Описание ролей и их права в ESXI 5.x.x

Описание ролей и их права в ESXI 5.x.x

На сервере VMware vCenter в новой версии VMware vSphere появились некоторые новые роли и немного изменились привилегии для старых ролей. Ниже приведем список ролей и соответствующие им привилегии в VMware vSphere.

Напомним понятия:

Пользователь - конкретный человек, который входит на vCenter или ESX под своей учетной записью.

Привилегия - возможность выполнять определенное действие (например, включить виртуальную машину).

Роль - набор привилегий. Абстрактная сущность, привязываемая к пользователю при назначении разрешения.

Разрешение - наложение пользователя или группы на объект виртуальной инфраструктуры (например, ESX или ВМ) с назначением пользователю роли. Роль в свою очередь содержит набор привилегий.

Если нажать правой кнопкой на объекте VMware vSphere (например, хосте ESX) и выбрать пункт "Add Permission", то мы увидим вот такую картинку:

Описание ролей и их права в ESXI 5.x.x

Описание ролей и их права в ESXI 5.x.x

Теперь сводная таблица ролей:

Роль Тип роли Выполняемые действия
No Access System Не может просматривать или изменять объект, которому назначена
Вкладки vSphere Client для объектов с этой ролью отображаются без содержимого
Роль по умолчанию для всех пользователей компьютера vCenter, за исключением группы Administrators
Используется в качестве аналога пермиссии Deny в Windows
Read Only System Может просматривать состояние и детальную информацию об объекте, на который назначена.
Может просматривать все вкладки vSphere Client, за исключением вкладки Console
Не может исполнять никаких действий из меню и тулбаров
Используется для больших начальников, которые контролируют виртуальную инфраструктуру, смотря на красивые графики
Administrator System Все привилегии для всех объектов
Добавление, удаление и установка прав и привилегий для всех пользователей vCenter и объектов в VMware vSphere inventory
Роль по умолчанию для всех членов локальной группы Administrators на машине vCenter
Используется для администраторов виртуальной инфраструктуры, контролирующих все хосты vSphere (ESX и vCenter), включая назначение прав.
Resource PoolAdministrator Sample Набор привилегий для разрешения пользователям создавать дочерние пулы ресурсов без возможности изменения родительского
Все привилегии на объекты: folder, ВМ, alarms и scheduled task
Некоторые привилегии на global (отмена задач, лог событий, установка отдельных атрибутов), datastore (просмотр), resource (все кроме применения рекомендаций DRS и привязки vApp к пулу) и permissions (изменение, но роль менять нельзя)
Нет привилегий для объектов: datacenter, network, host, sessions, or performance privileges groups
Обычно назначается для пользователя на кластер (корневой пул) или пул ресурсов
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется, в основном, для управления ресурсами пула на уровне либо организационных единиц (например отдел - бухгалтерия), либо на уровне класса SLA.
Virtual MachinePower User Sample Набор привилегий для взаимодействия пользователя с виртуальной машиной
Взаимодействие с ВМ (console, insert media) и изменение большинства настроек виртуальной машины
Установка параметров ресурсов виртуальной машины (Limit, Reservation, Shares), а также операции с ВМ (например, получение снапшота)
Все привилегии для запланированных задач с ВМ (scheduled task)
Отдельные привилегии для global (отмена задачи для ВМ), datastore (просмотр) и ВМ (нельзя удалять машину из Inventory и ничего делать, что касается Provisioning - клонирование, превращение в шаблон и т.п.)
Не разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions
Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для администраторов общего назначения, которым необходимы операции по изменению конфигурации виртуальных машин (добавление диска, создание снапшота и т.п.)
Virtual MachineUser Sample Набор привилегий для стандартного взаимодействия с виртуальной машиной. Обычно назначается для администраторов конкретных прикладных систем, которым необходимо пользоваться такими функциями ОС как Console или управление питанием (если гостевая ОС "зависла")
Взаимодействие с ВМ (console, insert media), но запрещено изменение настроек
Все привилегии для запланированных задач с ВМ (scheduled task)
Отдельные привилегии для global (отмена задачи) и ВМ (включение-выключение, подключение ISO-образа и т.п.).
Нет разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions
Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для продвинутых пользователей виртуальных машин или администраторов конкретных систем (например, нужно перезагрузить зависший сервер). Кстати, роль позволяет включать/выключать VMware Fault Tolerance, так что будьте аккуратны, назначая ее.
VMwareConsolidatedBackup User Sample Роль для использования фреймворком VMware Consolidated Backup (VCB) для резервного копирования, которую не надо изменять.
Привилегии, необходимые для создания резервной копии виртуальной машины (на уровне файлов или на уровне образов виртуальных дисков)
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна)
DatastoreConsumer Sample Набор привилегий, необходимых для выделения пространства под Datastore (NFS, VMFS или RDM). Обычно назначается Storage-администраторам.
Возможность выделять пространство на Datastore для виртуальных машин
Другие привилегии отсутствуют
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна)
Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ. В совокупности с ними можно, например, позволить создавать снапшот или добавлять виртуальный диск.
NetworkConsumer Sample Набор привилегий для привязки хостов или виртуальных машин к сетям (внутренним для ВМ и внешним для хостов ESX). Обычно назначается сетевым администраторам или сотрудникам информационной безопасности, которым требуется контроль на сетевым взаимодействием всей инфраструктуры.
Право назначить network виртуальной машине, сервисной консоли хоста ESX или порту VMkernel.
Другие привилегии отсутствуют
Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна)
Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ или хосты.

В качестве запланированных задач можно выполнять следующие действия:

  • Изменение состояния ВМ (включение-пауза-выключение-перезагрузка)
  • Создание клона ВМ
  • Развертывание новой ВМ из шаблона
  • Миграция ВМ на другой хост или Datastore (VMotion или Storage VMotion)
  • Создание новой ВМ
  • Снятние "снапшота" виртуальной машины
  • Добавление хоста в окружение vCenter
  • Изменение состояния хоста (включение-выключение)
  • Изменение параметров резервирования ресурсов для пула или отдельных ВМ
  • Проверка состояния хоста заданному профилю (Host Profile)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

я в гугл