查看并管理系统清单

Red Hat Insights 1-latest

使用清单组来组织系统清单并管理用户访问权限

Red Hat Customer Content Services

摘要

本文档可帮助 Insights for Red Hat Enterprise Linux 用户将其系统清单组织到逻辑组,并控制用户对系统的访问。
红帽承诺替换我们的代码、文档和网页属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息

第 1 章 清单组

清单组允许您选择特定的系统并将其分组在一起。您可以查看和管理单个清单组和每个组的系统成员资格。另外,您可以根据组在应用程序间过滤您的系统列表。您还可以管理用户对特定清单组的访问权限,以增强安全性。

清单组有以下特征:

  • 清单组仅适用于系统。
  • 清单组无法添加为另一个清单组的子组。
  • 每个系统只能 属于一个 清单组。
  • 不强制使用清单组;没有分配给特定组的系统可以保持未分配。

1.1. 对清单组的用户访问权限

清单组支持基于角色的访问控制(RBAC)。使用 RBAC 可让您根据用户角色在清单组中设置自定义权限。

清单组管理员角色允许创建清单组。此角色自动包含在 Default 管理员访问组中,且无法从它中删除。但是,具有此角色的用户可以修改任何清单组。仅向有权访问整个系统清单的用户提供此角色。

要使用户可以使用清单组和 RBAC 限制对特定系统的访问权限,该用户必须是 Default admin 访问权限组的成员,或者同时具有清单组管理员和 User Access 管理员角色。

清单组用户具有组级 RBAC 权限。自定义权限包括:

  • Inventory: groups: read

    • 查看组详情页面
  • Inventory: groups: write

    • 重命名组
    • 将系统添加到组中
  • 从组中删除系统
注意

在没有 inventory: hosts: read permissions 的情况下,用户无法查看组中的系统。

系统用户具有系统级 RBAC 权限。它们可以执行以下清单组操作:

  • 清单主机读取

    • 查看清单组中的所有系统及其详情,或者查看未分组的系统
    • 查看其他 Insights 服务的系统信息
  • 清单主机写入

    • 重命名系统
    • 删除系统

1.1.1. 使用清单组管理用户访问权限

注意

如果您没有清单组的访问权限,进入 Inventory &gt ; Groups 会显示 所需的消息清单组访问权限

请注意,您仍然可以查看分配给您具有读取权限的系统的清单组名称,即使您没有组本身的访问权限。要查看包含系统的 Inventory 组,您需要分配 Inventory Group Viewer 角色或清单组视图权限。

重要

在对 RBAC 配置进行更改前,请查看 User Scenarios 部分中的已知限制列表。

有关管理用户访问权限、分配角色和将成员添加到用户访问组的更多信息,请参阅基于角色的访问控制(RBAC)的用户访问配置指南

1.2. 用户场景

本节包含两种说明清单组功能的场景。这些场景采用流程格式,以便您可以按照所需步骤并在需要时对其进行测试。

1.2.1. 场景 1:两个不同的 IT 团队必须使用 Insights 管理其系统

在这种情况下,两个不同的 IT 团队为同一公司工作,在其红帽帐户中共享相同的 Insights 组织。

  • 每个 IT 团队都必须对 Red Hat Hybrid Cloud Console 中的系统进行完全控制,但应该无法查看或修改属于其他团队的系统。
  • 同一团队中的所有用户对其清单组及其系统上具有相同的访问权限级别。可以根据需要调整访问级别。
  • 两个 IT 团队的常规用户将无法查看或修改不属于任何清单组的系统。
  • 机构管理员或具有清单组管理员和清单主机管理员角色的任何人都可以访问整个清单。没有这些角色的任何其他用户都无法访问整个清单。

1.2.1.1. 初始阶段

默认情况下,Red Hat Hybrid Cloud Console 上的机构管理员(是 Default administrator access 组的成员)始终对所有清单组具有读/写权限,无论如何为清单组对象和分配给它们的系统定义权限。

这些用户是唯一可以为清单组配置用户访问权限的用户。如果任何常规用户需要管理用户访问权限,管理员可以单独授予他们清单组 admin 和清单主机 admin 角色。

默认情况下,非机构管理员的用户从 Default 访问组中分配 Inventory Hosts Administrator 角色。Default access 组为这些用户授予整个清单中的 inventory:hosts:read 和 inventory:hosts:write 访问权限。这些权限授予所有系统和所有清单组的读写权限。

