RBAC-Rollen und -Berechtigungen
Rollen
XenServer wird mit den folgenden sechs vorab festgelegten Rollen ausgeliefert:
-
Pool-Administrator (Pool Admin) – identisch mit dem lokalen Stamm. Kann alle Vorgänge ausführen.
Hinweis:
Der lokale Superuser (root) hat die Rolle “Pool Admin”. Die Rolle “Pooladministrator” verfügt über die gleichen Berechtigungen wie der lokale Stamm.
Wenn Sie die Rolle “Pooladministrator” von einem Benutzer entfernen, sollten Sie auch das Root-Kennwort ändern und den Poolschlüssel rotieren. Weitere Informationen finden Sie unter Pool-Sicherheit.
-
Pool-Betreiber (Pool-Operator) – kann alles tun, außer Benutzer hinzufügen/entfernen und ihre Rollen ändern. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Poolverwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).
-
Energieadministrator für virtuelle Maschinen (VM Power Admin) – erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs für die Verwendung durch einen VM-Operator.
-
Administrator für virtuelle Maschinen (VM Admin) – ähnlich wie ein VM Power Admin, kann aber keine VMs migrieren oder Snapshots durchführen.
-
Bediener virtueller Maschinen (VM-Operator) – ähnlich wie VM Admin, kann aber keine VMs erstellen/zerstören, kann aber Lebenszyklusvorgänge starten/stoppen.
-
Schreibgeschützt (Schreibgeschützt) – kann Ressourcenpool- und Leistungsdaten anzeigen.
Hinweis:
Um Updates auf XenServer 8-Pools anzuwenden, müssen Sie bei XenCenter als Pooladministrator oder Poolbetreiber angemeldet sein oder ein lokales Root-Konto verwenden.
Wenn Sie Active Directory-Gruppen verwenden, um Pooladministratorbenutzern, die Host-SSH-Zugriff benötigen, Zugriff zu gewähren, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.
Eine Zusammenfassung der für die einzelnen Rollen verfügbaren Berechtigungen und Informationen zu den für die einzelnen Berechtigungen verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und -Berechtigungen im folgenden Abschnitt.
Wenn Sie einen Benutzer in XenServer erstellen, müssen Sie dem neu erstellten Benutzer zuerst eine Rolle zuweisen, bevor er das Konto verwenden kann. XenServer (Englisch) Nicht Weisen Sie dem neu erstellten Benutzer automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.
-
Ändern Sie den Betreff in die Rollenzuordnung. Dazu ist die Berechtigung zum Zuweisen/Ändern von Rollen erforderlich, die nur einem Pooladministrator zur Verfügung steht.
-
Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.
Definitionen von RBAC-Rollen und -Berechtigungen
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die für die einzelnen Rollen verfügbar sind. Ausführliche Informationen zu den für die einzelnen Berechtigungen verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.
Berechtigungen für Rollen | Pool-Administrator | Pooloperator | VM-Hauptadministrator | VM-Administrator | VM-Operator | Schreibgeschützt |
---|---|---|---|---|---|---|
Rollen zuweisen/ändern | X | |||||
Melden Sie sich bei (physischen) Serverkonsolen an (über SSH und XenCenter) | X | |||||
Server-Sicherung/-Wiederherstellung | X | |||||
Installieren eines TLS-Zertifikats auf einem Server | X | |||||
Anwenden von Updates auf einen Pool | X | X | ||||
Aufrüstung des rollenden Pools | X | |||||
Importieren von OVF/OVA-Paketen; Importieren von Disk-Images | X | X | ||||
Importieren von XVA-Paketen | X | X | X | |||
Exportieren von OVF/OVA/XVA-Paketen | X | X | X | X | ||
Kerne pro Sockel festlegen | X | X | X | X | ||
Konvertieren von VMs mit XenServer Conversion Manager | X | |||||
Verriegelung des Switch-Ports | X | X | ||||
