介绍
目录
产品介绍
ACP API Refiner 是由 Alauda Container Platform 提供的数据过滤服务,旨在增强 Kubernetes 环境中的多租户安全性和数据隔离。它基于用户权限、项目、集群和命名空间对 Kubernetes API 响应数据进行过滤,同时支持字段级别的过滤、包含和数据脱敏。
产品优势
ACP API Refiner 的核心优势如下:
-
多维度数据隔离
- 支持基于项目、集群和命名空间维度过滤 API 响应
- 确保不同租户之间的数据边界
- 防止未授权访问集群范围资源
-
灵活的数据过滤
- 支持排除、包含和脱敏 API 响应中的特定字段
- 通过 YAML 配置实现过滤规则的可配置化
- 针对不同资源类型动态生成资源 Ingress
-
增强的安全性
- 实现基于 JWT token 的用户认证
- 提供基于用户权限的细粒度访问控制
- 支持敏感信息的数据脱敏
应用场景
ACP API Refiner 的主要应用场景如下:
-
多租户环境
- 确保不同租户之间的数据隔离
- 防止未授权访问集群范围资源
- 有效管理共享命名空间场景
-
敏感数据保护
- 过滤 API 响应中的敏感信息
- 支持字段级别的数据脱敏
- 保护敏感的元数据和注解
-
合规需求
- 帮助满足数据隔离要求
- 支持审计和合规需求
- 维护数据访问边界
限制
ACP API Refiner 适用以下限制:
-
资源必须包含特定的租户相关标签以实现数据隔离:
cpaas.io/projectcpaas.io/clustercpaas.io/namespacekubernetes.io/metadata.name- 可选:
cpaas.io/creator
-
LabelSelector 查询不支持逻辑 OR 操作
-
平台级别的 userbindings 不会被过滤
-
过滤仅应用于 GET 和 LIST API 操作