第1章 グローバルの設定

管理ポータルのヘッダーバーから 設定 ボタンをクリックしてウィンドウを開くと、ユーザー、ロール、システム権限、スケジューリングポリシー、インスタンスタイプ、MAC アドレスプールなどの Red Hat Virtualization 環境のさまざまなグローバルリソースを設定することができます。このウィンドウで、ユーザーが環境内のリソースと対話する方法をカスタマイズすることが可能です。また、複数のクラスターに適用できるオプションを一元的に設定する場所が提供されます。
Accessing the Configure window

図1.1 設定ウィンドウへのアクセス

1.1. ロール

ロールとは、Red Hat Virtualization Manager から設定することが可能な、事前定義済みの権限セットです。ロールは、データセンター内の異なるレベルのリソース、特定の物理/仮想リソースに対するアクセスと管理のパーミッションを提供します。
マルチレベルの管理では、コンテナーオブジェクトに適用されるパーミッションは、そのコンテナー内の個々のオブジェクトすべてに適用されます。たとえば、特定のホストを対象とするホスト管理者ロールがユーザーに割り当てられると、そのユーザーには、割り当てられたホストのみに対して、使用できるすべてのホスト操作を実行するパーミッションが付与されます。一方、データセンターを対象とするホスト管理者ロールが割り当てられると、そのユーザーには、データセンターのクラスター内の全ホストに対してホスト操作を実行するパーミッションが付与されます。

1.1.1. 新規ロールの作成

必要とするロールが Red Hat Virtualization のデフォルトロール一覧にない場合には、新規ロールを作成し、目的に応じてカスタマイズすることができます。

手順1.1 新規ロールの作成

  1. ヘッダーバーで 設定 ボタンをクリックすると 設定 ウィンドウが開きます。このウィンドウには、デフォルトのユーザー/管理者ロールとカスタムロールの一覧が表示されます。
  2. 新規作成 をクリックすると 新規ロール のウィンドウが開きます。
    新規ロールのウィンドウ

    図1.2 新規ロールのウィンドウ

  3. 新規ロールの 名前説明 を入力します。
  4. アカウントタイプ管理者 または ユーザー のいずれかを選択します。
  5. 操作を許可するチェックボックス の一覧に表示されているオブジェクトに対するパーミッションは、すべてを展開 または すべてを折りたたむ ボタンを使用して表示を展開または折りたたむことができます。また、オブジェクト別にオプションを展開または折りたたむことも可能です。
  6. オブジェクト別に、設定中のロールで許可するアクションにはチェックを入れ、許可しないアクションからはチェックを外します。
  7. OK をクリックして、変更を適用します。ロールの一覧に新規ロールが表示されます。

1.1.2. ロールの編集とコピー

自分で作成したロールの設定は変更することができますが、デフォルトのロールは変更できません。デフォルトのロールを変更するには、そのデフォルトのロールをコピーしてから、コピーしたロールを要件に応じて変更してください。

手順1.2 ロールの編集とコピー

  1. ヘッダーバーで 設定 ボタンをクリックすると 設定 ウィンドウが開きます。このウィンドウには、デフォルトのユーザー/管理者ロールとカスタムロールの一覧が表示されます。
  2. 変更するロールを選択し、編集 をクリックすると ロールの編集 ウィンドウが開きます。また、コピー をクリックすると、ロールのコピー ウィンドウが開きます。
  3. 必要な場合には、ロールの 名前説明 を編集します。
  4. 一覧表示されているオブジェクトに対するパーミッションは、すべてを展開 または すべてを折りたたむ のボタンを使用して表示を展開または折り畳むことができます。また、オブジェクト別にオプションを展開または折り畳むことも可能です。
  5. オブジェクト別に、編集中のロールで許可するアクションにはチェックを入れ、許可しないアクションからはチェックを外します。
  6. OK をクリックして、変更を適用します。

1.1.3. ユーザーロールと認証の例

以下の例では、本章で説明する認証システムの多様な機能を使用して、さまざまなシナリオで認証管理を適用する方法について説明します。

例1.1 クラスターのパーミッション

Sarah は、ある企業の経理部門のシステム管理者です。この部門の全仮想リソースは、Accounts という名前の Red Hat Virtualization クラスターにまとめられています。Sarah は、このクラスターの ClusterAdmin ロールを割り当てられました。仮想マシンはクラスターの子オブジェクトであるため、クラスター内の全仮想マシンを管理できるようになります。仮想マシンの管理には、ディスクなどの仮想リソースの編集/追加/削除や、スナップショットの作成などが含まれますが、このクラスター外のリソースは一切管理できません。ClusterAdmin は管理者ロールなので、管理ポータルを使用してこれらのリソースを管理できますが、ユーザーポータルを介したアクセスは一切提供されません。