注意

有关 Default 访问组的更多信息,请参阅 Default access 组

1.2.1.2. 限制访问

先决条件

  • 您是 Default 管理员访问组的成员。

第 1 步:创建清单组

首先,创建两个单独的清单组。(本例展示了两个组,但您可以根据需要创建任意数量的组。)

  • 清单组 1:IT 团队 A - 系统
  • 清单组 2:IT 团队 B - 系统
v 组中的 img 创建组

第 2 步:将系统添加到清单组

现在组已创建好,将系统添加到其中。单击每个组,然后选择 Add systems

v 组中的 img 添加系统

在这个阶段,所有用户仍有权访问所有系统,无论他们所在的组是什么。这是因为它们仍然具有 Inventory 主机管理员角色,允许它们查看所有系统,无论它们是否被分组。

第 3 步:创建自定义角色

要为不同的清单组自定义访问权限,请为这些组创建自定义角色。要创建自定义角色,请导航到 User Access > Roles,然后点击 Create role。此时会打开向导。命名您的角色(例如,IT 团队 - 角色),然后单击下一步

v 组中的 img 从头开始创建

第 3a 步:选择添加到自定义角色的权限

向导显示 Add permissions 步骤。此步骤包含四个清单权限选项。根据所需的访问级别选择它们。

要完全访问组及其系统,请选择:

  • Inventory: groups: read
  • Inventory: groups: write
  • inventory: hosts: read
  • inventory: hosts: write
v 组中的 img 添加权限

选择权限后,单击 Next。您可以根据需要调整权限。

有关权限的更多信息,请参阅 用户访问清单组。

第 3b 步:将权限分配给所选清单组

在这一步中,选择要为其授予权限的清单组。本例演示了如何选择与当前角色对应的清单组。例如,创建角色 IT 团队 A - Role,并为每个权限指定清单组 IT 团队 A - 系统

v 组中的 img 定义访问

检查详情并点 Submit

img inv groups 查看详情

重复本节中的步骤,创建名为 IT 团队 B 的第二个自定义角色 - Role,然后选择 IT 团队 B - Systems 清单组。

v 组中的 img 查看详情团队 b
注意

您可以向一个或多个 IT 团队授予不属于清单组的系统的访问权限。要添加这些系统,请将主机权限的组定义中显示的 Ungrouped 系统添加到您的自定义角色。

img inv group review ungrouped details

第 4 步:创建用户访问组以为用户分配自定义角色

现在创建了自定义角色,请创建 User Access 组,以将自定义角色分配给用户。

要创建新组,请导航到 User Access > Groups 并点 Create group。将组命名为,选择新创建的角色,然后选择您要将角色提供给的用户。

例如,两个 IT 组具有以下权限:

  • IT 团队 A - 用户组
  • IT 团队 A - 角色
  • IT 团队 B - 用户组
  • IT 团队 B - 角色

组如下所示:

v 组中的 img 检查团队 a
v 组中的 img 检查团队 b

第 5 步:从 Default Access 组中删除清单 Hosts Admin 角色

在这一阶段,尽管上述所有步骤都仍可以访问所有系统,无论它们所在的组是什么。这是因为它们仍然具有 Inventory Hosts Administrator 角色,允许它们查看所有系统,无论它们是否被分组。

要限制对系统的访问,请导航到 User Access > Groups 并选择 Default Access 组。从这个组中删除 Inventory Hosts Administrator 角色。

v 组中的 img 删除角色菜单
v 组中的 img 删除角色对话框
v 组中的 img 删除角色警告

如果用户也是其他用户访问组的成员,请确保根据需要从这些组中查看和删除清单 Hosts Administrator 角色。

删除角色后,User Access 控制的行为与预期一样: 给定自定义角色,将视图限制到某些组和系统,系统只能看到这些组和系统。

1.2.1.3. 调整注意事项

  • 如果您有两个以上 IT 组,您可以根据需要创建任意数量的自定义角色和用户组。
  • 如果您试图授予同一人对多个清单组相同的访问权限,您可以选择多个清单组来授予同一自定义角色的权限。
  • 您可以授予对不属于清单组的系统的访问权限。将主机权限的 Group 定义中的 Ungrouped 系统添加到自定义角色。
  • 请记住,只要清单主机管理员角色仍然位于 Default Access 组中,则拥有该角色的所有用户仍有权访问所有内容。
  • 如果您没有在自定义角色中选择 Ungrouped systems,则具有这些角色的用户在从 Default 访问组中删除清单主机管理员权限后将无法看到任何未分组的系统。

