O VMware Cloud Director Availability requer os seguintes privilégios exatos para suas funções e direitos de usuários específicos e estabelece as sessões para realizar operações de recuperação de desastre (DR) a seguir.

Conta de usuário raiz do dispositivo do VMware Cloud Director Availability

O VMware Cloud Director Availability usa a conta de usuário raiz para acesso ao console do dispositivo virtual e à interface de gerenciamento. A implantação inicial de cada dispositivo do VMware Cloud Director Availability configura essa conta. O assistente para Implantação do OVF requer uma senha inicial para a conta de usuário raiz, com um requisito inicial com mais de três caracteres. Após a implantação inicial, o VMware Cloud Director Availability força a alteração dessa senha inicial no primeiro login usando o usuário raiz, com os seguintes requisitos para a senha da conta de usuário raiz persistente.
  • A senha deve ter mais de oito caracteres.
  • A senha deve conter dígitos, letras maiúsculas e minúsculas e caracteres não alfabéticos.
  • A senha não pode corresponder a nenhuma senha anterior.
  • A senha deve conter mais de quatro novos caracteres em comparação com a senha anterior.

Usuários do VMware Cloud Director Availability

O VMware Cloud Director Availability distingue usuários com direitos administrativos de usuários regulares.

  • Grupos no domínio do vCenter Single Sign-On:
    Para estabelecer uma sessão de usuário com direitos de administradores no VMware Cloud Director Availability, as credenciais para os sites de origem e de destino devem pertencer aos grupos ADMINISTRATORS ou VRADMINISTRATORS. Aplicável aos dois tipos de implantação:
    • Para a DR e a migração vSphere entre sites do vCenter Server.
    • Para replicações com sites de nuvem com suporte do VMware Cloud Director.

    Por exemplo, o usuário de single sign-on [email protected] é membro do grupo ADMINISTRATORS.

    Especificamente para DR e migração do vSphere, o VMware Cloud Director Availability oferece suporte aos usuários membros dos dois seguintes grupos:
    Associação de grupo Na página On-Premises to Cloud vCenter Replication Appliance No vCenter Replication Management Appliance do provedor
    Grupo ADMINISTRATORS Os usuários do grupo ADMINISTRATORS no local permitem controle completo. Os usuários do grupo ADMINISTRATORS do provedor permitem controle completo.
    Grupo VRUSERS

    VRUSERS no local tem permissões somente para:

    • Monitorar replicações
    • Gerenciar replicações
    • Monitorar tarefas de replicação
    • Monitorar sites de peer. Os usuários membros do grupo VRUSERS não podem modificar os sites emparelhados já existentes nem emparelhar novos sites.
    Observação: O emparelhamento com um site do provedor requer a inserção de um usuário do provedor que pertença a VRUSERS, ADMINISTRATORS ou VRADMINISTRATORS nesse site do provedor. Para a maioria dos tenants, recomenda-se emparelhar usando um usuário que pertença ao grupo VRUSERS de provedor.

    Em resumo, para estabelecer um emparelhamento do site no local com o site do provedor são necessários os dois usuários: um usuário do grupo ADMINISTRATORS no local e um usuário do grupo VRUSERS .

    VRUSERS de provedor tem permissões somente para:

    • Monitorar replicações
    • Gerenciar replicações
    • Monitorar tarefas de replicação
    • Monitorar sites de peer. Os usuários membros do VRUSERS não podem emparelhar novos sites nem modificar os sites emparelhados existentes, mesmo para emparelhamentos de sites no local que usam o mesmo usuário do VRUSERS de provedor para estabelecer a confiança. Os usuários do VRUSERS não têm permissão para modificar quaisquer emparelhamentos, independentemente do tipo de site do peer.
  • Usuários da organização do VMware Cloud Director:
    Em sites do Cloud Director, os provedores gerenciam os objetos do VMware Cloud Director Availability e os dispositivos do VMware Cloud Director Availability locais após a autenticação como usuários Administrador do Sistema do VMware Cloud Director. Por padrão, a função de Administrador do Sistema tem todos os direitos do VMware Cloud Director. Os usuários pertencentes a essa função podem gerenciar qualquer local e monitorar qualquer objeto de inventário remoto do VMware Cloud Director Availability. No site local, para gerenciar objetos remotos do VMware Cloud Director Availability, autentique-se como Administrador do Sistema no site remoto.
  • Usuários de tenant:
    Os tenants realizam operações de recuperação de desastre e gerenciam os objetos do VMware Cloud Director Availability após a autenticação como:
    • Para DR e migração do vSphere, como usuários de single sign-on pertencentes ao grupo VRUSERS, os tenants podem realizar operações de recuperação de desastre no site local, podem gerenciar qualquer objeto do VMware Cloud Director Availability local e podem monitorar qualquer objeto remoto do VMware Cloud Director Availability.
    • Em sites do Cloud Director, como usuários Administrador da Organização, os tenants podem realizar operações de recuperação de desastre no site local, podem gerenciar qualquer objeto local do VMware Cloud Director Availability e podem monitorar qualquer objeto remoto do VMware Cloud Director Availability que pertença à organização do VMware Cloud Director. No site local, para gerenciar objetos remotos do VMware Cloud Director Availability, autentique-se como usuário Administrador da Organização no site remoto.

