VMware Cloud Director Availability には、特定のユーザー ロールと権利に対して以下の正確な権限が必要であり、ディザスタ リカバリ (DR) 操作を実行するために次のセッションを確立します。
VMware Cloud Director Availability アプライアンスの root ユーザー アカウント
- パスワードは 8 文字以上にする必要があります。
- パスワードには数字、大文字と小文字、および英字以外を使用する必要があります。
- パスワードは以前のパスワードと同じにすることはできません。
- パスワードには、以前のパスワードと比較して 4 文字以上の新しい文字を含める必要があります。
VMware Cloud Director Availability ユーザー
VMware Cloud Director Availability は、管理者権限を持つユーザーを通常のユーザーと区別します。
-
- vCenter Single Sign-On ドメイン内のグループ:
-
VMware Cloud Director Availability で
管理者権限を使用してユーザー セッションを確立するには、ソース サイトとターゲット サイトの両方の認証情報が、
ADMINISTRATORS または
VRADMINISTRATORS グループに属している必要があります。次の両方のタイプのデプロイメントに適用されます。
- vCenter Server サイト間の vSphere DR および移行。
- VMware Cloud Director によってバッキングされたクラウド サイトを使用したレプリケーション。
たとえば、Single Sign-On ユーザー [email protected] は ADMINISTRATORS グループのメンバーです。
vSphere DR および移行では特に、 VMware Cloud Director Availability は次の 2 つのグループのユーザー メンバーをサポートします。グループ メンバーシップ On-Premises to Cloud vCenter Replication Appliance の場合 プロバイダ vCenter Replication Management Appliance の場合 ADMINISTRATORS グループ オンプレミス ADMINISTRATORS ユーザーは完全に制御できます。 プロバイダ ADMINISTRATORS ユーザーは完全に制御できます。 VRUSERS グループ オンプレミス VRUSERS には次の権限のみが付与されます。
- レプリケーションの監視
- レプリケーションの管理
- レプリケーション タスクの監視
- ピア サイトの監視。VRUSERS のユーザー メンバーは、既存のペアリングされたサイトを変更したり、新しいサイトをペアリングしたりすることはできません。
注: プロバイダ サイトとペアリングするには、そのプロバイダ サイトの VRUSERS、 ADMINISTRATORS、または VRADMINISTRATORS に属するプロバイダ ユーザーを入力する必要があります。ほとんどのテナントでは、プロバイダ VRUSERS グループに属するユーザーを使用してペアリングすることをお勧めします。つまり、オンプレミス サイトからプロバイダ サイトへのペアリングを確立するには、オンプレミス ADMINISTRATORS ユーザーとプロバイダ VRUSERS ユーザーの両方が必要です。
プロバイダ VRUSERS には次の権限のみが付与されます。
- レプリケーションの監視
- レプリケーションの管理
- レプリケーション タスクの監視
- ピア サイトの監視。VRUSERS のユーザー メンバーは、信頼を確立するために同じプロバイダ VRUSERS ユーザーを使用するオンプレミス サイトからのペアリングであっても、新しいサイトのペアリングや既存のペアリングされたサイトの変更はできません。ピア サイトのタイプに関係なく、VRUSERS ユーザーにはペアリングを変更する権限がありません。
-
- VMware Cloud Director 組織ユーザー:
- Cloud Director サイトでは、プロバイダは、 VMware Cloud Director システム管理者ユーザーとして認証された後、 VMware Cloud Director Availability オブジェクトとローカル VMware Cloud Director Availability アプライアンスを管理します。 システム管理者ロールには、デフォルトで VMware Cloud Director に関するすべての権限が含まれています。そのロールに属するユーザーは、任意のローカル オブジェクトを管理し、任意のリモート VMware Cloud Director Availability インベントリ オブジェクトを監視できます。ローカル サイトからリモート VMware Cloud Director Availability オブジェクトを管理するには、リモート サイトに対して システム管理者として認証します。
-
- テナント ユーザー:
-
テナントは、次のような認証を行った後、ディザスタ リカバリ操作を実行し、
VMware Cloud Director Availability オブジェクトを管理します。
