作者:田逸([email protected])
Proxmox超融合私有云交付以後,存在一些有風險的操作,如果把控制權完全交給經驗不夠的人,很可能造成不可預料的後果。比如修改節點主機名導致集羣崩潰、對ceph ODS不當操作導致ceph故障…。爲了保證超融合的安全穩定,有必要對不同的用戶進行有效授權。
Proxmox的權限,涉及到數據中心及虛擬機(沒有針對物理節點的相關權限)。幾個地方的權限,要配合使用,方能有效。從權限的分佈來看,沒有什麼規律,希望開發方能進一步改進。
數據中心層面的權限菜單包括:用戶、羣組、資源池、角色及身份驗證,其中常用的有前邊四項,身份驗證用得不頻繁。
虛擬機或者存儲,僅有“權限”一個菜單項,添加用戶或者組的操作在此完成。
◎場景設計
Proxmox超融合私有云建立起以後,不要對普通用戶授予下列權限:
² 系統登錄的權限。即不能直接登錄宿主機的debian系統,用命令行操作相關指令或者運行shell腳本。
² 不能在web管理界面對“數據中心”的大部分菜單進行操作。
² 不能在web管理界面對“物理節點(宿主機)“所屬菜單進行操作。
對這些權限做限制以後,普通用戶能操作的對象,其實就只剩虛擬機、存儲。這些受限制的用戶,能進行的操作,也僅僅是web管理界面。雖然權力受限,但絲毫不會影響到正常的使用,而且把這個雲平臺的風險降低到最小。
◎某個實際案例
前幾天,剛部署完一套五節點的proxmox超融合私有云集羣,並把管理權限移交給開發人員。考慮到開發人員沒有系統管理方面的經驗,時不時我會登錄上去看看。我看見上面已經創建了虛擬機,並且給虛擬機安裝了操作系統。但仔細檢查,發現技術人員在創建時,並沒有很好的利用資源,虛擬機的磁盤使用的是本地存儲,而不是建立在高可用存儲ceph之上。
爲保證系統的穩定性,使開發人員專注於本職工作,我聯繫了決策人,希望我來幫他們負責proxmox超融合私有云底層,其它技術人員使用資源就好。
本來是想授權給某人,能創建虛擬機,並對虛擬機進行管理。但我折騰了一整天,還沒有實驗出結果。於是,就先這樣授權操作:我先給他們創建好虛擬機,由他們自己去管理虛擬機,包括安裝虛擬機操作系統。
◎授權過程及具體操作
Ø 創建羣組:此爲可選項,此爲方便多人對同一授權對象進行管理。
1. Proxmox web管理界面,找到相關操作菜單,點擊創建。
2. 填寫一個容易辨識的羣組名稱,備註可填可不填。
Ø 創建用戶:創建是必須的,而且是授權的前提條件。
1、 Proxmox web管理界面,找到相關操作菜單,點“添加”按鈕。
2、 添加用戶的界面填寫用戶名,領域選擇pve 驗證服務器。如果選pam,則需要登錄宿主機系統,創建系統賬號…
3、 給創建好的用戶設置密碼。爲安全起見,強烈建議設置複雜密碼。
Ø 虛擬機授權
1、 Proxmox web管理界面,選擇創建好的虛擬機,菜單項選擇“權限”,再點擊“添加”。
2、 添加可選“用戶”,也可以選“用戶組”。
3、 選中欲授權的用戶或者組(必須先創建)。
4、 角色從下拉列表選“PVEAdmin”,讀者也可以嘗試選擇其他項。還可以自建角色,對各種權利進行組合,以滿足實際需求(操作在數據中心級的“角色”菜單)。
Ø 交付使用
² 以上面步驟創建好的用戶名登錄proxmox超融合私有云集羣,驗證方法爲PVE(默認是Linux PAM)。
² 登錄到proxmox管理界面以後,可試着去創建一個虛擬機(故意越權)。因爲授權的原因,不能實現此願望。但對授權虛擬機進行操作系統安裝、克隆、遷移、虛擬機安裝操作系統、修改虛擬機配置等等操作,是能夠正常進行的。這也與我們的設計相符合,達到預期目標。
更多關於proxmox超融合高可用私有云內容,請移步個人專欄“人人都能玩的超融合私有云”,猛戳此處直達目標!!!
