私有雲 vSphere 權限模型
Google Cloud VMware Engine 會保留私有雲端環境的完整管理員存取權。您將獲得足夠的管理員權限,可在環境中部署及管理虛擬機器 (VM)。如有需要,您可以暫時提升權限,執行進階管理功能。
CloudOwner 使用者
建立私有雲時,系統會在 vCenter 單一登入網域中建立預設使用者 [email protected],並授予 Cloud-Owner-Role 存取權,以便管理私有雲中的物件。
vCenter 角色
vCenter 中的角色會定義一組權限,讓使用者執行特定作業。建立私有雲時,VMware Engine 會在 vCenter 中建立一組角色,並將這些角色指派給使用者群組。
名稱含有「Global」的角色會套用至 vCenter 物件層級。所有其他角色都會套用在 vCenter 的 Datacenter 物件層級。
vCenter 使用者群組
部署私有雲時,系統會建立名為 Cloud-Owner-Group 的群組。這個群組中的使用者可在私有雲中管理 vSphere 環境的各個層面。Cloud-Owner-Group 群組會自動獲得 Cloud-Owner-Role 權限,而 CloudOwner 使用者會新增為這個群組的成員。
VMware Engine 會建立其他具有有限權限的群組,方便管理。您可以將任何使用者新增至這些預先建立的群組,這個程序會將對應的權限指派給使用者。
如要瞭解如何授予個別使用者權限或建立新的使用者群組,請參閱「管理 vSphere 權限」。
預先建立的 vCenter 使用者群組
| 群組名稱 | 目的 | 角色 | 範圍 |
|---|---|---|---|
| Cloud-Owner-Group | 私有雲 vCenter 的管理員權限 | Cloud-Owner-Global-Role | vCenter 個物件 |
| Cloud-Owner-Role | Datacenter 個物件 |
||
| Cloud-Global-Cluster-Admin-Group | 私有雲 vCenter 叢集的管理員權限 | Cloud-Storage-Admin-Global-Role | vCenter 個物件 |
| Cloud-Cluster-Admin-Role | Datacenter 個物件 |
||
| Cloud-Global-Storage-Admin-Group | 私有雲 vCenter 中的 VM 管理權限 | Cloud-Storage-Admin-Role | Datacenter 個物件 |
| Cloud-Global-Network-Admin-Group | 私有雲 vCenter 中的網路和分散式連接埠群組管理權限 | Cloud-Network-Admin-Role | Datacenter 個物件 |
| Cloud-Global-VM-Admin-Group | 私有雲 vCenter 中的 VM 管理權限 | Cloud-VM-Admin-Global-Role | vCenter 個物件 |
| Cloud-VM-Admin-Role | Datacenter 個物件 |
預設角色的 vCenter 權限清單
以下各節會列出 VMware Engine 建立的群組中,每個角色的 vCenter 權限。
Cloud-Owner-Global-Role
| 類別 | 權限 |
|---|---|
| 鬧鐘 |
確認鬧鐘 |
| 內容資料庫 |
新增媒體庫項目 建立本機媒體庫 建立訂閱的程式庫 刪除媒體庫項目 刪除本機資料庫 刪除訂閱的內容庫 下載檔案 將程式庫項目逐出 將訂閱的程式庫逐出 匯入儲存空間 探針訂閱資訊 讀取儲存空間 同步處理媒體庫項目 同步處理已訂閱的媒體庫 型別自省 更新設定 更新檔案 更新媒體庫 更新媒體庫項目 更新本機媒體庫 更新已訂閱的媒體庫 查看設定 |
| 密碼編譯作業 |
管理 KMS 管理加密政策 |
| Datastore |
分配空間 瀏覽資料儲存庫 設定資料儲存庫 低層級檔案作業 移動資料儲存庫 移除資料儲存庫 移除檔案 重新命名資料儲存庫 更新 VM 檔案 更新 VM 中繼資料 |
| 全球 |
取消任務 診斷 全域代碼 管理自訂屬性 設定自訂屬性 |
| 主機 > vSphere Replication |
管理複製功能 |
| vSphere 標記 |
指派或取消指派 vSphere 標記 在物件上指派或取消指派 vSphere 標記 建立 vSphere 標記 建立 vSphere 標籤類別 編輯 vSphere 標記 編輯 vSphere 標記類別 |