1.2.2. 场景 2:访问未分组的系统

在本例中,管理员希望授予一组用户对未分组的系统的访问权限,但不分组的系统。

第 1 步:创建一个自定义角色

进入 User Access > Roles,再点 Create role。显示 Create Role 向导。

v 组中的 img 创建自定义角色

设置角色名称和描述,然后单击 Next

添加 inventory:hosts 权限,然后点 Next

v 组中的 img 添加 perm 场景 2

将这两个权限配置为应用到名为 Ungrouped systems 的 Group 定义。点击 Next

img inv groups 选择 ungrouped

检查角色的详细信息,然后单击 Submit

img inv group review details ungrouped

第 2 步:将自定义角色添加到 RBAC 组

创建自定义角色后,进入 User Access > Groups,点 Create Group 创建 User Access (RBAC)组。将组命名为,选择新的自定义角色,然后选择您要为其分配此角色的用户。

img inv groups 查看详情团队
注意

只有在 用户没有 从 Default Access 组分配的清单主机 admin 角色时,这些步骤才起作用。要检查这一点,请导航到 User Access > Groups,点顶部的 Default Access 组。如果该角色位于组中,则将其删除,因为该角色授予用户对整个清单的访问权限,包括未分组和分组的系统。

删除角色后,所选用户组只能访问清单中未分组的系统。

1.2.3. 已知限制

  • 作为机构管理员(默认 admin 访问组的成员)的用户将始终具有系统和清单组的完整访问权限
  • 没有系统权限的用户将无法将其添加到修复中。但是,如果过去创建了带有活跃系统的现有修复,则用户仍然可以运行它,即使权限已经为当前用户在系统中删除。
注意

在您的机构中启用清单组前,请查看您的通知配置,以确保仅配置适当的用户组来接收电子邮件通知。如果您没有查看通知配置,用户可能会收到其清单组权限范围之外的系统触发的警报。

1.3. 创建清单组

先决条件

  • 您必须是机构管理员(默认管理员访问权限组的成员)或具有 Inventory Group Administrator 角色。

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory
  2. 点 Inventory 下拉菜单并选择 Groups
  3. Create group。此时将显示 Create group 对话框。
  4. Group name 字段中输入组的名称。名称可由小写字母、数字、空格、连字符(-)和下划线(_)组成。
  5. Create。这时将显示 Group Created 消息,新组会显示在清单组列表中。

1.4. 将系统添加到新创建的清单组中

注意

每个系统只能属于一个清单组。在清单组的当前发行版本中,无法在单个步骤中将系统重新分配给不同的组。您必须首先从其当前组中删除系统,然后将其分配给新组。

先决条件

  • 机构管理员访问 Insights for Red Hat Enterprise Linux,或 Inventory Groups administrator permissions to the group, 或 inventory:groups:write 和 inventory:groups:read 权限

流程

  1. 在 Red Hat Hybrid Cloud Console 上,进入到 Inventory > Groups
  2. 点击您要添加系统的组的名称。这时会显示一个清单组页面,其中包含组名称,以及 SystemsGroup Details
  3. Systems 选项卡上,单击 Add systems。显示 Add systems 对话框并显示可用于在清单中查看的系统。
  4. 选择您要添加到组中的系统。

    注意

    如果您选择了一个已属于另一个组的系统,则会显示警告信息: One 或多个所选系统已属于一个组。确保您选择的所有系统都未分组,否则您将无法继续。

  5. 选择完系统后,单击 Add systemsInventory 组 页面会显示并包含您添加到组中的系统。

1.4.1. 从清单系统页面添加系统并创建组

先决条件

  • 机构管理员访问 Insights for Red Hat Enterprise Linux,或 Inventory Groups administrator permissions to the group, 或 inventory:groups:write 和 inventory:groups:read 权限

