工作空间与层级¶
工作空间与层级 是一个具有层级的资源隔离和资源分组特性,主要解决资源统一授权、资源分组以及资源限额问题。
工作空间与层级 有两个概念:工作空间和文件夹。
工作空间¶
工作空间可通过 授权 、 资源组 和 共享资源 来管理资源,使用户(用户组)之间能够共享工作空间中的资源。
-
资源
资源处于资源管理模块层级结构的最低层级,资源包括 Cluster、Namespace、Pipeline、网关等。 所有这些资源的父级只能是工作空间,而工作空间作为资源容器是一种资源分组单位。
-
工作空间
工作空间通常代指一个项目或环境,每个工作空间的资源相对于其他工作空间中的资源时逻辑隔离的。 您可以通过工作空间中的授权,授予用户(用户组)同一组资源的不同访问权限。
从层次结构的底层算起,工作空间位于第一层,且包含资源。 除共享资源外,所有资源有且仅有一个父项。所有工作空间也有且仅有一个父级文件夹。
资源通过工作空间进行分组,而工作空间中存在两种分组模式,分别是 资源组 和 共享资源 。
-
资源组
一个资源只能加入一个资源组,资源组与工作空间一一对应。 资源被加入到资源组后,Workspace Admin 将获得资源的管理权限,相当于该资源的所有者。
-
共享资源
而对于共享资源来说,多个工作空间可以共享同一个或者多个资源。 资源的所有者,可以选择将自己拥有的资源共享给工作空间使用,一般共享时资源所有者会限制被共享工作空间能够使用的资源额度。 资源被共享后,Workspace Admin 仅具有资源限额下的资源使用权限,无法管理资源或者调整工作空间能够使用的资源量。
同时共享资源对于资源本身也具有一定的要求,只有 Cluster(集群)资源可以被共享。 Cluster Admin 能够将 Cluster 资源分享给不同的工作空间使用,并且限制工作空间在此 Cluster 上的使用额度。
Workspace Admin 在资源限额内能够创建多个 Namespace,但是 Namespace 的资源额度总和不能超过 Cluster 在该工作空间的资源限额。 对于 Kubernetes 资源,当前能够分享的资源类型仅有 Cluster。
文件夹¶
文件夹可用于构建企业业务层级关系。
-
文件夹是在工作空间基础之上的进一步分组机制,具有层级结构。 一个文件夹可以包含工作空间、其他文件夹或两者的组合,能够形成树状的组织关系。
-
借助文件夹您可以映射企业业务层级关系,按照部门对工作空间进行分组。 文件夹不直接与资源挂钩,而是通过工作空间间接实现资源分组。
-
文件夹有且仅有一个父级文件夹,而根文件夹是层次结构的最高层级。 根文件夹没有父级,文件夹和工作空间均挂靠到根文件夹下。
另外,用户(用户组)在文件夹中能够通过层级结构继承来自父项的权限。 用户在层次结构中的权限来自当前层级的权限以及继承其父项权限的组合结果,权限之间是加合关系不存在互斥。