第 1 章 全局配置
通过单击
1.1. 角色
角色是可从 Red Hat Virtualization Manager 配置的预定义权限集。角色提供对数据中心中不同级别资源以及特定物理和虚拟资源的访问权限和管理权限。
通过多级管理,适用于容器对象的任何权限也适用于该容器中的所有单个对象。例如,当主机管理员角色分配给特定主机上的用户时,该用户将获得执行任何可用主机操作的权限,但只能在分配的主机上获得。但是,如果主机管理员角色分配给数据中心上的用户,该用户将获得在数据中心集群中的所有主机上执行主机操作的权限。
1.1.1. 创建新角色
如果您需要的角色不在 Red Hat Virtualization 的默认角色列表中,您可以创建新角色并对其进行自定义以满足您的需要。
创建新角色
-
单击
以打开 Configure 窗口。默认情况下会选择 Roles 选项卡,显示默认用户和管理员角色以及任何自定义角色的列表。 - 单击 New。
- 输入新角色的名称和描述。
- 选择 Admin 或 User 作为帐户类型。
- 使用 Expand All 或 Collapse All 按钮,在 Check Boxes to Allow Action 列表中查看所列对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,为您要设置的角色选择或清除您想要允许的操作或拒绝的操作。
- 点击 OK 以应用更改。新角色显示在角色列表中。
1.1.2. 编辑或复制角色
您可以更改已创建角色的设置,但无法更改默认角色。要更改默认角色,请克隆并修改它们以符合您的要求。
编辑或复制角色
-
单击
以打开 Configure 窗口。窗口中显示默认 User 和 Administrator 角色列表,以及任何自定义角色。 - 选择您要更改的角色。单击 Edit 以打开 Edit Role 窗口,或者点击 Copy 以打开 Copy Role 窗口。
- 如有必要,编辑角色的 Name 和 Description。
- 使用 Expand All 或 Collapse All 按钮查看列出对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,选择或清除您希望允许或拒绝您要编辑的角色的操作。
- 单击确定以 应用您所做的更改。
1.1.3. 用户角色和授权示例
以下示例演示了如何使用本章中描述的授权系统的不同功能,针对各种场景应用授权控制。
例 1.1. 集群权限
Sarah 是公司帐户部门的系统管理员。她所在部门的所有虚拟资源都在一个称为 Accounts 的 Red Hat Virtualization 集群。她被分配了 accounts 集群上的 ClusterAdmin 角色。这使她能够管理集群中的所有虚拟机,因为虚拟机是集群的子对象。管理虚拟机包括编辑、添加或删除磁盘等虚拟资源,以及执行快照。这些权限并不允许她管理此集群之外的任何资源。由于 ClusterAdmin 是管理员角色,因此它允许她使用管理门户或虚拟机门户来管理这些资源。
例 1.2. VM PowerUser 权限
John 是财务部门的软件开发人员。他使用虚拟机来构建和测试其软件。Sarah 已为他创建了一个名为 johndesktop 的虚拟桌面。John 被分配了 johndesktop 虚拟机上的 UserVmManager 角色。这允许他使用虚拟机门户访问此单一虚拟机。由于他具有 UserVmManager 权限,因此可以修改虚拟机。由于 UserVmManager 是用户角色,因此不允许他使用管理门户。
例 1.3. 数据中心 Power 用户角色权限
Penelope 是办事处经理。除了她自己的职责外,她偶尔还帮助人力资源经理完成各种任务,如安排访谈和跟进参考检查。根据公司政策,Penelope 需要使用特定的应用程序来完成招聘任务。
虽然 Penelope 拥有自己的机器来执行办公室管理任务,但她希望创建单独的虚拟机来运行该规范应用。为她被分配了新虚拟机的数据中心的 PowerUserRole 权限。这是因为要创建新虚拟机,她需要在数据中心内对多个组件进行更改,包括在存储域中创建虚拟磁盘。
请注意,这与为 Penelope 分配 DataCenterAdmin 权限不同。作为数据中心的 PowerUser,Perenelope 可以登录虚拟机门户,并对数据中心内的虚拟机执行特定于虚拟机的操作。她无法执行数据中心级别的操作,如将主机或存储附加到数据中心。
例 1.4. 网络管理员权限
Chris 担任 IT 部门的网络管理员。她的日常职责包括创建、操作和删除部门 Red Hat Virtualization 环境中的网络。对于她的角色,她需要资源以及每个资源的网络上的管理权限。例如,如果 Chris 对 IT 部门的数据中心具有 NetworkAdmin 权限,她可以在数据中心中添加和删除网络,并为属于数据中心的所有虚拟机附加和分离网络。
例 1.5. 自定义角色权限
Rachel 在 IT 部门工作,负责管理 Red Hat Virtualization 中的用户帐户。她需要添加用户帐户并为它们分配适当的角色和权限的权限。她不会自行使用任何虚拟机,并且不应有权管理主机、虚拟机、集群或数据中心。没有向她提供这一特定权限集的内置角色。必须创建自定义角色,以定义适合 Rachel 位置的权限集合。
图 1.1. UserManager 自定义角色
上面显示的 UserManager 自定义角色允许操作用户、权限和角色。这些步骤在 System 下组织 - 图 1.3 “Red Hat Virtualization 对象层次结构” 中显示的层次结构的顶级对象。这意味着它们应用到系统的所有其他对象。该角色设置为帐户类型为 Admin。这意味着,当她被分配了此角色时,Rachel 可以同时使用管理门户和虚拟机门户。