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory。此时会出现清单中的系统列表。
  2. 找到要添加的系统。
  3. 点击系统列表最右侧的 More options 图标(HBAC)。
  4. 从弹出菜单中选择 Add to group。这时将显示 Add to group 对话框。
  5. Create a new group。此时将显示 Create group 对话框。
  6. Name 字段中输入新组的名称,再点 Create

Inventory 页面会出现并显示状态(成功或失败)消息。

1.5. 从组中删除系统

您可以从 Red Hat Hybrid Cloud Console 的两个页面中删除清单组中的系统: Groups 页面和 Systems 页面。

1.5.1. 使用 Groups 页面从组中删除系统

先决条件

  • 您必须是机构管理员(默认 admin 访问组的成员),或具有 Inventory Group Administrator 角色,或者具有该特定清单组的 inventory:group:write 权限。

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory
  2. Inventory 下拉菜单并选择 Groups。此时将显示 Groups 页面。
  3. 选择包含您要删除的系统的组。
  4. 找到您要从组中删除的系统。
  5. 点击系统列表最右侧的 More options 图标(HBAC)。
  6. 从弹出菜单中选择 Remove from group。这时将显示 Remove from group? 对话框。
  7. 可选: 要一次从组中删除多个系统,请选择您要删除的每个系统,然后在工具栏中从 More options 菜单(microseconds)中选择 Remove from group
  8. 点击 Remove

组页面会显示并显示状态为(success 或 failure)消息的更新组。

1.5.2. 使用 Systems 页面从组中删除系统

先决条件

  • 机构管理员访问 Insights for Red Hat Enterprise Linux,或 Inventory Groups administrator permissions to the group, 或 inventory:groups:write 和 inventory:groups:read 权限

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory
  2. 单击 Inventory 下拉菜单,再选择 Systems系统 页会显示。
  3. 找到您要从组中删除的系统。
  4. 点击系统列表最右侧的 More options 图标(HBAC)。
  5. 从弹出菜单中选择 Remove from group。这时将显示 Remove from group? 对话框。

    注意

    如果您选择的任何系统不属于任何组,则 Remove from group 选项将保持禁用。确保您只选择属于该组的系统。

  6. 可选: 要从组中删除多个系统,选择您要删除的每个系统,然后从 More options (MTR)菜单中选择 Remove from group
  7. 点击 Remove

Systems 页面显示并显示状态(成功或失败)消息。

1.6. 重命名组

先决条件

  • 您必须是机构管理员(默认 admin 访问组的成员),或具有 Inventory Group Administrator 角色,或者具有该特定清单组的 inventory:group:write 权限。

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory
  2. Inventory 下拉菜单并选择 Groups。此时将显示 Groups 页面。
  3. Groups 页面右上角的 Group 操作下拉菜单。
  4. 从下拉菜单中选择 Rename。显示 Rename 组 对话框。
  5. Name 字段中输入新名称,然后单击 Save
  6. Groups 页面在组列表中显示重命名的组。

1.7. 删除组

注意

在删除组之前,请确保组不包含任何系统。您只能删除空组。如果您试图删除仍然包含系统的组,Insights 会返回警告信息。

先决条件

  • 您必须是机构管理员(默认 admin 访问组的成员),或具有 Inventory Group Administrator 角色,或者具有该特定清单组的 inventory:group:write 权限。

流程

  1. 在 Red Hat Hybrid Cloud Console 上,导航到 Inventory
  2. Inventory 下拉菜单并选择 Groups。此时将显示 Groups 页面。
  3. 点您要删除的组列表右边的 More options 图标(HBAC)。
  4. 从弹出菜单中选择 Delete。这时将显示 Delete group 对话框。
  5. 选中复选框以确认删除操作无法撤消。点击 Delete

Groups 页面显示更新的组列表以及状态(成功或失败)消息。

注意

您也可以从组的页面中删除组。导航到组,再单击 Group Actions 下拉菜单,然后从下拉菜单中选择 Delete

第 2 章 使用 Red Hat Insights for Red Hat Enterprise Linux 管理系统过时的和删除

作为系统管理员,您可以指定 Insights 为 Red Hat Enterprise Linux 管理的系统何时被视为过时,以及您的系统在从清单中删除前不活跃的时间。

