
和project-regular
进入企业空间,分别授予workspace-self-provisioner
和workspace-viewer
角色,点击确定。备注
实际角色名称的格式:
<workspace name>-<role name>
。例如,在名为demo-workspace
的企业空间中,角色viewer
的实际角色名称为demo-workspace-viewer
。将
project-admin
和project-regular
都添加到企业空间后,点击确定。在企业空间中,您可以看到列出的三名成员。
在此步骤中,您需要使用在上一步骤中创建的帐户 project-admin
来创建项目。KubeSphere 中的项目与 Kubernetes 中的命名空间相同,为资源提供了虚拟隔离。有关更多信息,请参见命名空间。
以
project-admin
身份登录 KubeSphere Web 控制台,在项目中,点击创建。输入项目名称(例如
demo-project
),然后点击确定完成,您还可以为项目添加别名和描述。在项目中,点击刚创建的项目查看其详情页面。
在项目的概览页面,默认情况下未设置项目配额。您可以点击编辑配额并根据需要指定(例如:CPU 和内存的限制分别设为 1 Core 和 1000 Gi)。
在项目设置 > 项目成员中,邀请
project-regular
至该项目,并授予该用户operator
角色。信息
具有
operator
角色的用户是项目维护者,可以管理项目中除用户和角色以外的资源。在创建应用路由(即 Kubernetes 中的 )之前,需要启用该项目的网关。网关是在项目中运行的 NGINX Ingress 控制器。若要设置网关,请转到项目设置中的网关设置,然后点击设置网关。此步骤中仍使用帐户
project-admin
。选择访问方式 NodePort,然后点击确定。
完成上述步骤后,您已了解可以为不同级别的用户授予不同角色。先前步骤中使用的角色都是 KubeSphere 提供的内置角色。在此步骤中,您将学习如何创建自定义角色以满足工作需求。
再次以
admin
身份登录 KubeSphere Web 控制台,转到访问控制。点击左侧导航栏中的平台角色,再点击右侧的创建。
备注
平台角色页面的预设角色无法编辑或删除。
在创建平台角色对话框中,设置角色标识符(例如,
clusters-admin
)、角色名称和描述信息,然后点击编辑权限。备注
本示例演示如何创建负责集群管理的角色。
在编辑权限对话框中,设置角色权限(例如,选择集群管理)并点击确定。
备注
- 在本示例中,角色
clusters-admin
包含集群管理和集群查看权限。 - 一些权限依赖于其他权限,依赖项由每项权限下的依赖于字段指定。
- 选择权限后,将自动选择它所依赖的权限。
- 若要取消选择权限,则需要首先取消选择其从属权限。
- 在本示例中,角色
在平台角色页面,可以点击所创建角色的名称查看角色详情,点击 以编辑角色、编辑角色权限或删除该角色。
在用户页面,可以在创建帐户或编辑现有帐户时为帐户分配该角色。
备注
若要创建 DevOps 项目,需要预先启用 KubeSphere DevOps 系统,该系统是个可插拔的组件,提供 CI/CD 流水线、Binary-to-Image 和 Source-to-Image 等功能。有关如何启用 DevOps 的更多信息,请参见 。
以
project-admin
身份登录控制台,在 DevOps 项目中,点击创建。输入 DevOps 项目名称(例如
demo-devops
),然后点击确定,也可以为该项目添加别名和描述。转到 DevOps 项目设置,然后选择 DevOps 项目成员。点击邀请授予
project-regular
用户 的角色,允许其创建流水线和凭证。
至此,您已熟悉 KubeSphere 的多租户管理系统。在其他教程中,project-regular
帐户还将用于演示如何在项目或 DevOps 项目中创建应用程序和资源。