.
На этот случай Microsoft System Center 2012 SP1 Virtual Machine Manager (VMM 2012 SP1) предоставляет возможность создавать роли пользователя. С ролями пользователей вы можете определять области и объекты, которыми может управлять администратор. Кроме того, вы можете описывать процесс управления, который выполняется администратором. Сначала я опишу типы ролей пользователя, доступные в VMM 2012 SP1, а затем покажу, как назначать администраторам существующие роли пользователя и как создавать новые роли.
Разбираемся с ролями
В VMM 2012 SP1 каждая пользовательская роль, которую вы создаете, содержит набор привилегий. Кроме того, каждая роль связана с определенной областью. В окружении частного «облака» полномочия редко распространяются на всю виртуальную инфраструктуру. Вместо этого они делегируются на низшие уровни, будь то частное «облако», группы хостов или ресурсы библиотеки.
VMM 2012 SP1 позволяет вам установить различные типы ролей пользователей. Итак, что включают в себя роли пользователя, с которыми вы можете работать?
Администратор (Administrator). Роль пользователя «Администратор» уже предопределена при установке VMM 2012 SP1. Данная роль по умолчанию имеет самую широкую область управления. Члены роли «Администратор» могут выполнять все административные задачи на всех объектах (как виртуальных, так и физических), которыми управляет VMM. Некоторые задачи специфичны исключительно для данной роли и не могут быть переданы другой. Например, только члены роли Administrator могут добавлять автономный сервер Citrix Systems XenServer к серверу управления VMM или сервер Windows Server Update Services (WSUS) — для управления фабрикой VMM. Фабрика Fabric – это термин, описывающий инфраструктуру, необходимую для управления и развертывания хостов, а также для создания и развертывания виртуальных машин и служб в частном «облаке». Область для роли Administrator невозможно определить повторно (например, ограничить), поэтому количество членов должно быть сведено к минимуму. Обычно члены роли – администраторы компании-провайдера «облака». Пользовательская роль Administrator может создавать другие пользовательские роли и управлять членством другой роли пользователя. Вы никогда не сможете назначать пользователей этой роли.
Fabric Administrator («Администратор фабрики»). Члены роли Fabric Administrator могут выполнять все административные задачи, но в рамках определенной области. Областью могут быть группа хостов, частное «облако» или один и более серверов библиотек. Однако изменять общие настройки VMM или членство роли пользователя Administrator нельзя. Если вы хотите дать администратору разрешение полностью управлять частным «облаком» с помощью VMM, это та роль, которую вы должны использовать.
Для прикладной предоставляемой среды это очень полезная роль пользователя. Например, если вы являетесь провайдером «облака» и управляете виртуальным окружением с помощью VMM, вы, вероятно, захотите, чтобы ваши клиенты, будучи членами роли Fabric Administrator, могли полностью управлять объектами и инфраструктурой внутри своего частного «облака». В данном сценарии вы определите различные пользовательские роли с профилем Fabric Administrator — одну для каждого создаваемого частного «облака». Другой сценарий для использования данного типа роли заключается в том, чтобы делегировать другим администраторам возможность частично управлять вашей виртуальной инфраструктурой. Например, вы можете дать администратору право управлять отдельными группами хостов или серверами библиотек. Обратите внимание, что эта роль пользователя имеет название Delegated Administrator в версии release to manufacturing (RTM) VMM 2012.
Read-Only Administrator («Администратор только-для-чтения»). Члены роли Read-Only Administrator могут просматривать, но не в состоянии изменять параметры конфигурации для управляемых объектов VMM в пределах определенной области. Также они могут просматривать статус заданий, выполняемых внутри их области управления.
Цель данной роли – контроль (проверка) системы. Например, если ваша виртуальная инфраструктура стандартизирована, и вы хотите быть уверены в том, что управление изменениями находится на должном уровне, вы можете наделить членов команды проверки или команды управления изменениями этой пользовательской ролью. Также вы можете назначить данную роль начинающим администраторам, которым сначала нужно будет ознакомиться с настройками VMM, прежде чем им будут назначены роли с большими возможностями.
