华为CCI Administrator上传镜像方案分享【玩转华为云】
【摘要】 华为 CCI Administrator(云容器实例管理员)默认不直接拥有上传镜像包的权限,因为镜像上传操作依赖华为云的容器镜像服务(SWR),而 CCI Administrator 角色的权限范围主要针对 CCI 资源本身。一、权限依赖关系镜像上传的本质在 CCI 中上传镜像包时,实际操作的是 SWR(容器镜像服务)的功能。因此,权限需同时满足两个条件:CCI 权限:能够创建容器组并引用镜...
华为 CCI Administrator(云容器实例管理员)默认不直接拥有上传镜像包的权限,因为镜像上传操作依赖华为云的容器镜像服务(SWR),而 CCI Administrator 角色的权限范围主要针对 CCI 资源本身。
一、权限依赖关系
-
镜像上传的本质
-
在 CCI 中上传镜像包时,实际操作的是 SWR(容器镜像服务)的功能。因此,权限需同时满足两个条件:
- CCI 权限:能够创建容器组并引用镜像(如
CCI FullAccess或CCI Administrator角色)。 - SWR 权限:能够上传、管理镜像(如
SWR Admin角色)。
- CCI 权限:能够创建容器组并引用镜像(如
-
默认角色的权限范围
-
根据华为云官方文档:
- CCI Administrator角色的权限仅限于 CCI 服务的所有操作(如创建、删除容器组、管理命名空间等),不包含 SWR 的镜像上传权限。
- SWR Admin角色才具备上传镜像、管理仓库等完整权限。
二、解决方案
方案 1:直接授予 SWR 权限
-
角色绑定
-
为用户或用户组同时授予以下两个角色:
- CCI Administrator(或
CCI FullAccess):管理 CCI 资源。 - SWR Admin:管理 SWR 镜像仓库。
操作步骤:- 登录华为云控制台,进入IAM 服务 > 用户组。
- 选择目标用户组,点击添加策略。
- 搜索并勾选
CCI Administrator和SWR Admin策略,保存配置。
- CCI Administrator(或
-
验证权限
-
登录用户账号,进入 SWR 控制台,尝试上传镜像。若提示权限不足,需检查角色绑定是否生效。
方案 2:使用 Tenant Administrator 角色
根据部分文档,
Tenant Administrator(租户管理员)角色默认包含 SWR 权限。但需注意:- 权限范围:该角色为全局权限,可能超出实际需求,需谨慎使用。
- 适用场景:适合需要管理整个租户资源的超级管理员,而非仅操作 CCI 的用户。
方案 3:自定义策略(精细化授权)
若需更细粒度的控制,可创建自定义策略:
- 登录 IAM 服务,进入策略管理 > 创建自定义策略。
- 在策略中添加以下授权项(Action):
swr:images:push:上传镜像。swr:repos:create:创建仓库(可选,若需自动创建仓库)。
- 将自定义策略关联到用户或用户组,并确保同时拥有 CCI 相关权限。
三、操作注意事项
-
OBS 权限
-
若镜像存储在 OBS(对象存储服务)中,需额外授予
OBS Object Administrator权限,用于访问 OBS 桶。 -
镜像上传流程
完成权限配置后,上传镜像的步骤如下:
- 构建镜像并推送到 SWR 仓库(参考华为云文档
-
- )。
- 在 CCI 控制台创建容器组时,引用已上传的镜像。
-
版本兼容性
-
确保使用的 CCI 和 SWR 版本兼容,部分旧版本可能不支持某些操作。
四、总结一下下
华为 CCI Administrator 角色本身不具备上传镜像的权限,需通过以下方式解决:
- 组合角色:同时授予
CCI Administrator和SWR Admin角色。 - 全局角色:使用
Tenant Administrator角色(需权衡权限范围)。 - 自定义策略:按需配置精细化权限。
建议优先选择方案 1,以平衡权限粒度和操作便利性。若有其他特殊需求,可结合自定义策略实现更灵活的授权。
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)