6.8. 虚拟机和权限
6.8.1. 管理虚拟机的系统权限
作为 SuperUser,系统管理员需要管理“管理门户”的每个方面。而其它更具体的管理角色,可以分配给其他用户。这些有一定限制的管理员角色可以有效地把相关管理员的权限限制在与他们相关的资源操作中。例如,具有 DataCenterAdmin 角色的用户只有特定数据中心的管理权限;一个具有 ClusterAdmin 角色的用户只有特定集群的管理权限。
UserVmManager 是一个数据中心中的虚拟机的系统管理员。这个角色可以只针对特定虚拟机,也可以针对一个数据中心的,甚至可以针对整个虚拟环境。这使不同的用户来管理不同的虚拟资源成为可能。
具有虚拟机管理员角色的用户可以执行以下操作:
- 创建、编辑和删除虚拟机。
- 运行、暂停、关闭和停止使用虚拟机。
注意
您只能为已经存在的用户分配角色和权限。
许多用户只关心虚拟机资源的使用,因此,Red Hat Virtualization 为这些用户提供了一组特定的角色来管理虚拟机上的特定资源,而不能管理数据中心中的其它资源。
6.8.2. 虚拟机管理员角色介绍
以下表格描述了虚拟机管理员角色,以及他们所具有的权利。
角色 | 权利 | 备注 |
---|---|---|
DataCenterAdmin | 数据中心管理员 | 具有一个特定数据中心中,除了存储以外的所有资源的管理权限。 |
ClusterAdmin | 集群管理员 | 具有一个特定集群中的所有资源的管理权限。 |
NetworkAdmin | 网络管理员 | 具有在一个逻辑网络上进行所有操作的管理权限,并可以配置和管理附加到虚拟机的网络。要在虚拟机网络上配置端口镜像,需要具有所在网络的 NetworkAdmin 角色和所在虚拟机的 UserVmManager 角色。 |
6.8.3. 虚拟机用户角色介绍
以下表格描述了虚拟机用户的角色和权限。这些角色有权限使用"用户门户"来访问和管理虚拟机,但没有使用"管理门户"的权限。
角色 | 权利 | 备注 |
---|---|---|
UserRole | 可以访问和使用虚拟机和池。 | 可以登录到用户门户并使用虚拟机和池。 |
PowerUserRole | 可以创建和管理虚拟机和模板。 | 使用配置窗口为用户在整个环境、特定数据中心或集群中分配这个角色。例如,如果一个 PowerUserRole 角色在数据中心级上被分配,PowerUser 就可以在这个数据中心上创建虚拟机和模板。PowerUserRole 角色相当于具有了 VmCreator、DiskCreator 和 TemplateCreator 的角色。 |
UserVmManager | 一个虚拟机的系统管理员 | 可以管理虚拟机、创建并使用快照。当一个用户通过用户门户创建了一个虚拟机,这个用户将自动具有那台虚拟机的 UserVmManager 角色。 |
UserTemplateBasedVm | 只有使用模板的权利。 | 有权利使用模板创建虚拟机。 |
VmCreator | 可以通过用户门户创建虚拟机。 | 这个角色不针对于一个特定的虚拟机,使用配置窗口来在整个环境的范围上为用户分配这个角色。如果您在一个集群的范围内使用这个角色,您还需要在这个数据中心范围或特定的存储域上分配 DiskCreator 角色。 |
VnicProfileUser | 虚拟机的逻辑网络和网络接口用户 | 如果在创建逻辑网络时选择了允许所有用户使用这个网络选项,VnicProfileUser 权限会被分配给这个逻辑网络中的所有用户。具有这个角色的用户可以把虚拟机网络接口添加到逻辑网络中,也可以从逻辑网络接口中删除虚拟机网络接口。 |
6.8.4. 为虚拟机分配用户
当您为其它用户创建虚拟机后,您还需要在那些虚拟机上为用户分配用户角色,否则用户将无法使用新建的虚拟机。请注意,权限只能分配给已经存在的用户。请参阅 Red Hat Virtualization 管理指南中的用户和角色 章节,了解与创建用户帐户相关的详细信息。
用户门户支持三个默认的角色:User、PowerUser 和 UserVmManager,自定义的角色可以通过管理门户进行配置。以下介绍了默认的角色。
- User 可以连接并使用虚拟机。这个角色适用于一般用户执行日常的操作。
- PowerUser 可以创建虚拟机并查看虚拟资源。这个角色适用于系统管理员或需要为员工分配资源的经理。
- UserVmManager 可以编辑和删除虚拟机,分配用户权限,使用快照并使用模板。这个角色适用于需要修改虚拟环境配置的用户。
当您创建一个虚拟机的时候,将自动继承 UserVmManager 的权限。它的权限包括编辑虚拟机、为您所管理的用户分配权限、为 Identity Management (IdM) 组或 RHDS 组中的用户分配权限。详情请参阅管理指南 。
过程 6.9. 为用户分配权限
- 点虚拟机标签页并选择一个虚拟机。
- 点详情框中的权限标签页。
- 点。
- 在搜索框中输入一个名称、用户名或它们的一部分后点 。一组可能的匹配列表会出现在结果列表中。
- 选择要分配权限的用户。
- 从要分配的角色:下拉列表中选择 UserRole。
- 点。
可以访问这个虚拟机的用户的用户名和角色被显示。
注意
如果一个用户只被分配了访问一个虚拟机的权限,则可以为这个虚拟机设置单点登录(single sign-on,简称 SSO)。如果配置了单点登录,当用户登录到用户门户后,如需连接到虚拟机(例如通过 SPICE 控制台),则不再需要重新输入用户名和密码。每个虚拟机的单点登录功能都可以被单独启用或禁用(请参阅 第 4.1 节 “为虚拟机配置单点登录”)。
6.8.5. 删除用户的虚拟机访问权限
过程 6.10. 删除用户的虚拟机访问权限
- 点虚拟机标签页并选择一个虚拟机。
- 点详情框中的权限标签页。
- 点。一个删除确认窗口会出现,您需要确认是否要进行权限删除操作。
- 点删除所选的权限;点 则会终止这个操作。