Sebelum memulai
Ikuti panduan GKE RBAC sebelum melanjutkan ke langkah-langkah berikut.
Mengonfigurasi Identity and Access Management (IAM)
Selain izin yang diberikan melalui Kf RBAC, pengguna, grup, atau akun layanan juga harus diautentikasi untuk melihat kumpulan GKE di level project. Persyaratan ini sama seperti persyaratan untuk mengonfigurasi GKE RBAC, yang berarti pengguna/grup harus memiliki setidaknya container.clusters.get izin IAM dalam project yang berisi cluster tersebut. Izin ini disertakan oleh peran container.clusterViewer, dan peran lainnya yang lebih dilindungi. Untuk informasi selengkapnya, tinjau Interaksi dengan Identity and Access Management.
Tetapkan container.clusterViewer ke pengguna atau grup.
gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
--role="container.clusterViewer" \
--member="${MEMBER}"
Contoh nilai anggota adalah:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
Mengelola keanggotaan Ruang sebagai SpaceManager
Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menetapkan peran untuk pengguna, grup, atau akun layanan.
kf set-space-role MEMBER -t [Group|ServiceAccount|User]
Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menghapus anggota dari peran.
kf unset-space-role MEMBER -t [Group|ServiceAccount|User]
Anda dapat melihat anggota dan peran mereka dalam Ruang.
kf space-users
Contoh
Tetapkan peran SpaceDeveloper kepada pengguna.
kf set-space-role alice@example.com SpaceDeveloper
Tetapkan peran SpaceDeveloper ke grup.
kf set-space-role devs@example.com SpaceDeveloper -t Group
Tetapkan peran SpaceDeveloper ke Akun Layanan.
kf set-space-role sa-dev@example.domain.com SpaceDeveloper -t ServiceAccount
Pengembangan aplikasi sebagai SpaceDeveloper
Anggota dengan peran SpaceDeveloper dapat melakukan operasi pengembangan Aplikasi Kf dalam Ruang.
Untuk mengirim Aplikasi:
kf push app_name -p [PATH_TO_APP_ROOT_DIRECTORY]
Untuk melihat log Aplikasi:
posix-terminal
kf logs app_name
SSH ke Pod Kubernetes yang menjalankan Aplikasi:
posix-terminal
kf ssh app_name
Lihat broker layanan yang tersedia:
kf marketplace
Melihat Aplikasi sebagai SpaceManager atau SpaceAuditor
Anggota dengan peran SpaceManager atau SpaceAuditor dapat melihat Aplikasi yang tersedia di dalam Ruang:
kf apps
Melihat Kf Spaces dalam cluster
Semua peran (SpaceManager, SpaceDeveloper, dan SpaceAuditor) dapat melihat Kf Spaces yang tersedia dalam cluster:
kf spaces
Melihat anggota Ruang dan peran mereka dalam Ruang.
kf space-users
Tanda peniruan identitas
Untuk memverifikasi izin anggota, anggota dengan izin yang lebih dilindungi hak istimewa dapat menguji izin anggota lain menggunakan tanda peniruan identitas: --as dan --as-group.
Misalnya, sebagai admin cluster, Anda dapat memverifikasi apakah pengguna (username: bob) memiliki izin untuk mengirim Aplikasi.
kf push APP_NAME --as bob
Pastikan grup (manager-group@example.com) memiliki izin untuk menetapkan izin ke anggota lain.
kf set-space-role bob SpaceDeveloper --as-group manager-group@example.com