      No local, para autenticação do VMware Cloud Director Availability vSphere Client Plug-In desde a versão 4.5, depois de configurada com o vCenter Server Lookup service, o On-Premises to Cloud Director Replication Appliance cria o grupo VrOnpremUsers. A associação desse grupo permite acesso ao VMware Cloud Director Availability vSphere Client Plug-In. Em versões anteriores, os tenants se autenticam no VMware Cloud Director Availability vSphere Client Plug-In com um membro de usuário do grupo Administradores.

Para a DR e a migração do vSphere, o VMware Cloud Director Availability cria os grupos VRADMINISTRATORS e VRUSERS na instância do vCenter Server local durante a configuração do dispositivo com o vCenter Server Lookup service. Em sites do VMware Cloud Director, o grupo VRUSERS não está disponível e o grupo VRADMINISTRATORS deve ser criado manualmente somente se permissões personalizadas são necessárias para o vCenter Server.

Privilégios do vSphere para administradores do VMware Cloud Director Availability

Direitos restritos para DR e migração do vSphere:
Para a DR e a migração do vSphere, o VMware Cloud Director Availability 4.5 e posterior permite o login na interface de gerenciamento de dispositivos e no plug-in do vSphere usando um usuário de monitoramento concedido com acesso limitado ao sistema. O usuário limitado não pode gerenciar as replicações nem o serviço.

Após a implantação ou o pós-upgrade, registrar o dispositivo do VMware Cloud Director Availability com o vCenter Server Lookup service cria dois novos grupos de single sign-on adicionais no vSphere: VrMonitoringUsers e VrMonitoringAdministrators.

Para usar os privilégios somente de monitoramento desses grupos, crie um novo usuário de single-sign-on e torne-o membro de um dos dois grupos:

  • A associação ao VrMonitoringUsers permite que os usuários monitorem replicações.
  • A associação ao VrMonitoringAdministrators permite que os administradores monitorem as replicações e a integridade do sistema.
Os privilégios de usuário são os seguintes do mais alto para o mais baixo: Administrador de leitura e gravação > Administrador somente leitura > Usuário de leitura e gravação > Usuário somente leitura.

Como provedor ou um administrador no local, permita o mínimo de privilégios para as funções das contas de usuário que registram o vCenter Server Lookup service e operam o VMware Cloud Director Availability. Como provedor para impedir o acesso dos tenants a itens de infraestrutura restrita, permita apenas a seguinte lista mínima de privilégios, conforme especificado para certificações de auditoria e conformidade de segurança do VMware Cloud Director Availability.

Ao usar privilégios personalizados para a conta de serviço, os seguintes privilégios devem ser aplicados ao usuário que opera com o VMware Cloud Director Availability e o registra no vCenter Server Lookup service:

Operações criptográficas:
  • Cryptographic operations.Manage keys
  • Cryptographic operations.Register host
Privilégios de repositório de dados:
  • Datastore.Browse
  • Datastore.Configure datastore
  • Datastore.Low level file operations
Privilégios de extensão:
  • Extension.Register extension
  • Extension.Unregister extension
  • Extension.Update extension
Privilégios globais:
  • Global.Disable methods
  • Global.Enable methods
Privilégios de configuração do host:
  • Host.Configuration.Connection
Privilégios de armazenamento baseados em perfil:
  • Profile-driven storage.Profile-driven storage view
Privilégios de recursos:
  • Resource.Assign virtual machine to resource pool
Privilégios de exibições de armazenamento:
  • StorageViews.View
Privilégios de configuração da máquina virtual:
  • Virtual machine.Configuration.Add existing disk
  • Virtual machine.Configuration.Change Settings
  • Virtual machine.Configuration.Remove disk
Privilégios de inventário de máquina virtual:
  • Virtual machine.Inventory.Register
  • Virtual machine.Inventory.Unregister
Interação de máquina virtual:
  • Virtual machine.Interaction.Power Off
  • Virtual machine.Interaction.Power On
Privilégios de estado da máquina virtual:
  • Virtual machine.Snapshot management.Create snapshot
  • Virtual machine.Snapshot management.Remove snapshot
Privilégios de HBR:
  • Host.Hbr.HbrManagement
  • VirtualMachine.Hbr.ConfigureReplication
  • VirtualMachine.Hbr.ReplicaManagement
  • VirtualMachine.Hbr.MonitorReplication
Observação: Depois de adicionar uma função personalizada no vSphere, a função é criada como uma função somente leitura com três privilégios definidos pelo sistema:
  • System.Anonymous
  • System.Read
  • System.View

