VMware vCenter 的 CloudSimple 私有云权限模型
CloudSimple 保留对私有云环境的完全管理访问权限。 为每位 CloudSimple 客户授予了足够的管理权限,使其能够在自己的环境中部署和管理虚拟机。 如果需要,你可以暂时提升自己的权限以执行管理功能。
云所有者
创建私有云时,会在 vCenter 单一登录域中创建一个 CloudOwner 用户,该用户具有 Cloud-Owner-Role 访问权限,可管理私有云中的对象 。 此用户还可以设置私有云 vCenter 的其他 vCenter 标识源和其他用户。
注意
创建私有云时,CloudSimple 私有云 vCenter 的默认用户是 cloudowner@cloudsimple.local。
用户组
在部署私有云的过程中,会创建一个名为“Cloud-Owner-Group”的组。 此组中的用户可以管理私有云上的 vSphere 环境的各个部分。 系统会自动授予此组 Cloud-Owner-Role 权限,并且会将 CloudOwner 用户添加为此组的成员。 CloudSimple 创建具有受限权限的其他组,以便进行轻松管理。 可将任何用户添加到这些预先创建的组,并且会自动将以下定义的权限分配给这些组中的用户。
预先创建的组
| 组名 | 用途 | 角色 |
|---|---|---|
| Cloud-Owner-Group | 此组的成员具有对私有云 vCenter 的管理权限 | Cloud-Owner-Role |
| Cloud-Global-Cluster-Admin-Group | 此组的成员具有对私有云 vCenter 群集的管理权限 | Cloud-Cluster-Admin-Role |
| Cloud-Global-Storage-Admin-Group | 此组的成员可以管理私有云 vCenter 上的存储 | Cloud-Storage-Admin-Role |
| Cloud-Global-Network-Admin-Group | 此组的成员可以在私有云 vCenter 上管理网络和分布式端口组 | Cloud-Network-Admin-Role |
| Cloud-Global-VM-Admin-Group | 此组的成员可以管理私有云 vCenter 上的虚拟机 | Cloud-VM-Admin-Role |
若要向单个用户授予管理私有云的权限,请创建用户帐户并将其添加到相应的组。
注意
新用户只能添加到“云所有者组”、“云全局群集管理组”、“云全局存储管理组”、“云全局网络管理组”或“云全局 VM 管理组”。 添加到“管理员”组的用户将被自动删除。 服务帐户只能添加到“管理员”组,且服务帐户不得用于登录 vSphere Web UI。
默认角色的 vCenter 权限列表
Cloud-Owner-Role
| 类别 | Privilege |
|---|---|
| 警报 | 确认警报 创建警报 禁用警报操作 修改警报 删除警报 设置警报状态 |
| 权限 | 修改权限 |
| 内容库 | 添加库项 创建本地库 创建订阅的库 删除库项 删除本地库 删除订阅的库 下载文件 逐出库项 逐出订阅的库 导入存储 探测订阅信息 读取存储 同步库项 同步订阅的库 类型自检 更新配置设置 更新文件 更新库 更新库项 更新本地库 更新订阅的库 查看配置设置 |
| 加密操作 | 添加磁盘 克隆 解密 直接访问 加密 加密新增内容 管理 KMS 管理加密策略 管理密钥 Migrate 重新加密 注册 VM 注册主机 |
| dvPort 组 | 创建 删除 修改 策略操作 范围操作 |
| 数据存储 | 分配空间 浏览数据存储 配置数据存储 低级别文件操作 移动数据存储 删除数据存储 删除文件 重命名数据存储 更新虚拟机文件 更新虚拟机元数据 |
| ESX 代理管理器 | Config 修改 查看 |
| 扩展名 | 注册扩展 注销扩展 更新扩展 |
| 外部统计信息提供程序 | 注册 注销 更新 |
| 文件夹 | 创建文件夹 删除文件夹 移动文件夹 重命名文件夹 |
| 全球 | 取消任务 容量计划 诊断 禁用方法 启用方法 全局标记 健康产业 许可证 记录事件 管理自定义属性 代理 脚本操作 服务管理器 设置自定义属性 系统标记 |
| 运行状况更新提供程序 | 注册 注销 更新 |
| 主机 > 配置 | 存储分区配置 |
| 主机 > 清单 | 修改群集 |
| vSphere 标记 | 分配或取消分配 vSphere 标记 创建 vSphere 标记 创建 vSphere 标记类别 删除 vSphere 标记 删除 vSphere 标记类别 编辑 vSphere 标记 编辑 vSphere 标记类别 修改类别的 UsedBy 字段 修改标记的 UsedBy 字段 |
| Network | Assign network 配置 移动网络 删除 |
| “性能” | 修改间隔 |
| 主机配置文件 | 视图 |
| 资源 | 应用建议 将 vApp 分配到资源池 Assign virtual machine to resource pool 创建资源池 迁移已关闭的虚拟机 迁移已启动的虚拟机 修改资源池 移动资源池 查询 vMotion 删除资源池 重命名资源池 |
| 计划任务 | 创建任务 修改任务 删除任务 运行任务 |
| 会话 | 模拟用户 消息 验证会话 查看和停止会话 |
| 数据存储群集 | 配置数据存储群集 |
| 配置文件驱动的存储 | 配置文件驱动的存储更新 配置文件驱动的存储视图 |
| 存储视图 | 配置服务 视图 |
| 任务 | 创建任务 更新任务 |
| 传输服务 | 管理 监视 |
| vApp | 添加虚拟机 分配资源池 分配 vApp 克隆 创建 删除 导出 导入 移动 关机 开机 重命名 挂起 注销 查看 OVF 环境 vApp 应用程序配置 vApp 实例配置 vApp managedBy 配置 vApp 资源配置 |
| VRMPolicy | 查询 VRMPolicy 更新 VRMPolicy |
| 虚拟机 > 配置 | 添加现有磁盘 添加新磁盘 添加或删除设备 高级 更改 CPU 计数 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 主机 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重载 删除磁盘 重命名 重置来宾信息 设置批注 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 来宾操作 | 来宾操作别名修改 来宾操作别名查询 来宾操作修改 来宾操作程序执行 来宾操作查询 |
| 虚拟机 > 交互 | 回答问题 在虚拟机上备份操作 配置 CD 媒体 配置软盘媒体 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理来宾操作系统 插入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关机 开机 在虚拟机上记录会话 在虚拟机上重播会话 重置 恢复容错 挂起 挂起容错 测试故障转移 测试重启辅助 VM 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 清单 | 从现有创建 新建 移动 注册 删除 注销 |
