XenServer

RBAC 角色和权限

角色

XenServer 附带以下六种预先确定的角色:

  • 池管理员 - 与本地 root 用户相同。可以执行所有操作。

    注意:

    本地超级用户(root 用户)具有“池管理员”角色。池管理员角色与本地 root 用户具有相同的权限。

    如果从用户中删除“池管理员”角色,还可以考虑更改 root 用户密码并轮换池密码。有关详细信息,请参阅池安全性

  • 池操作员 - 可执行除添加/删除用户及更改其角色以外的所有操作。此角色主要管理主机和池(即创建存储、构建池、管理主机等)。

  • 虚拟机超级管理员(VM 超级管理员)- 创建和管理虚拟机。此角色主要预配 VM 操作员所使用的 VM。

  • 虚拟机管理员(VM 管理员)- 与 VM 超级管理员类似,但不能迁移 VM 或执行快照。

  • 虚拟机操作员(VM 操作员)- 与 VM 管理员类似,但不能创建/销毁 VM,可执行启动/停止生命周期操作。

  • 只读角色 - 可查看资源池和性能数据。

注意:

  • 要对 XenServer 8 池应用更新,必须以池管理员或池操作员身份登录 XenCenter,或者使用本地 root 用户帐户进行登录。

  • 使用 Active Directory 组授予需要主机 SSH 访问权限的池管理员用户所需的访问权限时,Active Directory 组中的用户数不得超过 500。

有关每个角色可以具有的权限汇总以及每种权限可执行的操作的详细信息,请参阅下面的部分中的 RBAC 角色和权限定义

在 XenServer 中创建用户时,必须先为新创建的用户分配一个角色,然后才能使用帐户。XenServer 不会自动为新创建的用户分配角色。因此,在您为这些帐户分配角色之前,它们对 XenServer 池没有任何访问权限。

  1. 修改使用者到角色的映射。此操作需要分配/修改角色权限,该权限仅适用于池管理员。

  2. 在 Active Directory 中修改包含组成员身份的用户角色。

RBAC 角色和权限定义

下表汇总了每个角色具有的权限。有关每种权限可以执行的操作的详细信息,请参阅权限的定义

角色权限 池管理员 池操作员 VM 超级管理员 VM 管理员 VM 操作员 只读
分配/修改角色 X          
登录到(物理)服务器控制台(通过 SSH 和 XenCenter) X          
服务器备份/还原 X          
在服务器上安装 TLS 证书 X          
对池应用更新 X X        
滚动池升级 X          
导入 OVF/OVA 包;导入磁盘映像 X X        
导入 XVA 包 X X X      
导出 OVF/OVA/XVA 包 X X X X    
设置每个插槽的核心数 X X X X    
使用 XenServer Conversion Manager 转换 VM X          
交换机端口锁定 X X        
多路径 X X        
注销活动的用户连接 X X        
使用 NRPE 监视主机和 dom0 资源 X          
使用 SNMP 监视主机和 dom0 资源 X          
创建和取消警报 X X        
取消任何用户的任务 X X        
池管理 X X        
实时迁移 X X X      
存储实时迁移 X X X      
VM 高级操作 X X X      
VM 创建/销毁操作 X X X X    
VM 更改 CD 介质 X X X X X  
VM 更改电源状态 X X X X X  
查看 VM 控制台 X X X X X  
XenCenter 视图管理操作 X X X X X  
取消自己的任务 X X X X X X
阅读审核日志 X X X X X X
配置、初始化、启用、禁用 Workload Balancing (WLB) X X        
应用 WLB 优化建议 X X        
接受 WLB 放置建议 X X X      
显示 WLB 配置 X X X X X X
生成 WLB 报告 X X X X X X
连接到池并阅读所有池元数据 X X X X X X
配置虚拟 GPU X X        
查看虚拟 GPU 配置 X X X X X X
收集诊断信息 X X        
vCPU 热插拔 X X X X    
配置更改块跟踪 X X X X    
列出更改块 X X X X X  
配置 PVS 加速器 X X        
查看 PVS 加速器配置 X X X X X X
计划快照(在现有快照计划中添加/删除 VM) X X X      
计划快照(添加/修改/删除快照计划) X X        

权限的定义

分配/修改角色:

  • 添加和删除用户
  • 添加和删除用户的角色
  • 启用和禁用 Active Directory 集成(加入域)

此权限允许用户向自身授予任何权限或执行任何任务。

警告:

此角色允许用户禁用 Active Directory 集成以及从 Active Directory 添加的所有主体。

登录到服务器控制台:

  • 通过 SSH 访问服务器控制台
  • 通过 XenCenter 访问服务器控制台

警告:

