NSX 會使用現有角色,並推出一些新角色,以支援多承租人。
以下是多承租人環境中使用的一些角色:
- 有權存取
/空間的角色,從而允許他們存取/infra和/org下的所有組態:- 企業管理員:提供者管理員負責準備基礎結構,並且是能夠存取專案內部和外部組態的超級使用者。
- 稽核員:具備此角色的使用者對系統設定和組態具有唯讀存取權,但對於疑難排解工具,則具有完整存取權。
- 以下是 NSX 4.0.1.1 中針對多承租人所推出的角色,這些角色僅對
/orgs下的組態具備存取權:- 組織管理員 (技術預覽;不適用於生產部署):組織管理員角色目前在技術預覽模式下提供,可用來管理組織內的專案。但是,此角色無權存取建立專案所需的
/infra物件。需使用企業管理員角色來建立專案。 - 專案管理員:專案管理員可管理專案,且對該專案中的組態具有完整存取權。
- 組織管理員 (技術預覽;不適用於生產部署):組織管理員角色目前在技術預覽模式下提供,可用來管理組織內的專案。但是,此角色無權存取建立專案所需的
可藉由發出以下 API 呼叫,來指派專案管理員角色:
POST /policy/api/v1/aaa/role-bindings/範例要求:
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/本文:
{
“name”: “[email protected]”,
“type”: “remote_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“identity_source_type”: “LDAP”,
“read_roles_for_paths”: true
}
您還可以提供專案路徑,將以下的現有角色指派給特定專案:
- 網路管理員:網路管理員角色在指派給專案路徑後,可在該專案層級管理網路和服務。
- 網路營運人員:具有此角色的使用者在指派給專案路徑後,可在該專案層級對網路組態具備唯讀存取權。
- 安全管理員:安全管理員角色在指派給專案路徑後,可在該專案層級管理安全原則。
- 安全營運人員:具有此角色的使用者在指派給項目路徑後,可在該專案層級對安全性組態具備唯讀存取權。
URL:
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>本文:
{
“name”: “[email protected]”,
“type”: “local_user”,
“roles_for_paths”: [
{
“path”: “/orgs/default/projects/project-1”,
“roles”: [
{
“role”: “project_admin”
}
]
}
],
“resource_type”: “RoleBinding”,
“read_roles_for_paths”: true
}
為確保僅為本機使用者指派專案管理員角色,請刪除稽核員角色。
DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
驗證
NSX 多承租人支援在多種類型的身分識別來源上所設定的使用者。以下是支援的身分識別來源類型及其組態參數:
- 本機使用者 (admin、audit、guestuser1、guestuser2)
“type”: “local_user”,
- vIDM (VMware Identity Manager)
“type”: “remote_user”, “identity_source_type”: “VIDM”,
- LDAP (輕量型目錄存取通訊協定)
“type”: “remote_user”, “identity_source_type”: “LDAP”,
- 主體身分識別 (透過憑證或 JWT Token)
只能使用主體身分識別 API 來指派角色。
