使用 OpenStack-ansible Yoga:作为 OpenStack 中的用户,我可以在 Horizon Network-Topology 中看到所有管理员创建的提供商网络,但我看不到任何管理员创建的路由器,无论是在 Horizon 界面还是在 cli 界面中都看不到。结果是,作为用户,我的网络拓扑图不会显示我连接到哪个提供商网络,因为没有可见的路由器。之所以有连接,是因为我可以访问互联网,并且以管理员身份登录后,我可以看到我的专用网络的接口连接到路由器,而路由器又连接到提供商网络。即使将“共享”标志设置为关闭,这些提供商网络也是可见的。路由器似乎甚至没有“共享”标志。我怎样才能让这些路由器对用户只读可见?自 Ussuri 以来,我们的 OpenStack 云中一切运行良好,但我似乎无法解决这个问题。
答案1
进一步研究这个问题,我认为答案在于 OpenStack 中的 RBAC 策略(请参阅 Horizon、管理、网络、RBAC 策略)。由于 RBAC 策略允许这样做,因此提供商网络对用户可见。当您创建提供商网络并将其标记为 --external 时,将使用操作“access_as_external”和 target_project_id 通配符 * 创建 RBAC 策略,因此每个项目都可以看到这些网络。在我看来,对于子网和路由器,甚至没有可用于网络 RBAC 策略的对象。