Guide de l'administrateur de groupe

A chaque composantes qui en fait la demande est affecté un groupe dyna permettant l'accès à la plateforme IaaS: DSIN-ACL-IAAS-<composante>:

• DSIN-ACL-IAAS-BU
• DSIN-ACL-IAAS-TERTRE
• DSIN-ACL-IAAS-SCIENCES
• DSIN-ACL-IAAS-LS2N
• …

A chaque groupe dyna correspond un groupe sur la plateforme IaaS auquel est affecté un certain nombre de ressources (quota).

Dans chaque groupe IaaS un administrateur est responsables de l'affectation des ressources à ses utilisateurs.

En ajoutant au groupe dyna un de ses utilisateur (enseignant, chercheurs, etc.), l'administrateur lui donne automatiquement accès à la plateforme IaaS. Il peut ensuite lui affecter des ressources (VM, disque, CPU, etc.). L'utilisateur peut alors créer et gérer son ou ses serveur(s) virtuel(s).

L'administrateur assiste ensuite ses utilisateurs dans la gestion de leurs ressources.

L'administrateur de groupe a accès à une interface dediée: l'interface “groupadmin”

l'interface groupadmin n'est utile que pour gérer les utilisateurs du groupe. Au quotidien, la vie “Utilisateur” est plus complète.

Lorsqu'une VM est instanciée, si l'utilisateur n'a pas modifié les groupes de sécurité, les règles par défaut s'appliquent (au moment de la rédaction de cette documentation celles-ci n'autorisent que le 22 et l'icmp en entrée). L'utilisateur peut donc décider à posteriori de modifier ces règles pour adapter la sécurité de sa VM à l'usage qu'il fait de celle-ci.

Malheureusement, une limitation de l'interface web fait qu'il n'est pour l'instant pas possible d'ajouter simplement des règles de sécurité à une VM qui a déjà été instanciée. Pour pouvoir modifier, ajouter ou supprimer les règles existante, il faut détacher l'interface réseau puis la réattacher en y ajoutant les règles de sécurité voulues.

Sur une VM ayant les règles par défaut:

Il faut donc commencer par détacher l'interface réseau active. Pour ce faire, il n'est pas nécessaire d'interrompre le fonctionnement de la VM, la modification peut se faire à chaud. Il faut donc cliquer sur le lien Détacher :

Une fois l'interface réseau supprimer, il faut donc en réattacher une nouvelle en cliquant sur le bouton Attacher une interface réseau

Il faut ensuite choisir le réseau dans lequel sera l'interface puis déplier les options avancées puis scroller jusqu'en bas de celles-ci pour enfin choisir les règles de sécurité à appliquer à l'interface:

L'administrateur de composante a la résposabilité de la gestion des utilisateurs de sa composante. Il a donc à sa charge les autorisation d'accès et les quotas de ses utilisateurs.

Le contrôle d'accès se fait grâce à un groupe Dyna pour chaque composante. Les groupes sont nommés de la façon suivante:

DSIN-ACL-IAAS-<composante>

Par exemple: DSIN-ACL-IAAS-BU, DSIN-ACL-IAAS-EPUN, etc.

Ces groupes sont affectés, dans dyna, aux différentes structures permettant ainso aux correspondants dyna de cette structures d'ajouter et supprimer des utilisateurs en toute autonomie. Dès qu'un utilisateur est ajouté dans un groupe dyna IaaS il est automatiquemen affecté au bon groupe sur la plateforme IaaS. Il est donc possible de lui affecter une part du quota de la composante.

L'administrateur de la composante peut donner un sous ensemble des ressources de la composante, par exemple pour le rendre autonome. Pour ce faire, l'administrateur doit se trouver en vue “admingroup” puis déplier le menu “système” puis cliquer sur “utilisateurs” pour avoir la liste des utilisateurs qu'il gère:

En sélectionnant l'utilisateur auquel il faut affecter un quota, il accède aux informations de celui-ci, notamment à son quota via l'onglet “Quotas”:

En cliquant sur le bouton “editer” il est possible de créer ou de modifier le quota de l'utilisateur en lui affectant des limites sur:

• le nombre de machine virtuelle qu'il peut instancier
• le nombre de CPU
• la taille de la mémoire
• la taille total du disque
• le nombre d'adresse IP
• le nombre d'instances d'une image donnée