Перейти к основному содержимому
Версия: Новая

Создание коллекций миньонов

В данном примере рассматривается практическая модель построения иерархических коллекций миньонов с механизмом разграничения доступа между ролями пользователей.

Условие задачи

Допустим, в структуре предприятия X есть следующие подразделения:

  • Технический отдел
    В обязанности Системного администратора, работающего в техническом отделе, входят: установка, конфигурирование, техническое обслуживание, поддержка пользователей всех рабочих мест предприятия.
    Технический директор предприятия X является функциональным руководителем сотрудников технического отдела и может устанавливать им права и политики доступа во всех информационных системах предприятия.
    На рабочих местах сотрудников бухгалтерии установлены ОС ALT Linux разных версий.
  • Бухгалтерия
    Сотрудники бухгалтерии не имеют прав администратора на своих рабочих местах.
    На рабочих местах сотрудников бухгалтерии установлены ОС Windows разных версий.

Цели задачи

  1. Техническому директору необходимо создать две коллекции миньонов для двух групп пользователей (пользователей в бухгалтерии и техническом отделе).
  2. Системный администратор, работающий в техническом отделе, должен получить доступ к обеим группам коллекций миньонов, созданных техническим директором.
    Для выполнения своих задач системному администратору необходимо на основе доступной ему коллекции миньонов создавать свои коллекции.
    Создать две коллекции миньонов по двум типам миньонов технического отдела.

Решение задачи

Архитектура решения

Архитектура решения предполагает двухуровневую систему управления:

  1. Уровень владельца инфраструктуры (Технический директор):
    формирование базовых коллекций верхнего уровня, разделяющих ресурсы по подразделениям (например, для бухгалтерии и технического отдела).
    Это обеспечивает изоляцию сред и гарантирует, что каждая группа пользователей имеет доступ только к целевому сегменту инфраструктуры, что минимизирует риски несанкционированного доступа или случайных ошибок.
  2. Уровень операционного управления (Системный администратор):
    работа в рамках делегированных полномочий.
    Также системный администратор обладает правами доступа к коллекции миньонов других подразделений (например, к коллекции бухгалтерии).
    Системный администратор может создавать внутри доступной ему коллекции вложенные группы по типам ресурсов или задачам.

Такой подход позволяет эффективно решать операционные задачи — управление сервисами, конфигурациями и состояниями — строго в границах разрешённой области ответственности.

В инфраструктуре предприятия миньоны классифицируются и группируются в коллекции (разделяются по типам) по следующим ключевым признакам:

  • Операционные системы — (например: семейство ОС — OS Name, версия ОС — OS Version, архитектура процессора — Arch x86_64/ARM).
  • Организационная структура — привязка к конкретным подразделениям компании (например: Бухгалтерия, Технический отдел).
  • Аппаратные характеристики — фильтрация на основе данных BIOS и аппаратного обеспечения (например: Product Name, Manufacturer, объем RAM, модель CPU и др.).

Назначение роли техническому директору

Техническому директору должна быть присвоена специальная роль collections_admin, предоставляющая право на просмотр и управление корневой коллекцией (root collection) миньонов, т.е. множества ВСЕХ миньонов, зарегистрированных на ВСЕХ мастерах, известных системе Salt.Box на предприятии.

к сведению

Об управлении ролями пользователей подробнее см. раздел Настройка KeyCloak онлайн-документации.

Создание коллекций миньонов техническим директором

Технический директор создаёт коллекции миньонов для групп пользователей (пользователей бухгалтерии и технического отдела), выполняя фильтрацию по наименованию линейки используемой ими ОС.

Для того чтобы создать коллекции миньонов, техническому директору необходимо сделать следующие операции:

  1. В главном меню системы выбрать пункт Клиенты Рис. 1.

    Выбор пункта Клиенты в главном меню
    Рисунок 1. Выбор пункта Клиенты в главном меню

    На появившейся выдвижной панели Рис. 2 будет показана корневая коллекция (root collection), содержащая все миньоны предприятия.

    Список доступных коллекций
    Рисунок 2. Список доступных коллекций

  2. Выбрать коллекцию root collection.
    В рабочей области окна браузера будет выведен список миньонов выбранной коллекции Рис. 3.

    Список миньонов выбранной коллекции
    Рисунок 3. Список миньонов выбранной коллекции

  3. В правом верхнем углу окна "Клиенты" нажать кнопку Фильтры и выбрать необходимые параметры фильтров Рис. 4.
    Например, для бухгалтерии выбрать фильтр OS (по признаку Операционные системы) и присвоить значение Windows Рис. 4, а для технического отдела выбрать фильтр OS (по признаку Операционные системы) и присвоить значение ALT Linux.

    Фильтр коллекции
    Рисунок 4. Фильтр коллекции

  4. Чтобы применить созданный фильтр к исходному списку, нажать кнопку 🔍Поиск внизу слева от набора условий фильтра Рис. 5 [1].

    Фильтр коллекции. Выбор кнопки Сохранить как новую
    Рисунок 5. Фильтр коллекции. Выбор кнопки Сохранить как новую

  5. Чтобы создать коллекцию на основе применённого фильтра, в правом верхнем углу окна "Клиенты" (рядом с кнопкой Фильтры) нажать кнопку Рис. 5 [2].
    Далее в раскрывающимся списке выбрать кнопку 💾 Сохранить как новую Рис. 5 [3].

  6. В диалоговом окне создания коллекции заполнить поля Название и Слаг Рис. 6.
    Для бухгалтерии присвоить название Бухгалтерия (по признаку Организационная структура), а для технического отдела присвоить название Технический отдел (по признаку Организационная структура) Рис. 6.

    Нажмите кнопку Создать Рис. 6.

    Создание коллекции
    Рисунок 6. Создание коллекции

    Новые коллекции будут созданы и станут доступны для выбора пользователю на выдвижной панели Рис. 7.

    Список доступных и созданных коллекций
    Рисунок 7. Список доступных и созданных коллекций

Создание коллекций миньонов системным администратором

Системный администратор создаёт коллекции миньонов, выполняя фильтрацию по признаку Аппаратные характеристики.

к сведению

Системному администратору будут доступны только те коллекции миньонов, которые были созданы техническим директором предприятия и делегированы Системному администратору для управления.
Системный администратор может создавать коллекции миньонов только в пределах доступных ему коллекций миньонов.

Для того чтобы создать коллекции миньонов по типам миньонов, системному администратору необходимо сделать следующие операции:

  1. В главном меню системы выбрать пункт Клиенты Рис. 1.
    На появившейся выдвижной панели Рис. 8 будут показаны все доступные коллекции.

    Список коллекций, доступных системному администратору
    Рисунок 8. Список коллекций, доступных системному администратору

  2. Выбрать коллекцию Технический отдел.
    В рабочей области окна браузера будет выведен список миньонов выбранной коллекции Рис. 9.

    Список миньонов выбранной коллекции
    Рисунок 9. Список миньонов выбранной коллекции

  3. В правом верхнем углу окна "Клиенты" нажать кнопку Фильтры и выбрать необходимые параметры фильтров Рис. 10.
    Например, для первой группы пользователей выбрать фильтр Manufacturer (по признаку Аппаратные характеристики) и присвоить значение QEMU Рис. 10, а для второй группы пользователей выбрать фильтр Manufacturer (по признаку Аппаратные характеристики) и присвоить значение HP.

    Фильтр коллекции
    Рисунок 10. Фильтр коллекции

  4. Чтобы применить созданный фильтр к исходному списку, нажать кнопку 🔍Поиск внизу слева от набора условий фильтра Рис. 11 [1].

    Фильтр коллекции. Выбор кнопки Сохранить как новую
    Рисунок 11. Фильтр коллекции. Выбор кнопки Сохранить как новую

  5. Чтобы создать коллекцию на основе применённого фильтра, в правом верхнем углу окна "Клиенты" (рядом с кнопкой Фильтры) нажать кнопку Рис. 11 [2].
    Далее в раскрывающимся списке нажать кнопку 💾 Сохранить как новую Рис. 11 [3].

  6. В диалоговом окне создания коллекции заполнить поля Название и Слаг Рис. 12.
    Для первой группы пользователей присвоить название Manufacturer QEMU (по признаку Аппаратные характеристики) Рис. 12, а для второй группе пользователей присвоить название Manufacturer HP (по признаку Аппаратные характеристики).

    Нажать кнопку СоздатьРис. 12.

    Создание коллекции
    Рисунок 12. Создание коллекции

    Новые коллекции будут созданы и станут доступны для выбора пользователю на выдвижной панели Рис. 13.

    Список доступных и созданных коллекций
    Рисунок 13. Список доступных и созданных коллекций

Заключение

В результате данной задачи была реализована гибкая и безопасная модель управления, в которой:

  • коллекции миньонов формируются логически, а не по именам хостов;
  • доступ к инфраструктуре строго соответствует организационной структуре;
  • администраторы (или другие пользователи) получают автономность в работе, не нарушая общих ограничений.
к сведению

Более подробную информацию о том, как создаются коллекции миньонов см. в разделе Миньоны.