はじめに
Turbonomicは、オンプレミスのリソース効率化や、パブリッククラウドのインスタンスタイプ変更やボリューム削除の実行によるコスト効率化などのできる製品です。
実運用を考えた場合、複数名のチームメンバーでTurbonomicを用いることが想定されます。
一方で、チームメンバー全員がすべての機能を実行可能な権限を持っている場合、予期せぬ誤操作やなりすましによる悪意のある操作実行などのリスクがあるため、各メンバーに対して適切な「役割」(操作権限の制限)を割り当てることが推奨されます。
今回は、公式ドキュメントを参考しながら、Turbonomicのローカルアカウントにおける「役割」をまとめてみました。
本記事は、Turbonomic 8.15.4 オンプレミスの情報を参照してに作成しております。
正確な情報や最新情報は、公式ドキュメントをご確認ください。
Turbonomicの「役割」の種類
まとめ
Turbonomicには10種類の役割があり、それぞれの役割によって、各機能の実行・編集・参照可否などの権限が異なります。
- 「パーク」機能は、Turbonomic上で画面遷移できるまでを確認しております
- 「ダッシュボード」機能の「一部不可」は、一部のダッシュボードを閲覧できないことを示しています
- 「オブザーバー」: デフォルトのダッシュボードは閲覧できません
- 「共有アドバイザー」: 設定したスコープ以外の項目は閲覧できません
- 「共有オブザーバー」: デフォルトのダッシュボードおよび設定したスコープ以外の項目は閲覧できません
- 「設定」の「一部不可」の具体的な項目は、それぞれのキャプチャーをご覧ください
- スコープ設定とは、VMやアプリケーションなどの表示を制限するもので、「共有アドバイザー」および「共有オブザーバー」は設定必須です。なお、「管理者」「サイト管理者」を除く「役割」でも、任意に設定できます
管理者(Administrator)
Turbonomicの運用責任者を想定しています。
Turbonomicデプロイ後の初期アカウントに付与される権限で、Turbonomicにおけるすべての権限を持っています。
サイト管理者(Site Administrator)
Turbonomicの実行責任者を想定しています。
Turbonomicにおけるほぼすべての権限を持っていますが、ライセンスのインポートや保守オプション(診断データの取得)などのTurbonomicに関する一部の設定はできません。
自動化機能(Automator)
Turbonomicの主要な機能の実行担当者を想定しています。
ほぼすべての機能を使えますが、Turbonomicに関する設定はできません。
デプロイヤー(Deployer)
主に、場所(PLACE)機能(リソースの予約)を利用するユーザーを想定しています。
Turbonomicにおけるすべてのグラフやデータを見ることはできますが、アクションや計画の実行、デフォルトのポリシーの変更などのTurbonomicに関する一部の設定はできません。
パーカー(Parker)
主に、パーク機能(クラウド仮想マシンの起動停止)を利用するユーザーを想定しています。
Turbonomicにおけるすべてのグラフやデータを見ることはできますが、アクション、計画、場所(PLACE)の実行、Turbonomicに関する一部の設定はできません。
アドバイザー(Advisor)
主に、プラン機能(シミュレーション)を利用するユーザーを想定しています。
Turbonomicにおけるすべてのグラフやデータを見ることはできますが、アクション、場所(PLACE)の実行や、Turbonomicに関する設定はできません。
オブザーバー(Observer)
主に、ホーム画面とカスタムダッシュボードを見るだけのユーザーを想定しています。
TurbonomicにおけるVMグループやリソースグループを制限して、グラフやデータを見ることはできます。アクション、計画、場所(PLACE)の実行、一部ダッシュボードの閲覧、Turbonomicに関する設定はできません。
運用オブザーバー(Operational Observer)
主に、ホーム画面とダッシュボードを見るだけのユーザーを想定しています。なお、設定画面では、グループとポリシーの情報を参照できます。
TurbonomicにおけるVMグループやリソースグループを制限して、グラフやデータを見ることができます。アクション、計画、場所(PLACE)の実行、Turbonomicに関する一部の設定はできません。
共有アドバイザー(Shared Advisor)
主に、ホーム画面とダッシュボードを見るだけのユーザーを想定しています。その中でも、あらかじめ設定したVMおよびアプリケーションのみを表示させることができます。
表示させたいVMおよびアプリケーションを設定して、そのデータやグラフのみを見ることができます。アクション、場所(PLACE)、計画の実行やレポートの閲覧、Turbonomicの設定はできません。
共有オブザーバー(Shared Observer)
主に、ホーム画面とカスタムダッシュボードを見るだけのユーザーを想定しています。その中でも、あらかじめ設定したVMおよびアプリケーションのみを表示させることができます。
表示させたいVMおよびアプリケーションを設定して、そのデータやグラフのみを見ることができます。アクション、場所(PLACE)、計画の実行、一部ダッシュボードの閲覧、レポートの閲覧、Turbonomicに関する設定はできません。この役割は、Turbonomicにおいて最も厳しい制限のできる権限です。
(参考)レポート・エディター
上記「役割」への追加権限として、「レポート・エディター」を設定することができます。
この権限を持つとレポートの作成、編集、削除ができるようになります。
1つのTurbonomic環境あたり1人のユーザーのみがこの役割を持つことができます(デフォルトでは、「管理者」がこの権限を持っています)。
この役割を他のユーザーに割り当てるには、現在「レポート・エディター」権限を持っているユーザーから権限を削除する必要があります。
Turbonomicの運用を考えた場合の役割
運用チームを考える場合、例えば、基本的には「管理者」は使用せず、アクションを実行するときは「自動化機能」のユーザーアカウントを一時的に払い出し、日常的にアクションの生成状況やレポートを確認するときは「アドバイザー」を使用する、といった使い分けをすることにより、安心してTurbonomicを運用できそうです。
今後、ユースケースを想定した上で、ユーザー権限のベストプラクティスを考えていきたいと思います。
ご覧いただきありがとうございました。