RBAC-Rollen und Berechtigungen

Rollen

XenServer wird mit den folgenden sechs vordefinierten Rollen ausgeliefert:

• Pool-Administrator (Pool Admin) — das gleiche wie das lokale Stammverzeichnis. Kann alle Vorgänge ausführen.

  Hinweis:

  Der lokale Superuser (root) hat die Rolle “Pool Admin”. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.

  Wenn Sie einem Benutzer die Pool-Admin-Rolle entziehen, sollten Sie auch das Root-Kennwort ändern und das Pool-Geheimnis rotieren lassen. Weitere Informationen finden Sie unter Pool-Sicherheit.

• Pool Operator (Pool Operator) — kann alles außer dem Hinzufügen/Entfernen von Benutzern und dem Ändern ihrer Rollen tun. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Pool-Verwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).

• Virtual Machine Power Administrator (VM Power Admin) — erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs zur Verwendung durch einen VM-Betreiber.

• Virtual Machine Administrator (VM Admin) — ähnelt einem VM Power Admin, kann jedoch keine VMs migrieren oder Snapshots ausführen.

• Virtual Machine Operator (VM Operator) — ähnlich wie VM Admin, kann aber keine VMs erstellen/löschen — kann aber Lebenszyklusvorgänge starten/stoppen.

• Schreibgeschützt (schreibgeschützt ) — kann Ressourcenpool- und Leistungsdaten anzeigen.

Hinweis:

• Um Updates auf XenServer 8-Pools anzuwenden, müssen Sie als Pooladministrator oder Pool-Operator oder mit einem lokalen Root-Konto bei XenCenter angemeldet sein.

• Wenn Sie Active Directory-Gruppen verwenden, um Pooladministrator-Benutzern, die Host-SSH-Zugriff benötigen, Zugriff zu gewähren, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.

Eine Zusammenfassung der für jede Rolle verfügbaren Berechtigungen und Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und Berechtigungen im folgenden Abschnitt.

Wenn Sie einen Benutzer in XenServer erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. XenServer weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.

1. Ändern Sie das Thema der Rollenzuordnung. Dies erfordert die Berechtigung zum Zuweisen/Ändern der Rolle, die nur einem Pool-Administrator zur Verfügung steht.

2. Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.

Definitionen von RBAC-Rollen und Berechtigungen

In der folgenden Tabelle wird zusammengefasst, welche Berechtigungen für jede Rolle verfügbar sind. Einzelheiten zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.

Definitionen von Berechtigungen

Rollen zuweisen/ändern:

• Benutzer hinzufügen und entfernen
• Hinzufügen und Entfernen von Rollen für Benutzer
• Aktivieren und deaktivieren Sie die Active Directory-Integration (wird der Domäne hinzugefügt)

Mit dieser Berechtigung kann der Benutzer sich selbst eine beliebige Berechtigung erteilen oder eine beliebige Aufgabe ausführen.

Warnung:

Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Themen deaktivieren.

Bei Serverkonsolen anmelden:

• Zugriff auf die Serverkonsole über SSH
• Zugriff auf die Serverkonsole über XenCenter

Warnung:

Mit Zugriff auf eine Root-Shell kann der Beauftragte das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.

Server-Backup/-Wiederherstellung:

• Backup und Wiederherstellen von Servern
• Backup und Wiederherstellen von Poolmetadaten

Die Möglichkeit, ein Backup wiederherzustellen, ermöglicht es dem Beauftragten, RBAC-Konfigurationsänderungen wiederherzustellen.

Installieren Sie ein TLS-Zertifikat auf einem Server:

Mit dieser Berechtigung kann ein Administrator ein TLS-Zertifikat auf einem Server installieren, auf dem Citrix Hypervisor 8.2 oder höher ausgeführt wird.

Updates auf einen Pool anwenden:

• Synchronisieren Sie Ihren Pool mit dem Content Delivery Network (CDN)
• Wenden Sie die Updates an, indem Sie bei Bedarf virtuelle Maschinen von jedem Host migrieren und alle erforderlichen Updateaufgaben ausführen, z. B. den Host neu starten, den Toolstack neu starten oder die VMs neu starten.

Upgrade des Rollpools:

• Aktualisieren Sie alle Hosts in einem Pool mithilfe des Rolling Pool-Upgrade-Assistenten.

Import von OVF-/OVA-Paketen und Datenträgerimages:

• Import von OVF- und OVA-Paketen
• Importieren von Datenträgerimages

XVA-Pakete importieren:

• XVA-Pakete importieren

Exportieren von OVF/OVA/XVA-Pakete und Datenträgerimages:

• VMs als OVF/OVA-Pakete exportieren
• VMs als XVA-Pakete exportieren
• Datenträgerimages exportieren

Kerne pro Sockel einstellen:

• Legen Sie die Anzahl der Kerne pro Socket für die virtuellen CPUs der VM fest

Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs der VM angeben.

