4.2 在 VMware 上設定 PlateSpin Migrate 多租戶

PlateSpin Migrate 中包含一些獨有的使用者角色 (以及一個用於在 VMware 資料中心內建立這些角色的工具),可讓非管理層級的 VMware 使用者 (也稱為「授權使用者」) 在 VMware 環境中執行 Migrate 生命週期操作。這些角色使您這樣的服務供應商可以將您的 VMware 叢集分段,以實現多租戶功能。即,您的資料中心內可例項化多個 Migrate 容器,以容納不同的 Migrate 客戶或「租戶」,方便這些客戶或租戶將其資料和存在痕跡與其他也在使用您的資料中心的客戶分開存放,並確保其他客戶無法存取。

本節包含以下資訊:

4.2.1 定義多租戶的 VMware 角色

PlateSpin Migrate 需要特定的權限才能在 VMware 平台中存取和執行任務,從而可在該環境中執行 Migrate 工作流程和功能。PlateSpin Migrate 伺服器安裝目標中包含的 PlateSpinRole.xml 檔案定義了一些 VMware 自訂角色,以及這些角色最少需要具有的權限。

建立多租戶管理 vCenter 環境時,將使用以下三個角色;您可以使用 Migrate-Install-folder\PlateSpin Migrate Server\bin\VMwareRolesTool 目錄中 PlateSpinRole.xml 檔案隨附的 PlateSpin VMware 角色工具 (PlateSpin.VMwareRoleTool.exe) 重新建立這些角色︰

  • PlateSpin 虛擬機器管理員

  • PlateSpin 虛擬基礎架構管理員

  • PlateSpin 使用者

以下四個角色用於過濾掉使用者沒有足夠權限無法執行移轉的資源。但是,PlateSpin VMware 角色工具無法重新建立這些角色。

  • PlateSpin 資料儲存管理員

  • PlateSpin 網路管理員

  • PlateSpin 叢集管理員

  • PlateSpin 虛擬機器使用者

本節包含以下資訊:

基本指令行語法

在指令行中,使用以下基本語法從角色工具的安裝位置執行該工具︰

PlateSpin.VMwareRoleTool.exe /host=[hostname/IP] /user=[user name] /role=[the role definition file name and location] /create

其他指令行參數和旗標

使用 PlateSpin.VMwareRoleTool.exe 在 vCenter 中建立或更新角色時,可視需要套用以下參數︰

/create

(強制) 建立透過 /role 參數定義的角色

/get_all_privileges

顯示所有伺服器定義的權限

/get_compatible_roles

顯示與 /role 定義的角色相容的所有角色

/check_role=[角色名稱]

檢查給定角色是否與 /role 定義的角色相容

可選旗標

/interactive

使用可讓您選擇建立單個角色、檢查角色相容性,或列出所有相容角色的 interactive 選項執行工具。

如需有關在互動模式下使用該工具的資訊,請參閱知識庫文章 7018547︰VMware Role Tool to Verify Permissions to the Roles (用於驗證角色許可權的 VMware 角色工具)

/password=[密碼]

提供 VMware 密碼 (略過密碼提示)

/verbose

顯示詳細資訊

工具用法範例

用法PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

產生的操作︰

  1. 角色定義工具在 houston_sales vCenter Server 上執行,其上有一個使用者名稱為 pedrom 的管理員。

  2. 由於未使用 /password 參數,工具會提示您輸入該使用者密碼。

  3. 工具存取角色定義檔 PlateSpinRole.xml,該檔案與工具可執行檔位於同一目錄 (因此前面的指令中無需進一步指定其路徑)。

  4. 工具找到該定義檔,並被指示 (/create) 在 vCenter 環境中建立該檔案內容中定義的角色。

  5. 工具存取定義檔,並在 vCenter 內建立新角色 (包含針對所定義的受限存取權的適當最少權限)。

    這些新的自訂角色將於稍後在 vCenter 中被指定給使用者

如需使用該工具的相關資訊,請參閱知識庫文章 7018547︰VMware Role Tool to Verify Permissions to the Roles (用於驗證角色許可權的 VMware 角色工具)

