RBAC 角色和权限

角色

XenServer 出厂时具有以下六种预先设立的角色:

  • 池管理员 - 与本地 root 用户相同。可执行所有操作。

    注意

    本地超级用户(root 用户)具有“池管理员”角色。池管理员角色与本地 root 用户具有相同的权限。

  • 池操作员 - 可执行除添加/删除用户及更改其角色以外的所有操作。此角色主要管理主机和池(即创建存储、构建池、管理主机等)。

  • 虚拟机超级管理员(VM 超级管理员)- 创建和管理虚拟机。此角色主要预配 VM 操作员所使用的 VM。

  • 虚拟机管理员(VM 管理员)- 与 VM 超级管理员类似,但不能迁移 VM 或执行快照。

  • 虚拟机操作员(VM 操作员)- 与 VM 管理员类似,但不能创建/销毁 VM,可执行启动/停止生命周期操作。

  • 只读角色 - 可查看资源池和性能数据。

警告

使用 Active Directory 组授予需要主机 SSH 访问权限的池管理员用户所需的访问权限时,Active Directory 组中的用户数不得超过 500。

有关每个角色可以具有的权限汇总以及每种权限可执行的操作的详细信息,请参阅下面的部分中的 RBAC 角色和权限定义

在 XenServer 中创建用户时,必须先向新创建的用户分配一个角色,之后才能使用该帐户。XenServer 自动将角色分配给新创建的用户。因此,在您为这些帐户分配角色之前,它们对 XenServer 池没有任何访问权限。

  1. 修改使用者到角色的映射。此操作需要分配/修改角色权限,该权限仅适用于池管理员。

  2. 在 Active Directory 中修改包含组成员身份的用户角色。

RBAC 角色和权限定义

下表汇总了每个角色适用的权限。有关每种权限可执行的操作的详细信息,请参阅权限定义

角色权限 池管理员 池操作员 VM 超级管理员 VM 管理员 VM 操作员 只读
分配/修改角色 X          
登录到(物理)服务器控制台(通过 SSH 和 XenCenter) X          
服务器备份/还原 X          
导入/导出 OVF/OVA 包和磁盘映像 X          
设置每个插槽的核心数 X X X X    
使用 XenServer Conversion Manager 转换虚拟机 X          
交换机端口锁定 X X        
注销活动的用户连接 X X        
创建和取消警报 X X        
取消任何用户的任务 X X        
池管理 X X        
XenMotion X X X      
Storage XenMotion X X X      
VM 高级操作 X X X      
VM 创建/销毁操作 X X X X    
VM 更改 CD 介质 X X X X X  
VM 更改电源状态 X X X X X  
查看 VM 控制台 X X X X X  
XenCenter 视图管理操作 X X X X X  
取消自己的任务 X X X X X X
阅读审核日志 X X X X X X
连接到池并阅读所有池元数据 X X X X X X
配置虚拟 GPU X X        
查看虚拟 GPU 配置 X X X X X X
访问配置驱动器(仅限 CoreOS VM) X          
容器管理 X          
计划快照(在现有快照计划中添加/删除 VM) X X X      
计划快照(添加/修改/删除快照计划) X X        
配置运行状况检查 X X        
查看运行状况检查结果和设置 X X X X X X
配置更改块跟踪 X X X X    
列出更改块 X X X X X  
配置 PVS 加速器 X X        
查看 PVS 加速器配置 X X X X X X

权限的定义

分配/修改角色

  • 添加/删除用户
  • 添加/删除用户的角色
  • 启用和禁用 Active Directory 集成(加入域)

