OpenShift管理控制台是否考虑对接已有企业组织机构用户,分级管理用户权限?

针对混合云场景中,OpenShift管理控制台是否考虑对接已有企业组织机构用户,分级管理用户权限?分级管理用户权限是基于传统的RBAC3模型还是基于类似AWS IAM的权限体系模型?

1回答

1、OpenShift 管理权限以 Service Account / 用户/ Project 三个主体为组织主线,配合 Role / Account / Customer Define Resource (CDR)等内部资源定义对象为目标实现 RBAC 来交叉形成企业级用户/租户管理体系。分级管理需要通过角色 Role 与各种管理对象之间的管理范围来...显示全部

1、OpenShift 管理权限以 Service Account / 用户/ Project 三个主体为组织主线,配合 Role / Account / Customer Define Resource (CDR)等内部资源定义对象为目标实现 RBAC 来交叉形成企业级用户/租户管理体系。分级管理需要通过角色 Role 与各种管理对象之间的管理范围来从日常管理行为中逐步实现。并没有完全固化的分级管理权限框架。这是因为 OpenShift 面向的各种管理场景通常都非常复杂,没法一概而论。一旦固定管理模型反而会造成种种管理形式上的不适应。

2、OpenShift 可以整合企业 LDAP 接口,或是其它认证源接口来实现企业管理权限全面对接。由于OpenShift 内部使用灵活的 OAuth 认证模型,因此与其它认证体系对接时相对比较简单,仅需要将 OAuth Token 以合规手段转给指定认证的信任用户,用户即可使用相应的权限。在这方面来讲 OpenShift 的设计非常适合与现有企业认证体系做整合。Redhat 有很多这方面的经验可以供用户参考。

3、为了用户更简单的实现在 OpenShift 上的单点登录。 Redhat SSO 在 OpenShift 上也是内置整合的。企业级用户可以通过 SSO 快速配置 OpenShift 与其它系统或业务之间的快速单点登录能力。

4、在 Redhat 与运营商行业的众多用户合作的过程中,我们发现很多运营商用户在租户方面的使用要求,与 Kuberentes 有很大隔阂。即使使用 OpenShift 产品这样的企业级平台仍有一定的工作需要做。由于运营商云化平台的租户通常以项目为单位组织,一个项目中可能会牵扯多个项目组,涉及多加SI厂商。同时某项目人员很可能在不同项目中承担不同的角色。因此我们与运营商合作的 OpenShift 平台通常会在 OpenShift 之上再抽象一个租户,在外部门户统一以租户的角度分配整体计算资源。再由租户项目管理原来分配自身配额,真正映射到 OpenShift 的配合,是由外部门户分配完成的配额,指定给具体的 Project 项目,而具体的 Project 则已经开始面向具体的业务需求来设计了,项目内的各种资源权限通过外部门户Portal传达 RBAC 策略,而项目之间可以通过 OpenShift 的 ByPolicy 网络隔离设置来二次定义 Project 之间的项目资源隔离情况。从而充分利用 OpenShift 的隔离与配额能力,同时又保持项目组织的最大灵活性。

收起
 2020-04-08
浏览126

提问者

mesos系统架构师, cmcc

问题状态

  • 发布时间:2020-04-07
  • 关注会员:2 人
  • 问题浏览:699
  • 最近回答:2020-04-08