通过

VMware vCenter 的 CloudSimple 私有云权限模型

  • 项目

CloudSimple 保留对私有云环境的完全管理访问权限。 为每位 CloudSimple 客户授予了足够的管理权限,使其能够在自己的环境中部署和管理虚拟机。 如果需要,你可以暂时提升自己的权限以执行管理功能。

云所有者

创建私有云时,会在 vCenter 单一登录域中创建一个 CloudOwner 用户,该用户具有 Cloud-Owner-Role 访问权限,可管理私有云中的对象 。 此用户还可以设置私有云 vCenter 的其他 vCenter 标识源和其他用户。

注意

创建私有云时,CloudSimple 私有云 vCenter 的默认用户是 cloudowner@cloudsimple.local。

用户组

在部署私有云的过程中,会创建一个名为“Cloud-Owner-Group”的组。 此组中的用户可以管理私有云上的 vSphere 环境的各个部分。 系统会自动授予此组 Cloud-Owner-Role 权限,并且会将 CloudOwner 用户添加为此组的成员。 CloudSimple 创建具有受限权限的其他组,以便进行轻松管理。 可将任何用户添加到这些预先创建的组,并且会自动将以下定义的权限分配给这些组中的用户。

预先创建的组

组名 用途 角色
Cloud-Owner-Group 此组的成员具有对私有云 vCenter 的管理权限 Cloud-Owner-Role
Cloud-Global-Cluster-Admin-Group 此组的成员具有对私有云 vCenter 群集的管理权限 Cloud-Cluster-Admin-Role
Cloud-Global-Storage-Admin-Group 此组的成员可以管理私有云 vCenter 上的存储 Cloud-Storage-Admin-Role
Cloud-Global-Network-Admin-Group 此组的成员可以在私有云 vCenter 上管理网络和分布式端口组 Cloud-Network-Admin-Role
Cloud-Global-VM-Admin-Group 此组的成员可以管理私有云 vCenter 上的虚拟机 Cloud-VM-Admin-Role

若要向单个用户授予管理私有云的权限,请创建用户帐户并将其添加到相应的组。

注意

新用户只能添加到“云所有者组”、“云全局群集管理组”、“云全局存储管理组”、“云全局网络管理组”或“云全局 VM 管理组”。 添加到“管理员”组的用户将被自动删除。 服务帐户只能添加到“管理员”组,且服务帐户不得用于登录 vSphere Web UI。