    Esses privilégios não são visíveis no vSphere Client, mas são usados para ler propriedades específicas de alguns objetos gerenciados. Todas as funções predefinidas no vSphere contêm esses três privilégios definidos pelo sistema.

Para obter informações sobre os privilégios de funções no vSphere, consulte Privilégios definidos na documentação do vSphere.

Direitos de funções do VMware Cloud Director

O VMware Cloud Director para permissões de usuários publica as funções predefinidas de tenant global e os direitos que elas contêm para todas as organizações. Os usuários do Administrador do Sistema podem modificar os direitos e as funções de tenant global de uma organização individual. Os usuários do Administrador do Sistema podem modificar, criar ou remover funções de tenant global predefinidas. Para obter mais informações, consulte Direitos de administrador do sistema e Direitos em funções predefinidas de tenant global na documentação do VMware Cloud Director.

Direitos restritos para sites do Cloud Director:
O VMware Cloud Director Availability 4.5 e versões posteriores introduzem dois direitos para o site de nuvem no VMware Cloud Director, de acordo com sua versão:
Permissões do usuário no VMware Cloud Director Availability VMware Cloud Director 10.4 e anterior VMware Cloud Director 10.5 e posterior
Usuário com permissão total: VCDA_MODIFY_RIGHT

Exibir e gerenciar replicações
Usuário somente leitura: VCDA_VIEW_RIGHT

Exibir replicações

Para usar esses novos direitos no site de nuvem, primeiro o usuário do Administrador do Sistema deve publicar o direito escolhido em um pacote de direitos no VMware Cloud Director. Esses direitos não podem ser usados para usuários no local fazerem login no On-Premises to Cloud Director Replication Appliance.

  1. Para criar ou modificar um pacote de direitos já existente, no VMware Cloud Director, no painel esquerdo, na seção Controle de Acesso do Tenant, clique em Pacotes de Direitos, clique em Adicionar ou selecione um pacote já existente e clique em Editar.
  2. Na janela Adicionar pacote de direitos, em Direitos no Pacote, na categoria Outro, selecione o direito, de acordo com a versão do VMware Cloud Director, conforme a tabela acima, e clique em Salvar.
    • VCDA_VIEW_RIGHT ou Exibir replicações
    • VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicações
  3. Para publicar o pacote de direitos em todos os tenants ou em tenants específicos, selecione-o e clique em Publicar.
  4. Na janela Publicar Pacote de Direitos, selecione os tenants para os quais o novo pacote de direitos será publicado e clique em Salvar.
    • Publicar em Tenants
    • Publicar em Todos os Tenants

Depois que o Administrador do Sistema publicar o pacote de direitos para uma ou mais organizações, essas organizações terão acesso para usar esses direitos ao acessar o VMware Cloud Director Availability no site de nuvem.

Direitos de leitura e gravação:
O VMware Cloud Director Availability permite acesso de leitura e gravação a usuários do Administrador da Organização ou a usuários cuja função está atribuída com VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicações.
Direitos somente leitura:
Na interface do usuário, todas as ações relacionadas ao gerenciamento permanecem ocultas para usuários somente leitura. Um usuário de tenant cuja função é atribuída com VCDA_VIEW_RIGHT ou Exibir replicações está restrito a exibir apenas suas próprias replicações e não tem permissões para modificar.
Direitos conflitantes:
Determinar os direitos esperados se uma função de usuário for atribuída a direitos conflitantes, por exemplo, VCDA_VIEW_RIGHT ou Exibir replicações e Administrador da Organização, resultará no acesso de leitura e gravação para esse usuário. Da mesma forma, atribuir replicações VCDA_VIEW_RIGHT ou Exibir replicações e VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicações à mesma função de usuário resultará novamente no acesso de leitura-gravação.
Como resultado:
  • Os usuários de leitura e gravação podem ter atribuído VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicações à função personalizada ou usar o usuário padrão de Administrador da Organização.
  • Os usuários somente leitura atribuíram replicações VCDA_VIEW_RIGHT ou Exibir à sua função.
  • Atribuir replicações VCDA_VIEW_RIGHT ou Exibir replicações e (VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicações ou Administrador da Organização) à mesma função resulta em direitos de leitura-gravação.
Lista dos direitos de todos os usuários que permitem o login no Cloud Director Replication Management Appliance:
  • Os usuários de tenant de leitura e gravação têm os mesmos direitos que o usuário de Administrador da Organização existente e permitem o gerenciamento e o monitoramento apenas de suas próprias replicações.
  • Os usuários de tenant somente leitura são introduzidos com a versão 4.5 e permitem apenas o monitoramento de suas próprias replicações.
  • Os usuários de provedor de leitura e gravação são o método de login do provedor atual e permitem o gerenciamento e o monitoramento de todas as replicações e da integridade do sistema.
  • Os usuários de provedor somente leitura são introduzidos com a versão 4.5 e permitem apenas o monitoramento de todas as replicações e da integridade do sistema.

