Auf dieser Seite wird erläutert, wie Sie den Lesezugriff auf Clusterressourcen anhand bestimmter Namespaces beschränken und Nutzer mit beschränktem Zugriff diese Ressourcen in der Google Cloud Console ansehen können. Dieses Szenario ist häufig bei Organisationen zu finden, die mehrmandantenfähige Google Kubernetes Engine-Cluster (GKE) ausführen.
Diese Seite richtet sich an Sicherheitsspezialisten und Betreiber, die Nutzern eingeschränkten Zugriff auf Clusterressourcen für bestimmte Namespaces gewähren möchten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in unseren Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben. Google Cloud
Machen Sie sich vor dem Lesen dieser Seite mit den folgenden Namespace-Konzepten vertraut:
Namespace-beschränkten Zugriff auf Clusterressourcen aktivieren
Mit Mandantenberechtigungen können Sie Nutzerinteraktionen mit dem Cluster in der Google Cloud Console beschränken. Sie erteilen den Nutzern die IAM-Berechtigung roles/container.clusterViewer sowie die Berechtigungen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zum Aufrufen von Ressourcen in bestimmten Namespaces.
Weitere Informationen zur Verwendung von Namespaces finden Sie unter Kubernetes mit Namespaces organisieren und Best Practices für die Mehrmandantenfähigkeit in Unternehmen.
In der Google Cloud Console Ressourcen mit Namespace-Einschränkung ansehen
Wenn Sie IAM- oder RBAC-Berechtigungen haben und Namespace-beschränkte Ressourcen in der Google Cloud Console aufrufen möchten, führen Sie die folgenden Schritte aus:
Rufen Sie in der Google Cloud Console die Seite Arbeitslasten auf.
Klicken Sie auf die Drop-down-Liste Namespace.
Klicken Sie auf Filter hinzufügen.
Geben Sie den Namespace ein, auf den Sie zugreifen möchten, und klicken Sie auf Speichern.
Klicken Sie auf OK.
Die Liste wird gefiltert, um den ausgewählten Namespace anzuzeigen.
Gespeicherte Ansichten freigeben
Sie können die gefilterte Liste auch als benannte gespeicherte Ansicht speichern. Die gespeicherte Ansicht bleibt sitzungsübergreifend erhalten und kann mit anderen Nutzern geteilt werden.
So geben Sie eine gespeicherte Ansicht frei:
- Wählen Sie die gespeicherte Ansicht aus der Drop-down-Liste Gespeicherte Ansicht aus.
- Klicken Sie neben der Drop-down-Liste Gespeicherte Ansicht auf und dann auf freigeben.
- Klicken Sie auf , um die URL im Dialogfeld Ansicht freigeben zu kopieren. Sie können diese URL für andere Nutzer freigeben, die Zugriff auf denselben Cluster und dieselben Namespaces benötigen.