科技
当前位置:首页 > 科技  > 软件

Jenkins Pipeline用户权限管理新技巧:打造安全高效的流水线!

来源: 责编: 时间:2024-05-24 08:46:06 214观看
导读什么是RBAC基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)授权其相关权限,这实现了更灵活的访问控制,相比直接授予用户权限,要更加简单、高效、可扩展。图片当使用 RBAC 时,通过分析系统

什么是RBAC

基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)授权其相关权限,这实现了更灵活的访问控制,相比直接授予用户权限,要更加简单、高效、可扩展。Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

当使用 RBAC 时,通过分析系统用户的实际情况,基于共同的职责和需求,授予他们不同角色。你可以授予给用户一个或多个角色,每个角色具有一个或多个权限,这种 用户-角色、角色-权限 间的关系,让我们可以不用再单独管理单个用户,用户从授予的角色里面继承所需的权限。Xz228资讯网——每日最新资讯28at.com

大家可以看一下的案例更容易理解:Xz228资讯网——每日最新资讯28at.com

用户角色分为管理员、开发、运维,各个角色并具备不同的权限。每个用户也具备单个与多个角色。Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

需求说明

本章节是通过一个企业案例进行讲解,需求如下:Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

接下来,我们根据上图的组织架构来创建用户与组。Xz228资讯网——每日最新资讯28at.com

Jenkins权限如何分配:Xz228资讯网——每日最新资讯28at.com

  • 开发组:只读权限
  • 运维组:管理员权限
  • 测试组:执行权限

配置权限

配置角色

图片图片Xz228资讯网——每日最新资讯28at.com

分配权限

图片图片Xz228资讯网——每日最新资讯28at.com

权限验证

张三(管理员),下图可以看到什么权限都有:Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

李四(只读),下图可以看到只有只读权限:Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

张三(执行权限),下图可以看到是有执行权限的:Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

配置Pipeline权限

需求说明

实际情况中,我们是通过Pipeline进行管理流水线的,接下来咱们针对Pipeline进行配置权限控制,详情如下图:Xz228资讯网——每日最新资讯28at.com

图片图片Xz228资讯网——每日最新资讯28at.com

权限配置:Xz228资讯网——每日最新资讯28at.com

  • 运维组:管理员权限
  • 开发组:非生产环境只读权限
  • 测试组:非生产环境执行权限

权限配置

以Ruoyi- Gateway为例,在Pipeline里配置权限:Xz228资讯网——每日最新资讯28at.com

DeployDev阶段(修改submitter配置):Xz228资讯网——每日最新资讯28at.com

...    stage('DeployDev'){            steps {                echo "部署开发环境"                script {                    def userInput = input (                        message: '确定要发布到DEV环境吗?',                        parameters:[                            choice(name: '操作', choices: ['发布', '跳过'])                        ],                        ok: '确定',                        submitter: 'ops,qa', // 配置ops,qa组即可                        submitterParameter: 'APPROVER'                    )                    if (userInput['操作'] == '发布'){                        echo "部署Dev环境开始"                        ....

DeployUat阶段(修改submitter配置):Xz228资讯网——每日最新资讯28at.com

....    stage('DeployUat'){            steps {                echo "部署测试环境"                 script {                    def userInput = input (                        message: '确定要发布到UAT环境吗?',                        parameters:[                            choice(name: '操作', choices: ['发布', '跳过'])                        ],                        ok: '确定',                        submitter: 'ops,qa', // 配置ops,qa组即可                        submitterParameter: 'APPROVER'                    )                    if (userInput['操作'] == '发布'){                        echo "发布"                        ....

