Citrix Hypervisor

RBAC-Rollen und Berechtigungen

Rollen

Citrix Hypervisor wird mit den folgenden sechs vordefinierten Rollen ausgeliefert:

  • Pool Administrator (Pool Admin) — das gleiche wie das lokale Stammverzeichnis. Kann alle Operationen ausführen.

    Hinweis:

    Der lokale Superbenutzer (root) hat die Rolle “Pool Admin”. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.

  • Pool-Operator (Pool-Operator) — kann alles erledigen, außer Benutzer hinzufügen/entfernen und ihre Rollen ändern. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Poolverwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).

  • Virtual Machine Power Administrator (VM Power Admin) — erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Provisioning von VMs für die Verwendung durch einen VM-Operator.

  • Virtual Machine Administrator (VM Admin) — ähnlich wie ein VM-Power-Admin, kann jedoch keine VMs migrieren oder Snapshots ausführen.

  • Virtual Machine Operator (VM-Operator) — ähnlich wie VM Admin, kann jedoch keine VMs erstellen/vernichten — kann aber den Lebenszyklusvorgang starten bzw. beenden.

  • Schreibgeschützt (schreibgeschützt ) — kann Ressourcenpool und Leistungsdaten anzeigen.

Warnung:

Wenn Sie Active Directory Gruppen verwenden, um Pooladministrator-Benutzern Zugriff zu gewähren, die Host-SSH-Zugriff benötigen, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.

Eine Zusammenfassung der für jede Rolle verfügbaren Berechtigungen und Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und -Berechtigungen im folgenden Abschnitt.

Wenn Sie einen Benutzer in Citrix Hypervisor erstellen, müssen Sie zuerst dem neu erstellten Benutzer eine Rolle zuweisen, bevor er das Konto verwenden kann. Citrix Hypervisor weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den Citrix Hypervisor Pool, bis Sie ihnen eine Rolle zuweisen.

  1. Ändern Sie das Subjekt der Rollenzuordnung. Dies erfordert die Berechtigung zum Zuweisen/Ändern der Rolle, die nur einem Pooladministrator zur Verfügung steht.

  2. Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.

Definitionen von RBAC-Rollen und Berechtigungen

Die folgende Tabelle fasst zusammen, welche Berechtigungen für die einzelnen Rollen verfügbar sind. Weitere Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.

Rollenberechtigungen Pool Admin Poolbetreiber VM Power Admin VM-Administrator VM-Betreiber Lesezugriff
Rollen zuweisen/ändern X          
Anmelden bei (physischen) Serverkonsolen (über SSH und XenCenter) X          
Serverbackup/-wiederherstellung X          
Import/Export von OVF/OVA-Paketen und Datenträgerimages X          
Kerne pro Sockel einstellen X X X X    
Konvertieren von virtuellen Maschinen mit Citrix Hypervisor Conversion Manager X          
Switch-Port-Verriegelung X X        
Multipathing X X        
Aktive Benutzerverbindungen abmelden X X        
Erstellen und Beenden von Warnungen X X        
Aufgabe eines Benutzers abbrechen X X        
Poolmanagement X X        
Live-Migration X X X      
Live-Migration von Massenspeicher X X X      
Erweiterte VM-Vorgänge X X X      
VM Erstellen/Löschen von Vorgängen X X X X    
VM ändern CD-Medien X X X X X  
VM-Energiezustand ändern X X X X X  
VM-Konsolen anzeigen X X X X X  
XenCenter Ansichtsverwaltungsvorgänge X X X X X  
Eigene Aufgaben abbrechen X X X X X X
Audit-Protokolle lesen X X X X X X
Verbindung mit Pool herstellen und alle Pool-Metadaten lesen X X X X X X
Konfigurieren der virtuellen GPU X X        
Virtuelle GPU-Konfiguration anzeigen X X X X X X
Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs) X          
Containermanagement X          
Geplante Snapshots (VMs zu vorhandenen Snapshot-Zeitplänen hinzufügen/entfernen) X X X      
Geplante Snapshots (Snapshot-Zeitpläne hinzufügen/ändern/löschen) X X        
Sammeln von Diagnoseinformationen X X        
Integritätsprüfung konfigurieren X X        
Ergebnisse und Einstellungen für die Integritätsprüfung anzeigen X X X X X X
Changed Block Tracking konfigurieren X X X X    
Changed Blocks auflisten X X X X X  
PVS-Beschleuniger konfigurieren X X        
PVS-Beschleunigerkonfiguration anzeigen X X X X X X

Definitionen von Berechtigungen

Rollen zuweisen/ändern:

  • Benutzer hinzufügen/entfernen
  • Rollen von Benutzern hinzufügen/entfernen
  • Aktivieren und Deaktivieren der Active Directory Integration (Mitglied der Domäne)

Mit dieser Berechtigung kann der Benutzer sich selbst eine Berechtigung erteilen oder Aufgaben ausführen.

