5.3 VMwareでのProtectのマルチテナンシの設定

PlateSpin Protectには、VMwareの非管理ユーザ(つまり、「有効化されたユーザ」)がVMware環境でProtectライフサイクル操作を実行するのを可能にする、固有のユーザ役割が含まれます(VMwareデータセンターでユーザ役割を作成するためのツールも含まれます)。この役割を使用することにより、サービスプロバイダはVMwareクラスタをセグメント化して、マルチテナンシを実装できます。マルチテナンシでは、データセンター内で複数のProtectコンテナをインスタンス化することで、Protectの複数の顧客(つまり、「テナント」)のデータを格納します。これらのテナントは、データセンターを使用する他の顧客がアクセスできないように、自分のデータとその所在の痕跡を分離することを求めています。

このセクションでは、次の情報を紹介します。

5.3.1 ツールの使用によるVMwareの役割の定義

PlateSpin Protectでは、VMware Infrastructure (つまり、 VMwareの「コンテナ」)でのタスクのアクセスと実行、およびその環境でのProtectワークフローと機能の実行を可能にする特定の権限が必要です。これらの必要な権限は多数に及ぶため、NetIQ社は、最低限必要な権限が定義されているファイルを作成しています。これらの権限は、次の3つのVMwareカスタム役割へと集約されます。

PlateSpin Virtual Machine Manager
PlateSpin Infrastructure Manager
PlateSpin User

この定義ファイル(PlateSpinRole.xml)は、PlateSpin Protect Serverインストールに含まれています。付属している実行可能ファイル(PlateSpin.VMwareRoleTool.exe)は、定義ファイルをアクセスすることで、これらのカスタムPlateSpin役割をターゲットvCenter環境内に作成します。

このセクションでは、次の情報を紹介します。

基本的なコマンドライン構文

役割ツールのインストール先で、次の基本的な構文を使用して、このツールをコマンドラインで実行します。

PlateSpin.VMwareRoleTool.exe /host=[host name/IP] /user=[user name] /role=[the role definition file name and location] /create

メモ:デフォルトでは、役割定義ファイルは、役割定義ツールと同じフォルダにあります。

その他のコマンドラインパラメータおよびフラグ

PlateSpin.VMwareRoleTool.exeを使用してvCenterの役割を作成または更新する際には、必要に応じて次のパラメータを適用します。

/作成	(必須) /roleパラメータによって定義された役割を作成します
/get_all_prvileges	サーバによって定義された権限をすべて表示します

オプションのフラグ
/interactive	個々の役割の作成、役割の互換性のチェック、または互換性のあるすべての役割の一覧表示を選択できる対話型オプションを指定して、ツールを実行します。
/password=[password]	VMwareパスワードを示します(パスワードプロンプトを迂回します)
/verbose	詳細情報を表示する

ツールの利用例

使用法: PlateSpin.VMwareRoleTool.exe /host=houston_sales /user=pedrom /role=PlateSpinRole.xml /create

結果としてのアクション:

役割定義ツールは、管理者のユーザ名がpedromのhouston_sales vCenterサーバで実行されます。
/passwordパラメータを指定しないと、ツールによってユーザパスワードの入力を求めるプロンプトが表示されます。このパスワードを入力します。
ツールの実行可能ファイルと同じディレクトリにある(そのパスをさらに詳細に定義する必要はない)役割定義ファイル(PlateSpinRole.xml)が、ツールによってアクセスされます。
定義ファイルが見つかり次第、そのファイル内で定義されている役割をvCenter環境に作成(/create)するように指示されます。
ツールが定義ファイルにアクセスし、vCenter内に新しい役割(定義されている限定的なアクセス用の最低限の権限を含む)を作成します

新しいカスタム役割は、vCenterで後でユーザに割り当てられます。

(オプション) vCenterでのPlateSpin役割の手動定義

PlateSpinカスタム役割を手動で作成して割り当てるには、vCenterクライアントを使用します。これには、PlateSpinRole.xmlで定義され列挙されている、役割を作成することが関係しています。手動で作成する場合は、役割名に関する制限がありません。唯一の制限は、定義ファイル内の役割と同等の作成済みの役割名に、適切な最低限の権限を定義ファイルからすべて付与する必要があることです。

vCenterでカスタム役割を作成する方法の詳細については、VMwareテクニカルリソースセンターのVMWare VirtualCenterの役割と権限の管理を参照してください。

