6.8. Domains, Benutzer und Projekte verwalten

Acronis Cyber Infrastructure verwendet die Verwaltungshierarchie von Domänen und Projekten mit einer rollenbasierten Zugriffskontrolltechnik (RBAC, Role-Based Access Control), um die virtuellen Objekte (virtuelle Maschinen, Volumes, private Netzwerke etc.) des Compute-Clusters zu verwalten Eine Domain ist ein isolierter Container von Projekten und Benutzern mit zugewiesenen Rollen. Jedes Projekt und jeder Benutzer kann nur zu einer Domain gehören. Ein Projekt ist ein isolierter Container von virtuellen Objekten mit definierten Limits für virtuelle Ressourcen (wie vCPU, RAM, Storage und Floating-IP-Adressen) sowie zugewiesene Benutzer. Eine Rolle ist global und definiert alle möglichen Tasks, die der Benutzer auf der Ebene des kompletten Clusters, einer bestimmten Domain oder eines Projekts ausführen kann:

  • innerhalb des Clusters können Sie Tasks zur Systemadministration durchführen;
  • innerhalb einer Domain können Sie Benutzerkonten erstellen sowie verwalten und diese bestimmten Projekten zuweisen;
  • innerhalb eines Projekts können Sie virtuelle Objekte erstellen und verwalten.

Eine solche Implementierung stellt eine administrative Umgebung mit eigenen Benutzern und virtuellen Objekten bereit und gewährleistet deren Isolierung von anderen Benutzern und virtuellen Objekten.

6.8.1. Domains verwalten

Während der Bereitstellung des primären Knotens wird die eindeutige Standard-Domain zusammen mit dem Standard-Benutzerkonto und dem Projekt erstellt. Nur innerhalb dieser Domain können Sie Systemadministratoren mit Zugriff auf das Admin-Panel erstellen. Die Standard-Domain kann nicht gelöscht werden.

Gehen Sie folgendermaßen vor, um eine neue Domain zu erstellen:

  1. Klicken Sie in der Anzeige EINSTELLUNGEN –> Projekte und Benutzer auf Domain erstellen.

  2. Spezifizieren Sie im Fenster Domain erstellen einen Namen und (optional) eine Beschreibung für die Domain.

    ../_images/stor_image1_1_ac.png

  3. Klicken Sie auf Erstellen.

Eine Domain zu aktivieren bzw. zu deaktivieren bedeutet, im Self-Service-Panel den Zugriff auf die Domain zu erlauben bzw. zu verbieten.

Wenn Sie eine Domain bearbeiten, (de)aktivieren oder löschen wollen, müssen Sie neben dieser auf das Drei-Punkte-Symbol klicken und die gewünschte Aktion auswählen. Eine Domain kann nicht gelöscht werden, wenn sie Projekte hat.

6.8.2. Domain-Benutzer verwalten

Einem Benutzer kann eine der folgenden Rollen zugewiesen werden:

  • Ein Systemadministrator hat Zugriff auf das Admin-Panel und kann – je nach zugewiesenen Berechtigungen – Tasks zur Systemadministration durchführen. Es ist die einzige Rolle, die es ermöglicht, Projekte zu erstellen und Quotas (Kontingente) für diese zu definieren. Ein Systemadministrator mit Domain-Berechtigungen kann zudem virtuelle Objekte in allen Projekten innerhalb der Domain Standard sowie Projekt- und Benutzer-Zuweisungen im Self-Service-Panel verwalten.
  • Ein Domain-Administrator kann virtuelle Objekte in allen Projekten innerhalb der zugewiesenen Domain sowie Projekt- und Benutzer-Zuweisungen im Self-Service-Panel verwalten. Ein Domain-Administrator kann nur einer Domain zugewiesen werden.
  • Ein Projektmitglied fungiert im Self-Service-Panel als Projektadministrator in einer bestimmten Domain. Ein Projektmitglied kann verschiedenen Projekten zugewiesen werden und kann in diesen virtuelle Objekte verwalten.

Innerhalb der Domain Standard wird das Standard-Administratorkonto mit der eindeutigen Berechtigung Superuser erstellt. Der Benutzername für dieses Konto lautet admin, das Kennwort wird während der Bereitstellung des primären Knotens spezifiziert. Dieses Konto kann nicht gelöscht oder deaktiviert und seine Berechtigungen nicht geändert werden. Darüber hinaus unterscheidet sich admin nicht von einem Benutzer, dem die Rolle Systemadministrator zugewiesen wurde.

