在 VMware Cloud on AWS 上激活 VMware Site Recovery 时,将自动配置 VMC.LOCAL\CloudAdminGroup 组的权限。
您可以使用 [email protected] 帐户或 VMC.LOCAL\CloudAdminGroup 的任何其他直接成员或间接成员在 VMware Cloud on AWS 上使用 Site Recovery Manager 和 vSphere Replication。
- 对 Mgmt-ResourcePool、Management VMs 文件夹、vsanDatastore 以及 VMC Networks 文件夹中的网络的只读访问权限,因为 VMware Cloud on AWS 处理 SDDC 中所有管理组件的生命周期时;
- 以 CloudAdmin 角色访问 vCenter Server 清单中任何非管理部分的权限,例如:Compute-ResourcePool、Workloads and Templates VM 文件夹、WorkloadDatastore 以及 VMC Networks 文件夹外的网络。有关 CloudAdmin 角色的详细信息,请参见《VMware Cloud on AWS 操作指南》中的 SDDC 中的角色和权限。
激活后,对于 VMC.LOCAL\CloudAdminGroup 具有 CloudAdmin 角色权限的相同实体,VMware Site Recovery 会为 VMC.LOCAL\SRM Administrators 组和 VMC.LOCAL\HmsCloudAdministrators 组配置 SrmAdministrator 和 HmsCloudAdmin 角色的权限。VMware Site Recovery 将 VMC.LOCAL\CloudAdminGroup 添加为 VMC.LOCAL\SRM Administrators 和 VMC.LOCAL\HmsCloudAdministrators 组的成员。因此,VMC.LOCAL\CloudAdminGroup 组的任何直接或间接成员均可使用 Site Recovery Manager 和 vSphere Replication。
在 vCenter Server 清单的任何部分为任何组或单个用户定义额外权限将替代此配置,并且该组或单个用户将无法使用 Site Recovery Manager 和 vSphere Replication,因为权限替代仅对该权限中指定的单个角色有效,并导致以下错误:“执行此操作的权限被拒绝 (Permission to perform this operation was denied)。”。
建议通过以下方式组合 SrmAdministrator 和 HmsCloudAdmin 角色的特权:通过组成员资格并成为 VMC.LOCAL\CloudAdminGroup 组的成员来继承 VMC.LOCAL\SRM Administrators 组和 VMC.LOCAL\HmsCloudAdministrators 组的权限。
如果使用身份提供程序联合以及您自己的域,则必须使用混合链接模式将相关组添加为 VMC.LOCAL\CloudAdminGroup 的成员,以便它们可以使用 Site Recovery Manager 和 vSphere Replication。