5.3.2 vCenterでの役割の割り当て

マルチテナンシ環境を設定する際には、顧客またはテナントごとに単一のProtectサーバをプロビジョニングする必要があります。このProtectサーバに、特別なProtect VMware役割を持つ有効化されたユーザを割り当てます。この有効化されたユーザは、Protectコンテナを作成します。サービスプロバイダは、このユーザの資格情報を保持して、テナント顧客には公開しません。

次の表は、有効化されたユーザに対して定義する必要がある役割を一覧表示しています。この役割の用途に関する説明も示します。

役割割り当て用のvCenterコンテナ	役割割り当ての詳細	プロパゲート手順	説明
vCenterインベントリツリーのルート。	有効化されたユーザに、PlateSpin Infrastructure Manager (またはそれと同等の)役割を割り当てます。	セキュリティ上の理由から、プロパゲートしないように権限を定義します。	この役割は、Protectソフトウェアによって実行されているタスクを監視したり、失効したVMwareセッションを終了するために必要です。
有効化されたユーザがアクセスする必要のあるすべてのデータセンターオブジェクト	有効化されたユーザに、PlateSpin Infrastructure Manager (またはそれと同等の)役割を割り当てます。	セキュリティ上の理由から、プロパゲートしないように権限を定義します。	この役割は、ファイルのアップロード/ダウンロード用にデータセンターのデータストアへのアクセスを許可するために必要です。プロパゲートしないように権限を定義します。
コンテナとしてProtectに追加される各クラスタ、およびクラスタ内の各ホスト	有効化されたユーザに、PlateSpin Infrastructure Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ホストに割り当てるには、クラスタオブジェクトから権限をプロパゲートするか、クラスタホストごとに追加権限を作成します。クラスタオブジェクトに割り当てた役割をプロパゲートした場合は、クラスタに新しいホストを追加した後、これ以上の変更は必要ありません。ただし、この権限のプロパゲートは、セキュリティに影響を与えます。
有効化されたユーザがアクセスする必要のある各リソースプール。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のリソースプールに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのリソースプールに対するアクセスを付与する必要があります。
有効化されたユーザがアクセスする必要のある各VMフォルダ。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のVMフォルダに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのフォルダに対するアクセスを付与する必要があります。
有効化されたユーザがアクセスする必要のある各ネットワーク。 dvSwitchおよびdvPortgroupが使用可能な分散仮想ネットワーク。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	ツリー内の任意の場所にある任意の数のネットワークに対するアクセスを割り当てることができますが、有効化されたユーザには、この役割を割り当ててから、少なくとも1つのフォルダに対するアクセスを付与する必要があります。 dvSwitchに適切な役割を割り当てるには、Datacenterで役割をプロパゲートするか(役割を受け取るオブジェクトが増える)、dvSwitchをフォルダに配置してそのフォルダに役割を割り当てます。標準的なポートグループが、使用可能なネットワークとしてProtect UIに一覧表示されるようにするには、クラスタ内の各ホストでポートグループの定義を作成します。
有効化されたユーザがアクセスする必要のある各データストアおよびデータストアクラスタ。	有効化されたユーザに、PlateSpin Virtual Machine Manager (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	有効化されたユーザには、この役割を割り当ててから、少なくとも1つのデータストアまたはデータストアクラスタに対するアクセスを付与する必要があります。データストアクラスタの場合、含まれているデータストアに対して権限をプロパゲートする必要があります。クラスタの個々のメンバーに対するアクセスが許可されないと、レプリケーションの準備と完全レプリケーションが両方とも失敗します。

