v2.1
v2.0
v1.0
  1. Release Notes
    1. Release Notes - 2.1.1最新
    1. Release Notes - 2.1.0
    1. Release Notes - 2.0.2
    1. Release Notes - 2.0.1
    1. Release Notes - 2.0.0
  1. 产品介绍
    1. 什么是 KubeSphere
    1. 平台功能
    1. 为什么选择 KubeSphere
    1. 架构说明
    1. 应用场景
    1. 名词解释
  1. 安装指南
    1. 安装说明
      1. 概览
      2. 网络防火墙配置
      3. 集群其它参数配置
    1. 在 Linux 快速安装 KubeSphere
      1. All-in-One 模式
      2. Multi-Node 模式
      3. 完整安装(开启所有功能组件)
    1. 在 Kubernetes 安装 KubeSphere
      1. 准备工作
      2. 在 Kubernetes 安装 KubeSphere
    1. 安装可插拔的功能组件
      1. 可插拔功能组件概览
      2. 安装应用商店
      3. 安装内置的 DevOps 系统
      4. 安装内置的日志系统
      5. 安装微服务治理组件(Service Mesh)
      6. 安装告警通知系统
      7. 安装 Metrics-server 开启 HPA
      8. 验证可插拔功能组件的安装
    1. 集群高可用配置安装
      1. 在青云安装 HA 集群
      2. 在华为云安装 HA 集群
      3. 持久化存储配置说明
    1. 相关工具与插件
      1. 安装内置 Grafana
      2. 访问 SonarQube 和 Jenkins 服务端
      3. 安装 Porter 负载均衡器插件
      4. 安装 QingCloud 负载均衡器插件
    1. 认证配置
      1. 接入 LDAP / AD 域账号(Beta)
    1. 集群运维
      1. 安装后添加新的存储类型
      2. 集群节点扩容
      3. 卸载
  1. 升级指南
    1. 升级必读
    1. All-in-One 升级
    1. Multi-node 升级
  1. 快速入门
    1. 入门必读
    1. 1. 多租户管理快速入门
    1. 2. 应用路由与服务示例
    1. 3. 创建 Wordpress 应用并发布至 K8s
    1. 4. 一键部署应用
    1. 5. 创建简单任务
    1. 6. 设置弹性伸缩 (HPA)
    1. 7. Source-to-Image
    1. 8. Binary-to-Image
    1. 9. 基于Spring Boot项目构建流水线
    1. 10. 图形化构建流水线
    1. 11. Bookinfo 微服务的灰度发布
    1. 12. 使用 Ingress-Nginx 进行灰度发布
    1. 13. 应用商店
  1. 管理员指南
    1. 多租户管理
      1. 多租户管理概述
      2. 角色权限概览
    1. 平台管理
      1. 企业空间管理
      2. 账号管理
      3. 平台角色
    1. 基础设施
      1. 服务组件
      2. 主机管理
      3. 存储类型
    1. 监控中心
      1. 监控概述
      2. 如何利用监控定位问题
      3. 集群状态监控
      4. 应用资源监控
      5. 监控策略 - 节点级别
      6. 监控消息 - 节点级别
    1. 平台设置
      1. 应用仓库
      2. 基于本地仓库搭建应用仓库部署Redis
      3. 上传应用到 KubeSphere 官方仓库
      4. 基于 GitHub 搭建自有应用仓库
      5. 邮件服务器
      6. 日志收集
      7. 添加 Fluentd 作为日志接收者
      8. 添加 Kafka 作为日志接收者
    1. 工具箱
      1. Web Kubectl
      2. 日志收集
    1. DevOps 配置
      1. 系统配置修改
      2. 上传镜像至 Harbor
      3. 流水线配置邮件服务器
      4. Jenkins 系统设置
    1. FAQ
      1. DevOps 运维FAQ
  1. 用户指南
    1. 应用
      1. 应用模板
      2. 自制应用
      3. 流量治理
      4. 熔断
    1. 工作负载
      1. 工作负载概述
      2. 部署
      3. 有状态副本集
      4. 守护进程集
      5. 任务
      6. 定时任务
      7. 设置健康检查器
      8. 工作负载管理
      9. 落盘日志收集
    1. 存储
      1. 存储概述
      2. 存储卷
      3. Local Volume 使用方法
    1. 网络与服务
      1. 服务管理
      2. 灰度发布
      3. 应用路由
    1. 监控告警
      1. 告警策略 - 工作负载级别
      2. 告警消息 - 工作负载级别
    1. 配置中心
      1. 密钥
      2. 配置
      3. 镜像仓库
    1. 项目设置
      1. 基本信息
      2. 成员角色
      3. 项目成员
      4. 外网访问
    1. DevOps 工程
      1. DevOps 工程概述
      2. 管理 DevOps 工程
      3. 流水线
      4. 凭证管理
      5. 添加代码仓库
      6. 访问 SonarQube 并创建 Token
      7. 设置自动触发扫描
      8. Jenkins Agent 说明
      9. 流水线常见问题
  1. 开发者指南
    1. Helm 应用开发
      1. 开发模板规范
      2. Helm 应用开发入门
    1. Source to Image(S2I) 自定义模版开发
      1. S2I 原理及流程介绍
      2. 自定义 S2I 模版
  1. API 文档
    1. API 文档
    1. 如何调用 API
    1. API 常用术语对照
    1. 监控指标说明
  1. 常见问题
    1. 安装常见问题
    1. 存储常见问题
    1. 控制台使用常见问题
    1. DevOps 常见问题
  1. 附录
    1. 部署 Ceph 存储服务端
    1. 部署 GlusterFS 存储服务端
    1. 安装 OpenEBS 创建 LocalPV 存储类型
    1. 云平台配置端口转发和防火墙
KubeSphere®️ 2020 All Rights Reserved.