此权限允许用户向自身授予任何权限或执行任何任务。

警告:此角色允许用户禁用 Active Directory 集成以及从 Active Directory 添加的所有使用者。

登录到服务器控制台

  • 通过 SSH 访问服务器控制台
  • 访问服务器控制台 - 通过 XenCenter

警告:具备对 root shell 的访问权限之后,被分派人可以随意重新配置整个系统(包括 RBAC)。

服务器备份/还原 VM 创建/销毁操作

  • 备份和还原服务器
  • 备份和还原池元数据

还原备份的能力使被分派人能够还原 RBAC 配置更改。

导入/导出 OVF/OVA 包和磁盘映像

  • 导入 OVF 和 OVA 包
  • 导入磁盘映像
  • 将 VM 导出为 OVF/OVA 包

设置每个插槽的核心数

  • 为 VM 的虚拟 CPU 设置每个插槽的核心数

此权限允许用户为 VM 的虚拟 CPU 指定拓扑。

使用 XenServer Conversion Manager 转换 VM

  • 将 VMware VM 转换为 XenServer VM

此权限允许用户将工作负载从 VMware 转换为 XenServer,方法是将 VMware VM 的批处理作业复制到 XenServer 环境。

交换机端口锁定

  • 控制网络中的流量

此权限允许用户默认阻止网络中的所有流量,或定义允许 VM 从中发送流量的特定 IP 地址。

注销活动的用户连接

  • 断开已登录用户的连接的能力

创建/消除警报

  • 将 XenCenter 配置为当资源使用情况超过特定阈值时生成警报
  • 从“警报”视图中删除警报

警告:具有此权限的用户可以取消整个池的警报。

注意:查看警报的能力属于连接到池并读取所有池元数据权限的一部分。

取消任何用户的任务

  • 取消任何用户的正在运行的任务

此权限允许用户请求 XenServer 取消任何用户启动的正在执行的任务。

池管理

  • 设置池属性(命名、默认 SR)
  • 启用、禁用和配置高可用性
  • 设置每个 VM 的高可用性功能重新启动优先级
  • 配置 DR、执行 DR 故障转移、故障恢复以及测试故障转移操作
  • 启用、禁用和配置 Workload Balancing (WLB)
  • 在池中添加和删除服务器
  • 紧急转换到主服务器
  • 紧急主服务器地址
  • 紧急恢复从属服务器
  • 指定新的主服务器
  • 管理池和服务器证书
  • 修补
  • 设置服务器属性
  • 配置服务器日志记录
  • 启用和禁用服务器
  • 关闭、重新启动和打开服务器
  • 重新启动 Toolstack
  • 系统状态报告
  • 应用许可证
  • 由于使用维护模式或高可用性功能,请将服务器上的所有其他 VM 实时迁移到另一台服务器
  • 配置服务器管理接口和辅助接口
  • 禁用服务器管理
  • 删除故障转储
  • 添加、编辑和删除网络
  • 添加、编辑和删除 PBD/PIF/VLAN/绑定/SR
  • 添加、删除和检索机密信息

此权限包括维护池需执行的所有操作。

注意:如果管理接口无法使用,则除本地 root 登录外,其他登录均无法通过身份验证。

XenMotion

  • 当 VM 位于两个主机共享的存储中时,将 VM 从一个主机迁移到另一个主机

Storage XenMotion

  • 当 VM 不位于两个主机之间共享的存储中时,从一个主机迁移到另一个主机
  • 将虚拟磁盘 (VDI) 从一个 SR 迁移到另一个 SR

VM 高级操作

  • 调整 VM 内存(通过动态内存控制)
  • 创建包含内存数据的 VM 快照、生成 VM 快照及回滚 VM
  • 迁移 VM
  • 启动 VM,包括指定物理服务器
  • 恢复 VM

此权限向被授权人提供了足够的权限,使其能够在对所选的 XenServer 服务器不满意时在其他服务器上启动 VM。

VM 创建/销毁操作

  • 安装或删除
  • 克隆/复制 VM
  • 添加、删除和配置虚拟磁盘/CD 设备
  • 添加、删除和配置虚拟网络设备
  • 导入/导出 XVA 文件
  • VM 配置更改
  • 服务器备份/还原