次の表は、顧客またはテナントユーザに割り当てることができる役割を示しています。

役割割り当て用のvCenterコンテナ	役割割り当ての詳細	プロパゲート手順	説明
顧客のVMの作成先であるリソースプールおよびフォルダ。	テナントユーザに、PlateSpin User (またはそれと同等の)役割を割り当てます。	プロパゲーションは、VMware管理者の判断で行われます。	このテナントは、PlateSpin Protectサーバ上のPlateSpin管理者グループのメンバーであり、vCenterサーバ上にも存在します。テナントに、VMによって使用されるリソース(つまり、ネットワーク、ISOイメージなど)を変更する許可を付与するには、このユーザにそれらのリソースに対する必要な権限を付与します。たとえば、顧客が自分のVMの接続先ネットワークを変更できるようにするには、このユーザに対してそのネットワークへの読み込み専用の役割を割り当てるか、(より優れた方法として)顧客がアクセスできるすべてのネットワークへの読み込み専用の役割を割り当てます。

役割割り当て用のvCenterコンテナ

役割割り当ての詳細

プロパゲート手順

説明

顧客のVMの作成先であるリソースプールおよびフォルダ。

テナントユーザに、PlateSpin User (またはそれと同等の)役割を割り当てます。

プロパゲーションは、VMware管理者の判断で行われます。

このテナントは、PlateSpin Protectサーバ上のPlateSpin管理者グループのメンバーであり、vCenterサーバ上にも存在します。

テナントに、VMによって使用されるリソース(つまり、ネットワーク、ISOイメージなど)を変更する許可を付与するには、このユーザにそれらのリソースに対する必要な権限を付与します。たとえば、顧客が自分のVMの接続先ネットワークを変更できるようにするには、このユーザに対してそのネットワークへの読み込み専用の役割を割り当てるか、(より優れた方法として)顧客がアクセスできるすべてのネットワークへの読み込み専用の役割を割り当てます。

次の図は、vCenterコンソールのVirtual Infrastructureを示しています。青色でラベル付けされているオブジェクトには、Infrastructure Manager役割が割り当てられます。緑色でラベル付けされているオブジェクトには、Virtual Machine Manager役割が割り当てられます。ツリーには、VMフォルダ、ネットワーク、およびデータストアが表示されていません。これらのオブジェクトには、PlateSpin Virtual Machine Manager役割が割り当てられます。

図 5-1 vCenterに割り当てられている役割

VMwareの役割を割り当てることによるセキュリティへの影響

PlateSpinソフトウェアでは、保護ライフサイクルの操作を実行する場合にのみ、有効化されたユーザを使用します。サービスプロバイダであるユーザの観点からすると、有効化されたユーザの資格情報に対するアクセス権はエンドユーザに付与されず、VMwareリソースの同じセットにもアクセスできないように思えます。複数のProtectサーバが同一のvCenter環境を使用するように設定された環境では、Protectにより、クロスクライアントアクセスの可能性が防止されます。主なセキュリティへの影響は次のとおりです。

vCenterオブジェクトにPlateSpin Infrastructure Manager役割を割り当てることにより、すべての有効化されたユーザが、他のユーザが実行したタスクを確認できるようになります(それらのタスクに影響を与えることはできない)。
データストアのフォルダ/サブフォルダに対して権限を設定することはできないため、データストアへの権限を持つすべての有効化されたユーザは、そのデータストアに格納されている他のすべての有効化されたユーザのディスクに対するアクセス権を持っています。
クラスタオブジェクトにPlateSpin Infrastructure Manager役割を割り当てると、すべての有効化されたユーザが、クラスタ全体のHAまたはDRSのオン/オフを切り替えられるようになります。
ストレージクラスタオブジェクトにPlateSpin User役割を割り当てると、すべての有効化されたユーザが、クラスタ全体のSDRSのオン/オフを切り替えられるようになります。
DRSクラスタオブジェクトにPlateSpin Infrastructure Manager役割を設定してからこの役割をプロパゲートすると、有効化されたユーザが、デフォルトのリソースプールまたはデフォルトのVMフォルダ(あるいはその両方)にあるすべてのVMを確認できるようになります。また、プロパゲーションでは、アクセスすべきではないすべてのリソースプール/VMフォルダに対する「アクセス不可」役割が付与されるように、管理者は有効化されたユーザに明示的に設定する必要があります。
vCenterオブジェクトにPlateSpin Infrastructure Manager役割を設定すると、有効化されたユーザが、vCenterに接続している他のユーザのセッションを終了できるようになります。

メモ:これらのシナリオでは、有効化された各ユーザが、実際にはPlateSpinソフトウェアの各インスタンスを表していることを明記してください。