用語集
PFCP で使用される用語について説明します。
組織
PFCP を利用する際に必要であり、Kubernetes クラスタの利用、ポータルの利用、認証認可などのベースとなるリソースです。 一般的にテナントと呼称されるものに相当します1。
PFCP を利用するには、利用したい組織から招待される必要があります。 また、Kubernetes クラスタやポータルなどの PFCP リソースを操作するときは、組織の選択が必要です。
1 つの組織で PFCP の複数クラスタが利用可能であり、複数の Namespace を作成できます。 Namespace 単位で権限分離・ネットワーク隔離も可能です。 このため、利用するリージョンごと・利用する用途ごとに、組織を細かく分割する必要はありません。
ルートネームスペース・サブネームスペース
PFCP では、各組織ごとに Namespace が 1 つ提供され、追加の Namespace はその Namespace に従属する Namespace として作成されます。 前者をルートネームスペース、後者をサブネームスペースと呼びます。 PFCP のネームスペースの詳細については、Namespace でクラスタを論理的に分割する をご確認ください。
ルートネームスペースとサブネームスペースは標準の Kubernetes クラスタにはない、PFCP 独自の用語です。 ルートネームスペースとサブネームスペースとでは仕様や扱い方が異なるため、区別する必要がある場合はこれらの呼称を使用しています。 一方で、Kubernetes の Namespace リソース全般にあてはまる記述であり、ルートネームスペースとサブネームスペースのどちらであるかを区別する必要がない場合は、 Namespace を使用しています。
ユーザロール(組織管理者・一般ユーザ)
PFCP には、組織管理者・一般ユーザの 2 種類のロールが定義されています。 ロールの詳細や利用できる操作については、PFCP のロール をご確認ください。
一方、Kubernetes には RBAC2 を実現するために Role/ClusterRole リソースがあります。 PFCP でも標準の ClusterRole3 が提供されていますが、この ClusterRole と PFCP のユーザロールは一対一でマッピングされません4。 組織管理者が RoleBinding を作成することで、Namespace ごとにマッピングを変更できます。
一般ユーザのユーザを個別に対象とする RoleBinding を作成することも、ユーザをグループにまとめ、グループを対象に RoleBinding を作成することも可能です。
RoleBinding の詳細については、 ユーザのクラスタアクセス権限を管理する をご確認ください。 ユーザ管理の詳細については、 組織のユーザを管理する をご確認ください。
モニタリングサービス
PFCP でマネージドサービスとして提供している、Grafana、Prometheus、Alertmanager の総称です。
Identity-Aware Proxy(IAP)
PFCP で提供している、ワークロードをインターネットに公開するための仕組みです。 アクセス時の認証が自動で設定されるため、ワークロードを安全に公開できます。
認証方式の違いにより API Identity-Aware Proxy(API IAP)と WebApp Identity-Aware Proxy(WebApp IAP)の 2 つに分かれています。 詳細な使い方は ワークロードをウェブ API として公開する または ワークロードをウェブアプリとして公開する を参照してください。