目录

用户体系

管理员工具

用户管理

系统参数

系统权限管理

role.create-application.enabled

role.manage-app-master.enabled

删除应用

删除集群

删除AppNamespace

删除Namespace

开放平台授权

用户体系

每个app(应用)拥有一个负责人,可以有多个管理员,可以在创建应用时指定。如下图:

apollo namespace 多个文件 apollo删除namespace_命名空间

其中 

  • 【应用负责人】和【应用管理员】可以分别指定不同的用户,可以和【登录用户】不一致。本例中登录用户为fengxiankf,应用负责人为zhaofacai,应用管理员为zhaofacai、zhaoxiaoshuai
  • 应用负责人默认为应用管理员
  • 应用管理员具如下权限

1

创建集群

2

创建Namespace命名空间

3

修改应用信息,包括部门、应用名称、应用负责人

4

修改Namespace命名空间,包括修改权、发布权的指定。命名空间的创建用户和超级管理员默认拥有修改权、发布权,其他用户均需要通过授权才能获得。

5

为应用新增管理员(role.manage-app-master.enabled=false情况下)

管理员工具

portal中有超级管理员用户,默认为apollo(可以修改),可以进行【管理员工具】操作

apollo namespace 多个文件 apollo删除namespace_命名空间_02

用户管理

apollo namespace 多个文件 apollo删除namespace_第三方应用_03

这其中的字段应该都好理解,就不一一赘述了。

系统参数

apollo namespace 多个文件 apollo删除namespace_apollo_04

一些系统级的参数配置,存储在ApolloPortalDB.ServerConfig表中。超级管理员也可以通过SuperAdmin参数来修改。下面将要讲到的role.create-application.enabled(是否开启应用创建权限控制)、role.manage-app-master.enabled(是否开启分配管理员权限控制)俩个参数,也存储在该表中。

 

apollo namespace 多个文件 apollo删除namespace_第三方应用_05

系统权限管理

 

apollo namespace 多个文件 apollo删除namespace_命名空间_06

这里的用户设置只有在这俩个参数role.create-application.enabled(是否开启应用创建权限控制)、role.manage-app-master.enabled(是否开启分配管理员权限控制)开启下设置才生效。其中

role.create-application.enabled

当该开关不开启(值等于false或者不设置)时,所有用户都具有创建应用的权限,可以创建应用;

当该开关开启(值等于true)时,只有超级管理员和已指定的用户可以创建应用,页面功能就是完成用户的指定。

role.manage-app-master.enabled

当该开关不开启(值等于false或者不设置)时,某个应用的管理员用户都可以去管理该应用的管理员,包括添加新管理员、删除已存在的管理员;

当该开关开启(值等于true)时,只有超级管理员和已指定的用户可以管理管理员信息,页面功能就是完成用户的指定。

删除应用

apollo namespace 多个文件 apollo删除namespace_java_07

只有超级管理员可以删除应用,删除应用时将逻辑删除如下信息

  1. 应用信息,对应于表ApolloConfigDB.App、ApolloPortalDB.App
  2. 该应用所有的AppNamespace 元信息,对应表ApolloPortalDB.AppNamespace、ApolloConfigDB.AppNamespace
  3. 该应用所有的Namespace数据(包括所有集群),对应表ApolloConfigDB.Namespace
  4. 该应用的Namespace所有的item数据(用于存储配置数据),对应表ApolloConfigDB.Item

其中 AppNamespace用于定义Namespace,定义它的相关属性,如是否公共(isPublic)、存储格式(Format xml or json or properties等)。每个Namespace都对应一个AppNamespace(通过NamespaceName关联)。

删除集群

apollo namespace 多个文件 apollo删除namespace_第三方应用_08

删除集群只有超级管理员可以进行,执行删除集群时,将删除如下信息

  1. 该集群下所有的Namespace数据,对应表ApolloConfigDB.Namespace
  2. 对应Namespace所有的item数据(用于存储配置数据),对应表ApolloConfigDB.Item

删除AppNamespace

apollo namespace 多个文件 apollo删除namespace_数据_09

 删除AppNamespace元数据只有超级管理员可以进行,执行删除元数据时,将删除如下信息 

  1. 该AppNamespace关联的所有Namespace数据,对应表ApolloConfigDB.Namespace
  2. 对应Namespace所有的item数据(用于存储配置数据),对应表ApolloConfigDB.Item

删除Namespace

 其中Namespace的删除可以由且只能由应用管理员在应用页面进行删除 

apollo namespace 多个文件 apollo删除namespace_数据_10

  当无应用管理员权限的用户去删除命名空间时,会报如下错误

apollo namespace 多个文件 apollo删除namespace_第三方应用_11

当删除Namespace,不删除AppNamespace时,每次进入应用时,都会提示有Namespace的缺失

apollo namespace 多个文件 apollo删除namespace_命名空间_12

可以通过右下角的【补缺Namespace】的菜单自动补齐缺失的Namespace

 

apollo namespace 多个文件 apollo删除namespace_java_13

开放平台授权

创建第三方应用

Apollo提供了一套的Http REST接口,使第三方应用能够自己管理配置。虽然Apollo系统本身提供了Portal来管理配置,但是在有些情景下,应用需要通过程序去管理配置。

apollo namespace 多个文件 apollo删除namespace_第三方应用_14

通过以上完成第三方应用的创建。创建成功后,系统会生成该第三方应用对应Token值。在调用apollo的开放平台接口,需要上送该Token,系统根据该token值来确认属于哪个第三方应用,对操作的Namespace是否有权限。

第三方应用ID的概念会让人觉得同用户概念,其实不是。在调用apollo的开放平台接口时除了上送Token,一般还要上送用户信息,对命名空间的操作都是以该用户的名义进行,而不是第三方应用。第三方应用ID只是用来实现赋权和鉴权。

可以在该界面输入第三方应用ID,点击【查询】获取该第三方应用对应的Token值。

apollo namespace 多个文件 apollo删除namespace_java_15


赋权

查询接口默认都是可以访问的,但是对Namespace的修改和发布,及创建集群、命名空间、分配应用管理员的接口需要权限控制。

apollo namespace 多个文件 apollo删除namespace_java_16

在如上界面可以按Namespace进行赋权,赋权后第三方应用可以获得对该命名空间的修改和发布权限;也可以按app进行赋权,赋权后可以获得创建集群、命名空间、分配应用管理员的权限、及该应用下所有命名空间的修改和发布权限。

如果在没有赋权的情况下调用apollo开放平台的接口,会报如下错误,message: {"exception":"org.springframework.security.access.AccessDeniedException","message":"Access is denied","status":403,"timestamp":"2022-12-29T19:46:08.746"}