本文介绍ACK One GitOps支持的用户类型以及如何为用户授权。
用户类型
ACK One GitOps支持多用户团队协作,管理员可以创建或删除用户,并为不同用户设置不同的ArgoCD RBAC权限和不同的ArgoCD Application的权限。目前ACK One GitOps支持以下两种用户类型。
Local User
系统本地用户。管理员可以创建Local User并获取认证Token,由自动化系统使用,调用ArgoCD API自动创建ArgoCD Application、Project等。若您的团队规模较小,可创建不同的Local User分配给团队成员。关于Local User授权方式,请参见为Local User授权。
阿里云RAM User/Role
阿里云用户或角色。建议使用阿里云用户登录ArgoCD UI或ArgoCD CLI。ACK One GitOps默认支持使用阿里云RAM User/Role SSO ArgoCD UI和ArgoCD CLI。关于阿里云RAM User授权方式,请参见为阿里云RAM User/Role授权。
创建Local User
前提条件
已从ACK One控制台获取Fleet实例的KubeConfig,并通过kubectl连接至Fleet实例。
已在ACK One Fleet实例中开启GitOps。具体操作,请参见在ACK One Fleet实例中开启GitOps。
已获取ArgoCD管理员密码,并登录ArgoCD CLI。具体操作,请参见通过ArgoCD CLI方式访问ArgoCD。
操作步骤
创建Local User操作由ACK One Fleet实例管理员在Fleet实例中执行。具体步骤如下。
执行以下命令,编辑ArgoCD
argocd-cm的ConfigMap文件。kubectl edit cm argocd-cm -n argocd在
argocd-cm的ConfigMap文件中,添加如下所示的Local Userlocaluser1。data: accounts.localuser1: login,apiKey # 可以UI/CLI登录,并可以生成apiKey Token。 accounts.localuser1.enabled: "true" # 创建localuser1。执行以下命令,查看Local User。
argocd account list预期输出:
NAME ENABLED CAPABILITIES admin true login localuser1 true login,apiKey # 此处为上一步已创建的localuser1。执行以下命令,设置密码并生成认证Token。
# 设置密码。 argocd account update-password \ --account localuser1 \ --current-password <admin password> \ --new-password <localuser1-password> # 获取localuser1认证Token。 argocd account generate-token --account localuser1 eyJhb......
为用户配置ArgoCD RBAC
ArgoCD支持为SSO或Local User配置RBAC,以限制用户对ArgoCD资源的访问。其通过定义RBAC角色,再将SSO Group或Local User映射到角色来实现访问控制。
角色授权说明
进行授权操作时,您需要先为角色授权,再将SSO Group或Local User映射到角色,完成用户授权。
您可以自定义角色,也可以使用Argo CD提供的如下预置角色:
role:readonly:对所有Argo CD资源具有只读权限。(get)role:admin:对所有Argo CD资源具有所有权限。
为角色授权需要在argocd-rbac-cm ConfigMap中的.data.policy.csv字段中配置,格式如下:
不属于Project的:
p, <role/user/group>, <resource>, <action>, <object>属于Project的:
p, <role/user/group>, <resource>, <action>, <appproject>/<object>
ArgoCD支持的资源如下:clusters、projects、applications、applicationsets、repositories、certificates、accounts、gpgkeys、logs、exec, extensions。
支持的Actions如下:get、create、update、delete、sync、override、action/<api-group>/<Kind>/<action-name>。
其中sync、override、action/<api-group>/<Kind>/<action-name>操作只对applications资源有意义。
为Local User授权
执行以下命令,编辑ArgoCD
argocd-rbac-cm的ConfigMap文件。kubectl edit cm argocd-rbac-cm -n argocd在
argocd-rbac-cm的ConfigMap文件中,参考以下示例根据实际需求为Local User进行授权。重要请勿修改此ConfigMap文件中已有的配置。
