10.3. 管理域、用户和项目¶
Acronis Cyber Infrastructure 将域和项目的管理层次结构与基于角色的访问控制 (RBAC) 一起使用,以管理计算群集的虚拟对象(例如虚拟机、卷、专用网络等)。域是具有分配角色的项目和用户的隔离容器。每个项目和用户只能属于一个域。项目是已定义虚拟资源(例如 vCPU、RAM、存储和浮动 IP 地址以及分配的用户)限制的虚拟对象的隔离容器。角色是全局角色,并定义用户可以在整个群集、特定域或项目级别执行的所有可能任务:
在群集中,可以执行系统管理任务;
在域中,可以创建和管理用户帐户以及将它们分配给项目;
在项目中,可以创建和管理虚拟对象。
此类实现为自己的用户和虚拟对象提供了管理环境,并确保它们与其他用户和虚拟对象隔离。
10.3.1. 管理域¶
在主节点部署期间,将创建唯一的默认域以及默认用户帐户和项目。系统将此域用于不同的服务。它被标记为系统标记,不能修改或删除。仅在此默认域内,可以创建有权访问管理面板的系统管理员。
要创建新域,请执行以下操作:
在设置 > 项目和用户屏幕上,单击创建域。
在创建域窗口中,指定域名和(可选)说明。
单击创建。
启用和禁用某个域意味着在自助服务面板中相应允许和禁止对该域进行访问。
要编辑、禁用/启用或删除某个域,请单击该域旁边的省略号按钮,然后选择所需的操作。如果某个域中有项目,则无法删除该域。
10.3.2. 管理域用户¶
可以向用户分配以下角色之一:
系统管理员有权访问管理面板,并可以根据分配的权限执行系统管理任务。它是唯一一个可以创建项目并为项目定义配额的角色。此外,具有域权限的系统管理员可以管理默认域内所有项目中的虚拟对象,还可以管理自助服务面板中的项目和用户分配。
域管理员可以在分配的域中管理所有项目中的虚拟对象,以及在自助服务面板中管理项目和用户分配。一个域管理员只能分配给一个域。
项目成员在自助服务面板中的特定域中充当项目管理员。项目成员可以分配给不同的项目,并可以管理其中的虚拟对象。
在默认域中,将使用唯一的超级用户权限创建默认管理员帐户。该帐户的用户名是 admin,密码在主节点部署期间指定。此帐户无法删除或禁用,并且其权限也不能更改。除此之外,admin 与分配了系统管理员角色的用户没有区别。
默认域还包含系统用户,系统将这些用户用于不同的服务。这些用户被标记为系统标记,不能在管理面板中修改或删除。
要查看和编辑某个域的现有用户或创建新用户,请单击所需的域,然后转至域用户选项卡。根据用户角色的不同,创建用户帐户稍有不同,这将在以下部分中进行介绍。
要编辑用户凭据或权限,请单击用户旁边的省略号按钮,然后单击编辑。任何系统管理员还可以更改其密码,方法是单击管理面板右上角的用户图标,然后单击更改密码。
启用和禁用用户帐户意味着相应允许和禁止用户登录。
要启用/禁用或删除用户,请单击相应省略号按钮,然后选择所需操作。
10.3.2.1. 创建系统管理员¶
注解
只能在默认域内创建系统管理员。
要创建系统管理员,请执行以下操作:
在设置 > 项目和用户屏幕上,单击默认域。
转至域用户选项卡,然后单击创建用户。
在创建用户窗口中,指定用户名、密码以及(如果需要)用户电子邮件地址和说明。用户名在域中必须唯一。
从角色下拉菜单中选择系统管理员角色。
从系统权限集部分中选择要授予用户帐户的权限:
完全(系统管理员):具有所有权限,可以执行所有管理操作,包括项目创建和其他用户管理。
计算:可以创建和管理计算群集。
ISCSI:可以创建和管理 iSCSI 目标、LUN 和 CHAP 用户。
S3:可以创建和管理 S3 群集。
ABGW:可以创建和管理 Backup Gateway 群集。
NFS:可以创建和管理 NFS 共享和导出。
群集:可以创建存储群集、将节点加入至该群集以及管理(分配和释放)磁盘。
网络:可以修改网络和流量类型。
更新:可以安装更新。
SSH:可以添加和删除用于群集节点访问的 SSH 密钥。
无(查看器):可以监控群集性能和参数,但不能更改任何设置。
