跳到主要内容

vCenter Server 权限的组成要素

vCenter Server 可识别权限,而不能识别特权。每个 vCenter Server 权限包括三个组成要素。

vCenter Server 具有以下组成要素:

  • 一个或多个特权(角色)

    特权定义用户可以执行的任务。

  • 一个 vSphere 对象

    此对象是任务的目标。

  • 一个用户或组

    用户或组定义谁可以执行任务。

如下图所示,必须具有所有三种要素才能获得权限。

在此图中,灰色框表示 vCenter Server 中存在的组成要素,白色框表示运行 vCenter Server 的操作系统中存在的组成要素。


特权

两种特权与适用于 VMware vSphere 的 Virtual Storage Console 关联:

  • 本机 vCenter Server 特权

    这些特权由 vCenter Server 附带提供。

  • 特定于 VSC 的特权

    这些特权是为特定 VSC 任务定义的。它们是 VSC 独有的特权。

VSC 任务同时需要特定于 VSC 的特权和 vCenter Server 本机特权。这些特权构成了用户的角色。一个权限可以具有多个特权。这些特权适用于登录到 vCenter Server 的用户。

为了简化使用 vCenter Server RBAC,VSC 提供了几种标准角色,这些角色包含执行 VSC 任务所需的所有特定于 VSC 的特权和本机特权。

如果更改某个权限内的特权,则与该权限关联的用户应注销,然后登录以启用更新后的权限。

表 1. VSC 特权
特权角色任务
Virtual Storage Console > 查看
  • VSC 管理员
  • VSC 配置
  • VSC 只读
所有特定于 VSC 和 VASA Provider 的任务都需要“查看”特权。
Virtual Storage Console > 基于策略的管理 > 管理privilege.nvpfVSC.VASAGroup.com.netapp.nvpf.label > 管理VSC 管理员与存储功能 profile 和阈值设置相关的 VSC 和 VASA Provider 任务。

vSphere 对象

权限与 vSphere 对象(例如,vCenter Server、ESXi 主机、虚拟机、数据存储、数据中心和文件夹)相关联。您可以将权限分配给任何 vSphere 对象。根据分配给 vSphere 对象的权限,vCenter Server 确定谁可以对该对象执行哪些任务。对于特定于 VSC 的任务,仅在根文件夹级别(vCenter Server)分配和验证权限,而不是在其他任何实体上进行。VAAI 插件操作除外,这种情况将根据相关的 ESXi 验证权限。

用户和组

可使用 Active Directory(或本地 vCenter Server 机器)来设置用户和用户组。然后,可使用 vCenter Server 权限向这些用户或组授予访问权限,以使他们能够执行特定的 VSC 任务。

这些 vCenter Server 权限适用于 VSC vCenter 用户,不适用于 VSC 管理员。默认情况下,VSC 管理员对产品具有完全访问权限,不需要为他们分配权限。

用户和组不会分配到任何角色。他们通过加入 vCenter Server 权限来获取角色访问权限。