Wenn Sie vorhandene Benutzer einer Domain einsehen, bearbeiten oder neue erstellen wollen, müsse Sie auf die gewünschte Domain klicken und dann zur RegisterkarteDOMAIN-BENUTZER wechseln. Die Erstellung eines Benutzerkontos unterscheidet sich je nach Benutzerrolle geringfügig und wird in nachfolgenden Abschnitten beschrieben.

Wenn Sie die Benutzeranmeldedaten oder Berechtigungen ändern wollen, müssen Sie neben dem entsprechenden Benutzer auf die Drei-Punkte-Schaltfläche klicken und dann auf den Befehl Bearbeiten. Jeder Systemadministrator kann außerdem sein Kennwort ändern, indem er (in der oberen rechten Ecke des Admin-Panels) auf das Benutzersymbol klickt und dann auf den Befehl Kennwort ändern.

Ein Benutzerkonto zu aktivieren bzw. zu deaktivieren bedeutet, die entsprechende Benutzeranmeldung zu erlauben bzw. zu verbieten.

Wenn Sie einen Benutzer (de)aktivieren oder entfernen wollen, müssen Sie auf das entsprechende Drei-Punkte-Symbol klicken und dann die gewünschte Aktion auswählen.

6.8.2.1. Systemadministratoren erstellen

Bemerkung

Systemadministratoren können nur innerhalb der Domain Standard erstellt werden.

Gehen Sie folgendermaßen vor, um einen Systemadministrator zu erstellen:

  1. Klicken Sie in der Anzeige EINSTELLUNGEN –> Projekte und Benutzer auf die Domain Standard.
  2. Gehen Sie zur Registerkarte DOMAIN-BENUTZER und klicken Sie auf Benutzer erstellen.
  3. Spezifizieren Sie im Fenster Benutzer erstellen den Benutzernamen, das Kennwort und (bei Bedarf) eine Benutzer-E-Mail-Adresse sowie Benutzerbeschreibung. Der Benutzername muss innerhalb einer Domain eindeutig sein.
  4. Wählen Sie die Rolle Systemadministrator aus dem Listenfeld Rolle aus.
  5. Wählen Sie die Berechtigungen, die dem Benutzerkonto gewährt werden sollen, im Bereich Systemberechtigungssatz aus:
    • Vollständig (Systemadministrator): hat alle Berechtigungen und kann alle Verwaltungsaktionen durchführen, einschließlich Erstellung von Projekten und Verwaltung anderer Benutzer;
    • Compute: kann den Compute-Cluster erstellen und verwalten;
    • iSCSI: kann iSCSI-Ziele, LUNs und CHAP-Benutzer erstellen und verwalten;
    • S3: kann S3-Cluster erstellen und verwalten;
    • ABGW: kann den Backup Gateway-Cluster erstellen und verwalten;
    • NFS: kann NFS-Freigaben und -Exporte erstellen und verwalten;
    • Cluster: kann den Storage-Cluster erstellen, diesem Knoten hinzufügen und Laufwerke verwalten (zuweisen und freigeben);
    • Netzwerk: kann Netzwerke und Traffic-Typen ändern;
    • Update: kann Updates installieren;
    • SSH: kann SSH-Schlüssel hinzufügen und entfernen, mit denen auf Cluster-Knoten zugegriffen werden kann;
    • Ohne (Betrachter): kann die Cluster-Performance und -Parameter überwachen, aber keine Einstellungen vornehmen.
  6. Optional: Aktivieren Sie den Domain-Berechtigungssatz, um virtuelle Objekte in allen Projekten innerhalb Domain Standard sowie andere Benutzer im Self-Service-Panel verwalten zu können.
  7. Klicken Sie auf Erstellen.
../_images/stor_image2_1_ac.png

6.8.2.2. Domain-Administratoren erstellen

Gehen Sie folgendermaßen vor, um einen Domain-Administrator zu erstellen:

