Общая информация

Мультитенантность — возможность изолированно обслуживать пользователей из разных организаций (т.е. независимых подписчиков) в рамках одного сервиса (одной инсталляции или развертывания). 

ПК СВ "Брест" дает широкие возможности для организации ресурсов: хранения данных, серверов виртуализации и виртуальных сетей, а также распределять и доступ к этим ресурсам между группами пользователей. Каждая группа пользователей должна иметь доступ только к своим ресурсам, это шаблоны для создания ВМ, образы дисков и виртуальные сети.

Веб-интерфейс ПК СВ

В ПК СВ есть возможность использования четырех базовых вариантов веб-интерфейса:

  • Облачный (Cloud);
  • Пользовательский (User);
  • Администратора (Admin);
  • Администратора группы (Group Admin).

Облачный вариант веб-интерфейса 

Облачный — упрощенный пользовательский вариант веб-интерфейса с минимально необходимым набором инструментов для управления, создания и взаимодействия с ВМ от имени созданного пользователя. 

Для переключения между доступными интерфейсами необходимо нажать на имя пользователя в правом верхнем углу, навести курсор на пункт Представление и выбрать необходимый вид.

Пользователь не может видеть какую либо информацию о кластере ПК СВ.

В данном варианте веб-интерфейса пользователь не может создавать шаблоны и образы.

Для работы с ПК СВ в данном режиме пользователь использует уже подготовленные образы и шаблоны.

Пользовательский вариант веб-интерфейса

Пользовательский — расширенный вариант для работы пользователя с веб-интерфейсом ПК СВ. В дополнении к облачному представлению для пользователя становится доступна информация о статусе хранилищ и сетей, а так же возможность создавать образы и шаблоны ВМ. 

В данном режиме не доступны операции администрирования.

Вариант веб-интерфейса администратора

Интерфейс администратора ПК СВ, представляет доступ ко всем функциям и настройкам ПК СВ. Доступна для пользователей в группе brestadmins.


Вариант веб-интерфейса администратора группы

Веб-интерфейс администратора группы представляет собой пользовательский веб-интерфейс с расширенными возможностями по управлению группой, ее пользователями и квотами назначенными для определенной группы.

Обеспечение мультитенантности

Основой мультитенантности является группа пользователей. Каждая группа содержит свои квоты ресурсов в пределах которых пользователи этой группы могут создавать свои ресурсы. По умолчанию все группы создают свои ресурсы на одном и том же физическом оборудовании (виртуальный ЦОД, с именем default).

Создание группы пользователей

  1. В веб-интерфейсе ПК СВ выбрать СистемаГруппы.

  2. На открывшейся странице Группы нажать кнопку +.

  3. На странице Создать группу необходимо:

    • во вкладке Общие задать наименование группы:

    • на вкладке Представление в поле Расширенный макет отметить чекбоксы в столбце Группа администраторов:

    • на вкладке Права отметить чекбоксы с нужными правами для пользователей группы:
    • на вкладке Система из выпадающих списков выбрать необходимые значения для полей Сделать новые образы постоянными по умолчанию и Сделайте сохранение и клонирование образов постоянными по умолчанию:

  4. на странице Создать группу нажать кнопку Создать:

    На странице Группы появится созданная группа.

Создание нового пользователя в веб-интерфейсе ПК СВ "Брест"

  1. В веб-интерфейсе ПК СВ выбрать СистемаПользователи.

  2. На открывшейся странице Пользователи нажать кнопку +.

  3. На открывшейся странице Создать пользователя необходимо:

    • в поле Имя пользователя задать наименование пользователя;

    • в поле Пароль задать пароль пользователя;

    • в поле Подтвердите пароль повторно ввести пароль пользователя;

    • из выпадающего списка Основная группа выбрать необходимую группу;

    • нажать кнопку Создать:

      Все пользователи ПК СВ по умолчанию создаются с установленной группой brestusers, она необходима для корректной работы системы виртуализации от имени данного пользователя.


На странице Пользователи отобразится созданный пользователь:

Создание нового пользователя в консоли управления ПК СВ "Брест"

Для создания нового пользователя необходимо выполнить команду:

sudo brestuser create <имя_пользователя>
В процессе выполнения команды необходимо:

  • ввести имя администратора сервера IPA;

  • ввести пароль администратора сервера IPA;

  • задать пароль нового пользователя;

  • ввести Нет в ответ на вопрос будет ли пользователь администратором.

-----------------------------

Добавлен пользователь "user1"
-----------------------------
  Имя учётной записи пользователя: user1
  Имя: user1
  Фамилия: user1
  Полное имя: user1 user1
  Отображаемое имя: user1 user1
  Инициалы: uu
  Домашний каталог: /home/user1
  GECOS: user1 user1
  Оболочка входа: /bin/bash
  Имя учётной записи: user1@BREST.LOCAL
  Псевдоним учётной записи: user1@BREST.LOCAL
  Адрес электронной почты: user1@brest.local
  UID: 497000011
  ID группы: 497000011
  Минимальный уровень конфиденциальности: 0
  Максимальный уровень конфиденциальности: 0
  Пароль: False
  Участник групп: ipausers
  Доступные ключи Kerberos: False
  Имя группы: brestusers
  Описание: Group for BREST
  ID группы: 497000001
  Пользователи-участники: fnbrest, newgroup, user1
  Участник групп: kvm, libvirt, libvirt-qemu
-----------------------------------
Количество добавленных участников 1
-----------------------------------
Добавляется пользователь «user1» в группу «astra-console» ...
Добавление пользователя user1 в группу astra-console
Готово.
Добавляется пользователь «user1» в группу «users» ...
Добавление пользователя user1 в группу users
Готово.
Добавляется пользователь «user1» в группу «disk» ...
Добавление пользователя user1 в группу disk
Готово.
Добавляется пользователь «user1» в группу «video» ...
Добавление пользователя user1 в группу video
Готово.
SASL/GSSAPI authentication started
SASL username: admin@BREST.LOCAL
SASL SSF: 256
SASL data security layer installed.
modifying entry "uid=user1,cn=users,cn=accounts,dc=brest,dc=local"

