Tổng quan System Center Virtual Machine (SCVMM) – Phần 12

XII. Tìm hiểu và cấu hình User Roles trong VMM 2008

Với VMM 2008 người quản trị được cung cấp một sức mạnh đáng kể trong việc điều khiển thông qua một môi trường ảo hóa phân tán. Với khả năng như thế thì cũng đồng nghĩa với việc gánh vác một trách nhiệm khá lớn. Một tài khoản người dùng VMM với đầy đủ đặc quyền có thể tạo , cấu hình và hủy các máy ảo cũng như bất cứ lưu trữ nào với vài cú click chuột nhưng thảm họa sẽ nhanh chóng xảy ra khi mà ai cũng có đặc quyền như thế trong hệ thống.

Do đó sẽ không lấy gì làm ngạc nhiên khi mà VMM 2008 cung cấp khả năng điều khiển phân phối người dùng nào có quyền truy cập vào vùng quản lý và họ có thể làm gì khi họ được phép truy cập vào vùng quản lý. Điều này được thực hiện nhờ các User Roles. Roles là khái niệm định nghĩa ra hành động nào sẽ được thực thi trong môi trường VMM 2008. Sau đó là phân bố người dùng trong hệ thống là thành viên của một trong các Role được tạo ra cho phép giới hạn các hành động cho phép dựa theo các quy định đặt ra trong Role.

1. Các loại User Roles

Một User Role được tạo ra dựa trên các mức độ truy cập sau đây:

  • Administrator Role – đây là mức độ truy cập cao nhất, thành viên thuộc Role này có đầy đủ đặc quyền truy cập và không giới hạn đến tất cả các chức năng trong VMM Administrator Console. Bên cạnh đó những thành viên thuộc Role này còn có thể tạo ra các Delegated Administrator RoleSelf-Service Role. Thông thường mặc định những thành viên có mức truy cập này đều thuộc nhóm Administrators Local. Tuy nhiên nên nhớ rằng chỉ có duy nhất một Administrator Role trên hệ thống VMM 2008 và không thể tạo thêm bất cứ một Administrator Role nào.
  • Delegated Administrator Role – Role này có thể được tạo ra nhờ các thành viên thuộc Administrator Role hoặc một thành viên của Delegated Administrator Role khác. Điều đáng lưu ý là thành viên thuộc Delegated Administrator role có mức độ truy cập tương tự như thành viên thuộc Administrator Role nhưng truy cập vẫn bị giới hạn ở những host, máy ảo và VMM Library Server chỉ định tại thời điểm tạo Role.
  • Self-Service User Role – Thành viên của mức độ truy cập này được quyền sử dụng VMM Slef-Service Portal để thực thi các nhiệm vụ đặc biệt trên máy ảo chứ không được sử dụng VMM Administrator Console. Các hành động cho phép (như start, stop, và xóa máy ảo thông qua Portal) được định nghĩa ra suốt trong quá trình tạo Role và có thể tùy chỉnh lại trong VMM Administrator bởi một administrator.

2. Tạo mới Delegated Administrator Role

Như đã đề cập từ trước các Delegated Administrator Role có thể được tạo ta bởi các thành viên đang tồn tại và có quyền truy cập ở mức độ Administrator Role hoặc là một thành viên của Delegated Administrator Role nào đó trong hệ thống. Và hiển nhiên là một Delefated Administrator Role phải được tạo ra trong VMM Administrator Console.

Sau khi Console khởi động và hoàn tất kết nối với VMM Server, chọn mục Administrator bên panel trái của giao diện điều khiển VMM Administrator Console. Sau đó tiếp tục chọn mục con là User Roles trong mục Administrator. Kết quả sẽ như hình sau đây:

image

Chọn lựa một Role trong danh sách kết quả hiện ra trong khung giữa giao diện điều khiển

Lúc này một Delegated Administrator Role có thể được tạo ra bằng ách chọn New user role trong mục Actions bên panel phải của giao diện điều khiển. Sự lựa chọn này sẽ xuất hiện một Create User Role wizard

image

Màn hình khởi động đầu tiên sẽ yêu cầu tên cho Role mới sẽ tạo và một số mô tả chính cùng với loại Role sẽ tạo (Delegated Administrator Role hoặc Self-Service Role). Ở đây trong mục này mục đích chính là chọn Delegated Administrator Role và sau đó chọn Next. Màn hình tiếp theo sẽ quyết định danh sách các thành viên của Role. Chọn Add và lựa chọn các thành viên cho nhóm truy cập này.

image

Ở đây có thể đánh nhiều tên người dùng cách nhau bằng dấu chấm phẩy và chọn Check Name để xác nhận đúng tên người dùng. Click OK để thêm người dùng vào Role sau đó chọn Next chuyển qua Select Scope . Trong màn hình này sẽ yêu cầu chọn host library mà các thành viên nhóm này có toàn quyền quản lý sau đó là Nhấn Next chuyển qua màn hình Summary và click Create để tao User Role.