  1. Klicken Sie in der Anzeige EINSTELLUNGEN –> Projekte und Benutzer auf eine Domain, für die der Administrator erstellt werden soll.
  2. Gehen Sie zur Registerkarte DOMAIN-BENUTZER und klicken Sie auf Benutzer erstellen.
  3. Spezifizieren Sie im Fenster Benutzer erstellen den Benutzernamen, das Kennwort und (bei Bedarf) eine Benutzer-E-Mail-Adresse sowie Benutzerbeschreibung. Der Benutzername muss innerhalb einer Domain eindeutig sein.
  4. Wählen Sie die Rolle Domain-Administrator aus dem Listenfeld Rolle aus.
  5. Aktivieren Sie optional das Kontrollkästchen Image hochladen. Das Stadium dieser Berechtigung wird an Benutzer vererbt, die von diesem Domain-Administrator erstellt wurden.
  6. Klicken Sie auf Erstellen.
../_images/stor_image2_2_ac.png

6.8.2.3. Projektmitglieder erstellen

Gehen Sie folgendermaßen vor, um ein Projektmitglied zu erstellen:

  1. Klicken Sie in der Anzeige EINSTELLUNGEN –> Projekte und Benutzer auf eine Domain, innerhalb der der Benutzer erstellt werden soll.
  2. Gehen Sie zur Registerkarte DOMAIN-BENUTZER und klicken Sie auf Benutzer erstellen.
  3. Spezifizieren Sie im Fenster Benutzer erstellen den Benutzernamen, das Kennwort und (bei Bedarf) eine Benutzer-E-Mail-Adresse sowie Benutzerbeschreibung. Der Benutzername muss innerhalb einer Domain eindeutig sein.
  4. Wählen Sie die Rolle Projektmitglied aus dem Listenfeld Rolle aus.
  5. Aktivieren Sie optional das Kontrollkästchen Image hochladen. Wenn diese Option deaktiviert ist, darf dieser Benutzer keine Images hochladen.
  6. Optional: klicken Sie auf Zuweisen und wählen Sie ein Projekt aus, dem dieser Benutzer zugewiesen werden soll.
  7. Klicken Sie auf Erstellen.
../_images/stor_image2_3_ac.png

6.8.3. Projekte verwalten

Zur Domain Standard gehört das vorgegebene Projekt admin, welches ein Startprojekt zur Initialisierung der Compute-Cloud ist. Es kann weder gelöscht noch umbenannt werden.

Gehen Sie folgendermaßen vor, um ein neues Projekt zu erstellen:

  1. Klicken Sie in der Anzeige EINSTELLUNGEN –> Projekte und Benutzer auf eine Domain, innerhalb der das Projekt erstellt werden soll.

  2. Klicken Sie in der Registerkarte PROJEKTE auf den Befehl Projekt erstellen.

  3. Spezifizieren Sie im Fenster Projekt erstellen einen Namen und (optional) eine Beschreibung für das Projekt. Der Projektname muss innerhalb einer Domain eindeutig sein.

  4. Optional: deaktivieren Sie das Kontrollkästchen Aktiviert, wenn Sie das erstellte Projekt deaktivieren wollen.

  5. Definieren Sie Quotas für virtuelle Ressourcen, die innerhalb des Projekts verfügbar sein werden. Wenn Sie einen bestimmten Wert für eine Ressource spezifizieren möchten, müssen Sie zuerst das Kontrollkästchen Unbegrenzt neben der betreffenden Ressource deaktivieren.

    Wenn Sie den Compute-Cluster noch nicht bereitgestellt haben, können Sie keine Quotas für das Projekt festlegen. Erstellen Sie den Compute-Cluster wie im Abschnitt Den Compute-Cluster erstellen beschrieben. Anschließend können Sie mit der Definition der Projekt-Quotas weitermachen (wie im Abschnitt Quotas für Projekte bearbeiten beschrieben).

    Bemerkung

    Da Quotas die vorhandenen virtuellen Ressourcen überschreiten können und virtuelle Ressourcen nicht für jedes Projekt reserviert sind, muss ein Systemadministrator sicherstellen, dass der Compute-Cluster genügend virtuelle Ressourcen für alle Projekte in allen Domains hat.

  6. Klicken Sie auf Erstellen.

    ../_images/stor_image3_1_ac.png

    Bemerkung

    Die Standard-Storage-Richtlinie muss für alle Projekte freigegeben werden, die die Funktion ‚Kubernetes as a Service‘ verwenden werden.

Sobald das Projekt erstellt ist, können Sie dessen Panel öffnen, um seine Eigenschaften einzusehen (auf der Registerkarte Eigenschaften), seine Mitglieder aufzulisten (in der Registerkarte Mitglieder) und seinen Ressourcenverbrauch zu überwachen (in der Registerkarte Quotas).