Como pré-requisito, para funções de tenant que concedem apenas o VCDA_MODIFY_RIGHT ou Exibir e gerenciar replicaçõese são diferentes do Administrador da Organização padrão, no VMware Cloud Director concedem no mínimo exatamente os seguintes direitos:

  • Geral: Controle do Administrador
  • vApp: Editar Política de Processamento da VM
  • vApp: Editar Propriedades da VM
  • vApp: Excluir
  • vApp: Editar Rede da VM
  • vApp: Editar Propriedades
  • vApp: Operações de Energia
  • vApp: Exibir Métricas de VM
  • vApp: Exibir ACL
  • Organização: Exibir
  • Organização: Editar Configurações de Associação
  • Rede da Organização: Exibir
  • Rede do vDC de Organização: Exibir
  • Política de Processamento do vDC de Organização: Exibir
  • vDC de Organização: Exibir ACL
  • Acessar Todos os VDCs de Organização
  • Catálogo: Exibir Catálogos Particulares e Compartilhados
  • Catálogo: Exibir ACL
  • Disco Nomeado do vDC de Organização: Excluir
  • Disco Nomeado do vDC de Organização: Criar
  • Disco Nomeado do vDC de Organização: Exibir Propriedades
  • Disco Nomeado do vDC de Organização: Editar Propriedades
  • Gateway do vDC de Organização: Exibir VPN L2 **
  • Gateway do vDC de Organização: Configurar VPN L2 **
Observação:
  • O VMware Cloud Director Availability requer todos os direitos acima para a operação correta do usuário de tenant do VMware Cloud Director.
  • Para o VMware Aria Operations Management Pack for Cloud Director Availability poder usar a detecção automática do endereço do VMware Cloud Director Availability, ao usar um usuário somente leitura para o pacote de gerenciamento, você também deve adicionar o direito Exibir Plug-in do Portal do Tenant, mostrado na interface do usuário como o direito Plug-ins da UI: Exibir.
  • * O VMware Cloud Director Availability 4.3 e posterior exige o direito vApp: Editar Política de Processamento da VM que não faz parte do Pacote de Direitos Padrão.
  • ** No VMware Cloud Director service, para estender uma rede L2 para um SDDC no VMware Cloud™ on AWS, o VMware Cloud Director Availability 4.4 e posterior exigem os direitos Gateway do vDC de Organização: Exibir VPN L2 e Configurar VPN L2 que não fazem parte do Pacote de Direitos Padrão.

Extensão de sessões de usuários do VMware Cloud Director Availability

Em sites do Cloud Director, cada sessão de usuário do VMware Cloud Director Availability deve ter um usuário do VMware Cloud Director e uma organização do VMware Cloud Director associada à sessão. Para obter mais informações sobre as sessões e a autenticação em sites remotos, consulte Autenticação de sessão estendida no User Guide.

Consulte as operações de recuperação de desastre do Cloud Service que exigem uma extensão da sessão do usuário na tabela a seguir:

Operação Replicação de Entrada Replicação de Saída
Sessão Obrigatória no Site de Origem Sessão Obrigatória no Site de Destino Sessão Obrigatória no Site de Origem Sessão Obrigatória no Site de Destino
start Sim Sim Sim Sim
stop Não Sim Sim Sim
reconfigure Não Sim Sim Sim
failover Não Sim Sim Sim
migrate Sim Sim Sim Sim
sync Não Sim Sim Sim
pause Não Sim Sim Sim
resume Não Sim Sim Sim
reverse Sim Sim Sim Sim
failover test Não Sim Sim Sim
failover test cleanup Não Sim Sim Sim