4.2 Konfigurieren der PlateSpin Migrate-Mehrfachmandantenfähigkeit auf VMware

PlateSpin Migrate enthält eindeutige Benutzerrollen (und ein Werkzeug für deren Erstellung in einem VMware-Rechenzentrum), die es VMware-Benutzern ohne Administratorrechte (oder „aktivierten Benutzern“) ermöglichen, Migrate-Lebenszyklusvorgänge in der VMware-Umgebung auszuführen. Anhand dieser Rollen können Sie als Dienstanbieter Ihren VMware-Cluster für eine Mehrfachmandantenfähigkeit segmentieren. Dies bedeutet, dass mehrere Migrate-Container in Ihrem Rechenzentrum instanziiert werden und Migrate-Kunden oder „Mandanten“ aufnehmen können, die ihre Daten und den Nachweis über deren Vorhandensein von anderen Kunden, die ebenfalls Ihr Rechenzentrum nutzen, getrennt halten und den Zugriff durch diese Kunden verhindern möchten.

Dieser Abschnitt enthält folgende Informationen:

4.2.1 Definieren von VMware-Rollen für Mehrfachmandantenfähigkeit

PlateSpin Migrate erfordert bestimmte Berechtigungen für den Zugriff auf und die Durchführung von Aufgaben auf den VMware-Plattformen, die den Migrate-Workflow und die Migrate-Funktionen in dieser Umgebung ermöglichen. Die Datei PlateSpinRole.xml im PlateSpin Migrate-Server-Installationsverzeichnis definiert einige benutzerdefinierte VMware-Rollen sowie die für diese Rollen erforderlichen Mindestberechtigungen.

Die folgenden drei Rollen werden bei der Erstellung einer vCenter-Mehrfachmandantenumgebung verwendet und von einem PlateSpin-VMware-Rollenwerkzeug (PlateSpin.VMwareRoleTool.exe), das in der Datei PlateSpinRole.xml im Verzeichnis Migrate-Install-folder\PlateSpin Migrate Server\bin\VMwareRolesTool enthalten ist, neu erstellt:

PlateSpin-Manager für virtuelle Maschinen
PlateSpin-Manager für virtuelle Infrastrukturen
PlateSpin-Benutzer

Die folgenden vier Rollen werden zum Herausfiltern von Ressourcen verwendet, für die der Benutzer nicht über ausreichend Berechtigungen für die Migration verfügt. Diese Rollen werden jedoch nicht vom PlateSpin-VMware-Rollenwerkzeug neu erstellt.

PlateSpin-Datenablage-Manager
PlateSpin-Netzwerk-Manager
PlateSpin-Cluster-Manager
PlateSpin-VM-Benutzer

Dieser Abschnitt enthält folgende Informationen:

Grundlegende Befehlszeilensyntax

Führen Sie an dem Ort, an dem das Rollenwerkzeug installiert ist, das Werkzeug an der Befehlszeile aus und verwenden Sie dazu diese grundlegende Syntax:

PlateSpin.VMwareRoleTool.exe /host=[hostname/IP] /user=[user name] /role=[the role definition file name and location] /create

Zusätzliche Befehlszeilenparameter und -flaggen

Wenden Sie nach Bedarf die folgenden Parameter an, wenn Sie die PlateSpin.VMwareRoleTool.exe zur Erstellung oder Aktualisierung in vCenter verwenden:

