00:00
好,接下来呢,我们就从库fair这个快速入门这个事例里边,我们先来体会第一个功能,像我们这个多租户的管理这个快速入门,由我们这个cooper fair,它呢能提供我们这个基于RBAC的这种角色控制访问,那这样呢我们就能实现我们不同的用户登录进我们的cooper s fair就会展示不同的这个页面效果,我们只要规定好每一个用户的权限,他们呢肯定就不能越权操作所有的东西。那我们这一块呢,就先来了解一下第一个他平台的这个资源分层,那cooper s菲尔认为他把这个平台的资源分为了三个层级,集群,企业空间项目和我们这个d vos工程这项目和DVS这是一个层级,那这也是什么呢?我们可以认为第一个层级,它叫集群资源,那也就是我们整个Co ne集群里边任何的节点、服务器,我们所有的东西,哪怕是po的service,这全部是属于。
01:00
我们集群里边的这些东西,所以呢,我们集群资源那就是包含所有的,但我们不可能让任何一个人登录进来都能看到集群里边的所有资源,所以我们接下来呢,可以将集群资源我们再来细分,细分成不同的工作空间,我们的企业空间,业空间里边呢,我们之前看到已经有一个默认的企业空间,就是我们的system,我们系统的企业空间,那么希望别人登录进来,不能查看系统的这一块后台这些流程,所以我们可以基于这种,我们还可以创建不同的企业空间,把我们整个库nets集群的资源再来做一个分类,比如我们可以来创第一个企业空间,第二个企业空间,那每一个企业空间呢,都有相关不同角色的人去来维护这些企业空间里边的资源,而企业空间里边就包含了我们这个企业空间下的这些项目,无论是我们正在运行的项目,还是我们正在运维中的这些。
02:00
项目,那每一个项目呢,都得有相关角色的这些人来帮我们来管理这些东西,下边呢列举的都是我们不同的角色,咱们用到色呢,还会再来说这些事儿,所以他呢,先把我们这个平台的资源分了这三个层级,所以我们以后呢,想使用cooper notice,我们将来要把我们的这个项目部署上来,我们先得有自己的一个这个企业空间。所以我们接下来呢要做的事情,那么接下来第一个我们创建一些角色账号,企业空间等等这些信息,那大家参照我们给大家的这一块图,我们来到古励商城,我们给大家这一块呢,有一个这个图,这个是我们的库S这个用户系统这个架构图,我们接下来呢,就按照这个创建,这个呢,其实是基于我们下边的这一块,我们在我们的系统里边呢,也创建一些用户解锁,首先我们了解一下,在我们这个库s fair里边,我们平台里边首先内置了三种这个角色,注意他们呢是角色,不是我们这个具体的用户,某一个用户拥有什么角色,比如他的角色是老板了,他呢是销售了,他才拥有对应的这些角色相关的权限,那这三个角色分别是classdin,我们这个集群的管理员可以管理我们集群里边的所有资源,比如我们现在看一下我们的这个din,在账户管理里边,我们当前默认的din用户,他就是一个class特din,它能管。
03:27
给我们集群里边的所有资源,然后接下来还有一个角色叫workpace manager,他只能管理我们企业空间里边的这些信息,他是我们集群里边企业空间的管理员,可以创建、删除,由增删改,查我们企业空间,维护我们企业空间里边的成员信息,以及我们这个c regular,我们就是集群里边的这些普通用户,这些普通用户呢,我们默认创建出来,他们是没有任何权限的,只有我们企业空间的管理员把他们邀请进入我们指定的企业空间里边,比如上硅谷。
04:02
我们开了两个企业空间,我们这个鼓励商城是一个企业空间,大家的这个众筹网又是一个企业空间,只有我创建好这个企业空间了,然后我把你邀请进我们这个鼓励商城这个企业空间里边,那大家呢才会拥有这个企业空间里边的一些操作权限,所以现在呢,内置我们这三个角色,那么接下来就来创建一些角色,首先我们来创建第一个角色叫user manager,这个名字呢大家随便起,我们一听呢,这个名字就叫用户的管理,其实就是用来增删改查用户的,我们肯定后来不会将我的命这个用户信息,账号密码暴露给所有人,所以呢,我们让admin先来创建第一个账户,我们在账户管理边先来创建第一个用户,第一个用户呢,就可以负责创建一些用户,增删改查一些用户,然后呢,让他们都来登录这个系统,所以呢,大家来参照我们的这个图,我们先来创建我们第一个新建一个角色。