Warnung: Mit dieser Rolle können Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Subjekte deaktivieren.

Melden Sie sich bei Serverkonsolen an:

  • Zugriff auf die Serverkonsole über ssh
  • Zugriff auf die Serverkonsole über XenCenter

Warnung: Mit Zugriff auf eine Root-Shell kann der Beauftragte das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.

Server-Backup/Wiederherstellen von VM Erstellen/Löschen von VM:

  • Sichern und Wiederherstellen von Servern
  • Sichern und Wiederherstellen von Pool-Metadaten

Die Möglichkeit, ein Backup wiederherzustellen, ermöglicht es dem Beauftragten, RBAC-Konfigurationsänderungen rückgängig zu machen.

Import/Export von OVF/OVA-Paketen und Datenträgerimages:

  • Importieren von OVF- und OVA-Paketen
  • Importieren von Datenträgerimages
  • Exportieren von VMs als OVF/OVA-Pakete

Kerne pro Sockel einstellen:

  • Festlegen der Anzahl der Kerne pro Socket für die virtuellen CPUs der VM

Diese Berechtigung ermöglicht es dem Benutzer, die Topologie für die virtuellen CPUs der virtuellen Maschine anzugeben.

Konvertieren von VMs mit Citrix Hypervisor Conversion Manager:

  • Konvertieren von VMware VMs in Citrix Hypervisor VMs

Mit dieser Berechtigung können Benutzer Arbeitslasten von VMware in Citrix Hypervisor konvertieren, indem Batches von VMware VMs in die Citrix Hypervisor-Umgebung kopiert werden.

Schalter-Port-Verriegelung:

  • Steuern des Datenverkehrs in einem Netzwerk

Mit dieser Berechtigung können Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden darf.

Multipathing:

  • Multipathing aktivieren
  • Multipathing deaktivieren

Aktive Benutzerverbindungen abmelden:

  • Möglichkeit, angemeldete Benutzer zu trennen

Warnungen erstellen/verwerfen:

  • Konfigurieren von XenCenter zum Generieren von Warnungen, wenn die Ressourcennutzung bestimmte Schwellenwerte überschreitet
  • Entfernen von Warnungen aus der Warnungsansicht

Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool schließen.

Hinweis: Die Möglichkeit zum Anzeigen von Warnungen ist Teil der Berechtigung zum Verbinden mit Pool und zum Lesen aller Pool-Metadaten.

Aufgabe eines beliebigen Benutzers abbrechen:

  • Abbrechen der ausgeführten Aufgabe eines Benutzers

Mit dieser Berechtigung kann der Benutzer anfordern, dass Citrix Hypervisor eine laufende Aufgabe abbricht, die von einem Benutzer initiiert wurde.

Pool-Verwaltung:

  • Pool-Eigenschaften festlegen (Benennung, Standard-SRs)
  • Erstellen eines Cluster-Pools
  • Hochverfügbarkeit aktivieren, deaktivieren und konfigurieren
  • Festlegen von Prioritäten für Hochverfügbarkeit pro VM
  • Konfigurieren der DR und Durchführen von DR-Failover-, Failback- und Test-Failovervorgängen
  • Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
  • Hinzufügen und Entfernen des Servers aus dem Pool
  • Notübergang zum Master
  • Notfall-Hauptadresse
  • Mitglieder des Notfall-Wiederherstellungspols
  • Neuen Master festlegen
  • Verwalten von Pool- und Serverzertifikaten
  • Patchen
  • Servereigenschaften festlegen
  • Konfigurieren der Serverprotokollierung
  • Aktivieren und Deaktivieren von Servern
  • Herunterfahren, Neustart und Einschalten von Servern
  • Toolstack neu starten
  • Systemstatusberichte
  • Lizenz anwenden
  • Livemigration aller anderen VMs auf einem Server auf einen anderen Server aufgrund des Wartungsmodus oder der hohen Verfügbarkeit
  • Konfigurieren der Serververwaltungsschnittstelle und sekundären Schnittstellen
  • Deaktivieren der Serververwaltung
  • Crashdumps löschen
  • Hinzufügen, Bearbeiten und Entfernen von Netzwerken
  • Hinzufügen, Bearbeiten und Entfernen von PBDs/PIFs/VLANs/Bonds/SRs
  • Hinzufügen, Entfernen und Abrufen von Geheimnissen

