Merhaba, bu yazımda sizlere vCenter üzerinde Commvault ile kısıtlı yetkilerle nasıl işlem yaptırılır konusundan bahsedeceğim. Commvault yedekleme yazılımı için vCenter üzerinde hem yedekleme hem de geri yükleme yapabilecek bir kullanıcı yetkilendirmesi için en uygun rol atamalarını anlatacağım. Bu kullanıcıya minimum yetki prensibiyle gerekli erişimleri verecek şekilde ayrıntılı teknik bir makale hazırladım.
Commvault ile VMware sanal makinelerinin yedeklenmesi ve geri yüklenmesinde kullanılacak vCenter hesabı, tüm sanal altyapıyı görebilmeli ancak “asgari yetki” (least privilege) ilkesine uygun olmalıdır. Commvault dokümantasyonuna göre bu hesap, yedeklenecek/geri yüklenecek VM’lerin bulunduğu vCenter, Veri Merkezi (Datacenter), ESX host ve Sanal Makine düzeylerinde gerekli izinlere sahip olmalıdır.
Aksi halde, örneğin kullanıcının bir VM’in bulunduğu datacenter veya host üzerinde yetkisi yoksa yedekleme işlemi başarısız olur. Bu kullanıcıya verilecek rol, yalnızca gereken ayrıcalıkları içeren özel bir rol olmalıdır.
vCenter Üzerinde Minimal Yetkili Bir Rol Oluşturma
vSphere Client’ta Rol Oluşturun
vCenter’a Administrator yetkili bir hesapla giriş yapın. Administration> Roles bölümüne giderek “Add Role” seçeneğiyle yeni bir rol oluşturun. Role örneğin “Commvault_Yedekleme_Rolü” gibi bir isim verin.
Gerekli Yetkileri Ekleyin
Aşağıdaki ayrıcalıkları yeni role ekleyin (sınıflandırılmış şekilde).
Datastore
Allocate space (Alan ayırma)
VM, snapshot veya disk oluştururken alan tahsisi için gereklidir.
Browse datastore (Datastore’u gözden geçir)
VM dosyalarını listelemek/okumak için gereklidir.
Low level file operations (Düşük seviye dosya işlemleri)
Datastore üzerinde okuma/yazma/silme işlemleri yapabilmek (ör. VMDK kopyalamak) için gereklidir.
Not
“Low level file operations” izni VM yapılandırma dosyalarını okumak ve yedekten geri yazmak için kritik önemdedir.
Network
Assign network (Ağ atama)
Geri yükleme sırasında bir sanal makine arayüzünü bir port grubu veya ağa bağlayabilmek için gereklidir
Resource
Assign virtual machine to resource pool (Sanal makineyi resource pool’a atama)
VM’leri bir cluster/resource pool içinde yedeklerken veya geri yüklerken ilgili havuza ekleyebilmek için gereklidir. Bu izin, yedekleme kullanıcısının VM’leri ilgili resource pool’lara yerleştirmesine olanak tanır.
Folder
Create folder / Delete folder (Klasör oluşturma/silme)
Geri yükleme esnasında yeni bir VM klasörü oluşturmak veya silmek gerekebileceği durumlar için (örneğin, farklı bir dizin altında VM’i geri yüklemek isterseniz) bu ayrıcalıklar verilmelidir. Bu sayede Commvault, gerektiğinde hedef ortamda yeni bir klasör yaratabilir.
Global
Cancel task (Görevi iptal etme)
vCenter üzerindeki bir işlemi iptal etme ayrıcalığıdır. Yedekleme yazılımının başlattığı bir VMware görevini gerektiğinde iptal etmesi için önerilir.
Set custom attribute (Özel nitelik belirleme)
Commvault ‘un, VM’lere son yedekleme zamanı gibi özel notlar eklemesine olanak tanır (opsiyonel fakat yararlı).
Opsiyonel: Licenses
Lisans görüntüleme yönetimi için global ayrıcalık; gerekli değil ancak hata almamak için verilebilir.
Extension
Register/Unregister extension (Eklenti kaydetme/silme)
Commvault, vCenter’a bir eklenti kaydediyorsa (ör. plugin veya izleme amacıyla), bu ayrıcalıklar gereklidir. IBM’in kılavuzuna göre, vSphere Plug-in kurulumu için bu izinler şarttır.
NOT
Eğer Commvault vCenter eklentisi kullanmıyorsanız bu izinler opsiyoneldir.