2.1. Insights for Red Hat Enterprise Linux 系统过时和删除

系统是一个 Red Hat Enterprise Linux (RHEL)环境,通过 Red Hat Hybrid Cloud Console 的 Red Hat Insights Inventory 功能进行管理。系统活动由红帽自动监控。如果系统在指定时间段内不活跃,则会被标记为 stale。在系统在指定时间段内过时后,会发出系统过时的警告,并在指定时间段内系统会从 Insights for Red Hat Enterprise Linux 清单中删除。删除系统后,必须重新注册才能重新添加到清单中。

默认配置需要系统每天与红帽通信。如果系统在一天内不与红帽通信,则会自动标记为 stale,系统页面顶部会显示一个警告图标,在 Last seen: 字段中显示。如果它在 7 天内没有通信,它会被标记为 stale 警告,last seen: 字段会打开红色。如果它在 14 天内与红帽通信,它将被删除。然而,在一些情况下,系统长时间离线,但仍然被使用。例如,测试环境通常保持离线,除非用于测试。边缘设备(如子类或物联网(IoT)设备)在延长时间段内没有一系列通信。您可以修改系统过时的和删除值,以适应这些情况。

2.2. 为 Red Hat Enterprise Linux 系统过时和删除时间限制修改 Insights

您可以为 Insights 为 Red Hat Enterprise Linux 管理的传统和边缘(immutable)系统修改系统过时的和删除时间限制。为此,但仍然处于激活的系统不会被删除。请注意,您对这些限制所做的任何更改会影响所有传统或边缘系统。

先决条件

  • 以具有机构 Staleness 和 Deletion Administrator 角色的用户身份登录到 Red Hat Hybrid Cloud Console。

流程

  1. 在 Red Hat Hybrid Cloud Console 主页中,点 Red Hat Insights 标题中的 RHEL
  2. 在左侧导航栏中,点击 Inventory > System Configuration > Staleness and DeletionStaleness 和 Deletion 页面显示系统过时、系统过时警告和系统删除的当前设置。
  3. 可选: 要管理边缘(immutable)系统的过时的和配置设置,请选择 Immutable (OSTree) 选项卡。
  4. 要更改这些值,请点 Edit。现在,每个值旁边的下拉箭头都会被启用。
  5. 点击您要更改的值旁的箭头,然后选择新值。

    注意

    系统过时的警告值必须小于系统删除值。

  6. 可选: 要恢复到机构的默认值,请点 Reset
  7. Save 保存您的更改。

    注意

    如果您将系统删除最长时间设置为小于当前最长时间,则已过时的系统会超过新的最长时间。

2.3. 查看 Insights for Red Hat Enterprise Linux 系统状态

您可以查看系统状态,以检查过时的和潜在的调度删除。

先决条件

  • 登录到 Red Hat Hybrid Cloud 控制台。

流程

  1. 在 Red Hat Hybrid Cloud Console 主页中,点 Red Hat Insights 标题中的 RHEL
  2. 在左侧导航栏中,点 Inventory > SystemsSystems 页面列出了由 Insights for Red Hat Enterprise Linux 管理的系统。
  3. 要查看系统状态,点系统名称并滚动到页面底部。状态列在 System status 框中。它是 ActiveStale

    • 如果状态是 Stale,则会在系统页面的顶部出现警告图标,在 Last seen: 字段中显示,字段在 brown 中突出显示。
    • 如果状态是指定时间的 Stale,则系统会被标记为 stale 警告Last seen: 字段会打开红色。
  4. 如果系统在 Last seen: 字段中有一个过时的警告图标,点图标在从清单中删除系统时查看。例如:"在 11 天内计划删除的系统"。

对红帽文档提供反馈

我们非常感谢并对我们文档的反馈进行优先排序。提供尽可能多的详细信息,以便快速解决您的请求。

先决条件

  • 已登陆到红帽客户门户网站。

流程

要提供反馈,请执行以下步骤:

  1. 点击以下链接: Create Issue
  2. Summary 文本框中描述问题或功能增强。
  3. Description 文本框中提供有关问题或请求的增强的详细信息。
  4. Reporter 文本框中键入您的名称。
  5. Create 按钮。

此操作会创建一个文档票据,并将其路由到适当的文档团队。感谢您花时间来提供反馈。

法律通告

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.