RBAC 역할 및 권한
중요:
Citrix Hypervisor 8.2 누적 업데이트 1은 2025년 6월 25일에 수명이 종료됩니다. 원활한 전환과 지속적인 지원을 위해 지금 XenServer 8로의 업그레이드를 계획하십시오. 자세한 내용은 업그레이드.
Citrix Virtual Apps and Desktops 라이센스 파일을 사용하여 Citrix Hypervisor 8.2 누적 업데이트 1 호스트에 라이센스를 부여하는 경우 이러한 라이센스 파일은 XenServer 8과 호환되지 않습니다. 업그레이드하기 전에 XenServer 8에서 사용할 XenServer Premium Edition 소켓 라이센스 파일을 얻어야 합니다. 이러한 소켓 라이센스 파일은 Citrix 워크로드를 실행하기 위한 Citrix for Private Cloud, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP 및 Citrix Platform License 구독의 자격으로 사용할 수 있습니다. 아직 이러한 새로운 서브스크립션으로 전환하지 않은 Citrix 고객은 XenServer Premium Edition 소켓 라이센스 10,000개에 대한 무료 프로모션에 참여를 요청할 수 있습니다. 자세한 내용은 XenServer 서버.
업그레이드하기 전에 XenServer 8에 대한 호환 라이센스를 얻지 못한 경우 호스트를 업그레이드할 때 90일 평가판으로 되돌아갑니다. 평가판은 Premium Edition과 동일한 기능을 제공하지만 몇 가지 제한 사항이 있습니다. 자세한 내용은 XenServer 8 라이센스 개요.
역할
Citrix Hypervisor는 다음과 같은 사전 설정된 6가지 역할과 함께 제공됩니다.
-
풀 관리자 (풀 관리자) – 로컬 루트와 동일합니다. 모든 작업을 수행할 수 있습니다.
메모:
로컬 수퍼 유저(루트)에는 “풀 관리자” 역할이 있습니다. 풀 관리자 역할은 로컬 루트와 동일한 권한을 갖습니다.
사용자로부터 풀 관리자 역할을 제거하는 경우 서버 루트 암호를 변경하고 풀 암호를 교체하는 것도 고려합니다. 자세한 내용은 풀 보안.
-
풀 운영자 (풀 운영자) – 사용자 추가/제거 및 역할 변경을 제외한 모든 작업을 수행할 수 있습니다. 이 역할은 주로 호스트 및 풀 관리(즉, 스토리지 생성, 풀 생성, 호스트 관리 등)에 중점을 둡니다.
-
Virtual Machine Power Administrator (VM Power Admin) – 가상 머신을 만들고 관리합니다. 이 역할은 VM 운영자가 사용할 VM을 프로비저닝하는 데 중점을 둡니다.
-
가상 머신 관리자 (VM 관리자) – VM Power Admin과 유사하지만 VM을 마이그레이션하거나 스냅샷을 수행할 수 없습니다.
-
가상 머신 운영자 (VM 운영자) – VM 관리자와 유사하지만 VM을 생성/삭제할 수 없지만 수명 주기 작업을 시작/중지할 수 있습니다.
-
읽기 전용 (읽기 전용) – 리소스 풀 및 성능 데이터를 볼 수 있습니다.
경고:
Active Directory 그룹을 사용하여 호스트 ssh 액세스가 필요한 풀 관리자 사용자에게 액세스 권한을 부여하는 경우 Active Directory 그룹의 사용자 수는 500명을 초과할 수 없습니다.
각 역할에 사용할 수 있는 권한에 대한 요약과 각 권한에 사용할 수 있는 작업에 대한 자세한 내용은 다음을 참조하십시오. RBAC 역할 및 권한의 정의 다음 섹션에서 설명합니다.
Citrix Hypervisor에서 사용자를 생성할 때 계정을 사용하려면 먼저 새로 생성된 사용자에게 역할을 할당해야 합니다. Citrix 하이퍼바이저 하지 않는다 새로 생성된 사용자에게 역할을 자동으로 할당합니다. 따라서 이러한 계정은 역할을 할당할 때까지 Citrix Hypervisor 풀에 액세스할 수 없습니다.
-
역할 매핑에 대한 주제를 수정합니다. 이를 위해서는 풀 관리자만 사용할 수 있는 역할 할당/수정 권한이 필요합니다.
-
Active Directory에서 사용자를 포함하는 그룹 구성원 자격을 수정합니다.
