Kerangka kebijakan Role-Based Access Control (RBAC) mengaktifkan operator dan pengguna untuk memberikan akses ke sumber daya untuk proyek-proyek tertentu.
Saat ini, akses yang dapat diberikan penggunaan fitur ini didukung oleh:
Berbagi sebuah objek dengan proyek tertentu dilakukan dengan pembuatan entri kebijakan yang mengizinkan proyek target aksi `` access_as_shared`` pada objek itu.
Membuat jaringan untuk berbagi:
$ openstack network create secret_network
+---------------------------+--------------------------------------+
| Field | Value |
+---------------------------+--------------------------------------+
| admin_state_up | UP |
| availability_zone_hints | |
| availability_zones | |
| created_at | 2017-01-25T20:16:40Z |
| description | |
| dns_domain | None |
| id | f55961b9-3eb8-42eb-ac96-b97038b568de |
| ipv4_address_scope | None |
| ipv6_address_scope | None |
| is_default | None |
| mtu | 1450 |
| name | secret_network |
| port_security_enabled | True |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| provider:network_type | vxlan |
| provider:physical_network | None |
| provider:segmentation_id | 9 |
| qos_policy_id | None |
| revision_number | 3 |
| router:external | Internal |
| segments | None |
| shared | False |
| status | ACTIVE |
| subnets | |
| updated_at | 2017-01-25T20:16:40Z |
+---------------------------+--------------------------------------+
Buat entri kebijakan menggunakan perintah openstack network rbac create (Dalam contoh ini, ID proyek dimana kami ingin berbagi dengan adalah b87b2fc13e0248a4a031d38e06dc191d
):
$ openstack network rbac create --target-project \
b87b2fc13e0248a4a031d38e06dc191d --action access_as_shared \
--type network f55961b9-3eb8-42eb-ac96-b97038b568de
+-------------------+--------------------------------------+
| Field | Value |
+-------------------+--------------------------------------+
| action | access_as_shared |
| id | f93efdbf-f1e0-41d2-b093-8328959d469e |
| name | None |
| object_id | f55961b9-3eb8-42eb-ac96-b97038b568de |
| object_type | network |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| target_project_id | b87b2fc13e0248a4a031d38e06dc191d |
+-------------------+--------------------------------------+
Parameter target-project`
menentukan proyek yang membutuhkan akses ke jaringan. Parameter action
menentukan proyek apa yang diperbolehkan untuk dilakukan. Parameter type
mengatakan bahwa objek target adalah jaringan. Parameter terakhir adalah ID jaringan dimana kita memberikan akses ke.
Proyek b87b2fc13e0248a4a031d38e06dc191d
sekarang akan dapat melihat jaringan ketika menjalankan openstack network list dan openstack network show dan juga akan dapat membuat port pada jaringan itu. Tidak ada pengguna lain (selain admin dan pemilik) akan dapat melihat jaringan.
Untuk menghapus akses untuk proyek itu, hapus kebijakan yang mengizinkan penggunaan perintah openstack network rbac delete:
$ openstack network rbac delete f93efdbf-f1e0-41d2-b093-8328959d469e
Jika proyek memiliki port pada jaringan, server akan mencegah kebijakan dari penghapusan sampai port itu telah dihapus:
$ openstack network rbac delete f93efdbf-f1e0-41d2-b093-8328959d469e
RBAC policy on object f93efdbf-f1e0-41d2-b093-8328959d469e
cannot be removed because other objects depend on it.
Proses ini dapat diulang beberapa kali untuk berbagi jaringan dengan jumlah proyek berapapun.
