proxmox超融合集群用户授权
作者:田逸(sery@163.com)
Proxmox超融合私有云交付以后,存在一些有风险的操作,如果把控制权完全交给经验不够的人,很可能造成不可预料的后果。比如修改节点主机名导致集群崩溃、对ceph ODS不当操作导致ceph故障…。为了保证超融合的安全稳定,有必要对不同的用户进行有效授权。
Proxmox的权限,涉及到数据中心及虚拟机(没有针对物理节点的相关权限)。几个地方的权限,要配合使用,方能有效。从权限的分布来看,没有什么规律,希望开发方能进一步改进。
数据中心层面的权限菜单包括:用户、群组、资源池、角色及身份验证,其中常用的有前边四项,身份验证用得不频繁。
虚拟机或者存储,仅有“权限”一个菜单项,添加用户或者组的操作在此完成。
◎场景设计
Proxmox超融合私有云建立起以后,不要对普通用户授予下列权限:
² 系统登录的权限。即不能直接登录宿主机的debian系统,用命令行操作相关指令或者运行shell脚本。
² 不能在web管理界面对“数据中心”的大部分菜单进行操作。
² 不能在web管理界面对“物理节点(宿主机)“所属菜单进行操作。
对这些权限做限制以后,普通用户能操作的对象,其实就只剩虚拟机、存储。这些受限制的用户,能进行的操作,也仅仅是web管理界面。虽然权力受限,但丝毫不会影响到正常的使用,而且把这个云平台的风险降低到最小。
◎某个实际案例
前几天,刚部署完一套五节点的proxmox超融合私有云集群,并把管理权限移交给开发人员。考虑到开发人员没有系统管理方面的经验,时不时我会登录上去看看。我看见上面已经创建了虚拟机,并且给虚拟机安装了操作系统。但仔细检查,发现技术人员在创建时,并没有很好的利用资源,虚拟机的磁盘使用的是本地存储,而不是建立在高可用存储ceph之上。
为保证系统的稳定性,使开发人员专注于本职工作,我联系了决策人,希望我来帮他们负责proxmox超融合私有云底层,其它技术人员使用资源就好。
本来是想授权给某人,能创建虚拟机,并对虚拟机进行管理。但我折腾了一整天,还没有实验出结果。于是,就先这样授权操作:我先给他们创建好虚拟机,由他们自己去管理虚拟机,包括安装虚拟机操作系统。
◎授权过程及具体操作
Ø 创建群组:此为可选项,此为方便多人对同一授权对象进行管理。
1. Proxmox web管理界面,找到相关操作菜单,点击创建。
2. 填写一个容易辨识的群组名称,备注可填可不填。
Ø 创建用户:创建是必须的,而且是授权的前提条件。
1、 Proxmox web管理界面,找到相关操作菜单,点“添加”按钮。
2、 添加用户的界面填写用户名,领域选择pve 验证服务器。如果选pam,则需要登录宿主机系统,创建系统账号…
3、 给创建好的用户设置密码。为安全起见,强烈建议设置复杂密码。
Ø 虚拟机授权
1、 Proxmox web管理界面,选择创建好的虚拟机,菜单项选择“权限”,再点击“添加”。
2、 添加可选“用户”,也可以选“用户组”。
3、 选中欲授权的用户或者组(必须先创建)。
4、 角色从下拉列表选“PVEAdmin”,读者也可以尝试选择其他项。还可以自建角色,对各种权利进行组合,以满足实际需求(操作在数据中心级的“角色”菜单)。
Ø 交付使用
² 以上面步骤创建好的用户名登录proxmox超融合私有云集群,验证方法为PVE(默认是Linux PAM)。
² 登录到proxmox管理界面以后,可试着去创建一个虚拟机(故意越权)。因为授权的原因,不能实现此愿望。但对授权虚拟机进行操作系统安装、克隆、迁移、虚拟机安装操作系统、修改虚拟机配置等等操作,是能够正常进行的。这也与我们的设计相符合,达到预期目标。
更多关于proxmox超融合高可用私有云内容,请移步个人专栏“人人都能玩的超融合私有云”,猛戳此处直达目标!!!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
别让bug跑了,通过问题理解ceph的克隆过程
写在前面 刚刚过去的9月,人工智能、云计算和物联网界热闹非凡,接连迎来了世界物联网博览会、世界人工智能大会和阿里云栖大会。2018世界物联网博览会就在家门口举行,抓了空去现场看展览,外行人看看热闹,有感于科技的日新月异给生活带来的便利。 话题扯远了,回到这篇文章,文章的标题包含“复盘”,顾名思义,是对以前的发生的现象或问题进行回顾,学而不思则罔,目的第一是从问题中总结经验,最大化发掘它的价值;第二是不断锻炼自己分析问题的能力;最后是希望强化在某项知识上的运用能力,毕竟以今天分析昨天,有思维就ok了,但是以今天设想未来,需要长期深厚的积累才行。 1 背景 云硬盘的快照、克隆,属于块存储RBD基本功能,之前我并没有太多关注这两块,保证功能能用、好用就过去了。 不过在最近遇到几个与克隆或快照相关联的问题,涉及到rbd clone、rbd flatten等,正好是之前未遇到过,因此找了时间对产生的问题复盘,也是希望借bug观察ceph对克隆和快照的处理流程。 整篇文章分以下几小章节: 1 、背景 2 、bug回顾 3、 利用rbd_max_clone_depth...
- 下一篇
Zabbix3.4通过shell脚本监控redis服务
公司最近网站改版,增加了redis服务器,现领导要求需要测试redis的监控,于是从网上找了个redis的监控脚本,简单的修改了一下,测试中没出现任何问题。生产环境中,可根据实际要监控的参数值修改脚本内容,并添加相应的触发器。Redis有自带的redis-cli客户端,通过info命令可以查询到redis的运行情况,我们可以写个shell脚本,通过zabbix来调用这个脚本实现redis的监控。 一、info命令的使用 要获得redis的当前情况,可以使用info命令。命令格式: redis-cli -h [hostname] -p [port] -a [password] info [参数] 1、查询server信息 redis-cli -h 127.0.0.1 -p 6379 -a 'password' info server 2、查询客户端连接情况 redis-cli -h 127.0.0.1 -p 6379 -a 'password' info clients 3、查询内存使用情况 redis-cli -h 127.0.0.1 -p 6379 -a 'password' inf...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装