2.4. 使用 CLI 授予用户权限

此流程演示了如何通过 CLI 为用户授予监控其服务的权限。

重要

无论您选择什么角色,都必须将其绑定到特定命名空间。

先决条件

  • 您可以使用具有 cluster-admin 角色的用户访问集群。
  • 创建了一个用户。
  • 使用 oc 命令登录。

流程

  • 运行这个命令,为定义的命名空间中的用户分配角色:

    $ oc policy add-role-to-user <role> <user> -n <namespace>

    <role> 替换为 monitoring-rules-viewmonitoring-rules-editmonitoring-edit

    • monitoring-rules-view 可读取命名空间中的 PrometheusRule 自定义资源。
    • monitoring-rules-edit 允许创建、修改和删除与允许的命名空间匹配的 PrometheusRule 自定义资源。
    • monitoring-edit 授予与 monitoring-rules-edit 相同的权限。另外,它允许为服务或 pod 创建提取目标。它还允许创建、修改和删除 ServiceMonitorPodMonitor 资源。

    例如,使用 monitoring-edit 替换角色,使用 johnsmith 作为角色,并将命名空间替换为 ns1。这会为用户 johnsmithns1 命名空间内分配设置指标数据收集以及创建警告规则的权限。