05:03
叫user manager,注意我们先得新建一个角色,然后呢我们再来新建一个账号,也就是用户,我们比如是上硅谷的HR,这个HR呢,就是我们这个人士,这个人士呢拥有user manager角色,User manager翻译过来就是用户的增删改查,由上硅谷的HR可以对我们这些用户增删改查一些,那他给我们新增了一些用户,这些用户呢就能登录我们这个系统里边了。好,我们先来创建这些信息,先来平台管理平台角色里边,我们自己来创建一个角色,这是默认带的三个角色来创建第一个,第一个角色呢,我们就叫user manager,名字呢随意,能借名之意就行,我们现在呢是一个用户管理角色,好,这呢就是负责c rud,咱们这个用户以及我们这个角色的,包括他也能自定义帮我们创建一些角色信息也行,我们来点一个下一步,所以们给他们开放的权限呢,比如是下边他可以账户管理做。
06:03
我们账户的增删改查,创建一些用户,删除一些用户,也可以做一个角色管理,所以我们现在呢,相当于把这几个权限我们就给它加上,我们点一个创建,那这样的话呢,只要有人是user manager这个角色,那他呢就会有对应的这个权限,所谓现在这个角色创建好,那角色创建好以后呢,接下来我们来做第二步,我们来创建一个账号叫艾特硅谷HR,以后呢,是由他负责给我们来创建用户,那好,接下来我们再下来平台管理里边来创建一个账户,这个账户呢,我们就叫an特硅谷HR,用户名我们就叫an特硅谷这个HR。好,比如这个邮箱,我们来先写成我这个自己的邮箱,随便来写一个都行,按照QQ点一个。com好加上这个邮箱,然后呢,我们一定创建的这个新用户,想要给系统里边注册的这个新用户角色呢,选中是user manager,然后呢密码来给一个这个密码,比如叫LFY,然后呢,123456,我们就给这么一个密码,然后呢,我们给定以后点一个确定,那这块提示呢,说我们这个用户名或者邮箱已经存在了,也就说邮箱呢必须是唯一的,我们在这儿就来随便来写一个邮箱,比如我们就叫at特硅谷HR特硅谷点com。
07:27
好,我们来点一个确定。那至此我们的第一个用户艾特硅谷HR我们就创建出来了,那以后我们一定呢,把的in的密码不要往出暴露,所以只要我现在掌控了的in的密码,我不给大家说我登出了,那现在呢,大家就只有一个用户,那叫艾特硅谷HR,好,我现在呢,把刚创建的用户登进来,密码呢,LFY123456来确认一下,好是这个我点一个登录,那现在呢,我们这个at特硅谷HR它呢就拥有我们这个平台角色的这个创建功能。
08:04
包括呢,他也应该有我们这个用户的创建功能,账户的创建功能,所以呢,我们会发现这个HR呢,进来他们能做的事情不多,就两个,一个是创建账户,一个是创建角色,所以即使你是HR,你也做不了其他的这些功能,所以我们现在呢,正好利用我们这个HR,我们来创建上几个账户,创建了哪些账户呢?首先创建第一个账户叫ws manager。我们为了借名之意,期间我们一听ws manager翻译过来就叫workpace manager,就是我们工作空间的这个管理员,那这个管理员呢,他以后就可以帮我们来创建一些企业空间,所以们现在呢,就来创建我们的第一个叫ws manager啊,我们在这来点一个创建,我们就叫ws manager,好,这个邮箱呢,那就是ws manager,一个at at硅谷。
09:01
