VMware Cloud Director Availability requiere privilegios para las siguientes funciones y derechos de usuario y establece las siguientes sesiones para realizar operaciones de recuperación ante desastres (DR).

Cuenta de usuario raíz del dispositivo de VMware Cloud Director Availability

VMware Cloud Director Availability utiliza la cuenta de usuario raíz para acceder a la consola del dispositivo virtual y a la interfaz de administración. La implementación inicial de cada dispositivo de VMware Cloud Director Availability configura esta cuenta. El asistente Implementación de OVF requiere una contraseña inicial para la cuenta de usuario raíz con un requisito inicial de más de tres caracteres. Después de la implementación inicial, VMware Cloud Director Availability fuerza el cambio de esta contraseña inicial en el primer inicio de sesión mediante el usuario raíz, con los siguientes requisitos para la contraseña de la cuenta de usuario raíz persistente.
  • La contraseña debe tener más de ocho caracteres.
  • La contraseña debe contener dígitos, letras mayúsculas y minúsculas, y caracteres no alfabéticos.
  • La contraseña no puede coincidir con ninguna contraseña anterior.
  • La contraseña debe contener más de cuatro caracteres nuevos en comparación con la contraseña anterior.

Usuarios de VMware Cloud Director Availability

VMware Cloud Director Availability distingue a los usuarios administradores de los usuarios normales.

Para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability admite usuarios miembros de los siguientes grupos:
Usuario miembro de: En On-Premises to Cloud vCenter Replication Appliance En el vCenter Replication Management Appliance del proveedor
Grupo ADMINISTRATORS Los usuarios del grupo ADMINISTRATORS local permiten un control completo. Los usuarios del grupo ADMINISTRATORS del proveedor permiten un control completo.
Grupo VRUSERS

Los usuarios del grupo VRUSERS local tener permisos solo para:

  • Supervisar replicaciones
  • Administrar replicaciones
  • Supervisar tareas de replicación
  • Supervisar sitios emparejados. Los usuarios miembros del grupo VRUSERS no pueden modificar los sitios emparejados existentes ni emparejar sitios nuevos.
Nota: Para emparejarse con un sitio de proveedor, es necesario introducir un usuario de proveedor que pertenezca a los grupos VRUSERS, ADMINISTRATORS o VRADMINISTRATORS del sitio del proveedor. Para la mayoría de los arrendatarios, se recomienda emparejar mediante un usuario que pertenezca al grupo VRUSERS del proveedor.

En resumen, ambos usuarios: se necesita un usuario del grupo ADMINISTRATORS local y un usuario del grupo VRUSERS del proveedor para establecer un emparejamiento desde el sitio local al sitio de proveedor.

El grupo VRUSERS del proveedor tiene permisos solo para:

  • Supervisar replicaciones
  • Administrar replicaciones
  • Supervisar tareas de replicación
  • Supervisar sitios emparejados. Los usuarios miembros del grupo VRUSERS no pueden emparejar sitios nuevos ni modificar los sitios emparejados existentes, ni siquiera para emparejamientos de sitios locales que utilizan el mismo usuario del grupo VRUSERS del proveedor. Los usuarios del grupo VRUSERS no tienen permiso para modificar ningún emparejamiento independientemente del tipo de sitio del mismo nivel.
  • Para establecer una sesión de usuario con derechos de tipo administrativo en VMware Cloud Director Availability, las credenciales de los sitios de origen y destino deben pertenecer a los grupos ADMINISTRATORS o VRADMINISTRATORS. Esto se aplica tanto a la recuperación ante desastres como a la migración de vSphere, y a las replicaciones con sitios de nube respaldados por VMware Cloud Director.

    Por ejemplo, el usuario de inicio de sesión único [email protected] es miembro del grupo ADMINISTRATORS.

  • En sitios de VMware Cloud Director, los proveedores administran los objetos de VMware Cloud Director Availability y los dispositivos de VMware Cloud Director Availability locales después de autenticarse como usuarios de VMware Cloud Director de tipo administrador del sistema. De forma predeterminada, la función de Administrador del sistema tiene todos los derechos de VMware Cloud Director. Los usuarios que pertenecen a esa función pueden administrar cualquier instancia local y supervisar cualquier objeto de inventario de VMware Cloud Director Availability remoto. Para administrar objetos de VMware Cloud Director Availability en el sitio remoto, autentíquese como administrador del sistema en el sitio remoto.

