Ab VMware Cloud Director 10.2 können Dienstanbieter die VMware Cloud Director-API verwenden, um Erweiterungen zu erstellen, die den Mandanten zusätzliche VMware Cloud Director-Funktionen bieten.

Dienstanbieter sind in der Lage, laufzeitdefinierte Entitäten (Runtime Defined Entities, RDEs) zu erstellen, wodurch Erweiterungen die erweiterungsspezifischen Informationen in VMware Cloud Director speichern und bearbeiten können. Beispielsweise kann eine Kubernetes-Erweiterung Informationen zu den Kubernetes-Clustern speichern, die sie in RDEs verwaltet. Die Erweiterung kann anschließend Erweiterungs-APIs für die Verwaltung dieser Cluster unter Verwendung der Informationen aus den RDEs bereitstellen.

Zugriff auf definierte Entitäten

Zwei ergänzende Mechanismen steuern den Zugriff auf RDEs.

  • Rechte: Wenn Sie einen RDE-Typ erstellen, erstellen Sie ein Rechtepaket für den Typ. Um Zugriff auf bestimmte Vorgänge zu ermöglichen, müssen Sie die Rechte aus diesem Paket anderen Rollen zuweisen. Jedes Paket verfügt über fünf typspezifische Rechte: Ansicht: TYPE, Bearbeiten: TYPE, Vollständige Kontrolle: TYPE, Administratoransicht: TYPE und Vollständige Kontrolle des Administrators: TYPE.

    Die Rechte Ansicht: TYPE, Bearbeiten: TYPE und Vollständige Kontrolle: TYPE funktionieren nur in Kombination mit einem ACL-Eintrag.

  • Zugriffssteuerungsliste (ACL): Die ACL-Tabelle enthält Einträge, die den Zugriff der Benutzer auf bestimmte Entitäten im System definieren. Sie bietet eine zusätzliche Kontrollebene für die Entitäten. Beispiel: Das Recht Bearbeiten: TYPE gibt an, dass ein Benutzer Entitäten ändern kann, auf die er Zugriff hat, und die ACL-Tabelle legt fest, auf welche Entitäten der Benutzer Zugriff hat.

    Systemadministratoren mit dem Recht Allgemeine ACL anzeigen können mithilfe der accessControls-API die ACLs anzeigen, die einer bestimmten definierten Entität zugewiesen wurden. Die VMware Cloud Director-API-Referenz finden Sie unter code.vmware.com.

    Systemadministratoren mit dem Recht Allgemeine ACL verwalten können bestimmte ACLs mithilfe der accessControls-API erstellen, ändern und entfernen.

Tabelle 1. Rechte und ACL-Einträge für RDE-Vorgänge
Vorgang für Entität Option Beschreibung
Lesen Recht Administratoransicht: TYPE Benutzer mit diesem Recht können alle RDEs dieses Typs in einer Organisation sehen.
Recht Ansicht: TYPE und ACL-Eintrag >= Ansicht Benutzer mit diesem Recht und einer ACL auf Leseebene können RDEs dieses Typs anzeigen.
Ändern Recht Vollständige Kontrolle des Administrators: TYPE Benutzer mit diesem Recht können RDEs dieses Typs in allen Organisationen erstellen, anzeigen, ändern und löschen.
Recht Bearbeiten: TYPE und ACL-Eintrag >= Ändern Benutzer mit diesem Recht und ACL auf Änderungsebene können RDEs dieses Typs erstellen, anzeigen und ändern.
Löschen Recht Vollständige Kontrolle des Administrators: TYPE Benutzer mit diesem Recht können RDEs dieses Typs in allen Organisationen erstellen, anzeigen, ändern und löschen.
Recht Vollständige Kontrolle: TYPE und ACL-Eintrag = Vollständige Kontrolle Benutzer mit diesem Recht und Zugriffssteuerungsliste mit vollständiger Kontrolle können RDEs dieses Typs erstellen, anzeigen, ändern und löschen.

Sie können die VMware Cloud Director-API oder -Benutzeroberfläche verwenden, um das Rechtepaket in allen Organisationen zu veröffentlichen, die die Entitäten dieses Typs verwalten sollen. Nachdem Sie das Rechtepaket veröffentlicht haben, besteht die Möglichkeit, den Rollen innerhalb der Organisation Rechte aus dem Paket zuzuweisen.

Mit der VMware Cloud Director-API können Sie die ACL-Tabelle bearbeiten.