VMware Cloud Director Availability requiere los privilegios exactos siguientes para sus funciones y derechos de usuario específicos y establece las siguientes sesiones para realizar operaciones de recuperación ante desastres (DR).

Cuenta de usuario root del dispositivo de VMware Cloud Director Availability

VMware Cloud Director Availability utiliza la cuenta de usuario root para acceder a la consola del dispositivo virtual y a la interfaz de administración. La implementación inicial de cada dispositivo de VMware Cloud Director Availability configura esta cuenta. El asistente Implementación de OVF requiere una contraseña inicial para la cuenta de usuario root con un requisito inicial de más de tres caracteres. Después de la implementación inicial, VMware Cloud Director Availability fuerza el cambio de esta contraseña inicial en el primer inicio de sesión mediante el usuario root, con los siguientes requisitos para la contraseña de la cuenta de usuario root persistente.
  • La contraseña debe tener más de ocho caracteres.
  • La contraseña debe contener dígitos, letras mayúsculas y minúsculas, y caracteres no alfabéticos.
  • La contraseña no puede coincidir con ninguna contraseña anterior.
  • La contraseña debe contener más de cuatro caracteres nuevos en comparación con la contraseña anterior.

Usuarios de VMware Cloud Director Availability

VMware Cloud Director Availability distingue a los usuarios con derechos administrativos de los usuarios normales.

  • Grupos del dominio de vCenter Single Sign-On:
    Para establecer una sesión de usuario con derechos de administrador en VMware Cloud Director Availability, las credenciales de los sitios de origen y de destino deben pertenecer a los grupos ADMINISTRATORS o VRADMINISTRATORS. Se aplica a ambos tipos de implementación:
    • Para la recuperación ante desastres y la migración de vSphere entre sitios de vCenter Server.
    • Para las replicaciones con sitios de nube respaldados por VMware Cloud Director.

    Por ejemplo, el usuario de inicio de sesión único Administrator@vsphere.local es miembro del grupo ADMINISTRATORS.

    Específicamente, para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability admite usuarios miembros de los siguientes dos grupos:
    Pertenencia a un grupo En On-Premises to Cloud vCenter Replication Appliance En el vCenter Replication Management Appliance del proveedor
    Grupo ADMINISTRATORS Los usuarios del grupo ADMINISTRATORS local permiten un control completo. Los usuarios del grupo ADMINISTRATORS del proveedor permiten un control completo.
    Grupo VRUSERS

    Los usuarios del grupo VRUSERS local tener permisos solo para:

    • Supervisar replicaciones
    • Administrar replicaciones
    • Supervisar tareas de replicación
    • Supervisar sitios emparejados. Los usuarios miembros del grupo VRUSERS no pueden modificar los sitios emparejados existentes ni emparejar sitios nuevos.
    Nota: Para emparejarse con un sitio de proveedor, es necesario introducir un usuario de proveedor que pertenezca a los grupos VRUSERS, ADMINISTRATORS o VRADMINISTRATORS del sitio del proveedor. Para la mayoría de los arrendatarios, se recomienda emparejar mediante un usuario que pertenezca al grupo VRUSERS del proveedor.

    En resumen, ambos usuarios: se necesita un usuario del grupo ADMINISTRATORS local y un usuario del grupo VRUSERS del proveedor para establecer un emparejamiento desde el sitio local al sitio de proveedor.