/Erstellen	(Obligatorisch) Erstellt die Rollen, die durch den Parameter /Rolle definiert wurde
/get_all_privileges	Zeigt alle vom Server definierten Berechtigungen an
/get_compatible_roles	Zeigt alle Rollen an, die mit der durch „/role“ definierten Rolle kompatibel sind
/check_role=[role name]	Prüft die Kompatibilität der angegebenen Rolle mit der durch „/role“ definierten Rolle
Optionale Flaggen
/Interaktiv	Führen Sie das Werkzeug mit interaktiven Optionen aus, anhand deren Sie einzelne Rollen wählen, die Rollenkompatibilität überprüfen oder alle kompatiblen Rollen auflisten können. Weitere Informationen zur Verwendung des Werkzeugs im interaktiven Modus finden Sie unter VMware Role Tool to Verify Permissions to the Roles (VMware-Rollenwerkzeug zum Verifizieren von Berechtigungen für Rollen) (KB 7018547).
/password=[passwort]	Gibt das VMware-Passwort an (umgeht die Aufforderung zur Eingabe des Passworts)
/verbose	Zeigt detaillierte Informationen an

Beispiel für die Verwendung des Werkzeugs

Verwendung: PlateSpin.VMwareRoleTool.exe /Host=Houston_Vertrieb /Benutzer=pedrom /Rolle=PlateSpinRole.xml /create

Resultierende Aktionen:

Das Werkzeug für die Rollendefinition wird auf dem vCenter-Server Houston_Vertrieb ausgeführt, auf dem ein Administrator mit dem Benutzernamen pedrom vorhanden ist.
Wenn der Parameter /password nicht vorhanden ist, fordert das Werkzeug zur Eingabe des Benutzerpassworts auf, das Sie daraufhin eingeben.
Das Werkzeug greift auf die Rollendefinitionsdatei (PlateSpinRole.xml) zu, die sich im selben Verzeichnis befindet wie die ausführbare Datei für das Werkzeug (der Pfad dazu musste nicht näher definiert werden).
Das Werkzeug findet die Definitionsdatei und wird angewiesen (/Erstellen), die im Inhalt dieser Datei definierten Rollen in der vCenter-Umgebung zu erstellen.
Das Werkzeug greift auf die Definitionsdatei zu und erstellt die neuen Rollen (einschließlich der entsprechenden Mindestberechtigungen für den definierten, eingeschränkten Zugriff) innerhalb von vCenter.

Die neuen benutzerdefinierten Rollen müssen später Benutzern in vCenter zugewiesen werden.

Weitere Informationen zur Verwendung des Werkzeugs finden Sie unter VMware Role Tool to Verify Permissions to the Roles (VMware-Rollenwerkzeug zum Verifizieren von Berechtigungen für Rollen) (KB 7018547).

(Optional) Manuelle Definition der PlateSpin-Rollen in vCenter

Sie verwenden den vCenter-Client, um die benutzerdefinierten PlateSpin-Rollen zu erstellen und zuzuweisen. Dazu ist es erforderlich, die Rollen mit den aufgeführten Berechtigungen wie in PlateSpinRole.xml definiert zu erstellen. Wenn Sie die Rollen manuell erstellen, gibt es für den Namen der Rollen keine Beschränkungen. Die einzige Beschränkung besteht darin, dass die Rollennamen, die Sie entsprechend der Rollen in der Definitionsdatei erstellen, über alle Mindestberechtigungen verfügen, die in der Definitionsdatei aufgeführt sind.

Weitere Informationen zur Erstellung von benutzerdefinierten Rollen in vCenter finden Sie unter Verwalten der VMWare VirtualCenter-Rollen und -Berechtigungen im technischen Ressourcen-Center von VMware.

Anzeigen von Berechtigungen für benutzerdefinierte PlateSpin-Rollen in vCenter

Im vCenter-Client zeigen Sie die Mindestberechtigungen an, die für benutzerdefinierte PlateSpin-Rollen festgelegt sind.

Wählen Sie eine benutzerdefinierte Rolle in vCenter aus:
- PlateSpin-Manager für virtuelle Maschinen
- PlateSpin-Manager für virtuelle Infrastrukturen
- PlateSpin-Benutzer
- PlateSpin-Datenablage-Manager
- PlateSpin-Netzwerk-Manager
- PlateSpin-Cluster-Manager
- PlateSpin-VM-Benutzer
Klicken Sie auf Bearbeiten, um die Berechtigungseinstellungen im Dialogfeld zum Bearbeiten der Rolle anzuzeigen.