点。com。角色我们来选中,他是一个workerpace manager,他呢就是一个工作空间的这个管理员,企业空间的管理员,他可以帮我们来创建企业空间,那除此之外他也做不了其他工作,然后呢,我们来输一个密码,好,我们还是用我们这个默认密码,就是这个好,我们来点一个确定,那这样呢,我们又来创建了一个叫ws manager,它是我们这个工作空间的管理员,那其他的我们都一样,再创建一个w admin,这个admin的角色呢,就是我们集群的普通用户。Classster regular,那么之前呢,看过它里边呢,默认的这三个角色有一个class regular,那就是我们集群里边的普通用户,普通用户呢,默认创建出来啥事都没有的,所们现在呢,再来创建一个wsdin wsdin,我们翻译过来就叫workpace的管理员,就是来管理我们工作空间的,那这个呢,是来帮我们来创建工作空间的,他只能创建,那就相当于我们的这个上级部门,先知道我们下设了三个项目,然后呢,他创建了三个项目的这个工作空间,然后呢,每一个项目的工作空间其实应该是由我们这个项目的leader来领导的,我们这个WS的mean其实就是这个leader,我们这个ws manager就是这个上级部门,当然这个上级部门呢,理应当没有干预我们这个工作空间里边的。
10:31
其他东西的这个权限,这个可能呢比较好一点,好我们现在呢,这么来做一下,这么来做一下呢,以后呢,我们接下来来写一个an硅谷点一个com,然后接下来我们来角色呢,选中class regular,现在呢先是一个普通用户,好,那密码还是使用LFY123456来确认一下,来点一个确定。好,第二个用户呢,就创建好了,我们再来创建第三个用户叫projectin,我们翻译过来呢,就是项目的咱们这个管理员,好,我们就叫project。
11:06
Din,然后这个projectdin呢,他还是我们集群里边的普通用户,那么后来给他赋予权限,我们把他邀请到一个工作空间里边了,他才能干活,所以我们现在呢邮箱那再来指定一下an,那么这个an硅谷点样一个com。角色,我们还是来选择普通用户,然后密码l Fi 123456。点击确定,剩下的这个也一样,那还有一个叫project的。咱们这个不是adin,而是我们的普通用户,Regular,好,我们就叫project,我们这就是一个项目的普通用户。来点一个at,一个at硅谷,那么接下来就要为这些用户来授权,那么接下来角色选中是我们这个项目的普通用户,首先是我们集群里面的普通用户,我把你邀请进我们这个企业空间里边,你才能干活好,我们把这几个呢创建好,这我们做了第一步,我们先来创建好了这几种角色,那然后接下来我们这几种这个角色,呃,不是是我们这个账户,那这几个账号呢,都创建完了以后,那再用各种不同的账号来做各种不同的事情,所以HR呢,只负责给里边注册用户,除此之外他也没有其他功能,他可以再来创建新新角色,但是呢,他只能注册用户和创建角色,好,那么现在呢,HR退出,HR退出。
12:37
该我们这个真正具有权限的一些人来做工作了,首先我们来登录第一个人叫ws manager,那这个呢,翻译过来就是我们workspace的这个管理员,就是专门来管理我们这个企业空间的,他可以负责帮我们来增删改查企业空间,所以我们来登录一下l Fi。123456来登录进来,好,我来点击确定这个登录进来以后呢,我们看到它的这一块操作界面里边只有一个企业空间。
13:09
因为他呢是我们这个企业空间的这个管理角色,他的这个角色呢,是这个这个角色呢,都是我们集群里边默认的角色,所以他现在呢,只能做一件事情,就是创建我们这个工作空间,比如他要访问我们这个system workpace。因为它具有工作空间的这个增删改查,所以它也能看到这个system workpace,好,我们现在呢,再来创建一个我们新的企业空间,来点一个创建这个企业空间呢,它是一个组织我们项目和工程的这个逻辑单元,其实也就是一个团队完成一个完整的这个项目,我们就应该为这个团队来创建一个企业空间,好现在呢,我们就是鼓励商城这个企业空间,我们就叫鼓励mail,好我们就。把这个呢,我们就叫workpace,那是什么,我们就给后边来写一个workerpace,好我们在这块呢,就叫鼓励商城,那么这个企业空间。
14:10
