角色模板
角色模板用于创建具有预定义权限的角色,这些角色可以分配给用户。LLMOS 目前有两种类型的角色模板:
- 全局角色:这些角色用于授予用户系统级别的权限。
- 命名空间角色:这些角色可以分配给特定命名空间内的用户。它们授予用户在分配的命名空间内的权限。
全局角色
全局角色是由 LLMOS 创建的预定义角色,所有用户均可使用。它们用于在系统级别授予用户权限。内置角色不能被修改或删除。 目前,LLMOS 包含两个默认的全局角色,分别是管理员和标准用户。
| 角色名称 | 描述 |
|---|---|
| 管理员 | 对整个系统和集群组件拥有完全控制权。 |
| 标准用户 | 对系统资源的访问权限有限,只能在分配的命名空间内执行角色允许的操作。 |
创建自定义全局角色
管理员用户可以通过以下步骤添加新的全局角色并将其分配给用户:
- 作为管理员用户登录 LLMOS 仪表板。
- 导航到 用户与身份验证 > 角色模板。
- 点击右上角的 创建全局角色 按钮。
- 指定 名称 和 描述(可选)。
- 如果希望默认将此角色分配给新用户,请选中 新用户默认 复选框。
- 在 授予资源 选项卡上,添加希望授予角��色的资源和权限。
- 有关资源和权限的更多详细信息,请参考 Kubernetes 的 RBAC 文档。
添加新的全局角色后,您应该能够在创建新用户或编辑现有用户时,在自定义部分看到新角色。
备注
对于全局角色,用户将能够访问他们有权限的所有命名空间中所分配的资源。因此,如果您希望限制对命名空间级别的访问,请考虑创建自定义命名空间角色模板。
命名空间角色
命名空间角色是可以分配给用户以授予他们在特定命名空间内权限的角色。LLMOS 包含两个默认的命名空间角色,分别是 Namespace Owner 和 Namespace Ready-Only。
| 角色名称 | 描述 |
|---|---|
| Namespace Owner | 对其分配的命名空间内的资源拥有完全控制权。 |
| Namespace Ready-Only | 对其分配的命名空间内的资源拥有只读访问权限。 |
创建自定义命名空间角色
自定义命名空间角色仅在分配给命名空间内的用户时生效。管理员用户可以通过以下步骤创建它们:
- 作为管理员用户登录 LLMOS 仪表板。
- 导航到用户与身份验证 > 角色模板,然后点击命名空间选项卡。
- 点击右上角的创建命名空间角色按钮。
- 指定名称和描述(可选)。
- 如果希望默认将此角色分配给新命名空间,请选中命名空间创建者默认复选框。
- (可选) 选中Locked复选框,如果您不希望此角色在当前时间用于分配给命名空间。
- 在授予资源 选项卡上,添加您希望授予角色的资源和权限。
RBAC 管理
命名空间权限
要将自定义命名空间角色分配给用户,请按照以下步骤操作:
- 导航到LLMOS 管理 > 高级 > 命名空间页面。
- 点击要分配角色的命名空间上的创建或编辑按钮。
- 在成员选项卡上,点击添加按钮以添加新成员。
- 输入您要分配角色的用户并从列表中选择命名空间权限。
- 所有者:用户将对命名空间拥有完全控制权。
- 只读:用户将对命名空间拥有只读访问权限。
- 自定义:选择此选项以将自定义命名空间角色分配给用户。
- 点击创建,成员将以所选角色添加到命名空间中。
- 要验证角色权限,作为用户登录仪表板,您应能够查看或管理角色允许您访问的命名空间中的资源。