(選擇性) 手動在 vCenter 中定義 PlateSpin 角色

您可以使用 vCenter 用戶端手動建立和指定 PlateSpin 自訂角色。這就要求您建立具有 PlateSpinRole.xml 中定義的列舉權限的角色。手動建立角色時,角色的名稱沒有限制。唯一的限制就是,您建立的與定義檔中之角色名稱等同的角色名稱必須具有定義檔中的所有適當最少權限。

如需更多如何在 vCenter 中建立自訂角色的資訊,請參閱 VMware 技術資源中心內的 Managing VMware VirtualCenter Roles and Permissions (管理 VMware VirtualCenter 角色和許可權)

使用 vCenter 檢視 PlateSpin 自訂角色的權限

您可以使用 vCenter 用戶端檢視為 PlateSpin 自訂角色設定的最低權限。

  1. 在 vCenter 中選取一個自訂角色︰

    • PlateSpin 虛擬機器管理員

    • PlateSpin 虛擬基礎架構管理員

    • PlateSpin 使用者

    • PlateSpin 資料儲存管理員

    • PlateSpin 網路管理員

    • PlateSpin 叢集管理員

    • PlateSpin 虛擬機器使用者

  2. 按一下 Edit (編輯) 以在「Edit Role」(編輯角色) 對話方塊中檢視權限設定。

    例如,下圖顯示了為 PlateSpin 虛擬機器管理員角色設定的一些權限。

4.2.2 在 vCenter 中指定角色

設定多租戶環境時,需要為每個客戶或「租戶」佈建一個 Migrate 伺服器。您需為此 Migrate 伺服器指定一個具有特殊 Migrate VMware 角色的授權使用者。此授權使用者將會建立 Migrate 容器。做為服務提供商,您需要維護此使用者的身分證明,並且不能將其洩露給您的租戶客戶。

下表列出了您需要為此授權使用者定義的角色。表中還包含有關此角色用途的詳細資訊︰

用於角色指定的 vCenter 平台

角色指定詳細說明

傳播說明

其他資訊

vCenter 庫存樹的根。

為授權使用者指定 PlateSpin 虛擬基礎架構管理員 (或同等) 角色。

出於安全考慮,請將許可權定義為不具傳播性。

若要監控 Migrate 軟體正在執行的任務以及結束任何過期的 VMware 工作階段,需要具有此角色。

授權使用者需要存取的所有資料中心物件

為授權使用者指定 PlateSpin 虛擬基礎架構管理員 (或同等) 角色。

出於安全考慮,請將許可權定義為不具傳播性。

若要存取資料中心的資料儲存以上傳或下載檔案,需要具有此角色。

請將許可權定義為不具傳播性。

每個要做為容器新增至 Migrate 的叢集,以及叢集中包含的每部主機

為授權使用者指定 PlateSpin 虛擬基礎架構管理員 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