Virtual Machine – Snapshot Management
Create snapshot (Snapshot oluşturma)
Bir VM’in anlık görüntüsünü alabilmek için gereklidir (yedekleme işlemi öncesi VM snapshot’ı alınır.
Remove snapshot (Snapshot silme)
Yedekleme sonrası oluşturulan snapshot’ı temizlemek için gereklidir.
Opsiyonel: Revert to snapshot
Snapshot ’tan dönme izni; Commvault genellikle bunu kullanmaz, ancak Live Recovery veya replika senaryolarında gerekebilir.
Virtual Machine – Interaction
Power on / Power off (Açma/Kapama)
Geri yüklenen VM’leri açıp kapatabilmek için gereklidir. Commvault üzerinden geri yükleme yapıldığında VM’i otomatik olarak açmak istenebilir; bu durumda bu izin olmadan işlem başarısız olabilir.
Answer question (Soruları yanıtla)
vCenter, bir VM’i açarken “Moved/Copied?” gibi bir soru sorarsa, Commvault ‘un bunu yanıtlayabilmesi için bu ayrıcalık faydalıdır. (Örneğin, geri yüklenen bir VM ilk açılışta soru sorabilir.)
Virtual Machine – Configuration
Acquire disk lease (Disk kiralama izni)
Yedekleme yazılımının disk verisini okuma/yazma oturumu başlatması için gereklidir. Commvault, VADP üzerinden VM disklerini okurken bu ayrıcalığı kullanır.
Add existing disk / Add new disk (Var olan diski ekleme / Yeni disk oluşturma)
Geri yükleme sırasında VM’e mevcut bir sanal diski takmak veya yeni bir sanal disk oluşturup eklemek için gereklidir. Örneğin, Commvault bir VM’i geri yüklerken orijinal VMDK dosyasını datastore ’a yerleştirip VM’e “existing disk” olarak bağlayabilir; bu izin olmadan disk VM’e eklenemez.
Add or remove device (Aygıt ekle/sil)
VM’e disk dışı aygıt eklemek/sökmek için (özellikle SCSI denetleyicisi ekleyerek birden fazla disk takmak gibi) gereklidir. Commvault geri yükleme esnasında orijinal VM’deki donanım yapısını (ör. birden fazla SCSI controller) yeniden oluşturabilmek için bu izne ihtiyaç duyabilir.
Advanced configuration (Gelişmiş yapılandırma)
VM’in gelişmiş konfigürasyon parametrelerini değiştirme izni: Bu, yedekleme sırasında Change Block Tracking (CBT) özelliğinin etkinleştirilmesi için gereklidir; Commvault ilk yedeklemede CBT’yi aktifleştirmek için VM’in config ’ine bir parametre yazar, bu izin olmadan yazamaz.
Not
Bu kategori altında Change Tracking veya Disk change tracking diye bir alt izin mevcutsa onu da ekleyin – bazı vCenter sürümlerinde CBT için ayrı bir yetki bulunur.
Virtual Machine – Provisining
Allow read-only disk access (Salt-okunur disk erişimine izin)
Bir VM’in diskine salt-okunur şekilde erişim izni verir Bu, Commvault ‘un bir VM diskini bağlayıp içerisinden dosya okuması (ör. dosya bazlı geri dönüşler için sanal diski mount etmesi) senaryosunda gereklidir.
Allow virtual machine download (Sanal makine indirmeye izin)
Bir VM’in OVF/şablon olarak indirilmesine veya kopyalanmasına izin verir. Yedekleme yazılımlarının VM verisini okuması için tavsiye edilir.
Opsiyonel: Allow disk access
Bir VM diskine yazma amaçlı erişim izni. Commvault genellikle disklere yazmak için bu yolu kullanmaz; geri yükleme işlemini farklı yöntemle yapar. Ancak “Live Mount” gibi bir özellikle uzaktan disk mount edip değişiklik yapılacaksa bu izne ihtiyaç olabilir. En düşük yetki ilkesine göre, gerekli görülmedikçe bu izin verilmemelidir.)
Virtual Machine – Inventory
Geri yükleme işlemi, orijinal VM’den bağımsız yeni bir VM oluşturuyorsa bu gereklidir.
Register (Kayıt – mevcut VM’i envantere ekleme)
Var olan bir VM’i (veya VM dosyalarını) vCenter envanterine kaydetmek için gereklidir. Commvault, bir IntelliSnap yedeğinden VM’i geri yüklerken veya doğrudan bir hosta restore ederken bu izni kullanabilir.