- vSphere DR および移行の場合、VRUSERS グループに属するシングルサインオン ユーザーとしてとして認証すると、テナントは、ローカル サイトでディザスタ リカバリ操作を実行したり、ローカル VMware Cloud Director Availability オブジェクトを管理したり、リモート VMware Cloud Director Availability オブジェクトを監視したりできます。
- Cloud Director サイトで、組織管理者ユーザーとして認証すると、テナントはローカル サイトでディザスタ リカバリ操作を実行したり、ローカル VMware Cloud Director Availability オブジェクトを管理したり、VMware Cloud Director 組織に属するリモート VMware Cloud Director Availability オブジェクトを監視したりできます。ローカル サイトからリモート VMware Cloud Director Availability オブジェクトを管理するには、リモート サイトに対して組織管理者ユーザーとして認証します。
オンプレミスでは、バージョン 4.5 以降の VMware Cloud Director Availability vSphere Client Plug-In 認証の場合、vCenter Server Lookup service で構成されると、On-Premises to Cloud Director Replication Appliance によって VrOnpremUsers グループが作成されます。このグループのメンバーシップにより、VMware Cloud Director Availability vSphere Client Plug-In へのアクセスが許可されます。以前のバージョンでは、テナントは 管理者グループのユーザー メンバーを使用して、VMware Cloud Director Availability vSphere Client Plug-In に対して認証を行います。
vSphere DR と移行の場合、VMware Cloud Director Availability は、vCenter Server Lookup service でのアプライアンスの構成中に、ローカル vCenter Server インスタンスに VRADMINISTRATORS と VRUSERS グループの両方を作成します。VMware Cloud Director サイトでは、VRUSERS グループは使用できません。VRADMINISTRATORS グループは、vCenter Server にカスタム権限が必要な場合にのみ手動で作成する必要があります。
VMware Cloud Director Availability 管理者の vSphere 権限
- vSphere DR および移行に対する制限付き権限:
-
vSphere DR および移行の場合、
VMware Cloud Director Availability 4.5 以降では、システムへのアクセスが制限されている監視ユーザーを使用して、アプライアンス管理インターフェイスおよび
vSphere プラグインにログインできます。制限されたユーザーは、レプリケーションもサービスも管理できません。
デプロイ後またはアップグレード後に、VMware Cloud Director Availability アプライアンスを vCenter Server Lookup service に登録すると、VrMonitoringUsers と VrMonitoringAdministrators の 2 つの新しい Single Sign-On グループが vSphere に作成されます。
これらのグループの監視専用権限を使用するには、新しい Single Sign-On ユーザーを作成し、次の 2 つのグループのいずれか 1 つのメンバーにします。
- VrMonitoringUsers メンバーシップにより、ユーザーはレプリケーションを監視できます。
- VrMonitoringAdministrators メンバーシップにより、管理者はレプリケーションとシステムの健全性を監視できます。
プロバイダまたはオンプレミスの管理者として、vCenter Server Lookup service を登録して VMware Cloud Director Availability を操作するユーザー アカウントのロールに最小限の権限を付与します。プロバイダとして、テナントが制限付きのインフラストラクチャ アイテムにアクセスできないようにするには、VMware Cloud Director Availability の監査証明書とセキュリティ コンプライアンスに指定されている次の最小限の権限リストのみを許可します。
サービス ユーザー アカウントに対してカスタマイズされた権限を使用する場合は、VMware Cloud Director Availability を操作し、これを vCenter Server Lookup service に登録するユーザーに次の権限を適用する必要があります。
- System.Anonymous
- System.Read
- System.View
これらの権限は vSphere Client には表示されませんが、特定の管理対象オブジェクトの特定のプロパティを読み取るために使用されます。vSphere のすべての事前定義されたロールには、これらの 3 つのシステム定義の権限が含まれています。
