| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
|
wiki:documentation:groupadmin [2018/03/20 15:04]
abelard-a |
wiki:documentation:groupadmin [2020/02/13 10:06] (Version actuelle)
abelard-a [Modifier les règles de sécurité réseau d'une VM préalablement créée] |
| ====== Guide de l'administrateur de groupe ====== | ====== Guide de l'administrateur de groupe ====== |
| |
| A chaque composantes qui en fait la demande est affecté un groupe dyna permettant l'accès à la plateforme IaaS: ''DSIN-ACL-IAAS-<composante>'': | À chaque composante qui en fait la demande est affecté un groupe dyna permettant l'accès à la plateforme IaaS : ''DSIN-ACL-IAAS-<composante>'' : |
| * DSIN-ACL-IAAS-BU | * DSIN-ACL-IAAS-BU |
| * DSIN-ACL-IAAS-TERTRE | * DSIN-ACL-IAAS-TERTRE |
| * ... | * ... |
| * | * |
| A chaque groupe dyna correspond un groupe sur la plateforme IaaS auquel est affecté un certain nombre de ressources (quota). | À chaque groupe dyna correspond un groupe sur la plateforme IaaS, auquel est affecté un certain nombre de ressources (quota). |
| <alert type="info"> | <alert type="info"> |
| Actuellement il est prévu que chaque composante puisse bénéficier de base des ressources suivantes: | Actuellement, il est prévu que chaque composante puisse bénéficier de base des ressources suivantes : |
| |
| * 10 VM | * 10 VM |
| * 1To de stockage | * 1To de stockage |
| </alert> | </alert> |
| Dans chaque groupe IaaS un administrateur est responsables de l'affectation des ressources à ses utilisateurs. | Dans chaque groupe IaaS, un administrateur est responsable de l'affectation des ressources à ses utilisateurs. |
| |
| ===== Le rôle de l'administrateur de groupe ===== | ===== Le rôle de l'administrateur de groupe ===== |
| |
| En ajoutant au groupe dyna un de ses utilisateur (enseignant, chercheurs, etc.), l'administrateur lui donne automatiquement accès à la plateforme IaaS. Il peut ensuite lui affecter des ressources (VM, disque, CPU, etc.). L'utilisateur peut alors créer et gérer son ou ses serveur(s) virtuel(s). | En ajoutant au groupe dyna un de ses utilisateurs (enseignant, chercheur, etc.), l'administrateur lui donne automatiquement accès à la plateforme IaaS. Il peut ensuite lui affecter des ressources (VM, disque, CPU, etc.). L'utilisateur peut alors créer et gérer son ou ses serveur(s) virtuel(s). |
| |
| L'administrateur assiste ensuite ses utilisateurs dans la gestion de leurs ressources. | L'administrateur assiste ensuite ses utilisateurs dans la gestion de leurs ressources. |
| |
| L'administrateur de groupe a accès à une interface dediée: l'interface "groupadmin" | L'administrateur de groupe a accès à une interface dédiée : l'interface "groupadmin". |
| |
| ===== L'interface groupadmin ===== | ===== L'interface groupadmin ===== |
| |
| l'interface groupadmin n'est utile que pour gérer les utilisateurs du groupe. Au quotidien, la vie "Utilisateur" est plus complète. | L'interface groupadmin n'est utile que pour gérer les utilisateurs du groupe. Au quotidien, la vue "Utilisateur" est plus complète. |
| ===== L'interface utilisateur ===== | ===== L'interface utilisateur ===== |
| |
| ==== Modifier les règles de sécurité réseau d'une VM préalablement créée ==== | ==== Modifier les règles de sécurité réseau d'une VM préalablement créée ==== |
| |