好,那么这个企业空间我来点一个创建,那这个企业空间创建好了以后,那其他人呢,被邀请进企业空间才会具有相应的功能,那当然我们可能呢,有非常多的企业空间,比如再来创建一个当家,肯定呢,还有我们这个比如在线教育的项目,我们专门为他创建一个鼓励我们现在的edu,我们的这个企业空间,比如我们就叫workerpace,所以呢,我们就应该为每一个团队专门呢创建一个他们的这个企业空间,让他们在自己的企业空间里边创建项目,来邀请各种人来整个来做一个协调好我们这个企业空间,我现在呢就来创建好了,那创建好了以后呢,接下来我们再来登录wsdmin,我们让这个人呢,因为他是具有企业空间的这个管理角色,这个管理角色呢,可以邀请别人进企业空间啊,我们这个人呢,只能创建企业空间,那既然创建好,我们就来一定指定一下谁是这个企业空间的管理员,要不。
15:11
不然使用这个呢,登他也不知道要登哪个企业空间,所以我们可以来默认看一下,那如果默认呢,使用WS的密来登录。来使用它登录,登录我们这个企业空间,来看一下l f Fi 123456来点击登录,我们会发现呢,它进来什么都没有,因为它不属于任何企业空间,所以我们一定要用企业空间的这个manager ws manager这块整个权限系统呢,但是如果以前做过RBAC权限就非常简单,那没做过呢,就照着我们这个多试几遍,要理解理解好,我们来123456来点个登录好,然后呢,我们现在就来分配我们的这个古励ma workpace,他的这个管理员是谁?那我们呢,就是在这儿有一个企业空间设置这一块呢,有基本信息,我们能看预览的,还有我们企业的角色,企业空间里边当然默认的这三个角色,就是每一个企业空间都有默认的这三种角色,第一个是额的命,管理我们企业空间的,就是企业空间里边所有的这资源,他都可以来做这个增删改查,还有我们这个企业空间的regular,企业空间的普通用户,这个普通用户呢,可以进来创建一些项目,创建一些工程,这就是我们的开发人员,还有一个叫workpace view,他只能看我们企业空间的一些指标信息,比如是我们的一些市场销售推销的,这我们来看一下我们这个企业空间的一些指标,让客户呢知道一下,但他不能做一些增加改查,所以呢,这是我们的角色,默认的这三个角色,然后我们再来点进企业成员,那么现在呢,在这个企业空间里边有一个WS。
16:49
Manager,因为这个呢是管理所有企业空间的,所以他呢默认在里边,然后呢,我们使用他在邀请上几个成员,第一个来邀请一个企业空间的这个din,这个管理员来点进来,来邀请他,并且呢指定他是一个管理员来点一个这个,这样我们来点一个关闭,那这样我们这个adin就会成为这个企业空间的管理员,当后悔了也可以在这儿来移除,咱们现在来做第一件事情把wsdin。
17:19
指定成我们这个企业空间的管理员,就是管理我们这个安特硅谷这个企业空间,那我们现在呢,叫古丽妙这个企业空间也都行,那好,我们现在呢,这个ws manager现在指派了谁是企业空间的管理员了,以后这个企业空间的所有管理就由他来做,那ws manager我们也就不担心了,来退出,现在呢,我们来登录WS的密,然后我们来使用默认密码,他呢是我们这个企业空间的管理员,所以我们一登进来,他呢只能展示他自己所在的企业空间,那就是这个,然后呢,我们接下来就可以给这个企业空间里边来邀请一些用户来一起来维护我们这个企业空间,那怎么邀请呢?来点击进入企业空间,还是在我们企业空间设置里边有一个企业成员,那接下来呢,再来邀请一个成员,那么现在呢,是。
18:14
D命管理这个企业空间的人,然后我们专门来邀请两个成员来进入我们的这一块,首先呢,我们来邀请一个叫project regular,就是我们这个项目的普通用户和项目的管理员,那项目的管理员呢,可以在我们这个企业空间里边来增删改查我们这这些项目,比如这儿有项目,你们在这儿可以创建项目,也可以创建我们的这个DAOS这些工程,所以我们这个项目的管理员就可以来做这些事儿,但是不应该由任何一个咱们这个程序员都进来,都能创建项目,这其实是有问题的,所以权限呢,要做到完整的控制,我们现在呢就来点进来,只能让这个项目的这个管理员来点一个邀请成员,现来邀请一个项目的管理员,他呢是负责来在我们这个下边,可以在企业空间下边呢,创建我们这个工程的,包括我们这个project regular,我们这个admin呢和这个regular我们都可以,一个呢是分配一个regular角色,一个呢是分配一个V。
19:14