默认角色的 vCenter 权限列表

Cloud-Owner-Role

类别 Privilege
警报 确认警报
创建警报
禁用警报操作
修改警报
删除警报
设置警报状态
权限 修改权限
内容库 添加库项
创建本地库
创建订阅的库
删除库项
删除本地库
删除订阅的库
下载文件
逐出库项
逐出订阅的库
导入存储
探测订阅信息
读取存储
同步库项
同步订阅的库
类型自检
更新配置设置
更新文件
更新库
更新库项
更新本地库
更新订阅的库
查看配置设置
加密操作 添加磁盘
克隆
解密
直接访问
加密
加密新增内容
管理 KMS
管理加密策略
管理密钥
Migrate
重新加密
注册 VM
注册主机
dvPort 组 创建
删除
修改
策略操作
范围操作
数据存储 分配空间
浏览数据存储
配置数据存储
低级别文件操作
移动数据存储
删除数据存储
删除文件
重命名数据存储
更新虚拟机文件
更新虚拟机元数据
ESX 代理管理器 Config
修改
查看
扩展名 注册扩展
注销扩展
更新扩展
外部统计信息提供程序 注册
注销
更新
文件夹 创建文件夹
删除文件夹
移动文件夹
重命名文件夹
全球 取消任务
容量计划
诊断
禁用方法
启用方法
全局标记
健康产业
许可证
记录事件
管理自定义属性
代理
脚本操作
服务管理器
设置自定义属性
系统标记
运行状况更新提供程序 注册
注销
更新
主机 > 配置 存储分区配置
主机 > 清单 修改群集
vSphere 标记 分配或取消分配 vSphere 标记
创建 vSphere 标记
创建 vSphere 标记类别
删除 vSphere 标记
删除 vSphere 标记类别
编辑 vSphere 标记
编辑 vSphere 标记类别
修改类别的 UsedBy 字段
修改标记的 UsedBy 字段
Network Assign network
配置
移动网络
删除
“性能” 修改间隔
主机配置文件 视图
资源 应用建议
将 vApp 分配到资源池
Assign virtual machine to resource pool
创建资源池
迁移已关闭的虚拟机
迁移已启动的虚拟机
修改资源池
移动资源池
查询 vMotion
删除资源池
重命名资源池
计划任务 创建任务
修改任务
删除任务
运行任务
会话 模拟用户
消息
验证会话
查看和停止会话
数据存储群集 配置数据存储群集
配置文件驱动的存储 配置文件驱动的存储更新
配置文件驱动的存储视图
存储视图 配置服务
视图
任务 创建任务
更新任务
传输服务 管理
监视
vApp 添加虚拟机
分配资源池
分配 vApp
克隆
创建
删除
导出
导入
移动
关机
开机
重命名
挂起
注销
查看 OVF 环境
vApp 应用程序配置
vApp 实例配置
vApp managedBy 配置
vApp 资源配置
VRMPolicy 查询 VRMPolicy
更新 VRMPolicy
虚拟机 > 配置 添加现有磁盘
添加新磁盘
添加或删除设备
高级
更改 CPU 计数
更改资源
配置 managedBy
磁盘更改跟踪
磁盘租用
显示连接设置
扩展虚拟磁盘
主机 USB 设备
内存
修改设备设置
查询容错兼容性
查询无主文件
原始设备
从路径重载
删除磁盘
重命名
重置来宾信息
设置批注
设置
交换文件位置
切换分支父级
解锁虚拟机
升级虚拟机兼容性
虚拟机 > 来宾操作 来宾操作别名修改
来宾操作别名查询
来宾操作修改
来宾操作程序执行
来宾操作查询
虚拟机 > 交互 回答问题
在虚拟机上备份操作
配置 CD 媒体
配置软盘媒体
控制台交互
创建屏幕截图
对所有磁盘进行碎片整理
设备连接
拖放
通过 VIX API 管理来宾操作系统
插入 USB HID 扫描代码
暂停或取消暂停
执行擦除或收缩操作
关机
开机
在虚拟机上记录会话
在虚拟机上重播会话
重置
恢复容错
挂起
挂起容错
测试故障转移
测试重启辅助 VM
关闭容错
启用容错
VMware 工具安装
虚拟机 > 清单 从现有创建
新建
移动
注册
删除
注销
虚拟机 > 预配 允许磁盘访问
允许文件访问
Allow read-only disk access
允许虚拟机下载
允许虚拟机文件上传
克隆模板
克隆虚拟机
从虚拟机创建模板
自定义
部署模板
标记为模板
标记为虚拟机
修改自定义规范
提升磁盘
读取自定义规范
虚拟机 > 服务配置 允许通知
允许轮询全局事件通知
管理服务配置
修改服务配置
查询服务配置
读取服务配置
虚拟机 > 快照管理 Create snapshot
删除快照
重命名快照
还原到快照
虚拟机 > vSphere 复制 配置复制
管理复制
监视复制
vService 创建依赖项
销毁依赖项
重新配置依赖项配置
更新依赖项

Cloud-Cluster-Admin-Role

类别 Privilege
数据存储 分配空间
浏览数据存储
配置数据存储
低级别文件操作
删除数据存储
重命名数据存储
更新虚拟机文件
更新虚拟机元数据
文件夹 创建文件夹
删除文件夹
移动文件夹
重命名文件夹
主机 > 配置 存储分区配置
vSphere 标记 分配或取消分配 vSphere 标记
创建 vSphere 标记
创建 vSphere 标记类别
删除 vSphere 标记
删除 vSphere 标记类别
编辑 vSphere 标记
编辑 vSphere 标记类别
修改类别的 UsedBy 字段
修改标记的 UsedBy 字段
Network Assign network
资源 应用建议
将 vApp 分配到资源池
Assign virtual machine to resource pool
创建资源池
迁移已关闭的虚拟机
迁移已启动的虚拟机
修改资源池
移动资源池
查询 vMotion
删除资源池
重命名资源池
vApp 添加虚拟机
分配资源池
分配 vApp
克隆
创建
删除
导出
导入
移动
关机
开机
重命名
挂起
注销
查看 OVF 环境
vApp 应用程序配置
vApp 实例配置
vApp managedBy 配置
vApp 资源配置
VRMPolicy 查询 VRMPolicy
更新 VRMPolicy
虚拟机 > 配置 添加现有磁盘
添加新磁盘
添加或删除设备
高级
更改 CPU 计数
更改资源
配置 managedBy
磁盘更改跟踪
磁盘租用
显示连接设置
扩展虚拟磁盘
主机 USB 设备
内存
修改设备设置
查询容错兼容性
查询无主文件
原始设备
从路径重载
删除磁盘
重命名
重置来宾信息
设置批注
设置
交换文件位置
切换分支父级
解锁虚拟机
升级虚拟机兼容性
虚拟机 > 来宾操作 来宾操作别名修改
来宾操作别名查询
来宾操作修改
来宾操作程序执行
来宾操作查询
虚拟机 > 交互 回答问题
在虚拟机上备份操作
配置 CD 媒体
配置软盘媒体
控制台交互
创建屏幕截图
对所有磁盘进行碎片整理
设备连接
拖放
通过 VIX API 管理来宾操作系统
插入 USB HID 扫描代码
暂停或取消暂停
执行擦除或收缩操作
关机
开机
在虚拟机上记录会话
在虚拟机上重播会话
重置
恢复容错
挂起
挂起容错
测试故障转移
测试重启辅助 VM
关闭容错
启用容错
VMware 工具安装
虚拟机 > 清单 从现有创建
新建
移动
注册
删除
注销
虚拟机 > 预配 允许磁盘访问
允许文件访问
Allow read-only disk access
允许虚拟机下载
允许虚拟机文件上传
克隆模板
克隆虚拟机
从虚拟机创建模板
自定义
部署模板
标记为模板
标记为虚拟机
修改自定义规范
提升磁盘
读取自定义规范
虚拟机 > 服务配置 允许通知
允许轮询全局事件通知
管理服务配置
修改服务配置
查询服务配置
读取服务配置
虚拟机 > 快照管理 Create snapshot
删除快照
重命名快照
还原到快照
虚拟机 > vSphere 复制 配置复制
管理复制
监视复制
vService 创建依赖项
销毁依赖项
重新配置依赖项配置
更新依赖项