(可选)启用域权限集,以便可以管理默认域内所有项目中的虚拟对象以及自助服务面板中的其他用户。
单击创建。
10.3.2.2. 创建域管理员¶
要创建域管理员,请执行以下操作:
在设置 > 项目和用户屏幕上,单击将为其创建管理员的域。
转至域用户选项卡,然后单击创建用户。
在创建用户窗口中,指定用户名、密码以及(如果需要)用户电子邮件地址和说明。用户名在域中必须唯一。
从角色下拉菜单中选择域管理员角色。
(可选)选中图像上传复选框。此权限的状态将由此域管理员创建的用户继承。
单击创建。
10.3.2.3. 创建项目成员¶
要创建项目成员,请执行以下操作:
在设置 > 项目和用户屏幕上,单击将在其中创建用户的域。
转至域用户选项卡,然后单击创建用户。
在创建用户窗口中,指定用户名、密码以及(如果需要)用户电子邮件地址和说明。用户名在域中必须唯一。
从角色下拉菜单中选择项目成员角色。
(可选)选中图像上传复选框。如果本选项已禁用,则该用户将无法上传映像。
(可选)单击分配,然后选择将分配给该用户的项目。
单击创建。
10.3.3. 管理项目¶
默认域具有默认的管理员项目,这是用于初始化计算云的引导项目。它无法删除或重命名。
默认域还包含系统项目,系统将它们用于不同的服务。这些项目被标记为系统标记,不能在管理面板中修改或删除。
要创建新项目,请执行以下操作:
在设置 > 项目和用户屏幕上,单击将在其中创建项目的域。
在项目选项卡上,单击创建项目。
在创建项目窗口中,指定项目名称和(可选)说明。项目名称在域中必须唯一。
(可选)取消选中启用复选框以禁用创建的项目。
为将在项目内可用的虚拟资源定义配额。要为资源指定某个值,请先取消选中其旁边的无限制复选框。
如果尚未部署计算群集,则无法设置项目的配额。按 创建计算群集 中所述创建计算群集,然后按 编辑项目的配额 中所述返回定义项目的配额。
注解
由于配额可能会超过现有虚拟资源,并且没有为每个项目保留虚拟资源,因此系统管理员需要确保计算群集中具有足够虚拟资源用于所有域中的所有项目。
单击创建。
注解
默认存储策略必须与将使用“Kubernetes 即服务”功能的项目共享。
在完成创建项目后,即可打开其面板以在属性选项卡上查看其属性、在成员选项卡上列出其成员以及在配额选项卡上监控其资源消耗。
启用和禁用某个项目意味着在自助服务面板中相应允许和禁止对该项目进行访问。
要编辑、启用/禁用或删除某个项目,请单击该项目旁边的省略号按钮,然后选择所需的操作。如果某个项目中有虚拟对象,则无法删除该项目。
10.3.3.1. 将成员分配给项目¶
可以在项目选项卡或域用户选项卡上管理项目成员的分配。
要将用户分配给项目,请执行以下操作之一:
在域中,打开项目选项卡:
单击要向其分配用户的项目。
在项目右侧窗格上,单击分配成员。
在分配成员窗口中,选择要分配给项目的一个或多个用户。(可选)单击创建和分配以在新窗口中创建新的项目成员。仅显示具有项目成员角色的用户帐户。
单击分配。
在域中,打开域用户选项卡:
单击您要指派给项目的用户帐户,该用户具有项目成员角色。
在用户右侧窗格上,单击分配给项目。
在将用户分配给项目窗口中,选择一个或多个项目,然后单击分配。
可以在项目面板的成员选项卡上或用户面板的项目选项卡上,监控对项目的用户分配。
要从项目中未分配用户,请执行以下操作之一:
在域中,打开项目选项卡:
单击要在其中未分配用户的项目。
在项目右侧窗格上,打开成员选项卡。
单击要未分配的用户旁边的叉形图标。
在域中,打开域用户选项卡:
单击要从项目中未分配的用户。
在用户面板上,打开项目选项卡。
单击要在其中未分配用户的项目旁边的叉形图标。
10.3.3.2. 编辑项目的配额¶
要更改项目的资源配额,请执行以下操作:
单击要编辑其配额的项目。
在项目右侧窗格上,单击编辑配额。
在编辑配额窗口中,为所需的虚拟资源指定新值。
注解
默认存储策略必须与将使用“Kubernetes 即服务”功能的项目共享。
单击保存以应用更改。