Diese Berechtigung umfasst alle Aktionen, die zum Verwalten eines Pools erforderlich sind.

Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen außer lokalen Root-Logins authentifizieren.

Live-Migration:

  • Migrieren von VMs von einem Host auf einen anderen Host, wenn sich die VMs auf einem von beiden Hosts gemeinsam genutzten Speicher befinden

Livemigration des Speichers:

  • Migrieren von einem Host auf einen anderen Host, wenn sich die VMs nicht im Speicher befinden, der zwischen den beiden Hosts gemeinsam genutzt wird
  • Verschieben von Virtual Disk (VDIs) von einem SR in einen anderen SR

Erweiterte VM-Vorgänge:

  • Anpassen des VM-Speichers (über Dynamic Memory Control)
  • Erstellen eines VM-Snapshots mit Arbeitsspeicher, Erstellen von VM-Snapshots und Rollback von VMs
  • Migrieren von VMs
  • Starten von VMs, einschließlich Angabe des physischen Servers
  • VMs fortsetzen

Diese Berechtigung bietet dem Beauftragten genügend Berechtigungen, um eine VM auf einem anderen Server zu starten, wenn er mit dem ausgewählten Citrix Hypervisor nicht zufrieden ist.

Vorgänge zum Erstellen/Löschen von VM:

  • Installieren oder Löschen
  • Klonieren/Kopieren von VMs
  • Hinzufügen, Entfernen und Konfigurieren von virtuellen Laufplatten/CD-Geräten
  • Hinzufügen, Entfernen und Konfigurieren virtueller Netzwerkgeräte
  • XVA-Dateien importieren/exportieren
  • Änderung der VM-Konfiguration
  • Serverbackup/-wiederherstellung

Hinweis:

Die VM-Administratorrolle kann XVA-Dateien nur in einen Pool mit einer gemeinsam genutzten SR importieren. Die Rolle “VM-Administrator” verfügt über unzureichende Berechtigungen, um eine XVA-Datei in einen Host oder in einen Pool ohne gemeinsam genutzten Speicher zu importieren.

CD-Medien der virtuellen Maschine ändern:

  • Aktuelle CD auswerfen
  • Neue CD einlegen

Import/Export von OVF/OVA-Paketen; Import von Datenträgerimages

Betriebszustand der virtuellen Maschine ändern:

  • VMs starten (automatische Platzierung)
  • Herunterfahren von VMs
  • VMs neu starten
  • Anhalten von VMs
  • VMs fortsetzen (automatische Platzierung)

Diese Berechtigung enthält nicht start_on, resume_on und migrate, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.

VM-Konsolen anzeigen:

  • Anzeigen und Interaktion mit VM-Konsolen

Diese Berechtigung lässt den Benutzer keine Serverkonsolen anzeigen.

XenCenter Ansichtsverwaltungsvorgänge:

  • Erstellen und Ändern globaler XenCenter Ordner
  • Erstellen und Ändern von benutzerdefinierten globalen XenCenter Feldern
  • Erstellen und Ändern globaler XenCenter Suchen

Ordner, benutzerdefinierte Felder und Suchvorgänge werden von allen Benutzern freigegeben, die auf den Pool zugreifen.

