私有云 vSphere 权限模型

Google Cloud VMware Engine 对您的私有云环境保留完全管理员权限。您拥有足够的管理员权限,可以在环境中部署和管理虚拟机 (VM)。如果需要,您可以临时提升权限以执行高级管理员功能。

CloudOwner 用户

创建专用集群时,系统会在 vCenter 单点登录网域中创建 CloudOwner@gve.local 权限,并向 Cloud-Owner-Role 授予管理私有云中对象的权限。CloudOwner 用户还可以在私有云 vCenter 中设置其他 vCenter 身份源和其他用户。

vCenter 用户群组

部署私有云会创建一个名为 Cloud-Owner-Group 的组。该组中的用户可以在私有云上管理 vSphere 环境的各个方面。Cloud-Owner-Group 群组会自动获得 Cloud-Owner-Role 权限,而 CloudOwner 用户会被添加为该群组的成员。

VMware Engine 会创建具备有限权限的额外群组,以便于管理。您可以将任何用户添加到这些预创建的群组,此流程会为该用户分配相应的权限

如需了解如何授予单个用户权限或创建新的用户群组,请参阅管理 vSphere 权限

预创建的 vCenter 用户组

群组名称 目的 角色
Cloud—所有者—群组 此群组的成员拥有私有云 vCenter 的管理员权限 Cloud-Owner 角色
Cloud-Cloud-Cluster-Admin-Group 此群组的成员拥有私有云 vCenter 集群的管理员权限 Cloud-Cluster-Admin 角色
Cloud-Global-Storage-Admin-Group 此群组的成员可以管理私有云 vCenter 上的存储空间 Cloud-Storage-Admin 角色
Cloud-Global-Network-Admin-Group 此群组的成员可以管理私有云 vCenter 上的网络和分布式端口组 Cloud-Network-Admin 角色
Cloud-Global-VM-Admin-Group 此群组中的成员可以管理私有云 vCenter 上的虚拟机 Cloud—虚拟机—管理员—角色