| Lorsqu'une VM est instanciée, si l'utilisateur n'a pas modifié les groupes de sécurité, les règles par défaut s'appliquent (au moment de la rédaction de cette documentation celles-ci n'autorisent que le 22 et l'icmp en entrée). L'utilisateur peut donc décider à posteriori de modifier ces règles pour adapter la sécurité de sa VM à l'usage qu'il fait de celle-ci. | Lorsqu'une VM est instanciée, si l'utilisateur n'a pas modifié les groupes de sécurité, les règles par défaut s'appliquent (au moment de la rédaction de cette documentation, celles-ci n'autorisent que le 22 et l'icmp en entrée). L'utilisateur peut donc décider a posteriori de modifier ces règles pour adapter la sécurité de sa VM à l'usage qu'il fait de celle-ci. |
| |
| Malheureusement, une limitation de l'interface web fait qu'il n'est pour l'instant pas possible d'ajouter simplement des règles de sécurité à une VM qui a déjà été instanciée. Pour pouvoir modifier, ajouter ou supprimer les règles existante, il faut détacher l'interface réseau puis la réattacher en y ajoutant les règles de sécurité voulues. | Malheureusement, une limitation de l'interface web fait qu'il n'est pour l'instant pas possible d'ajouter simplement des règles de sécurité à une VM qui a déjà été instanciée. Pour pouvoir modifier, ajouter ou supprimer les règles existantes, il faut détacher l'interface réseau, puis la réattacher en y ajoutant les règles de sécurité voulues. |
| |
| Sur une VM ayant les règles par défaut: | Sur une VM ayant les règles par défaut : |
| |
| {{ :wiki:documentation:ajouter-regle-secu0.png |}} | {{ :wiki:documentation:ajouter-regle-secu0.png |}} |
| |
| Il faut donc commencer par détacher l'interface réseau active. Pour ce faire, il n'est pas nécessaire d'interrompre le fonctionnement de la VM, la modification peut se faire à chaud. Il faut donc cliquer sur le lien ''Détacher'' : | Il faut donc commencer par détacher l'interface réseau active. Pour ce faire, il n'est pas nécessaire d'interrompre le fonctionnement de la VM. La modification peut se faire à chaud. Par contre, une fois le processus achevé, il faut redémarrer la VM pour prendre en compte la modification. Il faut donc cliquer sur le lien ''Détacher'' : |
| |
| {{ :wiki:documentation:ajouter-regle-secu1.png |}} | {{ :wiki:documentation:ajouter-regle-secu1.png |}} |
| |
| Une fois l'interface réseau supprimer, il faut donc en réattacher une nouvelle en cliquant sur le bouton ''Attacher une interface réseau'' | Une fois l'interface réseau supprimée, il faut donc en réattacher une nouvelle en cliquant sur le bouton ''Attacher une interface réseau''. |
| |
| {{ :wiki:documentation:ajouter-regle-secu2.png |}} | {{ :wiki:documentation:ajouter-regle-secu2.png |}} |
| |
| Il faut ensuite choisir le réseau dans lequel sera l'interface **puis déplier les options avancées** puis scroller jusqu'en bas de celles-ci pour enfin choisir les règles de sécurité à appliquer à l'interface: | Il faut ensuite choisir le réseau dans lequel sera l'interface, **puis déplier les options avancées**, puis scroller jusqu'en bas de celles-ci pour enfin choisir les règles de sécurité à appliquer à l'interface : |
| |
| {{ :wiki:documentation:ajouter-regle-secu3.png |}} | {{ :wiki:documentation:ajouter-regle-secu3.png |}} |
| |
| | <alert type="warning"> |
| | Si l'ajout d'un groupe de sécurité oblige de détacher et réattacher l'interface réseau, la modification d'un groupe de sécurité est transparent. Il est donc fortement conseillé de prévoir un groupe de sécurité par VM en production dans lequel des règles supplémentaires pourront être ajoutées sans avoir à interrompre la connectivité de la VM. |
| | </alert> |
| ===== Gérer les utilisateurs de sa composante ===== | ===== Gérer les utilisateurs de sa composante ===== |
| |
