授予用户/用户组访问 Kubernetes 的一个名称空间

转载地址：https://www.kuboard.cn/learning/k8s-advanced/sec/rbac/auth-namespace.html

前提条件

• 已安装 Kuboard v3，版本不低于 v3.1.1.0

两阶段授权

Kuboard v3 中，采用两阶段授权的方式控制用户/用户组在 Kuboard / Kubernetes 中的权限。

第一阶段授权，控制当前用户：

• 可以操作哪个集群
• 以什么样的身份操作该集群

第二阶段授权，控制用户：

• 在集群内具备什么样的权限

本文描述了如何在 Kuboard 界面中为用户组 mygroup 授权，允许该用户组中的用户以 admin 角色访问集群 k8s-21 中的 default 名称空间。使用该用户组下 test 用户登录 Kuboard 后，首页界面如下所示：

假设用户 test 以及用户组 mygroup 已经实现创建好

• test 用户所查询到的集群列表结果为空；
• 点击右上角的用户名，可以显示当前登录用户的基本信息以及其所属的用户组；

第一阶段授权

• 使用管理员账号登录 Kuboard 首页，并导航到 用户与权限 -> 角色 -> sso-user，如下图所示：

sso-user 为安装 Kuboard 时默认创建的第一阶段授权的角色，该角色具备 KubernetesCluster.act-as-impersonate-user 的 GET 权限，允许与此角色关联的用户/用户组以 使用 ServiceAccount kuboard-admin 扮演 的身份操作 Kubernetes 集群。

• 切换到 关联用户/用户组（集群级别） 标签页，并点击 创建角色绑定（集群级别）
  
  
  
  

• 此时，用 test 账号登录 Kuboard 首页，此时用户已经可以在 Kubernetes 集群列表中查看到被授权的 k8s-21 这个集群，如下图所示：
  
  

点击该集群，弹出对话框中：

-- 可以激活 使用 ServiceAccount kuboard-admin 扮演 test 这个选项

-- 名称空间列表中的所有名称空间都为不可访问的状态

第二阶段授权

• 以管理员用户登录到 Kuboard 首页，点击集群列表中的集群 k8s-21，进入集群页面，并切换到 访问控制 -> 第一阶段授权 页面，如下图所示：

在此页面中，可以查看到该集群已经授权给 mygroup 用户组（操作步骤参考前文）

• 切换到 访问控制 -> 第二阶段授权 -> 用户组，如下图所示：

点击图中 为新 Group 授权 按钮，并填入 mygroup 作为被授权的用户组名称，然后点击确定按钮，如下图所示：

• 在 Group 详情页面，切换到 default 名称空间，并点击 RoleBinding 后面的 添加 按钮，如下图所示：
  
  

在弹出对话框中，关联的 ClusterRole/Role 字段选择 ClusterRole 、admin，并点击保存按钮，如下图所示：

点击保存后，可以看到该用户组在 default 名称空间中的权限，如下图所示：

进入名称空间

完成前述 第一阶段授权、第二阶段 两个步骤后，以 test 用户登录 Kuboard 界面，并点击首页的 k8s-21 集群，在弹出框中可以看到 default 名称空间已经变成了已授权的状态，点击 default 可以进入该名称空间，如下图所示：