默认角色的 vCenter 权限列表

以下部分列出了 VMware Engine 创建的群组中的每个角色的 vCenter 权限。

Cloud—所有者—群组

类别 权限
闹钟

确认警报

创建警报

停用警报操作

修改警报

移除警报

设置警报状态

权限 修改权限
内容库

添加库项

创建本地库

创建已订阅库

删除库项

删除本地库

删除已订阅库

下载文件

逐出库项

逐出已订阅库

导入存储空间

探测订阅信息

读取存储空间

同步库项

同步已订阅库

类型内省

更新配置设置

更新文件

更新库

更新库项

更新本地库

更新已订阅库

查看配置设置

加密操作

添加磁盘

克隆

解密

直接访问

加密

加密新的

管理 KMS

管理加密政策

管理密钥

迁移

重新加密

注册虚拟机

注册主机

dvPort 群组

创建

删除

修改

政策操作

范围操作

数据存储区

分配空间

浏览数据存储区

配置数据存储区

低级层文件操作

移动数据存储区

移除数据存储区

移除文件

重命名数据存储区

更新虚拟机文件

更新虚拟机元数据

ESX 代理管理员

配置

修改

查看

扩展程序

注册扩展程序

取消注册扩展程序

更新扩展程序

外部数据提供者

注册

取消注册

更新

文件夹

创建文件夹

删除文件夹

移动文件夹

重命名文件夹

全球

取消任务

容量规划

诊断

停用方法

启用方法

全局标记

运行状况

许可

日志事件

管理自定义属性

代理

脚本操作

服务管理员

设置自定义属性

系统代码

运行状况更新提供程序

注册

取消注册

更新

主机 > 配置

存储分区配置

主机 > 库存

修改集群

vSphere 标记

分配或取消分配 vSphere 标记

创建 vSphere 标记

创建 vSphere 标记类别

删除 vSphere 标记

删除 vSphere 标记类别

修改 vSphere 标记

修改 vSphere 标记类别

修改类别的 UsedBy 字段

修改标记的 UsedBy 字段

网络

指定网络

配置

移动网络

移除

性能

修改时间间隔

主机性能剖析

查看

资源

采用建议

将 vApp 分配给资源池

将虚拟机分配给资源池

创建资源池

迁移已关停的虚拟机

迁移已启动的虚拟机

修改资源池

移动资源池

查询 vMotion

移除资源池

重命名资源池

计划任务 创建任务

修改任务

删除任务

运行任务

会话

模拟用户

消息

验证会话

查看和停止会话

数据存储区集群 配置数据存储区集群
配置文件—云端硬盘存储空间

配置文件驱动的存储更新

配置文件驱动的视图

存储视图

配置服务

查看

任务

创建任务

更新任务

转移服务 管理

监控

vApp

添加虚拟机

分配资源池

分配 vApp

克隆

创建

删除

导出

导入

移动

关机

启动

重命名

暂停

取消注册

查看 OVF 环境

vApp 应用配置

vApp 实例配置

vApp managedBy 配置

vApp 资源配置

VRMPolicy

查询 VRMPolicy

更新 VRMPolicy

虚拟机 > 配置

添加现有磁盘

添加新磁盘

添加或移除设备

高级

更改 CPU 数量

更改资源

配置 managedBy

磁盘更改跟踪

磁盘租用

显示连接设置

扩展虚拟磁盘

托管 USB 设备

内存

修改设备设置

查询容错兼容性

查询无主文件

原始设备

从路径重新加载

移除磁盘

重命名

重置客机信息

设置注释

设置

交换文件位置

切换分支父级

解锁虚拟机

升级虚拟机兼容性

虚拟机 > 客机操作

客机操作别名修改

客机操作别名查询

客机操作修改

客机操作程序执行

客机操作查询

虚拟机 > 交互

回答问题

虚拟机上的备份操作

配置 CD 介质

配置软盘介质

控制台交互

创建屏幕截图

对所有磁盘进行碎片整理

设备连接

拖放

通过 VIX API 管理客机操作系统

注入 USB HID 扫描代码

暂停或取消暂停

执行擦除或收缩操作

关停

启动

虚拟机上的现场录像

重放虚拟机上的会话

重置

恢复容错

暂停

暂停容错

测试故障转移

测试重启辅助虚拟机

关闭容错

启用容错

VMware 工具安装

虚拟机 > 库存

从现有清单创建

新建

移动

注册

移除

取消注册

虚拟机 > 预配

允许磁盘访问

允许文件访问

允许只读磁盘访问

允许虚拟机下载

允许虚拟机文件上传

克隆模板

克隆虚拟机

从虚拟机创建模板

自定义

部署模板

标记为模板

标记为虚拟机

修改自定义规范

提升磁盘

读取自定义规范

虚拟机 > 服务配置

允许通知

允许轮询全局事件通知

管理服务配置

修改服务配置

查询服务配置

读取服务配置

虚拟机 > 快照管理

创建快照

移除快照

重命名快照

还原到快照

虚拟机 > vSphere 复制

配置复制

管理复制

监控复制

vService

创建依赖项

销毁依赖项

重新配置依赖项配置

更新依赖项

Cloud—集群—管理员—角色

类别 权限
数据存储区

分配空间

浏览数据存储区

配置数据存储区

低级层文件操作

移除数据存储区

重命名数据存储区

更新虚拟机文件

更新虚拟机元数据

文件夹

创建文件夹

删除文件夹

移动文件夹

重命名文件夹

主机 > 配置 存储分区配置
vSphere 标记

分配或取消分配 vSphere 标记

创建 vSphere 标记

创建 vSphere 标记类别