| L'administrateur de composante a la résposabilité de la gestion des utilisateurs de sa composante. Il a donc à sa charge les autorisation d'accès et les quotas de ses utilisateurs. | L'administrateur de composante a la responsabilité de la gestion des utilisateurs de sa composante. Il a donc à sa charge les autorisations d'accès et les quotas de ses utilisateurs. |
| |
| ==== Autoriser un utilisateur à accéder au service ==== | ==== Autoriser un utilisateur à accéder au service ==== |
| |
| Le contrôle d'accès se fait grâce à un groupe Dyna pour chaque composante. Les groupes sont nommés de la façon suivante: | Le contrôle d'accès se fait grâce à un groupe Dyna pour chaque composante. Les groupes sont nommés de la façon suivante : |
| |
| **DSIN-ACL-IAAS-<composante>** | **DSIN-ACL-IAAS-<composante>** |
| |
| Par exemple: DSIN-ACL-IAAS-BU, DSIN-ACL-IAAS-EPUN, etc. | Par exemple : DSIN-ACL-IAAS-BU, DSIN-ACL-IAAS-EPUN, etc. |
| |
| Ces groupes sont affectés, dans dyna, aux différentes structures permettant ainso aux correspondants dyna de cette structures d'ajouter et supprimer des utilisateurs en toute autonomie. Dès qu'un utilisateur est ajouté dans un groupe dyna IaaS il est automatiquemen affecté au bon groupe sur la plateforme IaaS. Il est donc possible de lui affecter une part du quota de la composante. | Dans dyna, ces groupes sont affectés aux différentes structures, permettant ainsi aux correspondants dyna de cette structure d'ajouter et supprimer des utilisateurs en toute autonomie. Dès qu'un utilisateur est ajouté dans un groupe dyna IaaS, il est automatiquement affecté au bon groupe sur la plateforme IaaS. Il est donc possible de lui affecter une part du quota de la composante. |
| |
| ==== Affecter un quota à un utilisateur ==== | ==== Affecter un quota à un utilisateur ==== |
| |
| L'administrateur de la composante peut donner un sous ensemble des ressources de la composante, par exemple pour le rendre autonome. Pour ce faire, l'administrateur doit se trouver en vue "admingroup" puis déplier le menu "système" puis cliquer sur "utilisateurs" pour avoir la liste des utilisateurs qu'il gère: | L'administrateur de la composante peut donner un sous-ensemble des ressources de la composante, pour par exemple le rendre autonome. Pour ce faire, l'administrateur doit se trouver en vue "admingroup", déplier le menu "système" puis cliquer sur "utilisateurs" pour avoir la liste des utilisateurs qu'il gère : |
| |
| {{ :wiki:documentation:screenshot-2018-3-6_opennebula_sunstone_cloud_operations_center.png |}} | {{ :wiki:documentation:screenshot-2018-3-6_opennebula_sunstone_cloud_operations_center.png |}} |
| |
| En sélectionnant l'utilisateur auquel il faut affecter un quota, il accède aux informations de celui-ci, notamment à son quota via l'onglet "Quotas": | En sélectionnant l'utilisateur auquel il faut affecter un quota, il accède aux informations de celui-ci, notamment à son quota via l'onglet "Quotas" : |
| |
| {{ :wiki:documentation:screenshot-2018-3-6_opennebula_sunstone_cloud_operations_center_1_.png |}} | {{ :wiki:documentation:screenshot-2018-3-6_opennebula_sunstone_cloud_operations_center_1_.png |}} |
| |
| En cliquant sur le bouton "editer" il est possible de créer ou de modifier le quota de l'utilisateur en lui affectant des limites sur: | En cliquant sur le bouton "editer", il est possible de créer ou de modifier le quota de l'utilisateur en lui affectant des limites sur : |
| * le nombre de machine virtuelle qu'il peut instancier | * le nombre de machine virtuelle qu'il peut instancier |
| * le nombre de CPU | * le nombre de CPU |