Eigene Aufgaben abbrechen:

  • Ermöglicht es einem Benutzer, seine eigenen Aufgaben abzubrechen

Audit-Protokoll lesen:

  • Citrix Hypervisor Überwachungsprotokoll herunterladen

Verbinden Sie sich mit dem Pool und lesen Sie alle Pool-Metadaten:

  • In Pool einloggen
  • Pool-Metadaten anzeigen
  • Anzeigen historischer Performance-Daten
  • Angemeldete Benutzer anzeigen
  • Anzeigen von Benutzern und Rollen
  • Nachrichten anzeigen
  • Melden Sie sich für Veranstaltungen an und erhalten Sie

Virtuelle GPU konfigurieren:

  • Angeben einer Pool-weiten Platzierungsrichtlinie
  • Zuweisen einer virtuellen GPU zu einer VM
  • Entfernen einer virtuellen GPU von einer VM
  • Zulässige virtuelle GPU-Typen ändern
  • Erstellen, Löschen oder Zuweisen einer GPU-Gruppe

Virtuelle GPU-Konfiguration anzeigen:

  • Anzeigen von GPUs, GPU-Platzierungsrichtlinien und virtuellen GPU-Zuweisungen

Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs):

  • Zugriff auf den Konfigurationstreiber der VM
  • Ändern der Parameter für die Cloud-Konfiguration

Container-Management:

  • Starten
  • Stoppen
  • Pausieren
  • Fortsetzen
  • Zugriff auf Informationen über den Container

Geplante Snapshots:

  • Hinzufügen von VMs zu vorhandenen Snapshot-Zeitplänen
  • Entfernen von VMs aus vorhandenen Snapshot-Zeitplänen
  • Snapshot-Zeitpläne hinzufügen
  • Ändern von Snapshot-Zeitplänen
  • Snapshot-Zeitpläne löschen

Sammeln Sie Diagnoseinformationen von Citrix Hypervisor:

  • Initiieren der GC-Sammlung und Heap-Komprimierung
  • Sammeln von Garbage Collection-Statistiken
  • Datenbankstatistiken erfassen
  • Sammeln von Netzwerkstatistiken

Integritätsprüfung konfigurieren:

  • Integritätsprüfung aktivieren
  • Integritätsprüfung deaktivieren
  • Einstellungen für die Integritätsprüfung aktualisieren
  • Manuelles Hochladen eines Serverstatusberichts

Ergebnisse und Einstellungen der Integritätsprüfung anzeigen:

  • Anzeigen der Ergebnisse eines Uploads von Health Check
  • Einstellungen für die Integritätsprüfung anzeigen

Changed Block Tracking konfigurieren:

  • Changed Block Tracking aktivieren
  • Changed Block Tracking deaktivieren
  • Löschen der mit einem Snapshot verknüpften Daten und Beibehaltung der Metadaten
  • Abrufen der NBD-Verbindungsinformationen für einen VDI

Changed Block Tracking kann nur für lizenzierte Instanzen von Citrix Hypervisor Premium Edition aktiviert werden.

Changed Blocks auflisten:

  • Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben.

Konfigurieren des PVS-Beschleunigers:

  • PVS-Beschleuniger aktivieren
  • PVS-Beschleuniger deaktivieren
  • Cache-Konfiguration (PVS-Accelerator) aktualisieren
  • Cache-Konfiguration (PVS-Accelerator) hinzufügen/entfernen

PVS-Beschleuniger-Konfiguration anzeigen:

  • Anzeigen des Status des PVS-Beschleunigers

Hinweis:

Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung für erhöhte Rechte erhalten hat und die Anmeldeinformationen eines Benutzers mit höherer Berechtigung eingegeben hat. Melden Sie sich in diesem Fall als berechtigter Benutzer bei XenCenter an, und wiederholen Sie die Aktion.

Wie berechnet Citrix Hypervisor die Rollen für die Sitzung?

  1. Der Betreff wird über den Active Directory -Server authentifiziert, um zu überprüfen, zu welchen Gruppen der Betreff auch gehören kann.

  2. Citrix Hypervisor überprüft dann, welche Rollen sowohl dem Betreff als auch den darin enthaltenen Gruppen zugewiesen wurden.

  3. Da Subjekte Mitglieder mehrerer Active Directory Gruppen sein können, erben sie alle Berechtigungen der zugeordneten Rollen.

 In dieser Abbildung übernehmen Betreff 2 (Gruppe 2) den Pool-Operator und Benutzer 1 Mitglied der Gruppe 2, wenn Betreff 3 (Benutzer 1) versucht, sich anzumelden, sowohl Betreff 3 (VM-Operator) als auch Gruppe 2 (Pool-Operator) Rollen. Da die Pooloperatorrolle höher ist, ist die resultierende Rolle für Betreff 3 (Benutzer 1) Pooloperator und nicht VM-Operator.

RBAC-Rollen und Berechtigungen