    El grupo VRUSERS del proveedor tiene permisos solo para:

    • Supervisar replicaciones
    • Administrar replicaciones
    • Supervisar tareas de replicación
    • Supervisar sitios emparejados. Los usuarios miembros del grupo VRUSERS no pueden emparejar sitios nuevos ni modificar los sitios emparejados existentes, ni siquiera para emparejamientos de sitios locales que utilizan el mismo usuario del grupo VRUSERS del proveedor. Los usuarios del grupo VRUSERS no tienen permiso para modificar ningún emparejamiento independientemente del tipo de sitio del mismo nivel.
  • Usuarios de organización de VMware Cloud Director:
    En sitios de Cloud Director, los proveedores administran los objetos de VMware Cloud Director Availability y los dispositivos de VMware Cloud Director Availability locales después de autenticarse como usuarios de VMware Cloud Director de tipo administrador del sistema. De forma predeterminada, la función de Administrador del sistema tiene todos los derechos de VMware Cloud Director. Los usuarios que pertenecen a esa función pueden administrar cualquier instancia local y supervisar cualquier objeto de inventario de VMware Cloud Director Availability remoto. Desde el sitio local, para administrar objetos de VMware Cloud Director Availability remotos, autentíquese como administrador del sistema en el sitio remoto.
  • Usuarios de tenant:
    Los arrendatarios realizan operaciones de recuperación ante desastres y administran los objetos de VMware Cloud Director Availability después de autenticarse de la siguiente manera:
    • Para la recuperación ante desastres y la migración de vSphere, como usuarios de inicio de sesión único que pertenecen al grupo VRUSERS, los tenants pueden realizar operaciones de recuperación ante desastres en el sitio local, pueden administrar cualquier objeto de VMware Cloud Director Availability local y pueden supervisar cualquier objeto de VMware Cloud Director Availability remoto.
    • En los sitios de Cloud Director, como usuarios de tipo administrador de la organización, los tenants pueden realizar operaciones de recuperación ante desastres en el sitio local, administrar cualquier objeto de VMware Cloud Director Availability local y supervisar cualquier objeto de VMware Cloud Director Availability remoto que pertenezca a la organización de VMware Cloud Director. Desde el sitio local, para administrar objetos de VMware Cloud Director Availability remotos, autentíquese como usuario de tipo administrador de la organización en el sitio remoto.

      De forma local, para la autenticación de VMware Cloud Director Availability vSphere Client Plug-In desde la versión 4.5, una vez que se configuró con vCenter Server Lookup service, la instancia de On-Premises to Cloud Director Replication Appliance crea el grupo VrOnpremUsers. La pertenencia a este grupo permite el acceso a VMware Cloud Director Availability vSphere Client Plug-In. En versiones anteriores, los tenants se autenticaban en VMware Cloud Director Availability vSphere Client Plug-In con un usuario miembro del grupo Administrators.

Para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability crea los grupos VRADMINISTRATORS y VRUSERS en la instancia de vCenter Server local durante la configuración del dispositivo con el vCenter Server Lookup service. En los sitios de VMware Cloud Director, el grupo VRUSERS no está disponible y el grupo VRADMINISTRATORS se debe crear manualmente solo si se necesitan permisos personalizados para vCenter Server.

Privilegios de vSphere para administradores de VMware Cloud Director Availability

Derechos restringidos para la recuperación ante desastres y la migración de vSphere:
Para la recuperación ante desastres y la migración de vSphere, VMware Cloud Director Availability 4.5 y versiones posteriores permiten iniciar sesión en la interfaz de administración de dispositivos y en el complemento de vSphere mediante un usuario de supervisión con acceso limitado al sistema. El usuario limitado no puede administrar las replicaciones ni el servicio.

Después de la implementación o después de la actualización, al registrar el dispositivo de VMware Cloud Director Availability con el vCenter Server Lookup service se crean dos nuevos grupos de inicio de sesión único adicionales en vSphere: VrMonitoringUsers y VrMonitoringAdministrators.

Para utilizar los privilegios de solo supervisión de estos grupos, cree un nuevo usuario de inicio de sesión único y conviértalo en miembro de uno de los dos grupos:

  • La pertenencia a VrMonitoringUsers permite a los usuarios supervisar las replicaciones.
  • La pertenencia a VrMonitoringAdministrators permite los administradores supervisar las replicaciones y el estado del sistema.
Los privilegios de usuario son los siguientes, de mayor a menor: Administrador de lectura-escritura > Administrador de solo lectura > Usuario de lectura-escritura > Usuario de solo lectura.

Como proveedor o administrador local, permita los privilegios menores para las funciones de las cuentas de usuario que registran el vCenter Server Lookup service y operan VMware Cloud Director Availability. Como proveedor, para evitar el acceso de los arrendatarios a los elementos de infraestructura, solo permita la siguiente lista mínima de privilegios, según se especifica para las certificaciones de auditoría y VMware Cloud Director Availability.

Al utilizar privilegios personalizados para la cuenta de usuario de servicio, los siguientes privilegios deben aplicarse al usuario que opera con VMware Cloud Director Availability y lo registra con el vCenter Server Lookup service:

Operaciones criptográficas:
  • Operaciones criptográficas.Administrar claves
  • Operaciones criptográficas.Registrar host
Privilegios de almacenes de datos:
  • Almacén de datos.Examinar
  • Almacén de datos.Configurar almacén de datos
  • Almacén de datos.Operaciones de archivo de bajo nivel
Privilegios de extensiones:
  • Extensión.Registrar extensión
  • Extensión.Anular registro de extensión
  • Extensión.Actualizar extensión
Privilegios globales:
  • Global.Deshabilitar métodos
  • Global.Habilitar métodos
Privilegios de configuración de hosts:
  • Host.Configuración.Conexión
Privilegios de almacenamiento basado en perfiles:
  • Almacenamiento basado en perfiles.Vista de almacenamiento basado en perfiles
Privilegios de recursos:
  • Recurso.Asignar máquina virtual al grupo de recursos
Privilegios de vistas de almacenamiento:
  • Vistas de almacenamiento.Ver
Privilegios de configuración de máquinas virtuales:
  • Máquina virtual.Configuración.Agregar disco existente
  • Máquina virtual.Configuración.Cambiar configuración
  • Máquina virtual.Configuración.Eliminar disco
Privilegios de inventario de máquinas virtuales:
  • Máquina virtual.Inventario.Registrar
  • Máquina virtual.Inventario.Anular registro
Interacción con la máquina virtual:
  • Máquina virtual.Interacción.Apagar
  • Máquina virtual.Interacción.Encender
Privilegios del estado de las máquinas virtuales:
  • Máquina virtual.Administración de instantáneas.Crear instantánea
  • Máquina virtual.Administración de instantáneas.Eliminar instantánea
Privilegios de HBR:
  • Host.Hbr.HbrManagement
  • VirtualMachine.Hbr.ConfigureReplication
  • VirtualMachine.Hbr.ReplicaManagement
  • VirtualMachine.Hbr.MonitorReplication
Nota: Después de agregar una función personalizada en vSphere, la función se crea como de solo lectura con tres privilegios definidos por el sistema:
  • System.Anonymous
  • System.Read
  • System.View

    Estos privilegios no están visibles en vSphere Client, pero se utilizan para leer propiedades específicas de algunos objetos administrados. Todas las funciones predefinidas en vSphere contienen estos tres privilegios definidos por el sistema.

Para obtener información sobre los privilegios de funciones en vSphere, consulte Privilegios definidos en la documentación de vSphere.

Derechos de las funciones de VMware Cloud Director

VMware Cloud Director para los permisos de usuario publica las funciones globales de tenant predefinidas y los derechos que contienen en todas las organizaciones. Los usuarios de tipo Administrador del sistema pueden modificar los derechos y las funciones globales de tenant de un organización individual. Los usuarios de tipo administrador del sistema pueden modificar, crear o eliminar funciones de arrendatario predefinidas. Para obtener más información, consulte Derechos del administrador del sistema y Derechos en funciones globales de arrendatario predefinidas en la documentación de VMware Cloud Director.

