- Docker教程
- Docker是什么
- Docker功能特點(diǎn)
- Docker架構(gòu)
- Docker引擎升級(jí)
- Docker存儲(chǔ)驅(qū)動(dòng)
- Docker引擎的組件
- Docker鏡像
- Docker拉取鏡像
- Docker鏡像命令
- Docker容器
- Docker容器命令
- Docker容器化
- Dockerfile簡(jiǎn)介
- Docker Compose簡(jiǎn)介
- Docker Compose安裝
- Docker Compose yml配置文件及常用指令簡(jiǎn)介
- Docker根據(jù)docker-compose文件部署應(yīng)用
- Docker使用docker-compose子命令管理應(yīng)用
- Docker Compose常用命令
- Docker Swarm簡(jiǎn)介
- Docker Swarm集群搭建
- Docker Swarm服務(wù)
- Docker Swarm服務(wù)日志
- Docker Swarm常用命令
- Docker網(wǎng)絡(luò)簡(jiǎn)介
- Docker單機(jī)橋接網(wǎng)絡(luò)
- Docker Macvlan網(wǎng)絡(luò)驅(qū)動(dòng)使用詳解
- Docker服務(wù)發(fā)布模式
- Docker network網(wǎng)絡(luò)子命令
- Docker overlay覆蓋網(wǎng)絡(luò)
- Docker卷與持久化數(shù)據(jù)
- Docker volume
- Docker Stack是什么
- Docker Stack配置文件詳解
- Docker Swarm模式下Docker Stack部署應(yīng)用
- Docker Stack管理應(yīng)用
- Docker Stack命令
- Docker安全簡(jiǎn)介
- Docker Linux安全技術(shù)簡(jiǎn)介
- Docker安全特性
- Docker EE企業(yè)版安裝教程
- Docker UCP
- Docker鏡像倉(cāng)庫(kù)本地化部署
- Docker角色權(quán)限控制(RBAC)詳解
- Docker LDAP目錄服務(wù)安裝教程
- Docker內(nèi)容信任機(jī)制
- Docker鏡像倉(cāng)庫(kù)配置及使用
- Docker鏡像提升
- Docker HTTP路由網(wǎng)格
- Docker刪除鏡像
- Docker常用命令
- Docker安裝
- Windows Docker安裝
- Mac Docker安裝
- Linux Docker安裝
- Windows Server安裝Docker
- Ubuntu Docker安裝
- Debian Docker安裝
- CentOS Docker安裝
- Docker鏡像加速
- Docker Hello World
- Docker容器使用
- Docker鏡像使用
- Docker容器連接
- Docker倉(cāng)庫(kù)管理
- Docker Dockerfile
- Docker Compose
- Docker Machine
- Docker Swarm集群管理
Docker角色權(quán)限控制(RBAC)詳解
我在最近 10 年職業(yè)生涯中的大部分時(shí)光從事的是財(cái)務(wù)服務(wù)部門(mén)的 IT 運(yùn)營(yíng)。在我工作的大多數(shù)環(huán)境中,基于角色的權(quán)限控制(RBAC)和對(duì)活動(dòng)目錄(AD)的集成都是必須的。因此,如果想銷(xiāo)售不包含這兩個(gè)特性的產(chǎn)品,用戶(hù)通常是不買(mǎi)賬的。不過(guò),Docker EE 具備這兩個(gè)特性。下面我們主要討論一下 RBAC。
UCP 通過(guò)一種稱(chēng)為授權(quán)(Grant)的東西實(shí)現(xiàn)了 RBAC。大體上,一個(gè)授權(quán)有以下 3 個(gè)概念構(gòu)成。
? 主體(Subject)。
? 角色(Role)。
? 集合(Collection)。
主體即一個(gè)或多個(gè)用戶(hù),或一個(gè)團(tuán)隊(duì)。角色是一系列權(quán)限的組合,而集合則是權(quán)限作用的資源,如下圖所示。
如下圖所示,SRT 團(tuán)隊(duì)具有對(duì) /zones/dev/srt 集合中所有資源的 container-full-control 權(quán)限。
創(chuàng)建一個(gè)授權(quán)包含如下步驟:
? 創(chuàng)建用戶(hù)和團(tuán)隊(duì)。
? 創(chuàng)建一個(gè)自定義的角色。
? 創(chuàng)建一個(gè)集合。
? 創(chuàng)建一個(gè)授權(quán)。
