策略

服务端开启鉴权

  • 修改服务端配置文件polaris-server.yaml
  1. auth:
  2. # 鉴权插件
  3. name: defaultAuth
  4. option:
  5. # token 加密的 salt,鉴权解析 token 时需要依靠这个 salt 去解密 token 的信息
  6. # salt 的长度需要满足以下任意一个:len(salt) in [16, 24, 32]
  7. # 如有自定义需求,需要在首次部署时指定
  8. salt: polarismesh@2021
  9. # 控制台鉴权能力开关,默认开启
  10. consoleOpen: true
  11. # 客户端鉴权能力开关, 默认关闭
  12. clientOpen: false
  13. # 是否启用鉴权的严格模式,即对于没有任何鉴权策略的资源,也必须带上正确的用户/用户组 token 才能操作, 默认关闭
  14. strict: false
  • 若为VM部署,修改每个polaris部署节点中的polaris-server.yaml文件,修改完后执行以下命令进行重启polaris

    1. bash tool/stop.sh
    2. bash tool/start.sh
    1. bash tool/stop.cmd
    2. bash tool/start.cmd
  • 若为容器化部署,则先修改名称为polaris-server-config的configmap,修改完之后,执行以下命令触发polaris的滚动重启

    1. kubectl rollout restart statefulset polaris
  • 如果有修改 salt 的需要,则需要按照以下步骤执行

    • 确定最终的 salt 值并将其修改至polaris-server.yaml
    • 执行auth/defaultauth/token_test.go中的Test_CustomDesignSalt函数,生成新的token
    • 执行下列SQL

      1. INSERT INTO
      2. `user` (
      3. `id`,
      4. `name`,
      5. `password`,
      6. `source`,
      7. `token`,
      8. `token_enable`,
      9. `user_type`,
      10. `comment`,
      11. `owner`
      12. )
      13. VALUES
      14. (
      15. '65e4789a6d5b49669adf1e9e8387549c',
      16. 'polaris',
      17. '$2a$10$5XMjs.oqo4PnpbTGy9dQqewL4eb4yoA7b/6ZKL33IPhFyIxzj4lRy',
      18. 'Polaris',
      19. '${新的token}',
      20. 1,
      21. 20,
      22. 'default polaris admin account',
      23. ''
      24. );
    • 这样就完成了主账户的token变更

如何创建鉴权策略

  • 单击新建策略。填写策略基本信息,在角色栏可以选择需要授权用户或用户组,单击下一步选择授权的资源。

    策略 - 图1

  • 在资源栏可选择北极星的资源类型,包括命名空间、服务等资源,主账号可对所有资源进行操作。

    策略 - 图2

  • 单击下一步,进入预览界面,详细展示该策略涉及的用户、用户组以及资源。确认信息无误后,单击完成。

    策略 - 图3

  • 主账号可在权限策略列表查阅现有的权限策略,可单击编辑进行授权或删除等操作。

    策略 - 图4

新建资源如何选择可操作用户

创建命名空间

在命名空间页面中,点击新建,在弹出页面中,点击高级选择可以操作本资源的用户或者用户组。

策略 - 图5

创建服务

在服务列表页面中,点击新建,在弹出页面中,点击高级选择可以操作本资源的用户或者用户组。

策略 - 图6