注意

VM 管理员角色可以仅将 XVA 文件导入到具有共享 SR 的池中。VM 管理员角色的权限不足,无法将 XVA 文件导入到主机中或者导入到没有共享存储的池中。

VM 更改 CD 介质

  • 弹出当前的 CD
  • 插入新 CD

导入/导出 OVF/OVA 包;导入磁盘映像

VM 更改电源状态

  • 启动 VM(自动放置)
  • 关闭 VM
  • 重新启动 VM
  • 挂起 VM
  • 恢复 VM(自动放置)

此权限不包括启动、恢复和迁移,这三种权限属于 VM 高级操作权限。

查看 VM 控制台

  • 查看 VM 控制台以及与其交互

此权限不允许用户查看服务器控制台。

XenCenter 视图管理操作

  • 创建和修改全局 XenCenter 文件夹
  • 创建和修改全局 XenCenter 自定义字段
  • 创建和修改全局 XenCenter 搜索

文件夹、自定义字段和搜索在访问池的所有用户间共享

取消自己的任务

  • 允许用户取消自己的任务

读取审核日志

  • 下载 XenServer 审核日志

连接到池并读取所有池元数据

  • 登录到池
  • 查看池元数据
  • 查看历史性能数据
  • 查看登录的用户
  • 查看用户和角色
  • 查看消息
  • 注册参加和接收事件

配置虚拟 GPU

  • 指定池范围内的放置策略
  • 将虚拟 GPU 分配给 VM
  • 从 VM 中删除虚拟 GPU
  • 修改允许的虚拟 GPU 类型
  • 创建、销毁或分配 GPU 组

查看虚拟 GPU 配置

  • 查看 GPU、GPU 放置策略和虚拟 GPU 分配

访问配置驱动器(仅限 CoreOS VM)

  • 访问 VM 的配置驱动程序
  • 修改云配置参数

容器管理

  • 启动
  • 停止
  • 暂停
  • 恢复
  • 访问与容器有关的信息

计划快照

  • 向现有快照计划中添加 VM
  • 从现有快照计划中删除 VM
  • 添加快照计划
  • 修改快照计划
  • 删除快照计划

配置运行状况检查

  • 启用运行状况检查
  • 禁用运行状况检查
  • 更新运行状况检查设置
  • 手动上载服务器状态报告

查看运行状况检查结果和设置

  • 查看运行状况检查上载结果
  • 查看运行状况检查注册设置

配置更改块跟踪

  • 启用更改块跟踪
  • 禁用更改块跟踪
  • 销毁与快照关联的数据并保留元数据
  • 获取 VDI 的 NBD 连接信息

只能对获得许可的 XenServer Enterprise Edition 实例启用更改块跟踪。

列出更改块

  • 比较两个 VDI 快照并列出这两个快照之间已更改的块

配置 PVS 加速器

  • 启用 PVS 加速器
  • 禁用 PVS 加速器
  • 更新(PVS 加速器)缓存配置
  • 添加或删除(PVS 加速器)缓存配置

查看 PVS 加速器配置

  • 查看 PVS 加速器的状态

注意

有时,具有只读权限的用户无法将资源移动到 XenCenter 中的文件夹,即使在接收到提升提示并提供了更具特权的用户的凭据之后也是如此。在这种情况下,以更具特权的用户身份登录到 XenCenter 并重试该操作。

XenServer 如何计算会话的角色?

  1. 使用者通过 Active Directory 服务器进行身份验证,以确定该使用者还可能属于哪些包含组。

  2. XenServer 接下来会确定已将哪些角色同时分配给该使用者及其包含组。

  3. 由于使用者可以是多个 Active Directory 组的成员,因此,使用者会继承关联角色的所有权限。

 在上图中,由于使用者 2(组 2)是池操作员,而用户 1 是组 2 的成员,因此,使用者 3(用户 1)尝试登录时,将同时继承使用者 3(VM 操作员)和组 2(池操作员)角色。由于池操作员角色级别更高,因此,使用者 3(用户 1)的最终角色是池操作员而非 VM 操作员。

RBAC 角色和权限