Skip to content

[JP] How to grant users access to Grafana with minimal permissions

This document (000020054) is provided subject to the disclaimer at the end of this document.

Situation

\* この文書は廃止されています *

Monitoring v2 には "View Monitoring" ロールが追加され、 System プロジェクトでユーザーに付与できます。このロールによりユーザーは参照アクセスを得ることができるようになります。これに伴い当文書は今後メンテナンスされませんので、 こちら の RBAC についての文書を参照してください。

タスク

Kubernetesクラスタ内のクラスタ監視とGrafanaグラフを表示するため、以下の手順に従って、新しいユーザーを作成し、最小限の権限を付与します。

事前準備

  • Rancher v2.x

  • クラスタのMonitoringがenabledである

背景

あるユーザにクラスタ監視のメトリクスやグラフを表示する権限を付与したいが、そのユーザが他の情報を見たりクラスタに対してアクションを実行したりすることができないようにしたい時があるかもしれません。このナレッジーベースでは、これを実現する方法を説明します。

解決方法

ユーザがまだ作成していない場合は、Rancher で新しいのを作成してください。グローバルビューに移動し、ユーザーメニューをクリックします。右上の ユーザを追加 ボタンをクリックします。ユーザー名、パスワード、表示名を選択します。 グローバル権限 では User-Base を選択し、 カスタム はすべてチェックを外したままにします。フォームの下部にある 作成 ボタンをクリックする。ここでは、ユーザ名 johndoe を使用しているとします。

「セキュリティ」メニューから「ロール」、さらに「Projects」タブを選択し、 Project ロールを追加 ボタンをクリックします。 名前 フィールドに「Services Proxy」と入力します。 Grant Resources の下で、 +リソースの追加 ボタンをクリックします。 取得リスト ボックスにチェックを入れ、 リソース フィールドに services/proxyと入力します。これが自動的に serivces/proxy (Custom) に変更されることに注意してください。下部の 作成 ボタンをクリックして新しいプロジェクトロールを作成します。

次に、クラスタのクラスタビューを開き、メニューから「メンバー」を選択します。右上の メンバーを追加 ボタンをクリックします。メンバーのドロップダウンで johndoe を選択し、クラスタ権限の メンバー を選択する。フォームの下部にある 作成 ボタンをクリックする。

クラスタの System プロジェクトに移動し、 メンバー メニューから メンバーを追加 ボタンをクリックします。 メンバ フィールドに johndoe と入力し、 Project 権限Services Proxy を選択します。フォームの下部にある 作成 ボタンをクリックします。

これで、 johndoe ユーザーは Rancher にログインし、Grafana アイコンが表示されたクラスタダッシュボードを見ることができるようになります。Grafanaアイコンをクリックすると、新しいブラウザウィンドウが開き、クラスタの様々なグラフや統計情報が表示されます。このユーザーは、クラスタ内の新しいワークロードの表示や起動などの他の操作を行うことはできません。

参考

RancherやKubernetesでのRBACの動作方法の詳細については、以下のリンクを参照してください。

Disclaimer

This Support Knowledgebase provides a valuable tool for SUSE customers and parties interested in our products and solutions to acquire information, ideas and learn from one another. Materials are provided for informational, personal or non-commercial use within your organization and are presented "AS IS" WITHOUT WARRANTY OF ANY KIND.