Derechos restringidos para sitios de Cloud Director:
VMware Cloud Director Availability 4.5 y versiones posteriores introducen dos derechos para el sitio de nube en VMware Cloud Director, según su versión:
Permisos de usuario en VMware Cloud Director Availability VMware Cloud Director 10.4 y versiones anteriores VMware Cloud Director 10.5 y versiones posteriores
Usuario con permiso completo: VCDA_MODIFY_RIGHT

Ver y administrar replicaciones

Usuario de solo lectura: VCDA_VIEW_RIGHT

Ver replicaciones

Para utilizar estos nuevos derechos en el sitio de nube, primero el usuario administrador del sistema debe publicar el derecho seleccionado en un paquete de derechos en VMware Cloud Director. Estos derechos no se pueden utilizar para que los usuarios locales inicien sesión en On-Premises to Cloud Director Replication Appliance.

  1. Para crear o modificar un paquete de derechos existente, en VMware Cloud Director, en el panel izquierdo, debajo de la sección Control de acceso de arrendatarios haga clic en Paquetes de derechos y en Agregar o seleccione un paquete existente y haga clic en Editar.
  2. En la ventana Agregar paquete de derechos, en Derechos en el paquete, en la categoría Otros, seleccione el derecho, en función de la versión de VMware Cloud Director según la tabla anterior y, a continuación, haga clic en Guardar.
    • VCDA_VIEW_RIGHT o Ver replicaciones
    • VCDA_MODIFY_RIGHT o Ver y administrar replicaciones
  3. Para publicar el paquete de derechos para todos los arrendatarios o para arrendatarios específicos, selecciónelo y haga clic en Publicar.
  4. En la ventana Publicar paquete de derechos, seleccione los arrendatarios para los que desea publicar el nuevo paquete de derechos y haga clic en Guardar.
    • Publicar en arrendatarios
    • Publicar en todos los arrendatarios

Después de que el administrador del sistema publique el paquete de derechos en una o varias organizaciones, estas organizaciones tienen acceso para utilizar esos derechos al acceder a VMware Cloud Director Availability en el sitio de nube.

Derechos de lectura-escritura:
VMware Cloud Director Availability permite el acceso de lectura-escritura a los usuarios de tipo administrador de organización o a los usuarios cuya función esté asignada con VCDA_MODIFY_RIGHT o Ver y administrar replicaciones.
Derechos de solo lectura:
En la interfaz de usuario, todas las acciones relacionadas con la administración permanecen ocultas para los usuarios de solo lectura. Un usuario de arrendatario cuya función está asignada con VCDA_VIEW_RIGHT o Ver replicaciones está restringido a ver solo sus propias replicaciones y no tiene permisos para modificar.
Derechos en conflicto:
La determinación de los derechos esperados si se asigna una función de usuario con derechos en conflicto; por ejemplo, tanto VCDA_VIEW_RIGHT como Ver replicaciones y administrador de organización tiene como resultado el acceso de lectura-escritura para el usuario. De forma similar, la asignación de VCDA_VIEW_RIGHT o Ver replicaciones y VCDA_MODIFY_RIGHT o Ver y administrar replicaciones a la misma función de usuario vuelve a generar acceso de lectura y escritura.
Como resultado:
  • Los usuarios de lectura-escritura pueden tener asignados VCDA_MODIFY_RIGHT o Ver y administrar replicaciones a su función personalizada o utilizar el usuario administrador de organización.
  • Los usuarios de solo lectura han asignado VCDA_VIEW_RIGHT o Ver replicaciones a su función.
  • La asignación de VCDA_VIEW_RIGHT o Ver replicaciones y (VCDA_MODIFY_RIGHT o Ver y administrar replicaciones o administrador de organización) a la misma función genera derechos de lectura y escritura.
Lista de los derechos de todos los usuarios que permiten iniciar sesión en Cloud Director Replication Management Appliance:
  • Los usuarios de tipo tenant de lectura-escritura tienen los mismos derechos que el usuario administrador de organización y ambos permiten administrar y supervisar solo sus propias replicaciones.
  • Los usuarios de tipo tenant de solo lectura se introducen con la versión 4.5 y solo permiten la supervisión de sus propias replicaciones.
  • Los usuarios de tipo proveedor de lectura-escritura son el método de inicio de sesión del proveedor actual y permiten administrar y supervisar todas las replicaciones y el estado del sistema.
  • Los usuarios de tipo proveedor de solo lectura se introducen con la versión 4.5 y solo permiten la supervisión de todas las replicaciones y del estado del sistema.