只有 UCP 管理員才可以創(chuàng)建和管理用戶(hù)、團(tuán)隊(duì)、角色、集合和授權(quán)。因此讀者需要以UCP管理員的身份登錄才能進(jìn)行下面的操作。
創(chuàng)建用戶(hù)和團(tuán)隊(duì)
將用戶(hù)置于團(tuán)隊(duì)中進(jìn)行組管理,然后為團(tuán)隊(duì)分配授權(quán)是一種最佳實(shí)踐。當(dāng)然也可以為單獨(dú)的用戶(hù)分配授權(quán),但并不推薦。下面創(chuàng)建一些用戶(hù)和團(tuán)隊(duì)。
⒈ 登錄到 UCP。
⒉ 展開(kāi) User Management(用戶(hù)管理),然后單擊 Users(用戶(hù))。這里可以創(chuàng)建用戶(hù)。
⒊ 單擊 Organization & Teams(組織&團(tuán)隊(duì))。這里可以創(chuàng)建組織。在本例后續(xù)的步驟中,將會(huì)使用一個(gè)稱(chēng)為“manufacturing”的組織。
⒋ 單擊 manufacturing 組織,并創(chuàng)建一個(gè)團(tuán)隊(duì)。團(tuán)隊(duì)存在于組織中,不能在組織之外創(chuàng)建一個(gè)團(tuán)隊(duì),并且一個(gè)團(tuán)隊(duì)只能存在于一個(gè)組織中。
⒌ 向團(tuán)隊(duì)中添加用戶(hù)。添加用戶(hù)時(shí),單擊進(jìn)入團(tuán)隊(duì),然后選擇 Actions(操作)菜單中的 Add Users(添加用戶(hù))。下圖顯示了如何向 manufacturing 組織中的 SRT 團(tuán)隊(duì)添加用戶(hù)。
現(xiàn)在已經(jīng)有用戶(hù)和團(tuán)隊(duì)了。UCP 會(huì)向 DTR 共享其用戶(hù)數(shù)據(jù)庫(kù),因此在 UCP 中創(chuàng)建的用戶(hù)和團(tuán)隊(duì)在 DTR 中也是可見(jiàn)的。
創(chuàng)建一個(gè)自定義的角色
自定義的角色是很強(qiáng)大的,它提供了非常細(xì)粒度的權(quán)限分配機(jī)制。下面將創(chuàng)建一個(gè)名為 secret-opt 的新的自定義角色,該角色允許被分配的主體創(chuàng)建、刪除、更新、使用和查看 Docker 密鑰。
⒈ 展開(kāi)左側(cè)導(dǎo)航欄中的 User Management 頁(yè)簽,然后選擇 Roles(角色)。
⒉ 創(chuàng)建一個(gè)新角色。
⒊ 給角色命名。本例會(huì)創(chuàng)建一個(gè)名為“secret-opts”的自定義角色,并放開(kāi)所有與密鑰相關(guān)的操作權(quán)限。
⒋ 選擇 SECRET OPERATIONS(密鑰選項(xiàng))并瀏覽可分配給角色的操作項(xiàng)列表。列表較長(zhǎng),可以用來(lái)指定具體的某個(gè)操作項(xiàng)。
⒌ 選擇希望分配給角色的 API 操作。本例中,分配所有與密鑰相關(guān)的 API 操作,下圖所示。
⒍ 單擊 Create(創(chuàng)建)。
這個(gè)角色已經(jīng)在系統(tǒng)中創(chuàng)建好,并可以被分配給多個(gè)授權(quán)。下面創(chuàng)建一個(gè)集合。
創(chuàng)建一個(gè)集合
通過(guò)前面的學(xué)習(xí)已經(jīng)了解了網(wǎng)絡(luò)、卷、密鑰、服務(wù)以及節(jié)點(diǎn)都是 Swarm 資源—— 它們保存在 Swarm 配置文件 /var/lib/docker/swarm。使用集合可以根據(jù)組織架構(gòu)和 IT 需要來(lái)對(duì)資源進(jìn)行分組。例如,IT 基礎(chǔ)架構(gòu)可能會(huì)分為 3 個(gè)域(zone):prod、test 和 dev。這種情況下,就可以創(chuàng)建 3 個(gè)集合,然后分別分配資源,如下圖所示。
每一個(gè)資源只可以存在于某一個(gè)集合中。
下面,創(chuàng)建一個(gè)新的名為 zones/dev/srt 的資源,然后給它分配一個(gè)密鑰。集合是支持層次結(jié)構(gòu)的,因此本例中應(yīng)依次創(chuàng)建 3 個(gè)嵌套的集合:zones > dev > srt。
在 Docker UCP Web 界面中進(jìn)行如下操作。
⒈ 在左側(cè)導(dǎo)航欄中選擇 Collections(集合),然后選擇 Create Collection(創(chuàng)建集合)。
⒉ 創(chuàng)建名為 zones 的根集合。
⒊ 單擊 /zones 集合的 View Children(查看子集合)。
⒋ 創(chuàng)建一個(gè)名為 dev 的內(nèi)嵌子集合。
⒌ 單擊 /zones/dev 集合的 View Children(查看子集合)。
⒍ 創(chuàng)建名為 srt 的子集合。