  • Los arrendatarios realizan operaciones de recuperación ante desastres y administran los objetos de VMware Cloud Director Availability después de autenticarse de la siguiente manera:
    • Para la recuperación ante desastres y la migración de vSphere, como usuarios de inicio de sesión único del grupo VRUSERS, los arrendatarios pueden realizar operaciones de recuperación ante desastres en el sitio local, pueden administrar cualquier objeto de VMware Cloud Director Availability local y pueden supervisar cualquier objeto de VMware Cloud Director Availability remoto.
    • En los sitios de VMware Cloud Director, como usuarios de tipo administrador de organización, los arrendatarios pueden realizar operaciones de recuperación ante desastres en el sitio local, administrar cualquier objeto de VMware Cloud Director Availability local y supervisar cualquier objeto de VMware Cloud Director Availability remoto que pertenezca a la organización de VMware Cloud Director. Para administrar objetos de VMware Cloud Director Availability remotos, autentíquese como usuario de tipo administrador de organización en el sitio remoto.

Para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability crea los grupos VRADMINISTRATORS y VRUSERS en la instancia de vCenter Server local durante la configuración del dispositivo con el vCenter Server Lookup service. En los sitios de VMware Cloud Director, el grupo VRUSERS no está disponible y el grupo VRADMINISTRATORS se debe crear manualmente solo si se necesitan permisos personalizados para vCenter Server.

Privilegios de vSphere para administradores de VMware Cloud Director Availability

Derechos restringidos

Para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability 4.5 y versiones posteriores permiten iniciar sesión en la interfaz de administración de dispositivos y en el complemento de vSphere mediante un usuario de supervisión con acceso limitado al sistema. El usuario limitado no puede administrar las replicaciones ni el servicio.

Después de la implementación o después de la actualización, al registrar el dispositivo de VMware Cloud Director Availability con el vCenter Server Lookup service se crean dos nuevos grupos de inicio de sesión único adicionales en vSphere: VrMonitoringUsers y VrMonitoringAdministrators.

Para utilizar los privilegios de solo supervisión de estos grupos, cree un nuevo usuario de inicio de sesión único y conviértalo en miembro de uno de los dos grupos:

  • La pertenencia a VrMonitoringUsers permite a los usuarios supervisar las replicaciones.
  • La pertenencia a VrMonitoringAdministrators permite los administradores supervisar las replicaciones y el estado del sistema.
Los privilegios de usuario son los siguientes, de mayor a menor: Administrador de lectura-escritura > Administrador de solo lectura > Usuario de lectura-escritura > Usuario de solo lectura.

Como proveedor o administrador local, permita los privilegios menores para las funciones de las cuentas de usuario que registran el vCenter Server Lookup service y operan VMware Cloud Director Availability. Como proveedor, para evitar el acceso de los arrendatarios a los elementos de infraestructura, solo permita la siguiente lista mínima de privilegios, según se especifica para las certificaciones de auditoría y VMware Cloud Director Availability.

Al utilizar privilegios personalizados para la cuenta de usuario de servicio, los siguientes privilegios deben aplicarse al usuario que opera con VMware Cloud Director Availability y lo registra con el vCenter Server Lookup service:

Operaciones criptográficas
  • Operaciones criptográficas.Administrar claves
  • Operaciones criptográficas.Registrar host
Privilegios de almacenes de datos
  • Almacén de datos.Examinar
  • Almacén de datos.Configurar almacén de datos
  • Almacén de datos.Operaciones de archivo de bajo nivel
Privilegios de extensiones
  • Extensión.Registrar extensión
  • Extensión.Anular registro de extensión
  • Extensión.Actualizar extensión
Privilegios globales
  • Global.Deshabilitar métodos
  • Global.Habilitar métodos
Privilegios de configuración de hosts
  • Host.Configuración.Conexión
Privilegios de almacenamiento basado en perfiles
  • Almacenamiento basado en perfiles.Vista de almacenamiento basado en perfiles
Privilegios de recursos
  • Recurso.Asignar máquina virtual al grupo de recursos
Privilegios de vistas de almacenamiento
  • Vistas de almacenamiento.Ver
Privilegios de configuración de máquinas virtuales
  • Máquina virtual.Configuración.Agregar disco existente
  • Máquina virtual.Configuración.Cambiar configuración
  • Máquina virtual.Configuración.Eliminar disco
Privilegios de inventario de máquinas virtuales
  • Máquina virtual.Inventario.Registrar
  • Máquina virtual.Inventario.Anular registro
Interacción con la máquina virtual
  • Máquina virtual.Interacción.Apagar
  • Máquina virtual.Interacción.Encender
Privilegios del estado de las máquinas virtuales
  • Máquina virtual.Administración de instantáneas.Crear instantánea
  • Máquina virtual.Administración de instantáneas.Eliminar instantánea
Privilegios de HBR
  • Host.Hbr.HbrManagement
  • VirtualMachine.Hbr.ConfigureReplication
  • VirtualMachine.Hbr.ReplicaManagement
  • VirtualMachine.Hbr.MonitorReplication
Nota: Después de agregar una función personalizada en vSphere, la función se crea como de solo lectura con tres privilegios definidos por el sistema:
  • System.Anonymous
  • System.Read
  • System.View

    Estos privilegios no están visibles en vSphere Client, pero se utilizan para leer propiedades específicas de algunos objetos administrados. Todas las funciones predefinidas en vSphere contienen estos tres privilegios definidos por el sistema.

Para obtener información sobre los privilegios de funciones en vSphere, consulte Privilegios definidos en la documentación de vSphere.

Derechos de las funciones de VMware Cloud Director

VMware Cloud Director para los permisos de usuario publica las funciones globales de tenant predefinidas y los derechos que contienen en todas las organizaciones. Los usuarios de tipo Administrador del sistema pueden modificar los derechos y las funciones globales de tenant de un organización individual. Los usuarios de tipo administrador del sistema pueden modificar, crear o eliminar funciones de tenant predefinidas.

Para obtener más información, consulte Derechos del administrador del sistema y Derechos en funciones globales de tenant predefinidas en la documentación de VMware Cloud Director.

Derechos restringidos
VMware Cloud Director Availability 4.5 introduce dos derechos en VMware Cloud Director para el sitio de nube:
  • VCDA_MODIFY_RIGHT para un usuario con permisos completos en VMware Cloud Director Availability.
  • VCDA_VIEW_RIGHT para un usuario de solo lectura en VMware Cloud Director Availability.

Para utilizar estos nuevos derechos en el sitio de nube, primero el usuario administrador del sistema debe publicar el derecho seleccionado en un paquete de derechos en VMware Cloud Director. Estos derechos no se pueden utilizar para que los usuarios locales inicien sesión en On-Premises to Cloud Director Replication Appliance.

  1. Para crear o modificar un paquete de derechos existente, en VMware Cloud Director, en el panel izquierdo, debajo de la sección Control de acceso de arrendatarios haga clic en Paquetes de derechos y en Agregar o seleccione un paquete existente y haga clic en Editar.
  2. En la ventana Agregar paquete de derechos, en Derechos en el paquete, en la categoría Otros, seleccione el derecho y haga clic en Guardar.
    • VCDA_VIEW_RIGHT
    • VCDA_MODIFY_RIGHT
  3. Para publicar el paquete de derechos para todos los arrendatarios o para arrendatarios específicos, selecciónelo y haga clic en Publicar.
  4. En la ventana Publicar paquete de derechos, seleccione los arrendatarios para los que desea publicar el nuevo paquete de derechos y haga clic en Guardar.
    • Publicar en arrendatarios
    • Publicar en todos los arrendatarios

Después de que el administrador del sistema publique el paquete de derechos en una o varias organizaciones, estas organizaciones tienen acceso para utilizar esos derechos al acceder a VMware Cloud Director Availability en el sitio de nube.

