6.8. ドメイン、ユーザー、およびプロジェクトの管理¶
Acronis Cyber Infrastructureでは、ドメインとプロジェクトの管理階層とロールベースのアクセス制御(RBAC)を使用して、仮想マシン、ボリューム、プライベートネットワークなどの計算クラスターの仮想オブジェクトを管理します。ドメインは、プロジェクトとロールが割り当てられたユーザーの分離されたコンテナです。各プロジェクトとユーザーは1つのドメインにのみ属することができます。プロジェクトは、仮想オブジェクトの分離されたコンテナで、vCPU、RAM、ストレージ、フローティングIPアドレスなど仮想リソースの上限が定義され、ユーザーが割り当てられます。ロールはグローバルで、クラスター全体、特定のドメイン、またはプロジェクトのレベルでユーザーが実行できるすべてのタスクを定義します。
クラスター内では、システム管理タスクを実行できます。
ドメイン内では、ユーザーアカウントの作成および管理と、プロジェクトへの割り当てが行えます。
プロジェクト内では、仮想オブジェクトを作成および管理できます。
このような実装により、管理環境に独自のユーザーと仮想オブジェクトを用意し、他のユーザーと仮想オブジェクトから確実に分離することができます。
6.8.1. ドメインの管理¶
プライマリノードのデプロイ中に、デフォルトのユーザーアカウントとプロジェクトとともに一意のデフォルトドメインが作成されます。このドメインでのみ、管理者パネルへのアクセス権を持つシステム管理者を作成できます。デフォルトのドメインは削除できません。
新しいドメインを作成するには、以下の手順を実行します。
[設定] > [プロジェクトとユーザー] 画面で [ドメインを作成] をクリックします。
[ドメインを作成] ウィンドウで、ドメイン名を指定し、必要に応じて説明を入力します。
[作成] をクリックします。
ドメインを有効にすると、セルフサービスパネルでそのドメインにアクセスできるようになり、無効にするとアクセスできなくなります。
ドメインの編集、無効化/有効化、または削除を行うには、ドメインの横にある省略記号ボタンをクリックしてから、希望する操作を選択します。ドメインにプロジェクトがある場合、そのドメインは削除できません。
6.8.2. ドメインユーザーの管理¶
ユーザーには次のロールのいずれかを割り当てることができます。
システム管理者は管理者パネルにアクセスし、割り当てられた許可に応じてシステム管理者タスクを実行できます。プロジェクトを作成し、プロジェクトのクォータを定義できるのはこのロールだけです。さらに、ドメイン許可が付与されたシステム管理者は、デフォルトドメイン内のすべてのプロジェクトに含まれる仮想オブジェクト、およびプロジェクトとユーザーの割り当てをセルフサービスパネルで管理できます。
ドメイン管理者は、割り当てられたドメイン内のすべてのプロジェクトに含まれる仮想オブジェクト、およびプロジェクトとユーザーの割り当てをセルフサービスパネルで管理できます。ドメイン管理者は1つのドメインにのみ割り当てることができます。
プロジェクトメンバーはセルフサービスパネルで特定のドメインのプロジェクト管理者の役割を果たします。プロジェクトメンバーはさまざまなプロジェクトに割り当てることができ、割り当てられたプロジェクトに含まれる仮想オブジェクトを管理できます。
デフォルトドメイン内では、デフォルトの管理者アカウントが一意のスーパーユーザー許可を使用して作成されます。このアカウントのユーザー名はadminで、パスワードはプライマリノードのデプロイ時に指定します。このアカウントは削除したり、無効にしたりすることができません。また、その許可を変更することもできません。それ以外は、adminはシステム管理者ロールが割り当てられたユーザーと同じです。
ドメインの既存のユーザーを表示および編集するか、新しいユーザーを作成するには、希望するドメインをクリックし、[ドメインユーザー] タブにアクセスします。ユーザーアカウントの作成はユーザーのロールに応じて少し異なり、手順については以降のセクションで説明します。
ユーザーの資格情報や許可を編集するには、ユーザーの横にある省略記号ボタンをクリックしてから、[編集] をクリックします。システム管理者は、管理者パネルの右上にあるユーザーアイコンをクリックし、[パスワードを変更] をクリックすることで、パスワードを変更することもできます。
ユーザーアカウントを有効にするとユーザーがログインできるようになり、無効にするとユーザーはログインできなくなります。
