一、KubeSphere - 多租户管理

上篇文章我们学习了使用kubekey搭建k8s集群和kubesphere，对于kubesphere介绍中，其中一大亮点就是多租户管理。那什么是多租户管理呢？RBAC角色权限控制大家应该都有了解吧，采用这种方案我们可以方便的对人员权限进行把控，同样这种场景应用于企业项目运营把控中也是非常好的场景，极利于企业对项目的安排和控制。

比如，随着一个公司业务规模的不断扩大，可能会衍生出不同的分区或者子公司，来做不同的项目，比如江苏分公司要做电商和物流等项目、上海分公司又做通信等，每子公司又有多个项目，每个项目又有不同的小组来负责不同的模块。对于人员权限的把控就要做的非常细了，比如生产环境项目，必须只有运维人员才可以进行操控，开发进入应当只有查看的权限，对于项目的创建应该由项目经理来创建，对于分公司管理员应该可以看到整个分公司的项目情况，对于总公司应该可以看到所有公司的项目情况。

对于这种人员权限的控制，使用RBAC多租户就十分合适了，而且现在多租户管理已经成为现在企业项目管理的热门方案，通过RBAC的权限控制可以使不同的人只拥有自己权限范围内的管辖。

KubeSphere 中已经帮我们集成好了多租户的功能，KubeSphere 的租户系统分了三个层级，即群集、企业空间、项目。其中项目等同于 k8s 中的命名空间。

下面我们基于上面的场景，再KubeSphere创建不同的租户，根据上面的场景我们在KubeSphere中可以简单创建以下几个租户：

• 总公司人员管理（hr)：只有管理人员的变动，控制人员的权限角色。
• 总公司管理员 (zmanager)：可以创建分公司企业空间，并可以查看所有项目的情况。
• 分公司管理员 (fmanager)：可以查看该分公司下的所有项目情况。
• 项目经理 (pm)：可以创建项目，可以操作项目。
• 组长 (gl)：可以管理项目中，除用户角色之外的资源
• 开发 (dev)：只可查看项目
• 运维 (op)：可以管理项目中，除用户角色之外的资源

下面在KubeSphere 中创建上面几个租户，其中 KubeSphere 已经自带了一些角色，可以符合大多数的场景，用户也可以根据自己的场景定制角色，下面使用自带的角色进行演示。

二、KubeSphere 多租户实战

进入KubeSphere 主页，左上角平台管理下，访问控制就是来控制多租户管理的，默认只有一个admin 用户：

1. 创建总公司人员管理 hr

首先使用admin 用户创建 总公司人员管理 hr，以后关于人员方面的都应该使用hr用户。

在用户模块下，点击右侧的新增按钮，添加 hr 用户，该用户的角色应该只有管理平台上用户的权限：

退出admin ，使用hr 账户登录，可以发现只有一个访问控制的权限：

下面的人员操作就应该使用 hr 租户来操作。

2. 创建总公司管理员zmanager

总公司管理员要拥有创建企业空间的权限：

3. 创建 分公司管理员、项目经理、组长、开发、运维 用户

分公司管理员 fmanager、项目经理 pm、组长 gl、开发 dev、运维 op 这几种角色都和企业空间有关系，就是都是分公司的人，所以细粒度的角色就由分公司自己去搞，这里角色都给platform-regular 被邀请加入企业空间之前无法访问任何资源。

4. 总公司管理员为分公司创建企业空间

登陆总公司管理员的账号 zmanager，创建企业空间，管理员要指定 分公司管理员 fmanager：

5. 分公司管理员邀请人员

登陆分公司管理员 fmanager 账号，邀请项目经理 进自己的企业空间下：

项目经理要拥有创建项目的权限：

组长、开发、运维，给company-regular 查看企业空间设置的权限就可以了，具体的让项目经理再来设置关于项目的权限：

6. 项目经理创建项目，并邀请人员进项目中

登陆项目经理 pm 的账号，创建一个项目：


创建好项目后，进入项目，邀请 组长和运维人员，组长和运维人员都是可以管理项目中，除用户角色之外的资源的权限：


邀请开发人员，开发只有查看的权限：

到现在人员租户关系差不多就分配好了，下面进行测试下。

三、人员租户测试

登陆dev开发人员账号，只可查看项目，不可进行操作：

登陆 op 运维人员，可以进行操作：

登陆总公司管理员zmanager，可以查看该项目：


喜欢的小伙伴可以关注我的个人微信公众号，获取更多学习资料！