角色,那就有意思,我们现在呢这样来做,那么这个adin能帮我们来在企业空间里边创建增删改查项目,但是我们这个regular你只能登进来瞅一眼看一下,所以们在这儿就来。给他分配一个workpace view,它只能呢观看我们这个企业空间里边的这个信息,所以我们这一块呢,分配好了以后,假设我们用我的命来登录,它就能管理,用regular来登录,它就只能查看来测试一下,只用project我的命我来登录,它呢能管理我们的企业空间,LFY123456走。我们发现呢,点进来他进这个企业空间,但是呢,我们这个人他没有权限去来把人邀请进我们企业空间,只有我们这个企业空间的管理员,就是我们的WS的命,我们刚才呢给大家示范过,然后呢,接下来他呢,只能在这儿来创建我们这些项目来进行部署,咱们在这呢就已经约束好了,如果我们现在是用project regular。
20:15
那这个人呢,就是什么工权限都没有,只能进来呢,看一看我们一些资源信息,所以他在这儿只能在这来查找查看,没有任何的创建功能,点进企业空间里边,我们企业空间设置这个企业成员,他也只能看,他也不能做任何的邀请操作。好,这就是我们的这个project regular,我们这个权限呢,就给它控住了,那么现在呢,各个用户之间的这个权限我们来控住了以后,好,我们现在呢,使用我们的这个WS,我们的这个din来进行登录,L f Fi 123456,我们这个登录进来呢,我们有权限可以来创建这个项目,而且呢,另外一个人也有权限,那就是project,我们专门的这个项目的管理员,他呢也可以来创建123456来点击登录,我们在这呢也可以来创建项目,既然能创建项目了,我就可以来测试一下,我们来专门来创建上一个项目,我们可以来使用projectdin这个账号,我们现在登录进来,我来让他呢创建一个鼓励mail这个项目,并且呢,我们把另外一个这个角色邀请进来,让他呢成为我们这个项目里边的这个开发人员,所以们现在呢,可以来做这么一件事情,在我们这个企业空间里边,我们是使用项目的这个管理员来做的。
21:34
我们在这呢,可以来点一个创建,我们来创建一个项目,我们这个项目呢是资源型项目,我们这个项目呢,假设就叫鼓励mail,我们这个项目呢,名字就是鼓励商城,我们就是来创建我们这个项目的,好我们接下来点击下一步我们这个鼓励商城的整个项目,我们还可以设置我们这个资源的整个负载,比如我们这个项目呢,不能超过多少,比如我们不能超过0.5核,不能超过500MB,好,我们先在这点一个创建,而且资源预留多少,我们在这都有来点一个创建,那我们呢,这一个项目就能创建好了,们来重新回到我们的企业空间,我们能创建更多的项目。
22:15
来点击创建项目,比如我们这个鼓励商城呢,除了有鼓励商城,我们假设这个创建的是后台项目,那还可以创建这个前端项目,所以我们都在这儿能创建。那么这个创建好了以后呢,我们进项目里边,大家看进项目里边呢,又是另外一种界面,我们进项目里边呢,还可以去来邀请别人是我们这个项目的这个开发人员,我们来点进来,那这个项目呢。现在目前只有一个project admin,他呢管理我们这个项目,我们可以来邀请一个成员。我们就邀请我们这个项目的regular,他呢作为我们这个项目的维护者,那这块呢,我们都能看到这个维护者就是他呢,除了不能给我们项目里边增删改查这些用户角色外,他能维护我们整个项目创建、删除这些都能做,但我们的命呢,就能管理我们项目下的所有资源,所以他现在就是一个operator,那么以后呢,只要project regular,它能登录进来。
23:12
那他呢,就能登录进他自己的这个项目,我们可以来看一下,点进来好LY123456走。我们看到呢,这个project regular他呢,就可以自己来管控这个项目,那除了管控这个项目,他不能创建新的项目,他只能点进鼓励商城这一块以后,因为他是这个项目的开发人员,他在这里边呢。该部署什么应用了,给这个项目里边部署什么应用了,部署什么应用,他可以做这些事情,所以这是我们的这个项目的开发人员,那就是我们说的这个operator,那这个角色,那也可以在这儿下面看一下,反正他对角色不能做增产检查,他只能看一下那项目里边的这个成员,那就是他自己,他自己呢是一个operator,他是什么东西,在这也解释的很清楚,Operator这个东西呢,他就是来做什么的,是项目的维护者,可以管理我们项目下边除了用户和角色以外的所有资源,所以们这个呢就创建好了,当然我们还可以创建一个。
