作者：田逸（sery@163.com）

?

Proxmox超融合私有云交付以后，存在一些有風險的操作，如果把控制權完全交給經驗不夠的人，很可能造成不可預料的后果。比如修改節點主機名導致集群崩潰、對ceph ODS不當操作導致ceph故障…。為了保證超融合的安全穩定，有必要對不同的用戶進行有效授權。

?

Proxmox的權限，涉及到數據中心及虛擬機（沒有針對物理節點的相關權限）。幾個地方的權限，要配合使用，方能有效。從權限的分布來看，沒有什么規律，希望開發方能進一步改進。

?

數據中心層面的權限菜單包括：用戶、群組、資源池、角色及身份驗證，其中常用的有前邊四項，身份驗證用得不頻繁。

虛擬機或者存儲，僅有“權限”一個菜單項，添加用戶或者組的操作在此完成。

?

◎場景設計

Proxmox超融合私有云建立起以后，不要對普通用戶授予下列權限：

2? 系統登錄的權限。即不能直接登錄宿主機的debian系統，用命令行操作相關指令或者運行shell腳本。

2? 不能在web管理界面對“數據中心”的大部分菜單進行操作。

2? 不能在web管理界面對“物理節點（宿主機）“所屬菜單進行操作。

?

對這些權限做限制以后，普通用戶能操作的對象，其實就只剩虛擬機、存儲。這些受限制的用戶，能進行的操作，也僅僅是web管理界面。雖然權力受限，但絲毫不會影響到正常的使用，而且把這個云平臺的風險降低到最小。

?

◎某個實際案例

?

前幾天，剛部署完一套五節點的proxmox超融合私有云集群，并把管理權限移交給開發人員。考慮到開發人員沒有系統管理方面的經驗，時不時我會登錄上去看看。我看見上面已經創建了虛擬機，并且給虛擬機安裝了操作系統。但仔細檢查，發現技術人員在創建時，并沒有很好的利用資源，虛擬機的磁盤使用的是本地存儲，而不是建立在高可用存儲ceph之上。

?

為保證系統的穩定性，使開發人員專注于本職工作，我聯系了決策人，希望我來幫他們負責proxmox超融合私有云底層，其它技術人員使用資源就好。

?

本來是想授權給某人，能創建虛擬機，并對虛擬機進行管理。但我折騰了一整天，還沒有實驗出結果。于是，就先這樣授權操作：我先給他們創建好虛擬機，由他們自己去管理虛擬機，包括安裝虛擬機操作系統。

?

◎授權過程及具體操作

?

?? 創建群組：此為可選項，此為方便多人對同一授權對象進行管理。

1.?????? Proxmox web管理界面，找到相關操作菜單，點擊創建。

2.?????? 填寫一個容易辨識的群組名稱，備注可填可不填。

?

?? 創建用戶：創建是必須的，而且是授權的前提條件。

1、 Proxmox web管理界面，找到相關操作菜單，點“添加”按鈕。

2、 添加用戶的界面填寫用戶名，領域選擇pve 驗證服務器。如果選pam，則需要登錄宿主機系統，創建系統賬號…

3、 給創建好的用戶設置密碼。為安全起見，強烈建議設置復雜密碼。

?

?? 虛擬機授權

1、 Proxmox web管理界面，選擇創建好的虛擬機，菜單項選擇“權限”，再點擊“添加”。

2、 添加可選“用戶”，也可以選“用戶組”。

3、 選中欲授權的用戶或者組（必須先創建）。

4、 角色從下拉列表選“PVEAdmin”，讀者也可以嘗試選擇其他項。還可以自建角色，對各種權利進行組合，以滿足實際需求（操作在數據中心級的“角色”菜單）。

?

?? 交付使用

?

2? 以上面步驟創建好的用戶名登錄proxmox超融合私有云集群，驗證方法為PVE（默認是Linux PAM）。

?

2? 登錄到proxmox管理界面以后，可試著去創建一個虛擬機（故意越權）。因為授權的原因，不能實現此愿望。但對授權虛擬機進行操作系統安裝、克隆、遷移、虛擬機安裝操作系統、修改虛擬機配置等等操作，是能夠正常進行的。這也與我們的設計相符合，達到預期目標。

更多關于proxmox超融合高可用私有云內容，請移步個人專欄“人人都能玩的超融合私有云”，猛戳此處直達目標！！！

總結

以上是生活随笔為你收集整理的proxmox超融合集群用户授权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。