DeployGray阶段(修改submitter配置):Xz228资讯网——每日最新资讯28at.com

stage('DeployGray'){            steps {                echo "部署灰度环境"                 script {                    def GraysMode = input (                        message: '确定要灰度验证吗?',                        parameters:[                            choice(name: 'operation', choices: ['基于权重灰度','基于请求头灰度','跳过'])                        ],                        ok: '确定',                        submitter: 'ops',                        submitterParameter: 'APPROVER'                    )                    if (GraysMode['operation'] == '基于权重灰度'){                        def WeightMode = input (                        message: '请输入权重比例!',                        parameters:[                            string(name: 'workload_weight',defaultValue: '',description: ''),                            string(name: 'grayload_weight',defaultValue: '',description: '')                        ],                        ok: '确定',                        submitter: 'ops',                        submitterParameter: 'APPROVER'                    )                    sh """                     echo $pipeline_dir                     echo "打印编排文件详细信息"                     if [ -e "$pipeline_dir/prod/$Project_Name/deployment-gray.yml" ]; then                        cat $pipeline_dir/prod/$Project_Name/deployment-gray.yml | sed  "s/TAG/${Tag}/g"                         cat $pipeline_dir/prod/$Project_Name/deployment-gray.yml | sed  "s/TAG/${Tag}/g" | /usr/bin/kubectl apply -f  -                     fi                     echo "配置权重"                     echo ${WeightMode['grayload_weight']}                     if [ -e "$pipeline_dir/prod/$Project_Name/ingress-gray-weight.yml" ]; then                        cat $pipeline_dir/prod/$Project_Name/ingress-gray-weight.yml | sed  "s/WEIGHT-VALUE/${WeightMode['grayload_weight']}/g"                         cat $pipeline_dir/prod/$Project_Name/ingress-gray-weight.yml | sed  "s/WEIGHT-VALUE/${WeightMode['grayload_weight']}/g" | /usr/bin/kubectl apply -f  -                     fi                    """                    }                    if (GraysMode['operation'] == '基于请求头灰度'){                        GrayHeaderMode = input (                        message: '请输入请求头!',                        parameters:[                            string(name: 'header_key',defaultValue: '',description: ''),                            string(name: 'header_value',defaultValue: '',description: '')                        ],                        ok: '确定',                        submitter: 'ops',                        submitterParameter: 'APPROVER'                    )                                        sh """                     echo ${GrayHeaderMode['header_value']}                     echo $pipeline_dir                     echo "打印编排文件详细信息"                     if [ -e "$pipeline_dir/prod/$Project_Name/deployment-gray.yml" ]; then                        cat $pipeline_dir/prod/$Project_Name/deployment-gray.yml | sed  "s/TAG/${Tag}/g"                         cat $pipeline_dir/prod/$Project_Name/deployment-gray.yml | sed  "s/TAG/${Tag}/g" | /usr/bin/kubectl apply -f  -                     fi                                          echo "配置请求头"                     echo ${GrayHeaderMode['header_key']}                     echo ${GrayHeaderMode['header_value']}                     if [ -e "$pipeline_dir/prod/$Project_Name/ingress-gray-header.yml" ]; then                        cat $pipeline_dir/prod/$Project_Name/ingress-gray-header.yml | sed  "s/header-key/${GrayHeaderMode['header_key']}/g" | sed  "s/header-value/${GrayHeaderMode['header_value']}/g"                        cat $pipeline_dir/prod/$Project_Name/ingress-gray-header.yml | sed  "s/header-value/${GrayHeaderMode['header_key']}/g" | sed  "s/header-value/${GrayHeaderMode['header_value']}/g" | /usr/bin/kubectl apply -f  -                     fi                    """                    }                    // 默认模式为yes,如果跳过为no                    if (GraysMode['operation'] == '跳过'){                        GrayEnable='no'                    }                }            }

DeployProd阶段(修改submitter配置):Xz228资讯网——每日最新资讯28at.com

stage('DeployProd'){            steps {                echo "部署生产环境"                 script {                    def userInput = input (                        message: '确定要发布到生产环境吗?',                        parameters:[                            choice(name: '操作', choices: ['发布', '跳过'])                        ],                        ok: '确定',                        submitter: 'ops',                        submitterParameter: 'APPROVER'                    )                    if (userInput['操作'] == '发布'){                        echo "发布"                        Namespace_Prod = sh(script: "cat $pipeline_dir/prod/$Project_Name/deployment.yml | grep namespace | awk -F ':' '{print /$2}'", returnStdout: true).trim()                        DeploymentName = sh(script: "cat $pipeline_dir/prod/$Project_Name/deployment.yml | grep name: |  head -n 1 | awk -F ':' '{print /$2}'", returnStdout: true).trim()                        Revsion_Prod = sh(script: "kubectl get deployment $DeploymentName -n ${Namespace_Prod} -o=jsnotallow='{.spec.template.spec.containers[*].image}' | awk -F ':' '{print /$NF}'", returnStdout: true).trim()                        GrayDeploymentName = sh(script: "cat $pipeline_dir/prod/$Project_Name/deployment-gray.yml | grep name: |  head -n 1 | awk -F ':' '{print /$2}'", returnStdout: true).trim()                        GrayServiceName = sh(script: "cat $pipeline_dir/prod/$Project_Name/service-gray.yml | grep name: |  head -n 1 | awk -F ':' '{print /$2}'", returnStdout: true).trim()                        GrayIngressName = sh(script: "cat $pipeline_dir/prod/$Project_Name/ingress-gray-header.yml | grep name: |  head -n 1 | awk -F ':' '{print /$2}'", returnStdout: true).trim()                        sh '''                        echo $pipeline_dir                        echo "开始部署生产环境"                        echo "打印编排文件详细信息"                        if [ -e "$pipeline_dir/prod/$Project_Name/deployment.yml" ]; then                          cat $pipeline_dir/prod/$Project_Name/deployment.yml | sed  "s/TAG/${Tag}/g"                          cat $pipeline_dir/prod/$Project_Name/deployment.yml | sed  "s/TAG/${Tag}/g" | /usr/bin/kubectl apply -f  -                        fi                        if [ -e "$pipeline_dir/prod/$Project_Name/service.yml" ]; then                           cat $pipeline_dir/prod/$Project_Name/service.yml                           cat $pipeline_dir/prod/$Project_Name/service.yml  | /usr/bin/kubectl apply -f  -                        fi                        if [ -e "$pipeline_dir/prod/$Project_Name/ingress.yml" ]; then                          cat $pipeline_dir/prod/$Project_Name/ingress.yml                          cat $pipeline_dir/prod/$Project_Name/ingress.yml  | /usr/bin/kubectl apply -f  -                        fi                        '''                        if (GrayEnable == 'yes'){                            sh """                        kubectl delete deployment ${GrayDeploymentName} -n ${Namespace_Prod}                        kubectl delete service  ${GrayServiceName} -n ${Namespace_Prod}                        kubectl delete ingress  ${GrayIngressName} -n ${Namespace_Prod}                        """                        }                    } else {                        echo "不发布"                    }                }            }            post {                success {                    wrap([$class: 'BuildUser']) {                    lark (                        robot: "2026ab67-7d07-46ec-a309-bebebaeaffbc",                        type: "CARD",                        title: " 
                
