本页介绍了如何根据特定命名空间限制对集群资源的查看权限,以及具有受限权限的用户如何在 Google Cloud 控制台上查看这些资源。对于运行多租户 Google Kubernetes Engine (GKE) 集群的组织而言,这种情况很常见。
本页面适用于希望为用户提供对特定命名空间的集群资源的受限访问权限的安全专家和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE Enterprise 用户角色和任务。
在阅读本页面之前,请确保您熟悉以下命名空间概念:
启用对集群资源的命名空间限制访问权限
您可以使用租户权限来限制用户与 Google Cloud 控制台上的集群的交互。您可以向用户授予 roles/container.clusterViewer IAM 权限以及基于角色的访问权限控制 (RBAC) 权限,以查看特定命名空间中的资源。
如需详细了解如何使用命名空间,请参阅使用命名空间组织 Kubernetes 和企业多租户最佳实践。
在 Google Cloud 控制台中查看命名空间受限资源
如果您具有有限的 IAM 或 RBAC 权限,并且希望在 Google Cloud 控制台上查看命名空间受限资源,请按照以下步骤操作:
前往 Google Cloud 控制台中的工作负载页面。
点击命名空间下拉列表。
点击 添加过滤条件。
输入要访问的命名空间,然后点击保存。
点击确定。
系统会对列表进行过滤,以显示所选命名空间。
共享保存的视图
您也可以将过滤后的列表保存为命名的保存视图。保存的视图将在各个会话中持久存续,并且可与其他用户共享。
如需共享保存的视图,请按以下步骤操作:
- 从保存的视图下拉列表中选择保存的视图。
- 在保存的视图下拉列表旁边,点击 ,然后点击共享。
- 点击 以复制共享视图话框中的网址。您可以向需要访问同一集群和命名空间的其他用户共享此网址。