vSphere のロール権限の詳細については、vSphere ドキュメントの定義済みの権限を参照してください。
VMware Cloud Director ロールの権利
VMware Cloud Director では、ユーザー権限のため、事前定義済みのグローバル テナント ロールおよびそこに含まれている権限がすべての組織に公開されます。システム管理者ユーザーは、個々の組織の権限とグローバル テナント ロールを変更できます。システム管理者ユーザーは、事前定義済みのグローバル テナント ロールを変更、作成、または削除できます。詳細については、VMware Cloud Director ドキュメントのシステム管理者の権限および 事前定義済みのグローバル テナント ロールの権限を参照してください。
- Cloud Director サイトの制限付き権限:
-
VMware Cloud Director Availability 4.5 以降では、バージョンに応じて、
VMware Cloud Director のクラウド サイトに対して次の 2 つの権限が導入されています。
VMware Cloud Director Availability のユーザー権限 VMware Cloud Director 10.4 以前 VMware Cloud Director 10.5 以降 フル権限ユーザー: VCDA_MODIFY_RIGHT レプリケーションの表示および管理
読み取り専用ユーザー: VCDA_VIEW_RIGHT レプリケーションの表示
クラウド サイトでこれらの新しい権限を使用するには、システム管理者ユーザーがまず VMware Cloud Director の権限バンドルで選択した権限を公開する必要があります。オンプレミス ユーザーが On-Premises to Cloud Director Replication Appliance にログインする場合、これらの権限は使用できません。
- 既存の権限バンドルを作成または変更するには、VMware Cloud Director の [テナント アクセス コントロール] の左側のペインで [権限バンドル] をクリックし、[追加] をクリックするか、既存のバンドルを選択して [編集] をクリックします。
- [権限バンドルの追加] ウィンドウの [バンドルの権限] にある [その他] カテゴリで、上記の表を参照して VMware Cloud Director のバージョンに応じて権限を選択し、[保存] をクリックします。
- [VCDA_VIEW_RIGHT] または レプリケーションの表示
- [VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理
- 権限バンドルをすべてのテナントまたは特定のテナントに公開するには、権限バンドルを選択して [公開] をクリックします。
- [権限バンドルの公開] ウィンドウで、新しい権限バンドルを公開するテナントを選択し、[保存] をクリックします。
- [テナントに公開]
- [すべてのテナントに公開]
システム管理者が権限バンドルを 1 つ以上の組織に公開すると、これらの組織は、クラウド サイトの VMware Cloud Director Availability にアクセスするときにこれらの権限を使用できます。
- 読み取り/書き込み権限:
- VMware Cloud Director Availability では、 組織管理者ユーザー、またはロールに [VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理 が割り当てられているユーザーに対する読み取り/書き込みアクセス権が許可されます。
- 読み取り専用権限:
- ユーザー インターフェイスでは、読み取り専用ユーザーに対して管理関連のすべてのアクションが非表示のままになります。ロールに [VCDA_VIEW_RIGHT] または レプリケーションの表示 が割り当てられているテナント ユーザーは、自分のレプリケーションの表示のみに制限され、変更する権限はありません。
- 競合する権限:
- ユーザー ロールに競合する権限が割り当てられている場合( [VCDA_VIEW_RIGHT] または レプリケーションの表示 と 組織管理者 の両方)、予期される権限を決定すると、そのユーザーに対して読み取り/書き込みアクセス権が付与されます。同様に、 [VCDA_VIEW_RIGHT] または レプリケーションの表示 および [VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理 の両方を同じユーザー ロールに割り当てる場合でも、読み取り/書き込みアクセス権が付与されます。
- 読み取り/書き込みユーザーは、カスタム ロールに [VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理 が割り当てられたり、デフォルトの 組織管理者 ユーザーを使用したりできます。
- 読み取り専用ユーザーは、[VCDA_VIEW_RIGHT] または レプリケーションの表示 が自分のロールに割り当てられています。
- [VCDA_VIEW_RIGHT] または レプリケーションの表示 および([VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理 または 組織管理者)のいずれかを同じロールに割り当てると、読み取り/書き込み権限が得られます。
