Ceci est une ancienne révision du document !
Guide de l'administrateur de groupe
À chaque composante qui en fait la demande est affecté un groupe dyna permettant l'accès à la plateforme IaaS : DSIN-ACL-IAAS-<composante>
:
- DSIN-ACL-IAAS-BU
- DSIN-ACL-IAAS-TERTRE
- DSIN-ACL-IAAS-SCIENCES
- DSIN-ACL-IAAS-LS2N
- …
À chaque groupe dyna correspond un groupe sur la plateforme IaaS, auquel est affecté un certain nombre de ressources (quota).
- 10 VM
- 64Go de RAM
- 10 CPU physiques (nombre de CPU virtuels illimités)
- 1To de stockage
Dans chaque groupe IaaS, un administrateur est responsable de l'affectation des ressources à ses utilisateurs.
Le rôle de l'administrateur de groupe
En ajoutant au groupe dyna un de ses utilisateurs (enseignant, chercheur, etc.), l'administrateur lui donne automatiquement accès à la plateforme IaaS. Il peut ensuite lui affecter des ressources (VM, disque, CPU, etc.). L'utilisateur peut alors créer et gérer son ou ses serveur(s) virtuel(s).
L'administrateur assiste ensuite ses utilisateurs dans la gestion de leurs ressources.
L'administrateur de groupe a accès à une interface dédiée : l'interface “groupadmin”.
L'interface groupadmin
L'interface groupadmin n'est utile que pour gérer les utilisateurs du groupe. Au quotidien, la vue “Utilisateur” est plus complète.
L'interface utilisateur
Modifier les règles de sécurité réseau d'une VM préalablement créée
Lorsqu'une VM est instanciée, si l'utilisateur n'a pas modifié les groupes de sécurité, les règles par défaut s'appliquent (au moment de la rédaction de cette documentation, celles-ci n'autorisent que le 22 et l'icmp en entrée). L'utilisateur peut donc décider a posteriori de modifier ces règles pour adapter la sécurité de sa VM à l'usage qu'il fait de celle-ci.
Malheureusement, une limitation de l'interface web fait qu'il n'est pour l'instant pas possible d'ajouter simplement des règles de sécurité à une VM qui a déjà été instanciée. Pour pouvoir modifier, ajouter ou supprimer les règles existantes, il faut détacher l'interface réseau, puis la réattacher en y ajoutant les règles de sécurité voulues.
Sur une VM ayant les règles par défaut :
Il faut donc commencer par détacher l'interface réseau active. Pour ce faire, il n'est pas nécessaire d'interrompre le fonctionnement de la VM. La modification peut se faire à chaud. Par contre, une fois le processus achevé, il faut redémarrer la VM pour prendre en compte la modification. Il faut donc cliquer sur le lien Détacher
:
Une fois l'interface réseau supprimée, il faut donc en réattacher une nouvelle en cliquant sur le bouton Attacher une interface réseau
.
Il faut ensuite choisir le réseau dans lequel sera l'interface, puis déplier les options avancées, puis scroller jusqu'en bas de celles-ci pour enfin choisir les règles de sécurité à appliquer à l'interface :
Gérer les utilisateurs de sa composante
L'administrateur de composante a la responsabilité de la gestion des utilisateurs de sa composante. Il a donc à sa charge les autorisations d'accès et les quotas de ses utilisateurs.
Autoriser un utilisateur à accéder au service
Le contrôle d'accès se fait grâce à un groupe Dyna pour chaque composante. Les groupes sont nommés de la façon suivante :
DSIN-ACL-IAAS-<composante>
Par exemple : DSIN-ACL-IAAS-BU, DSIN-ACL-IAAS-EPUN, etc.
Dans dyna, ces groupes sont affectés aux différentes structures, permettant ainsi aux correspondants dyna de cette structure d'ajouter et supprimer des utilisateurs en toute autonomie. Dès qu'un utilisateur est ajouté dans un groupe dyna IaaS, il est automatiquement affecté au bon groupe sur la plateforme IaaS. Il est donc possible de lui affecter une part du quota de la composante.
Affecter un quota à un utilisateur
L'administrateur de la composante peut donner un sous-ensemble des ressources de la composante, par exemple, pour le rendre autonome. Pour ce faire, l'administrateur doit se trouver en vue “admingroup”, déplier le menu “système” puis cliquer sur “utilisateurs” pour avoir la liste des utilisateurs qu'il gère :
En sélectionnant l'utilisateur auquel il faut affecter un quota, il accède aux informations de celui-ci, notamment à son quota via l'onglet “Quotas” :
En cliquant sur le bouton “editer”, il est possible de créer ou de modifier le quota de l'utilisateur en lui affectant des limites sur:
- le nombre de machine virtuelle qu'il peut instancier
- le nombre de CPU
- la taille de la mémoire
- la taille total du disque
- le nombre d'adresse IP
- le nombre d'instances d'une image donnée