RBAC 역할 및 권한의 정의Definitions of RBAC roles and permissions
다음 표에는 각 역할에 사용할 수 있는 권한이 요약되어 있습니다. 각 권한에 사용할 수 있는 작업에 대한 자세한 내용은 다음을 참조하십시오. 사용 권한의 정의.
| 역할 권한 | 풀 관리자 | 풀 운영자 | VM 전원 관리자 | VM 관리자 | VM 운영자 | 읽기 전용 |
|---|---|---|---|---|---|---|
| 역할 할당/수정 | X | |||||
| (물리적) 서버 콘솔에 로그인(SSH 및 XenCenter를 통해) | X | |||||
| 서버 백업/복원 | X | |||||
| OVF/OVA 패키지 가져오기; 디스크 이미지 가져오기 | X | |||||
| XVA 패키지 가져오기 | X | X | X | |||
| OVF/OVA 패키지 내보내기 | X | |||||
| XVA 패키지 내보내기 | X | X | X | |||
| 소켓당 코어 수 설정 | X | X | X | X | ||
| Conversion Manager를 사용하여 VM 변환 | X | |||||
| 스위치 포트 잠금 | X | X | ||||
| 다중 경로 지정 | X | X | ||||
| 활성 사용자 연결 로그아웃 | X | X | ||||
| 경고 만들기 및 해제 | X | X | ||||
| 모든 사용자의 작업 취소 | X | X | ||||
| 풀 관리 | X | X | ||||
| 실시간 마이그레이션 | X | X | X | |||
| 스토리지 실시간 마이그레이션 | X | X | X | |||
| VM 고급 작업 | X | X | X | |||
| VM 생성/삭제 작업 | X | X | X | X | ||
| VM 변경 CD 미디어 | X | X | X | X | X | |
| VM 전원 상태 변경 | X | X | X | X | X | |
| VM 콘솔 보기 | X | X | X | X | X | |
| vApp(vApp 추가/수정/삭제) | X | X | ||||
| vApp(vApp 시작/종료) | X | X | ||||
| vApp(기존 vApp에 VM 추가/제거) | X | X | ||||
| vApp(vApp 보기) | X | X | X | X | X | X |
| XenCenter 보기 관리 작업 | X | X | X | X | X | |
| 자신의 작업 취소 | X | X | X | X | X | X |
| 감사 로그 읽기Read audit logs | X | X | X | X | X | X |
| 풀에 연결하고 모든 풀 메타데이터 읽기 | X | X | X | X | X | X |
| 가상 GPU 구성 | X | X | ||||
| 가상 GPU 구성 보기 | X | X | X | X | X | X |
| 구성 드라이브에 액세스(CoreOS VM만 해당) | X | |||||
| 스케줄링된 스냅샷(기존 스냅샷 스케줄에 VM 추가/제거) | X | X | X | |||
| 예약된 스냅샷(스냅샷 일정 추가/수정/삭제) | X | X | ||||
| 진단 정보 수집 | X | X | ||||
| 변경된 블록 추적 구성 | X | X | X | X | ||
| 변경된 블록 나열 | X | X | X | X | X | |
| PVS-Accelerator 구성 | X | X | ||||
| PVS-Accelerator 구성 보기 | X | X | X | X | X | X |
사용 권한의 정의
역할 할당/수정:
- 사용자 추가/제거
- 사용자의 역할 추가/제거
- Active Directory 통합 사용 및 사용 안 함(도메인에 가입됨)
이 권한을 통해 사용자는 자신에게 권한을 부여하거나 작업을 수행할 수 있습니다.
경고: 이 역할을 사용하면 사용자가 Active Directory 통합 및 Active Directory에서 추가된 모든 주체를 비활성화할 수 있습니다.
서버 콘솔에 로그인합니다.
- ssh를 통한 서버 콘솔 액세스
- XenCenter를 통한 서버 콘솔 액세스
경고: 루트 셸에 대한 액세스 권한이 있는 담당자는 RBAC를 포함한 전체 시스템을 임의로 재구성할 수 있습니다.
서버 백업/복원 VM 생성/삭제 작업:
- 서버 백업 및 복원
- 풀 메타데이터 백업 및 복원Back and restore up pool metadata
백업을 복원하는 기능을 사용하면 담당자가 RBAC 구성 변경 사항을 되돌릴 수 있습니다.
OVF/OVA 패키지 및 디스크 이미지 가져오기/내보내기:
- OVF 및 OVA 패키지 가져오기
- 디스크 이미지 가져오기
- VM을 OVF/OVA 패키지로 내보내기
소켓당 코어 수 설정:
- VM의 가상 CPU에 대한 소켓당 코어 수를 설정합니다
이 권한을 통해 사용자는 VM의 가상 CPU에 대한 토폴로지를 지정할 수 있습니다.