| 資源 |
將 VM 指派給資源集區 |
| 個人資料導向儲存空間 |
設定檔驅動儲存空間更新 以設定檔為依據的儲存空間檢視畫面 |
| 虛擬機器 > 佈建 |
自訂來賓 修改自訂規格 查看自訂規格 |
Cloud-Storage-Admin-Global-Role
| 類別 | 權限 |
|---|---|
| 內容資料庫 |
新增媒體庫項目 刪除媒體庫項目 更新媒體庫項目 |
| vSphere 標記 |
在物件上指派或取消指派 vSphere 標記 |
| 個人資料導向儲存空間 |
以設定檔為依據的儲存空間檢視畫面 |
| 虛擬機器 > 佈建 |
自訂來賓 修改自訂規格 查看自訂規格 |
Cloud-VM-Admin-Global-Role
| 類別 | 權限 |
|---|---|
| 內容資料庫 |
新增媒體庫項目 刪除媒體庫項目 更新媒體庫項目 |
| vSphere 標記 |
在物件上指派或取消指派 vSphere 標記 |
| 個人資料導向儲存空間 |
以設定檔為依據的儲存空間檢視畫面 |
| 虛擬機器 > 佈建 |
自訂來賓 修改自訂規格 查看自訂規格 |
Cloud-Owner-Role
| 類別 | 權限 |
|---|---|
| 鬧鐘 |
確認鬧鐘 建立警示 停用鬧鐘動作 修改警示 移除警示 設定警示狀態 |
| 權限 | 修改權限 |
| 內容庫 |
新增媒體庫項目 建立本機媒體庫 建立訂閱的程式庫 刪除媒體庫項目 刪除本機資料庫 刪除訂閱的內容庫 下載檔案 將程式庫項目逐出 將訂閱的程式庫逐出 匯入儲存空間 探針訂閱資訊 讀取儲存空間 同步處理媒體庫項目 同步處理已訂閱的媒體庫 型別自省 更新設定 更新檔案 更新媒體庫 更新媒體庫項目 更新本機媒體庫 更新已訂閱的媒體庫 查看設定 |
| 密碼編譯作業 |
新增磁碟 複製 解密 直接存取 加密 加密新 管理 KMS 管理加密政策 管理金鑰 遷移 重新加密 註冊 VM 註冊主機 |
| dvPort 群組 |
建立 刪除 修改 政策操作 範圍運算 |
| Datastore |
分配空間 瀏覽資料儲存庫 設定資料儲存庫 低層級檔案作業 移動資料儲存庫 移除資料儲存庫 移除檔案 重新命名資料儲存庫 更新 VM 檔案 更新 VM 中繼資料 |
| ESX Agent Manager |
設定 修改 查看 |
| 擴充功能 |
註冊擴充功能 取消註冊擴充功能 更新擴充功能 |
| 外部統計資料供應者 |
註冊 取消註冊 更新 |
| 資料夾 |
建立資料夾 刪除資料夾 移動資料夾 重新命名資料夾 |
| 全球 |
取消任務 處理能力規劃 診斷 停用方法 啟用方法 全域代碼 健康 授權 記錄檔事件 管理自訂屬性 Proxy 指令碼動作 服務管理員 設定自訂屬性 系統標記 |
| 健康狀況更新供應商 |
註冊 取消註冊 更新 |
| 主機 > 廣告空間 |
修改叢集 |
| vSphere 標記 |
指派或取消指派 vSphere 標記 建立 vSphere 標記 建立 vSphere 標籤類別 刪除 vSphere 標記 刪除 vSphere 標籤類別 編輯 vSphere 標記 編輯 vSphere 標記類別 修改類別的 UsedBy 欄位 修改標記的 UsedBy 欄位 |
| 網路 |
指派網路 設定 移動電視網 移除 |
| 成效 |
修改間隔 |
| 主機設定檔 |
查看 |
| 資源 |
套用建議 將 vApp 指派給資源集區 將 VM 指派給資源集區 建立資源集區 遷移已關閉的虛擬機器 遷移已開啟的虛擬機器 修改資源集區 移動資源集區 查詢 vMotion 移除資源集區 重新命名資源集區 |
| 排定的工作 | 建立工作
修改工作 移除工作 執行工作 |
| 工作階段 |
模擬使用者 訊息 驗證時段 查看及停止工作階段 |
| Datastore 叢集 | 設定資料儲存庫叢集 |
| 個人資料導向儲存空間 |
設定檔驅動儲存空間更新 以設定檔為依據的儲存空間檢視畫面 |
| 儲存空間檢視 |
設定服務 查看 |
| Tasks |
建立任務 更新工作 |
| 移轉服務 | 管理 監控 |
| vApp |
新增 VM 指派資源集區 指派 vApp 複製 建立 刪除 匯出 匯入 移動 關機 開機 重新命名 暫停 取消註冊 查看 OVF 環境 vApp 應用程式設定 vApp 執行個體設定 vApp managedBy 設定 vApp 資源設定 |
| VRMPolicy |
查詢 VRMPolicy 可更新 VRMPolicy |
