Eingeschränkte Benutzerrechte für Customer - Nur VMs erstellen und verwalten

[Fab1984]

Hallo,

hat jemand eine gute Beispielkonfiguration für einen Customer Zugang auf einen Proxmox Cluster? Der Kunde soll lediglich VMs verwalten (Herunterfahren, Starten, Ressourcen zuteilen, usw.) und neue VMs erstellen können.
Er soll NICHT an den Host Einstellungen vornehmen, die Shell benutzen oder den Netzwerkeinstellungen vornehmen können. Ich bin noch relativ neu mit Proxmox und muss mich erstmal zurechtfinden, was die einzelnen Berechtigungen bedeuten. Deshalb würde mir eine Beispielkonfiguration für einen Customer Zugang sehr helfen.

Besten Dank!

 

[Eishunter]

Am besten mal hier schauen :
https://pve.proxmox.com/pve-docs/pve-admin-guide.html#pveum_permission_management

 

[ako77]

Hi Fab,

bist Du inzwischen bei dem Thema fit geworden?
Ich verstehe dieses Rechtkonzept (noch) nicht, vor allem in einem Cluster-Betrieb. Was ich z.B. möchte, ist, bei einem Cluster aus 3 Nodes, das ein Benutzer auf pve 3 PVEAdmin ist, aber auf pve2 und 1 keine Rechte hat.
Wenn ich aber Berechtigungen auf /vms, /storage und Co. gebe, werden auch die VMs und alle Datastores auf pve2 und 1 angezeigt und können dort beeinflusst werden.

Frage sonst an die Allgemeinheit:
Ist es also möglich, in einem Cluster-Betrieb einem User auf nur einem Node Berechtigungen zu erteilen?
Der Zugang zum Cluster ist dabei natürlich über pve1 (...).

Cheers!

 

[datschlatscher]

Das Rechtemanagment im PVE verfolgt hier schlicht einen anderen Ansatz. Rechte lassen sich auf VMs, Storages, etc. beschränken, dabei ist es egal auf welcher Node diese laufen (wenn in einem Cluster). Der Sinn hinter einem PVE-Cluster ist es ja, das Management, geteilte Storages, und das verschieben bzw. migrieren von VMs zu erleichtern, daher ist die Cluster-Node als etwas "Abgegrenztes" nicht so vorhanden.

Alternativen hierzu wären z.B. einzelnen Usern die Berechtigungen nur auf entsprechende VMs, Nodes und Storages zu erteilen. Die Berechtigung auf nur eine Node zu beschränken, ist nicht möglich.

 

[Fab1984]

Hallo Ako77,

mein Szenario konnte ich relativ einfach lösen indem ich den entsprechenden Usern die Rechte PVE.Auditor und VMAdmin gegeben habe. Somit konnte der Benutzer auf den VMs alles erstellen und ausführen (inkl. Migration), und auf Clusterebene alles sehen. Wirklich beeinflussen kann der Benutzer aber nur die VMs, was von meiner Seite ja auch so gewünscht ist. Hier würde mich interessieren, warum der Benutzer auf einem Node komplette Adminrechte haben sollte und auf den anderen Nodes GAR KEINE Rechte.

Eine alternative mit der ich mich aber selbst noch befassen muss, sind Ressourcenpools und Berechtigungen. Nach meinem Verständnis funktioniert das so, dass man Benutzer auch nur Berechtigungen auf bestimmte Ressourcenpools geben und einschränken kann. Damit kannst du vielleicht die Auditorrechte auf Clusterebene umgehen.

MFG

 

[ako77]

Danke Matthias für die Antwort. Jetzt bin ich etwas schlauer!

Und Hallo Fab,
ja ok, das leuchtet mir so ein. D.h. Du vergibst Rechte dann nur auf bspw. /vms/120 UserXY VMAdmin und / UserXY PVE.Auditor?!

Um Deine Frage zu beantworten:
zunächst war da der Cluster mit 3 Nodes. Nun kam ein Kollege auf die Idee, dass er gerne eine Node hätte, wo er mit Ansible und Terraform bspw. k8s-Cluster automatisiert installieren wolle, wolle es aber auch einrichten. Er ist versiert, aber halt kein Admin für die Infrastruktur.
Er bräuchte dann Administrator-Rechte oder root-Rechte auf einem Node.

Jetzt weiß ich, dass man in einem Cluster, keine Node quasi "etwas dedizierter" betreiben kann. Macht ja Sinn, hätte aber ja sein können.

Bei den Ressourcenpools wäre ich auch neugierig, wie man die Rechte vergibt. Reicht es aus, einem User auf einen Pool Rechte zu geben, oder muss zusätzlich auch auf /storage/xxx berechtigt werden oder wird das bei Pools "durchgereicht"?

cheers!