1.2. 系统权限
用户需要权限来对对象(可以是独立的对象,也可以是容器对象)进行操作。
图 1.4. 权限和角色
对容器对象有效的权限同样对这个容器中所包括的对象有效。以下是系统中的对象分级结构示意图。
图 1.5. Red Hat Virtualization 对象的分级结构
1.2.1. 用户属性
角色和权限是用户所具有的属性。角色是预先定义的一组可以访问不同级别的物理和虚拟资源的权利。多层的管理机制提供了一个"细颗粒(finely grained)"的权限分级结构。例如,一个数据中心的管理员可以管理这个数据中心中的所有对象,而一个主机管理员只有对这个物理主机的管理权限。一个用户可以有权限使用一个虚拟机,但没有权限为虚拟机的设置进行任何改变;而另一个用户可以有权限来配置一个虚拟机。
1.2.2. 用户角色和管理员角色
Red Hat Virtualization 提供了一组预先配置好的角色,这些角色的权限从具有整个系统级别的管理员权限,到只能访问一个独立虚拟机的最终用户权限。您无法改变或删除系统默认的角色,但您可以克隆它们后再修改新的角色,或根据需求创建新的角色。角色被分为两类:
- 管理员角色:可以通过访问管理门户来管理物理资源和虚拟资源。
- 用户角色:可以通过访问用户门户来管理和访问虚拟机和模板。
例如,您具有一个集群上的
管理员角色,您可以通过管理门户管理这个集群中的所有虚拟机。但是,您不能通过用户门户来访问集群中的任何虚拟机,因为这需要用户角色。
1.2.3. 用户角色介绍
下表描述了可以通过用户门户访问和配置虚拟机的基本用户角色。
| 角色 | 权利 | 注记 |
|---|---|---|
| UserRole | 可以访问虚拟机和虚拟机池。 | 可以登录到用户门户,使用被分配的虚拟机和虚拟机池,查看虚拟机的状态和详细信息。 |
| PowerUserRole | 可以创建和管理虚拟机和模板。 | 使用配置窗口为用户在整个环境或特定数据中心或集群中分配这个角色。例如,如果一个 PowerUserRole 角色在数据中心级上被分配,具有这个角色的用户就可以在这个数据中心上创建虚拟机和模板。 |
| UserVmManager | 一个虚拟机的系统管理员。 | 可以管理虚拟机、创建并使用快照。当一个用户通过用户门户创建了一个虚拟机,这个用户将自动具有那台虚拟机的 UserVmManager 角色。 |
下表介绍了高级用户角色,使用这些角色可以更精确地控制用户通过用户门户访问资源的权限。
| 角色 | 权利 | 注记 |
|---|---|---|
| UserTemplateBasedVm | 只有与使用模板相关的权限。 | 可以使用模板创建虚拟机。 |
| DiskOperator | 虚拟磁盘用户。 | 可以使用、创建和编辑虚拟磁盘,并可以继承附加了这个虚拟磁盘的虚拟机的使用权限。 |
| VmCreator | 可以通过用户门户创建虚拟机。 | 这个角色不针对于一个特定的虚拟机,使用配置窗口来在整个环境的范围上为用户分配这个角色。另外,您也可以为特定的数据中心或集群分配这个角色。如果您在一个集群范围内分配了这个角色,您还必须在这个数据中心范围或特定的存储域上分配 DiskCreator 角色。 |
| TemplateCreator | 可以在被分配的资源中创建、编辑、管理和删除虚拟机模板。 | 这个角色应用于整个环境,而不是一个特定的模板,使用配置窗口来为用户分配这个角色。另外,还可以把这个角色应用到特定的数据中心、集群或存储域中。 |
| DiskCreator | 可以在分配的集群或数据中心中创建、编辑、管理和删除虚拟磁盘。 | 这个角色应用于整个环境,而不是一个特定的磁盘,使用配置窗口来为用户分配这个角色。另外,还可以把这个角色应用到特定的数据中心、集群或存储域中。 |
| TemplateOwner | 可以编辑和删除模板,为模板分配和管理用户权限。 | 创建模板的用户会被自动分配这个角色。没有模板的 TemplateOwner 角色的用户将无法查看或使用这个模板。 |
| VnicProfileUser | 虚拟机和模板的逻辑网和网络接口用户 | 可以为特定的逻辑网络添加或删除网络接口。 |
1.2.4. 管理员角色介绍
下表描述了可以通过管理门户访问和配置资源的基本管理员角色。
| 角色 | 权利 | 备注 |
|---|---|---|
| SuperUser | Red Hat Virtualization 环境的系统管理员。 | 具有访问所有对象的权限并可以管理所有数据中心中的全部对象。 |
| ClusterAdmin | 集群管理员。 | 具有一个特定集群下的所有资源的管理权限。 |
| DataCenterAdmin | 数据中心管理员。 | 具有一个特定数据中心中除了存储以外的所有资源的管理权限。 |
重要
您需要在目录管理服务器上单独创建一个用户作为 Red Hat Virtualization 的管理员,而不要使用目录服务器本身的管理员作为 Red Hat Enterprise Virtualization 的管理员。
下表介绍了高级管理员角色,使用这些角色可以更精确地控制用户通过管理门户访问资源的权限。
| 角色 | 权利 | 备注 |
|---|---|---|
| TemplateAdmin | 虚拟机模板的管理员。 | 可以创建、删除和配置模板中的存储域和网络,并可以在不同域间移动模板。 |
| StorageAdmin | 存储管理员。 | 可以创建、删除、配置和管理一个被分配的存储域。 |
| HostAdmin | 主机管理员。 | 可以附加、删除、配置和管理一个特定的主机。 |
| NetworkAdmin | 网络管理员。 | 可以配置和管理一个特定数据中心或集群中的网络。一个数据中心或集群的网络管理员同时也继承了这个数据中心或集群中的虚拟机上的网络权限。 |
| VmPoolAdmin | 虚拟机池的系统管理员。 | 可以创建、删除和配置一个虚拟机池;添加和删除池用户;在池中的虚拟机上进行基本的操作。 |
| GlusterAdmin | Gluster 存储管理员。 | 可以创建、删除、配置和管理 Gluster 存储域。 |
| VmImporterExporter | 虚拟机的导入和导出管理员。 | 可以导入并导出虚拟机。可以查看由其它用户导出的所有虚拟机和模板。 |
