私有云 vSphere 权限模型
Google Cloud VMware Engine 对您的私有云环境保留完全管理员权限。您拥有足够的管理员权限,可以在环境中部署和管理虚拟机 (VM)。如果需要,您可以临时提升权限以执行高级管理员功能。
CloudOwner 用户
创建私有云时,系统会在 vCenter 单点登录网域中创建默认用户 CloudOwner@gve.local,并向其授予管理私有云中对象的 Cloud-Owner-Role 访问权限。
vCenter 角色
vCenter 中的角色定义了一组允许用户执行某些操作的权限。创建私有云时,VMware Engine 会在 vCenter 中创建一组角色,并将这些角色分配给用户群组。
名称包含“Global”的角色将在 vCenter 对象级别应用。所有其他角色都适用于 vCenter 的 Datacenter 对象级别。
vCenter 用户群组
部署私有云会创建一个名为 Cloud-Owner-Group 的组。该组中的用户可以在私有云上管理 vSphere 环境的各个方面。Cloud-Owner-Group 群组会自动获得 Cloud-Owner-Role 权限,而 CloudOwner 用户会被添加为该群组的成员。
VMware Engine 会创建具备有限权限的额外群组,以便于管理。您可以将任何用户添加到这些预创建的群组,此流程会为该用户分配相应的权限。
如需了解如何授予单个用户权限或创建新的用户群组,请参阅管理 vSphere 权限。
预创建的 vCenter 用户组
| 群组名称 | 目的 | 角色 | 范围 |
|---|---|---|---|
| Cloud—所有者—群组 | 拥有私有云 vCenter 的管理员权限 | Cloud-Owner-Global-Role | vCenter 对象 |
| Cloud-Owner 角色 | Datacenter 对象 |
||
| Cloud-Global-Cluster-Admin-Group | 拥有私有云 vCenter 中的集群的管理员权限 | Cloud-Storage-Admin-Global-Role | vCenter 对象 |
| Cloud-Cluster-Admin-Role | Datacenter 对象 |
||
| Cloud-Global-Storage-Admin-Group | 拥有私有云 vCenter 中的虚拟机的管理权限 | Cloud-Storage-Admin-Role | Datacenter 对象 |
| Cloud-Global-Network-Admin-Group | 拥有私有云 vCenter 中的网络和分布式端口组的管理权限 | Cloud-Network-Admin-Role | Datacenter 对象 |
| Cloud-Global-VM-Admin-Group | 拥有私有云 vCenter 中的虚拟机的管理权限 | Cloud-VM-Admin-Global-Role | vCenter 对象 |
| Cloud-VM-Admin-Role | Datacenter 对象 |
默认角色的 vCenter 权限列表
以下部分列出了 VMware Engine 创建的群组中的每个角色的 vCenter 权限。
Cloud-Owner-Global-Role
| Category | 权限 |
|---|---|
| 闹钟 |
确认警报 |
| 内容库 |
添加库项 创建本地库 创建已订阅库 删除库项 删除本地库 删除已订阅库 下载文件 逐出库项 逐出已订阅库 导入存储空间 探测订阅信息 读取存储空间 同步库项 同步已订阅库 类型内省 更新配置设置 更新文件 更新库 更新库项 更新本地库 更新已订阅库 查看配置设置 |
| 加密操作 |
管理 KMS 管理加密政策 |
| Datastore |
分配空间 浏览数据存储区 配置数据存储区 低级层文件操作 移动数据存储区 移除数据存储区 移除文件 重命名数据存储区 更新虚拟机文件 更新虚拟机元数据 |
| Global |
取消任务 诊断 全局标记 管理自定义属性 设置自定义属性 |
| 主机 > vSphere Replication |
管理复制 |
| vSphere 标记 |
分配或取消分配 vSphere 标记 为对象分配或取消分配 vSphere 标记 创建 vSphere 标记 创建 vSphere 标记类别 修改 vSphere 标记 修改 vSphere 标记类别 |
| 资源 |
将虚拟机分配给资源池 |
| 配置文件—云端硬盘存储空间 |
配置文件驱动的存储更新 配置文件驱动的视图 |
| 虚拟机 > 预配 |
自定义访客 修改自定义规范 读取自定义规范 |
Cloud-Storage-Admin-Global-Role
| Category | 权限 |
|---|---|
| 内容库 |
添加库项 删除库项 更新库项 |
| vSphere 标记 |
为对象分配或取消分配 vSphere 标记 |
| 配置文件—云端硬盘存储空间 |
配置文件驱动的视图 |
| 虚拟机 > 预配 |
自定义访客 修改自定义规范 读取自定义规范 |
Cloud-VM-Admin-Global-Role
| Category | 权限 |
|---|---|
| 内容库 |
添加库项 删除库项 更新库项 |
| vSphere 标记 |
为对象分配或取消分配 vSphere 标记 |
| 配置文件—云端硬盘存储空间 |
配置文件驱动的视图 |
| 虚拟机 > 预配 |
自定义访客 修改自定义规范 读取自定义规范 |
Cloud—所有者—群组
| Category | 权限 |
|---|---|
| 闹钟 |
确认警报 创建警报 停用警报操作 修改警报 移除警报 设置警报状态 |
| 权限 | 修改权限 |