Die folgende Abbildung zeigt beispielsweise einige der für die Rolle „PlateSpin-Manager für virtuelle Maschinen“ festgelegten Berechtigungen.

4.2.2 Zuweisen von Rollen in vCenter

Beim Einrichten einer Mehrfachmandantenumgebung müssen Sie pro Kunde oder „Mandant“ einen einzelnen Migrate-Server bereitstellen. Sie weisen diesem Migrate-Server einen aktivierten Benutzer mit bestimmten Migrate-VMware-Rollen zu. Dieser aktivierte Benutzer erstellt den Migrate-Container. Als Service-Anbieter bewahren Sie den Berechtigungsnachweis dieses Benutzers auf und geben ihn Ihrem Mandantenkunden nicht bekannt.

In der folgenden Tabelle sind die Rollen aufgeführt, die Sie benötigen, um den aktivierten Benutzer zu definieren. Sie enthält auch weitere Informationen über den Zweck der Rolle:

vCenter-Plattform für die Rollenzuweisung	Details zur Rollenzuweisung	Anweisungen für die Übertragung	Weitere Informationen
Stamm des vCenter-Inventarbaums	Weisen Sie dem aktivierten Benutzer die Rolle PlateSpin-Manager für virtuelle Infrastrukturen (oder eine entsprechende Rolle) zu.	Aus Sicherheitsgründen müssen Sie die Berechtigung als nicht übertragbar definieren.	Diese Rolle ist erforderlich, um Aufgaben zu überwachen, die von der Migrate-Software ausgeführt werden, und um abgelaufene VMware-Sitzungen zu beenden.
Alle Rechenzentrumobjekte, auf die der aktivierte Benutzer zugreifen muss	Weisen Sie dem aktivierten Benutzer die Rolle PlateSpin-Manager für virtuelle Infrastrukturen (oder eine entsprechende Rolle) zu.	Aus Sicherheitsgründen müssen Sie die Berechtigung als nicht übertragbar definieren.	Diese Rolle ist erforderlich, um den Zugriff auf die Datenspeicher des Rechenzentrums für den Datei-Upload/Download zuzulassen. Definieren Sie die Berechtigung als nicht übertragbar.
Jeder Cluster, der als Container zu Migrate hinzugefügt werden soll, und jeder Host, der im Cluster enthalten ist	Weisen Sie dem aktivierten Benutzer die Rolle PlateSpin-Manager für virtuelle Infrastrukturen (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Für die Zuweisung zu einem Host müssen Sie die Berechtigung vom Cluster-Objekt übertragen oder eine zusätzliche Berechtigung an jedem Cluster-Host erstellen. Wenn die Rolle am Cluster-Objekt zugewiesen und übertragen wird, sind keine weiteren Änderungen beim Hinzufügen eines neuen Hosts zum Cluster erforderlich. Die Übertragung dieser Berechtigung bringt jedoch Auswirkungen auf die Sicherheit mit sich.
Jeder Ressourcen-Pool, auf den der aktivierte Benutzer zugreifen muss	Weisen Sie dem aktivierten Benutzer die Rolle des PlateSpin-Managers für virtuelle Maschinen (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Obwohl Sie den Zugriff auf eine beliebige Anzahl von Ressourcen-Pools an einem Standort im Baum zuweisen können, müssen Sie dem aktivierten Benutzer diese Rolle an mindestens einem Ressourcen-Pool zuweisen.
Jeder VM-Ordner, auf den der aktivierte Benutzer zugreifen muss	Weisen Sie dem aktivierten Benutzer die Rolle des PlateSpin-Managers für virtuelle Maschinen (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Obwohl Sie den Zugriff auf eine beliebige Anzahl von VM-Ordnern an einem beliebigen Standort im Baum zuweisen können, müssen Sie dem aktivierten Benutzer diese Rolle an mindestens einem Ordner zuweisen.
Jedes Netzwerk, auf das der aktivierte Benutzer zugreifen muss Verteilte virtuelle Netzwerke mit einem dvSwitch und einer dvPortgroup	Weisen Sie dem aktivierten Benutzer die Rolle des PlateSpin-Managers für virtuelle Maschinen (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Obwohl Sie den Zugriff auf eine beliebige Anzahl von Netzwerken an einem beliebigen Standort im Baum zuweisen können, müssen Sie dem aktivierten Benutzer diese Rolle an mindestens einem Ordner zuweisen. Um dem dvSwitch die richtige Rolle zuzuweisen, müssen Sie die Rolle auf das Rechenzentrum übertragen (wodurch ein weiteres Objekt erstellt wird, das die Rolle erhält) oder den dvSwitch in einen Ordner stellen und die Rolle an diesem Ordner zuweisen. Damit eine Standard-Portgruppe als verfügbares Netzwerk an der Migrate-Oberfläche aufgeführt wird, müssen Sie dafür an jedem Host im Cluster eine Definition erstellen.
Jeder Datenspeicher und Datenspeicher-Cluster, auf den der aktivierte Benutzer zugreifen muss	Weisen Sie dem aktivierten Benutzer die Rolle des PlateSpin-Managers für virtuelle Maschinen (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Dem aktivierten Benutzer muss diese Rolle an mindestens einem Datenspeicher oder Datenspeicher-Cluster zugewiesen worden sein. Bei Datenspeicher-Clustern muss die Berechtigung an die darin enthaltenen Datenspeicher übertragen werden. Wenn für ein einzelnes Mitglied des Clusters kein Zugriff bereitgestellt wurde, treten bei vorbereiteten und vollständigen Reproduktionen Fehler auf.

In der folgenden Tabelle sehen Sie die Rolle, die Sie dem Kunden oder Mandantenbenutzer zuweisen können.

vCenter-Plattform für die Rollenzuweisung	Details zur Rollenzuweisung	Anweisungen für die Übertragung	Weitere Informationen
Alle Ressourcen-Pools und Ordner, in denen die virtuellen Maschinen des Kunden erstellt werden	Weisen Sie dem Mandantenbenutzer die PlateSpin-Benutzer-Rolle (oder eine entsprechende Rolle) zu.	Die Übertragung liegt im Ermessen des VMware-Administrators.	Dieser Mandant ist Mitglied der PlateSpin-Administratorgruppe am PlateSpin Migrate-Server und ist auch am vCenter-Server vorhanden. Wenn der Mandant die von der virtuellen Maschine verwendeten Ressourcen (also die Netzwerke, ISO-Images usw.) ändern darf, müssen Sie diesem Benutzer dazu die nötigen Berechtigungen an diesen Ressourcen erteilen. Wenn Sie dem Kunden beispielsweise erlauben möchten, das Netzwerk zu ändern, in das seine virtuelle Maschine eingebunden ist, dann sollten Sie diesem Benutzer (mindestens) die schreibgeschützte Rolle (oder eine höhere Rolle) an allen Netzwerken zuweisen, auf die der Kunde zugreifen darf.

vCenter-Plattform für die Rollenzuweisung

Details zur Rollenzuweisung

Anweisungen für die Übertragung

Weitere Informationen

Alle Ressourcen-Pools und Ordner, in denen die virtuellen Maschinen des Kunden erstellt werden

Weisen Sie dem Mandantenbenutzer die PlateSpin-Benutzer-Rolle (oder eine entsprechende Rolle) zu.

Die Übertragung liegt im Ermessen des VMware-Administrators.

Dieser Mandant ist Mitglied der PlateSpin-Administratorgruppe am PlateSpin Migrate-Server und ist auch am vCenter-Server vorhanden.