删除 vSphere 标记

删除 vSphere 标记类别

修改 vSphere 标记

修改 vSphere 标记类别

修改类别的 UsedBy 字段

修改标记的 UsedBy 字段

网络 指定网络
资源

采用建议

将 vApp 分配给资源池

将虚拟机分配给资源池

创建资源池

迁移关闭的虚拟机

迁移开启的虚拟机

修改资源池

移动资源池

查询 vMotion

移除资源池

重命名资源池

vApp

添加虚拟机

分配资源池

分配 vApp

克隆

创建

删除

导出

导入

移动

关机

启动

重命名

暂停

取消注册

查看 OVF 环境

vApp 应用配置

vApp 实例配置

vApp managedBy 配置

vApp 资源配置

VRMPolicy

查询 VRMPolicy

更新 VRMPolicy

虚拟机 > 配置

添加现有磁盘

添加新磁盘

添加或移除设备

高级

更改 CPU 数量

更改资源

配置 managedBy

磁盘更改跟踪

磁盘租用

显示连接设置

扩展虚拟磁盘

托管 USB 设备

内存

修改设备设置

查询容错兼容性

查询无主文件

原始设备

从路径重新加载

移除磁盘

重命名

重置客机信息

设置注释

设置

交换文件位置

切换分支父级

解锁虚拟机

升级虚拟机兼容性

虚拟机 > 客机操作

客机操作别名修改

客机操作别名查询

客机操作修改

客机操作程序执行

客机操作查询

虚拟机 > 交互

回答问题

虚拟机上的备份操作

配置 CD 介质

配置软盘介质

控制台交互

创建屏幕截图

对所有磁盘进行碎片整理

设备连接

拖放

通过 VIX API 管理客机操作系统

注入 USB HID 扫描代码

暂停或取消暂停

执行擦除或收缩操作

关停

启动

虚拟机上的现场录像

重放虚拟机上的会话

重置

恢复容错

暂停

暂停容错

测试故障转移

测试重启辅助虚拟机

关闭容错

启用容错

VMware 工具安装

虚拟机 > 库存

从现有清单创建

新建

移动

注册

移除

取消注册

虚拟机 > 预配

允许磁盘访问

允许文件访问

允许只读磁盘访问

允许虚拟机下载

允许虚拟机文件上传

克隆模板

克隆虚拟机

从虚拟机创建模板

自定义

部署模板

标记为模板

标记为虚拟机

修改自定义规范

提升磁盘

读取自定义规范

虚拟机 > 服务配置

允许通知

允许轮询全局事件通知

管理服务配置

修改服务配置

查询服务配置

读取服务配置

虚拟机 > 快照管理

创建快照

移除快照

重命名快照

还原到快照

虚拟机 > vSphere 复制

配置复制

管理复制

监控复制

vService

创建依赖项

销毁依赖项

重新配置依赖项配置

更新依赖项

Cloud—存储—管理员—角色

类别 权限
数据存储区

分配空间

浏览数据存储区

配置数据存储区

低级层文件操作

移除数据存储区

重命名数据存储区

更新虚拟机文件

更新虚拟机元数据

主机 > 配置

存储分区配置

数据存储区集群

配置数据存储区集群

配置文件—云端硬盘存储空间

配置文件驱动的存储更新

配置文件驱动的视图

存储视图

配置服务

查看

Cloud—网络—管理员—角色

类别 权限
dvPort 群组

创建

删除

修改

政策操作

范围操作

网络

指定网络

配置

移动网络

移除

虚拟机 > 配置

修改设备设置

Cloud—虚拟机—管理员—角色

类别 权限
数据存储区

分配空间

浏览数据存储区

网络

指定网络

资源

将虚拟机分配给资源池

迁移关闭的虚拟机

迁移开启的虚拟机

vApp

导出

导入

虚拟机 > 配置

添加现有磁盘

添加新磁盘

添加或移除设备

高级

更改 CPU 数量

更改资源

配置 managedBy

磁盘更改跟踪

磁盘租用

显示连接设置

扩展虚拟磁盘

托管 USB 设备

内存

修改设备设置

查询容错兼容性

查询无主文件

原始设备

从路径重新加载

移除磁盘

重命名

重置客机信息

设置注释

设置

交换文件位置

切换分支父级

解锁虚拟机

升级虚拟机兼容性

虚拟机 > 客机操作

客机操作别名修改

客机操作别名查询

客机操作修改

客机操作程序执行

客机操作查询

虚拟机 > 交互

回答问题

虚拟机上的备份操作

配置 CD 介质

配置软盘介质

控制台交互

创建屏幕截图

对所有磁盘进行碎片整理

设备连接

拖放

通过 VIX API 管理客机操作系统

注入 USB HID 扫描代码

暂停或取消暂停

执行擦除或收缩操作

关停

启动

虚拟机上的现场录像

重放虚拟机上的会话

重置

恢复容错

暂停

暂停容错

测试故障转移

测试重启辅助虚拟机

关闭容错

启用容错

VMware 工具安装

虚拟机 > 库存

从现有清单创建

新建

移动

注册

移除

取消注册

虚拟机 > 预配

允许磁盘访问

允许文件访问

允许只读磁盘访问

允许虚拟机下载

允许虚拟机文件上传

克隆模板

克隆虚拟机

从虚拟机创建模板

自定义

部署模板

标记为模板

标记为虚拟机

修改自定义规范

提升磁盘

读取自定义规范

虚拟机 > 服务配置

允许通知

允许轮询全局事件通知

管理服务配置

修改服务配置

查询服务配置

读取服务配置

虚拟机 > 快照管理

创建快照

移除快照

重命名快照

还原到快照

虚拟机 > vSphere 复制

配置复制

管理复制

监控复制

vService

创建依赖项

销毁依赖项

重新配置依赖项配置

更新依赖项

后续步骤