VMware vCenter 的 CloudSimple 私人雲端權限模型
CloudSimple 會保留私人雲端環境的完整系統管理存取權。 每個 CloudSimple 客戶都會獲得足夠的系統管理權限,才能在其環境中部署及管理虛擬機器。 如有需要,您可以暫時提升權限來執行系統管理功能。
雲端擁有者
當您建立私人雲端時,會在 vCenter 單一登入網域中建立 CloudOwner 使用者,並具有 Cloud-Owner-Role 存取權可管理私人雲端中的物件。 此使用者也可以設定其他 vCenter 身分識別來源,以及將其他使用者設定至私人雲端 vCenter。
注意
在建立私人雲端時,CloudSimple 私人雲端 vCenter 的預設使用者是 cloudowner@cloudsimple.local。
使用者群組
在部署私人雲端期間,會建立名為 Cloud-Owner-Group 的群組。 此群組中的使用者可以在私人雲端上管理 vSphere 環境的各個部分。 此群組會自動獲得 Cloud-Owner-Role 權限,且會新增 CloudOwner 使用者做為此群組的成員。 CloudSimple 會建立有限權限的額外群組,以方便管理。 您可以將任何使用者新增至這些預先建立的群組,且下列定義的權限會自動指派給群組中的使用者。
預先建立的群組
| 群組名稱 | 目的 | 角色 |
|---|---|---|
| Cloud-Owner-Group | 此群組的成員具有私人雲端 vCenter 的系統管理權限 | Cloud-Owner-Role |
| Cloud-Global-Cluster-Admin-Group | 此群組的成員具有私人雲端 vCenter 叢集的系統管理權限 | Cloud-Cluster-Admin-Role |
| Cloud-Global-Storage-Admin-Group | 此群組的成員可管理私人雲端 vCenter 上的儲存體 | Cloud-Storage-Admin-Role |
| Cloud-Global-Network-Admin-Group | 此群組的成員可以管理私人雲端 vCenter 上的網路和分散式連接埠群組 | Cloud-Network-Admin-Role |
| Cloud-Global-VM-Admin-Group | 此群組的成員可管理私人雲端 vCenter 上的虛擬機器 | Cloud-VM-Admin-Role |
若要向個別使用者授與私人雲端的管理權限,請建立使用者帳戶,以新增至適當的群組。
警告
新的使用者只能新增至 Cloud-Owner-Group、Cloud-Global-Cluster-Admin-Group、Cloud-Global-Storage-Admin-Group、Cloud-Global-Network-Admin-Group 或 Cloud-Global-VM-Admin-Group。 系統會自動移除新增至 [系統管理員] 群組的使用者。 僅服務帳戶須新增至 [系統管理員] 群組,且服務帳戶不得用來登入 vSphere 網頁 UI。
預設角色的 vCenter 權限清單
Cloud-Owner-Role
| 類別 | Privilege |
|---|---|
| 警示 | 確認警示 建立警報 停用警報動作 修改警報 移除警報 設定警報狀態 |
| 權限 | 修改權限 |
| 內容庫 | 新增程式庫項目 建立本機程式庫 建立已訂閱的程式庫 刪除程式庫項目 刪除本機程式庫 刪除已訂閱的程式庫 下載檔案 收回程式庫項目 收回已訂閱的程式庫 匯入儲存體 探查訂用帳戶資訊 讀取儲存體 同步程式庫項目 同步已訂閱的程式庫 輸入自我檢查 更新組態設定 更新檔案 更新程式庫 更新程式庫項目 更新本機程式庫 更新已訂閱的程式庫 檢視組態設定 |
| 密碼編譯作業 | 新增磁碟 複製 解密 直接存取 Encrypt 加密 [new] 管理 KMS 管理加密原則 管理金鑰 移轉 Recrypt 註冊 VM 暫存器主機 |
| dvPort 群組 | 建立 刪除 修改 原則作業 範圍作業 |
| Datastore | 配置空間 瀏覽資料存放區 設定資料存放區 低階檔案作業 移動資料存放區 移除資料存放區 移除檔案 重新命名資料存放區 更新虛擬機器檔案 更新虛擬機器中繼資料 |
| ESX 代理程式管理員 | Config 修改 檢視 |
| 副檔名 | 註冊延伸模組 取消註冊延伸模組 更新延伸模組 |
| 外部統計資料提供者 | 註冊 Unregister 更新 |
| 資料夾 | 建立資料夾 刪除資料夾 移動資料夾 重新命名資料夾 |
| 全球 | 取消工作 容量規劃 診斷 停用方法 啟用方法 全域標記 醫療 授權 記錄事件 管理自訂屬性 Proxy 指令碼動作 服務管理員 設定自訂屬性 系統標記 |
| 健康情況更新提供者 | 註冊 Unregister 更新 |
| 主機與設定 | 儲存體資料分割組態 |
| 主機與清查 | 修改叢集 |
| vSphere 標記 | 指派或取消指派 vSphere 標記 建立 vSphere 標記 建立 vSphere 標記分類 刪除 vSphere 標記 刪除 vSphere 標記分類 編輯 vSphere 標記 編輯 vSphere 標記分類 修改分類的 UsedBy 欄位 修改標記的 UsedBy 欄位 |
