Red Hat Training

A Red Hat training course is available for Red Hat Virtualization

第1章 グローバル設定

管理ポータルのヘッダーバーからアクセスすると、Configure ウィンドウで、ユーザー、ロール、システムパーミッション、スケジューリングポリシー、インスタンスタイプ、MAC アドレスプールなどの Red Hat Virtualization 環境用に多数のグローバルリソースを設定できます。このウィンドウでは、ユーザーが環境のリソースと対話する方法をカスタマイズし、複数のクラスターに適用できるオプションを設定する一元的な場所を提供します。

図1.1 Configure ウィンドウへのアクセス

Configure ウィンドウへのアクセス

1.1. ロール

ロールは、Red Hat Virtualization Manager から設定できる事前定義された権限のセットです。ロールは、データセンター内の異なるレベルのリソースや、特定の物理リソースおよび仮想リソースに対するアクセスおよび管理のパーミッションを提供します。
マルチレベル管理では、コンテナーオブジェクトに適用されるパーミッションは、そのコンテナー内のすべての個別オブジェクトにも適用されます。たとえば、特定のホスト上のユーザーにホスト管理者ロールが割り当てられた場合、そのユーザーは利用可能なホスト操作のいずれかを実行する権限を得ますが、割り当てられたホスト上でのみ実行できます。ただし、ホスト管理者ロールがデータセンターのユーザーに割り当てられている場合、ユーザーはデータセンターのクラスター内の全ホストでホスト操作を実行するパーミッションを取得します。

1.1.1. 新しいロールの作成

必要なロールが Red Hat Virtualization のデフォルトロールリストにない場合は、新しいロールを作成して、目的に合わせてカスタマイズできます。

手順1.1 新しいロールの作成

  1. ヘッダーバーで Configure ボタン クリックして Configure ウィンドウを開きます。ウィンドウには、デフォルトの User および Administrator ロールのリストとカスタムロールが表示されます。
  2. New をクリックします。New Role ダイアログボックスが表示されます。

    図1.2 新規ロールダイアログ

    新規ロールダイアログ
  3. 新規ロールの Name および Description を入力します。
  4. Account Type として Admin または User を選択します。
  5. Expand All または Collapse All ボタンを使用して、Check Boxes to Allow Action リストに記載されているオブジェクトのパーミッションを増減します。また、各オブジェクトのオプションを展開したり、折りたたんだりすることもできます。
  6. それぞれのオブジェクトについて、設定しているロールを許可または拒否するアクションを選択または消去します。
  7. OK をクリックして、加えた変更を適用します。ロールの一覧に新しいロールが表示されます。

1.1.2. ロールの編集またはコピー

作成したロールの設定を変更できますが、デフォルトのロールを変更することはできません。デフォルトのロールを変更するには、そのロールのクローンを作成して、要件に合わせて変更します。

手順1.2 ロールの編集またはコピー

  1. ヘッダーバーで Configure ボタン クリックして Configure ウィンドウを開きます。ウィンドウには、デフォルトの User および Administrator ロールのリストとカスタムロールが表示されます。
  2. 変更するロールを選択します。Edit をクリックして Edit Role ウィンドウを開くか、Copy をクリックして Copy Role ウィンドウを開きます。
  3. 必要に応じて、ロールの Name および Description を編集します。
  4. Expand All または Collapse All ボタンを使用して、一覧表示されたオブジェクトのパーミッションの表示を拡大または縮小します。また、各オブジェクトのオプションを展開したり、折りたたんだりすることもできます。
  5. それぞれのオブジェクトについて、編集するロールを許可または拒否するアクションを選択または消去します。
  6. OK をクリックして、加えた変更を適用します。

1.1.3. ユーザーロールと承認の例

以下の例は、本章で説明する承認システムの異なる機能を使用して、さまざまなシナリオに対して承認制御を適用する方法を示しています。

例1.1 クラスターパーミッション

Sarah は、ある企業の経理部門のシステム管理者です。各部署のすべての仮想リソースは、Accounts と呼ばれる Red Hat Virtualization クラスター の下に編成されています。アカウントクラスターで ClusterAdmin ロールが割り当てられています。これにより、仮想マシンはクラスターの子オブジェクトであるため、彼女はクラスター内のすべての仮想マシンを管理できます。仮想マシンの管理には、ディスクなどの仮想リソースの編集、追加、削除、およびスナップショットの作成などが含まれます。このクラスターの外部にあるリソースを管理することはできません。ClusterAdmin は管理者ロールであるため、管理ポータルを使用してこれらのリソースを管理できますが、ユーザーポータルからのアクセスは付与されません。