Konvertieren Sie VMs mit XenServer Conversion Manager:

• Konvertieren Sie VMware ESXi/vCenter-VMs in XenServer-VMs

Mit dieser Berechtigung kann der Benutzer Workloads von VMware nach XenServer konvertieren. Konvertieren Sie diese Workloads, indem Sie Stapel von VMware ESXi/vCenter-VMs in die XenServer-Umgebung kopieren.

Switch-Port-Verriegelung:

• Steuern Sie den Verkehr in einem Netzwerk

Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden kann.

Multipathing:

• Multipathing aktivieren
• Deaktivieren Sie Multipathing

Aktive Benutzerverbindungen abmelden:

• Möglichkeit, angemeldete Benutzer zu trennen

Überwachen Sie Host- und dom0-Ressourcen mit NRPE:

Weitere Informationen finden Sie unter Überwachen von Host- und dom0-Ressourcen mit NRPE.

Überwachen von Host- und dom0-Ressourcen mit SNMP:

Weitere Informationen finden Sie unter Host- und dom0-Ressourcen mit SNMP überwachen.

Warnungen erstellen/verwerfen:

• Konfigurieren Sie XenCenter so, dass Warnungen generiert werden, wenn die Ressourcenauslastung bestimmte Schwellenwerte überschreitet
• Warnmeldungen aus der Alerts-Ansicht entfernen

Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool verwerfen.

Hinweis: Die Möglichkeit, Benachrichtigungen anzuzeigen, ist Teil der Berechtigung “Mit Pool verbinden” und “Alle Pool-Metadaten lesen”.

Aufgabe eines beliebigen Benutzers abbrechen:

• Die ausgeführte Aufgabe eines Benutzers abbrechen

Mit dieser Berechtigung kann der Benutzer beantragen, dass XenServer eine laufende Aufgabe storniert, die von einem beliebigen Benutzer initiiert wurde.

Pool-Verwaltung:

• Pool-Eigenschaften festlegen (Benennung, Standard-SRs)
• Erstellen eines Clusterpools
• HA aktivieren, deaktivieren und konfigurieren
• Festlegen der Prioritäten für den Neustart pro VM
• Konfigurieren Sie DR und führen Sie DR-Failover-, Failback- und Test-Failover-Vorgänge durch.
• Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
• Server zum Pool hinzufügen und daraus entfernen
• Notfallübergang zum Poolkoordinator
• Adresse des Notfallpoolkoordinators
• Notfall-Wiederherstellung von Pool-Mitgliedern
• Neuen Poolkoordinator benennen
• Pool- und Serverzertifikate verwalten
• Patchen
• Servereigenschaften festlegen
• Serverprotokollierung konfigurieren
• Server aktivieren und deaktivieren
• Server herunterfahren, neu starten und einschalten
• Starten Sie toolstack neu
• Berichte über den Systemstatus
• Lizenz anwenden
• Livemigration aller anderen virtuellen Maschinen auf einem Server zu einem anderen Server, entweder aufgrund von WLB, Wartungsmodus oder hoher Verfügbarkeit
• Konfigurieren von Serververwaltungsschnittstellen und sekundären Schnittstellen
• Serververwaltung deaktivieren
• Crashdumps löschen
• Netzwerke hinzufügen, bearbeiten und entfernen
• Hinzufügen, Bearbeiten und Entfernen von PBDS/PIFS/VLANs/Bonds/SRs
• Secrets hinzufügen, entfernen und abrufen

Diese Berechtigung umfasst alle Aktionen, die zur Verwaltung eines Pools erforderlich sind.

Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen außer lokalen Root-Anmeldungen authentifizieren.

Livemigration:

• Migrieren Sie VMs von einem Host auf einen anderen Host, wenn sich die VMs auf einem von beiden Hosts gemeinsam genutzten Speicher befinden

Speicher-Livemigration:

• Migration von einem Host zu einem anderen Host, wenn sich die VMs nicht auf einem von den beiden Hosts gemeinsam genutzten Speicher befinden
• Verschieben von Virtual Disk (VDIs) von einem SR zu einem anderen SR

Erweiterter VM-Betrieb:

• VM-Speicher anpassen (über Dynamic Memory Control)
• Erstellen eines VM-Snapshots mit Arbeitsspeicher, Erstellung von VM-Snapshots und Rollback von VMs
• VMs migrieren
• Starten von VMs, einschließlich Angabe des physischen Servers
• VMs fortsetzen

Diese Berechtigung bietet dem Beauftragten genügend Rechte, um eine VM auf einem anderen Host zu starten, wenn er mit dem ausgewählten Host XenServer nicht zufrieden ist.

VM-Erstellen/Löschen von Vorgängen:

• Installieren und Löschen von VMs
• VMs klonen/kopieren
• Hinzufügen, Entfernen und Konfigurieren von virtuellen Laufplatten/CD-Geräten
• Hinzufügen, Entfernen und Konfigurieren virtueller Netzwerkgeräte
• Änderung der VM-Konfiguration

VM CD-Medien wechseln:

• Aktuelle CD auswerfen
• Neue CD einlegen

VM ändert den Energiezustand:

• VMs starten (automatische Platzierung)
• VMs herunterfahren
• Starten Sie VMs neu
• VMs aussetzen
• VMs fortsetzen (automatische Platzierung)

Diese Berechtigung umfasst nicht start_on, resume_on und migrate, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.