若要指定給一部主機,請傳播叢集物件的許可權或另外建立一個針對每部叢集主機的許可權。

如果針對叢集物件指定角色並傳播該角色,則在向叢集新增主機時無需再進行變更。不過,傳播此許可權會帶來安全隱患。

授權使用者需要在其中進行存取的每個資源池。

為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

儘管您可以指定對樹中任何位置之任意數量資源池的存取權限,仍必須至少針對一個資源池為授權使用者指定此角色。

授權使用者需要在其中進行存取的每個虛擬機器資料夾

為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

儘管您可以指定對樹中任何位置之任意數量虛擬機器資料夾的存取權限,仍必須至少針對一個資料夾為授權使用者指定此角色。

授權使用者需要在其中進行存取的每個網路。

具有 dvSwitch (分散式虛擬交換機) 和 dvPortgroup (分散式虛擬連接埠群組) 的分散式虛擬網路

為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

儘管您可以指定對樹中任何位置之任意數量網路的存取權限,仍必須至少針對一個網路為授權使用者指定此角色。

  • 若要為分散式虛擬交換器指定正確的角色,請在資料中心上傳播角色 (這會使得其他物件接收此角色),或將分散式虛擬交換器置於資料夾內並對該資料夾指定角色。

  • 對於將在 Migrate 使用者介面中顯示為可用網路的標準連接埠群組,需在叢集中的每部主機上為其建立定義。

授權使用者需要在其中進行存取的每個資料儲存和資料儲存叢集

為授權使用者指定 PlateSpin 虛擬機器管理員 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

必須已針對至少一個資料儲存或資料儲存叢集為授權使用者指定了此角色。

對於資料儲存叢集,許可權必須傳播至包含的資料儲存。若不針對叢集的個別成員提供存取權限會導致準備操作和完整複製操作失敗

下表顯示了一些您可以指定給客戶或租戶使用者的角色。

用於角色指定的 vCenter 平台

角色指定詳細說明

傳播說明

更多資訊

將在其中建立客戶的虛擬機器的每個資源池和資料夾。

為租戶使用者指定 PlateSpin 使用者 (或同等) 角色。

是否具有傳播性由 VMware 管理員決定。

此租戶是 PlateSpin Migrate 伺服器上 (同時也是 vCenter Server 上) PlateSpin 管理員群組的成員。

如果該租戶將會被授予變更虛擬機器所用資源 (即網路、ISO 影像等) 的能力,請為此使用者授予針對這些資源的必要許可權。例如,若要允許客戶變更其虛擬機器所連接的網路,應為此使用者指定針對所有該客戶可存取之網路的唯讀角色 (或更高角色)。

下圖展示了 vCenter 主控台中的虛擬基礎架構。標為藍色的物件會被指定基礎架構管理員角色。標為綠色的物件會被指定虛擬機器管理員角色。樹中未顯示虛擬機器資料夾、網路和資料儲存。這些物件會被指定 PlateSpin 虛擬機器管理員角色。

圖 4-1 vCenter 中指定的角色

指定 VMware 角色的安全隱患

PlateSpin 軟體僅使用授權使用者來執行保護生命週期操作。從服務提供商的角度而言,終端使用者絕無可能存取授權使用者的身分證明,也不能存取同一組 VMware 資源。在多個 Migrate 伺服器設定為使用同一 vCenter 環境的環境中,Migrate 可防止出現跨用戶端存取的情況。主要的安全隱患如下︰

  • 如果將 PlateSpin 虛擬基礎架構管理員角色指定給 vCenter 物件,則所有授權使用者都將能查看 (但不會影響) 其他各使用者執行的任務。

  • 這是因為無法設定針對資料儲存資料夾/子資料夾的許可權,因而具有針對某個資料儲存之許可權的所有授權使用者便都可以存取儲存在該資料儲存上的其他所有授權使用者的磁碟。

  • 如果將 PlateSpin 虛擬基礎架構管理員角色指定給叢集物件,則所有授權使用者都將能關閉/開啟針對整個叢集的 HA 或 DRS

  • 若在儲存叢集物件層級指定 PlateSpin 使用者角色,所有授權使用者將都能啟用/關閉針對整個叢集的 SDRS

  • 如果針對 DRS 叢集物件設定 PlateSpin 虛擬基礎架構管理員角色並傳播此角色,則授權使用者將可查看預設資源池及/或預設虛擬機器資料夾中存放的所有虛擬機器。此外,設定傳播時,還需要管理員針對授權使用者不得存取的所有資源池/虛擬機器資料夾,為授權使用者明確設定「無存取權限」角色。

  • 如果針對 vCenter 物件設定 PlateSpin 虛擬基礎架構管理員角色,則授權使用者可結束其他任何連接至 vCenter 的使用者的工作階段。

附註:請記住,在這些情境下,不同的授權使用者實際就是 PlateSpin 軟體的不同例項。