data: policy.csv: | ## p, role:project-admin, applications, *, */*, allow ## p, role:project-admin, projects, *, *, allow g, "14***01", role:admin # 现有配置,请保留。 g, localuser1, role:admin # 新增配置,映射localuser1到角色admin。 ## g, localuser1, role:project-admin # 映射localuser1到角色project-admin。 scopes: '[uid]' # 现有配置,请保留。示例代码中提供的两个授权场景分别如下:
映射localuser1到预置角色admin,使localuser1具有ArgoCD资源的所有权限。
屏蔽的配置为:映射localuser1到自定义角色project-admin,并为角色project-admin授予projects和applications资源的所有权限。
为阿里云RAM User/Role授权
ACK One GitOps默认打通ArgoCD UI和ArgoCD CLI向阿里云RAM的SSO认证。当您登录阿里云控制台后,可以通过SSO登录ArgoCD UI或ArgoCD CLI,无需再次输入用户名密码。
若RAM User为ACK One Fleet实例管理员,ACK One GitOps会自动同步权限设置,授权其ArgoCD UI或ArgoCD CLI管理员权限。
若RAM User为普通用户,需要舰队管理员为其授予相应的权限。包含两方面的权限管理:
在
argocd-rbac-cm中为RAM Uesr/Role授予ArgoCD RBAC权限。通过ArgoCD Projects管理RAM Uesr/Role对目标集群、仓库、应用(Application)的权限。
为RAM Uesr/Role授予ArgoCD RBAC权限
需要ACK One 舰队管理员参考以下步骤配置相应的权限:
使用舰队kubeconfig执行以下命令,编辑ArgoCD
argocd-rbac-cm的ConfigMap文件。kubectl edit cm argocd-rbac-cm -n argocd在
argocd-rbac-cm中,参考以下示例为给RAM User授予权限。下图示例为RAM User "27***02"配置了argocd admin权限,注释部分是为RAM User "27***02"配置project-admin权限。data: policy.csv: | ## p, role:project-admin, applications, *, */*, allow ## p, role:project-admin, projects, *, *, allow g, "14***01", role:admin # 现有配置,请保留。 g, "27***02", role:admin # 新增配置,设置RAM User "27***02"为admin。 ## g, "27***02", role:project-admin # 映射RAM User "27***02"到角色project-admin。 scopes: '[uid]' # 现有配置,请保留。
为RAM Uesr/Role授予ArgoCD应用级别的权限控制
ArgoCD中每个Application都属于一个Project,通过ArgoCD Projects可以为不同阿里云RAM User/Role授予不同的应用级别权限。
在多团队使用Argo CD的场景下,Argo CD Projects提供了Applications逻辑分组能力,并具备以下功能:
限制Git源仓库:控制哪些Git仓库可以用于部署应用程序。
限制目标集群和Namespaces:定义应用程序可以部署到的集群和命名空间,确保部署符合团队的资源划分和安全策略。
限制对象类型:限定可以部署的Kubernetes资源类型,例如RBAC、CRDs、DaemonSets、NetworkPolicy等,以免使用不必要或危险的资源类型。
应用级别RBAC:通过定义project roles,可以为不同阿里云RAM User/Role授予不同的应用级别权限,并绑定到OIDC Groups和 JWT Tokens,从而实现细粒度的权限管理。
ACK One管理员可参考以下步骤对RAM User/Role授予应用级别的权限:
使用RAM主账号或者权限管理员账号登录阿里云RAM控制台,在左侧导航栏,单击用户或者角色,进入您希望授权的用户或角色的详情页,复制UID或角色ID。
登录ACK One控制台,在左侧导航栏选择,单击GitOps控制台,登录ArgoCD UI。
在ArgoCD UI左侧导航栏,单击,单击+ NEW PROJECT新建Project,或选择并进入已有的Project详情页。(此处省略SUMMARY中仓库、集群和集群资源的权限配置)。
单击上方+ ADD ROLE,配置以下信息后,再单击上方CREATE创建project role:
GENERAL:配置Role的基本信息。POLICY RULES:配置应用权限信息。GROUPS:下方横线处填上1中的UID或角色ID,单击右侧ADD GROUP。
在下图示例中,创建了名为roletest的角色,该角色允许RAM用户27***02对test项目下所有应用程序具有get(只读)权限。被授予权限的RAM用户27***02可以在ACK One控制台点击LOG IN VIA ALIYUN SSO,登录到ArgoCD UI以验证权限是否符合预期。
