跳转至

工作空间权限说明

工作空间具有权限映射和资源隔离能力,能够将用户/用户组在工作空间的权限映射到其下的资源身上。 若用户/用户组在工作空间是 Workspace Admin 角色,同时工作空间-资源组中绑定了资源 Namespace,则映射后该用户/用户组将成为 Namespace Admin。

Note

工作空间的权限映射能力不会作用到共享资源身上,因为共享是将集群的使用权限共享给多个工作空间,而不是将管理权限受让给工作空间,因此不会实现权限继承和角色映射。

应用场景

通过将资源绑定到不同的工作空间,能够实现资源隔离。因此借助权限映射、资源隔离和共享资源能力能够将资源灵活分配给各个工作空间(租户)。

通常适用于以下 2 个场景:

  1. 运维两个普通集群,分别是集群 01 和 02,希望将集群 01 分配给部门 A(工作空间 A)管理和使用,将集群 02 分配给部门 B(工作空间 B)管理和使用。

    此时可以将集群 01 和 02 分别绑定到工作空间 A 和 B 的资源组。

  2. 运维一个高可用集群 03,希望同时分配给部门 A(工作空间 A)和部门 B (工作空间 B) 使用,同时限制部门 A 只能使用 100 核 CPU,部门 B 只能使用 50 核 CPU。

    此时可以将集群 03 分别共享到工作空间 A 和 B,并分别设置资源限额。

功能名称 对象 操作 Workspace Admin Workspace Editor Workspace Viewer
工作空间 对工作空间本身 查看
授权
修改别名
工作空间 - 资源组 查看
资源绑定
解除绑定
工作空间 - 共享资源 查看
新增共享
解除共享
资源限额
使用共享资源(在应用工作台创建 Namespace)

评论