角色权限概览

编辑

在实际的应用场景中,KubeSphere 的资源层级分为 集群、企业空间、项目/ DevOps 工程 等三个层级,多层级的划分也是实现多租户和资源隔离的基础。在 账号管理 中为用户创建了账号后,先由集群或企业空间的管理员通过 邀请 的方式邀请新成员加入该企业空间,然后才可以被同一企业空间下的项目或 DevOps 工程的管理员,邀请加入到项目和 DevOps 工程中,邀请时管理员可以对新成员赋予对应的角色,而不同的角色拥有不同的操作权限,平台内置了几个常用的角色供使用。同时,如果各层级内置的角色不能满足用户需求时,平台支持管理员创建新的角色并自定义角色权限的规则列表,以下分别说明不同层级下的权限管理和预置角色。

角色权限管理

角色分为集群、企业空间、项目/ DevOps 工程共三个层级,将用户和不同层级的资源关联起来。

角色权限管理关系

预置角色权限

在集群和集群空间下之所以如此划分多个内置角色,旨在针对不同角色的权限进行细粒度的管理,让拥有不同角色的成员更准确地查看和管理在集群或企业空间下的资源。只有对不同角色的权限进行细分后,多租户模式下对不同资源的管控和隔离才会更加安全。下图汇总了在集群和企业空间下不同角色分别具有哪些权限。

预置角色权限概览

角色权限

集群角色

集群下包括用户管理、角色管理、企业空间管理、各类集群层面的资源管理。

集群层面的权限,主要针对节点、存储类型、集群监控、应用仓库、邮件服务器、日志收集、服务组件、企业空间等集群层面的资源控制。

预置的集群角色:

预置角色 描述
cluster-admin 集群管理员,可以管理集群中所有的资源。
workspaces-manager 集群中企业空间管理员,仅可创建、删除企业空间,维护企业空间中的成员列表。
cluster-regular 集群中的普通用户,在被邀请加入企业空间之前没有任何资源操作权限。

企业空间角色

独立的租户、项目和 Devops 工程都在企业空间下,企业空间下也有成员,可以从集群的用户池中添加。当企业空间被创建之后,创建者默认绑定为该空间下的 admin 角色。企业空间的管理员,可以在企业空间中创建项目、DevOps 工程资源,从集群的用户池中邀请用户加入到企业空间下。

预置的企业空间角色:

预置角色 描述
workspace-admin 企业空间管理员,可以管理企业空间下所有的资源。
workspace-regular 企业空间普通成员,可以在企业空间下创建工程和项目。
workspace-viewer 企业空间的观察者,可以查看企业空间下所有的资源信息。

项目角色

集群计算资源的虚拟划分,项目有资源配额限制。当项目、DevOps 工程被创建之后,创建者默认绑定至该项目或 DevOps 工程下的 admin 角色。由项目的管理员,向项目内邀请成员并授予预置的项目角色,可以从企业空间下的用户池中搜索并添加用户。

预置的项目角色:

预置角色 描述
admin 项目管理员,可以管理项目下所有的资源。
operator 项目维护者,可以管理项目下除用户和角色之外的资源。
viewer 项目观察者,可以查看项目下所有的资源。

预置角色权限概览

资源/权限/角色 admin operator viewer
项目管理 查看 / 编辑 / 删除 查看 / 编辑 / 删除 查看
监控管理 查看 查看 查看
告警管理 查看 / 创建 / 删除 查看 / 创建 / 删除 查看
成员管理 查看 / 创建 / 编辑 / 删除 查看 查看
角色管理 查看 / 创建 / 编辑 / 删除 查看 查看
部署 查看 / 创建 / 编辑 / 删除 / 横向伸缩 查看 / 创建 / 编辑 / 删除 / 横向伸缩 查看
有状态副本集 查看 / 创建 / 编辑 / 删除 / 横向伸缩 查看 / 创建 / 编辑 / 删除 / 横向伸缩 查看
守护进程集 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
容器组管理 远程连接/ 查看 远程连接/ 查看 远程连接 / 查看
服务管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
外网访问管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
应用路由管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
存储卷 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
应用管理 查看 / 部署 / 编辑 / 删除 查看 / 部署 / 编辑 / 删除 查看
任务管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
定时任务管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
密钥管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看
配置管理 查看 / 创建 / 编辑 / 删除 查看 / 创建 / 编辑 / 删除 查看

DevOps 工程角色

为了方便细粒度的对 DevOps 工程进行管控,DevOps 工程的管理员可以从企业空间下的用户池中搜索并添加用户,为新邀请的用户授予内置的角色。

预置的 DevOps 工程角色:

预置角色 描述
owner DevOps 工程的所有者,可以进行项目的所有操作。
maintainer DevOps 工程的主要维护者,可以进行项目内的凭证配置、流水线配置等操作。
developer DevOps 工程的开发者,可以进行流水线的触发和查看。
reporter DevOps 工程的观察者,可以查看流水线的运行情况。