../_images/stor_image3_2_ac.png

Ein Projekt zu aktivieren bzw. zu deaktivieren bedeutet, im Self-Service-Panel den Zugriff auf das Projekt zu erlauben bzw. zu verbieten.

Wenn Sie ein Projekt bearbeiten, (de)aktivieren oder löschen wollen, müssen Sie neben diesem auf das Drei-Punkte-Symbol klicken und die gewünschte Aktion auswählen. Ein Projekt kann nicht gelöscht werden, wenn es virtuelle Objekte hat.

6.8.3.1. Mitglieder zu Projekten zuweisen

Sie können die Zuweisung der Projektmitglieder entweder über die Registerkarte PROJEKTE oder die Registerkarte DOMAIN-BENUTZER verwalten.

Gehen Sie folgendermaßen vor, einen Benutzer zu einem Projekt zuzuweisen:

  • Öffnen Sie innerhalb der Domain die Registerkarte PROJEKTE:

    1. Klicken Sie auf das Projekt, dem Sie Benutzer zuweisen wollen.
    2. Klicken Sie im Projekt-Fensterbereich auf den Befehl Mitglieder zuweisen.
    3. Wählen Sie im Fenster Mitglieder zuweisen einen oder mehrere Benutzer, damit dieser/diese dem Projekt zugewiesen werden. Sie können optional auch auf Erstellen und zweisen klicken, um ein neues Projektmitglied in einem neuen Fenster zu erstellen. Es werden nur Benutzerkonten mit der Rolle Projektmitglieder angezeigt.
    4. Klicken Sie auf Zuweisen.
    ../_images/stor_image3_3_ac.png

  • Öffnen Sie innerhalb der Domain die Registerkarte DOMAIN-BENUTZER:

    1. Klicken Sie auf das Benutzerkonto mit der Rolle Projektmitglied, welches Sie dem Projekt zuweisen wollen.
    2. Klicken Sie im Benutzer-Fensterbereich auf den Befehl Zu Projekt zuweisen.
    3. Wählen Sie im Fenster Benutzer zu Projekten zuweisen ein oder mehrere Projekte aus und klicken Sie dann auf Zuweisen.
    ../_images/stor_image3_4_ac.png

Sie können die Benutzerzuweisung zu Projekten entweder über die Registerkarte Mitglieder im Projekt-Fensterbereich überwachen – oder über die Registerkarte Projekte im Benutzer-Fensterbereich.

Gehen Sie folgendermaßen vor, um die Zuweisung eines Benutzer zu einem Projekt aufzuheben:

  • Öffnen Sie innerhalb der Domain die Registerkarte PROJEKTE:

    1. Klicken Sie auf das Projekt, für das die Benutzerzuweisung aufgehoben werden soll.
    2. Öffnen Sie im Projekt-Fensterbereich die Registerkarte Mitglieder.
    3. Klicken Sie auf das Kreuzsymbol neben einem Benutzer, dessen Zuweisung Sie aufheben wollen.
    ../_images/stor_image3_5_ac.png

  • Öffnen Sie innerhalb der Domain die Registerkarte DOMAIN-BENUTZER:

    1. Klicken Sie auf den Benutzer, dessen Zuweisung zum Projekt Sie aufheben wollen.
    2. Öffnen Sie im Benutzer-Fensterbereich die Registerkarte Projekte.
    3. Klicken Sie auf das Kreuzsymbol neben dem Projekt, aus dem Sie die Zuweisung des Benutzers aufheben wollen.
    ../_images/stor_image3_6_ac.png

6.8.3.2. Quotas für Projekte bearbeiten

Gehen Sie folgendermaßen vor, um die Ressourcen-Quotas für ein Projekt zu ändern:

  1. Klicken Sie auf das Projekt, für das Sie Quotas bearbeiten wollen.

  2. Klicken Sie im Projekt-Fensterbereich auf den Befehl Quotas bearbeiten.

  3. Spezifizieren Sie im Fenster Quotas bearbeiten die neuen Werte für die gewünschten virtuellen Ressourcen.

    Bemerkung

    Die Standard-Storage-Richtlinie muss für alle Projekte freigegeben werden, die die Funktion ‚Kubernetes as a Service‘ verwenden werden.

  4. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

../_images/stor_image3_7_ac.png
31.07.2020
Drucken