امنیت و پایداری در زیرساخت مجازی، نیازمند جداسازی کامل وظایف است. استفاده از اکانتهای مدیریتی (مانند Administrator@vsphere.local) برای ابزارهای بکاپگیری مانند Veeam Backup & Replication، ریسک بزرگی محسوب میشود. این مقاله، راهنمای جامعی برای تعریف یک کاربر سرویس (Service Account) اختصاصی و یک Role سفارشی (Custom Role) با حداقل دسترسیهای لازم در vCenter است تا Veeam بتواند تمامی عملیاتها از جمله بکاپ، بازگردانی، Replication، CDP و SureBackup را با موفقیت و در نهایت امنیت انجام دهد.
ایجاد کاربر: یک کاربر جدید (مانند Veeam-Backup-User) در سیستم Single Sign-On (SSO) در vCenter یا به عنوان یک کاربر سرویس در دامین (Active Directory) ایجاد کنید.
ایجاد Role سفارشی: در vCenter، به قسمت Administration > Roles بروید و یک Role جدید با نامی مانند Veeam-Backup-Role ایجاد کنید.
اختصاص Role: در بالاترین سطح Object در vCenter (معمولاً Datacenter یا خود vCenter Server)، به تب Permissions رفته و Role Veeam-Backup-Role را به کاربر Veeam-Backup-User اختصاص دهید. حتماً تیک Propagate to children را فعال کنید تا مجوزها به تمام اشیاء زیرین اعمال شوند.
برای اطمینان از عملکرد صحیح Veeam در تمامی قابلیتهای اصلی و پیشرفته (به ویژه SureBackup و Instant Recovery که به ثبت و حذف ماشینهای مجازی نیاز دارند)، Role سفارشی باید شامل مجوزهای زیر باشد:
این مجوزها برای مدیریت Objectهای عمومی vSphere، ارتباطات و دسترسیهای اولیه به فایلها ضروری هستند.
Global: Disable methods, Enable methods, Licenses, Log event, Manage Custom Attributes, Set Custom Attribute
Datastore: Allocate space, Browse datastore, Low level file operations, Update virtual machine files, Remove file, Configure datastore (اگر از vSAN یا Datastore Cluster استفاده میکنید)
Network: Assign network
vApp: Add virtual machine, Assign resource pool, Unregister
Cryptographic operations: Register VM (برای عملیاتهایی که از رمزنگاری استفاده میکنند)
این دسترسیها برای عملیاتهایی مانند بازگردانی کامل VM، Replication و SureBackup که نیاز به ایجاد، ثبت و حذف ماشینهای مجازی جدید دارند، حیاتی هستند.
Virtual Machine - Inventory
Resource: Assign virtual machine to resource pool, Create resource pool, Remove resource pool
Folder: Create folder, Delete folder (برای مدیریت فولدرهای موقت Virtual Lab)
dvPort Group: Create, Delete (اگر از Distributed Switch استفاده میکنید)
این مجموعه، امکان اجرای Snapshot، دسترسی به دیسکها، و مدیریت سرویسهای درون VM (Guest Processing) را فراهم میکند.
Virtual Machine - Configuration: Acquire disk lease, Add existing disk, Add new disk, Add or remove device, Advanced configuration, Configure RAW device (برای دیسکهای RDM), Remove disk, Set Annotation, Toggle disk change tracking (برای فعالسازی CBT)
Virtual Machine - Snapshot Management: Create snapshot, Remove snapshot (هسته اصلی عملیات بکاپ)
Virtual Machine - Interaction: Power Off, Power On, Reset, Suspend, Guest operating system management by VIX API
Virtual Machine - Provisioning: Allow disk access, Allow read-only disk access, Allow virtual machine download
Virtual Machine - Guest Operations: Guest operation modifications, Guest operation program execution, Guest operation queries (برای Application-Aware Processing)
Host - Configuration: Network configuration, Storage partition configuration (برای عملیاتهای NFS و اتصال به VPower)
با اعمال این Role سفارشی فوق، شما نه تنها امنیت اکانتهای مدیریتی خود را حفظ میکنید، بلکه تضمین میکنید که Veeam با دسترسیهای لازم برای اجرای تمامی سناریوهای DR (Disaster Recovery) مجهز شده است.
**حمید رضا اسفندیاری _ کارشناس شبکه و فناوری اطلاعات**