Multipathing | X | X | ||||
Aktive Benutzerverbindungen abmelden | X | X | ||||
Überwachen von Host- und dom0-Ressourcen mit NRPE | X | |||||
Host- und dom0-Ressourcen mit SNMP überwachen | X | |||||
Erstellen und Verwerfen von Warnungen | X | X | ||||
Aufgabe eines beliebigen Benutzers abbrechen | X | X | ||||
Pool-Verwaltung | X | X | ||||
Live-Migration | X | X | X | |||
Live-Migration des Speichers | X | X | X | |||
Erweiterte VM-Vorgänge | X | X | X | |||
Vorgänge zum Erstellen/Zerstören von VMs | X | X | X | X | ||
VM CD-Medien wechseln | X | X | X | X | X | |
VM Energiestatus ändern | X | X | X | X | X | |
Anzeigen von VM-Konsolen | X | X | X | X | X | |
VM-Gruppen (Hinzufügen/Ändern/Löschen von VM-Gruppen) | X | X | X | X | ||
VM-Gruppen (Hinzufügen/Entfernen von VMs zu einer vorhandenen VM-Gruppe) | X | X | X | X | ||
VM-Gruppen (VM-Gruppen anzeigen) | X | X | X | X | X | X |
vApps (Hinzufügen/Ändern/Löschen von vApps) | X | X | ||||
vApps (Starten/Herunterfahren von vApps) | X | X | ||||
vApps (Hinzufügen/Entfernen von VMs zu einer vorhandenen vApp) | X | X | ||||
vApps (vApps anzeigen) | X | X | X | X | X | X |
Vorgänge zur Verwaltung von XenCenter-Ansichten | X | X | X | X | X | |
Eigene Aufgaben abbrechen | X | X | X | X | X | X |
Lesen von Überwachungsprotokollen | X | X | X | X | X | X |
Konfigurieren, Initialisieren, Aktivieren und Deaktivieren von Workload Balancing (WLB) | X | X | ||||
Wenden Sie WLB-Optimierungsempfehlungen an | X | X | ||||
WLB-Platzierungsempfehlungen akzeptieren | X | X | X | |||
WLB-Konfiguration anzeigen | X | X | X | X | X | X |
Generieren von WLB-Berichten | X | X | X | X | X | X |
Verbinden Sie sich mit dem Pool und lesen Sie alle Poolmetadaten (einschließlich der Anzeige von Warnungen) | X | X | X | X | X | X |
Konfigurieren der virtuellen GPU | X | X | ||||
Virtuelle GPU-Konfiguration anzeigen | X | X | X | X | X | X |
Sammeln von Diagnoseinformationen | X | X | ||||
vCPU-Hotplug | X | X | X | X | ||
Konfigurieren der Nachverfolgung geänderter Blöcke | X | X | X | X | ||
Geänderte Blöcke auflisten | X | X | X | X | X | |
Konfigurieren von PVS-Accelerator | X | X | ||||
PVS-Accelerator-Konfiguration anzeigen | X | X | X | X | X | X |
Geplante Snapshots (Hinzufügen/Entfernen von VMs zu vorhandenen Snapshot-Zeitplänen) | X | X | X | |||
Geplante Snapshots (Hinzufügen/Ändern/Löschen von Snapshot-Zeitplänen) | X | X |
Definitionen von Berechtigungen
Rollen zuweisen/ändern:
- Hinzufügen und Entfernen von Benutzern
- Hinzufügen und Entfernen von Rollen von Benutzern
- Aktivieren und Deaktivieren der Active Directory-Integration (Beitritt zur Domäne)
Mit dieser Berechtigung kann sich der Benutzer selbst eine beliebige Berechtigung erteilen oder eine Aufgabe ausführen.
Warnung:
Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Betreffs deaktivieren.
Melden Sie sich bei den Serverkonsolen an:
- Zugriff auf die Serverkonsole über SSH
- Zugriff auf die Serverkonsole über XenCenter
Warnung:
Mit Zugriff auf eine Root-Shell kann der Beauftragte das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.
Sicherung/Wiederherstellung des Servers:
- Sichern und Wiederherstellen von Servern
- Sichern und Wiederherstellen von Pool-Metadaten
Die Möglichkeit, eine Sicherung wiederherzustellen, ermöglicht es dem Beauftragten, RBAC-Konfigurationsänderungen rückgängig zu machen.
Installieren eines TLS-Zertifikats auf einem Server:
Diese Berechtigung ermöglicht es einem Administrator, ein TLS-Zertifikat auf einem Server zu installieren, auf dem Citrix Hypervisor 8.2 oder höher ausgeführt wird.
