示例:确定最符合的 HPE OneView 角色

公司 IT 服务器管理员、网络管理员和存储管理员职能与具有类似名称的 HPE OneView 角色定义的权限很相符。公司 IT 高级技术专家具有设备的完全访问权限。分配给公司 IT 管理员的访问权限不受作用域限制。

将为公司 IT 用户授予以下权限:
部门 功能 权限角色 权限作用域
公司 IT 高级技术专家 基础架构管理员 所有资源
公司 IT 服务器管理员 服务器管理员 所有资源
公司 IT 网络管理员 网络管理员 所有资源
公司 IT 存储器管理员 存储管理员 所有资源

虚拟机云 IT 管理员具有管理 HPE OneView 资源的经验。与公司 IT 一样,虚拟机云 IT 服务器管理员和网络管理员职能与具有类似名称的 HPE OneView 角色定义的权限很相符。分配给云 IT 管理员的权限限制为分配给虚拟机云的资源。

公司 IT 确定了一些额外的注意事项:
  • 数据中心、机架、输电装置和未管理的装置不受作用域限制。服务器管理员角色为每个以上资源类别授予创建读取更新删除权限。对于该试验项目,HPE OneView 不管理输电装置和未管理的装置。数据中心和机架资源更改被视为较小的影响。公司 IT 与虚拟机云 IT 管理人员讨论了该问题。他们同意负责确保其用户不会修改数据中心或机架资源。
  • SAN 管理器、SAN 和存储系统被视为共享资源,并由公司 IT 单独进行管理。不能为虚拟机云 IT 用户授予存储管理员权限。
  • 仅允许虚拟机云 IT 管理员使用公司 IT 创建的卷模板创建卷。可以使用作用域实施该要求。在创建卷时,用户必须选择一个卷模板或存储池。由于虚拟机云 IT 权限受作用域限制,因此,使用检查仅允许选择虚拟机云作用域中的卷模板和存储池。仅将批准的卷模板放在虚拟机云作用域中。不会将任何存储池分配给虚拟机云作用域。

将为虚拟机云 IT 用户授予以下权限:
部门 功能 权限角色 权限作用域
虚拟机云 IT 服务器管理员 服务器管理员 虚拟机云
虚拟机云 IT 网络管理员 网络管理员 虚拟机云

SRV 云 IT 管理员在 HPE OneView 方面的经验较少。因此,仍由公司 IT 负责管理 SRV 云机箱。不过,SRV 云 IT 负责 SRV 云配置和保留过程。

此处显示了 SRV 云保留过程的简要概述。

该图描述了以下内容:
  1. 一个部门(如财务)用户向 SRV 云 IT 提交新服务器的请求。

  2. 一个 SRV IT 成员使用 HPE OneView 通过分配给 SRV 云作用域的可用服务器创建一个服务器配置文件。

  3. 一个 SRV IT 成员将该服务器配置文件和物理服务器分配给请求服务器的部门。

  4. 现在允许该部门用户使用 HPE OneView 管理该服务器。

正如流程中所述,SRV 云 IT 需要具有服务器配置文件的创建删除更新权限。他们还会请求创建、删除和更新服务器配置文件模板的权限。对于该试验项目,SRV 云服务器仅使用本地存储。不应允许他们创建卷。

公司 IT 分析 HPE OneView 角色定义,并确定服务器配置文件架构师角色最适合。服务器配置文件架构师角色授予以下权限:
类别 权利 分析
标签 创建、读取、更新、删除 允许 SRV IT 用户将标签分配给角色授予了更新权限的类别中的任何资源(例如,将标签分配给任何服务器硬件)。由于不使用标签控制 IT、虚拟机云 IT 或 SRV 云 IT 操作,因此,为用户授予该权限不会被视为问题。
网络集 创建、读取、更新、删除 允许 SRV IT 在 SRV 云作用域中创建网络集。
服务器硬件 读取、更新 与所需的权限一致。
服务器配置文件模板 创建、读取、更新、删除 与所需的权限一致。
服务器配置文件 创建、读取、更新、删除 与所需的权限一致。
创建、读取、更新、删除 可以使用作用域禁止 SRV IT 管理卷。要使 SRV IT 能够创建卷,必须将卷模板或存储池分配给 SRV 云作用域。要更新或删除卷,必须将该卷分配给 SRV 云作用域。
SRV 云 IT 还需要将 SRV 云资源分配给人力资源和财务作用域。作用域操作员角色为用户授予将资源分配给作用域的权限。必须将该权限限制为 SRV 云资源。将为 SRV 云 IT 用户授予这两种权限。
部门 功能 权限角色 权限作用域
SRV 云 IT 服务器云管理员 服务器配置文件架构师 SRV 云
SRV 云 IT 服务器云管理员 作用域操作员 SRV 云

仅允许财务和人力资源用户更新分配给其部门的服务器和服务器配置文件。

服务器配置文件操作员权限与所需的财务和人力资源权限很相符。下表介绍了公司 IT 执行的分析结果。
类别 权利 分析
标签 创建、读取、更新、删除 对标签的操作不受作用域限制。在未位于用户的授权作用域的资源中添加或删除标签功能不会被视为风险。
服务器硬件 读取、更新 与所需的权限一致。
服务器配置文件 读取、更新 与所需的权限一致。
将为人力资源和财务用户授予以下权限:
部门 功能 权限角色 权限作用域
财务 操作系统/应用程序管理员 服务器配置文件操作员 财务
人力资源 操作系统/应用程序管理员 服务器配置文件操作员 人力资源