Derechos de lectura-escritura
VMware Cloud Director Availability permite el acceso de lectura-escritura a los usuarios de tipo administrador de organización o a los usuarios cuya función esté asignada con VCDA_MODIFY_RIGHT.
Derechos de solo lectura
En la interfaz de usuario, todas las acciones relacionadas con la administración permanecen ocultas para los usuarios de solo lectura. Un usuario de tenant cuya función está asignada con VCDA_VIEW_RIGHT está restringido a ver solo sus propias replicaciones y no tiene permisos para modificar.
Derechos en conflicto
La determinación de los derechos esperados si se asigna una función de usuario con derechos en conflicto; por ejemplo, tanto VCDA_READ_RIGHT como administrador de organización tiene como resultado el acceso de lectura-escritura para el usuario. De forma similar, si se vuelve a asignar VCDA_READ_RIGHT y VCDA_MODIFY_RIGHT a la misma función de usuario, se obtiene acceso de lectura-escritura.
Como resultado:
  • Los usuarios de lectura-escritura pueden tener asignados VCDA_MODIFY_RIGHT a su función personalizada o utilizar el usuario administrador de organización.
  • Los usuarios de solo lectura tienen asignado VCDA_READ_RIGHT a su función.
  • La asignación tanto de VCDA_READ_RIGHT como de VCDA_MODIFY_RIGHT o administrador de organización a la misma función genera derechos de lectura-escritura.
Lista de los derechos de todos los usuarios que permiten iniciar sesión en Cloud Director Replication Management Appliance:
  • Los usuarios de tipo tenant de lectura-escritura tienen los mismos derechos que el usuario administrador de organización y ambos permiten administrar y supervisar solo sus propias replicaciones.
  • Los usuarios de tipo tenant de solo lectura se introducen con la versión 4.5 y solo permiten la supervisión de sus propias replicaciones.
  • Los usuarios de tipo proveedor de lectura-escritura son el método de inicio de sesión del proveedor actual y permiten administrar y supervisar todas las replicaciones y el estado del sistema.
  • Los usuarios de tipo proveedor de solo lectura se introducen con la versión 4.5 y solo permiten la supervisión de todas las replicaciones y del estado del sistema.

Como requisito previo, para las funciones de tenant que solo conceden el derecho VCDA_MODIFY_RIGHT y son diferentes del administrador de organización predeterminado, en VMware Cloud Director como mínimo conceden exactamente los derechos siguientes:

  • General: Control de administrador
  • vApp: Editar política de recursos informáticos de la máquina virtual*
  • vApp: Editar las propiedades de MV
  • vApp: eliminar
  • vApp: Editar red de MV
  • vApp: editar propiedades
  • vApp: operaciones de encendido y apagado
  • vApp: Ver métricas de máquina virtual
  • vApp: Ver ACL
  • Organización: ver
  • Organización: Editar configuración de asociación
  • Red de organización: ver
  • Red de vDC de organización: Ver
  • Política de recursos informáticos de vDC de organización: Ver
  • vDC de organización: Ver ACL
  • Acceder a todos los VDC de organización
  • Catálogo: ver catálogos privados y compartidos
  • Catálogo: Ver ACL
  • Disco con nombre de vDC de organización: Eliminar
  • Disco con nombre de vDC de organización: Crear
  • Disco con nombre de vDC de organización: Ver propiedades
  • Disco con nombre de vDC de organización: Editar propiedades
  • Puerta de enlace de vDC de organización: Ver VPN de capa 2 **
  • Puerta de enlace de vDC de organización: Configurar VPN de capa 2 **
Nota:
  • VMware Cloud Director Availability requiere todos y cada uno de los derechos anteriores para el funcionamiento correcto del usuario de tipo tenant de VMware Cloud Director.
  • Para que vRealize Operations Management Pack for Cloud Director Availability pueda utilizar la detección automática de la dirección de VMware Cloud Director Availability, al utilizar un usuario de solo lectura para el paquete de administración, también debe agregar el complemento del portal para arrendatarios de visualización correcto, que se muestra en la interfaz de usuario como el derecho Complementos de interfaz de usuario: Ver.
  • * VMware Cloud Director Availability 4.3 y versiones posteriores requieren el derecho vApp: Editar política de recursos informáticos de la máquina virtual, que no forma parte del paquete de derechos predeterminado.
  • ** En VMware Cloud Director service, para ampliar una red de capa 2 a un SDDC en VMware Cloud™ on AWS, VMware Cloud Director Availability 4.4 y versiones posteriores requieren los derechos Puerta de enlace de vDC de organización: Ver VPN de capa 2 y Configurar VPN de capa 2, que no forman parte del paquete de derechos predeterminado.

Extensión de sesiones de usuario de VMware Cloud Director Availability

Cada sesión de usuario de VMware Cloud Director Availability debe tener un usuario de VMware Cloud Director y una organización de VMware Cloud Director asociados a la sesión.

Para obtener más información sobre las sesiones y la autenticación en sitios remotos, consulte Autenticación de sesión extendida en el manual User Guide.

Consulte las operaciones de recuperación ante desastres de Cloud Service que requieren una extensión de la sesión de usuario en la siguiente tabla.

Operación Replicación entrante Replicación saliente
Sesión requerida en el sitio de origen Sesión requerida en el sitio de destino Sesión requerida en el sitio de origen Sesión requerida en el sitio de destino
start
stop No
reconfigure No
failover No
migrate
sync No
pause No
resume No
reverse
failover test No
failover test cleanup No