| 虛擬機器 > 設定 |
新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 數量 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 記憶體 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設訪客資訊 設定註解 設定 交換檔案位置 切換分支父項 解鎖 VM 升級 VM 相容性 |
| 虛擬機器 > 來賓作業 |
修改訪客作業別名 訪客作業別名查詢 訪客作業修改 訪客作業程式執行 訪客作業查詢 |
| 虛擬機器 > 互動 |
回答問題 VM 上的備份作業 設定 CD 媒體 設定軟碟媒體 主控台互動 建立螢幕截圖 對所有磁碟進行重組 裝置連線 拖曳 透過 VIX API 管理訪客作業系統 插入 USB HID 掃描代碼 暫停或繼續 執行清除或縮小作業 關機 開機 在 VM 上錄製工作階段 在 VM 上重播工作階段 重設 恢復容錯功能 暫停 暫停容錯功能 測試容錯移轉 測試重新啟動次要 VM 關閉容錯功能 開啟容錯功能 安裝 VMware 工具 |
| 虛擬機器 > 廣告空間 |
從現有項目建立 新建 移動 註冊 移除 取消註冊 |
| 虛擬機器 > 佈建 |
允許磁碟存取權 允許存取檔案 允許磁碟唯讀存取權 允許下載虛擬機器 允許上傳 VM 檔案 複製範本 複製 VM 透過 VM 建立範本 自訂 部署範本 標示為範本 標示為 VM 修改自訂規格 升級磁碟 查看自訂規格 |
| 虛擬機器 > 服務設定 |
允許接收通知 允許輪詢全域事件通知 管理服務設定 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器 > 快照管理 |
建立快照 移除快照 重新命名快照 還原至快照 |
| 虛擬機器 > vSphere 複寫 |
設定複製作業 管理複製功能 監控備用資源 |
| vService |
建立依附關係 摧毀依附元件 重新設定依附元件設定 更新依附元件 |
Cloud-Cluster-Admin-Role
| 類別 | 權限 |
|---|---|
| Datastore |
分配空間 瀏覽資料儲存庫 設定資料儲存庫 低層級檔案作業 移除資料儲存庫 重新命名資料儲存庫 更新 VM 檔案 更新 VM 中繼資料 |
| 資料夾 |
建立資料夾 刪除資料夾 移動資料夾 重新命名資料夾 |
| 主機 > 設定 | 儲存空間分割區設定 |
| vSphere 標記 |
指派或取消指派 vSphere 標記 建立 vSphere 標記 建立 vSphere 標籤類別 刪除 vSphere 標記 刪除 vSphere 標籤類別 編輯 vSphere 標記 編輯 vSphere 標記類別 修改類別的 UsedBy 欄位 修改標記的 UsedBy 欄位 |
| 網路 | 指派網路 |
| 資源 |
套用建議 將 vApp 指派給資源集區 將 VM 指派給資源集區 建立資源集區 遷移已關閉的 VM 遷移已開啟的 VM 修改資源集區 移動資源集區 查詢 vMotion 移除資源集區 重新命名資源集區 |
| vApp |
新增 VM 指派資源集區 指派 vApp 複製 建立 刪除 匯出 匯入 移動 關機 開機 重新命名 暫停 取消註冊 查看 OVF 環境 vApp 應用程式設定 vApp 執行個體設定 vApp managedBy 設定 vApp 資源設定 |
| VRMPolicy |
查詢 VRMPolicy 可更新 VRMPolicy |
| 虛擬機器 > 設定 |
新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 數量 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 記憶體 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設訪客資訊 設定註解 設定 交換檔案位置 切換分支父項 解鎖 VM 升級 VM 相容性 |
| 虛擬機器 > 來賓作業 |
修改訪客作業別名 訪客作業別名查詢 訪客作業修改 訪客作業程式執行 訪客作業查詢 |
| 虛擬機器 > 互動 |
回答問題 VM 上的備份作業 設定 CD 媒體 設定軟碟媒體 主控台互動 建立螢幕截圖 對所有磁碟進行重組 裝置連線 拖曳 透過 VIX API 管理訪客作業系統 插入 USB HID 掃描代碼 暫停或取消暫停 執行清除或縮小作業 關機 開機 在 VM 上錄製工作階段 在 VM 上重播工作階段 重設 恢復容錯功能 暫停 暫停容錯功能 測試容錯移轉 測試重新啟動次要 VM 關閉容錯功能 開啟容錯功能 安裝 VMware 工具 |
