管理用户权限

Chaos Mesh 使用 Kubernetes 原生的 功能来管理用户角色和权限。用户在创建、查看、管理混沌实验时,需要拥有 这个 apiGroups 下混沌实验自定义资源的相应权限。

注意

使用 Helm 安装 Chaos Mesh 时,默认开启权限验证功能。对于生产环境及其他安全要求较高的场景,建议保持权限验证功能开启。如果只是想体验 Chaos Mesh 的功能,希望关闭权限验证从而快速创建混沌实验,可以直接参阅部分了解如何关闭权限验证。

你可以直接通过 Chaos Mesh Dashboard 界面创建用户并绑定权限。在访问 Dashboard 时会有登录窗口弹出,点击“点击这里生成”

点击后,弹出的窗口如下所示:

Dashboard 令牌辅助生成器

需在弹出的窗口上执行下面的操作至第 3 步:

  1. 选择权限范围

    如要获取整个 Kubernetes 混沌实验的相应权限,勾选集群范围方框。如果在命名空间下拉选项中指定了 namespace,则只获取该 namespace 下的权限。

  2. 目前 Chaos Mesh 提供了以下角色:

    • Manager:拥有混沌实验的创建、查看、更新、删除等所有权限。
    • Viewer:只拥有混沌实验的查看权限。

  3. 创建用户并绑定权限

    在终端中运行以下命令:

  4. 生成令牌

    复制 Dashboard 中第 3 步“最后获取令牌”下的命令,并在终端中运行:

    输出如下所示:

  5. 使用创建的用户登录 Chaos Mesh

    点击 Dashboard 令牌辅助生成器窗口上的关闭,返回到登录窗口。在令牌输入框中输入上一步复制的 token 数据,并在名称输入框中给该令牌输入一个有意义的名称,建议使用权限的范围和角色,例如 。输入完成后,点击提交进行登录:

注意

  • 需要保证执行 kubectl 的本地用户具有集群的管理权限,从而可以创建用户、绑定不同的权限、并获取 token。

如要使用另一个令牌,在 Dashboard Web 页面中点击设置,如下所示:

Dashboard 令牌登出

在页面的最上方,你可以看到登出按钮。点击该按钮就可以登出当前令牌。

使用 Helm 安装 Chaos Mesh 时,默认开启权限验证功能。对于生产环境及其他安全要求较高的场景,建议都保持权限验证功能开启。如果只是想体验 Chaos Mesh 的功能,希望关闭权限验证从而快速创建混沌实验,可以在 Helm 命令中设置 --set dashboard.securityMode=false,命令如下所示: