AccentOS RBAC Системы централизованного управления¶
Системы централизованного управления средствами виртуализации, такие как oVirt, PVE, OpenNebula реализуют функции централизованного управления средствами виртуализации для только одной среды.
Принципиальное различие между средой виртуализации и облачной платформой, самым популярным представителем которой является OpenStack, заключается в том, что она умеет выполнять сегментацию между средами виртуализации и одновременное управление всеми сегментами. Система централизованного управления средствами виртуализации AccentOS реализует облачную архитектуру и модули OpenStack, существенно расширяя ее функционал.
Реализация одновременного централизованного управления средствами виртуализации во многих изолированных средах осуществляется за счет сегментации средств систем виртуализации:
- оборудования сетей передачи данных, использующих, аппаратную и программную реализацию разделения сетей на уровнях L2, L3, используя одно и тоже сетевое оборудование;
- оборудования систем хранения данных, использующих, аппаратную и программную реализацию разделения хранимой информации и раздельного подключения с помощью SAN-коммутаторов, Infiniband-коммутаторов, iSCSI-коммутаторов и специализированных адаптеров FibreChannel, Infiniband, SAS, сетевых протоколов FCoE, iSCSI, используя одно и тоже оборудование хранения;
- программного обеспечения СУВ AccentOS, осуществляющего сегментирование средств виртуализации и разделение централизованных систем управления виртуализации для каждого сегмента в рамках одной информационной системы.
Соответственно, в отличие от классических систем централизованного управления средствами виртуализации в AccentOS возникает понятие «домен», который является аналогом среды виртуализации.
С точки зрения ролевого доступа для управления доменами возникает дополнительная роль «администратор домена», который осуществляет управление сегментом AccentOS.
Сегментом Системы является часть системы AccentOS, которая предоставляется администратором Системы администратору домена в управление. Сегмент может включать собственные физические серверы, зоны доступности, собственных пользователей, иметь ограничения в виде квот на ресурсы.
Для сегмента целесообразно выделение собственной сети виртуальных машин на базе технологии VLAN или IP Fabric, что делает сегменты полностью изолированными друг от друга, сохраняя при этом общую систему управления.
Система AccentOS реализует ролевой метод управления доступом, обеспечивающий разграничение функциональных возможностей и полномочий пользователей (ролей), администраторов и лиц, отвечающих за функционирование информационной системы:
- администратор проекта;
- администратор безопасности Системы;
- администратор Системы;
- администратор Домена (сегмента Системы);
- администратор виртуальной машины.
Средствами разграничения доступа обеспечивается возможность определения полномочий для пользователей средства виртуализации в пределах назначенных им ролей:
Администратор системы имеет следующие права:
- создавать учетные записи администратора домена, администратора проекта, администратора безопасности системы;
- управлять учетными записями системы;
- назначать права доступа администраторов к проектам и виртуальным машинам;
- управлять физическим оборудованием - серверами, коммутаторами, СХД через дополнительное ПО;
- управлять хостовыми операционными системами и гипервизорами;
- добавлять и удалять узлы, сети, СХД в систему;
- управлять ПО мониторинга, доступа, журналирования и резервного копирования;
- создавать и удалять шаблоны виртуального оборудования виртуальных машин;
- изменять шаблоны конфигурации виртуального оборудования средства виртуализации;
- создавать образы виртуальных машин в хранилище Glance;
- управлять доступом виртуальных машин к физическому и виртуальному оборудованию;
- управлять квотами доступа виртуальных машин к физическому и виртуальному оборудованию;
- управлять перемещением виртуальных машин;
- удалять виртуальные машины;
- запускать и останавливать виртуальные машины;
- создавать снимки состояния виртуальных машин, включающих файл конфигурации виртуальной машины, образа виртуальной машины и образа памяти виртуальной машины.
Администратор домена имеет права, аналогичные Администратору Системы по отношению к сегменту Системы, т.е. имеет ограничения по зоне доступности, квотам. Домен является выделенной сущностью и может иметь имена пользователей независимо от имен в других доменах.
Администратор домена не имеет никаких прав вне домена.
Администратор проекта имеет права в рамках проекта, т.е. имеет ограничения по квотам, шаблонам ВМ, образам ВМ, доступу к физическому оборудованию ВМ, функционалу системы. Проект является выделенной сущностью и может иметь имена пользователей независимо от имен в других проектах.
Администратор проекта имеет следующие права в рамках своего проекта:
- создавать виртуальные машины в рамках созданного администратором проекта;
- формировать список действий по инициализации виртуальных машин;
- запускать/останавливать/ставить на паузу виртуальные машины;
- изменять конфигурации виртуальных машин, в рамках созданного администратором проекта;
- удалять виртуальные машины в рамках созданного администратором проекта;
- создавать пользователей в проекте - администраторов проекта и администраторов виртуальных машин;
- создавать правила маршрутизации в рамках проекта;
- создавать задания планировщику событий в рамках своего проекта.
Администратор проекта не имеет никаких прав вне проекта.
Администратор виртуальной машины имеет следующие права:
- осуществлять доступ к виртуальной машине посредством интерфейса средства виртуализации.
Администратор безопасности средства виртуализации имеет следующие права:
- читать журнал событий безопасности средства виртуализации;
- формировать отчеты, с учетом заданных критериев отбора;
- осуществлять выгрузку (экспорт) данных из журнала событий безопасности средства виртуализации.