具备对 root shell 的访问权限之后,被分派人可以随意重新配置整个系统(包括 RBAC)。

服务器备份/还原:

  • 备份和还原服务器
  • 备份和还原池元数据

还原备份的能力使被授权人能够还原 RBAC 配置更改。

在服务器上安装 TLS 证书:

此权限使管理员能够在运行 Citrix Hypervisor 8.2 或更高版本的服务器上安装 TLS 证书。

对池应用更新:

  • 将您的池与内容交付网络 (CDN) 同步
  • 如有必要,可通过将 VM 迁离每个主机并运行任何必要的更新任务(例如重新启动主机、重新启动 Toolstack 或重新启动 VM)来应用更新

滚动池升级:

  • 使用“滚动池升级”向导升级池中的所有主机。

导入 OVF/OVA 包和磁盘映像:

  • 导入 OVF 和 OVA 包
  • 导入磁盘映像

导入 XVA 包:

  • 导入 XVA 包

导出 OVF/OVA/XVA 包和磁盘映像:

  • 将 VM 导出为 OVF/OVA 包
  • 将 VM 导出为 XVA 包
  • 导出磁盘映像

设置每个插槽的核心数:

  • 为 VM 的虚拟 CPU 设置每个插槽的核心数

此权限允许用户为 VM 的虚拟 CPU 指定拓扑。

使用 XenServer Conversion Manager 转换 VM:

  • 将 VMware ESXi/vCenter VM 转换为 XenServer VM

此权限允许用户将工作负载从 VMware 转换到 XenServer。通过将 VMware ESXi/vCenter VM 分批次复制到 XenServer 环境来转换这些工作负载。

交换机端口锁定:

  • 控制网络中的流量

默认情况下,此权限允许用户阻止网络中的所有流量,或定义 VM 可从其发送流量的特定 IP 地址。

多路径:

  • 启用多路径
  • 禁用多路径

注销活动的用户连接:

  • 断开已登录用户的连接的能力

使用 NRPE 监视主机和 dom0 资源:

有关详细信息,请参阅使用 NRPE 监视主机和 dom0 资源

使用 SNMP 监视主机和 dom0 资源:

有关详细信息,请参阅使用 SNMP 监视主机和 dom0 资源

创建/消除警报:

  • 将 XenCenter 配置为当资源使用情况超过特定阈值时生成警报
  • 从“警报”视图中删除警报

警告:具有此权限的用户可以取消整个池的警报。

注意:查看警报的能力属于连接到池并读取所有池元数据权限的一部分。

取消任何用户的任务:

  • 取消任何用户的正在运行的任务

此权限允许用户请求 XenServer 取消任何用户启动的正在执行的任务。

池管理:

  • 设置池属性(命名、默认 SR)
  • 创建群集池
  • 启用、禁用和配置高可用性功能
  • 设置每个 VM 高可用性功能重新启动优先级
  • 配置 DR、执行 DR 故障转移、故障恢复以及测试故障转移操作。
  • 启用、禁用和配置 Workload Balancing (WLB)
  • 在池中添加和删除服务器
  • 紧急转换到池协调器
  • 应急池协调器地址
  • 池成员的紧急恢复
  • 指定新的池协调器
  • 管理池和服务器证书
  • 修补
  • 设置服务器属性
  • 配置服务器日志记录
  • 启用和禁用服务器
  • 关闭、重新启动和打开服务器
  • 重新启动 Toolstack
  • 系统状态报告
  • 应用许可证
  • 由于具有 WLB、维护模式或高可用性功能,可以将服务器上的所有其他 VM 实时迁移到其他服务器
  • 配置服务器管理接口和辅助接口
  • 禁用服务器管理
  • 删除故障转储
  • 添加、编辑和删除网络
  • 添加、编辑和删除 PBD/PIF/VLAN/绑定/SR
  • 添加、删除和检索机密信息

此权限包括维护池需执行的所有操作。

注意:如果管理接口无法使用,则除本地 root 登录外,其他登录均无法通过身份验证。

实时迁移:

  • 当 VM 位于两个主机共享的存储中时,将 VM 从一个主机迁移到另一个主机

存储实时迁移:

  • 当 VM 不位于两个主机之间共享的存储中时,从一个主机迁移到另一个主机
  • 将虚拟磁盘 (VDI) 从一个 SR 迁移到另一个 SR

VM 高级操作:

  • 调整 VM 内存(通过动态内存控制)
  • 创建包含内存数据的 VM 快照、生成 VM 快照及回滚 VM
  • 迁移 VM
  • 启动 VM,包括指定物理服务器
  • 恢复 VM

