6.8. 虚拟机和权限
6.8.1. 为虚拟机管理系统权限
作为 SuperUser,系统管理员可以管理管理门户的所有方面。可以为其他用户分配更具体的管理角色。这些受限管理员角色可用于授予用户管理特权,以限制它们仅具有特定资源。例如,DataCenterAdmin 角色仅对分配的数据中心具有管理员特权,但该数据中心的存储除外,ClusterAdmin 则仅对分配的群集具有管理员特权。
UserVmManager 是数据中心中虚拟机的系统管理角色。此角色可应用于特定的虚拟机、数据中心或整个虚拟化环境;这对于允许不同的用户管理某些虚拟资源非常有用。
用户虚拟机管理员角色允许执行以下操作:
- 创建、编辑和删除虚拟机.
- 运行、暂停、关闭和停止虚拟机.
您只能将角色和权限分配给现有用户。
许多最终用户只关注虚拟化环境的虚拟机资源。因此,Red Hat Virtualization 提供了多个用户角色,使用户能够专门管理虚拟机,但不能管理数据中心中的其他资源。
6.8.2. 虚拟机管理员角色已说明
下表描述了适用于虚拟机管理的管理管理员角色和权限。
表 6.1. Red Hat Virtualization 系统管理员角色
| 角色 | 权限 | 备注 |
|---|---|---|
| DataCenterAdmin | 数据中心管理员 | 拥有特定数据中心下除存储之外的所有对象的管理权限。 |
| ClusterAdmin | Cluster Administrator | 拥有特定集群下所有对象的管理权限。 |
| NetworkAdmin | 网络管理员 | 拥有特定逻辑网络上所有操作的管理权限.可以配置和管理与虚拟机连接的网络。要在虚拟机网络上配置端口镜像,请在网络上应用 NetworkAdmin 角色,并在虚拟机上应用 UserVmManager 角色。 |
6.8.3. 虚拟机用户角色说明
下表描述了适用于虚拟机用户的用户角色和权限。这些角色允许访问虚拟机门户以管理和访问虚拟机,但它们不会授予管理门户的任何权限。
表 6.2. Red Hat Virtualization 系统用户角色
| 角色 | 权限 | 备注 |
|---|---|---|
| UserRole | 可以访问和使用虚拟机和池. | 可以登录虚拟机门户并使用虚拟机和池。 |
| PowerUserRole | 可以创建和管理虚拟机和模板. | 使用 Configure 窗口,或针对特定数据中心或集群,将这个角色应用到整个环境的用户。例如,如果在数据中心级别上应用 PowerUserRole,PowerUser 可以在数据中心中创建虚拟机和模板。拥有 PowerUserRole 相当于具有 VmCreator、DiskCreator 和 TemplateCreator 角色。 |
| UserVmManager | 虚拟机的系统管理员. | 可以管理虚拟机并创建和使用快照.在虚拟机门户中创建虚拟机的用户会自动被分配机器上的 UserVmManager 角色。 |
| UserTemplateBasedVm | 有限的权限,仅能使用模板。 | 通过模板创建虚拟机的特权级别。 |
| VmCreator | 可以在虚拟机门户中创建虚拟机. | 此角色不适用于特定的虚拟机;使用 Configure 窗口将此角色应用到整个环境的用户。当将此角色应用到集群时,还必须对整个数据中心或特定存储域应用 DiskCreator 角色。 |
| VnicProfileUser | 虚拟机的逻辑网络和网络接口用户. | 如果在创建逻辑网络时选择了 Allow all users to this Network 选项,则会为逻辑网络的所有用户分配 VnicProfileUser 权限。然后,用户可以向逻辑网络或者从逻辑网络附加或分离虚拟机网络接口。 |
6.8.4. 将虚拟机分配给用户
如果您要为自己以外的用户创建虚拟机,您必须将角色分配给用户,然后才能使用虚拟机。请注意,只能将权限分配给现有用户。如需有关创建用户帐户的详细信息,请参阅管理指南中的用户和角色。
虚拟机门户支持三种默认角色:User、PowerUser 和 UserVmManager。不过,可以通过管理门户配置自定义角色。默认角色如下所述。
- 用户可以连接到并使用虚拟机。此角色适用于执行日常任务的桌面最终用户。
- PowerUser 可以创建虚拟机并查看虚拟资源。如果您是需要为您的员工提供虚拟资源的管理员或经理,则此角色是合适的。
- UserVmManager 可以编辑和删除虚拟机,分配用户权限,使用快照并使用模板。如果您需要对虚拟环境进行配置更改,则它非常适合。
创建虚拟机时,您会自动继承 UserVmManager 权限。这可让您对虚拟机进行更改,并将权限分配给您管理的用户,或分配属于身份管理(IdM)或 RHDS 组的用户。如需更多信息,请参阅管理指南。
流程
- 单击 Compute → Virtual Machines 并选择虚拟机。
- 单击虚拟机的名称,以转至详情视图。
- 单击权限选项卡。
- 点击 Add。
- 在 搜索 文本框中输入名称或用户名或其中的一部分,然后点击 Go。结果列表中会显示可能匹配的列表。
- 选中要为其分配权限的用户的复选框。
- 从 Role to Assign 下拉列表中,选择 UserRole。
- 点击 确定。
用户名称和角色显示在被允许访问此虚拟机的用户列表中。
如果仅为用户分配权限,可以为虚拟机配置单点登录(SSO)。启用单点登录后,当用户登录虚拟机门户,然后通过 SPICE 控制台连接到虚拟机时,用户会自动登录虚拟机,无需再次键入用户名和密码。单点登录可以基于每个虚拟机启用或禁用。有关如何为 虚拟机启用和禁用单点登录 的更多信息,请参阅为虚拟机配置单点登录。
6.8.5. 从用户中删除对虚拟机的访问权限
从用户中删除对虚拟机的访问权限
- 单击 Compute → Virtual Machines。
- 单击虚拟机的名称,以转至详情视图。
- 单击 Permissions。
- 单击 Remove。这时将显示警告消息,要求您确认删除选定的权限。
- 要继续,请单击 OK。若要中止,请单击 Cancel。