3. Tạo mới Self-Service User Role

Trước hết cần nắm bắt những tài khoản nào được cho là có thẩm quyền trong việc tạo và cấp phát đặc quyền cho các Self-Service Portal. Đó là các tài khoản có quyền truy cập ở 2 cấp độ Administrator Role hoặc Delegated Administrator Role. Tuy nhiên nên nhớ rằng với mức truy cập Administrator Role thì những tài khoản thuộc nhóm này có thể quản lý việc cấp quyền hạn cho các tài khoản thuộc Self-Service user Role ở mức độ toàn hệ thống còn các tài khoản Delegated Administrator Role chỉ có quyền hạn tạo ra các Self-Service User Role và cấp quyền hạn giới hạn ở những Host, Library mà chúng đang được toàn quyền quản lý. Cũng như cách tạo Delegated Administrator Role bên trên, để tạo Self-Service Portal phải vào mục Administrator của VMM Administrator Console.

Để tạo Self-Service User Role chọn tác vụ New user Role trong mục Actions bên phải giao diện VMM Administrator Role. Hành động này sẽ xuất hiện màn hình Create User Role wizard

image

Trong màn hình khởi động đầu tiên này sẽ yêu cầu cung cấp tên cho Role, mô tả ngắn và kèm theo là loại Role sẽ tạo (Delegated hoặc Self-Service User).

Chú ý: Sẽ không gì lạ khi không xuất hiện loại Administrator Role vì Role này đặc biệt chỉ có 1 không thể tạo thêm nên trong mục lựa chọn không thấy xuất hiện.

Tiếp tục chọn Self-Service User và chọn Next chuyển màn hình tiếp theo nơi này sẽ liệt kê danh sách các thành viên thuộc Role này để có thể định nghĩa thêm bằng cách chọn nút Add và nhập các tên tài khoản sẽ có mức User Role này.

image

Chọn xong click OK để thêm vào Role và chọn Next để chuyển qua màn hình Select Scope. Trong màn hình này sẽ lựa chọn các host được quyền truy cập tiếp theo sau là nhấn Next.

image

Nơi đây tiếp tục sẽ thiết lập các hành động được phép thực thi trên hệ thống host hay chính xác la trên các máy áo thuộc host chỉ định bên trên có dạng như sau:

image

Nơi này mặc định sẽ chọn tất cả các hành động có thể trong hệ thống nhưng cũng có thể xoa bỏ các thuộc tính hành động không mong muốn trên hệ thống hay chính xác là không muốn người dùng thực thi các hành động đó. Tiếp tục chọn Next để chuyển qua Virtual Machinr Creation settings. Nơi này sẽ thiết lập tùy chọn về đặc quyền tạo máy ảo cũng như giới hạn trong việc tạo máy ảo. để cấp quyền tạo máy ảo chọn dòng Allow users to create nre virtual machines. Nên nhớ rằng những tài khoản trong Self-Service user Role chỉ có thể tạo máy ảo dựa trên các Template có sẵn và được liệt kê cũng như lựa chọn như bên dưới đây nếu không có Template nào cũng đồng nghĩa với việc không thể tạo máy ảo. Xem lại chương quản lý Template.

image

Trong màn hình Virtual Machine Permission còn cho phép đặt ra một số giới hạn xác định đặc biệt hay còn gọi là Quota Point. Như có thể thấy trong hình trên giá trị Quota thiết lập nơi này dùng để khai báo giới hạn máy cho phép triển khai cho chính User Role này không kể là tài khoản nào tạo ra. Ngoài ra còn có thể thiết đặt môt Quota thứ hai nằm trong Properties à Settings của từng Template qui định giới hạn máy ảo tạo ra dựa trên tài khoản người dùng. Vì còn có khái niệm là không nhất thiết giữ thiết lập 1 Quota Point cho một máy ảo mà có thể là một point cho cả một User Role. Ở đây tùy thuộc vào kế hoạch triển khai mà khái báo cho hợp kết hợp nhuần nhuyễn giữa hai tham số trên.

Và cũng nên nhớ rằng khi mà tài nguyên sẽ cấp phát cho máy ảo mà người dùng tạo ra vượt mức giới hạn của máy Host thì sẽ hành động tạo mới sẽ không bao giờ được thực hiện cho đến khi lượng tài nguyên còn trống đủ để tạo máy ảo này.

image

Tiếp tục sẽ chọn Next để chuyển qua trang Library Share nơi này sẽ quyết định Library sẽ chia sẻ cho thành viên của Role này để mà có thể luu trữ máy ảo. Để ngăn ngừa tình trạng tất cả máy ảo đều chứa trong một Library. Chọn Allow users to store virtual machines in a library và chọn library cho phép lưu trữ máy ảo.

image

Cuối cùng chọn Next để chuyển qua trang Summary

image

Trang này mô tả tất cả thiết lập từ các bước trước giờ và cho phép xem đoạn script sẽ chạy có thể dùng đoạn script cho một tiến trình tạo hàng loạt. Có thể nhấn Create để kết thúc việc tạo mới một Self-Service User Role

image

4. Tùy chỉnh User Role đang có

Đề tùy chỉnh lại một User Role đang tồn tại trong hệ thống yêu cầu chọn Role đó trong VMM Administrator Console và chọn tiếp tác vụ Properties trong mục Actions. Lúc này sẽ xuất hiện một hộp thoại User Role Properties. Trong này sẽ gồm nhiều tab với các thông tin khác nhau như hình bên dưới đây là thông tin các đặc quyền cho phép được quy định trong thẻ VM Permissions cho một Self_service User role:

image

Một khi tùy chỉnh hoàn tất chọn OK để chấp nhận sử đổi.

Posted on 05/01/2011, in Microsoft, System Center and tagged , , , , . Bookmark the permalink. Bạn nghĩ gì về bài viết này?.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d bloggers like this: