分析用のロールベースのアクセス制御の設定

分析 API は、ロールベースのアクセス制御 (RBAC) を使用して、UVE にアクセスし、UVE または照会されたオブジェクトに対するユーザーのアクセス許可に基づいて情報を照会する機能を提供します。

Contrail Networkingは、認証されたアクセスを拡張し、テナントが読み取り権限を持つネットワークに関するネットワーク監視情報を表示できるようにします。

分析APIは、クエリオブジェクトとUVEオブジェクトをRBACルールが適用される構成オブジェクトにマッピングできるため、VNC APIを使用して読み取り権限を検証できます。

RBAC は、次の方法で分析に適用されます。

統計クエリーの場合、アノテーションが Sandesh ファイルに追加され、統計クエリーのインデックスとタグをオブジェクトと UVE に関連付けることができます。これらは、オブジェクトレベルの読み取り権限を決定するために contrail-analytics-api によって使用されます。
フロークエリとログクエリの場合、オブジェクトの読み取りアクセス許可は、where クエリの AND 項ごとに評価されます。
UVEのリストクエリ(例:analytics/uve/virtual-networks/)の場合、contrail-analytics-apiは、特定のトークンに対する読み取り権限を持つUVEのリストを取得します。特定のリソース(analytics/uves/virtual-network/vn1 など)に対する UVE クエリの場合、contrail-analytics-api は VNC API を使用してオブジェクトレベルの読み取り権限をチェックします。

テナントはシステムログとフローログを表示できず、これらのログはクラウド管理者ロールに対してのみ表示されます。

管理者以外のユーザーは、以下を含む非グローバル UVE のみを表示できます。

の /etc/contrail/contrail-analytics-api.conf、セクション DEFAULTSで、パラメーター aaa_mode が値の 1 つとしてサポートされる rbac ようになりました。