Возможность одновременного исполнения параллельных задач по управлению ресурсами облачной платформы (выделение/удаление/реконфигурация)

В OpenStack и AccentOS реализована многозадачная система управления, которая предоставляет возможность выполнения задач несколькими администраторами одновременно. Это позволяет исключить «бутылочное горло» в процессе управления облаком.

Данный принцип применяется на нескольких уровнях:

  • Пользовательский интерфейс (Dashboard)
  • Командная строка (CLI)
  • API-интерфейсы

Ролевое разделение и модель RBAC

В OpenStack реализовано ролевое разделение пользователей и модель RBAC (Role-Based Access Control), которая позволяет распределять права администраторов по ролям для исключения конфликтов, связанных с выполнением противоречивых директив.

Примечание

Модель RBAC гарантирует, что даже при одновременной работе нескольких администраторов их действия не будут конфликтовать, если они назначены на разные роли и уровни доступа.

Иерархия ролей и зон ответственности

В OpenStack предусмотрено разделение ресурсов на логические уровни:

  • Администратор облака (Cloud Administrator) — обладает всеми полномочиями на уровне всей платформы
  • Администратор домена (Domain Administrator) — имеет значительное количество полномочий в рамках конкретного домена
  • Администратор проекта (Project Administrator) — обладает полномочиями в рамках выделенных квот конкретного проекта

Дополнительно реализовано разделение ресурсов на зоны, что позволяет ещё более тонко настраивать границы ответственности.

Предупреждение

При получении команд от нескольких пользователей с одинаковыми правами OpenStack будет выполнять их команды с одинаковым приоритетом. Это может привести к проблемам при одновременном получении противоречивых команд как от одного, так и от разных администраторов.

Условия безопасной параллельной работы

OpenStack позволяет одновременное исполнение директив от нескольких администраторов при соблюдении условия, что директивы администраторов не пересекаются между собой. Это достигается в случае, когда администраторам назначаются:

  • Разные иерархические роли
  • Разные зоны ответственности (физические и виртуальные ресурсы)
  • Разные домены и проекты

См.также