V předchozích příspěvcích této série blogů jsme se zabývali nasazením clusteringu/replikace (MySQL / Galera, MySQL Replication, MongoDB &PostgreSQL), správou a monitorováním vašich stávajících databází a clusterů, monitorováním výkonu a zdraví, jak zajistit, aby vaše nastavení bylo vysoce k dispozici prostřednictvím HAProxy a MaxScale, jak se připravit na katastrofy plánováním záloh, jak spravovat konfigurace databáze a v posledním příspěvku, jak spravovat soubory protokolu.
Jedním z nejdůležitějších aspektů, jak se stát ClusterControl DBA, je schopnost delegovat úkoly členům týmu a řídit přístup k funkcím ClusterControl. Toho lze dosáhnout využitím funkce správy uživatelů, která vám umožňuje řídit, kdo co může dělat. Můžete dokonce jít ještě o krok dále tím, že přidáte týmy nebo organizace do ClusterControl a namapujete je na své role DevOps.
Týmy
Týmy lze vnímat buď jako úplnou organizaci, nebo jako skupiny uživatelů. Clustery lze přiřadit k týmům a tímto způsobem je cluster viditelný pouze pro uživatele v týmu, ke kterému byl přiřazen. To vám umožní provozovat více týmů nebo organizací v rámci jednoho prostředí ClusterControl. Je zřejmé, že účet správce ClusterControl bude i nadále moci zobrazit a spravovat všechny clustery.
Nový tým můžete vytvořit prostřednictvím boční nabídky -> Správa uživatelů -> Týmy a kliknutím na znaménko plus na levé straně v části Týmy:
Po přidání nového týmu můžete k týmu přiřadit uživatele.
Uživatelé
Po výběru nově vytvořeného týmu můžete do tohoto týmu přidat nové uživatele stisknutím znaménka plus v pravém dialogovém okně:
Výběrem role můžete omezit funkčnost uživatele buď na superadministrátora, administrátora nebo uživatele. Tyto výchozí role můžete rozšířit v sekci Řízení přístupu.
Řízení přístupu
Standardní role
V rámci ClusterControl jsou výchozí role:Super Admin, Admin a User. Super Admin je jediný účet, který může spravovat týmy, uživatele a role. Super Admin je také schopen migrovat clustery napříč týmy nebo organizacemi. Role správce patří konkrétní organizaci a může vidět všechny clustery v této organizaci. Uživatelská role může vidět pouze clustery, které vytvořil.
Uživatelské role
Na obrazovce řízení přístupu založeného na rolích můžete přidat nové role. Můžete definovat oprávnění pro jednotlivé funkce, zda je role povolena (pouze pro čtení), odepřena (zakázat), spravovat (povolit změnu) nebo upravovat (rozšířená správa).
Pokud vytvoříme roli s omezeným přístupem:
Jak vidíte, můžeme vytvořit uživatele s omezenými přístupovými právy (většinou jen pro čtení) a zajistit, aby tento uživatel nic neporušil. To také znamená, že bychom sem mohli přidat netechnické role, jako je manažer.
Všimněte si, že role Super Admin zde není uvedena, protože jde o výchozí roli s nejvyšší úrovní oprávnění v rámci ClusterControl, a proto ji nelze změnit.
Přístup LDAP
ClusterControl podporuje ověřování Active Directory, FreeIPA a LDAP. To vám umožní integrovat ClusterControl v rámci vaší organizace, aniž byste museli znovu vytvářet uživatele. V dřívějších příspěvcích na blogu jsme popsali, jak nastavit ClusterControl pro ověřování proti OpenLDAP, FreeIPA a Active Directory.
Jakmile je toto nastaveno, ověřování proti ClusterControl se bude řídit následující tabulkou:
V podstatě nejdůležitější částí je zde mapování skupiny LDAP na roli ClusterControl. To lze provést poměrně snadno na stránce Nastavení LDAP v části Správa uživatelů.
Dialog výše by mapoval DevopsTeam na roli omezeného uživatele v ClusterControl. Poté to zopakujte pro jakoukoli další skupinu, kterou chcete mapovat. Poté bude každý uživatel ověřující se proti ClusterControl autentizován a autorizován prostřednictvím integrace LDAP.
Poslední myšlenky
Kombinace všech výše uvedených možností vám umožní lépe integrovat ClusterControl do vaší stávající organizace, vytvořit specifické role s omezeným nebo úplným přístupem a připojit uživatele k těmto rolím. Krása toho je, že jste nyní mnohem flexibilnější v tom, jak organizujete svou databázovou infrastrukturu:kdo co smí dělat? Můžete například přenést úlohu kontroly záloh na inženýra spolehlivosti webu místo toho, aby je kontroloval každý den DBA. Umožněte svým vývojářům zkontrolovat soubory protokolu MySQL, Postgres a MongoDB, aby je porovnali s jejich monitorováním. Můžete také umožnit staršímu vývojáři škálovat databázi přidáním dalších uzlů/úlomků nebo nechat zkušeného inženýra DevOps napsat poradce.
Jak vidíte, možností je zde nepřeberné množství, je jen otázkou, jak je odemknout. V sérii blogů Developer Studio se ponoříme hlouběji do automatizace s ClusterControl a pro integraci DevOps jsme nedávno vydali CCBot.