| 虚拟机 > 预配 | 允许磁盘访问 允许文件访问 Allow read-only disk access 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 | 允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照管理 | Create snapshot 删除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 | 配置复制 管理复制 监视复制 |
| vService | 创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |
Cloud-Cluster-Admin-Role
| 类别 | Privilege |
|---|---|
| 数据存储 | 分配空间 浏览数据存储 配置数据存储 低级别文件操作 删除数据存储 重命名数据存储 更新虚拟机文件 更新虚拟机元数据 |
| 文件夹 | 创建文件夹 删除文件夹 移动文件夹 重命名文件夹 |
| 主机 > 配置 | 存储分区配置 |
| vSphere 标记 | 分配或取消分配 vSphere 标记 创建 vSphere 标记 创建 vSphere 标记类别 删除 vSphere 标记 删除 vSphere 标记类别 编辑 vSphere 标记 编辑 vSphere 标记类别 修改类别的 UsedBy 字段 修改标记的 UsedBy 字段 |
| Network | Assign network |
| 资源 | 应用建议 将 vApp 分配到资源池 Assign virtual machine to resource pool 创建资源池 迁移已关闭的虚拟机 迁移已启动的虚拟机 修改资源池 移动资源池 查询 vMotion 删除资源池 重命名资源池 |
| vApp | 添加虚拟机 分配资源池 分配 vApp 克隆 创建 删除 导出 导入 移动 关机 开机 重命名 挂起 注销 查看 OVF 环境 vApp 应用程序配置 vApp 实例配置 vApp managedBy 配置 vApp 资源配置 |
| VRMPolicy | 查询 VRMPolicy 更新 VRMPolicy |
| 虚拟机 > 配置 | 添加现有磁盘 添加新磁盘 添加或删除设备 高级 更改 CPU 计数 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 主机 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重载 删除磁盘 重命名 重置来宾信息 设置批注 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 来宾操作 | 来宾操作别名修改 来宾操作别名查询 来宾操作修改 来宾操作程序执行 来宾操作查询 |
| 虚拟机 > 交互 | 回答问题 在虚拟机上备份操作 配置 CD 媒体 配置软盘媒体 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理来宾操作系统 插入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关机 开机 在虚拟机上记录会话 在虚拟机上重播会话 重置 恢复容错 挂起 挂起容错 测试故障转移 测试重启辅助 VM 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 清单 | 从现有创建 新建 移动 注册 删除 注销 |
| 虚拟机 > 预配 | 允许磁盘访问 允许文件访问 Allow read-only disk access 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 | 允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照管理 | Create snapshot 删除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 | 配置复制 管理复制 监视复制 |
| vService | 创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |
Cloud-Storage-Admin-Role
| 类别 | Privilege |
|---|---|
| 数据存储 | 分配空间 浏览数据存储 配置数据存储 低级别文件操作 删除数据存储 重命名数据存储 更新虚拟机文件 更新虚拟机元数据 |
| 主机 > 配置 | 存储分区配置 |
| 数据存储群集 | 配置数据存储群集 |
| 配置文件驱动的存储 | 配置文件驱动的存储更新 配置文件驱动的存储视图 |
| 存储视图 | 配置服务 视图 |
Cloud-Network-Admin-Role
| 类别 | Privilege |
|---|---|
| dvPort 组 | 创建 删除 修改 策略操作 范围操作 |
| Network | Assign network 配置 移动网络 删除 |
| 虚拟机 > 配置 | 修改设备设置 |
Cloud-VM-Admin-Role
| 类别 | Privilege |
|---|---|
| 数据存储 | 分配空间 浏览数据存储 |
| Network | Assign network |
| 资源 | Assign virtual machine to resource pool 迁移已关闭的虚拟机 迁移已启动的虚拟机 |
| vApp | 导出 导入 |
| 虚拟机 > 配置 | 添加现有磁盘 添加新磁盘 添加或删除设备 高级 更改 CPU 计数 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 主机 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重载 删除磁盘 重命名 重置来宾信息 设置批注 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 来宾操作 | 来宾操作别名修改 来宾操作别名查询 来宾操作修改 来宾操作程序执行 来宾操作查询 |
| 虚拟机 > 交互 | 回答问题 在虚拟机上备份操作 配置 CD 媒体 配置软盘媒体 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理来宾操作系统 插入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关机 开机 在虚拟机上记录会话 在虚拟机上重播会话 重置 恢复容错 挂起 挂起容错 测试故障转移 测试重启辅助 VM 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 清单 | 从现有创建 新建 移动 注册 删除 注销 |
| 虚拟机 > 预配 | 允许磁盘访问 允许文件访问 Allow read-only disk access 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 | 允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照 | Create snapshot 删除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 | 配置复制 管理复制 监视复制 |
| vService | 创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |