Wer hat Recht und vor allem wie viel?

Von | 20. November 2015

In großen vSphere-Umgebung mit einer Vielzahl von Benutzern ist es unvermeidbar, die Berechtigungen der einzelnen vCenter-Benutzer einzuschränken. Das gilt sowohl für interaktive Benutzer, für die die sichtbaren Objekte und deren Berechtigungen limitiert werden müssen, als auch für Service-Benutzer, die von Software-Komponenten benutzt werden, um auf vCenter zuzugreifen. Sowohl vRealize Operations als auch LogInsight nutzen Service-Benutzer für den Zugriff auf vCenter. Dieser Artikel beschreibt, welche minimalen Berechtigungen erforderlich sind, um eine Integration mit vCenter zu ermöglichen.

For English version click here.

vRealize Operations 6.1

vRealize Operations komuniziert mit vCenter auf 3 unterschiedlichen Ebenen im Rahmen des vCenter Management-Packs. In kleineren Umgebungen ist es durchaus üblich, den selben administrativen Account für alle 3 Zugriffsarten zu verwenden. vRealize Operations unterstützt aber auch die Separierung der einzelnen Zugriffsberechtigungen auf unterschiedliche vCenter Benutzer und Rollen.

 

vrops-vcenter-collection-user vrops-vcenter-register-user vrops-vcenter-python-user

vCenter Collector user (1. Darstellung oben)

Dieser Benutzer ist am wichtigsten für den Zugriff von vRealize Operations auf vCenter, da damit die Metric-Daten aus einer vSphere-Umgebung ausgelesen werden. Es handelt sich hierbei ausschließlich um Lese-Prozesse, wodurch Read-Only-Berechtigungen ausreichen. Dafür gibt es eine bestehende Rolle in vCenter, die auf Datacenter oder vCenter level angewendet werden sollte. Für den Fall, dass die Sicht von vRealize Operations auf bestimmte Cluster, Hosts oder andere Komponenten eingeschränkt werden soll, kann der Scope entsprechend angepasst werden.

Mehr Informationen über diesen Benutzertyp sind hier zu finden: Add a vCenter Adapter Instance

 

vCenter Registration user (2. Darstellung oben)

vRealize Operations kann von vCenter heraus gestartet werden, wozu eine eine Registrierung in vCenter erforderlich ist. Dieser Prozess findet normalerweise einmalig statt und benötigt gewisse schreibende Berechtigungen.

Mehr Informationen dazu: VMware vCenter Operations Manager 5.8 (das Dokument wurde für eine ältere Version von vRealize Operations erstellt, ist aber im Bezug auf die Berechtigungs-Struktur auch für 6.1 gültig)

vrops-vcenter-registration

vCenter Python Actions Adapter (3. Darstellung oben)

vRealize Operations bietet auch die Möglichkeit, Aktionen und Befehle auf ein verwaltetes Objekt anzuwenden. Im Rahmen von vSphere-Monitoring werden üblicherweise VM Lifecycle-Operationen als Aktionen genutzt, siehe Beispiele im Screenshot unten:

 

vrops-actions

vRealize Operations nutzt dabei Python-Skripte für den Zugriff auf die vCenter-Funktionen, die entsprechende Berechtigungen benötigen. Im wesentlichen ist es dabei nur erforderlich, die jeweilge Berechtigung der Einzel-Aktion zuzuweisen, d.h. z.B. power-off oder power-on bei einer VM. Einige Funktionen setzen aber zusätzliche Rechte voraus, insbesondere dann, wenn sie Abhängigkeiten zum Host haben, auf dem die VM läuft –  z.B. snapshots.

Um die Steuerbarkeit von vCenter über externe Komponenten weitestgehend einzuschränken, empfiehlt es sich, für die vRealize-Operations-Aktionen eine eigene restriktive Rolle nur mit den dafür notwendigen Berechtigungen anzulegen.

Mehr Details dazu hier: Add a vCenter Python Actions Adapter Instance

Im unteren Screenshot ist ein Berechtigungsbeispiel zu sehen, das nur power-off und power-on Aktionen erlaubt:

vrops-vcenter-python

Andere Beispiele für angepasste Berechtigung (Python-Zugriff):

  • Power Off VM: – Virtual Machine\Interaction\Power Off
  • Power On VM – Virtual Machine\Interaction\Power On
  • Set CPU Count for VM – Virtual Machine\Configuration\Change CPU Count (Wenn bei dieser Konfigurationsänderung die VM automatisch ausgeschaltet werden soll, ist zusätzlich das power-off-Recht erforderlich. Gleiches gilt, falls vorher ein Snapshot ausgeführt werden soll, dann ist die Berechtigung für das Erstellen eines Snapshots notwendig)
  • Set Memory for VM – Virtual Machine\Configuration\Memory
  • Set CPU Resources for VM – Virtual Machine\Configuration\Change Resource
  • Set CPU Count &Memory for VM – Virtual Machine\Configuration\Change CPU Count, Virtual Machine\Configuration\Memory (Wenn bei dieser Konfigurationsänderung die VM automatisch ausgeschaltet werden soll, ist zusätzlich das power-off-Recht erforderlich. Gleiches gilt, falls vorher ein Snapshot ausgeführt werden soll, dann ist die Berechtigung für das Erstellen eines Snapshots notwendig)
  • Delete Unused Snapshots for VM – Virtual Machine\Snapshot Management\Remove Snapshot (Ein Benutzer muss zusätzlich Lese-Zugriff für den Host haben, auf dem die VM läuft)
  • Shutdown Guest OS for VM – Virtual Machine\Interaction\Power Off

 

vRealize LogInsight 3.0

Die Möglichkeiten bzgl. vCenter-Berechtigungen sind in vRealize LogInsight nicht so umfangreich wie bei vRealize Operations. Für die Verbindung zu vCenter werden im wesentlichen nur read-only Berechtigungen benötigt. Allerdings kann LogInsight auch automatisch das Logging auf ESXi Host anpassen, um ein neues Syslog-Ziel einzutragen. Dazu werden vier zusätzliche Rechte benötigt, die im Screenshot unten dargestellt sind.

Hinweis: Die Berechtigungen müssen auf der obersten vCenter-Ebene mit dem Parameter “propagate to children” konfiguriert werden.

loginsight-esxi-configuration

print

Christian Ferber
Letzte Artikel von Christian Ferber (Alle anzeigen)

Ein Gedanke zu „Wer hat Recht und vor allem wie viel?

  1. Pingback: FAQ vR Ops – Häufig gestellte Fragen DRAFT | vrealize.it - Cloudmanagement mit VMware vRealize Suite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.