此权限向被分派人提供了足够的权限,使其能够在对所选的 XenServer 主机不满意时在其他主机上启动 VM。

VM 创建/销毁操作:

  • 安装和删除 VM
  • 克隆/复制 VM
  • 添加、删除和配置虚拟磁盘/CD 设备
  • 添加、删除和配置虚拟网络设备
  • VM 配置更改

VM 更改 CD 介质:

  • 弹出当前的 CD
  • 插入新 CD

VM 更改电源状态:

  • 启动 VM(自动放置)
  • 关闭 VM
  • 重新启动 VM
  • 挂起 VM
  • 恢复 VM(自动放置)

此权限不包括启动、恢复和迁移,这三种权限属于 VM 高级操作权限。

查看 VM 控制台:

  • 查看 VM 控制台以及与其交互

此权限不允许用户查看主机控制台。

取消自己的任务:

  • 允许用户取消自己的任务

读取审核日志:

  • 下载 XenServer 审核日志

配置、初始化、启用、禁用 WLB:

  • 配置 WLB
  • 初始化 WLB 并更改 WLB 服务器
  • 启用 WLB
  • 禁用 WLB

应用 WLB 优化建议:

  • 应用 WLB 选项卡中显示的任何优化建议

修改 WLB 报告订阅:

  • 更改生成的 WLB 报告或其接收者

接受 WLB 放置建议:

  • 选择其中一种服务器 Workload Balancing 放置建议(“星级”建议)

显示 WLB 配置:

  • 查看 WLB 选项卡上显示的池的 WLB 设置

生成 WLB 报告:

  • 查看和运行 WLB 报告,包括“池审核追踪”报告

XenCenter 视图管理操作:

  • 创建和修改全局 XenCenter 文件夹
  • 创建和修改全局 XenCenter 自定义字段
  • 创建和修改全局 XenCenter 搜索

连接到池并读取所有池元数据:

  • 登录到池
  • 查看池元数据
  • 查看历史性能数据
  • 查看登录的用户
  • 查看用户和角色
  • 查看任务
  • 查看消息
  • 注册参加和接收事件

配置虚拟 GPU:

  • 指定池范围内的放置策略
  • 将虚拟 GPU 分配给 VM
  • 从 VM 中删除虚拟 GPU
  • 修改允许的虚拟 GPU 类型
  • 创建、销毁或分配 GPU 组

查看虚拟 GPU 配置:

  • 查看 GPU、GPU 放置策略和虚拟 GPU 分配。

从 XenServer 收集诊断信息:

  • 启动 GC 收集和堆压缩
  • 收集垃圾回收统计信息
  • 收集数据库统计信息
  • 收集网络统计信息

配置更改块跟踪:

  • 启用更改块跟踪
  • 禁用更改块跟踪
  • 销毁与快照关联的数据并保留元数据
  • 获取 VDI 的 NBD 连接信息
  • 通过 NBD 连接导出 VDI

只能对已获得许可的 XenServer Premium Edition 实例启用更改块跟踪。

列出更改块:

  • 比较两个 VDI 快照并列出这两个快照之间已更改的块。

配置 PVS 加速器:

  • 启用 PVS 加速器
  • 禁用 PVS 加速器
  • 更新 PVS 加速器缓存配置
  • 添加或删除 PVS 加速器缓存配置

查看 PVS 加速器配置:

  • 查看 PVS 加速器的状态

计划快照(在现有快照计划中添加/删除 VM):

  • 向现有快照计划中添加 VM
  • 从现有快照计划中删除 VM

计划快照(添加/修改/删除快照计划):

  • 添加快照计划
  • 修改快照计划
  • 删除快照计划

注意:

有时,具有只读权限的用户无法将资源移动到 XenCenter 中的文件夹,即使在接收到提升提示并提供了更具特权的用户的凭据之后也是如此。在这种情况下,以更具特权的用户身份登录到 XenCenter 并重试该操作。

XenServer 如何计算会话的角色?

  1. 使用者通过 Active Directory 服务器进行身份验证,以确定该使用者还可能属于哪些包含组。

  2. XenServer 接下来会确定已将哪些角色同时分配给该使用者及其包含组。

  3. 由于使用者可以是多个 Active Directory 组的成员,因此,使用者会继承关联角色的所有权限。

 在上图中,由于使用者 2(组 2)是池操作员,而用户 1 是组 2 的成员,因此,使用者 3(用户 1)尝试登录时,将同时继承使用者 3(VM 操作员)和组 2(池操作员)角色。由于池操作员角色级别更高,因此,使用者 3(用户 1)的最终角色是池操作员而非 VM 操作员。

RBAC 角色和权限