| 網路 | 指派網路 設定 移動網路 移除 |
| 效能 | 修改間隔 |
| 主機設定檔 | 檢視 |
| 資源 | 套用建議 將 vApp 指派給資源集區 將虛擬機器指派給資源集區 建立資源集區 移轉已關閉電源的虛擬機器 移轉已開啟電源的虛擬機器 修改資源集區 移動資源集區 查詢 vMotion 移除資源集區 重新命名資源集區 |
| 排定的工作 | 建立工作 修改工作 移除工作 執行工作 |
| 工作階段 | 模擬使用者 訊息 驗證工作階段 檢視及停止工作階段 |
| 資料存放區叢集 | 設定資料存放區叢集 |
| 設定檔驅動儲存體 | 設定檔驅動儲存體更新 設定檔驅動儲存體檢視 |
| 儲存體檢視 | 設定服務 檢視 |
| 工作 | 建立工作 更新工作 |
| 傳輸服務 | 管理 監視器 |
| vApp | 新增虛擬機器 指派資源集區 指派 vApp 複製 建立 刪除 匯出 匯入 移動 關閉電源 開啟電源 重新命名 暫止 Unregister 檢視 OVF 環境 vApp 應用程式設定 vApp 執行個體設定 vApp managedBy 設定 vApp 資源設定 |
| VRMPolicy | 查詢 VRMPolicy 更新 VRMPolicy |
| 虛擬機器與設定 | 新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 計數 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 Memory 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設來賓資訊 設定註釋 設定 交換檔放置 切換分叉父代 解除鎖定虛擬機器 升級虛擬機器相容性 |
| 虛擬機器與客體作業 | 客體作業別名修改 客體作業別名查詢 客體作業修改 客體作業程式執行 客體作業查詢 |
| 虛擬機器與互動 | 回答問題 虛擬機器上的備份作業 設定 CD 媒體 設定磁片媒體 主控台互動 建立螢幕擷取畫面 重組所有磁碟 裝置連線 拖放 VIX API 的客體作業系統管理 插入 USB HID 掃描代碼 暫停或取消暫停 執行抹除或壓縮作業 關閉電源 開啟電源 虛擬機器上的記錄工作階段 虛擬機器上的重新執行工作階段 重設 繼續容錯 暫止 暫停容錯 測試容錯移轉 測試重新啟動次要 VM 關閉容錯 開啟容錯 VMware 工具安裝 |
| 虛擬機器與詳細目錄 | 從現有項目中建立 新建 移動 註冊 移除 Unregister |
| 虛擬機器與佈建 | 允許磁碟存取 允許檔案存取 允許唯讀磁碟存取 允許虛擬機器下載 允許虛擬機器檔案上傳 複製範本 複製虛擬機器 從虛擬機器建立範本 自訂 部署範本 標示為範本 標示為虛擬機器 修改自訂規格 升階磁碟 讀取自訂規格 |
| 虛擬機器與服務組態 | 允許通知 允許輪詢全域事件通知 管理服務組態 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器與快照集管理 | 建立快照集 移除快照集 重新命名快照集 還原為快照集 |
| 虛擬機器與 vSphere 複寫 | 設定複寫 管理複寫 監視複寫 |
| vService | 建立相依性 終結相依性 重新設定相依性設定 更新相依性 |
Cloud-Cluster-Admin-Role
| 類別 | Privilege |
|---|---|
| Datastore | 配置空間 瀏覽資料存放區 設定資料存放區 低階檔案作業 移除資料存放區 重新命名資料存放區 更新虛擬機器檔案 更新虛擬機器中繼資料 |
| 資料夾 | 建立資料夾 刪除資料夾 移動資料夾 重新命名資料夾 |
| 主機與設定 | 儲存體資料分割組態 |
| vSphere 標記 | 指派或取消指派 vSphere 標記 建立 vSphere 標記 建立 vSphere 標記分類 刪除 vSphere 標記 刪除 vSphere 標記分類 編輯 vSphere 標記 編輯 vSphere 標記分類 修改分類的 UsedBy 欄位 修改標記的 UsedBy 欄位 |
| 網路 | 指派網路 |
| Resource | 套用建議 將 vApp 指派給資源集區 將虛擬機器指派給資源集區 建立資源集區 移轉已關閉電源的虛擬機器 移轉已開啟電源的虛擬機器 修改資源集區 移動資源集區 查詢 vMotion 移除資源集區 重新命名資源集區 |
| vApp | 新增虛擬機器 指派資源集區 指派 vApp 複製 建立 刪除 匯出 匯入 移動 關閉電源 開啟電源 重新命名 暫止 Unregister 檢視 OVF 環境 vApp 應用程式設定 vApp 執行個體設定 vApp managedBy 設定 vApp 資源設定 |
| VRMPolicy | 查詢 VRMPolicy 更新 VRMPolicy |
