Sergey Nivens - Fotolia

Wie funktioniert das Zuweisen von Zugriffsberechtigungen in vSphere?

vSphere verfügt über ein augeklügeltes System an Rollen und Berechtigungen. Wie funktioniert das Zuweisen von Zugriffsberechtigungen?

Der Zweck unterschiedlicher Rollen und Zugriffsrechte beim vSphere-Management liegt darin, unterschiedlichen IT-Teams entsprechend angepasste Kontrollmöglichkeiten virtueller Maschinen zu geben.

Eine Zugriffsberechtigung richtet sich also immer an einen Anwender oder eine Gruppe von Anwendern mit ganz bestimmten Aufgaben.

Diese Zugriffsberechtigung wird dann auf ein Objekt angewendet, etwa einen Datastore oder eine virtuelle Maschine.

Um die Funktionsweise von Rollen und Zugriffsrechten in vSphere zu verstehen, hilft der Blick auf ein Beispiel. Um also beispielsweise dem Netzwerkteam die Möglichkeit zu geben, eine virtuelle Maschine einer Port-Gruppe zuzuweisen, muss zunächst eine Rolle angelegt und dann dem Netzwerkteam zugewiesen werden.

Schritt 1: Eine vSphere-Rolle erstellen

Das Erstellen und Zuweisen von Rollen wird im vSphere Web Client erledigt. Hierzu wechselt man mit einem Klick auf das Haus-Symbol in der obersten Menüleiste auf die Startseite und klickt anschließend unter Administration auf Roles.

Die Homepage des vSphere Web Client.
Abbildung 1: Die Homepage des vSphere Web Client.

Um eine neue Rolle anzulegen, wird auf das grüne Plus-Symbol geklickt. Anschließend wird der neuen Rolle ein Name gegeben, in diesem Beispiel Connect_Network. Als nächstes müssen der Rolle entsprechende Zugriffsrechte zugewiesen werden.

Je nach Konfiguration des Zugriffssystems dürften hier mehrere Rechte notwendig werden, wir weisen allerdings lediglich unter Network das Recht Assign network zu. Mit einem Klick auf OK wird die neue Rolle eingerichtet.

Erstellen einer Rolle in vSphere.
Abbildung 2: Erstellen einer Rolle in vSphere.

Schritt 2: Einer Gruppe die Rolle zuweisen

Als nächstes wird in die Inventar-Ansicht gewechselt, in diesem Beispiel in die Networking-Ansicht. Um der Gruppe Admin_Network die Möglichkeit zu geben, virtuelle Maschinen mit jeder Port-Gruppe in dieser Testumgebung zu verbinden, klickt man zunächst auf das entsprechende Data Center und anschließend auf Add Permissions…

Zuweisen von Zugriffsberechtigungen für vSphere.
Abbildung 3: Zuweisen von Zugriffsberechtigungen für vSphere.

Im folgenden Dialogfenster klickt man zunächst auf die Schaltfläche Add unten rechts. Daraufhin wird ein weiteres Dialogfenster (Select Users/Group) angezeigt, in dem die Nutzer ausgewählt werden, denen die Berechtigung zugewiesen werden soll. In diesem Fall die Gruppe Admin_Network. Auch dieser Vorgang wird mit Add und anschließend OK bestätigt.

Auswählen eines Nutzer oder einer Gruppe.
Abbildung 4: Auswählen eines Nutzer oder einer Gruppe.

Zurück auf dem Bildschirm Add Permission wird über das Auswahlmenü im Bereich Assigned Role die vorher erstellte Rolle ausgewählt, also Connect_Network, und mit OK bestätigt.

Auswählen einer Rolle.
Abbildung 5: Auswählen einer Rolle.

Jetzt können alle Mitglieder der Gruppe Admin_Network in diesem Data Center virtuellen Maschinen Port-Gruppen zuweisen. Um sich die vSphere-Berechtigungen aller Anwender anzeigen zu lassen, kann über den Reiter Manage auf den Reiter Permissions gewechselt werden. Die jeweils neueste hinzugefügte Berechtigung wird ganz oben aufgeführt, gefolgt von den weiteren Zugriffsberechtigungen.

Ansicht der Zugriffsberechtigungen im Permission-Reiter.
Abbildung 6: Ansicht der Zugriffsberechtigungen im Permission-Reiter.

Das Anlegen und Vergeben von vSphere-Berechtigungen ist allerdings etwas kompliziert. Damit das Team Admin_Network virtuelle Maschinen auch tatsächlich ändern und ihnen Port-Gruppen zuweisen kann, muss dem Team auch die Berechtigung Virtual Machine Settings zugewiesen werden.

Zuweisen der Berechtigung Virtual Machine Setting an das Team Admin_Network.
Abbildung 7: Zuweisen der Berechtigung Virtual Machine Setting an das Team Admin_Network.

Mit diesem beispielhaft durchgeführten Verfahren zum Erstellen und Zuweisen von Zugriffsberechtigungen und Rollen in vSphere lassen sich natürlich viele weitere, auch komplexere Anwendungsfälle abdecken. Letztlich geht es immer darum, zunächst die Rollen zu erstellen, die benötigt werden, und sie anschließend den jeweiligen Anwendergruppen und Objekten zuzuweisen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Containervirtualisierung

ComputerWeekly.de
Close