多租户

存储系统允许向数名独立的管理员分配存储资源,同时确保一名管理员不能访问与另一名管理员关联的资源。

多租户可扩展存储系统进行基于角色的访问控制的方法。 除了将用户与预定义操作集和作用域(允许对其执行操作的应用程序)关联之外,存储系统还使用户能够自由决定允许执行什么操作,以及允许在何处执行这些操作。

多租户启用时,会将存储资源分配给多个独立管理员,确保一个管理员不能查看或访问与其他管理员关联的资源。

该资源分配是用于划分管理的系统资源的分区。

是系统资源的子集或分区。 它是可以与用户、存储池、主机、集群、目标以及其他实体关联的指定对象。 域将用户可以管理的资源限制为那些与域关联的资源。

域将维护在存储系统级别上存在的用户关系,如下图中所示。
多租户概述

域管理员是与域关联并且能够管理域的用户。 仅允许域管理员对与该管理员关联的特定域中的对象执行操作。

以下访问权和限制适用于域管理员:
  • 将创建用户并为其分配角色(例如:存储器管理员、应用程序管理员和只读用户)。
  • 分配到域后,用户将保留其给定角色(仅限于域的范围)。
  • 对域中对象的访问权将被限制到以下程度:所定义的用户角色将与指定的域访问权交叉。
  • 缺省情况下,域管理员不能访问不与其域关联的对象。
  • 域是隔离的存储资源集合。
  • 域管理员仅可以访问指定的域。
  • 全局管理员可以管理域并向域分配管理员。
  • 专用对象将分配给域。
  • 域将维持其与全局对象(例如:用户、主机、集群和目标)的连接。 主机和集群可以为数个域提供服务。 但是,域管理员所创建的主机仅会分配给该域。
多租户提供以下优势:
  • 分区 - 系统资源将分区到不同的域。 这些域将分配给不同的租户,而每个租户管理员都将获得一个特定域或数个域的许可权,以仅在关联域的范围内执行操作。
  • 自给自足型 - 域管理员拥有管理所有域资源所需的完整许可权集合。
  • 隔离 - 租户之间没有可视性。 域管理员不会收到域外部的资源的通知。 既不会在列表中显示这些资源,也不会显示其相关事件或警报。
  • 用户域关联 - 用户可对多个域拥有域管理员角色。
  • 非域管理员用户 - 无论是存储管理员、安全性管理员、应用程序管理员还是只读用户,都将保留他们在非域环境中拥有的相同操作执行权。 这些用户可以在相同的限制下访问相同的对象。
    • 全局管理员 - 不与任何特定域关联,并且决定可以由域中的域管理员执行的操作。 这是唯一可创建、编辑和删除域并将资源与域关联的用户。

      可以定义打开关闭策略,从而允许或禁止全局管理员查看域内部。

      仅在以下任务中需要拥有系统全局资源的许可权的全局域管理员进行干预:
      • 初始创建域以及分配域管理员。
      • 解决硬件问题。

    • 全局用户 - 不与任何域关联的用户拥有对不与域唯一关联的所有实体的访问权。