华为云分布式云原生权限概述

华为云分布式云原生权限概述

分布式云原生Ubiquitous Cloud Native Service(UCS)是业界首个分布式云原生产品,为企业构建云原生业务部署、管理、应用生态的全域一致性体验 ,实现客户在使用云原生应用时,感受不到地域、跨云、流量的限制,让云原生的能力进入企业的每一个业务场景,加速千行百业拥抱云原生。

Ubiquitous Cloud Native Service(UCS)是业界首个分布式云原生产品,为企业构建云原生业务部署、管理、应用生态的全域一致性体验 ,实现客户在使用云原生应用时,感受不到地域、跨云、流量的限制,让云原生的能力进入企业的每一个业务场景,加速千行百业拥抱云原生。

UCS权限概述

UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离,如图1所示。

UCS权限类型

UCS权限管理是在IAM与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下:

UCS服务资源权限:是基于IAM系统策略的授权。UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。

集群中Kubernetes资源权限:是基于Kubernetes RBAC能力的授权,可授予针对集群内Kubernetes资源对象的细化权限,通过权限设置可以让不同的用户有操作不同Kubernetes资源对象(如工作负载、任务、服务等Kubernetes原生资源)的权限

UCS的权限可以从使用的阶段来看,第一个阶段是创建和管理基础设施资源的权限,也就是拥有创建容器舰队、注册集群、开通集群联邦等操作的权限;第二个阶段是使用集群Kubernetes资源对象(如工作负载、服务等)的权限;第三个阶段是监控运维基础设施资源以及Kubernetes资源的权限。其中,第一个和第三个阶段属于UCS服务资源权限,在IAM控制台按照IAM系统策略的方式授予;第二个阶段属于集群中Kubernetes资源权限,由管理员在UCS控制台“权限管理”页面创建,并在“容器舰队”页面完成权限与特定舰队或集群的关联。

权限管理流程

新建IAM用户的权限管理主要流程可参见图2

图2 权限管理流程

基本概念说明

UCS权限管理包含如下基本概念,其关系如图3所示。

UCS权限管理包含如下基本概念,其关系如图3所示。

用户:由管理员帐号在统一身份认证服务(IAM)中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据帐号授予的权限使用资源。

●用户组:用户组是用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。例如,管理员为用户组授予UCS FullAccess权限后,其中的用户将具备UCS服务的管理员权限。当某个用户加入多个用户组时,此用户同时拥有多个用户组的权限,即多个用户组权限的全集。

权限:由UCS管理员定义的某个或某些用户对集群中Kubernetes资源的操作范围,UCS预置了几个常用权限,包括管理员权限、只读权限、开发权限,同时也支持用户自定义权限。更多介绍请参见创建权限。

●舰队:舰队是多个集群的集合,管理员可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。舰队与权限是多对多的关系,即一个权限可以关联多个舰队,一个舰队也可以关联多个权限。

图3 权限关系示意图

约束与限制

●本地集群支持使用华为云IAM Token访问Kube APIServer;同时,不对华为云UCS的系统策略(UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess)进行识别。

●对于多云集群,目前只有华为云帐号可以执行集群注册的操作,暂不支持IAM系统策略。

华为云分布式云原生产品UCS

Ubiquitous Cloud-Native Service(UCS)的含义是无处不在的云原生服务,把云原生能力带入企业的每一个业务场景

查看更多收起

随着云原生应用深入企业各个业务场景,跨云跨地域统一协同治理,保障一致应用体验等新的需求日渐突出,华为云UCS构建无处不在的云原生服务,加速各行各业云原生升级

  • 百万级节点算力协同

  • 随时、随地提供应用所需算力资源

  • 智能流量分发调度

  • 实时跨域、按需调配应用访问流量

  • 数据随应用一键迁移

  • 以应用为中心,全业务一体化迁移、弹性、容灾

分布式云原生用户场景

用户场景

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

活动期间,华为云用户通过活动页面购买云服务,或使用上云礼包优惠券在华为云官网新购云服务,累计新购实付付费金额达到一定额度,可兑换相应的实物礼品。活动优惠券可在本活动页面中“上云礼包”等方式获取,在华为云官网直接购买(未使用年中云钜惠活动优惠券)或参与其他活动的订单付费金额不计入统计范围内;

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

确定
金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

  • 优势
  • - 数据跟随应用流转

  • 围绕云原生应用构建自动化的应用迁移、克隆能力

  • - 有状态应用跨云弹性

  • 数据与应用协同,按需跨云弹性伸缩

  • - 多层次数据联动

  • 存储层、容器层、中间件层等不同层次数据随应用场景实时联动,支撑应用容灾、扩容、迁移

金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

  • 优势
  • - 数据跟随应用流转

  • 围绕云原生应用构建自动化的应用迁移、克隆能力

  • - 有状态应用跨云弹性

  • 数据与应用协同,按需跨云弹性伸缩

  • - 多层次数据联动

  • 存储层、容器层、中间件层等不同层次数据随应用场景实时联动,支撑应用容灾、扩容、迁移

金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

金融场景——多层次数据联动,跨云应用迁移、弹性伸缩、容灾管理

  • 优势
  • - 数据跟随应用流转

  • 围绕云原生应用构建自动化的应用迁移、克隆能力

  • - 有状态应用跨云弹性

  • 数据与应用协同,按需跨云弹性伸缩

  • - 多层次数据联动

  • 存储层、容器层、中间件层等不同层次数据随应用场景实时联动,支撑应用容灾、扩容、迁移

分布式云原生UCS相关文档

分布式云原生-计费说明

计费项:1.华为云集群:包括华为云CCE集群和CCE Turbo集群,费用仅包含UCS服务管理费用,不包括任何CCE资源相关的费用。

2.附着集群:满足CNCF标准的第三方Kubernetes集群。
了解详情

分布式云原生-约束与限制

Kubernetes版本约束

接入UCS服务的Kubernetes集群版本必须为1.19及以上。
了解详情

分布式云原生-产品优势

随着云原生应用深入企业各个业务场景,跨云跨地域统一协同治理,保障一致应用体验等新的需求日渐突出,华为云UCS构建无处不在的云原生服务,加速各行各业云原生升级。
了解详情

分布式云原生-容器智能分析

容器智能分析是华为云打造的新一代云原生容器运维平台,可实时监控应用及资源,采集各项指标及事件等数据分析应用健康状态,提供告警能力以及全面、清晰、多维度数据可视化能力,兼容主流开源组件,并提供快捷故障定位的能力。
了解详情

分布式云原生-添加三方k8s集群

UCS支持自动添加华为云的CCE集群及MCP联邦,您无需进行额外的添加操作。

本章节将以自建集群为例,以公网接入形式快速添加一个Kubernetes集群至UCS进行管理。

添加集群
了解详情

分布式云原生-创建流量策略

您可通过UCS的分布式流量管理功能,实现应用访问流量的智能调度,实现流量切分、灰度、故障倒换等不同功能。
了解详情

分布式云原生-分发应用实例

您可以通过UCS提供的云原生市场功能快速为纳管集群创建应用实例,支持华为云、边缘节点、分布式云的多场景部署。本章节将指导您如何使用UCS快速部署一个Redis应用至集群。
了解详情

分布式云原生-UCS权限概述

UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户便捷灵活地对租户下的IAM用户组设置不同的集群操作权限,结合权限策略和集群组设计,可实现企业不同部门或项目之间的权限隔离。
了解详情

分布式云原生UCS专题推荐