Sebelum memulai
Ikuti panduan RBAC GKE sebelum melanjutkan ke langkah-langkah berikut.
Mengonfigurasi Identity and Access Management (IAM)
Selain izin yang diberikan melalui RBAC Kf, pengguna, grup, atau akun layanan juga harus diautentikasi untuk melihat cluster GKE di tingkat project. Persyaratan ini sama dengan persyaratan untuk mengonfigurasi RBAC GKE, yang berarti pengguna/grup harus memiliki setidaknya izin IAM container.clusters.get
dalam project yang berisi cluster. Izin ini disertakan oleh peran container.clusterViewer
, dan peran lain dengan hak istimewa yang lebih tinggi. Untuk informasi selengkapnya, tinjau Interaksi dengan Identity and Access Management.
Tetapkan container.clusterViewer
ke pengguna atau grup.
gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
--role="container.clusterViewer" \
--member="${MEMBER}"
Contoh nilai anggota adalah:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
Mengelola keanggotaan Ruang sebagai SpaceManager
Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menetapkan peran ke pengguna, grup, atau akun layanan.
kf set-space-role MEMBER -t [Group|ServiceAccount|User]
Peran admin cluster, atau anggota dengan peran SpaceManager, dapat menghapus anggota dari peran.
kf unset-space-role MEMBER -t [Group|ServiceAccount|User]
Anda dapat melihat anggota dan perannya dalam Ruang.
kf space-users
Contoh
Tetapkan peran SpaceDeveloper kepada pengguna.
kf set-space-role alice@example.com SpaceDeveloper
Tetapkan peran SpaceDeveloper ke grup.
kf set-space-role devs@example.com SpaceDeveloper -t Group
Tetapkan peran SpaceDeveloper ke Akun Layanan.
kf set-space-role sa-dev@example.domain.com SpaceDeveloper -t ServiceAccount
Pengembangan aplikasi sebagai SpaceDeveloper
Anggota dengan peran SpaceDeveloper dapat melakukan operasi pengembangan Aplikasi Kf dalam Ruang.
Untuk mengirim Aplikasi:
kf push app_name -p [PATH_TO_APP_ROOT_DIRECTORY]
Untuk melihat log Aplikasi:
posix-terminal
kf logs app_name
SSH ke Pod Kubernetes yang menjalankan Aplikasi:
posix-terminal
kf ssh app_name
Lihat perantara layanan yang tersedia:
kf marketplace
Melihat Aplikasi sebagai SpaceManager atau SpaceAuditor
Anggota dengan peran SpaceManager atau SpaceAuditor dapat melihat Aplikasi yang tersedia dalam Ruang:
kf apps
Melihat Ruang Kf dalam cluster
Semua peran (SpaceManager, SpaceDeveloper, dan SpaceAuditor) dapat melihat Ruang Kf yang tersedia dalam cluster:
kf spaces
Melihat anggota Ruang dan perannya dalam Ruang.
kf space-users
Tanda peniruan identitas
Untuk memverifikasi izin anggota, anggota dengan izin yang lebih istimewa dapat menguji izin anggota lain menggunakan tanda peniruan identitas: --as
dan --as-group
.
Misalnya, sebagai admin cluster, Anda dapat memverifikasi apakah pengguna (nama pengguna: bob) memiliki izin untuk mendorong Aplikasi.
kf push APP_NAME --as bob
Pastikan grup (manager-group@example.com) memiliki izin untuk menetapkan izin kepada anggota lain.
kf set-space-role bob SpaceDeveloper --as-group manager-group@example.com