modifying entry "uid=user1,cn=users,cn=accounts,dc=brest,dc=local"

ID: 4
CODE

Администратор группы

Для управления пользователями и квотами групп можно использовать роль Администратор группы. Пользователь с такой ролью может быть назначен при создании группы или выбран из уже существующих пользователей в настройках группы. Администратор группы это пользователь с расширенными полномочиями по созданию ресурсов в ПК СВ и подготовке шаблонов для пользователей с облачным вариантом веб-интерфейса.

На текущий момент момент Администратор группы может создавать пользователей внутри вверенной ему группы, но их функционирование будет возможно только в сервисном режиме, так как для дискреционного режима данный пользователь не имеет необходимых полномочий в КД FreeIPA. То есть пользователь будет создан, но доступа к ПК СВ у него не будет, так как не будет назначена необходимая группа у созданного пользователя в контроллере домена.

Данная настройка не рекомендуется.

Если для пользователя с ролью Администратор группы необходимо добавить возможность создания пользователей и их входа в ПК СВ, необходимо в контроллере домена FreeIPA добавить данных пользователей в группу Admins. 

Настройка группы пользователей

У всех пользователей есть пересечение в общей группе brestusers. Чтобы избежать возможных ошибок с переносом или созданием ВМ под данной группой необходимо скорректировать квоты группы до нуля:

  1. В веб-интерфейсе ПК СВ выбрать СистемаГруппы и выбрать группу brestusers;
  2. На открывшейся странице Группа выбрать вкладку Квоты и нажать кнопку Изменить:
    1. в полях ВМ и Системные диски нажать кнопку Редактировать и выставить значение 0;
    2. нажать кнопку Применить:
  1. В веб-интерфейсе ПК СВ выбрать СистемаПользователи.
  2. На открывшейся странице Пользователи отметить чекбоксы для пользователей которые будут добавлены в новую группу, нажать на кнопку Группа и из выпадающего списка выбрать пункт Изменить основную группу:

  3. На открывшейся странице Изменить основную группу выбрать новую группу и нажать кнопку OK:

  4. В веб-интерфейсе ПК СВ выбрать СистемаГруппы и выбрать созданную группу.
  5. На открывшейся странице Группа перейти на вкладку Пользователи:
    1. нажать кнопку Редактировать администраторов;
    2. выбрать из списка пользователей администратора;
    3. нажать кнопку Применить:

На странице Группа в списке пользователей администратор будет отмечен звездочкой:

Общая группа по умолчанию brestusers

Группа brestusers в ПК СВ является необходимой группой по умолчанию для всех создаваемых пользователей. Это приводит к проблеме разделения полномочий в ПК СВ при созданий дополнительных групп (тенантов). Для решения данной проблемы необходимо выполнить перенастройку прав доступа к ресурсам ПК СВ:

Удаление группы brestusers из доступных групп пользователя невозможно, так как эта группа является минимально необходимой для функционирования пользователя в ПК СВ.

  1. В меню слева в веб-интерфейсе ПК СВ в разделе Система выбрать Списки контроля:

  2. Выделить все записи для группы brestusers и нажать на кнопку Удалить.

Для того, чтобы создать необходимые правила для группы brestusers необходимо:

Если действие или ресурс в ПК СВ не отмечены как доступные или разрешенные, они по умолчанию запрещены.

  1. На странице Списки контроля нажать на кнопку +;
  2. На открывшейстя странице Создать правило контроля выбрать необходимые параметры для следующих областей:

    1. Область применения:
      • Все — применимо для всех пользователей;
      • Пользователь — применимо для определенного пользователя;
      • Группа — применимо для определенной группы пользователей;
    2. Затрагиваемые ресурсы — выделить чекбоксы соответствующих ресурсов на которые будут распространяться выбранные правила;
    3. Подмножество ресурсов:
      • Все — применимо для всех ресурсов, выбранных в области Затрагиваемые ресурсы;
      • ID — применимо для ресурса с определенным идентификатором;
      • Группа — применимо для ресурсов указанной группы;
      • Кластер — применимо для ресурсов указанного кластера;
    4. Разрешенные действия:
      • Пользование;
      • Управление;
      • Администрирование;
      • Создать.

Назначение нескольких групп пользователю

Если назначить пользователю более одной группы при работе с интерфейсом ПК СВ, будет отображаться вся информация, доступная пользователю и назначенных ему групп, в данном случае используются разрешения для группы по-умолчанию. В таком случае будет присвоен режим работы интерфейса Все:

Если указать одну из доступных пользователю групп, интерфейс ПК СВ будет отображать только ресурсы доступные пользователю в рамках данной группы, при этом будут использоваться разрешения для выбранной группы.