| 虛擬機器 > 廣告空間 |
從現有項目建立 新建 移動 註冊 移除 取消註冊 |
| 虛擬機器 > 佈建 |
允許磁碟存取權 允許存取檔案 允許磁碟唯讀存取權 允許下載虛擬機器 允許上傳 VM 檔案 複製範本 複製 VM 透過 VM 建立範本 自訂 部署範本 標示為範本 標示為 VM 修改自訂規格 升級磁碟 查看自訂規格 |
| 虛擬機器 > 服務設定 |
允許接收通知 允許輪詢全域事件通知 管理服務設定 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器 > 快照管理 |
建立快照 移除快照 重新命名快照 還原至快照 |
| 虛擬機器 > vSphere Replication |
設定複製作業 管理複製功能 監控備用資源 |
| vService |
建立依附關係 摧毀依附元件 重新設定依附元件設定 更新依附元件 |
Cloud-Storage-Admin-Role
| 類別 | 權限 |
|---|---|
| Datastore |
分配空間 瀏覽資料儲存庫 設定資料儲存庫 低層級檔案作業 移除資料儲存庫 重新命名資料儲存庫 更新 VM 檔案 更新 VM 中繼資料 |
| 主機 > 設定 |
儲存空間分割區設定 |
| Datastore 叢集 |
設定資料儲存庫叢集 |
| 個人資料導向儲存空間 |
設定檔驅動儲存空間更新 以設定檔為依據的儲存空間檢視畫面 |
| 儲存空間檢視 |
設定服務 查看 |
Cloud-Network-Admin-Role
| 類別 | 權限 |
|---|---|
| dvPort 群組 |
建立 刪除 修改 政策操作 範圍運算 |
| 網路 |
指派網路 設定 移動電視網 移除 |
| 虛擬機器 > 設定 |
修改裝置設定 |
Cloud-VM-Admin-Role
| 類別 | 權限 |
|---|---|
| Datastore |
分配空間 瀏覽資料儲存庫 |
| 網路 |
指派網路 |
| 資源 |
將 VM 指派給資源集區 遷移已關閉的 VM 遷移已開啟的 VM |
| vApp |
匯出 匯入 |
| 虛擬機器 > 設定 |
新增現有磁碟 新增磁碟 新增或移除裝置 進階 變更 CPU 數量 變更資源 設定 managedBy 磁碟變更追蹤 磁碟租用 顯示連線設定 擴充虛擬磁碟 主機 USB 裝置 記憶體 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 原始裝置 從路徑重新載入 移除磁碟 重新命名 重設訪客資訊 設定註解 設定 交換檔案位置 切換分支父項 解鎖 VM 升級 VM 相容性 |
| 虛擬機器 > 來賓作業 |
修改訪客作業別名 訪客作業別名查詢 訪客作業修改 訪客作業程式執行 訪客作業查詢 |
| 虛擬機器 > 互動 |
回答問題 VM 上的備份作業 設定 CD 媒體 設定軟碟媒體 主控台互動 建立螢幕截圖 對所有磁碟進行重組 裝置連線 拖曳 透過 VIX API 管理訪客作業系統 插入 USB HID 掃描代碼 暫停或取消暫停 執行清除或縮小作業 關機 開機 在 VM 上錄製工作階段 在 VM 上重播工作階段 重設 恢復容錯功能 暫停 暫停容錯功能 測試容錯移轉 測試重新啟動次要 VM 關閉容錯功能 開啟容錯功能 安裝 VMware 工具 |
| 虛擬機器 > 廣告空間 |
從現有項目建立 新建 移動 註冊 移除 取消註冊 |
| 虛擬機器 > 佈建 |
允許磁碟存取權 允許存取檔案 允許磁碟唯讀存取權 允許下載虛擬機器 允許上傳 VM 檔案 複製範本 複製 VM 透過 VM 建立範本 自訂 部署範本 標示為範本 標示為 VM 修改自訂規格 升級磁碟 查看自訂規格 |
| 虛擬機器 > 服務設定 |
允許接收通知 允許輪詢全域事件通知 管理服務設定 修改服務設定 查詢服務設定 讀取服務設定 |
| 虛擬機器 > 快照管理 |
建立快照 移除快照 重新命名快照 還原至快照 |
| 虛擬機器 > vSphere 複寫 |
設定複製作業 管理複製功能 監控備用資源 |
| vService |
建立依附關係 摧毀依附元件 重新設定依附元件設定 更新依附元件 |
後續步驟
- 瞭解如何提升私有雲端權限。
- 瞭解如何設定 vCenter 識別資訊來源。
- 進一步瞭解私人雲端中的 VMware。