| 内容库 |
添加库项 创建本地库 创建已订阅库 删除库项 删除本地库 删除已订阅库 下载文件 逐出库项 逐出已订阅库 导入存储空间 探测订阅信息 读取存储空间 同步库项 同步已订阅库 类型内省 更新配置设置 更新文件 更新库 更新库项 更新本地库 更新已订阅库 查看配置设置 |
| 加密操作 |
添加磁盘 克隆 解密 直接访问 加密 加密新的 管理 KMS 管理加密政策 管理密钥 迁移 重新加密 注册虚拟机 注册主机 |
| dvPort 群组 |
创建 删除 修改 政策操作 范围操作 |
| Datastore |
分配空间 浏览数据存储区 配置数据存储区 低级层文件操作 移动数据存储区 移除数据存储区 移除文件 重命名数据存储区 更新虚拟机文件 更新虚拟机元数据 |
| ESX 代理管理员 |
配置 修改 查看 |
| 扩展程序 |
注册扩展程序 取消注册扩展程序 更新扩展程序 |
| 外部数据提供者 |
注册 取消注册 更新 |
| 文件夹 |
创建文件夹 删除文件夹 移动文件夹 重命名文件夹 |
| Global |
取消任务 容量规划 诊断 停用方法 启用方法 全局标记 运行状况 许可 日志事件 管理自定义属性 代理 脚本操作 服务管理员 设置自定义属性 系统代码 |
| 运行状况更新提供程序 |
注册 取消注册 更新 |
| 主机>库存 |
修改集群 |
| vSphere 标记 |
分配或取消分配 vSphere 标记 创建 vSphere 标记 创建 vSphere 标记类别 删除 vSphere 标记 删除 vSphere 标记类别 修改 vSphere 标记 修改 vSphere 标记类别 修改类别的 UsedBy 字段 修改标记的 UsedBy 字段 |
| 网络 |
指定网络 配置 移动网络 移除 |
| 性能 |
修改时间间隔 |
| 主机性能剖析 |
查看 |
| 资源 |
采用建议 将 vApp 分配给资源池 将虚拟机分配给资源池 创建资源池 迁移已关停的虚拟机 迁移已启动的虚拟机 修改资源池 移动资源池 查询 vMotion 移除资源池 重命名资源池 |
| 计划任务 | 创建任务
修改任务 删除任务 运行任务 |
| 会话 |
模拟用户 消息 验证会话 查看和停止会话 |
| 数据存储区集群 | 配置数据存储区集群 |
| 配置文件—云端硬盘存储空间 |
配置文件驱动的存储更新 配置文件驱动的视图 |
| 存储视图 |
配置服务 查看 |
| Tasks |
创建任务 更新任务 |
| 转移服务 | 管理
监控 |
| vApp |
添加虚拟机 分配资源池 分配 vApp 克隆 创建 删除 导出 导入 移动 关机 启动 重命名 暂停 取消注册 查看 OVF 环境 vApp 应用配置 vApp 实例配置 vApp managedBy 配置 vApp 资源配置 |
| VRMPolicy |
查询 VRMPolicy 更新 VRMPolicy |
| 虚拟机 > 配置 |
添加现有磁盘 添加新磁盘 添加或移除设备 高级 更改 CPU 数量 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 托管 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重新加载 移除磁盘 重命名 重置客机信息 设置注解 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 客机操作 |
客机操作别名修改 客机操作别名查询 客机操作修改 客机操作程序执行 客机操作查询 |
| 虚拟机 > 交互 |
回答问题 虚拟机上的备份操作 配置 CD 介质 配置软盘介质 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理客机操作系统 注入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关停 启动 虚拟机上的现场录像 重放虚拟机上的会话 重置 恢复容错 暂停 暂停容错 测试故障切换 测试重启辅助虚拟机 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 库存 |
从现有清单创建 新建 移动 注册 移除 取消注册 |
| 虚拟机 > 预配 |
允许磁盘访问 允许文件访问 允许只读磁盘访问 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 |
允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照管理 |
创建快照 移除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 |
配置复制 管理复制 监控复制 |
| vService |
创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |
Cloud-Cluster-Admin-Role
| Category | 权限 |
|---|---|
| 数据存储区 |
分配空间 浏览数据存储区 配置数据存储区 低级层文件操作 移除数据存储区 重命名数据存储区 更新虚拟机文件 更新虚拟机元数据 |
| 文件夹 |
创建文件夹 删除文件夹 移动文件夹 重命名文件夹 |
| 主机>配置 | 存储分区配置 |
| vSphere 标记 |
分配或取消分配 vSphere 标记 创建 vSphere 标记 创建 vSphere 标记类别 删除 vSphere 标记 删除 vSphere 标记类别 修改 vSphere 标记 修改 vSphere 标记类别 修改类别的 UsedBy 字段 修改标记的 UsedBy 字段 |
| 网络 | 指定网络 |
| 资源 |