Buat kebijakan QoS untuk berbagi:
$ openstack network qos policy create secret_policy
+-------------+--------------------------------------+
| Field | Value |
+-------------+--------------------------------------+
| description | |
| id | 1f730d69-1c45-4ade-a8f2-89070ac4f046 |
| name | secret_policy |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| rules | [] |
| shared | False |
+-------------+--------------------------------------+
Buat entri kebijakan RBAC menggunakan perintah openstack network rbac create (dalam contoh ini, ID proyek dimana kami ingin berbagi dengan adalah be98b82f8fdf46b696e9e01cebc33fd9
):
$ openstack network rbac create --target-project \
be98b82f8fdf46b696e9e01cebc33fd9 --action access_as_shared \
--type qos_policy 1f730d69-1c45-4ade-a8f2-89070ac4f046
+-------------------+--------------------------------------+
| Field | Value |
+-------------------+--------------------------------------+
| action | access_as_shared |
| id | 8828e38d-a0df-4c78-963b-e5f215d3d550 |
| name | None |
| object_id | 1f730d69-1c45-4ade-a8f2-89070ac4f046 |
| object_type | qos_policy |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| target_project_id | be98b82f8fdf46b696e9e01cebc33fd9 |
+-------------------+--------------------------------------+
Parameter target-project
menentukan proyek yang membutuhkan akses ke kebijakan QoS. Parameter action
menentukan proyek apa yang diperbolehkan untuk dilakukan. Parameter type
mengatakan bahwa objek target adalah kebijakan QoS. Parameter terakhir adalah ID kebijakan QoS dimana kita memberikan akses ke.
Proyek be98b82f8fdf46b696e9e01cebc33fd9
sekarang akan dapat melihat kebijakan QoS ketika menjalankan openstack network qos policy list dan openstack network qos policy show dan juga akan dapat mengikat ke port atau jaringan. Tidak ada pengguna lain (selain admin dan pemilik) akan dapat melihat kebijakan QoS.
Untuk menghapus akses untuk proyek itu, hapuslah kebijakan RBAC yang mengizinkan penggunaan perintah openstack network rbac delete:
$ openstack network rbac delete 8828e38d-a0df-4c78-963b-e5f215d3d550
Jika proyek yang memiliki port atau jaringan dengan kebijakan QoS diterapkan kepada mereka, server tidak akan menghapus kebijakan RBAC sampai kebijakan QoS tidak lagi digunakan:
$ openstack network rbac delete 8828e38d-a0df-4c78-963b-e5f215d3d550
RBAC policy on object 8828e38d-a0df-4c78-963b-e5f215d3d550
cannot be removed because other objects depend on it.
Proses ini dapat diulang beberapa kali untuk berbagi qos-policy dengan jumlah proyek berapapun.
Untuk membuat sebuah jaringan tersedia sebagai jaringan eksternal untuk proyek-proyek tertentu bukan untuk semua proyek, gunakan aksi access_as_external
.
Buat jaringan dimana Anda menginginkan tersedia sebagai jaringan eksternal:
$ openstack network create secret_external_network
+---------------------------+--------------------------------------+
| Field | Value |
+---------------------------+--------------------------------------+
| admin_state_up | UP |
| availability_zone_hints | |
| availability_zones | |
| created_at | 2017-01-25T20:36:59Z |
| description | |
| dns_domain | None |
| id | 802d4e9e-4649-43e6-9ee2-8d052a880cfb |
| ipv4_address_scope | None |
| ipv6_address_scope | None |
| is_default | None |
| mtu | 1450 |
| name | secret_external_network |
| port_security_enabled | True |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| proider:network_type | vxlan |
| provider:physical_network | None |
| provider:segmentation_id | 21 |
| qos_policy_id | None |
| revision_number | 3 |
| router:external | Internal |
| segments | None |
| shared | False |
| status | ACTIVE |
| subnets | |
| updated_at | 2017-01-25T20:36:59Z |
+---------------------------+--------------------------------------+
Buat entri kebijakan menggunakan perintah openstack network rbac create (dalam contoh ini, ID proyek dimana kami ingin berbagi dengan adalah 838030a7bf3c4d04b4b054c0f0b2b17c
):
$ openstack network rbac create --target-project \
838030a7bf3c4d04b4b054c0f0b2b17c --action access_as_external \
--type network 802d4e9e-4649-43e6-9ee2-8d052a880cfb
+-------------------+--------------------------------------+
| Field | Value |
+-------------------+--------------------------------------+
| action | access_as_external |
| id | afdd5b8d-b6f5-4a15-9817-5231434057be |
| name | None |
| object_id | 802d4e9e-4649-43e6-9ee2-8d052a880cfb |
| object_type | network |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| target_project_id | 838030a7bf3c4d04b4b054c0f0b2b17c |
+-------------------+--------------------------------------+
Parameter target-project
menentukan proyek yang membutuhkan akses ke jaringan. Parameter action
menentukan proyek apa yang diperbolehkan untuk dilakukan. Parameter type
menunjukkan bahwa objek target adalah jaringan. Parameter terakhir adalah ID jaringan dimana kami memberikan akses eksternalnya.