Conversion Manager를 사용하여 VM 변환:
- VMware ESXi/vCenter VM을 Citrix Hypervisor VM으로 변환
이 권한을 통해 사용자는 VMware ESXi/vCenter VM의 배치를 Citrix Hypervisor 환경으로 복사하여 워크로드를 VMware에서 Citrix Hypervisor로 변환할 수 있습니다.
스위치 포트 잠금:
- 네트워크의 트래픽 제어
이 권한을 통해 사용자는 기본적으로 네트워크의 모든 트래픽을 차단하거나 VM이 트래픽을 보낼 수 있는 특정 IP 주소를 정의할 수 있습니다.
다중 경로:
- 다중 경로 지정 활성화
- 다중 경로 지정 비활성화
활성 사용자 연결을 로그아웃합니다.
- 로그인한 사용자의 연결을 끊는 기능
경고 만들기/해제:
- 리소스 사용량이 특정 임계값을 초과할 때 경고를 생성하도록 XenCenter를 구성합니다.
- 경고 보기에서 경고 제거
경고: 이 권한이 있는 사용자는 전체 풀에 대한 경고를 해제할 수 있습니다.
참고: 경고를 보는 기능은 풀에 연결하고 모든 풀 메타데이터 읽기 권한의 일부입니다.
모든 사용자의 작업 취소 :
- 실행 중인 사용자의 작업 취소
이 권한을 통해 사용자는 Citrix Hypervisor에 사용자가 시작한 진행 중인 작업을 취소하도록 요청할 수 있습니다.
풀 관리:
- 풀 속성 설정(이름 지정, 기본 SR)
- 클러스터된 풀 만들기
- 고가용성 사용, 사용 안 함 및 구성Enable, disable, and configure high availability
- VM별 고가용성 다시 시작 우선 순위 설정
- DR 구성 및 DR 장애 조치(failover), 장애 복구(failback) 및 테스트 장애 조치(failover) 작업 수행
- Workload Balancing(WLB) 활성화, 비활성화 및 구성
- 풀에서 서버 추가 및 제거
- 마스터로 긴급 전환
- 응급 마스터 주소
- 응급 복구 풀 구성원
- 새 마스터 지정
- 풀 및 서버 인증서 관리
- 패치
- 서버 속성 설정
- 서버 로깅 구성
- 서버 사용 및 사용 안 함
- 서버 종료, 재부팅 및 전원 켜기
- toolstack 다시 시작
- 시스템 상태 보고서
- 라이선스 적용
- 유지 관리 모드 또는 고가용성으로 인해 서버의 다른 모든 VM을 다른 서버로 실시간 마이그레이션
- 서버 관리 인터페이스 및 보조 인터페이스 구성
- 서버 관리 비활성화
- 크래시 덤프 삭제
- 네트워크 추가, 편집 및 제거
- PBD/PIF/VLAN/BONDS/SR 추가, 편집 및 제거
- 비밀을 추가, 제거 및 검색합니다
이 권한에는 풀을 유지 관리하는 데 필요한 모든 작업이 포함됩니다.
참고: 관리 인터페이스가 작동하지 않으면 로컬 루트 로그인을 제외한 어떤 로그인도 인증할 수 없습니다.
실시간 마이그레이션:
- VM이 두 호스트에서 공유하는 스토리지에 있는 경우 한 호스트에서 다른 호스트로 VM 마이그레이션
스토리지 실시간 마이그레이션:
- VM이 두 호스트 간에 공유되는 스토리지에 없는 경우 한 호스트에서 다른 호스트로 마이그레이션합니다
- 한 SR에서 다른 SR로 가상 디스크(VDI) 이동
VM 고급 작업:
- VM 메모리 조정(동적 메모리 제어를 통해)
- 메모리가 있는 VM 스냅샷 만들기, VM 스냅샷 생성 및 VM 롤백
- VM 마이그레이션
- 물리적 서버 지정을 포함하여 VM 시작
- VM 재개
이 권한은 담당자가 선택한 Citrix Hypervisor 서버에 만족하지 않는 경우 다른 서버에서 VM을 시작할 수 있는 충분한 권한을 제공합니다.
VM 생성/삭제 작업:
- 설치 또는 삭제
- VM 복제/복사
- 가상 디스크/CD 장치 추가, 제거 및 구성
- 가상 네트워크 장치 추가, 제거 및 구성Add virtual network devices, remove, and configure virtual network devices
- XVA 파일 가져오기/내보내기
- VM 구성 변경
- 서버 백업/복원
VM 변경 CD 미디어:
- 현재 CD 꺼내기
- 새 CD 삽입
OVF/OVA 패키지 가져오기/내보내기; 디스크 이미지 가져오기
VM 전원 상태 변경:
- VM 시작(자동 배치)
- VM 종료
- VM 재부팅
- VM 일시 중단
- VM 다시 시작(자동 배치)
이 권한에는 VM 고급 작업 권한의 일부인 start_on, resume_on 및 마이그레이션이 포함되지 않습니다.