采用建议 将 vApp 分配给资源池 将虚拟机分配给资源池 创建资源池 迁移关闭的虚拟机 迁移开启的虚拟机 修改资源池 移动资源池 查询 vMotion 移除资源池 重命名资源池 |
| vApp |
添加虚拟机 分配资源池 分配 vApp 克隆 创建 删除 导出 导入 移动 关机 启动 重命名 暂停 取消注册 查看 OVF 环境 vApp 应用配置 vApp 实例配置 vApp managedBy 配置 vApp 资源配置 |
| VRMPolicy |
查询 VRMPolicy 更新 VRMPolicy |
| 虚拟机 > 配置 |
添加现有磁盘 添加新磁盘 添加或移除设备 高级 更改 CPU 数量 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 托管 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重新加载 移除磁盘 重命名 重置客机信息 设置注解 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 客机操作 |
客机操作别名修改 客机操作别名查询 客机操作修改 客机操作程序执行 客机操作查询 |
| 虚拟机 > 交互 |
回答问题 虚拟机上的备份操作 配置 CD 介质 配置软盘介质 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理客机操作系统 注入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关停 启动 虚拟机上的现场录像 重放虚拟机上的会话 重置 恢复容错 暂停 暂停容错 测试故障切换 测试重启辅助虚拟机 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 库存 |
从现有清单创建 新建 移动 注册 移除 取消注册 |
| 虚拟机 > 预配 |
允许磁盘访问 允许文件访问 允许只读磁盘访问 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 |
允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照管理 |
创建快照 移除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 |
配置复制 管理复制 监控复制 |
| vService |
创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |
Cloud-Storage-Admin-Role
| Category | 权限 |
|---|---|
| 数据存储区 |
分配空间 浏览数据存储区 配置数据存储区 低级层文件操作 移除数据存储区 重命名数据存储区 更新虚拟机文件 更新虚拟机元数据 |
| 主机>配置 |
存储分区配置 |
| 数据存储区集群 |
配置数据存储区集群 |
| 配置文件—云端硬盘存储空间 |
配置文件驱动的存储更新 配置文件驱动的视图 |
| 存储视图 |
配置服务 查看 |
Cloud-Network-Admin-Role
| Category | 权限 |
|---|---|
| dvPort 群组 |
创建 删除 修改 政策操作 范围操作 |
| 网络 |
指定网络 配置 移动网络 移除 |
| 虚拟机 > 配置 |
修改设备设置 |
Cloud-VM-Admin-Role
| Category | 权限 |
|---|---|
| 数据存储区 |
分配空间 浏览数据存储区 |
| 网络 |
指定网络 |
| 资源 |
将虚拟机分配给资源池 迁移关闭的虚拟机 迁移开启的虚拟机 |
| vApp |
导出 导入 |
| 虚拟机 > 配置 |
添加现有磁盘 添加新磁盘 添加或移除设备 高级 更改 CPU 数量 更改资源 配置 managedBy 磁盘更改跟踪 磁盘租用 显示连接设置 扩展虚拟磁盘 托管 USB 设备 内存 修改设备设置 查询容错兼容性 查询无主文件 原始设备 从路径重新加载 移除磁盘 重命名 重置客机信息 设置注解 设置 交换文件位置 切换分支父级 解锁虚拟机 升级虚拟机兼容性 |
| 虚拟机 > 客机操作 |
客机操作别名修改 客机操作别名查询 客机操作修改 客机操作程序执行 客机操作查询 |
| 虚拟机 > 交互 |
回答问题 虚拟机上的备份操作 配置 CD 介质 配置软盘介质 控制台交互 创建屏幕截图 对所有磁盘进行碎片整理 设备连接 拖放 通过 VIX API 管理客机操作系统 注入 USB HID 扫描代码 暂停或取消暂停 执行擦除或收缩操作 关停 启动 虚拟机上的现场录像 重放虚拟机上的会话 重置 恢复容错 暂停 暂停容错 测试故障切换 测试重启辅助虚拟机 关闭容错 启用容错 VMware 工具安装 |
| 虚拟机 > 库存 |
从现有清单创建 新建 移动 注册 移除 取消注册 |
| 虚拟机 > 预配 |
允许磁盘访问 允许文件访问 允许只读磁盘访问 允许虚拟机下载 允许虚拟机文件上传 克隆模板 克隆虚拟机 从虚拟机创建模板 自定义 部署模板 标记为模板 标记为虚拟机 修改自定义规范 提升磁盘 读取自定义规范 |
| 虚拟机 > 服务配置 |
允许通知 允许轮询全局事件通知 管理服务配置 修改服务配置 查询服务配置 读取服务配置 |
| 虚拟机 > 快照管理 |
创建快照 移除快照 重命名快照 还原到快照 |
| 虚拟机 > vSphere 复制 |
配置复制 管理复制 监控复制 |
| vService |
创建依赖项 销毁依赖项 重新配置依赖项配置 更新依赖项 |
后续步骤
- 了解如何提升私有云权限。
- 了解如何设置 vCenter 身份源。
- 详细了解私有云上的 VMware。