Tenant Administrator («Администратор абонентов»). Эта роль установлена только в VMM 2012 SP1 и не может быть создана в VMM 2012 RTM. Члены роли Tenant Administrator могут определять область задач, которые выполняются пользователями портала самообслуживания на их виртуальных машинах, включая создание и применение квот на доступных ресурсах. Таким образом, эта роль предназначена для того, чтобы вы могли дать администратору разрешение управлять пользователями портала самообслуживания и потребляемыми ими ресурсами.
Члены роли Tenant Administrator также могут управлять сетями виртуальных машин, включая управление и развертывание их собственных виртуальных машин в пределах определенной области. Область ограничена объектами частного «облака».
Application Administrator («Администратор приложений»). Члены роли Application Administrator могут развертывать собственные виртуальные машины и управлять ими в рамках области и квот, определенных администраторами более высокого уровня. Обратите внимание, что данная роль называется ролью пользователя Self-Service User в VMM 2012 RTM.
Выдача ролей
Назначение администратора роли в VMM 2012 SP1 – довольно простая задача. Например, если вы хотите добавить кого-то к роли Administrator, сделайте следующее.
- Пройдите к разделу Settings в консоли VMM 2012, раскройте Security и щелкните «Роли пользователя».
- Дважды щелкните Administrator на панели справа.
- Выберите таблицу Members. Здесь вы можете добавить учетную запись пользователя из домена Active Directory (AD), которому принадлежит сервер VMM.
Обратите внимание, что вы должны использовать консоль VMM или PowerShell, чтобы добавить учетную запись пользователя AD. Вы не можете управлять ролями пользователя из другой утилиты AD.
Создание ролей
Для создания новых ролей пользователя вы задействуете мастер Create User Role Wizard. Чтобы его открыть, вы можете пройти к разделу Settings в консоли VMM 2012, развернуть Security, выбрать User Roles и нажать кнопку Create User Role. Есть и другой способ: пройдите к узлу Tenants в виртуальной машине в панели задач Services, правой кнопкой мыши щелкните Tenants node и выберите Create User Role. Заметьте, что если вы используете VMM 2012 RTM, вы не можете прибегнуть к альтернативному способу.
Информация, с которой вам предстоит работать в мастере Create User Role Wizard, варьируется в зависимости от типа создаваемой пользовательской роли. По этой причине я опишу страницы в мастере, вместо того чтобы приводить примеры создания конкретной роли пользователя.
Name and description («Имя и описание»). На этой странице вам необходимо представить имя и описание роли пользователя, как показано на экране 1. Постарайтесь сделать описание более полным, особенно если вы собираетесь создавать много ролей пользователя.
Экран 1. Предоставление имени и описания для роли пользователя |
Profile («Профиль»). На этой странице вы выбираете тип создаваемой роли пользователя. На экране 2 показаны профили, из которых вы можете выбирать: Fabric Administrator, Read-Only Administrator, Tenant Administrator, а также Application Administrator. Список не включает роль пользователя Administrator, потому что она предопределена при установке VMM 2012, как уже упоминалось выше.
Экран 2. Выбор типа для создания роли пользователя |
Members («Члены»). На этой странице вы можете добавить к пользовательской роли членов из AD. Это не обязательно делать на этапе создания роли. Вы можете сделать это в любое время, дважды нажав User role и пройдя к таблице Members, как описано в разделе «Выдача ролей».
Scope («Область»). На экране 3 показана страница Scope, на которой вы определяете область действия роли. Это весьма важный шаг. Вам нужно выбрать ресурсы VMM, на которые будут распространяться привилегии роли пользователя. Если вы создаете роль пользователя Fabric Administrator или Read-Only Administrator, на экране будут показаны доступные группы хостов и частные «облака». Если вы создаете роль пользователя Tenant Administrator или Application Administrator, вы увидите только объекты доступного частного «облака». Будьте внимательны при выборе ресурсов. Если вы допустите здесь ошибку, то непреднамеренно предоставите доступ не к тем ресурсам.