Como requisito previo, para las funciones de arrendatario que solo conceden el derecho VCDA_MODIFY_RIGHT o Ver y administrar replicaciones y son diferentes del administrador de organización predeterminado, en VMware Cloud Director como mínimo conceden exactamente los derechos siguientes:

  • General: Control de administrador
  • vApp: Editar política de recursos informáticos de la máquina virtual*
  • vApp: Editar las propiedades de MV
  • vApp: eliminar
  • vApp: Editar red de MV
  • vApp: editar propiedades
  • vApp: operaciones de encendido y apagado
  • vApp: Ver métricas de máquina virtual
  • vApp: Ver ACL
  • Organización: ver
  • Organización: Editar configuración de asociación
  • Red de organización: ver
  • Red de vDC de organización: Ver
  • Política de recursos informáticos de vDC de organización: Ver
  • vDC de organización: Ver ACL
  • Acceder a todos los VDC de organización
  • Catálogo: ver catálogos privados y compartidos
  • Catálogo: Ver ACL
  • Disco con nombre de vDC de organización: Eliminar
  • Disco con nombre de vDC de organización: Crear
  • Disco con nombre de vDC de organización: Ver propiedades
  • Disco con nombre de vDC de organización: Editar propiedades
  • Puerta de enlace de vDC de organización: Ver VPN de capa 2 **
  • Puerta de enlace de vDC de organización: Configurar VPN de capa 2 **
Nota:
  • VMware Cloud Director Availability requiere todos y cada uno de los derechos anteriores para el funcionamiento correcto del usuario de tipo tenant de VMware Cloud Director.
  • Para que VMware Aria Operations Management Pack for Cloud Director Availability pueda utilizar la detección automática de la dirección de VMware Cloud Director Availability, al utilizar un usuario de solo lectura para el paquete de administración, también debe agregar el complemento del portal para arrendatarios de visualización correcto, que se muestra en la interfaz de usuario como el derecho Complementos de interfaz de usuario: Ver.
  • * VMware Cloud Director Availability 4.3 y versiones posteriores requieren el derecho vApp: Editar política de recursos informáticos de la máquina virtual, que no forma parte del paquete de derechos predeterminado.
  • ** En VMware Cloud Director service, para ampliar una red de capa 2 a un SDDC en VMware Cloud™ on AWS, VMware Cloud Director Availability 4.4 y versiones posteriores requieren los derechos Puerta de enlace de vDC de organización: Ver VPN de capa 2 y Configurar VPN de capa 2, que no forman parte del paquete de derechos predeterminado.

Extensión de sesiones de usuario de VMware Cloud Director Availability

En sitios de Cloud Director, cada sesión de usuario de VMware Cloud Director Availability debe tener un usuario de VMware Cloud Director y una organización de VMware Cloud Director asociados a la sesión. Para obtener más información sobre las sesiones y la autenticación en sitios remotos, consulte Autenticación de sesión extendida en el manual User Guide.

En la siguiente tabla, consulte las operaciones de recuperación ante desastres de Cloud Service que requieren una extensión de la sesión de usuario:

Operación Replicación entrante Replicación saliente
Sesión requerida en el sitio de origen Sesión requerida en el sitio de destino Sesión requerida en el sitio de origen Sesión requerida en el sitio de destino
start
stop No
reconfigure No
failover No
migrate
sync No
pause No
resume No
reverse
failover test No
failover test cleanup No