4.2 VMware上でのPlateSpin Migrateマルチテナンシの設定

PlateSpin Migrateには、VMwareの非管理ユーザ(つまり、「有効化されたユーザ」)がVMware環境でMigrateライフサイクル操作を実行できるようにする、固有のユーザ役割が用意されています(そのユーザ役割をVMwareデータセンターで作成するためのツールも付属します)。この役割を使用することにより、ユーザはサービスプロバイダとして、VMwareクラスタをセグメント化し、マルチテナンシを実装できます。マルチテナンシでは、データセンター内で複数のMigrateコンテナをインスタンス化することで、Migrateの複数の顧客(つまり、「テナント」)のデータを格納します。これらのテナントは、自社のデータが同じデータセンターを使用する他の顧客から切り離されていること、他社が自社のデータにアクセスできないこと、そして自社がデータセンターを使用していること、およびその痕跡を秘匿することを求めています。

このセクションでは、次の情報を紹介します。

4.2.1 マルチテナンシに対するVMwareの役割の定義

PlateSpin Migrateでは、VMwareプラットフォームでタスクにアクセスして実行し、その環境でのMigrateワークフローと機能の実行を可能にするための特定の権限が必要です。PlateSpin Migrate Serverインストールディレクトリに含まれるPlateSpinRole.xmlファイルでは、一部のVMwareのカスタム役割とこれらの役割に必要な最小限の権限を定義しています。

次の3つの役割は、マルチテナントvCenter環境を確立するときに使用され、Migrate-Install-folder\PlateSpin Migrate Server\bin\VMwareRolesToolディレクトリにあるPlateSpinRole.xmlファイルに含まれているPlateSpin VMware役割ツール(PlateSpin.VMwareRoleTool.exe)によって再作成されます。

PlateSpin Virtual Machine Manager
PlateSpin Virtual Infrastructure Manager
PlateSpin User

次の4つの役割は、マイグレーション実行のための十分な権限をユーザが持っていないリソースを除外するために使用されます。ただし、これらの役割はPlateSpin VMware役割ツールによって再作成されません。

PlateSpin Datastore Manager
PlateSpin Network Manager
PlateSpin Cluster Manager
PlateSpin VM User

このセクションでは、次の情報を紹介します。

基本的なコマンドライン構文

役割ツールのインストール先で、次の基本的な構文を使用して、このツールをコマンドラインで実行します。

PlateSpin.VMwareRoleTool.exe /host=[hostname/IP] /user=[user name] /role=[the role definition file name and location] /create

その他のコマンドラインパラメータおよびフラグ

PlateSpin.VMwareRoleTool.exeを使用してvCenterの役割を作成または更新する際には、必要に応じて次のパラメータを適用します。

/作成	(必須) /roleパラメータによって定義された役割を作成します
/get_all_privileges	サーバによって定義された権限をすべて表示します
/get_compatible_roles	/roleによって定義された役割と互換性のあるすべての役割を表示します。
/check_role=[role name]	指定された役割について、/roleによって定義された役割との互換性の有無を確認します。
オプションのフラグ
/interactive	個々の役割の作成、役割の互換性のチェック、または互換性のあるすべての役割の一覧表示を選択できる対話型オプションを指定して、ツールを実行します。インタラクティブなモードでツールを使用する方法については、「VMware Roleツールを使用した役割許可の確認 (KB 7018547)」を参照してください。
/password=[password]	VMwareパスワードを示します(パスワードプロンプトを迂回します)
/verbose	詳細情報を表示する

ツールの利用例

使用法: PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

結果としてのアクション:

役割定義ツールは、管理者のユーザ名がpedromのhouston_sales vCenterサーバで実行されます。
/passwordパラメータを指定しないと、ツールによってユーザパスワードの入力を求めるプロンプトが表示されます。このパスワードを入力します。
ツールの実行可能ファイルと同じディレクトリにある(そのパスをさらに詳細に定義する必要はない)役割定義ファイル(PlateSpinRole.xml)が、ツールによってアクセスされます。
定義ファイルが見つかり次第、そのファイル内で定義されている役割をvCenter環境に作成(/create)するように指示されます。
ツールが定義ファイルにアクセスし、vCenter内に新しい役割(定義されている限定的なアクセス用の最低限の権限を含む)を作成します