Экран 3. Определение области действия для роли пользователя |
Quotas for the cloud («Квоты для «облака»»). Эта страница отображается, только если вы создаете роль пользователя Tenant Administrator или Application Administrator. Как показано на экране 4, вы определяете квоты для объектов частного «облака», уже выбранных на Scope. Настоятельно рекомендую задать квоты для ограничения использования ресурсов. Например, вы можете определить, сколько виртуальных машин может создать каждый член роли пользователя и какое количество оперативной памяти может быть задействовано. Помимо того, что квоты незаменимы для лимитирования использования ресурсов, они помогут вам определить, требуется ли добавить ресурсы к вашему виртуальному окружению.
Экран 4. Определение области действия для роли пользователя |
Квоты определяются на двух уровнях. Вы можете определить общую квоту для роли пользователя. Также вы можете определить квоты для каждого члена данной роли. Если вы скомбинируете эти два типа квот, то получите одну общую квоту для роли и особые квоты для каждого администратора, который являет членом данной пользовательской роли. Назначая квоты, учитывайте другие квоты, применяемые к другим ролям (если они имеются). Система не будет предупреждать вас в случае, если вы превысите намеченную сумму, поэтому убедитесь, что вы этого не делаете.
Networking. Предназначенная исключительно для пользовательских ролей Tenant Administrator и Application Administrator, эта страница предоставляет вариант выбора одной или более сетей виртуальных машин, которые будут доступны для использования. Также у вас есть возможность создания новых сетей виртуальных машин с данной страницы.
Library servers («Серверы библиотеки»). Эта страница отображается только при создании роли пользователя Fabric Administrator или Read-Only Administrator. В большинстве окружений существует лишь один сервер библиотеки, так что здесь выбора нет. Если развертываются различные серверы библиотек, обычно они содержат разные ресурсы. Если у вас не один сервер библиотеки, то вам необходимо удостовериться, что вы выбираете тот сервер, который содержит ресурсы, необходимые для создания данной пользовательской роли. В некоторых сценариях можно также развернуть специальные серверы библиотек для каждого создаваемого вами частного «облака».
Resources («Ресурсы»). При создании роли пользователя Tenant Administrator или Application Administrator вам предстоит выбрать специальные ресурсы из библиотеки на странице Resources. Очень важно выбрать правильные ресурсы, особенно если администраторы будут создавать новые виртуальные машины. Вам нужно определить путь к данным – размещение для данных, которые администраторы будут загружать.
Actions («Действия»). Для ролей пользователя Tenant Administrator или Application Administrator вы можете использовать возможность выбора специальных действий, которые будут разрешены. Как показано на экране 5, вы можете выбрать действия, такие как Checkpoint (администраторы могут создавать и управлять контрольными точками виртуальной машины) и Deploy (администраторы могут создавать виртуальные машины и службы). Убедитесь, что вы понимаете цель каждого действия, принимая при этом во внимание и область роли пользователя.
Экран 5. Выбор действий, которые будут разрешены |
Run As account («Учетная запись Run As»). Эта страница появляется, когда вы выбираете действие Author на странице Actions для одного из типов пользовательской роли. Здесь вы можете выбрать учетную запись Run As для применения членами пользовательской роли, когда выполняются задачи внутри VMM. Учетная запись Run As представляет собой контейнер для набора хранящихся учетных данных для определенной учетной записи пользователя. Вы можете создать учетную запись Run As, прежде чем запустите мастер, или тогда, когда его запускаете.
Quotas for VM networks («Квоты для сетей виртуальных машин»). Эта страница появляется, когда вы создаете роль пользователя Tenant Administrator, выбрав действие Author VMNetwork на странице Actions. Здесь вы можете определить, сколько виртуальных сетей имеет право создать каждый член пользовательской роли Tenant Administrator, а также общее число виртуальных сетей, которые могут создаваться всеми членами данной роли.
Summary («Итого»). На этой странице вы можете просмотреть сделанные вами настройки перед созданием роли пользователя.
Создание ролей пользователя и управление ими – важные составляющие управления частным «облаком». Будьте внимательны, настраивая этот аспект безопасности VMM, особенно если вы выполняете работу для хостинг-провайдера, который размещает окружения частного «облака» для других компаний. Применение роли пользователя – еще один удобный способ контролировать использование ресурсов различными администраторами «облака».