24:13
古力妙的DVS这个工程,这个工程呢,我们再来邀请他作为我们的这个mantina,好,我们现在重新来创建一个这个工程,我们使用project adin来登录,现在呢,我们是regular,它没有这些创建权限,所以这个权限呢,它在这一块空的很死,好我们在din点进来,然后呢我们来LFY 123456,然后呢,我们接下来可以再来创建一个DVS工程,这就是我们后来说的自动化运维部署的,我们来创建一个这个d vos工程,比如我们在这来点创建了一个d vos工程,我们名字呢就叫国立mail DV OPS,好,我们这就叫鼓励mail的,咱们这个持续集成,持续交付,我们就叫自动化部署,好我们这个就是它的这一块工程,好我们这个工程呢,我们等他来创建,那这块工程创建完,由于我们现在呢,是一个自动化的这个运维工程,所以这一块呢。
25:13
我们后来还会创建流水线,让他呢自动的从giar HUB里边拉取代码给我们来打包镜像给我们最终部署来发布,回到这个工作台,所以我们看到呢,我们这个project adin,他创建了一个古励mail项,这是真正的项目,然后呢,还有专门的这个自动化这个流程,然后接下来我们就应该为这个流程再来邀请一个人进来,来点击进来,点一个工程成员,你再来邀请一个成员,那邀请谁呢?我们就来邀请project regular作为什么大家看我们的项目跟d vos项目他们的角色是不同的,D vos项目里边呢,有这么多角色,首先第一个owner,它可以对我们这个DVOPS,我们的这个项目做所有的操作,而这个manti呢,它主要呢,只能做一个什么,就是项目内的这个凭证配置和流水线这些操作。
26:06
然后呢,我们这个开发者呢,他只能触发我们这个流水线工作,所以大家这一块呢,注意我们这个还有一个观察者,他只能查看我们这个状态,所以们现在呢,后来自动化运维的过程中,我们要看现在自动化到哪一步了,而我们这个man就能创建关键信息,关键步骤的这个凭证,比如访问GI help的账号密码等等这些信息。那其他人呢,就没有这些信息的维护创建权限,所我们现在呢,需要一个比如说自动化流程的一个维护者,我们就是这个manti呢,好,我们来约束了以后呢,Project regular,它还有我们这个自动化流水线的这个维护角色,所以他以后的登录,他能看到两个项目。来登录一下。Project regular看到哪两个项目呢?那第一个项目是我们。这个鼓励商城这个真正的项目,还有他的这个自动化,我们都要部署系统,这个系统呢,他也参与了,而且他是这个系统里边的核心人员,他可以创建这个流水线,也可以帮我们来创建一些凭证,比如我们要访问giitar haveb,是SSH呢,还是账号密码呢?那么在这呢都可以来配置这些凭证信息,那至此我们就按照所有的要求,我们在我们的这个项目里边,由额的命开始先创建了一个HR,然后呢让HR帮我们来创建了四个这个用户,然后呢,并且创建了一个这个角色叫user manager,当然这个角色呢是adin创建的,所以HR呢帮我们创建了四个用户,然后呢,并分别指定每一个用户都是干嘛的,然后呢,接下来每一个用户呢,将拥有他自己的功能了,我们就在每一个用户,比如他能管理工作空间了,们就在让他创建了一个工作空间,他能管理我们这些用户信息了,我们就让他创建这个用户。比如我们创建。
27:59
在工作空间的时候,关联他是我们工作空间里的管理员,他呢又给工作空间里边来邀请一些新用户,然后这些用户呢,他可能参与两个不同的项目regular了,一呢是参与与我们这个古力妙这个项目,第二个呢,他还参与了我们这个David OS这个项目,所以呢,我们这个开发者呢,他就能参与这两个项目,我们project的命就能创建这两个项目,大家就参照我们这个思维导图,把整个这个角色流程先创建出来,这块创建出来以后呢,那后来所有的工作就围绕着我们这一块来做就行了。
我来说两句