4.2 Configuración de inquilinos múltiples de PlateSpin Migrate en VMware

PlateSpin Migrate incluye funciones de usuario únicas (y una herramienta para crearlas en un centro de datos VMware) que hacen posible que usuarios de VMware no administrativos (o "usuarios habilitados") lleven a cabo operaciones del ciclo de vida de Migrate en el entorno VMware. Estas funciones hacen posible que usted, como proveedor de servicios, segmente su clúster de VMware para permitir la multitenencia. Esto implica la existencia de varias instancias de contenedores de Migrate en el centro de datos para acomodar a clientes de Migrate o “inquilinos” que deseen mantener sus datos y el hecho de que existen por separado e inaccesibles para los demás clientes del centro de datos.

En esta sección se incluye la información siguiente:

4.2.1 Definición de funciones de VMware para varios inquilinos

PlateSpin Migrate requiere ciertos privilegios para acceder a las plataformas de VMware y realizar tareas en ella, con el fin de que el flujo de trabajo y las funciones de Migrate sean posibles en ese entorno. El archivo PlateSpinRole.xml incluido en el directorio de instalación del servidor de PlateSpin Migrate define algunas funciones personalizadas de VMware y los privilegios mínimos obligatorios para estas funciones.

Las siguientes tres funciones se utilizan al establecer un entorno de vCenter multitenencia y se vuelven a crear mediante una herramienta de funciones de PlateSpin VMware (PlateSpin.VMwareRoleTool.exe) incluida con el archivo PlateSpinRole.xml en el directorio carpeta-instalación-Migrate\PlateSpin Migrate Server\bin\VMwareRolesTool:

Gestor de máquinas virtuales de PlateSpin
Gestor de infraestructura virtual de PlateSpin
Usuario de PlateSpin

Las siguientes cuatro funciones se utilizan para filtrar los recursos en los que el usuario no tiene privilegios suficientes para realizar las tareas de migración. Sin embargo, estas funciones no se vuelven a crear mediante la herramienta de funciones de PlateSpin VMware.

Gestor de almacén de datos de PlateSpin
Gestor de red de PlateSpin
Gestor de clúster de PlateSpin
Usuario de máquina virtual de PlateSpin

En esta sección se incluye la información siguiente:

Sintaxis básica de la línea de comandos

Desde la ubicación en la que se haya instalado la herramienta de funciones, ejecute la herramienta desde la línea de comandos empleando esta sintaxis básica:

PlateSpin.VMwareRoleTool.exe /host=[hostname/IP] /user=[user name] /role=[the role definition file name and location] /create

Parámetros e indicadores adicionales de línea de comandos

Aplique los siguientes parámetros según sea necesario al utilizar PlateSpin.VMwareRoleTool.exe para crear o actualizar funciones en vCenter:

/create	(Obligatorio) Crea las funciones definidas mediante el parámetro /role.
/get_all_privileges	Muestra todos los privilegios definidos en el servidor.
/get_compatible_roles	Muestra todas las funciones que son compatibles con la función definida por /role.
/check_role=[nombre de función]	Compruebe que la función indicada es compatible con la función definida por /role.
Indicadores opcionales
/interactive	Ejecuta la herramienta con opciones interactivas que permiten crear funciones individuales, comprobar la compatibilidad de funciones o indicar todas las funciones compatibles. Para obtener información sobre cómo usar la herramienta en modo interactivo, consulte VMware Role Tool to Verify Permissions to the Roles (Herramienta de funciones de VMware para verificar permisos para funciones, artículo 7018547 de la base de conocimientos).
/password=[contraseña]	Proporciona la contraseña de VMware (omite la solicitud de contraseña).
/verbose	Muestra información detallada.

Ejemplo de uso de la herramienta

Uso: PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

Acciones resultantes:

La herramienta de definición de funciones se ejecuta en el servidor de vCenter houston_sales, que tiene un administrador con el nombre de usuario pedrom.
En ausencia del parámetro /password, la herramienta solicita la contraseña de usuario, que deberá introducir.
La herramienta accede al archivo de definición de funciones, PlateSpinRole.xml, que se encuentra en el mismo directorio que el ejecutable de la herramienta (no era necesario definir su vía).
La herramienta encuentra el archivo de definición y recibe la instrucción (/create) de crear las funciones definidas en el contenido de ese archivo en el entorno vCenter.
La herramienta accede al archivo de definición y crea las nuevas funciones (incluidos los privilegios mínimos apropiados para el acceso limitado definido) dentro de vCenter.

Las nuevas funciones personalizadas se asignarán posteriormente a los usuarios en vCenter.

Para obtener información sobre cómo usar la herramienta, consulte VMware Role Tool to Verify Permissions to Roles (Herramienta de funciones de VMware para verificar permisos para funciones, artículo 7018547 de la base de conocimientos).

(Opcional) Definición manual de las funciones de PlateSpin en vCenter

Puede usar el cliente de vCenter para crear y asignar manualmente las funciones personalizadas de PlateSpin. Esto requiere crear las funciones con los privilegios enumerados definidos en PlateSpinRole.xml. Si la creación se realiza manualmente, no existen restricciones sobre el nombre de la función. La única restricción es que los nombres de funciones creadas como equivalentes a aquellas en el archivo de definición tengan los privilegios mínimos apropiados del archivo de definición.

Para obtener información sobre cómo crear funciones personalizadas en vCenter, consulte el documento sobre cómo administrar funciones y permisos de VMware VirtualCenter en el centro de recursos técnicos de VMware.

Uso de vCenter para ver privilegios de funciones personalizadas de PlateSpin

Puede usar el cliente de vCenter para ver los privilegios mínimos establecidos para las funciones personalizadas de PlateSpin.

En vCenter, seleccione una función personalizada:
- Gestor de máquinas virtuales de PlateSpin
- Gestor de infraestructura virtual de PlateSpin
- Usuario de PlateSpin
- Gestor de almacén de datos de PlateSpin
- Gestor de red de PlateSpin
- Gestor de clúster de PlateSpin
- Usuario de máquina virtual de PlateSpin
Haga clic en Edit (Editar) para ver la configuración de los privilegios en el recuadro de diálogo Edit Role (Editar función).

Por ejemplo, la ilustración siguiente muestra algunos de los privilegios definidos para la función Gestor de máquinas virtuales de PlateSpin.

4.2.2 Asignación de funciones en vCenter

Al configurar un entorno de múltiples inquilinos, deberá aprovisionar un solo servidor de Migrate por cliente o “inquilino”. Le asignará a este servidor de Migrate un usuario habilitado con funciones especiales de VMware para Migrate. Este usuario habilitado creará el contenedor de Migrate. Como proveedor de servicios, mantendrá las credenciales del usuario y no las revelará al cliente inquilino.

La siguiente tabla indica las funciones que debe definir para el usuario habilitado. También incluye más información sobre la finalidad de la función:

Plataforma vCenter para la asignación de funciones	Aspectos específicos de asignación de funciones	Instrucciones de propagación	Más información
Raíz del árbol de inventario de vCenter	Asigne al usuario habilitado la función Gestor de infraestructura virtual de PlateSpin (o una equivalente).	Por razones de seguridad, defina el permiso como no propagable.	Esta función es necesaria para supervisar las tareas que lleva a cabo el software de Migrate y finalizar cualquier sesión de VMware inactiva.
Todos los objetos del centro de datos a los que el usuario habilitado necesite acceder	Asigne al usuario habilitado la función Gestor de infraestructura virtual de PlateSpin (o una equivalente).	Por razones de seguridad, defina el permiso como no propagable.	Esta función es necesaria para permitir el acceso a los almacenes de datos del centro de datos para cargar o descargar archivos. Defina el permiso como no propagable.
Todos los clústeres que se vayan a añadir a Migrate como contenedores y todos los hosts incluidos en los clústeres	Asigne al usuario habilitado la función Gestor de infraestructura virtual de PlateSpin (o una equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	Para asignarlo a un host, propague el permiso desde el objeto de clúster o cree un permiso adicional en cada host del clúster. Si la función se asigna en el objeto de clúster y se propaga, no será necesario realizar cambios adicionales al añadir un nuevo host al clúster. Sin embargo, propagar el permiso tiene implicaciones respecto a la seguridad.
Todos los repositorios de recursos a los que necesite acceder el usuario habilitado	Asigne al usuario habilitado la función Administrador de máquinas virtuales de PlateSpin (o equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	Aunque puede asignar el acceso a cualquier cantidad de repositorios de recursos en cualquier ubicación del árbol, debe asignar esta función al usuario habilitado en al menos un repositorio de recursos.
Todas las carpetas de máquinas virtuales a las que necesite acceder el usuario habilitado	Asigne al usuario habilitado la función Administrador de máquinas virtuales de PlateSpin (o equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	Aunque puede asignar el acceso a cualquier cantidad de carpetas de máquinas virtuales en cualquier ubicación del árbol, debe asignar esta función al usuario habilitado en al menos una carpeta.
Todas las redes a las que necesite acceder el usuario habilitado Redes virtuales distribuidas con dvSwitch y dvPortgroup	Asigne al usuario habilitado la función Administrador de máquinas virtuales de PlateSpin (o equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	Aunque puede asignar el acceso a cualquier cantidad de redes en cualquier ubicación del árbol, debe asignar esta función al usuario habilitado en al menos una carpeta. Para asignar la función correcta a dvSwitch, propague la función en el centro de datos (lo que implicará que un objeto adicional reciba la función) o sitúe dvSwitch en una carpeta y asigne la función a dicha carpeta. Para que un grupo de puertos estándar se muestre como una red disponible en la interfaz de Migrate, cree una definición para el grupo en cada host del clúster.
Todos los almacenes de datos y clústeres de almacenes de datos a los que necesite acceder el usuario habilitado	Asigne al usuario habilitado la función Administrador de máquinas virtuales de PlateSpin (o equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	El usuario habilitado debe tener esta función asignada en al menos un almacén de datos o clúster de almacenes de datos. Para los clústeres de almacenes de datos, el permiso debe propagarse a los almacenes de datos que contenga. En caso de no proporcionar acceso a un miembro individual del clúster, fallarán tanto la preparación como las réplicas completas.

La siguiente tabla muestra la función que puede asignar al cliente o usuario inquilino.

Plataforma vCenter para la asignación de funciones	Aspectos específicos de asignación de funciones	Instrucciones de propagación	Más información
Todos los repositorios de recursos y las carpetas en las que se vayan a crear las máquinas virtuales del cliente	Asigne al usuario inquilino la función Usuario de PlateSpin (o equivalente).	La propagación queda sujeta al criterio del administrador de VMware.	Este inquilino pertenece al grupo de administradores de PlateSpin en el servidor de PlateSpin Migrate y también está en el servidor vCenter. Si el inquilino va tener la posibilidad de modificar los recursos empleados por la máquina virtual (es decir, redes, imágenes ISO, etc.), proporcione a este usuario los permisos necesarios sobre dichos recursos. Por ejemplo, si desea permitir que el cliente modifique la red a la que está conectada su máquina virtual, el usuario debe tener asignada la función de solo lectura (o superior) en todas las redes a las que pueda acceder el cliente.

Plataforma vCenter para la asignación de funciones

Aspectos específicos de asignación de funciones

Instrucciones de propagación

Más información

Todos los repositorios de recursos y las carpetas en las que se vayan a crear las máquinas virtuales del cliente

Asigne al usuario inquilino la función Usuario de PlateSpin (o equivalente).

La propagación queda sujeta al criterio del administrador de VMware.

Este inquilino pertenece al grupo de administradores de PlateSpin en el servidor de PlateSpin Migrate y también está en el servidor vCenter.

Si el inquilino va tener la posibilidad de modificar los recursos empleados por la máquina virtual (es decir, redes, imágenes ISO, etc.), proporcione a este usuario los permisos necesarios sobre dichos recursos. Por ejemplo, si desea permitir que el cliente modifique la red a la que está conectada su máquina virtual, el usuario debe tener asignada la función de solo lectura (o superior) en todas las redes a las que pueda acceder el cliente.

A continuación se muestra una infraestructura virtual en la consola de vCenter. Los objetos etiquetados en azul tienen asignada la función Administrador de infraestructuras. Los objetos etiquetados en verde tienen asignada la función Administrador de máquinas virtuales. El árbol no muestra carpetas de máquinas virtuales, redes ni almacenes de datos. A estos objetos se les asigna la función Administrador de máquinas virtuales de PlateSpin.

Figura 4-1 Funciones asignadas en vCenter

Implicaciones de seguridad de la asignación de funciones de VMware

El software de PlateSpin emplea un usuario habilitado únicamente para realizar operaciones del ciclo de vida de protección. Desde su perspectiva como proveedor de servicios, los usuarios finales nunca tienen acceso a las credenciales del usuario habilitado y no pueden acceder al mismo conjunto de recursos de VMware. En un entorno en el que haya varios servidores de Migrate configurados para usar el mismo entorno vCenter, Migrate impide cualquier posibilidad de acceso entre distintos clientes. Algunas de las principales implicaciones de seguridad son las siguientes:

Con la función Administrador de infraestructura virtual de PlateSpin asignada al objeto de vCenter, todos los usuarios habilitados podrán ver las tareas realizadas por cualquier otro usuario (pero no actuar sobre ellas).
Puesto que no existe ninguna forma de establecer permisos en carpetas o subcarpetas de almacenes de datos, todos los usuarios habilitados con permisos en un almacén de datos tendrán acceso a todos los discos de los demás usuarios habilitados almacenados en él.
Con la función Administrador de infraestructura virtual de PlateSpin asignada al objeto de clúster, todos los usuarios habilitados podrán activar o desactivar HA o DRS en todo el clúster.
Con la función Usuario de PlateSpin asignada al objeto de clúster de almacenamiento, todos los usuarios habilitados podrán activar o desactivar SDRS en todo el clúster.
Establecer la función Administrador de infraestructura virtual de PlateSpin en el objeto de clúster DRS y propagarla permite que el usuario habilitado vea todas las máquinas virtuales situadas en el repositorio de recursos por defecto o la carpeta de máquinas virtuales por defecto. Además, la propagación requiere que el administrador establezca explícitamente que el usuario habilitado tenga una función de “no acceso” en cada repositorio de recursos o carpeta de máquinas virtuales donde no deba tener acceso.
Establecer la función Administrador de infraestructura virtual de PlateSpin en el objeto vCenter permite que el usuario habilitado finalice las sesiones de cualquier otro usuario conectado a vCenter.

NOTA:recuerde que en estas situaciones, cada usuario habilitado es en realidad una instancia diferente del software de PlateSpin.