Описание ролей и их права в ESXI 5.x.x
На сервере VMware vCenter в новой версии VMware vSphere появились некоторые новые роли и немного изменились привилегии для старых ролей. Ниже приведем список ролей и соответствующие им привилегии в VMware vSphere.
Напомним понятия:
Пользователь - конкретный человек, который входит на vCenter или ESX под своей учетной записью.
Привилегия - возможность выполнять определенное действие (например, включить виртуальную машину).
Роль - набор привилегий. Абстрактная сущность, привязываемая к пользователю при назначении разрешения.
Разрешение - наложение пользователя или группы на объект виртуальной инфраструктуры (например, ESX или ВМ) с назначением пользователю роли. Роль в свою очередь содержит набор привилегий.
Если нажать правой кнопкой на объекте VMware vSphere (например, хосте ESX) и выбрать пункт "Add Permission", то мы увидим вот такую картинку:
Теперь сводная таблица ролей:
| Роль | Тип роли | Выполняемые действия |
|---|---|---|
| No Access | System | Не может просматривать или изменять объект, которому назначена |
| Вкладки vSphere Client для объектов с этой ролью отображаются без содержимого | ||
| Роль по умолчанию для всех пользователей компьютера vCenter, за исключением группы Administrators | ||
| Используется в качестве аналога пермиссии Deny в Windows | ||
| Read Only | System | Может просматривать состояние и детальную информацию об объекте, на который назначена. |
| Может просматривать все вкладки vSphere Client, за исключением вкладки Console | ||
| Не может исполнять никаких действий из меню и тулбаров | ||
| Используется для больших начальников, которые контролируют виртуальную инфраструктуру, смотря на красивые графики | ||
| Administrator | System | Все привилегии для всех объектов |
| Добавление, удаление и установка прав и привилегий для всех пользователей vCenter и объектов в VMware vSphere inventory | ||
| Роль по умолчанию для всех членов локальной группы Administrators на машине vCenter | ||
| Используется для администраторов виртуальной инфраструктуры, контролирующих все хосты vSphere (ESX и vCenter), включая назначение прав. | ||
| Resource PoolAdministrator | Sample | Набор привилегий для разрешения пользователям создавать дочерние пулы ресурсов без возможности изменения родительского |
| Все привилегии на объекты: folder, ВМ, alarms и scheduled task | ||
| Некоторые привилегии на global (отмена задач, лог событий, установка отдельных атрибутов), datastore (просмотр), resource (все кроме применения рекомендаций DRS и привязки vApp к пулу) и permissions (изменение, но роль менять нельзя) | ||
| Нет привилегий для объектов: datacenter, network, host, sessions, or performance privileges groups | ||
| Обычно назначается для пользователя на кластер (корневой пул) или пул ресурсов | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется, в основном, для управления ресурсами пула на уровне либо организационных единиц (например отдел - бухгалтерия), либо на уровне класса SLA. | ||
| Virtual MachinePower User | Sample | Набор привилегий для взаимодействия пользователя с виртуальной машиной |
| Взаимодействие с ВМ (console, insert media) и изменение большинства настроек виртуальной машины | ||
| Установка параметров ресурсов виртуальной машины (Limit, Reservation, Shares), а также операции с ВМ (например, получение снапшота) | ||
| Все привилегии для запланированных задач с ВМ (scheduled task) | ||
| Отдельные привилегии для global (отмена задачи для ВМ), datastore (просмотр) и ВМ (нельзя удалять машину из Inventory и ничего делать, что касается Provisioning - клонирование, превращение в шаблон и т.п.) | ||
| Не разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions | ||
| Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для администраторов общего назначения, которым необходимы операции по изменению конфигурации виртуальных машин (добавление диска, создание снапшота и т.п.) | ||
| Virtual MachineUser | Sample | Набор привилегий для стандартного взаимодействия с виртуальной машиной. Обычно назначается для администраторов конкретных прикладных систем, которым необходимо пользоваться такими функциями ОС как Console или управление питанием (если гостевая ОС "зависла") |
| Взаимодействие с ВМ (console, insert media), но запрещено изменение настроек | ||
| Все привилегии для запланированных задач с ВМ (scheduled task) | ||
| Отдельные привилегии для global (отмена задачи) и ВМ (включение-выключение, подключение ISO-образа и т.п.). | ||
| Нет разрешений на объекты: folder, datacenter, network, host, resource, alarms, sessions, performance и permissions | ||
| Обычно назначается на папку с виртуальными машинами или на конкретную виртуальную машину | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна). Используется для продвинутых пользователей виртуальных машин или администраторов конкретных систем (например, нужно перезагрузить зависший сервер). Кстати, роль позволяет включать/выключать VMware Fault Tolerance, так что будьте аккуратны, назначая ее. | ||
| VMwareConsolidatedBackup User | Sample | Роль для использования фреймворком VMware Consolidated Backup (VCB) для резервного копирования, которую не надо изменять. |
| Привилегии, необходимые для создания резервной копии виртуальной машины (на уровне файлов или на уровне образов виртуальных дисков) | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) | ||
| DatastoreConsumer | Sample | Набор привилегий, необходимых для выделения пространства под Datastore (NFS, VMFS или RDM). Обычно назначается Storage-администраторам. |
| Возможность выделять пространство на Datastore для виртуальных машин | ||
| Другие привилегии отсутствуют | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) | ||
| Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ. В совокупности с ними можно, например, позволить создавать снапшот или добавлять виртуальный диск. | ||
| NetworkConsumer | Sample | Набор привилегий для привязки хостов или виртуальных машин к сетям (внутренним для ВМ и внешним для хостов ESX). Обычно назначается сетевым администраторам или сотрудникам информационной безопасности, которым требуется контроль на сетевым взаимодействием всей инфраструктуры. |
| Право назначить network виртуальной машине, сервисной консоли хоста ESX или порту VMkernel. | ||
| Другие привилегии отсутствуют | ||
| Роль доступна только на сервере vCenter (на серверах ESX/ESXi напрямую - недоступна) | ||
| Для выполнения своих функций пользователю понадобятся также разрешения на конкретные ВМ или хосты. |
В качестве запланированных задач можно выполнять следующие действия:
- Изменение состояния ВМ (включение-пауза-выключение-перезагрузка)
- Создание клона ВМ
- Развертывание новой ВМ из шаблона
- Миграция ВМ на другой хост или Datastore (VMotion или Storage VMotion)
- Создание новой ВМ
- Снятние "снапшота" виртуальной машины
- Добавление хоста в окружение vCenter
- Изменение состояния хоста (включение-выключение)
- Изменение параметров резервирования ресурсов для пула или отдельных ВМ
- Проверка состояния хоста заданному профилю (Host Profile)