例1.2 VM PowerUser パーミッション

John は、経理部のソフトウェア開発者です。彼は仮想マシンを使用してソフトウェアを構築し、テストします。Sarah は、John に johndesktop という仮想デスクトップを作成しました。John には、johndesktop 仮想マシンの UserVmManager ロールが割り当てられています。これにより、ユーザーポータルを使用してこの単一の仮想マシンにアクセスできます。UserVmManager のパーミッションを持っているため、新しい仮想ディスクなど、仮想マシンを変更してリソースを追加できます。UserVmManager はユーザーロールであるため、管理ポータルを使用できません。

例1.3 データセンターパワーユーザーロールパーミッション

Penelope はオフィスマネージャーです。自分の仕事に加えて、面接の日程調整やリファレンスチェックのフォローアップなど、人事マネージャーの採用業務を手伝うこともあります。会社の方針により、Penelope は採用業務に特定のアプリケーションを使用する必要があります。
Penelope はオフィス管理用に自分のマシンを持っていますが、採用アプリケーションを実行するために別の仮想マシンを作成したいと考えています。新しい仮想マシンが存在するデータセンターの PowerUserRole パーミッションが割り当てられています。これは、新しい仮想マシンを作成するため、ストレージドメインでの仮想ディスクイメージの作成など、データセンター内の複数のコンポーネントに変更を加える必要があるためです。
これは、Penelope に DataCenterAdmin 権限を割り当てることとは異なります。データセンターの PowerUser として、Penelope は User Portal にログインし、データセンター内の仮想マシン固有のアクションを実行できます。彼女は、ホストまたはストレージをデータセンターに割り当てるなど、データセンターレベルの操作を実行できません。

例1.4 ネットワーク管理者のパーミッション

Chris は、IT 部門のネットワーク管理者です。その日常的な責任として、部署の Red Hat Virtualization 環境でのネットワークの作成、操作、および削除が含まれます。彼女には、リソースおよび各リソースのネットワークにおける管理者権限が必要です。たとえば、Chris が IT 部署のデータセンターの NetworkAdmin 権限を持っている場合、データセンター内のネットワークを追加および削除したり、データセンターに属するすべての仮想マシンのネットワークをアタッチおよびデタッチできます。
会社の仮想化インフラストラクチャーのネットワークを管理する以外に、Chris には、その企業の仮想化インフラストラクチャーのネットワーク管理者もレポートします。Junior ネットワーク管理者である Pat は、会社の内部トレーニング部門向けに小規模な仮想化環境を管理しています。Chris には、内部トレーニング部門が使用する仮想マシンの Pat VnicProfileUser パーミッションと UserVmManager パーミッションが割り当てられています。これらのパーミッションを使用すると、Pat はユーザーポータルの Extended タブでネットワークインターフェイスを仮想マシンに追加するなどの簡単な管理タスクを実行できます。ただし、仮想マシンを実行するホストのネットワークや、仮想マシンが属するデータセンターのネットワークを変更するパーミッションがありません。

例1.5 カスタムロールパーミッション

レイチェルは IT 部門に所属し、Red Hat Virtualization のユーザーアカウント管理を担当しています。彼女には、ユーザーアカウントを追加し、適切なロールおよびパーミッションを割り当てる権限が必要です。彼女自身は仮想マシンを使用せず、ホスト、仮想マシン、クラスター、データセンターの管理にアクセスしてはいけません。彼女にこのような特定のパーミッションを与える組み込みのロールはありません。Rachel の位置に適したパーミッションセットを定義するために、カスタムロールを作成する必要があります。

図1.3 UserManager カスタムロール

UserManager カスタムロール
上記の UserManager カスタムロールは、ユーザー、パーミッション、およびロールの操作を許可します。これらのアクションは、図1.3「UserManager カスタムロール」 に示されている階層の最上位オブジェクトである System の下に整理されています。これは、システム内のすべてのオブジェクトに適用されることを意味します。ロールの Account TypeAdmin に設定されます。つまり、このロールが割り当てられている場合、Rachel はユーザーポータルではなく管理ポータルのみを使用できます。