alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
1140a0295d183cc8d247e282f279b47c5aea03ff
fox/src/Deckhouse/user-permissions.md
T
Левченко Людмила Алексеевна fe97e6c8ac Feature/PaaS-Deckhouse
2026-05-22 12:14:39 +03:00

5.6 KiB
Raw Blame History

Права и возможности пользователей

При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа SuperAdmin. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.

SuperAdmin получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).

Ограничения доступа SuperAdmin

SuperAdmin не имеет доступа к следующим компонентам:

  • инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
  • управление компонентами платформы Deckhouse на уровне всего кластера;
  • master-узлы, system-узлы и frontend-узлы;
  • изменение конфигурации платформы Deckhouse и её глобальных модулей.

Доступные действия

Управление пространствами имен (Namespaces)

SuperAdmin может управлять пространствами имен:

  • создавать новые namespace;
  • удалять namespace (все ресурсы внутри удаляются);
  • просматривать список всех namespace;
  • устанавливать метки (labels) и аннотации для namespace.

Управление рабочими нагрузками

SuperAdmin имеет полный контроль над подами, развёртываниями и другими ресурсами приложений:

  • создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
  • создавать, обновлять и удалять Pod;
  • просматривать логи подов (kubectl logs);
  • подключаться к выполняющемуся контейнеру (kubectl exec);
  • масштабировать развертывания (увеличивать или уменьшать количество реплик);
  • обновлять версии образов контейнеров;
  • удалять поды (в том числе принудительно);
  • просматривать события (events) в namespace.

Управление сетевым доступом (Services & Ingress)

SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:

SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:

  • создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
  • создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
  • настраивать порты и селекторы для сервисов;
  • просматривать список сервисов и их конечных точек (endpoints).

Управление хранилищем (Storage)

SuperAdmin может создавать и использовать тома для хранения данных приложений:

  • создавать Persistent Volume Claim (PVC);
  • удалять PVC (освобождать дисковое пространство);
  • просматривать список PVC и их статусов;
  • использовать PVC в подах (монтировать тома).

Управление конфигурацией (ConfigMaps & Secrets)

SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:

  • создавать, изменять и удалять ConfigMap;
  • создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
  • монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.

Мониторинг и наблюдаемость

SuperAdmin имеет доступ к метрикам и логам своих приложений:

  • просматривать метрики приложений в Grafana;
  • просматривать логи через kubectl logs или интерфейс сбора логов (Loki);
  • просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
  • просматривать события Kubernetes (events) для диагностики проблем.

Управление доступом (RBAC)

SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:

  • создавать и удалять учетные записи (ServiceAccount);
  • назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
  • ограничивать доступ к отдельным ресурсам.
Reference in New Issue View Git Blame Copy Permalink