第 1 章 全局配置
通过管理门户中的标题栏访问,Config Config 窗口允许您为 Red Hat Virtualization 环境配置多个全局资源,如用户、角色、系统权限、调度策略、实例类型和 MAC 地址池。此窗口允许您自定义用户与环境中资源交互的方式,并为配置可应用到多个集群的选项提供一个中央位置。
图 1.1. 访问 Configure 窗口
1.1. 角色
角色是可从 Red Hat Virtualization Manager 配置的预定义权限集。角色提供对数据中心中不同级别资源以及特定物理和虚拟资源的访问权限和管理权限。
通过多级管理,适用于容器对象的任何权限也适用于该容器中的所有单个对象。例如,当主机管理员角色分配给特定主机上的用户时,该用户将获得执行任何可用主机操作的权限,但只能在分配的主机上获得。但是,如果主机管理员角色分配给数据中心上的用户,该用户将获得在数据中心集群中的所有主机上执行主机操作的权限。
1.1.1. 创建新角色
如果您需要的角色不在 Red Hat Virtualization 的默认角色列表中,您可以创建一个新角色并自定义它以满足您的需要。
过程 1.1. 创建新角色
- 在标题栏中,单击 配置 按钮以打开 Configure 窗口。窗口中显示默认用户和管理员角色以及任何自定义角色的列表。
- 单击新建。这时将显示 New Role 对话框。
图 1.2. 新角色对话框
- 输入新角色 的名称和描述 。
- 选择 Admin 或 User 作为 帐户类型。
- 使用 或 按钮,查看 Check Boxes to Allow Action 列表中所列对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,选择或清除您希望允许或拒绝您要设置的角色的操作。
- 单击 以应用您所做的更改。新角色显示在角色列表中。
1.1.2. 编辑或复制角色
您可以更改已创建角色的设置,但无法更改默认角色。要更改默认角色,请克隆并修改它们以符合您的要求。
过程 1.2. 编辑或复制角色
- 在标题栏中,单击 配置 按钮以打开 Configure 窗口。窗口中显示默认用户和管理员角色以及任何自定义角色的列表。
- 选择您要更改的角色。点击 Edit 以打开 Edit Role 窗口,或者点击 Copy 打开 Copy Role 窗口。
- 如有必要,编辑角色的 Name 和 Description。
- 使用 或 按钮查看列出对象的一个或多个权限。您还可以扩展或折叠每个对象的选项。
- 对于每个对象,选择或清除您希望允许或拒绝您要编辑的角色的操作。
- 单击 以应用您所做的更改。
1.1.3. 用户角色和授权示例
以下示例演示了如何使用本章中描述的授权系统的不同功能,针对各种场景应用授权控制。
例 1.1. 集群权限
Sarah 是公司帐户部门的系统管理员。她所在部门的所有虚拟资源都在一个称为
帐户 的 Red Hat Virtualization 集群 下进行组织。她被分配了 accounts 集群上的 ClusterAdmin 角色。这使她能够管理集群中的所有虚拟机,因为虚拟机是集群的子对象。管理虚拟机包括编辑、添加或删除磁盘等虚拟资源,以及执行快照。这些权限并不允许她管理此集群之外的任何资源。由于 ClusterAdmin 是管理员角色,因此它允许她使用管理门户来管理这些资源,但不通过开发人员门户授予任何访问权限。
例 1.2. VM PowerUser 权限
John 是财务部门的软件开发人员。他使用虚拟机来构建和测试其软件。Sarah 已为他创建了一个名为
johndesktop 的虚拟桌面。John 被分配了 johndesktop 虚拟机上的 UserVmManager 角色。这允许他使用开发人员门户访问此单一虚拟机。由于他具有 UserVmManager 权限,因此可以修改虚拟机并为其添加资源,如新的虚拟磁盘。由于 UserVmManager 是用户角色,因此不允许他使用管理门户。
例 1.3. 数据中心 Power 用户角色权限
Penelope 是办事处经理。除了她自己的职责外,她偶尔还帮助人力资源经理完成各种任务,如安排访谈和跟进参考检查。根据公司政策,Penelope 需要使用特定的应用程序来完成招聘任务。
虽然 Penelope 拥有自己的机器来执行办公室管理任务,但她希望创建单独的虚拟机来运行该规范应用。为她被分配了新虚拟机的数据中心的
PowerUserRole 权限。这是因为要创建新虚拟机,她需要更改数据中心内的几个组件,包括在存储域中创建虚拟磁盘镜像。
请注意,这与为 Penelope 分配
DataCenterAdmin 权限不同。作为数据中心的 PowerUser,Penenelope 可以登录到客户门户网站,并对数据中心内的虚拟机执行特定于虚拟机的操作。她无法执行数据中心级别的操作,如将主机或存储附加到数据中心。
例 1.4. 网络管理员权限
Chris 担任 IT 部门的网络管理员。她的日常职责包括创建、操作和删除部门 Red Hat Virtualization 环境中的网络。对于她的角色,她需要资源以及每个资源的网络上的管理权限。例如,如果 Chris 对 IT 部门的数据中心具有
NetworkAdmin 权限,她可以在数据中心中添加和删除网络,并为属于数据中心的所有虚拟机附加和分离网络。
除了管理公司虚拟化基础架构的网络之外,Chris 还会将初级网络管理员报告给她。初级网络管理员 Pat 是为公司内部培训部门管理更小的虚拟化环境。Chris 已为内部培训部门使用的虚拟机分配了 Pat
VnicProfileUser 权限和 UserVmManager 权限。通过这些权限,Pat 可以执行简单的管理任务,如在用户门户 的扩展 选项卡中向虚拟机添加网络接口。但是,他没有改变运行虚拟机的主机的网络或虚拟机所属的网络上的网络的权限。
例 1.5. 自定义角色权限
Rachel 在 IT 部门工作,负责管理 Red Hat Virtualization 中的用户帐户。她需要添加用户帐户并为它们分配适当的角色和权限的权限。她不会自行使用任何虚拟机,并且不应有权管理主机、虚拟机、集群或数据中心。没有向她提供这一特定权限集的内置角色。必须创建一个自定义角色,以定义适合 Rachel 位置的权限集合。
上面显示的 自定义角色允许操作用户、权限和角色。这些操作在
图 1.3. UserManager 自定义角色
System 下组织 - 图 1.3 “UserManager 自定义角色” 中显示的层次结构的顶级对象。这意味着它们应用到系统的所有其他对象。该角色设置为帐户 类型为 Admin。这意味着,当她被分配了此角色时,Rachel 只能使用管理门户,而不能使用管理门户。