VM-Konsolen anzeigen:

• VM-Konsolen sehen und mit ihnen interagieren

Mit dieser Berechtigung kann der Benutzer Hostkonsolen nicht anzeigen.

Stornieren eigener Aufgaben:

• Ermöglicht Benutzern, ihre eigenen Aufgaben abzubrechen

Prüfprotokoll lesen:

• Laden Sie das XenServer-Auditprotokoll herunter

WLB konfigurieren, initialisieren, aktivieren, deaktivieren:

• Konfiguration WLB
• WLB initialisieren und WLB-Server ändern
• WLB aktivieren
• WLB deaktivieren

So wenden Sie WLB-Optimierungsempfehlungen an:

• Wenden Sie alle Optimierungsempfehlungen an, die auf der Registerkarte WLB erscheinen

WLB-Berichtsabonnements ändern:

• Ändern des erzeugten WLB-Berichts oder seines Empfängers

So akzeptieren Sie Empfehlungen zur WLB-Platzierung:

• Wählen Sie einen der Server aus, die der Workload Balancing für die Platzierung empfiehlt (“Stern” -Empfehlungen)

WLB-Konfiguration anzeigen:

• Zeigen Sie die WLB-Einstellungen für einen Pool an, wie auf der Registerkarte WLB angezeigt

So generieren Sie WLB-Berichte:

• Anzeigen und Ausführen von WLB-Berichten, einschließlich des Poolauditlistenberichts

XenCenter View-Verwaltungsvorgänge:

• Erstellen und Ändern globaler XenCenter-Ordner
• Erstellen und Ändern globaler benutzerdefinierter XenCenter-Felder
• Erstellen und Ändern globaler XenCenter-Suchen

Verbinden Sie sich mit Pool und lesen Sie alle Poolmetadaten:

• Melden Sie sich bei Pool an
• Poolmetadaten anzeigen
• Historische Leistungsdaten anzeigen
• Eingeloggte Benutzer anzeigen
• Benutzer und Rollen anzeigen
• Aufgaben ansehen
• Nachrichten ansehen
• Registrieren und Ereignisse erhalten

Konfigurieren der virtuellen GPU:

• Angeben einer poolweiten Platzierungsrichtlinie
• Weisen Sie einer VM eine virtuelle GPU zu
• Entfernen einer virtuellen GPU von einer VM
• Zulässige virtuelle GPU-Typen ändern
• GPU-Gruppe erstellen, zerstören oder zuweisen

Virtuelle GPU-Konfiguration anzeigen:

• Zeigen Sie GPUs, GPU-Platzierungsrichtlinien und virtuelle GPU-Zuweisungen an.

Sammeln Sie Diagnoseinformationen von XenServer:

• GC-Sammlung und Heap-Verdichtung einleiten
• Sammeln von Statistiken zur Müllsammlung
• Sammeln von Datenbankstatistiken
• Netzwerkstatistiken sammeln

Geändertes Block-Tracking konfigurieren:

• Geänderte Blockverfolgung aktivieren
• Geänderte Blockverfolgung deaktivieren
• Löschen Sie die mit einem Snapshot verknüpften Daten und behalten Sie die Metadaten bei
• Abrufen der NBD-Verbindungsinformationen für einen VDI
• Exportieren eines VDI über eine NBD-Verbindung

Die geänderte Blockverfolgung kann nur für lizenzierte Instanzen der XenServer Premium Edition aktiviert werden.

Geänderte Blöcke auflisten:

• Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben.

Konfigurieren des PVS-Beschleunigers:

• PVS-Beschleuniger aktivieren
• PVS-Accelerator deaktivieren
• PVS-Accelerator-Cache-Konfiguration aktualisieren
• PVS-Accelerator-Cachekonfiguration hinzufügen oder entfernen

PVS-Accelerator-Konfiguration anzeigen:

• Status von PVS-Accelerator anzeigen

Geplante Snapshots (VMs zu bestehenden Snapshot-Zeitplänen hinzufügen/entfernen):

• VMs zu vorhandenen Snapshot-Zeitplänen hinzufügen
• VMs aus vorhandenen Snapshot-Zeitplänen entfernen

Geplante Snapshots (Snapshot-Zeitpläne hinzufügen/ändern/löschen):

• Snapshot-Zeitpläne hinzufügen
• Snapshot-Zeitpläne ändern
• Snapshot-Zeitpläne löschen

Hinweis:

Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung mit erhöhten Rechten erhalten und die Anmeldeinformationen eines privilegierteren Benutzers angegeben hat. In diesem Fall melden Sie sich als privilegierterer Benutzer bei XenCenter an und versuchen Sie die Aktion erneut.

Wie berechnet XenServer die Rollen für die Sitzung?

1. Der Antragsteller wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen der Betreff auch gehören kann.

2. XenServer überprüft dann, welche Rollen sowohl dem Betreff als auch den zugehörigen Gruppen zugewiesen wurden.

3. Da Subjekte Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugehörigen Rollen.