| 虛擬機器與設定 | 新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 計數 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 Memory 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設來賓資訊 設定註釋 設定 交換檔放置 切換分叉父代 解除鎖定虛擬機器 升級虛擬機器相容性 |
| 虛擬機器與客體作業 | 客體作業別名修改 客體作業別名查詢 客體作業修改 客體作業程式執行 客體作業查詢 |
| 虛擬機器與互動 | 回答問題 虛擬機器上的備份作業 設定 CD 媒體 設定磁片媒體 主控台互動 建立螢幕擷取畫面 重組所有磁碟 裝置連線 拖放 VIX API 的客體作業系統管理 插入 USB HID 掃描代碼 暫停或取消暫停 執行抹除或壓縮作業 關閉電源 開啟電源 虛擬機器上的記錄工作階段 虛擬機器上的重新執行工作階段 重設 繼續容錯 暫止 暫停容錯 測試容錯移轉 測試重新啟動次要 VM 關閉容錯 開啟容錯 VMware 工具安裝 |
| 虛擬機器與詳細目錄 | 從現有項目中建立 新建 移動 註冊 移除 Unregister |
| 虛擬機器與佈建 | 允許磁碟存取 允許檔案存取 允許唯讀磁碟存取 允許虛擬機器下載 允許虛擬機器檔案上傳 複製範本 複製虛擬機器 從虛擬機器建立範本 自訂 部署範本 標示為範本 標示為虛擬機器 修改自訂規格 升階磁碟 讀取自訂規格 |
| 虛擬機器與服務組態 | 允許通知 允許輪詢全域事件通知 管理服務組態 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器與快照集管理 | 建立快照集 移除快照集 重新命名快照集 還原為快照集 |
| 虛擬機器與 vSphere 複寫 | 設定複寫 管理複寫 監視複寫 |
| vService | 建立相依性 終結相依性 重新設定相依性設定 更新相依性 |
Cloud-Storage-Admin-Role
| 類別 | Privilege |
|---|---|
| Datastore | 配置空間 瀏覽資料存放區 設定資料存放區 低階檔案作業 移除資料存放區 重新命名資料存放區 更新虛擬機器檔案 更新虛擬機器中繼資料 |
| 主機與設定 | 儲存體資料分割組態 |
| 資料存放區叢集 | 設定資料存放區叢集 |
| 設定檔驅動儲存體 | 設定檔驅動儲存體更新 設定檔驅動儲存體檢視 |
| 儲存體檢視 | 設定服務 檢視 |
Cloud-Network-Admin-Role
| 類別 | Privilege |
|---|---|
| dvPort 群組 | 建立 刪除 修改 原則作業 範圍作業 |
| 網路 | 指派網路 設定 移動網路 移除 |
| 虛擬機器與設定 | 修改裝置設定 |
Cloud-VM-Admin-Role
| 類別 | Privilege |
|---|---|
| Datastore | 配置空間 瀏覽資料存放區 |
| 網路 | 指派網路 |
| Resource | 將虛擬機器指派給資源集區 移轉已關閉電源的虛擬機器 移轉已開啟電源的虛擬機器 |
| vApp | 匯出 匯入 |
| 虛擬機器與設定 | 新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 計數 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 Memory 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設來賓資訊 設定註釋 設定 交換檔放置 切換分叉父代 解除鎖定虛擬機器 升級虛擬機器相容性 |
| 虛擬機器與客體作業 | 客體作業別名修改 客體作業別名查詢 客體作業修改 客體作業程式執行 客體作業查詢 |
| 虛擬機器與互動 | 回答問題 虛擬機器上的備份作業 設定 CD 媒體 設定磁片媒體 主控台互動 建立螢幕擷取畫面 重組所有磁碟 裝置連線 拖放 VIX API 的客體作業系統管理 插入 USB HID 掃描代碼 暫停或取消暫停 執行抹除或壓縮作業 關閉電源 開啟電源 虛擬機器上的記錄工作階段 虛擬機器上的重新執行工作階段 重設 繼續容錯 暫止 暫停容錯 測試容錯移轉 測試重新啟動次要 VM 關閉容錯 開啟容錯 VMware 工具安裝 |
| 虛擬機器與詳細目錄 | 從現有項目中建立 新建 移動 註冊 移除 Unregister |
| 虛擬機器與佈建 | 允許磁碟存取 允許檔案存取 允許唯讀磁碟存取 允許虛擬機器下載 允許虛擬機器檔案上傳 複製範本 複製虛擬機器 從虛擬機器建立範本 自訂 部署範本 標示為範本 標示為虛擬機器 修改自訂規格 升階磁碟 讀取自訂規格 |
| 虛擬機器與服務組態 | 允許通知 允許輪詢全域事件通知 管理服務組態 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器與快照集管理 | 建立快照集 移除快照集 重新命名快照集 還原為快照集 |
| 虛擬機器與 vSphere 複寫 | 設定複寫 管理複寫 監視複寫 |
| vService | 建立相依性 終結相依性 重新設定相依性設定 更新相依性 |