Rancher는 RBAC 메커니즘을 제공하며 다음 세 가지 범위가 있습니다.

Global Permission: 특정 클러스터와 독립적인 권한, 카탈로그, 계정 관리 등
Cluster Role: Kubernetes 클러스터별 권한, 노드 및 스토리지, 프로젝트 관리 등
Project Role: 프로젝트별 권한, 네임스페이스 관리 및 서비스, 비밀, 볼륨 등

(Permission과 Role이라는 단어가 병렬로 사용되고 있는 것이 역시 한다)

각 범위에는 여러 역할과 권한이 있지만,
공식 문서 에 Rancher 의 RBAC 는 Kubernetes 의 RBAC 를 베이스로 구현하고 있다
그리고 설명이있는 것만으로 구체적인 권한에 대한 설명이 없다.
여기에서는 Rancher의 RBAC에 대한 권한을 확인합니다.

범위별 역할 및 권한

Global Permission

기본적으로 Administrator와 Standard User라는 두 가지 역할이 정의됩니다.
역할당 권한 은 다음과 같습니다.


Custom Global Permission
관리자
표준 사용자


Manage Authentication
✓

Manage Catalogs
✓

Manage Node Drivers
✓

Manage PodSecurityPolicy Templates
✓

Manage Roles
✓

Manage Users
✓

Create Clusters
✓
✓

User Catalog Templates
✓
✓

로그인 액세스
✓
✓

Cluster Role

기본적으로 Owner와 Member라는 두 가지 역할이 정의됩니다.
역할당 권한 은 다음과 같습니다.


Custom Cluster Role
Owner
Member


Manage Cluster Members
✓

Manage Nodes
✓

Manage Storage
✓

View All Projects
✓

Create Project
✓
✓

View Cluster Members
✓
✓

View Nodes
✓
✓

Project Role

기본적으로 Owner, Member 및 Read Only의 세 가지 역할이 정의됩니다.
역할당 권한 은 다음과 같습니다.


Custom Cluster Role
Owner
Member
읽기 전용


Manage Project Members
✓


Create Namespaces
✓
✓

Manage Config Maps
✓
✓

Manage Ingress
✓
✓

Manage Secrets
✓
✓

Manage Service Accounts
✓
✓

Manage Services
✓
✓

Manage Volumes
✓
✓

Manage Workloads
✓
✓

View Config Maps
✓
✓
✓

View Ingress
✓
✓
✓

View Project Members
✓
✓
✓

View Secrets
✓
✓
✓

View Service Accounts
✓
✓
✓

View Services
✓
✓
✓

View Volumes
✓
✓
✓

View Workloads
✓
✓
✓

권한 설계

그렇다면 각 권한은 어떻게 정의됩니까?
Global> Security> Roles에서 확인할 수 있다(일부 생략).



각 권한을 선택하면 각 권한에 대해 설정된 대상 리소스와 작업을 볼 수 있습니다.



여기에 표시된 Create ~ Watch 까지의 조작은 Kubernetes의 RBAC
지정 가능한 작업 (동사)과 동일합니다.

참고 : Kubernetes : RBAC 구성의 API 리소스

또한 대상 리소스는 Rancher에 정의 된 CRD (Custom Resource Definition)
따라서 CRD의 세부 사항을 확인하여 대상 리소스의 내용을 확인할 수 있습니다.

참고 : Rancher 2.0 데이터 스토어를 들여다 보는 방법