ユーザーを有効/無効または削除するには、対応する省略記号ボタンをクリックし、希望する操作を選択します。
6.8.2.1. システム管理者の作成¶
注釈
システム管理者はデフォルトドメイン内でのみ作成できます。
システム管理者を作成するには、以下の手順を実行します。
[設定] > [プロジェクトとユーザー] 画面でデフォルトドメインをクリックします。
[ドメインユーザー] タブに移動し、[ユーザーを作成] をクリックします。
[ユーザーを作成] ウィンドウでユーザー名とパスワードを指定します。必要に応じて、ユーザーの電子メールアドレスと説明も入力します。ユーザー名はドメイン内で一意である必要があります。
[ロール] ドロップダウンメニューから、[システム管理者] ロールを選択します。
[システム許可セット] セクションからユーザーアカウントに付与する許可を選択します。
フル(システム管理者): すべての許可が付与され、プロジェクトの作成、他のユーザーの管理など、すべての管理操作を実行できます。
計算: 計算クラスターを作成および管理できます。
ISCSI: iSCSIターゲット、LUN、およびCHAPユーザーを作成および管理できます。
S3: S3クラスターを作成および管理できます。
ABGW: Backup Gatewayクラスターを作成および管理できます。
NFS: NFS共有とエクスポートを作成および管理できます。
クラスター: ストレージクラスターを作成したり、ノードをストレージクラスターに結合したり、ディスクを管理(割り当てとリリース)したりできます。
ネットワーク: ネットワークとトラフィックタイプを変更できます。
アップデート: アップデートをインストールできます。
SSH: クラスターノードアクセス用のSSHキーを追加および削除できます。
なし(ビューア): クラスターのパフォーマンスとパラメータを監視できますが、設定は変更できません。
必要に応じて、[ドメイン許可セット] を有効にして、セルフサービスパネルでデフォルトドメイン内のすべてのオブジェクトに含まれる仮想オブジェクトと他のユーザーを管理できるようにします。
[作成] をクリックします。
6.8.2.2. ドメイン管理者の作成¶
ドメイン管理者を作成するには、以下の手順を実行します。
[設定] > [プロジェクトとユーザー] 画面で、管理者を作成するドメインをクリックします。
[ドメインユーザー] タブに移動し、[ユーザーを作成] をクリックします。
[ユーザーを作成] ウィンドウでユーザー名とパスワードを指定します。必要に応じて、ユーザーの電子メールアドレスと説明も入力します。ユーザー名はドメイン内で一意である必要があります。
[ロール] ドロップダウンメニューから、[ドメイン管理者] ロールを選択します。
必要に応じて、[イメージのアップロード] チェックボックスをオンにします。この許可の状態は、ドメイン管理者が作成したユーザーに継承されます。
[作成] をクリックします。
6.8.2.3. プロジェクトメンバーの作成¶
プロジェクトメンバーを作成するには、以下の手順を実行します。
[設定] > [プロジェクトとユーザー] 画面で、ユーザーを作成するドメインをクリックします。
[ドメインユーザー] タブに移動し、[ユーザーを作成] をクリックします。
[ユーザーを作成] ウィンドウでユーザー名とパスワードを指定します。必要に応じて、ユーザーの電子メールアドレスと説明も入力します。ユーザー名はドメイン内で一意である必要があります。
[ロール] ドロップダウンメニューから、[プロジェクトメンバー] ロールを選択します。
必要に応じて、[イメージのアップロード] チェックボックスをオンにします。このオプションを無効化すると、現在のユーザーによるイメージのアップロードができなくなります。
必要に応じて [割り当て] をクリックし、このユーザーを割り当てるプロジェクトを選択します。
[作成] をクリックします。
6.8.3. プロジェクトの管理¶
デフォルトドメインにはデフォルトのadminプロジェクトがあり、このプロジェクトは計算プロジェクトを初期化するためのブートストラッププロジェクトです。このプロジェクトを削除したり名前を変更したりすることはできません。
新しいプロジェクトを作成するには、以下の手順を実行します。
[設定] > [プロジェクトとユーザー] 画面で、プロジェクトを作成するドメインをクリックします。
[プロジェクト] タブで [プロジェクトを作成] をクリックします。