Sekarang proyek `` 838030a7bf3c4d04b4b054c0f0b2b17c`` mampu melihat jaringan ketika berjalan openstack network list dan openstack network show dan dapat menghubungkan router gateway port ke jaringan itu. Tidak ada pengguna lain (selain admin dan pemilik) dapat melihat jaringan.
Untuk menghapus akses untuk proyek itu, hapus kebijakan yang mengizinkan penggunaan perintah openstack network rbac delete:
$ openstack network rbac delete afdd5b8d-b6f5-4a15-9817-5231434057be
Jika proyek yang memiliki port gerbang router terpasang ke jaringan itu, server akan mencegah kebijakan dari penghapusan sampai port telah dihapus:
$ openstack network rbac delete afdd5b8d-b6f5-4a15-9817-5231434057be
RBAC policy on object afdd5b8d-b6f5-4a15-9817-5231434057be
cannot be removed because other objects depend on it.
Proses ini dapat diulang beberapa kali untuk membuat jaringan yang tersedia sebagai eksternal sampai jumlah proyek berapapun.
Jika jaringan ditandai sebagai eksternal selama pembuatan, sekarang secara implisit hal itu menciptakan kebijakan RBAC wildcard memberikan akses setiap orang untuk menjaga tindakan sebelumnya sebelum fitur ini ditambahkan.
$ openstack network create global_external_network --external
+---------------------------+--------------------------------------+
| Field | Value |
+---------------------------+--------------------------------------+
| admin_state_up | UP |
| availability_zone_hints | |
| availability_zones | |
| created_at | 2017-01-25T20:41:44Z |
| description | |
| dns_domain | None |
| id | 72a257a2-a56e-4ac7-880f-94a4233abec6 |
| ipv4_address_scope | None |
| ipv6_address_scope | None |
| is_default | None |
| mtu | 1450 |
| name | global_external_network |
| port_security_enabled | True |
| project_id | 61b7eba037fd41f29cfba757c010faff |
| provider:network_type | vxlan |
| provider:physical_network | None |
| provider:segmentation_id | 69 |
| qos_policy_id | None |
| revision_number | 4 |
| router:external | External |
| segments | None |
| shared | False |
| status | ACTIVE |
| subnets | |
| updated_at | 2017-01-25T20:41:44Z |
+---------------------------+--------------------------------------+
Pada contoh di atas atribut router:external
standar adalah `` External`` seperti yang diharapkan. Sekarang kebijakan wildcard terlihat dalam daftar kebijakan RBAC:
$ openstack network rbac list --long -c ID -c Action
+--------------------------------------+--------------------+
| ID | Action |
+--------------------------------------+--------------------+
| b694e541-bdca-480d-94ec-eda59ab7d71a | access_as_external |
+--------------------------------------+--------------------+
Anda dapat mengubah atau menghapus kebijakan ini dengan kendala yang sama seperti kebijakan access_as_external
RBAC lainnya.
File policy.json
default tidak akan mengizinkan pengguna biasa untuk berbagi objek dengan proyek lainnya menggunakan wildcard; Namun, hal itu akan mengizinkan mereka untuk berbagi objek dengan ID proyek tertentu.
Jika operator ingin mencegah pengguna biasa melakukan ini, "create_rbac_policy":
entri dalam policy.json
dapat disesuaikan dari ""
menjadi "rule:admin_only"
.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.