Определение и изменение ролевой модели пользователей (администраторов) реализуется с помощью функционала Keystone или совместно Keystone и внешней службы идентификации и аутентификации, который реализует следующие возможности, приведенные в таблице.
| Функции | Права, доступные роли | Администратор | Администратор домена | Разработчик проекта ВМ | Администратор хост ОС ВМ | Администратор ИБ (чтение) |
|---|---|---|---|---|---|---|
| Границы управления объектами | Система | Домен | Проект | ВМ | Субъекты объекты события | |
| Типы управляемых объектов | Физические логические | Физические логические | Логические | Логические | Информационные | |
| Система централизованного управления средствами виртуализации | ||||||
| Создавать учетные записи пользователей Системы. Управлять учетными записями пользователей | Назначение прав на Систему | ✖ |
- |
- |
- |
✖ |
| Сегментация облака на Домены | ✖ |
- |
- |
- |
✖ |
|
| Создавать учетные записи пользователей Системы. Управлять учетными записями пользователей | Назначение прав на Домен | ✖ |
- |
- |
- |
✖ |
| Создавать и удалять виртуальное оборудование средства виртуализации. Управлять доступом ВМ к физическому и виртуальному оборудованию | Управление CPU, RAM, GPU | ✖ |
✖ |
- |
- |
✖ |
| Создавать и удалять виртуальное оборудование средства виртуализации. Управлять доступом ВМ к физическому и виртуальному оборудованию | Управление хранением лок. HDD, NFS, LUNs, S3 | ✖ |
✖ |
- |
- |
✖ |
| Создавать и удалять виртуальное оборудование средства виртуализации. Управлять доступом ВМ к физическому и виртуальному оборудованию | Управление сетью физич. хостов | ✖ |
✖ |
- |
- |
✖ |
| Создавать и удалять виртуальное оборудование средства виртуализации. Управлять доступом ВМ к физическому и виртуальному оборудованию | Управление вирт. сетями | ✖ |
✖ |
- |
- |
✖ |
| Создавать и удалять виртуальное оборудование средства виртуализации. Управлять доступом ВМ к физическому и виртуальному оборудованию | Управление вирт. маршрутизаторами Системы | ✖ |
✖ |
- |
- |
✖ |
| Управлять перемещением ВМ. Создавать снимки состояния ВМ, включающих файл конфигурации, образа ВМ и образа памяти ВМ. Удалять ВМ. Создавать ВМ. Изменять конфигурации ВМ. Запускать и останавливать ВМ | Манипулирование ВМ на уровне Системы | ✖ |
✖ |
- |
- |
✖ |
| Изменять шаблоны конфигураций ВМ | Создание образов ВМ | ✖ |
✖ |
- |
- |
✖ |
| Изменять шаблоны конфигураций ВМ | Создание, изменение шаблонов конфигураций ВМ | ✖ |
✖ |
- |
- |
✖ |
| Создание Проектов | ✖ |
✖ |
- |
- |
✖ |
|
| Создавать учетные записи пользователей Системы. Управлять учетными записями пользователей Системы | Назначение прав Разработчика Проекта ВМ | ✖ |
✖ |
- |
- |
✖ |
| Управлять квотами доступа ВМ к физическому и виртуальному оборудованию | Управление квотами vCPU, vRAM, vGPU Проекта | ✖ |
✖ |
- |
- |
✖ |
| Управлять квотами доступа ВМ к физическому и виртуальному оборудованию | Управление квотами хранения Проекта | ✖ |
✖ |
- |
- |
✖ |
| Управлять квотами доступа ВМ к физическому и виртуальному оборудованию | Управление сетевыми квотами Проекта | ✖ |
✖ |
- |
- |
✖ |
| Иметь доступ на чтение к журналу событий безопасности Системы | Доступ к журналам | ✖ |
✖ |
- |
- |
✖ |
| Формировать отчеты с учетом заданных критериев отбора, выгрузку (экспорт) данных из журналов событий безопасности Системы | Формирование отчетов | ✖ |
✖ |
- |
- |
✖ |
| Проект | ||||||
| Назначать права доступа к проекту | Назначение прав на проект | − |
− |
✖ |
- |
− |
| Назначать права доступа пользователям к ВМ | Назначение прав на ВМ | − |
− |
✖ |
- |
− |
| Управление маршрутизацией в проекте | Управление запланированными действиями Проекта | − |
− |
✖ |
- |
− |
| Управление планировщиком в проекте | Назначение прав на проект | − |
− |
✖ |
- |
− |
| Создавать ВМ. Изменять конфигурации ВМ (из набора шаблонов конфигураций) | Создание ВМ | − |
− |
✖ |
- |
− |
| Удалять ВМ. Запускать и останавливать ВМ | Управление ВМ | − |
− |
✖ |
- |
− |
| Хостовая ОС | ||||||
| Назначать права пользователям к гост. ОС ВМ | Назначение прав гост. ОС | − |
− |
− |
✖ |
− |
| Предоставлять доступ пользователя средства виртуализации к ВМ посредством интерфейса средства виртуализации | Управление гост. ОС | − |
− |
− |
✖ |
− |
где:
✖- Требования Приказа 187+- Реализация дополнительных прав-- Отсутствие функции для данной роли−- Может быть предоставлено при необходимости