本文链接:http://www.28at.com/showinfo-26-90502-0.htmlJenkins Pipeline用户权限管理新技巧:打造安全高效的流水线!

                
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。邮件:2376512515@qq.com

                
上一篇: Angular 18 正式发布,一起来看看都有哪些更新

                
下一篇: 很强!五个 python 高级技巧
标签:
  • 热门焦点

  • CSS单标签实现转转logo

    转转品牌升级后更新了全新的Logo,今天我们用纯CSS来实现转转的新Logo,为了有一定的挑战性,这里我们只使用一个标签实现,将最大化的使用CSS能力完成Logo的绘制与动画效果。新logo

  • 使用LLM插件从命令行访问Llama 2

    最近的一个大新闻是Meta AI推出了新的开源授权的大型语言模型Llama 2。这是一项非常重要的进展:Llama 2可免费用于研究和商业用途。(几小时前,swyy发现它已从LLaMA 2更名为Lla

  • .NET 程序的 GDI 句柄泄露的再反思

    一、背景1. 讲故事上个月我写过一篇 如何洞察 C# 程序的 GDI 句柄泄露 文章,当时用的是 GDIView + WinDbg 把问题搞定,前者用来定位泄露资源,后者用来定位泄露代码,后面有朋友反

  • 大厂卷向扁平化

    来源:新熵作者丨南枝 编辑丨月见大厂职级不香了。俗话说,兵无常势,水无常形,互联网企业调整职级体系并不稀奇。7月13日,淘宝天猫集团启动了近年来最大的人力制度改革,目前已形成一

  • 认真聊聊东方甄选:如何告别低垂的果实

    来源:山核桃作者:财经无忌爆火一年后,俞敏洪和他的东方甄选依旧是颇受外界关心的“网红”。7月5日至9日,为期5天的东方甄选“甘肃行”首次在自有App内直播,

  • 携众多高端产品亮相ChinaJoy,小米带来一场科技与人文的视听盛宴

    7月28日,全球数字娱乐领域最具知名度与影响力的年度盛会中国国际数码互动娱乐展览会(简称ChinaJoy)在上海新国际博览中心盛大开幕。作为全球领先的科

  • Windows 11发布,微软一改往常对老机型开放的态度

    距离 Windows 11 发布已经过去一周,在过去一周里,很多数码爱好者围绕其对 Android 应用的支持、对老机型的升级问题展开了激烈讨论。与以往不同的是,在这次大

  • 最薄的14英寸游戏笔记本电脑 Alienware X14已可以购买

    2022年1月份在国际消费电子展(CES2022)上首次亮相的Alienware新品——Alienware X14现在已经可以购买了,这款笔记本电脑被誉为世界上最薄的 14 英寸游戏笔

  • AI艺术欣赏体验会在上海梅赛德斯奔驰中心音乐俱乐部上演

    光影交错的镜像世界,虚实幻化的视觉奇观,虚拟偶像与真人共同主持,这些场景都出现在2019世界人工智能大会的舞台上。8月29日至31日,“AI艺术欣赏体验会”在上海

最新推荐

猜你喜欢

热门推荐

相关资讯

Copyright © 2016-2023 天津谷骐科技有限公司 版权所有 sitemap.xml

违法及侵权请联系:2376512515@qq.com 津ICP备18001702号 津公网安备 12010102000574号

Top