例1.2 VM PowerUser のパーミッション

John は経理部門のソフトウェア開発者です。仮想マシンを使用してソフトウェアの構築やテストを行います。Sarah は John に johndesktop という仮想デスクトップを作成しました。John には、johndesktop 仮想マシンに対する UserVmManager ロールが割り当てられました。これによって、John は、ユーザーポータルを使用してこの 1 台の仮想マシンにアクセスすることができます。UserVmManager のパーミッションがあるので、仮想マシンの設定を変更したり、新規仮想ディスクなどのリソースを追加したりすることができます。UserVmManager はユーザーロールであるため、管理ポータルは使用できません。

例1.3 データセンターパワーユーザーロールのパーミッション

Penelope はオフィスマネージャーです。自分の責務以外に、人事部マネージャーの人事関連の業務を手伝って、面接の日取りを決めたり、身元照会の追跡調査を行ったりすることもあります。Penelope がこのような人事関連の業務を行う際には、会社の方針に従って、特定のアプリケーションを使用する必要があります。
Penelope にはオフィス管理業務用に自分のマシンがありますが、人事関連のアプリケーションを実行するためにもう 1 台別のマシンを必要としています。Penelope には、新たに提供されるマシンが属するデータセンターに対する PowerUserRole パーミッションが割り当てられました。新規仮想マシンを作成する際には、ストレージドメイン内での仮想ディスクイメージ作成など、そのデータセンター内のいくつかのコンポーネントに変更を加える必要があるためです。
これは、DataCenterAdmin の権限を Penelope に割り当てるのとは異なる点に注意してください。Penelope はデータセンターの PowerUser としてユーザーポータルにログインし、そのデータセンター内の仮想マシンに対して仮想マシン固有のアクションを実行することができますが、データセンターへのホストやストレージのアタッチなど、データセンターレベルの操作は実行できません。

例1.4 ネットワーク管理者のパーミッション

Chris は IT 部門のネットワーク管理者として勤めています。日常業務には、その IT 部門の Red Hat Virtualization 環境内にあるネットワークの作成/操作/削除などが含まれます。Chris の役割には、リソースおよび各リソースのネットワークに対する管理者の権限が必要です。たとえば、IT 部門のデータセンターに対する NetworkAdmin の権限があると、そのデータセンター内でのネットワークの追加/削除や、そのデータセンターに属する全仮想マシン用のネットワークのアタッチ/デタッチが可能です。
Chris は、この会社の仮想インフラストラクチャーのネットワークの管理に加えて、下級ネットワーク管理者の部下を 1 人監督しています。部下は、Pat という名前で、同社の社内研修部門用の小規模な仮想化環境を管理しています。Chris は、社内研修部門で使用する仮想マシンに対する VnicProfileUser パーミッションと UserVmManager パーミッションを Pat に付与しました。Pat はこれらのパーミッションを使用して、ユーザーポータル の 拡張 タブで、仮想マシンへのネットワークインターフェース追加など、簡単な管理タスクを実行することができますが、仮想マシンを実行しているホストのネットワークや、仮想マシンが属するデータセンターのネットワークを変更するパーミッションはありません。

例1.5 カスタムロールのパーミッション

Rachel は、IT 部門に勤めており、Red Hat Virtualization 内のユーザーアカウントを管理する責務を担っています。Rachel には、ユーザーアカウントを追加して、適切なロールとパーミッションを割り当てるためのパーミッションが必要です。自分では仮想マシンは使用しておらず、ホスト、仮想マシン、クラスター、データセンターの管理アクセスは必要はありません。このような特定のパーミッションセットを提供する既成のロールはありません。Rachel の立場に適したパーミッションセットを定義するには、カスタムロールを作成する必要があります。
UserManager のカスタムロール

図1.3 UserManager のカスタムロール

上記に示した UserManager カスタムロールでは、ユーザー、パーミッション、ロールの操作ができます。 これらの操作は、図1.3「UserManager のカスタムロール」 に示した階層の最上位のオブジェクトである システム 下にまとめられており、システム内のその他すべてのオブジェクトに適用されることになります。ロールには、管理者アカウントタイプ が指定されています。これにより、Rachel がこのロールを割り当てられると、管理ポータルは使用できますが、ユーザーポータルは使用できないことになります。