新しいカスタム役割は、vCenterで後でユーザに割り当てられます。

ツールを使用する方法については、「VMware Roleツールを使用した役割許可の確認 (KB 7018547)」を参照してください。

(オプション) vCenterでのPlateSpin役割の手動定義

PlateSpinカスタム役割を手動で作成して割り当てるには、vCenterクライアントを使用します。これには、PlateSpinRole.xmlで定義され列挙されている、役割を作成することが関係しています。手動で作成する場合は、役割名に関する制限がありません。唯一の制限は、定義ファイル内の役割と同等の作成済みの役割名に、適切な最低限の権限を定義ファイルからすべて付与する必要があることです。

vCenterでカスタム役割を作成する方法の詳細については、VMwareテクニカルリソースセンターの「VMWare VirtualCenterの役割と権限の管理」を参照してください。

vCenterを使用したPlateSpinカスタム役割の権限の表示

vCenterクライアントを使用すると、PlateSpinカスタム役割に対して設定された最小権限を表示することができます。

vCenterで、カスタム役割を選択します。
- PlateSpin Virtual Machine Manager
- PlateSpin Virtual Infrastructure Manager
- PlateSpin User
- PlateSpin Datastore Manager
- PlateSpin Network Manager
- PlateSpin Cluster Manager
- PlateSpin VM User
編集をクリックして、［役割の編集］ダイアログで権限の設定を表示します。

たとえば、以下の図には、PlateSpin Virtual Machine Manager役割に対して設定された権限の一部が示されています。

4.2.2 vCenterでの役割の割り当て

マルチテナンシ環境を設定する際には、顧客またはテナントごとに単一のMigrateサーバをプロビジョニングする必要があります。このMigrateサーバに、特別なMigrate VMware役割を持つ有効化されたユーザを割り当てます。この有効化されたユーザは、Migrateコンテナを作成します。サービスプロバイダは、このユーザの資格情報を保持して、テナント顧客には公開しません。

次の表は、有効化されたユーザに対して定義する必要がある役割を一覧表示しています。この役割の用途に関する説明も示します。

役割割り当て用のvCenterプラットフォーム	役割割り当ての詳細	プロパゲート手順	説明
vCenterインベントリツリーのルート。	有効化されたユーザに、PlateSpin Virtual Infrastructure Manager (またはそれと同等の)役割を割り当てます。	セキュリティ上の理由から、プロパゲートしないように権限を定義します。	この役割は、Migrateソフトウェアによって実行されているタスクを監視したり、失効したVMwareセッションを終了したりするために必要です。
有効化されたユーザがアクセスする必要のあるすべてのデータセンターオブジェクト。	有効化されたユーザに、PlateSpin Virtual Infrastructure Manager (またはそれと同等の)役割を割り当てます。	セキュリティ上の理由から、プロパゲートしないように権限を定義します。	この役割は、ファイルのアップロード/ダウンロード用にデータセンターのデータストアへのアクセスを許可するために必要です。プロパゲートしないように権限を定義します。
コンテナとしてMigrateに追加される各クラスタ、およびクラスタ内の各ホスト。	有効化されたユーザに、PlateSpin Virtual Infrastructure Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ホストに割り当てるには、クラスタオブジェクトから権限をプロパゲートするか、クラスタホストごとに追加権限を作成します。クラスタオブジェクトに割り当てた役割をプロパゲートした場合は、クラスタに新しいホストを追加した後、これ以上の変更は必要ありません。ただし、この権限のプロパゲートは、セキュリティに影響を与えます。
有効化されたユーザがアクセスする必要のある各リソースプール。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のリソースプールに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのリソースプールに対するアクセスを付与する必要があります。
有効化されたユーザがアクセスする必要のある各VMフォルダ。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のVMフォルダに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのフォルダに対するアクセスを付与する必要があります。
有効化されたユーザがアクセスする必要のある各ネットワーク。 dvSwitchおよびdvPortgroupが使用可能な分散仮想ネットワーク。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のネットワークに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのフォルダに対するアクセスを付与する必要があります。 dvSwitchに適切な役割を割り当てるには、データセンターで役割をプロパゲートするか(役割を受け取るオブジェクトが増える)、dvSwitchをフォルダに配置してそのフォルダに役割を割り当てます。標準的なポートグループが、使用可能なネットワークとしてMigrate UIに一覧にされるようにするには、クラスタ内の各ホストでポートグループの定義を作成します。
有効化されたユーザがアクセスする必要のある各データストアおよびデータストアクラスタ。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	有効化されたユーザには、この役割を割り当ててから、少なくとも1つのデータストアまたはデータストアクラスタに対するアクセスを付与する必要があります。データストアクラスタの場合、含まれているデータストアに対して権限をプロパゲートする必要があります。クラスタの個々のメンバーに対するアクセスが許可されないと、レプリケーションの準備と完全レプリケーションが両方とも失敗します。