VM 콘솔 보기:
- VM 콘솔 보기 및 상호 작용
이 권한으로는 사용자가 서버 콘솔을 볼 수 없습니다.
vApp(vApp 추가/수정/삭제):
- vApp 만들기
- vApp 삭제
- vApp의 속성 변경
vApp(vApp 시작/종료):
- vApp 시작
- vApp 종료
vApp(기존 vApp에 VM 추가/제거):
- vApp에 VM을 추가합니다.
- vApp에서 VM 제거
vApp(vApp 보기):
- 풀에서 vApp 보기
XenCenter 보기 관리 작업:
- 전역 XenCenter 폴더 만들기 및 수정
- 전역 XenCenter 사용자 지정 필드 만들기 및 수정
- 전역 XenCenter 검색 만들기 및 수정
폴더, 사용자 정의 필드 및 검색은 풀에 액세스하는 모든 사용자 간에 공유됩니다
자신의 작업 취소:
- 사용자가 자신의 작업을 취소할 수 있습니다.
감사 로그 읽기:
- Citrix Hypervisor 감사 로그 다운로드
풀에 연결하고 모든 풀 메타데이터를 읽습니다.
- 풀에 로그인
- 풀 메타데이터 보기
- 과거 성능 데이터 보기
- 로그인한 사용자 보기
- 사용자 및 역할 보기
- 메시지 보기
- 이벤트에 등록하고 받기
가상 GPU 구성:
- 풀 전체 배치 정책 지정
- VM에 가상 GPU 할당
- VM에서 가상 GPU 제거
- 허용되는 가상 GPU 유형 수정
- GPU 그룹 생성, 삭제 또는 할당
가상 GPU 구성 보기:
- GPU, GPU 배치 정책 및 가상 GPU 할당 보기
구성 드라이브에 액세스합니다(CoreOS VM만 해당).
- VM의 구성 드라이버에 액세스합니다.
예약된 스냅샷:
- 기존 스냅샷 스케줄에 VM 추가Add VMs to existing snapshot schedules
- 기존 스냅샷 스케줄에서 VM 제거Remove VMs from existing snapshot schedules
- 스냅샷 스케줄 추가
- 스냅샷 일정 수정
- 스냅샷 스케줄을 삭제합니다
Citrix Hypervisor에서 진단 정보를 수집합니다.
- GC 수집 및 힙 압축 시작
- 가비지 콜렉션 통계 수집
- 데이터베이스 통계 수집
- 네트워크 통계 수집
변경된 블록 추적을 구성합니다.
- 변경된 블록 추적 활성화
- 변경된 블록 추적 비활성화
- 스냅샷과 연결된 데이터를 삭제하고 메타데이터를 보존합니다
- VDI에 대한 NBD 연결 정보 가져오기
변경된 블록 추적은 Citrix Hypervisor 프리미엄 에디션의 라이센스가 부여된 인스턴스에 대해서만 활성화할 수 있습니다.
변경된 블록 나열:
- 두 VDI 스냅샷을 비교하고 스냅샷 간에 변경된 블록을 나열합니다
PVS-Accelerator 구성:
- PVS-Accelerator 활성화
- PVS-Accelerator 비활성화
- 업데이트(PVS-Accelerator) 캐시 구성
- 추가/제거(PVS-Accelerator) 캐시 구성
PVS-Accelerator 구성 보기:
- PVS-Accelerator의 상태 보기
메모:
경우에 따라 읽기 전용 사용자가 권한 상승 프롬프트를 받고 더 많은 권한이 있는 사용자의 자격 증명을 제공한 후에도 XenCenter의 폴더로 리소스를 이동할 수 없습니다. 이 경우 권한이 더 많은 사용자로 XenCenter에 로그온하고 작업을 다시 시도합니다.
Citrix Hypervisor는 세션의 역할을 어떻게 계산합니까?
-
주체는 Active Directory 서버를 통해 인증되어 주체가 속할 수 있는 포함 그룹을 확인합니다.
-
그런 다음 Citrix Hypervisor는 주체와 해당 포함 그룹 모두에 할당된 역할을 확인합니다.
-
주체는 여러 Active Directory 그룹의 구성원이 될 수 있으므로 연결된 역할의 모든 권한을 상속합니다.
