SystemCenter2012SP1实践(23)私有云的权限设计
SCVMM和SCAC作為微軟私有云的兩個重要入口,由于私有云的資源是多部門公用的,為了防止權限擴大導致資源浪費和誤操作的可能性,我們在企業中部署的時候,需要認真的規劃好用戶和相應級別管理員的權限設置。
===============我是分隔線===============
本文主要介紹身份的權限規劃和設計。為了看起來更通俗一點,本文使用"班級"這個概念進行映射介紹,希望能讓你回想起上學時的心酸眼淚。
在實際生產活動當中,作為IT部門的運維人員,毫無疑問我們拿到的是"管理員"的權限,這個權限沒什么可說的,最大、最全四個字就可以概括了。同時也是毫無疑問的,這種權限如果掌握在非IT人員手中,誤操作的幾率將大大提升,原因很簡單,可供選擇的選項太多,誤操作也就變成喝水吃飯一樣容易簡單了。
如何降低誤操作,那么降低權限,僅開放需要使用的權限是一個不錯的主意。對于最終用戶來說,它沒必要知道實時遷移是怎么做的,也不需要理解共享存儲和本地存儲的差別。對用戶來說,"能用、好用"四個字概括了所有的需求。
===============我是分隔線===============
作為租戶管理員,我們可以理解為下放一級的管理員。一個企業中可以創建多個私有云,而一個私有云可以分配一個"租戶管理員",假設我們的"管理員"是班長,那么租戶管理員就是"小組長"或者"學習委員",小組長分擔了班長的一部分工作,卻僅僅是一部分,而班長有權監督小組長的工作進度。自助服務用戶相當于學習委員,他和小組長都是給班長干活的,但是各自的職權不同。
租戶管理員和自助服務用戶,在權限僅有一點不同,那就是租戶管理員可以設置VM網絡。
租戶管理員可以設定多個成員,也就是三年一班可以只設置一個小組長,也可以設置多個小組長。
配額:配額部分比較有意思,同時也是需要仔細規劃的部分,因為我們的服務器資源有限。所以內存、CPU、存儲以及虛擬機這些都是要限定的。好比三年一班是好學生班,我們分配10個U,而三年二班是差生班,老師也懶得管,那么分5個U就好了。
在這個配置頁面,有兩個選項,一個是角色級別配額,一個是用戶級別配額。
角色相當于說,三年一班有三個小組長,那么他們共用10個U,而三年一班人太多了,有8個小組長,但是他們只能共用5個U,這就很難分配了。
成員級別配額相當于,三年一班的三個小組長,平均每人可以分3個U,或者每人最大5個U,由于最大只有10個U,假如有兩個同學比較狠,一人5個把U用完了,那最后一個同學即使有配額也沒的用了。
角色級別和用戶級別如何規劃,可以提前規劃和調研一下。要知道,資源有限。
網絡部分好比學生可以下課了可以從哪些門出去。一組可以從A口出,二組可以從A和B兩個口出,隨意。
允許使用哪些口,得要班長來定。
資源:今天喝粥還是吃肉就看它了,想用什么操作系統,想要什么硬件配置,規劃都在這里。
操作:相對而言,這些權限基本都可以開放,但是需要注意的是,"部署"和作者、作者vm網絡這三個權限要謹慎使用,特別是這個私有云產生商業價值的時候。我們不能讓用戶自行創建一些沒有版權的虛擬機,那會為企業聲譽帶來不好的影響(當然,律師函是比較嚴重的情況下才會出現的),通過模板創建可以讓我們控制用戶的行為,同時加快部署虛擬機的速度。
同時需要注意的是,這塊是也是規劃中最重要的地方。有些用戶是不是僅僅只要有個開關虛擬機的功能就可以,其他甚至完全都可以不給?根據用戶需求來吧,這些權限都是非常實用的。
VM網絡創建的配額,這點是租戶管理員和自助服務用戶的唯一區別。這屬于一個比較高級的應用
仔細看看,發現確實是這樣的,自助服務角色沒有VM網絡的管理和創建功能。
轉載于:https://blog.51cto.com/jiushu/1202123
總結
以上是生活随笔為你收集整理的SystemCenter2012SP1实践(23)私有云的权限设计的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: cacti+nagios 整合遇到的问题
- 下一篇: 【wordpress基础教程一】:wor