第 1 章 全局配置
配置窗口可以通过管理门户界面中的页头条访问。您可以使用它来对 Red Hat Virtualization 环境中的全局资源(如用户、角色、系统权限、调度策略、实例类型和 MAC 地址池)进行配置,从而来定制用户和环境中的资源进行交互的方式。这个窗口为那些可以应用于多个集群的配置选项提供了一个中心位置。
图 1.1. 访问配置窗口
1.1. 角色
角色是可以通过 Red Hat Virtualization Manager 配置的一组预先定义的权利。角色为数据中心中不同级别的资源提供了访问和管理权限。
在一个多层管理系统中,对一个容器对象的权限也适用于包括在这个容器中的所有其它对象。例如,一个特定主机上的用户被分配了主机管理员角色,这个用户将有权限对这个主机进行操作,但没有权限去操作其它主机。而如果一个数据中心中的一个用户被分配了主机管理员角色,则这个用户就可以对数据中心的集群中的所有主机进行操作。
1.1.1. 创建一个新角色
当 Red Hat Virtualization 所提供的默认角色无法满足您的要求时,您可以创建一个新角色并根据具体需要对它进行定制。
过程 1.1. 创建一个新角色
- 在页头条中点配置按钮打开配置窗口。这个窗口会显示所有默认的用户和管理角色,以及自定义的角色。
- 点新建。新建角色对话框被显示。
图 1.2. 新建角色对话框
- 为新角色输入名称和描述。
- 在帐号类型中选择管理员或用户。
- 使用或按钮来显示或隐藏选择复选框以允许操作列表中的对象权限。
- 在每个对象上,选择或取消选择相应的操作来设置用户的权限。
- 点。新角色将出现在角色列表中。
1.1.2. 编辑或复制一个角色
您可以编辑新创建的角色,但不能修改默认的角色。如需修改默认的角色,则需要先克隆它后才可进行修改。
过程 1.2. 编辑或复制一个角色
- 在页头条中点配置按钮打开配置窗口。这个窗口会显示所有默认的用户和管理角色,以及自定义的角色。
- 选择需要修改的角色。点编辑打开编辑角色窗口,或点复制打开复制角色窗口。
- 如果需要,编辑角色的名称和描述。
- 使用或按钮来显示或隐藏所列出对象的权限。您也可以显示或隐藏每个对象的权限。
- 在每个对象上,选择或取消选择相应的操作权限。
- 点。
1.1.3. 用户角色和授权示例
下面的几个示例展示了如何应用本章所介绍的授权机制来实现不同的需求。
例 1.1. 集群权利
Sarah 是某公司财务部门的系统管理员。财务部门的所有虚拟资源都在 Red Hat Virtualization 环境中的一个名为
Accounts 的集群中。Sarah 被分配了这个集群的 ClusterAdmin 角色,这样她就可以管理这个集群中的所有虚拟机。这些管理任务包括编辑、添加和删除虚拟资源以及进行快照。但是,Sarah 没有管理此集群以外资源的权利。另外,因为 ClusterAdmin 是一个管理员角色,所以 Sarah 可以使用管理门户管理这个集群中的资源,但没有使用用户门户访问这些资源的权利。
例 1.2. VM PowerUser 权限
John 是财务部门的一个软件开发人员,他需要使用虚拟机安装并测试他所开发的软件。Sarah 为他创建了一个名为
johndesktop 的虚拟机,并为 John 分配了 johndesktop 虚拟机的 UserVmManager 角色。UserVmManager 这个角色会允许 John 通过用户门户访问这台虚拟机,并可以修改它或为它添加资源(如添加新的虚拟磁盘)。因为 UserVmManager 是一个用户角色,John 将没有权限使用管理门户。
例 1.3. 数据中心 Power User 角色权限
Penelope 是一个办公室行政经理。除了她的本职工作外,Penelope 还会帮助人事经理做一些与招聘相关的工作。这些招聘的工作会需要使用一个特殊的招聘应用程序。
Penelope 有一台专用的计算机,用于处理办公室行政事务。她希望创建一台单独的虚拟机来运行招聘应用。她在新虚拟机所在的数据中心中获得了
PowerUserRole 权限。这是因为,创建虚拟机需要更改数据中心内的一些资源,例如在存储域中创建虚拟磁盘镜像。
请注意,这和为 Penelope 分配
DataCenterAdmin 权限是不同的。作为一个数据中心的 PowerUser,Penelope 可以登录到用户门户,在她所在的数据中心中的虚拟机上进行与虚拟机相关的操作。但是,她不能进行数据中心级的操作(如为数据中心附加主机或存储)。
例 1.4. 网络管理员权限
Chris 是 IT 部门的网络管理员。她的日常工作是为 IT 部门的 Red Hat Virtualization 环境创建、配置、管理和删除网络。进行这些工作需要资源的管理权限,以及每个资源上的网络管理权限。 如果为 Chris 分配了 IT 部门的数据中心的
NetworkAdmin 权利,她就可以在这个数据中心中添加或删除网络,并为这个数据中心中的所有虚拟机添加或删除网络。
Chris 的主要工作是管理公司的虚拟环境,她的手下还有另外一个网络管理员 - Pat。Pat 的任务是管理为内部培训部门创建的一个较小的虚拟环境。Chris 为 Pat 分配了内部培训部门所使用的虚拟机的
VnicProfileUser 和 UserVmManager 权限。因为 Pat 具有了这些权限,他就可以使用用户门户中的扩展标签页来执行一些简单的管理任务,如为虚拟机添加网络接口。但是,他没有权限去改变虚拟机所在主机上的网络,也没有权限去改变虚拟机所在的数据中心上的网络。
例 1.5. 定制角色权限
Rachel 在 IT 部门工作,她的职责是管理 Red Hat Virtualization 环境中的用户帐号。她需要有添加用户账户并为用户分配适当角色和权限的权利。她自己并不使用任何虚拟机,也不需要管理主机、虚拟机、集群和数据中心的权限。Red Hat Virtualization 并没有提供一个自带的角色可以满足 Rachel 的需要,因此需要创建一个自定义的角色来提供 Rachel 所需要的权限。
上面的 定制角色有权利进行与处理用户、权限和角色相关的操作。这些操作包括在图 1.3 “UserManager 定制角色”所显示的最高级别的
图 1.3. UserManager 定制角色
系统下。这意味着这些权限对系统中的所有对象都有效。另外,这个角色的帐号类型被设置为管理员,在 Rachel 被分配了这个角色后,她将可以使用管理门户,而不能使用用户门户。