次の表は、顧客またはテナントユーザに割り当てることができる役割を示しています。

役割割り当て用のvCenterプラットフォーム	役割割り当ての詳細	プロパゲート手順	説明
顧客のVMの作成先であるリソースプールおよびフォルダ。	テナントユーザに、PlateSpin User (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	このテナントは、PlateSpin Migrateサーバ上のPlateSpin管理者グループのメンバーであり、vCenterサーバ上にも存在します。テナントに、VMによって使用されるリソース(つまり、ネットワーク、ISOイメージなど)を変更する許可を付与するには、このユーザにそれらのリソースに対する必要な権限を付与します。たとえば、顧客が自分のVMの接続先ネットワークを変更できるようにするには、このユーザに対してそのネットワークへの読み込み専用の役割を割り当てるか、(より優れた方法として)顧客がアクセスできるすべてのネットワークへの読み込み専用の役割を割り当てます。

役割割り当て用のvCenterプラットフォーム

役割割り当ての詳細

プロパゲート手順

説明

顧客のVMの作成先であるリソースプールおよびフォルダ。

テナントユーザに、PlateSpin User (またはそれと同等の)役割を割り当てます。

プロパゲーションは、VMware管理者の判断で行われます。

このテナントは、PlateSpin Migrateサーバ上のPlateSpin管理者グループのメンバーであり、vCenterサーバ上にも存在します。

テナントに、VMによって使用されるリソース(つまり、ネットワーク、ISOイメージなど)を変更する許可を付与するには、このユーザにそれらのリソースに対する必要な権限を付与します。たとえば、顧客が自分のVMの接続先ネットワークを変更できるようにするには、このユーザに対してそのネットワークへの読み込み専用の役割を割り当てるか、(より優れた方法として)顧客がアクセスできるすべてのネットワークへの読み込み専用の役割を割り当てます。

次の図は、vCenterコンソールのVirtual Infrastructureを示しています。青色でラベル付けされているオブジェクトには、Infrastructure Manager役割が割り当てられます。緑色でラベル付けされているオブジェクトには、Virtual Machine Manager役割が割り当てられます。ツリーには、VMフォルダ、ネットワーク、およびデータストアが表示されていません。これらのオブジェクトには、PlateSpin Virtual Machine Manager役割が割り当てられます。

図 4-1 vCenterに割り当てられている役割

VMwareの役割を割り当てることによるセキュリティへの影響

PlateSpinソフトウェアでは、保護ライフサイクルの操作を実行する場合にのみ、有効化されたユーザを使用します。サービスプロバイダであるユーザの観点からすると、有効化されたユーザの資格情報に対するアクセス権はエンドユーザに付与されず、VMwareリソースの同じセットにもアクセスできないように思えます。複数のMigrateサーバが同一のvCenter環境を使用するように設定された環境では、Migrateにより、クロスクライアントアクセスの可能性が防止されます。主なセキュリティへの影響は次のとおりです。

vCenterオブジェクトにPlateSpin Virtual Infrastructure Manager役割を割り当てることにより、すべての有効化されたユーザが、他のユーザが実行したタスクを確認できるようになります(それらのタスクに影響を与えることはできない)。
データストアのフォルダ/サブフォルダに対して権限を設定することはできないため、データストアへの権限を持つすべての有効化されたユーザは、そのデータストアに格納されている他のすべての有効化されたユーザのディスクに対するアクセス権を持っています。
クラスタオブジェクトにPlateSpin Virtual Infrastructure Manager役割を割り当てると、すべての有効化されたユーザが、クラスタ全体のHAまたはDRSのオン/オフを切り替えられるようになります。
ストレージクラスタオブジェクトにPlateSpin User役割を割り当てると、すべての有効化されたユーザが、クラスタ全体のSDRSのオン/オフを切り替えられるようになります。
DRSクラスタオブジェクトにPlateSpin Virtual Infrastructure Manager役割を設定してからこの役割をプロパゲートすると、有効化されたユーザが、デフォルトのリソースプールまたはデフォルトのVMフォルダ(あるいはその両方)にあるすべてのVMを確認できるようになります。また、プロパゲーションでは、アクセスすべきではないすべてのリソースプール/VMフォルダに対する「アクセス不可」役割が付与されるように、管理者は有効化されたユーザに明示的に設定する必要があります。
vCenterオブジェクトにPlateSpin Virtual Infrastructure Manager役割を設定すると、有効化されたユーザが、vCenterに接続している他のユーザのセッションを終了できるようになります。

メモ:これらのシナリオでは、有効化された各ユーザが、実際にはPlateSpinソフトウェアの各インスタンスを表していることを明記してください。