Alauda AI
  • 简体中文

    • 设置 RBAC

    当您安装 Alauda Build of Kueue 时,会为我们假设的两类主要用户创建以下一组 ClusterRoles

    • kueue-batch-admin-role 包含管理 ClusterQueuesQueuesWorkloadsResourceFlavors 的权限。
    • kueue-batch-user-role 包含管理 Jobs 以及查看 QueuesWorkloads 的权限。

    目录

    1. 授予批处理管理员权限2. 授予批处理用户权限

    1. 授予批处理管理员权限

    批处理管理员通常需要在所有命名空间中拥有 kueue-batch-admin-role ClusterRole

    要将 kueue-batch-admin-role 角色绑定给批处理管理员(以用户 admin@cpaas.com 表示),请创建一个 ClusterRoleBinding,清单示例如下:

    # batch-admin-role-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kueue-admins
subjects:
- kind: User
  name: admin@cpaas.com
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: kueue-batch-admin-role
  apiGroup: rbac.authorization.k8s.io

    要创建该 ClusterRoleBinding,请保存上述清单并运行以下命令:

    kubectl apply -f batch-admin-role-binding.yaml

    2. 授予批处理用户权限

    批处理用户通常需要以下权限:

    • 在其命名空间中创建和查看 Jobs。
    • 查看其命名空间中可用的队列。
    • 查看其命名空间中 Workloads 的状态。

    要将这些权限授予用户 team-a-owner@cpaas.com,针对命名空间 team-a,请创建一个 RoleBinding,清单示例如下:

    # team-a-batch-user-role-binding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kueue-users
  namespace: team-a
subjects:
- kind: User
  name: team-a-owner@cpaas.com
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: kueue-batch-user-role
  apiGroup: rbac.authorization.k8s.io

    要创建该 RoleBinding,请保存上述清单并运行以下命令:

    kubectl apply -f team-a-batch-user-role-binding.yaml