Cloud-Storage-Admin-Role

类别 Privilege
数据存储 分配空间
浏览数据存储
配置数据存储
低级别文件操作
删除数据存储
重命名数据存储
更新虚拟机文件
更新虚拟机元数据
主机 > 配置 存储分区配置
数据存储群集 配置数据存储群集
配置文件驱动的存储 配置文件驱动的存储更新
配置文件驱动的存储视图
存储视图 配置服务
视图

Cloud-Network-Admin-Role

类别 Privilege
dvPort 组 创建
删除
修改
策略操作
范围操作
Network Assign network
配置
移动网络
删除
虚拟机 > 配置 修改设备设置

Cloud-VM-Admin-Role

类别 Privilege
数据存储 分配空间
浏览数据存储
Network Assign network
资源 Assign virtual machine to resource pool
迁移已关闭的虚拟机
迁移已启动的虚拟机
vApp 导出
导入
虚拟机 > 配置 添加现有磁盘
添加新磁盘
添加或删除设备
高级
更改 CPU 计数
更改资源
配置 managedBy
磁盘更改跟踪
磁盘租用
显示连接设置
扩展虚拟磁盘
主机 USB 设备
内存
修改设备设置
查询容错兼容性
查询无主文件
原始设备
从路径重载
删除磁盘
重命名
重置来宾信息
设置批注
设置
交换文件位置
切换分支父级
解锁虚拟机
升级虚拟机兼容性
虚拟机 > 来宾操作 来宾操作别名修改
来宾操作别名查询
来宾操作修改
来宾操作程序执行
来宾操作查询
虚拟机 > 交互 回答问题
在虚拟机上备份操作
配置 CD 媒体
配置软盘媒体
控制台交互
创建屏幕截图
对所有磁盘进行碎片整理
设备连接
拖放
通过 VIX API 管理来宾操作系统
插入 USB HID 扫描代码
暂停或取消暂停
执行擦除或收缩操作
关机
开机
在虚拟机上记录会话
在虚拟机上重播会话
重置
恢复容错
挂起
挂起容错
测试故障转移
测试重启辅助 VM
关闭容错
启用容错
VMware 工具安装
虚拟机 > 清单 从现有创建
新建
移动
注册
删除
注销
虚拟机 > 预配 允许磁盘访问
允许文件访问
Allow read-only disk access
允许虚拟机下载
允许虚拟机文件上传
克隆模板
克隆虚拟机
从虚拟机创建模板
自定义
部署模板
标记为模板
标记为虚拟机
修改自定义规范
提升磁盘
读取自定义规范
虚拟机 > 服务配置 允许通知
允许轮询全局事件通知
管理服务配置
修改服务配置
查询服务配置
读取服务配置
虚拟机 > 快照 Create snapshot
删除快照
重命名快照
还原到快照
虚拟机 > vSphere 复制 配置复制
管理复制
监视复制
vService 创建依赖项
销毁依赖项
重新配置依赖项配置
更新依赖项