要部署并管理 NSX Data Center for vSphere,需要具有某些 vCenter 权限。NSX Data Center for vSphere 为各种用户和角色提供了广泛的读取权限和读/写权限。
包括角色和权限的功能列表
注:
- 在 NSX 6.4.2 及更高版本中可以使用安全工程师和网络工程师角色。
- 在 NSX 6.4.5 及更高版本中可以使用安全和角色管理员角色。
| 功能 | 说明 | 角色 | ||||||
|---|---|---|---|---|---|---|---|---|
| 审核员 | 安全管理员 | 安全工程师 | NSX 管理员 | 网络工程师 | 安全和角色管理员 | 企业管理员 | ||
| 管理员 (Administrator) | ||||||||
| 配置 | NSX 的 vCenter 和 SSO 配置 | 读 | 读 | 读 | 读 | 读 | 读 | 读、写 |
| 更新 | 无权访问 | 无权访问 | 无权访问 | 读、写 | 读、写 | 无权访问 | 读、写 | |
| 系统事件 | 系统事件 | 读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| 审核日志 | 审核日志 | 读 | 读 | 读 | 读 | 读 | 读 | 读 |
| 调试 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | |
| 清除任务 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| 禁用基本身份验证 | 读 | 读 | 读 | 读 | 读 | 读 | 读、写 | |
| 用户帐户管理 (URM) (User Account Management (URM)) | ||||||||
| 用户帐户管理 | 用户管理 | 读 |
无权访问 | 无权访问 | 读 | 读 | 读、写 | 读、写 |
| 对象访问控制 | 无权访问 | 无权访问 | 无权访问 | 读 | 读 | 读 | 读 | |
| 功能访问控制 | 无权访问 | 无权访问 | 无权访问 | 读 | 读 | 读 | 读 | |
| Edge | ||||||||
| 系统 | 系统指的是常规系统参数 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 高级服务 | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 | |
| 设备 | NSX Edge 的不同规格大小(精简/中型/超大型/大型) | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 高可用性 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| 虚拟网卡 | NSX Edge 上的接口配置 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| DNS | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 | |
| SSH | NSX Edge 上的 SSH 配置 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 自动检测 | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 | |
| 统计信息 | 读 | 读 | 读 | 读 | 读 | 读 | 读、写 | |
| NAT | NSX Edge 上的 NAT 配置 | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 |
| DHCP | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 | |
| 负载平衡 | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 | |
| L3 VPN | L3 VPN | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 |
| VPN | L2 VPN、SSL VPN | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 |
| Syslog | NSX Edge 上的 Syslog 配置 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 支持包 | 读(下载权限) | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | |
| 路由 | NSX Edge 上的所有静态和动态路由 (BGP/OSPF) | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 |
| 防火墙 | NSX Edge 上的防火墙配置 | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 |
| 桥接 | 读 | 读、写 | 读 | 读 | 读、写 | 读 | 读、写 | |
| 证书 | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 | |
| 系统控制 | 系统控制指的是系统内核参数,例如,最大限制、IP 转发、网络连接和系统设置。例如: ysctl.net.ipv4.conf.vNic_1.rp_filter sysctl.net.netfilter.nf_conntrack_tcp_timeout_established |
读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| 分布式防火墙 (Distributed Firewall) | ||||||||
| 防火墙配置 |
|
读 | 读、写 | 读、写 | 读、写 | 无权访问 | 读、写 | 读、写 |
| 流量 | 流量监控用于监控系统中的流量。也可以监控实时流量 | 读 | 读、写 | 读、写 | 无权访问 | 读、写 | 读、写 | 读、写 |
| IPFix 配置 | IPFix 启用/禁用和分配收集器 | 读 | 读、写 | 读、写 | 无权访问 | 读、写 | 读、写 | 读、写 |
| 强制同步 | 强制同步从安装和升级 > 主机准备 (Installation and Upgrade > Host Preparation)页面执行完全同步 | 读 | 读 | 读、写 | 读、写 | 无权访问 | 读、写 | 读、写 |
| 安装 DFW(主机准备) | 在群集上安装 VIBS | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 已保存的配置(草稿) | 每次发布都会自动将现有 DFW 配置保存为草稿 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| 排除列表 | 将虚拟机添加到不受 DFW 保护的排除列表或将其从排除列表中移除 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| DFW 技术支持 | 从主机收集 DFW 技术支持包(仅限 NSX 配置 shell) | 无权访问 | 读、写 | 读、写 | 读、写 | 无权访问 | 读、写 | 读、写 |
| DFW 会话定时器 | 配置 TCP/UDP/其他协议连接超时配置 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| IP 发现(DHCP/ARP 侦听) | 当 VMware Tools 未在客户机虚拟机上运行时,执行 IP 发现 | 读 | 读、写 | 读、写 | 读 | 无权访问 | 读、写 | 读、写 |
| 应用程序规则管理器 | 为一组选定的应用程序收集流量。然后,根据收集的流量创建防火墙规则。 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| app.syslog | 读 | 读 | 无权访问 | 读、写 | 无权访问 | 无权访问 | 读、写 | |
| 数据包捕获 | 读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | |
