SystemCenter2012SP1实践(23）私有云的权限设计

SCVMM和SCAC作为微软私有云的两个重要入口，由于私有云的资源是多部门公用的，为了防止权限扩大导致资源浪费和误操作的可能性，我们在企业中部署的时候，需要认真的规划好用户和相应级别管理员的权限设置。

===============我是分隔线===============

本文主要介绍身份的权限规划和设计。为了看起来更通俗一点，本文使用"班级"这个概念进行映射介绍，希望能让你回想起上学时的心酸眼泪。

在实际生产活动当中，作为IT部门的运维人员，毫无疑问我们拿到的是"管理员"的权限，这个权限没什么可说的，最大、最全四个字就可以概括了。同时也是毫无疑问的，这种权限如果掌握在非IT人员手中，误操作的几率将大大提升，原因很简单，可供选择的选项太多，误操作也就变成喝水吃饭一样容易简单了。

如何降低误操作，那么降低权限，仅开放需要使用的权限是一个不错的主意。对于最终用户来说，它没必要知道实时迁移是怎么做的，也不需要理解共享存储和本地存储的差别。对用户来说，"能用、好用"四个字概括了所有的需求。

===============我是分隔线===============

作为租户管理员，我们可以理解为下放一级的管理员。一个企业中可以创建多个私有云，而一个私有云可以分配一个"租户管理员"，假设我们的"管理员"是班长，那么租户管理员就是"小组长"或者"学习委员"，小组长分担了班长的一部分工作，却仅仅是一部分，而班长有权监督小组长的工作进度。自助服务用户相当于学习委员，他和小组长都是给班长干活的，但是各自的职权不同。

租户管理员和自助服务用户，在权限仅有一点不同，那就是租户管理员可以设置VM网络。

租户管理员可以设定多个成员，也就是三年一班可以只设置一个小组长，也可以设置多个小组长。

配额：配额部分比较有意思，同时也是需要仔细规划的部分，因为我们的服务器资源有限。所以内存、CPU、存储以及虚拟机这些都是要限定的。好比三年一班是好学生班，我们分配10个U，而三年二班是差生班，老师也懒得管，那么分5个U就好了。

在这个配置页面，有两个选项，一个是角色级别配额，一个是用户级别配额。

角色相当于说，三年一班有三个小组长，那么他们共用10个U，而三年一班人太多了，有8个小组长，但是他们只能共用5个U，这就很难分配了。

成员级别配额相当于，三年一班的三个小组长，平均每人可以分3个U，或者每人最大5个U，由于最大只有10个U，假如有两个同学比较狠，一人5个把U用完了，那最后一个同学即使有配额也没的用了。

角色级别和用户级别如何规划，可以提前规划和调研一下。要知道，资源有限。

网络部分好比学生可以下课了可以从哪些门出去。一组可以从A口出，二组可以从A和B两个口出，随意。

允许使用哪些口，得要班长来定。

资源：今天喝粥还是吃肉就看它了，想用什么操作系统，想要什么硬件配置，规划都在这里。

操作：相对而言，这些权限基本都可以开放，但是需要注意的是，"部署"和作者、作者vm网络这三个权限要谨慎使用，特别是这个私有云产生商业价值的时候。我们不能让用户自行创建一些没有版权的虚拟机，那会为企业声誉带来不好的影响（当然，律师函是比较严重的情况下才会出现的），通过模板创建可以让我们控制用户的行为，同时加快部署虚拟机的速度。

同时需要注意的是，这块是也是规划中最重要的地方。有些用户是不是仅仅只要有个开关虚拟机的功能就可以，其他甚至完全都可以不给？根据用户需求来吧，这些权限都是非常实用的。

VM网络创建的配额，这点是租户管理员和自助服务用户的唯一区别。这属于一个比较高级的应用

仔细看看，发现确实是这样的，自助服务角色没有VM网络的管理和创建功能。