[JP] How to grant users access to Grafana with minimal permissions

* この文書は廃止されています *

Monitoring v2 には "View Monitoring" ロールが追加され、 System プロジェクトでユーザーに付与できます。このロールによりユーザーは参照アクセスを得ることができるようになります。これに伴い当文書は今後メンテナンスされませんので、こちら の RBAC についての文書を参照してください。

タスク

Kubernetesクラスタ内のクラスタ監視とGrafanaグラフを表示するため、以下の手順に従って、新しいユーザーを作成し、最小限の権限を付与します。
 

事前準備

• Rancher v2.x

• クラスタのMonitoringがenabledである

背景

あるユーザにクラスタ監視のメトリクスやグラフを表示する権限を付与したいが、そのユーザが他の情報を見たりクラスタに対してアクションを実行したりすることができないようにしたい時があるかもしれません。このナレッジーベースでは、これを実現する方法を説明します。
 

解決方法

ユーザがまだ作成していない場合は、Rancher で新しいのを作成してください。グローバルビューに移動し、ユーザーメニューをクリックします。右上の ユーザを追加 ボタンをクリックします。ユーザー名、パスワード、表示名を選択します。グローバル権限では User-Base を選択し、カスタムはすべてチェックを外したままにします。フォームの下部にある 作成 ボタンをクリックする。ここでは、ユーザ名 johndoe を使用しているとします。

「セキュリティ」メニューから「ロール」、さらに「Projects」タブを選択し、Project ロールを追加ボタンをクリックします。名前フィールドに「Services Proxy」と入力します。Grant Resourcesの下で、+リソースの追加ボタンをクリックします。取得とリストボックスにチェックを入れ、リソースフィールドに services/proxyと入力します。これが自動的に serivces/proxy (Custom) に変更されることに注意してください。下部の 作成 ボタンをクリックして新しいプロジェクトロールを作成します。

次に、クラスタのクラスタビューを開き、メニューから「メンバー」を選択します。右上の メンバーを追加 ボタンをクリックします。メンバーのドロップダウンで johndoe を選択し、クラスタ権限のメンバーを選択する。フォームの下部にある 作成 ボタンをクリックする。

クラスタのSystemプロジェクトに移動し、メンバーメニューから メンバーを追加 ボタンをクリックします。メンバフィールドに johndoe と入力し、Project 権限でServices Proxy を選択します。フォームの下部にある作成ボタンをクリックします。

これで、johndoe ユーザーは Rancher にログインし、Grafana アイコンが表示されたクラスタダッシュボードを見ることができるようになります。Grafanaアイコンをクリックすると、新しいブラウザウィンドウが開き、クラスタの様々なグラフや統計情報が表示されます。このユーザーは、クラスタ内の新しいワークロードの表示や起動などの他の操作を行うことはできません。
 

参考

RancherやKubernetesでのRBACの動作方法の詳細については、以下のリンクを参照してください。

• Role-Based Access Control (RBAC) in Rancher

• Using RBAC Authorization in Kubernetes