Opsiyonel: Unregister
Bir VM’i envanterden kaldırma izni. Örneğin geri yükleme öncesi mevcut bozuk VM’i envanterden çıkarmak gerekirse Commvault bu işlemi yapabilmelidir. Bu izin özellikle IntelliSnap senaryolarında veya aynı isimli VM’i yeniden kaydettirmeden önce eskisini unregister etmek için önerilir.
Remove
Bir VM’i silme ve disklerini kaldırma izni: Standart VM yedekleme/geri yüklemede gerekmez ve güvenlik açısından bu yetki kısıtlanmalıdır. Sadece Commvault IntelliSnap gibi gelişmiş özelliğiniz varsa ve anlık klonları temizlemek için gerekiyorsa verilebilir.)
Yukarıdaki ayrıcalıkları role ekledikten sonra kaydedin. Bu rol artık Commvault yedekleme kullanıcısının ihtiyaç duyacağı minimum yetkileri içerir. Özetle rol, VM’ler üzerinde snapshot alıp silebilmeyi, VM’leri kapatıp açabilmeyi, yeni VM veya disk oluşturup mevcutları envantere ekleyebilmeyi ve VM verilerini datastore’dan okuyup yazabilmeyi sağlamaktadır.
NOT
Commvault dokümanları, vCenter 6.5+ sürümlerinde Tag (Etiket) bilgisini yedekten geri yükleyebilmek için ek izinler gerektiğini belirtmektedir. Eğer VM’lerin etiketlerini de yedekliyorsanız, role Tags > Create Tag ve Tags > Assign or Unassign Tag ayrıcalıklarını da ekleyin .Benzer şekilde, eğer ortamınızda VM Encryption (VM şifreleme) kullanılıyorsa, Commvault ‘un şifreli VM’leri yedekleyebilmesi için Cryptographic operations kategorisindeki ilgili izinleri de eklemeniz gerekir.
Commvault İçin Servis Hesabı Oluşturma
vCenter Server’da yukarıda tanımladığınız rolü kullanacak bir servis hesabı oluşturun. Bu hesap lokal bir vCenter kullanıcısı olabileceği gibi, vCenter’ın bağlı olduğu SSO domain/Active Directory üzerinde bir kullanıcı da olabilir. Administration > Single Sign-On > Users bölümünden yeni bir kullanıcı tanımlayabilir veya zaten mevcut uygun bir kullanıcıyı (ör. “commvaultsvc”) kullanabilirsiniz. Önemli olan, bu hesabın interaktif oturum açmasına gerek olmadığı, sadece API üzerinden Commvault bağlantısı için kullanılacağıdır. Hesabın parolasını güçlü belirleyin ve yalnızca Commvault yazılımının bildiği şekilde saklayın.
Oluşturulan Rolü Kullanıcıya Atama (Yetkilerin Yayılımı)
Oluşturduğunuz rolü, belirlediğiniz servis kullanıcısına atayın. Bunu yapmak için vSphere Client’ta Hosts and Clusters görünümünde en üstteki vCenter nesnesine tıklayın (tüm ortamda geçerli kılmak için). Permissions (İzinler) sekmesinde “Add Permission (İzin Ekle)” diyerek ilgili kullanıcıyı seçin ve rol olarak az önce oluşturduğunuz Commvault rolünü atayın. Propagate to children (Alt öğelere yay) seçeneğini işaretleyin.
Bu sayede verilen izinler tüm datacenter, cluster, host, VM ve diğer alt nesnelere otomatik olarak uygulanacaktır. (Eğer vCenter altında birden fazla datacenter varsa ve hepsinde geçerli olmasını istiyorsanız en üst seviyede atama yapmak en kolayıdır. Alternatif olarak sadece belli datacenter’lar için yetkilendirme yapacaksanız her birine rolü atayıp propagate edebilirsiniz. Rol atamasını kaydettikten sonra, ilgili kullanıcının Read-Only görünüm dışında herhangi bir yönetim paneline erişemeyeceğini, ancak arka planda Commvault ‘un ihtiyaç duyduğu tüm operasyonları gerçekleştirebileceğini doğrulayın.
