Вход|Регистрация

Permission for DataRecovery

Пятница, 11 февраля 2011, 18:56

Не так давно в комьюнити появился вопрос о настройке прав доступа специального пользователя — не администратора для работы с DataRecovery. Подобные вопросы возникали и раньше (например, тут и тут), но лучшее, что там есть — это ссылка на статью VMware Data Recovery fails to connect to vCenter. Цитирую:

You require the following privileges to manage the VDR appliance:

    * Datastore > Allocate space
    * VirtualMachine > Configuration > Add new disk
    * VirtualMachine > Configuration > Change resource
    * VirtualMachine > Configuration > Remove disk
    * VirtualMachine > Configuration > Settings
    * Global > Licenses

Действительно, подключиться пользователем с такими правами можно. Но этого набора прав явно недостаточно даже для проведения операции бекапирования. Задание прерывается с ошибкой ещё на этапе снятия снапшота бекапируемой машины:

Возможно, в статье предполагается, что для взаимодействиея DR и vCenter используется администраторский аккаунт, устанавливаемый единожды и неизвестный для оператора резервного копирования.

Задачу для себя я сформулировал так: выделенный пользователь должен подключаться клиентом под своим аккаунтом и иметь возможность видеть только машины в отдельном пуле ресурсов, которые он может бекапить/восстанавливать. Кроме того возможность его деструктивного взаимодействия со всеми элементами виртуальной инфраструктуры должна быть, по возможности, минимальной. Предполагается, что все защищаемые машины находятся на одном или нескольких датасторах, на которых не могут появиться "посторонние" продуктовые машины.

Путём нескольких часов отлынивания от основной работы проб и ошибок получилось сократить список необходимых привилегий оператора бекапа.

Расположение Permissions для такой роли:

Уровень датацентра (без наследования), хост/хосты, где расположен ресурс-пул с машинами (без наследования), сам ресурс-пул (с наследованием), датастор с машинами (с наследованием), сеть, куда подключены машины (с наследованием).

Расположение Permissions для роли Read-Only:

Хост/хосты, на которых может выполняться виртуальная машина DataRecovery (без наследования) — неочевидный и попивший мне много крови момент! — виртуальная машина DataRecovery (без наследования).

 

Постарался максимально подробно описать мою текущую конфигурацию. Очевидно, что круг разрешений можно ещё уменьшить, так что буду благодарен за возможные дополнения и замечания.

Комментариев нет