NSX 使用现有角色,并引入了一些新角色以支持多租户。
以下是多租户环境中使用的一些角色:
- 有权访问
/空间的角色,从而允许他们访问/infra和/org下的所有配置:- 企业管理员:提供商管理员负责准备基础架构,并且是能够访问项目内部和外部配置的超级用户。
- 审核员:此角色的用户对系统设置和配置具有只读访问权限,但具有对故障排除工具的完全访问权限。
- NSX 4.0.1.1 中为多租户引入的角色,仅有权访问
/orgs下的配置:- 组织管理员(技术预览版版;不适用于生产部署):组织管理员角色当前在技术预览模式下提供,可用来管理组织内的项目。但是,此角色无权访问创建项目所需的
/infra对象。需使用企业管理员角色创建项目。 - 项目管理员:项目管理员管理项目,并且对该项目中的配置具有完全访问权限。
- 组织管理员(技术预览版版;不适用于生产部署):组织管理员角色当前在技术预览模式下提供,可用来管理组织内的项目。但是,此角色无权访问创建项目所需的
可通过进行以下 API 调用来分配项目管理员角色:
POST /policy/api/v1/aaa/role-bindings/示例请求:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/正文:
{
“name”: “[email protected]”,
“type”: “remote_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“identity_source_type”: “LDAP”,
“read_roles_for_paths”: true
}
您还可以通过提供项目路径,将以下现有角色分配给特定项目:
- 网络管理员:网络管理员角色在分配给项目路径后,可在该项目级别管理网络和服务。
- 网络操作员:具有此角色的用户在分配给项目路径后,将在该项目级别对网络配置具有只读访问权限。
- 安全管理员:安全管理员角色在分配给项目路径后,可在该项目级别管理安全策略。
- 安全操作员:具有此角色的用户在分配给项目路径后,将在该项目级别对安全配置具有只读访问权限。
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>正文:
{
“name”: “[email protected]”,
“type”: “local_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“read_roles_for_paths”: true
}
为确保仅为本地用户分配项目管理员角色,请删除审核员角色。
DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
身份验证
NSX 多租户支持在多种类型的标识源上配置的用户。以下是支持的标识源类型及其配置参数:
- 本地用户(admin、audit、guestuser1、guestuser2)
“type”: “local_user”,
- vIDM (VMware Identity Manager)
“type”: “remote_user”, “identity_source_type”: “VIDM”,
- LDAP(轻型目录访问协议)
“type”: “remote_user”, “identity_source_type”: “LDAP”,
- 主体身份(通过证书或 JWT 令牌)
只能使用主体身份 API 分配角色。
