【发布时间】:2016-04-12 21:32:59
【问题描述】:
我需要实现虚拟机创建工作流程,以便管理员在验证用户的请求后为其创建虚拟机。
目前,如果管理员创建虚拟机,它会被标记为该实例的所有者。
- 我们可以更改或添加另一个所有者到实例吗?
- 管理员能否冒充其他用户来创建 VM?
【问题讨论】:
【发布时间】:2016-04-12 21:32:59
【问题描述】:
管理员不能冒充其他用户。然而,在实践中这不是您可能认为的问题,因为对 OpenStack 中资源的访问是由项目(基本上是组)而不是由单个用户控制。
您可以将admin用户添加到其他租户,然后在创建资源(如服务器、网络等)时将您环境中的OS_PROJECT_NAME(和/或OS_PROJECT_ID)设置为相应的项目。
当您将资源创建为特定项目时,该项目的任何成员都可以访问该资源。
请注意,在早期版本的 OpenStack 中,项目被称为租户,对应的变量为 OS_TENANT_NAME 和 OS_TENANT_ID。
【讨论】:
-
感谢您的洞察力。如果我可以为每个用户创建单独的项目,这看起来确实是一个很好的解决方案。如果所有用户都属于共同项目(比如演示)怎么办。 admin 能否确保其他用户也可以访问 admin 创建的实例?
-
属于同一项目的所有用户都可以 openstack 访问项目拥有的所有资源——他们可以删除、更新它们等。通过 SSH 访问nova 服务器取决于启动时指定的密钥。