到此為止,/zones/dev/srt 集合就創(chuàng)建好了。然而,它還是空的。下面將為其添加一個(gè)密鑰。
⒈ 創(chuàng)建一個(gè)新的密鑰。可以用命令行或 UCP Web 界面創(chuàng)建它。這里介紹 Web 界面的方式。在 UCP Web 界面單擊 Secrets > Create Secret(創(chuàng)建密鑰)。填寫(xiě)名稱(chēng)等信息,然后單擊 Save。在創(chuàng)建密鑰的同時(shí)也可以為其配置集合,但是這里并不這樣操作。
⒉ 在 UCP Web 界面中選擇該密鑰。
⒊ 在 Configure(配置)下拉菜單中單擊 Collection。
⒋ 依次進(jìn)入 View Children 層次結(jié)構(gòu)并最終選擇 /zones/dev/srt,然后單擊 Save。
現(xiàn)在該密鑰已屬于 /zones/dev/srt 集合,并且無(wú)法再加入其他集合。
在創(chuàng)建授權(quán)之前,關(guān)于集合還有一點(diǎn)需要注意。集合采用的是層次結(jié)構(gòu),適用于某集合的權(quán)限同樣適用于其子集合。如下圖所示,dev 團(tuán)隊(duì)具有對(duì) /zones/dev 集合的權(quán)限,因此,該團(tuán)隊(duì)自動(dòng)具有 srt、hellcat 和 daemon 子集合的權(quán)限。
創(chuàng)建一個(gè)授權(quán)
現(xiàn)在有用戶(hù)、團(tuán)隊(duì)、自定義角色和集合,可以創(chuàng)建授權(quán)了。本例會(huì)為 srt-dev 團(tuán)隊(duì)創(chuàng)建一個(gè)授權(quán),該授權(quán)對(duì) /zones/dev/srt 集合中的所有資源擁有自定義角色 secret-ops 的權(quán)限。
授權(quán)即配置誰(shuí),對(duì)哪些資源,擁有什么權(quán)限,如下圖所示。
⒈ 在左側(cè)導(dǎo)航欄展開(kāi) User Management 頁(yè)簽,然后單擊 Grant(授權(quán))。
⒉ 創(chuàng)建一個(gè)新的授權(quán)。
⒊ 單擊 Subject(主體),然后選擇 manufacturing 組織下的 SRT 團(tuán)隊(duì)。也可以選擇整個(gè)組織。這樣的話(huà),組織中的所有團(tuán)隊(duì)都會(huì)被包含在該授權(quán)中。
⒋ 單擊 Role,然后選擇自定義的 secret-ops 角色。
⒌ 單擊 Collections,然后選擇 /zones/dev/srt 集合。此時(shí)可能需要在頂級(jí) Swarm 集合下查找子集合 /zones。
⒍ 單擊 Save 來(lái)創(chuàng)建授權(quán)。
現(xiàn)在授權(quán)已經(jīng)創(chuàng)建好了,在系統(tǒng)的所有授權(quán)的列表中可以找到它,如下圖所示。manufacturing/SRT 團(tuán)隊(duì)中的所有用戶(hù)都有權(quán)對(duì) /zones/dev/srt 集合中的資源進(jìn)行與密鑰相關(guān)的操作。
授權(quán)生效后仍然可以進(jìn)行修改。例如,可以添加用戶(hù)到團(tuán)隊(duì)或添加資源到集合。但是無(wú)法修改分配給角色的 API 操作。當(dāng)想要修改角色中的權(quán)限時(shí),需要?jiǎng)?chuàng)建一個(gè)新的配置有所需權(quán)限的角色。
節(jié)點(diǎn) RBAC
這是最后一點(diǎn)關(guān)于 RBAC 的介紹。為了調(diào)度將集群中的工作節(jié)點(diǎn)進(jìn)行分組是可行的。例如,有時(shí)會(huì)為開(kāi)發(fā)、測(cè)試和 QA 負(fù)載運(yùn)行一個(gè)集群——用一個(gè)集群可能會(huì)減少管理開(kāi)銷(xiāo),并且可以輕松地將節(jié)點(diǎn)分配給 3 個(gè)不同的環(huán)境。但此時(shí)仍然希望能夠?qū)ぷ鞴?jié)點(diǎn)進(jìn)行區(qū)分,從而實(shí)現(xiàn)諸如僅 dev 團(tuán)隊(duì)的用戶(hù)才可以對(duì) dev 集合中的節(jié)點(diǎn)進(jìn)行調(diào)度的效果。
這同樣可以基于授權(quán)來(lái)實(shí)現(xiàn)。首先,需要將 UCP 工作節(jié)點(diǎn)分配給自定義的集合。然后,基于該集合、內(nèi)置的 Scheduler 角色以及希望為其分配權(quán)限的團(tuán)隊(duì),來(lái)創(chuàng)建授權(quán)。
下圖中所示的簡(jiǎn)單示例表示允許 dev 團(tuán)隊(duì)中的成員將服務(wù)和容器調(diào)度到 /zones/dev 集合中的工作節(jié)點(diǎn)。