[プロジェクトを作成] ウィンドウで、プロジェクト名を指定し、必要に応じて説明を入力します。プロジェクト名はドメイン内で一意である必要があります。
必要に応じて、[有効] チェックボックスをオフにし、作成したプロジェクトを無効にします。
プロジェクト内で利用できる仮想リソースのクォータを定義します。リソースに特定の値を指定するには、まず、そのリソースの横にある [無制限] チェックボックスをオフにします。
計算クラスターをまだデプロイしていない場合、プロジェクトのクォータを設定することはできません。計算クラスターの作成の説明に従って計算クラスターを作成し、プロジェクトのクォータの編集の説明に従ってプロジェクトのクォータを定義します。
注釈
クォータは既存の仮想リソースを上回ることができ、仮想リソースは各プロジェクトに対して予約されないため、システム管理者は、すべてのドメインに含まれるすべてのプロジェクトに十分な量の仮想リソースを計算クラスターに用意する必要があります。
[作成] をクリックします。
注釈
Kubernetes-as-a-service機能を使用するプロジェクトでは、デフォルトのストレージポリシーを共有する必要があります。
プロジェクトが作成されると、そのパネルを開いて [プロパティ] タブでプロパティを確認したり、[メンバー] タブでメンバーを表示したり、[制限値(クォータ)] タブでリソース使用量を監視したりできます。
プロジェクトを有効にすると、セルフサービスパネルでそのプロジェクトにアクセスできるようになり、無効にするとアクセスできなくなります。
プロジェクトの編集、有効化/無効化、または削除を行うには、プロジェクトの横にある省略記号ボタンをクリックしてから、希望する操作を選択します。プロジェクトに仮想オブジェクトがある場合、そのプロジェクトは削除できません。
6.8.3.1. メンバーのプロジェクトへの割り当て¶
プロジェクトメンバーの割り当ては [プロジェクト] タブまたは [ドメインユーザー] タブで管理できます。
ユーザーをプロジェクトに割り当てるには、以下のいずれかを実行します。
ドメイン内で [プロジェクト] タブを開き、以下の手順を実行します。
ユーザーを割り当てるプロジェクトをクリックします。
プロジェクトパネルで [メンバーを割り当て] をクリックします。
[メンバーを割り当て] ウィンドウで、プロジェクトに割り当てるユーザーを1人以上選択します。必要に応じて [作成と割り当て] をクリックし、新しいウィンドウでプロジェクトの新しいメンバーを作成します。プロジェクトメンバーロールを持つユーザーアカウントのみが表示されます。
[割り当て] をクリックします。
ドメイン内で [ドメインユーザー] タブを開き、以下の手順を実行します。
プロジェクトに割り当てるプロジェクトメンバーロールを持つユーザーアカウントをクリックします。
ユーザーパネルで [プロジェクトに割り当て] をクリックします。
[ユーザーをプロジェクトに割り当てる] ウィンドウで1つ以上のプロジェクトを選択し、[割り当て] をクリックします。
プロジェクトへのユーザーの割り当てはプロジェクトパネルの [メンバー] タブまたはユーザーパネルの [プロジェクト] タブで監視できます。
ユーザーをプロジェクトから割り当て解除するには、以下のいずれかを実行します。
ドメイン内で [プロジェクト] タブを開き、以下の手順を実行します。
ユーザーを割り当て解除するプロジェクトをクリックします。
プロジェクトパネルで [メンバー] タブを開きます。
割り当て解除するユーザーの横にあるX印のアイコンをクリックします。
ドメイン内で [ドメインユーザー] タブを開き、以下の手順を実行します。
プロジェクトから割り当て解除するユーザーをクリックします。
ユーザーパネルで [プロジェクト] タブを開きます。
ユーザーを割り当て解除するプロジェクトの横にあるX印のアイコンをクリックします。
6.8.3.2. プロジェクトのクォータの編集¶
プロジェクトのリソースクォータを変更するには、以下の手順を実行します。
クォータを編集するプロジェクトをクリックします。
プロジェクトパネルで [クォータを編集] をクリックします。
[クォータを編集] ウィンドウで、対象の仮想リソースの新しい値を指定します。
注釈
Kubernetes-as-a-service機能を使用するプロジェクトでは、デフォルトのストレージポリシーを共有する必要があります。
[保存] をクリックして、変更を適用します。