Wenden Sie Updates auf einen Pool an:
- Synchronisieren des Pools mit dem Content Delivery Network (CDN)
- Wenden Sie die Updates an, indem Sie bei Bedarf VMs von jedem Host migrieren und alle erforderlichen Updateaufgaben ausführen, z. B. den Host neu starten, den Toolstack neu starten oder die VMs neu starten
Rolling Pool Aufrüstung:
- Aktualisieren Sie alle Hosts in einem Pool mit dem Rolling Pool Upgrade-Assistenten.
Importieren von OVF/OVA-Paketen und Disk-Images:
- Importieren von OVF- und OVA-Paketen
- Importieren von Disk-Images
Importieren von XVA-Paketen:
- Importieren von XVA-Paketen
OVF/OVA/XVA-Pakete und Disk-Images exportieren:
- Exportieren von VMs als OVF/OVA-Pakete
- Exportieren von VMs als XVA-Pakete
- Exportieren von Disk-Images
Legen Sie die Kerne pro Sockel fest:
- Festlegen der Anzahl der Kerne pro Socket für die virtuellen CPUs der VM
Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs des virtuellen Computers angeben.
Konvertieren Sie VMs mit XenServer Conversion Manager:
- Konvertieren von VMware ESXi/vCenter-VMs in XenServer-VMs
Mit dieser Berechtigung kann der Benutzer Workloads von VMware in XenServer konvertieren. Konvertieren Sie diese Arbeitslasten, indem Sie Batches von VMware ESXi/vCenter-VMs in die XenServer-Umgebung kopieren.
Verriegelung des Switch-Ports:
- Steuern des Datenverkehrs in einem Netzwerk
Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden kann.
Multipathing:
- Multipathing aktivieren
- Multipathing deaktivieren
Aktive Benutzerverbindungen abmelden:
- Möglichkeit, die Verbindung zu angemeldeten Benutzern zu trennen
Überwachen Sie host- und dom0-Ressourcen mit NRPE:
Weitere Informationen finden Sie unter Überwachen von Host- und dom0-Ressourcen mit NRPE.
Überwachen Sie Host- und dom0-Ressourcen mit SNMP:
Weitere Informationen finden Sie unter Host- und dom0-Ressourcen mit SNMP überwachen.
Erstellen/Verwerfen von Warnungen:
- Konfigurieren Sie XenCenter so, dass Warnungen generiert werden, wenn die Ressourcennutzung bestimmte Schwellenwerte überschreitet
- Entfernen von Warnungen aus der Ansicht “Warnungen”
Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool verwerfen.
Hinweis:
Die Möglichkeit, Warnungen anzuzeigen, ist Teil der Mit Pool verbinden und alle Poolmetadaten lesen Berechtigung.
Aufgabe eines beliebigen Benutzers abbrechen:
- Abbrechen der ausgeführten Aufgabe eines Benutzers
Mit dieser Berechtigung kann der Benutzer anfordern, dass XenServer eine laufende Aufgabe abbricht, die von einem beliebigen Benutzer initiiert wurde.
Pool-Verwaltung:
- Festlegen von Pooleigenschaften (Benennung, Standard-SRs)
- Erstellen eines Cluster-Pools
- Aktivieren, Deaktivieren und Konfigurieren von HA
- Festlegen von Prioritäten für den Neustart von Hochverfügbarkeit pro VM
- Konfigurieren Sie die Notfallwiederherstellung, und führen Sie Failover-, Failback- und Testfailovervorgänge für die Notfallwiederherstellung durch.
- Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
- Hinzufügen und Entfernen des Servers aus dem Pool
- Übergang im Notfall zum Pool-Koordinator
- Adresse des Koordinators des Notfallpools
- Notfallwiederherstellung von Poolmitgliedern
- Neuen Pool-Koordinator festlegen
- Verwalten von Pool- und Serverzertifikaten
- Flickerei
- Festlegen von Servereigenschaften
- Konfigurieren der Serverprotokollierung
- Aktivieren und Deaktivieren von Servern
- Herunterfahren, Neustarten und Einschalten von Servern
- Toolstack neu starten
- Berichte zum Systemstatus
- Lizenz anwenden
- Livemigration aller anderen VMs auf einem Server auf einen anderen Server, entweder aufgrund von WLB, Wartungsmodus oder Hochverfügbarkeit
- Konfigurieren von Serververwaltungsschnittstellen und sekundären Schnittstellen
- Deaktivieren der Serververwaltung
- Löschen von Crashdumps
- Hinzufügen, Bearbeiten und Entfernen von Netzwerken
- Hinzufügen, Bearbeiten und Entfernen von PBDs/PIFs/VLANs/Bonds/SRs
- Hinzufügen, Entfernen und Abrufen von Geheimnissen
Diese Berechtigung umfasst alle Aktionen, die zum Verwalten eines Pools erforderlich sind.
Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen authentifizieren, außer lokalen Root-Anmeldungen.
Live-Migration:
- Migrieren von VMs von einem Host zu einem anderen Host, wenn sich die VMs auf einem Speicher befinden, der von beiden Hosts gemeinsam genutzt wird
Live-Migration des Speichers:
- Migrieren von einem Host zu einem anderen Host, wenn sich die VMs nicht auf einem Speicher befinden, der von den beiden Hosts gemeinsam genutzt wird
- Verschieben von virtuellen Festplatten (VDIs) von einer SR auf eine andere SR
Erweiterte VM-Vorgänge:
- Anpassen des VM-Arbeitsspeichers (über Dynamic Memory Control)
- Erstellen eines VM-Snapshots mit Arbeitsspeicher, Erstellen von VM-Snapshots und Zurücksetzen von VMs
- Migrieren von VMs
- Starten von VMs, einschließlich Angeben eines physischen Servers
- Fortsetzen von VMs
Diese Berechtigung gibt dem Beauftragten genügend Berechtigungen, um eine VM auf einem anderen Host zu starten, wenn er mit dem ausgewählten Host XenServer nicht zufrieden ist.
Vorgänge zum Erstellen/Zerstören von VMs:
- Installieren und Löschen von VMs
- Klonen/Kopieren von VMs
- Hinzufügen, Entfernen und Konfigurieren von virtuellen Festplatten/CD-Geräten
- Hinzufügen, Entfernen und Konfigurieren von virtuellen Netzwerkgeräten
- Änderung der VM-Konfiguration
VM CD-Medium wechseln:
- Aktuelle CD auswerfen
- Neue CD einlegen
Ändern des Energiestatus der VM:
- Starten von VMs (automatische Platzierung)
- Herunterfahren von VMs
- VMs neu starten
- Anhalten von VMs
- Fortsetzen von VMs (automatische Platzierung)
Diese Berechtigung gilt nicht für start_on, resume_on und Migrieren, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.
VM-Konsolen anzeigen:
- Anzeigen und Interagieren mit VM-Konsolen
Mit dieser Berechtigung kann der Benutzer Hostkonsolen nicht anzeigen.
VM-Gruppen (Gruppen hinzufügen/ändern/löschen):
- Erstellen einer VM-Gruppe
- Löschen einer VM-Gruppe
- Ändern der Eigenschaften einer VM-Gruppe
VM-Gruppen (Hinzufügen/Entfernen von VMs zu einer vorhandenen VM-Gruppe):
- Zuweisen einer VM zu einer VM-Gruppe
- Entfernen einer VM aus einer VM-Gruppe
- Ändern der VM-Gruppe, der eine VM zugewiesen ist
VM-Gruppen (VM-Gruppen anzeigen):
- Anzeigen von VM-Gruppen im Pool
vApps (Hinzufügen/Ändern/Löschen von vApps):
- Erstellen einer vApp
- Löschen einer vApp
- Ändern der Eigenschaften einer vApp
vApps (Starten/Herunterfahren von vApps):
- Starten einer vApp
- Herunterfahren einer vApp
vApps (Hinzufügen/Entfernen von VMs zu einer vorhandenen vApp):
- Fügen Sie einer vApp eine VM hinzu.