Wenn der Mandant die von der virtuellen Maschine verwendeten Ressourcen (also die Netzwerke, ISO-Images usw.) ändern darf, müssen Sie diesem Benutzer dazu die nötigen Berechtigungen an diesen Ressourcen erteilen. Wenn Sie dem Kunden beispielsweise erlauben möchten, das Netzwerk zu ändern, in das seine virtuelle Maschine eingebunden ist, dann sollten Sie diesem Benutzer (mindestens) die schreibgeschützte Rolle (oder eine höhere Rolle) an allen Netzwerken zuweisen, auf die der Kunde zugreifen darf.

In der folgenden Abbildung ist eine virtuelle Infrastruktur in der vCenter-Konsole dargestellt. Den blau gekennzeichneten Objekten wird die Infrastruktur-Manager-Rolle zugewiesen. Den grün gekennzeichneten Objekten wird die Rolle des Managers für virtuelle Maschinen zugewiesen. Der Baum zeigt keine VM-Ordner, Netzwerke und Datenspeicher. Diesen Objekten wird die Rolle des PlateSpin-Managers für virtuelle Maschinen zugewiesen.

Abbildung 4-1 In vCenter zugewiesene Rollen

Auswirkungen auf die Sicherheit durch Zuweisen von VMware-Rollen

Die PlateSpin-Software verwendet einen aktivierten Benutzer nur zur Durchführung von Schutzmaßnahmen für Lebenszyklusvorgängen. Aus Ihrer Sicht als Service-Anbieter hat ein Endbenutzer niemals Zugriff auf den Berechtigungsnachweis des aktivierten Benutzers und kann nicht auf denselben Satz von VMware-Ressourcen zugreifen. In einer Umgebung, in der mehrere Migrate-Server für die Verwendung der selben vCenter-Umgebung konfiguriert sind, verhindert Migrate die Möglichkeit für den Zugriff über mehrere Clients hinweg. Die wichtigsten Auswirkungen auf die Sicherheit sind wie folgt:

Wenn die Rolle PlateSpin-Manager für virtuelle Infrastrukturen dem vCenter-Objekt zugewiesen wurde, kann jeder aktivierte Benutzer die von jedem anderen Benutzer ausgeführten Aufgaben sehen (jedoch nicht bearbeiten).
Da es keine Möglichkeit gibt, Berechtigungen an Datenspeicherordnern/-unterordnern festzulegen, haben alle aktivierten Benutzer mit Berechtigungen an einem Datenspeicher Zugriff auf die Festplatten aller anderen aktivierten Benutzer, die im Datenspeicher gespeichert sind.
Wenn die Rolle PlateSpin-Manager für virtuelle Infrastrukturen dem Cluster-Objekt zugewiesen wurde, kann jeder aktivierte Benutzer HA oder DRS für den gesamten Cluster aus- oder einschalten.
Wenn die PlateSpin-Benutzer-Rolle am Speicher-Cluster-Objekt zugewiesen wurde, kann jeder aktivierte Benutzer SDRS für den gesamten Cluster aus- oder einschalten.
Durch Festlegen der Rolle PlateSpin-Manager für virtuelle Infrastrukturen am DRS-Cluster-Objekt und Übertragen dieser Rolle kann der aktivierte Benutzer alle VMs sehen, die sich im Standard-Ressourcen-Pool und/oder Standard-VM-Ordner befinden. Für die Übertragung ist es außerdem erforderlich, dass der Administrator ausdrücklich für den aktivierten Benutzer festlegt, dass dieser eine „Nicht-Zugriff“-Rolle an jedem Ressourcen-Pool/VM-Ordner erhält, auf die dieser aktivierte Benutzer nicht zugreifen sollte.
Durch Festlegen der Rolle PlateSpin-Manager für virtuelle Infrastrukturen am vCenter-Objekt darf der aktivierte Benutzer Sitzungen von anderen Benutzern beenden, die mit dem vCenter verbunden sind.

HINWEIS:Denken Sie daran, dass in diesen Szenarien die unterschiedlichen aktivierten Benutzer tatsächlich verschiedene Instanzen der PlateSpin-Software darstellen.