环境管理


什么是一个环境?

Rancher 支持将资源分组归属到多个环境。每个环境具有自己独立的基础设施资源及服务,并由一个或多个用户、团队或组织管理。例如,您可以创建独立的“开发”、“测试”及“生产”环境以确保环境之间的安全隔离,将“开发”环境的访问权限赋予全部人员,但限制“生产”环境的访问权限给一个小的团队。

所有主机和Rahcner资源, 比如容器, 基础设施服务等, 都在环境中被创建, 并且属于一个环境。

添加环境

要添加一个环境,把鼠标移动到位于左上角的当前环境, 此时会出现一个带有所有可用的环境下拉框,以及一个 环境管理 连接。点击 环境管理

导航到 环境 页面后,您会看到一个环境列表和一个环境模板列表。如果您是 Rancher 的管理员用户,您会看到一个所有环境的列表,即使您不是该环境的成员。任何环境模板都对所有用户可见。

点击 添加环境。每个环境都有自己的名字和描述,您可以选择您要使用的环境模板。在环境模板中,您可以看到哪个基础设施服务是启用的。

注意: 如果没有配置 访问控制, 所有环境都可以被其它 Rancher 的用户访问到。 环境没有任何所属关系。

有两种方法可以将成员添加到一个环境里:

  • 输入用户名,点击 + 把用户添加到成员列表中。如果该用户名不在列表中,则不会被加入到环境中。
  • 在某些认证方式下,右侧有一个 + 下拉框按钮,这个下拉框会出现组织/团队,您可以将用户或团队加入到环境里。您可以把每个成员(既个人、团队、或组织)的角色设置为所有者成员受限制的成员只读用户中的一个。默认情况下,新添加的用户角色为成员。通过用户名旁边的下拉框,可以改变相应用户的角色. 对于环境所有者,您可以随时编辑成员列表以及成员角色。 只有环境的所有者能编辑环境的成员以及其角色。

注意: 只有所有者和管理员才能查看环境的基础设施服务

点击 创建 会创建一个环境,所有在成员列表中的用户都立即可以看到这个环境。创建完环境并且添加主机后,Rancher会开始自动部署已启用的基础设施服务。

停用和删除环境

创建环境后,所有者可能想停用或删除该环境。

环境被停用后,这个环境不再对环境成员可见,但环境的所有者还可以看到并启用这个环境。在环境停用后您不能变更环境的成员,直到该环境被再次启用。环境被停用后所有资源不能再变更,如果您要变更您的基础设施服务,您需要在环境停用之前变更。

要删除一个环境,先要停用这个环境。环境删除后,这个环境所有的镜像仓库,负载均衡,API keys 都会从 Rancher 移除。所有通过 Rancher UI 创建,用 Docker Machine 启用的主机也会在云提供商中被用 Docker Machine 移除。如果您已经通过自定义的方式添加了一台主机,那么这台主机在云提供商中不会被移除。

成员编辑

只有环境的所有者可以编辑环境的成员。在环境管理页面,您可以点击编辑进入环境成员编辑页面, 在编辑页面,您可以通过下拉框添加环境成员。

如果要删除环境成员,可以点击成员列表旁边的X。注意,单个成员被删除时,如果被删除的成员所属的团队或组织是这个环境的成员,那么他们仍然可以访问这个环境,

所有者可以更改任何环境成员的角色,您只需要选择成员的相应角色。

成员角色

所有者

所有者有在环境中添加和删除用户的权限,也可以修改环境的状态。在环境的成员列表中,所有者还可以改变环境成员的角色。

因为无法编辑环境模版,所有者可以通过应用商店来修改环境的基础设施服务。环境模版只能在创建环境时使用。

成员

一个环境的成员可以在Rancher里面做任何不影响环境本身的操作。成员不能添加/移除其他成员,不能改变其他已存在成员的角色,也不能查看任何基础设施服务

受限

环境的受限成员只能够做与应用和服务相关的操作。受限成员能对所有服务的容器做任何操作,即,启动、停止、删除、升级、克隆和编辑。从应用、 服务和容器操作的角度来说,受限成员是不受限制的。

对受限成员的限制体现在他们对主机的操作上。受限成员只能查看一个环境的主机,而不能添加,编辑,移除环境的主机。

注意: 受限成员不能添加、移除主机标签,只有成员和所有者才能改变主机的标签。

只读

只读成员只能查看环境的资源。 他们可以查看 主机、应用、服务和容器。但只读成员不能对它们作任何创建、编辑和移除操作。

注意: 只读成员可以查看容器的日志。

为了使非所有者可以设置环境的成员,您可以通过更新API配置project.set.member.roles来实现这一点。

什么是环境模版

环境模版可以让用户定义需要部署的基础设施服务组合。基础设施服务包括(但不限于)容器编排 (即Cattle,KubernetesMesosSwarm)、网络、Rancher 服务 (即 健康检查DNSMetadata调度、服务发现、存储

容器的编排方式很多,Rancher提供了一套默认的模版以及推荐使用的基础设施服务用于容器编排。其中的一些基础设施服务(Rancher调度器只能在Cattle环境下使用 ),其他的编排引擎也依赖他们,因为这些服务被用来启动其它基础设施服务。除了默认的模版,您也可以创建自己的模版。通过自己创建模版,您可以选者环境中任何您想要的基础设施服务组合。只有所有者管理员可以查看和编辑环境的基础设施服务。

在和其它用户共享环境前, 我们推荐先设置好访问控制。用户被加入一个环境后, 他们就拥有了创建服务和管理资源的权限。

注意: 基础设施资源不可夸环境共享。镜像仓库证书 和环境API密钥也不能夸环境。

添加环境模版

要添加一个新环境,您可以把鼠标移动到左上角的环境下拉框。下拉框中会出现所有可用的环境以及环境管理的链接。 点击环境管理

环境页面后,您可以看到一个环境列表和一个环境模版列表。 点击添加模版

为模版选择一个 名称描述, 选择分享自己模版的方式。 模版可以是私有(只有自己可见)和公有(管理员可见)。

基础设施服务包括,但不限于容器编排、存储网络。默认的基础设施服务会自动启动。

编辑 & 删除环境模版

创建环境模版后,您可以在模版中编辑启用哪个基础设施服务。虽然环境模版是可以编辑的,但已经存在的基于模版创建的环境不会随模版自动更新。

您可以在任何时候删除一个环境模版,因为它们只有在启动环境的时候才会被用到(用来指定哪些基础设施服务会被启用)。环境与环境模版没有直接绑定关系,所以删除环境模版不会影响环境。

权限键:

  • C = 创建
  • R = 读取 (查看)
  • U = 更新
  • D = 删除
成员关联的权限
所有者成员受限只读
环境成员RUDRRR
主机CRUDCRUDRR
容器CRUDCRUDCRUDR
存储CRUDCRUDCRUDR
密文CRUDCRUDCRUDR
证书CRUDCRUDCRUDR
镜像仓库CRUDCRUDCRUDR
账户类型关联的权限
管理员用户
私有模版CRUDCRUD
共有模版CRUDR
环境CRUDCRUD