VMware Site Recovery Manager(以下SRM)において、保護グループやリカバリプランが複数の環境ごとに存在し、各環境ごとに運用者が異なる場合があります。
このような場合、各環境のユーザーが特定のリカバリプランのみ操作できるように制御したい、というケースが考えられると思います。
前回の記事で作成したSRM環境を使用して、上記ケースの構成が実現できるかどうか検証していきます。
事前準備
前回の記事の2章「アレイベースのレプリケーションの構成」と同様の手順で2つ目の保護グループ、リカバリプランを作成します。
名前などはわかりやすい任意の名前で設定します。
今回は「Array-RecoveryPlan02」とします。
検証
2つのユーザーを作成して、以下のような制御を実現します。
- Plan01-user
- ArrayRecoveryPlanのみ操作可能
- Array-RecoveryPlan02は閲覧のみ可能
- Plan02-user
- Array-RecoveryPlan02のみ操作可能
- ArrayRecoveryPlanは閲覧のみ可能
ユーザーの作成
左上「≡」メニューから「管理」を選択します。
「ユーザーおよびグループ」を選択し、ドメインを「vsphere.local」に変更します。
「追加」をクリックします。
「ユーザーの追加画面で」ユーザー名とパスワードを入力し「追加」をクリックします。
ユーザー名は「Plan01-user」とします。
2つ目のユーザーも同様に追加します。
ユーザー名は「Plan02-user」とします。
グループの作成
以下2つのグループを作成します。
- SRMリモートユーザー用グループ
- SRM操作に必要な最低限の権限
- VRM管理者用グループ
- 全てのvSphere Replicationの権限
VMware Hands-on Labs環境ではvSphere Replicationがデフォルトで構築されています。
そのため、vSphere Replicationの権限がないユーザーでログインすると権限がない旨のエラーメッセージが出力されます。これを抑止するために、VRM管理者用のグループも作成します。
「ユーザーおよびグループ」より「グループ」タブに移動し、「追加」をクリックします。
「グループの追加」画面で以下情報を入力し、「保存」をクリックします。
- グループ名:SRM test group
- メンバーの追加:Plan01-user/Plan02-user
VRM管理者用のグループも同様の手順で作成します。
- グループ名:VRM test group
- メンバーの追加:Plan01-user/Plan02-user
グループへの権限付与
管理画面より「グローバル権限」を選択し、「追加」をクリックします。
先ほど作成した「SRM test group」にSRMリモートユーザーの権限を付与します。
「権限の追加」画面にて以下情報を入力し「OK」をクリックします。
- ドメイン:vsphere.local
- ユーザー/グループ:SRM test group
- ロール:SRM リモート ユーザー
- 子へ伝達:チェック
先ほど作成した「VRM test group」にVRM管理者の権限を付与します。
再度「グローバル権限」より「追加」をクリックし、以下情報を入力して「OK」をクリックします。
- ドメイン:vsphere.local
- ユーザー/グループ:VRM test group
- ロール:VRM 管理者
- 子へ伝達:チェック
リカバリプランへの権限付与
SRMの画面に移動し、「Recovery Plans」タブを選択します。
1つ目のリカバリプラン「Array-RecoveryPlan」を選択し、「Permissions」タブより「ADD」をクリックします。
「Array-RecoveryPlan」に対する管理者権限を「Plan01-user」に付与します。
「Add Permission」画面で以下情報を入力し、「ADD」をクリックします。
- Domain:VSPHERE.LOCAL
- User/Group:Plan01-user
- Role:SRM Administrator
- Propagate to children:チェック
2つ目のリカバリプラン「Array-RecoveryPlan02」を選択し、「Permissions」タブより「ADD」をクリックします。
「Array-RecoveryPlan02」に対する管理者権限を「Plan02-user」に付与します。
「Add Permission」画面で以下情報を入力し「ADD」をクリックします。
- Domain:VSPHERE.LOCAL
- User/Group:Plan02-user
- Role:SRM Administrator
- Propagate to children:チェック
現在、以下のように各ユーザーに権限が割り当てられています。
各ユーザーは特定のリカバリプランのみ操作可能で、それ以外のvSphereやSRMに対する操作はできない状態です。
- Plan01-user
- グローバル権限
- SRMリモートユーザー
- VRM管理者
- ArrayRecoveryPlanに対する権限
- SRM管理者
- Array-RecoveryPlan02に対する権限
- なし
- グローバル権限
- Plan02-user
- グローバル権限
- SRMリモートユーザー
- VRM管理者
- ArrayRecoveryPlanに対する権限
- なし
- Array-RecoveryPlan02に対する権限
- SRM管理者
- グローバル権限
動作確認
作成した2つのユーザーでそれぞれSRMにログインし、各リカバリプランが特定のユーザーのみが操作できるように制御できているか確認します。
「Administraor@VSPHERE.LOCAL」ユーザーをクリックし、ログアウトします。
Plan01-user動作確認
ログイン画面でユーザー名「Plan01-user@vsphere.local」とパスワードを入力しログインします。
左上「≡」メニューから「Site Recovery」を選択します。
「OPEN Site Recovery」をクリックします。
SRM(左側)の「VIEW DETAILS」をクリックします。
ログイン画面ではリカバリサイトの管理者ユーザーでログインします。
リカバリサイト側の動作は確認しないため、Administrator@vsphere2.localでログインします。
「Recovery Plans」タブを選択し、「Array-RecoveryPlan」を選択します。
実行やテスト、削除等のメニューが選択できることを確認します。
「Array-RecoveryPlan02」を選択し、グレーアウトしていて各種操作ができないことを確認します。
SRMからログアウトします。
Plan02-user動作確認
ログイン画面でユーザー名「Plan02-user@vsphere.local」とパスワードを入力しログインします。
先ほどの手順と同様、にSRMにログインし、「Recovery Plans」タブに移動します。
「Recovery Plans」タブを選択し、「Array-RecoveryPlan02」を選択します。
実行やテスト、削除等のメニューが選択できることを確認します。
「Array-RecoveryPlan」を選択し、グレーアウトしていて各種操作ができないことを確認します。
特定のリカバリプラン以外の操作についても権限は付与されていないので、操作することができません。
最後に
前回の記事で作成したSRM環境を使用して、ユーザーが特定のリカバリプランのみ操作できるように制御する方法についてご紹介しました。
今回は実施していませんが、リカバリサイトから保護サイトへフェールバックする際には、リカバリサイト側でもユーザーの作成と権限付与が必要になります。
検証環境が用意できない方でもVMware Hands-on Labsを利用すれば様々な検証が可能になりますので、ぜひ利用してみてください。