- Entfernen einer VM aus einer vApp
vApps (vApps anzeigen):
- Anzeigen von vApps im Pool
Eigene Aufgaben abbrechen:
- Ermöglicht es Benutzern, ihre eigenen Aufgaben abzubrechen
Audit-Protokoll lesen:
- XenServer-Audit-Protokoll herunterladen
WLB konfigurieren, initialisieren, aktivieren, deaktivieren:
- WLB konfigurieren
- Initialisieren von WLB und Ändern von WLB-Servern
- WLB aktivieren
- WLB deaktivieren
Wenden Sie die WLB-Optimierungsempfehlungen an:
- Wenden Sie alle Optimierungsempfehlungen an, die in der WLB Registerkarte
Ändern von WLB-Berichtsabonnements:
- Ändern des generierten WLB-Berichts oder seines Empfängers
Akzeptieren Sie die WLB-Platzierungsempfehlungen:
- Wählen Sie einen der Server aus, die Workload Balancing für die Platzierung empfiehlt (“Stern”-Empfehlungen)
WLB-Konfiguration anzeigen:
- Zeigen Sie die WLB-Einstellungen für einen Pool an, wie in der WLB Registerkarte
Generieren von WLB-Berichten:
- Anzeigen und Ausführen von WLB-Berichten, einschließlich des Pool-Audit-Trail-Berichts
Vorgänge zur Verwaltung der XenCenter-Ansicht:
- Erstellen und Ändern von globalen XenCenter-Ordnern
- Erstellen und Ändern von globalen benutzerdefinierten XenCenter-Feldern
- Erstellen und Ändern globaler XenCenter-Suchen
Verbinden Sie sich mit dem Pool, und lesen Sie alle Poolmetadaten:
- Melden Sie sich im Pool an
- Anzeigen von Pool-Metadaten
- Anzeigen historischer Leistungsdaten
- Angemeldete Benutzer anzeigen
- Anzeigen von Benutzern und Rollen
- Aufgaben anzeigen
- Anzeigen von Nachrichten
- Sich für Veranstaltungen anmelden und erhalten
Konfigurieren der virtuellen GPU:
- Angeben einer poolweiten Platzierungsrichtlinie
- Zuweisen einer virtuellen GPU zu einer VM
- Entfernen einer virtuellen GPU von einer VM
- Ändern zulässiger virtueller GPU-Typen
- Erstellen, Löschen oder Zuweisen einer GPU-Gruppe
Virtuelle GPU-Konfiguration anzeigen:
- Zeigen Sie GPUs, GPU-Platzierungsrichtlinien und virtuelle GPU-Zuweisungen an.
Sammeln Sie Diagnoseinformationen von XenServer:
- Initiieren der GC-Sammlung und Heap-Komprimierung
- Sammeln von Garbage Collection-Statistiken
- Sammeln von Datenbankstatistiken
- Sammeln von Netzwerkstatistiken
Konfigurieren der Nachverfolgung geänderter Blöcke:
- Nachverfolgung geänderter Blöcke aktivieren
- Deaktivieren der Verfolgung geänderter Blöcke
- Zerstören Sie die mit einem Snapshot verknüpften Daten, und behalten Sie die Metadaten bei
- Abrufen der NBD-Verbindungsinformationen für eine VDI
- Exportieren einer VDI über eine NBD-Verbindung
Die Nachverfolgung geänderter Blöcke kann nur für lizenzierte Instanzen der XenServer Premium Edition aktiviert werden.
Geänderte Blöcke auflisten:
- Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben.
Konfigurieren von PVS-Accelerator:
- PVS-Beschleuniger aktivieren
- PVS-Accelerator deaktivieren
- Aktualisieren der PVS-Accelerator-Cache-Konfiguration
- Hinzufügen oder Entfernen der PVS-Accelerator-Cachekonfiguration
PVS-Accelerator-Konfiguration anzeigen:
- Den Status von PVS-Accelerator anzeigen
Geplante Snapshots (Hinzufügen/Entfernen von VMs zu vorhandenen Snapshot-Zeitplänen):
- Hinzufügen von VMs zu vorhandenen Snapshot-Zeitplänen
- Entfernen von VMs aus vorhandenen Snapshot-Zeitplänen
Geplante Snapshots (Hinzufügen/Ändern/Löschen von Snapshot-Zeitplänen):
- Hinzufügen von Snapshot-Zeitplänen
- Ändern von Snapshot-Zeitplänen
- Löschen von Snapshot-Zeitplänen
Hinweis:
Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung für erhöhte Rechte erhalten und die Anmeldeinformationen eines privilegierteren Benutzers angegeben hat. Melden Sie sich in diesem Fall bei XenCenter als privilegierterer Benutzer an und wiederholen Sie die Aktion.
Wie berechnet XenServer die Rollen für die Sitzung?
-
Der Betreff wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen er auch gehören kann.
-
XenServer überprüft dann, welche Rollen sowohl dem Betreff als auch den darin enthaltenen Gruppen zugewiesen wurden.
-
Da Betreffzeilen Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugeordneten Rollen.