| 命名空间 (NameSpace) | ||||||||
| 配置 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| SpoofGuard | ||||||||
| 配置 | TOFU 或手动模式中的 SpoofGuard 发布 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| 端点安全 (EPSEC) (Endpoint Security (EPSEC)) | ||||||||
| 报告 | 读 | 读 | 读 | 读、写 | 读 | 读 | 读、写 | |
| 注册 | 管理 [注册、取消注册、查询已注册解决方案、激活] 解决方案 | 读 | 无权访问 | 无权访问 | 读、写 | 读、写 | 无权访问 | 读、写 |
| 运行状况监控 | 检索连接到 NSX Manager 的虚拟机、SVM 的运行状况 | 无权访问 | 读 | 读 | 读 | 读 | 读 | 读 |
| 策略 | 管理安全策略 [创建、读取、更新、删除] | 读 | 读、写 | 读、写 | 读、写 | 读 | 读、写 | 读、写 |
| 扫描计划 | 读 | 无权访问 | 读、写 | 读、写 | 读 | 读、写 | 读、写 | |
| 库 (Library) | ||||||||
| 主机准备 | 群集上的主机准备操作 | 无权访问 | 无权访问 | 无权访问 | 读、写 | 读、写 | 无权访问 | 读、写 |
| 分组 | IP 集、MAC 集、安全组、服务、服务组 | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 |
| 标记 | 安全标记(例如,附加或分离虚拟机) | 读 | 读、写 | 读、写 | 读 | 读 | 读、写 | 读、写 |
| 安装 (Install) | ||||||||
| 应用程序 | 无权访问 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| EPSEC | 无权访问 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| DLP | 无权访问 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| VDN | ||||||||
| 配置 NSM | 配置网络安全管理器 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 置备 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | |
| ESX Agent Manager (EAM) | ||||||||
| 安装 | ESX Agent Manager | 无权访问 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 服务插入 (Service Insertion) | ||||||||
| 服务 | 读 | 读、写 | 读、写 | 读、写 | 读 | 读、写 | 读、写 | |
| 服务配置文件 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 | 读、写 | |
| 信任存储 (Trust Store) | ||||||||
| trustentity_management | NSX 证书管理 | 读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| IP 地址管理 (IPAM) (IP Address Management (IPAM)) | ||||||||
| 配置 | 配置 IP 池 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| IP 分配 | IP 分配和释放 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 安全结构层 (Security Fabric) | ||||||||
| 部署 | 使用服务部署 (Service Deployment)页面在群集上部署服务或安全虚拟机 | 读 | 读 | 读 | 读、写 | 读 | 读 | 读、写 |
| 警报 | 从服务部署 (Service Deployment)页面,管理由安全虚拟机生成的警报 | 读 | 读、写 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 代理运行状况 | 通过 REST 调用管理主要由合作伙伴虚拟机使用的代理运行状况警报 | 读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| 消息传递 (Messaging) | ||||||||
| 消息传递 | NSX Edge 和 Guest Introspection 用来与 NSX Manager 进行通信的消息传递框架 | 读 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| 复制程序(具有辅助 NSX Manager 的多 vCenter 设置) (Replicator (Multi vCenter setup with secondary NSX Manager)) | ||||||||
| 配置 | 选择或取消选择 NSX Manager 的主要角色,以及添加或移除辅助 NSX Manager | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| blueprint_sam.featurelist | ||||||||
| blueprint_sam.ad_config | 用于 Active Directory 域配置 | 读 | 读 | 读 | 读、写 | 读、写 | 读 | 读、写 |
| 安全策略 (Security Policy) | ||||||||
| 配置 | 配置安全策略以创建、更新、编辑或删除 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| 安全组绑定 | 将安全组与安全策略相关联 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 |
| 应用策略 | 读 | 读、写 | 读、写 | 无权访问 | 无权访问 | 读、写 | 读、写 | |
| 策略同步 | 与 DFW 同步安全策略 | 读 | 可以同步 | 可以同步 | 无权访问 | 无权访问 | 可以同步 | 读、写 |
| NSX 设备管理 (NSX Appliance Management)(在 NSX 6.4 及更高版本中) | ||||||||
| NSX 设备管理 | NSX 设备管理 | 读 | 读 | 读 | 读 | 读 | 读 | 读、写 |
| IP 存储库/IP 发现 (IP Repository/IP Discovery) | ||||||||
| 配置 | 读 | 读、写 | 读、写 | 读 | 无权访问 | 读、写 | 读、写 | |
| 仪表板 (Dashboard) | ||||||||
| 小组件配置 | 读 | 读、写 | 读 | 读、写 | 读 | 读 | 读、写 | |
| 系统配置 | 读 | 读、写 | 读 | 读、写 | 读 | 读 | 读、写 | |
| 升级协调器 (Upgrade Coordinator) | ||||||||
| 升级 | 无权访问 | 无权访问 | 读 | 读、写 | 读 | 读 | 读、写 | |
| 升级计划 | 读 | 读 | 读 | 读、写 | 读 | 读 | 读、写 | |
| 技术支持包 (Tech Support Bundle) | ||||||||
| 配置 | 端点 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 | 读、写 |
| 基于令牌的身份验证 (Token Based Authentication) | ||||||||
| 无效 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 无权访问 | 读、写 | |
| 操作 (Ops) | ||||||||
| 配置 | 读 | 读 | 读 | 读、写 | 读 | 读 | 读、写 | |