Commvault Yazılımında vCenter Entegrasyonunun Yapılandırılması
Commvault CommCell konsolunda veya Web arayüzünde, vCenter’ı bir sanal ortam istemcisi olarak ekleyin. Bunun için CommCell Browser’da Client Computers (İstemci Bilgisayarlar) düğümüne sağ tıklayıp New Client > Virtualization > VMware vCenter yolunu izleyin. Açılan sihirbazda vCenter’ın FQDN veya IP adresini girin. Ardından, “vCenter username” ve “password” alanlarına, Adım 2’de oluşturduğunuz servis hesabının kullanıcı adı ve parolasını yazın. Bu hesap, vCenter’a bağlanmak ve envanteri keşfetmek için kullanılacaktır.
Commvault, vCenter bağlantısı eklenirken bir proxy VSA (Virtual Server Agent) seçmenizi ister. Mevcut Commvault MediaAgent’larınızdan birini proxy olarak ekleyin (veya birden fazla proxy tanımlayabilirsiniz) Ayarları tamamlayıp kaydettiğinizde Commvault, verilen hesapla vCenter’a bağlanacak ve tüm sanal makineleri envanterine alacaktır. Commvault arayüzünden sanal makine yedekleme görevleri (backup set veya VM group) oluştururken bu vCenter istemcisini kullanarak istediğiniz VM’leri seçebilirsiniz.
Test ve Dikkat Edilmesi Gereken Noktalar
Yetki Doğrulama
İlk yedekleme ve geri yükleme işlemlerinizi düşük önemde bir test VM’i ile gerçekleştirip herhangi bir yetki hatası almadığınızdan emin olun. Örneğin, Commvault loglarında veya vCenter görevlerinde “permission denied” gibi hatalar görünürse, eksik bir ayrıcalık olup olmadığını kontrol edin. Belirtilen tüm yetkiler verildiyse normalde Commvault üzerinde yedek alma, tam VM geri yükleme, anlık dosya kurtarma gibi işlemler sorunsuz çalışacaktır.
En Az Yetki Prensibi
Belirlenen rol, sadece yedekleme/geri yükleme için gerekli izinleri içerdiğinden, bu hesabın dışında bir işlem yapmasına gerek yoktur. Bu hesapla vCenter’a interaktif bağlanmaya çalışmayın. İleride güvenlik politikasına göre bu hesaptan gereksiz izinler (opsiyonel dediklerimiz) kaldırılabilir veya yeni özellikler kullanılırken (örn. Tag ’lerin geri yüklenmesi, şifreli VM’ler) ilgili izinler eklenebilir. Commvault dokümantasyonu da, imkan olduğunda bu tip hesapları kısıtlı tutmayı önermektedir
Şifreli VM ve Diğer Özellikler
Eğer ortamınızda şifrelenmiş sanal makineler varsa, vCenter ’daki servis hesabınıza Cryptographic Operations altındaki Add Disk, Encrypt, vb. izinleri eklemeyi unutmayın (aksi takdirde bu VM’lerin yedeği başarısız olacaktır). Benzer şekilde, Tag bilgilerini geri yüklemek istiyorsanız uygun Tag yetkilerini ekleyin. Bu gibi ekstra senaryolar için VMware/Commvault dokümantasyonundaki ilgili bölümlere bakabilirsiniz.
Güncellik
VMware vCenter ve Commvault versiyonları güncellendikçe, gerekli izin setinde ufak değişiklikler olabilir. Örneğin vSphere 7 ile bazı yeni ayrıcalıklar eklendi (CBT ayrıcalığının ayrılması gibi). Commvault ’un resmi “vSphere Custom User Permissions” dokümanını ilgili sürüm için kontrol etmek ve rolünüzü güncellemek iyi bir pratiktir
Bu adımları izleyerek, vCenter üzerinde minimum yetkilerle donatılmış ancak tüm sanal ortamı yedekleyip geri yükleyebilen bir Commvault servis hesabı oluşturmuş olursunuz. Böylece yetkiyi kısıtlı tutarak güvenliği arttırır, aynı zamanda Commvault entegrasyonunun sorunsuz çalışmasını sağlarsınız.
İzinlerin doğru yapılandırılması hem yedekleme başarısı hem de olası felaket anında geri yükleme başarısı için kritiktir. Commvault ile vCenter entegrasyonunda bu prensipleri uygulayarak hem VMware en iyi uygulamalarına uyacak hem de gereksiz ayrıcalıklardan kaçınmış olacaksınız. Bu yazımda sizlere vCenter üzerinde Commvault ile kısıtlı yetkilerle nasıl işlem yaptırılır konusundan detaylı bir şekilde bahsettim. Faydalı olması dileğiyle.