- Cloud Director Replication Management Appliance へのログインを許可するすべてのユーザーの権限リスト:
-
- 読み取り/書き込みテナント ユーザーは既存の組織管理者ユーザーと同じ権限を持ち、自分のレプリケーションのみを管理および監視できます。
- 読み取り専用テナント ユーザーはバージョン 4.5 で導入され、自分のレプリケーションのみを監視できます。
- 読み取り/書き込みプロバイダ ユーザーは現在のプロバイダ ログイン方法であり、すべてのレプリケーションとシステム健全性の管理と監視の両方を実行できます。
- 読み取り専用プロバイダ ユーザーはバージョン 4.5 で導入され、すべてのレプリケーションとシステム健全性の監視のみが可能です。
前提条件として、[VCDA_MODIFY_RIGHT] または レプリケーションの表示および管理 のみを付与し、デフォルトの 組織管理者 とは異なる テナント ロールの場合、VMware Cloud Director で、少なくとも次の権限を付与する必要があります。
- 全般: 管理者の制御
- vApp:仮想マシンのコンピューティング ポリシーの編集 *
- vApp: 仮想マシンのプロパティを編集
- vApp: 削除
- vApp: 仮想マシンのネットワークを編集
- vApp: プロパティの編集
- vApp: パワー操作
- vApp:仮想マシンのメトリックの表示
- vApp:ACL の表示
- 組織: 表示
- 組織:関連付け設定の編集
- 組織ネットワーク: 表示
- 組織 VDC ネットワーク:表示
- 組織 VDC コンピューティング ポリシー:表示
- 組織 VDC:ACL の表示
- すべての組織 VDC へのアクセス
- カタログ: 非公開および共有カタログの表示
- カタログ:ACL の表示
- 組織 VDC 名前付きディスク:削除
- 組織 VDC 名前付きディスク:作成
- 組織 VDC 名前付きディスク:プロパティの表示
- 組織 VDC 名前付きディスク:プロパティの編集
- 組織 VDC ゲートウェイ:L2 VPN の表示 **
- 組織 VDC ゲートウェイ:L2 VPN の構成 **
- VMware Cloud Director テナント ユーザーの正しい操作のため、VMware Cloud Director Availability に上記のそれぞれおよびすべての権限が必要です。
- VMware Aria Operations Management Pack for Cloud Director Availability が VMware Cloud Director Availability アドレスの自動検出を使用できるようにするには、管理パックで読み取り専用ユーザーを使用する場合は、ユーザー インターフェイスに「ユーザー インターフェイス プラグイン:表示」権限として表示される「テナント ポータル プラグインの表示」権限も追加する必要があります。
- * VMware Cloud Director Availability 4.3 以降では、デフォルトの権限バンドルに含まれていない vApp:仮想マシンのコンピューティング ポリシーの編集権限が必要です。
- ** VMware Cloud Director service では、VMware Cloud™ on AWS 内の SDDC に L2 ネットワークを拡張するには、VMware Cloud Director Availability 4.4 以降の場合、デフォルトの権限バンドルに含まれていない組織 VDC ゲートウェイ:L2 VPN の表示と L2 VPN の構成権限の両方が必要です。
VMware Cloud Director Availability ユーザー セッションの拡張
Cloud Director サイトの各 VMware Cloud Director Availability ユーザー セッションでは、VMware Cloud Director ユーザーと VMware Cloud Director 組織がセッションに関連付けられている必要があります。セッションと、リモート サイトへの認証の詳細については、『User Guide』の拡張セッションの認証を参照してください。
ユーザー セッションの拡張が必要な Cloud Service ディザスタ リカバリ操作については次の表を参照してください。
操作 | 受信レプリケーション | 送信レプリケーション | ||
---|---|---|---|---|
ソース サイトでセッションが必要 | ターゲット サイトでセッションが必要 | ソース サイトでセッションが必要 | ターゲット サイトでセッションが必要 | |
start | はい | はい | はい | はい |
stop | いいえ | はい | はい | はい |
reconfigure | いいえ | はい | はい | はい |
failover | いいえ | はい | はい | はい |
migrate | はい | はい | はい | はい |
sync | いいえ | はい | はい | はい |
pause | いいえ | はい | はい | はい |
resume | いいえ | はい | はい | はい |
reverse | はい | はい | はい | はい |
failover test | いいえ | はい | はい | はい |
failover test cleanup | いいえ | はい | はい | はい |