IBM Cloud Docs
Configurazione dell'ambiente di produzione

Configurazione dell'ambiente di produzione

I passaggi di questo documento sono necessari solo quando si vuole collegare l'ambiente di ripristino isolato all'ambiente di produzione.

Active Directory

I passaggi sono implementati sul server AD/DNS nell'ambiente di produzione e non sul server AD/DNS nell'ambiente di ripristino isolato.

Il servizio Veeam® nell'ambiente di ripristino isolato deve connettersi all'appliance vCenter nell'ambiente di produzione. Pertanto, il servizio Veeam richiede un account di servizio configurato nel dominio Active Directory dell'ambiente di produzione.

  1. Utilizzare il client RDP per accedere al server AD/DNS.
  2. Aprire una console PowerShell con privilegi di amministratore.
  3. Utilizzare i seguenti comandi per creare un account di servizio Veeam:
$name = "sa-veeam-cyber-admin"
$sn = "sa-veeam-cyber-admin"
$descr = "Service Account for Veeam cyber-recovery"
$dname = "Cyber-recovery Admin"
$path = "CN=ic4v-vCenter,CN=Users,DC=partner,DC=ibmcloud,DC=local"
$pw = "<sa_veeam_cyber_admin_password>"
$grp = "ic4v-vCenter"
New-ADUser -Name $name -DisplayName $dname -Description $descr -SamAccountName $sn -AccountPassword (convertto-securestring $pw -AsPlainText -Force) -Enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false
Add-ADGroupMember -Identity $grp -Members $sn

Creazione di un ruolo vCenter

Creare un ruolo vCenter e assegnare le autorizzazioni necessarie affinché l'account del servizio Veeam possa creare i backup delle macchine virtuali (VM) di produzione.

I passaggi sono implementati sull'appliance vCenter nell'ambiente di produzione e non sul server dell'appliance vCenter nell'ambiente di ripristino isolato.

Il ruolo richiede un elenco di privilegi. È possibile visualizzare l'elenco dei privilegi nell'elenco di variabili $privileges nel seguente script PowerCLI. Per ulteriori informazioni, vedere Backup.

Lo script esegue le seguenti operazioni:

  • Definisce i privilegi richiesti.
  • Carica la PowerCLI SnapIn e imposta la configurazione per ignorare i certificati non validi.
  • Definisce l'IP/FQDN di vCenter, l'utente amministratore e la password.
  • Definisce un nome per l'utente Veeam, ad esempio veeambur.
  • Si collega al vCenter.
  • Crea un ruolo con le autorizzazioni richieste.
  • Crea le autorizzazioni per l'utente rispetto agli oggetti dell'inventario richiesti.

Procedura per creare il ruolo e assegnare le autorizzazioni

  1. Utilizzare il client di desktop remoto per collegarsi al server di salto.
  2. Aprire una console PowerShell con privilegi di amministratore.
  3. Definire le seguenti variabili per lo script:
    • <vcsa_fqdn> è l'FQDN o l'indirizzo IP dell'appliance vCenter nell'ambiente di produzione.
    • Il <vcsa_user> è il nome utente dell'account nell'appliance vCenter che ha i privilegi necessari per aggiungere i ruoli.
    • Il campo <vcsa_user_password> è la password per il campo <vcsa_user>.
    • Il <sub_domain> è il sottodominio del dominio radice, cioè per example.test.local, <sub_domain> è example e <root_domain> è test.local.
  4. Usare i seguenti comandi per creare il ruolo e assegnare le autorizzazioni:
Add-PSSnapin VMware.VimAutomation.Core -ea "SilentlyContinue"
Set-PowerCLIConfiguration -InvalidCertificateAction Ignore -Confirm:$false | Out-Null
$vcsa = "<vcsa_fqdn>"
$vcsauser = "<vcsa_user>"
$vcsapassword = '<vcsa_user_password>'
$securevcsapassword = ConvertTo-SecureString -String $vcsapassword -AsPlainText -Force
$sn = "sa-veeam-cyber-admin"
$id = "<sub_domain>"
$role = "veeambur"
$principal = "$id\$sn"
$creds = New-Object System.Management.Automation.PSCredential -ArgumentList $vcsauser,$securevcsapassword
$privileges = @(
    'System.Anonymous',
    'System.View',
    'System.Read',
    'Global.ManageCustomFields',
    'Global.SetCustomField',
    'Global.LogEvent',
    'Global.Licenses',
    'Global.Settings',
    'Global.DisableMethods',
    'Global.EnableMethods',
    'Folder.Create',
    'Folder.Delete',
    'Datastore.Browse',
    'Datastore.DeleteFile',
    'Datastore.FileManagement',
    'Datastore.AllocateSpace',
    'Datastore.Config',
    'Network.Config',
    'Network.Assign',
    'DVPortgroup.Create',
    'DVPortgroup.Modify',
    'DVPortgroup.Delete',
    'Host.Config.Maintenance',
    'Host.Config.Storage',
    'Host.Config.Network',
    'Host.Config.AdvancedConfig',
    'Host.Config.Patch',
    'VirtualMachine.Inventory.Create',
    'VirtualMachine.Inventory.Register',
    'VirtualMachine.Inventory.Delete',
    'VirtualMachine.Inventory.Unregister',
    'VirtualMachine.Interact.PowerOn',
    'VirtualMachine.Interact.PowerOff',
    'VirtualMachine.Interact.Suspend',
    'VirtualMachine.Interact.ConsoleInteract',
    'VirtualMachine.Interact.DeviceConnection',
    'VirtualMachine.Interact.SetCDMedia',
    'VirtualMachine.Interact.SetFloppyMedia',
    'VirtualMachine.Interact.GuestControl',
    'VirtualMachine.GuestOperations.Query',
    'VirtualMachine.GuestOperations.Modify',
    'VirtualMachine.GuestOperations.Execute',
    'VirtualMachine.Config.Rename',
    'VirtualMachine.Config.AddExistingDisk',
    'VirtualMachine.Config.AddNewDisk',
    'VirtualMachine.Config.Annotation',
    'VirtualMachine.Config.RemoveDisk',
    'VirtualMachine.Config.RawDevice',
    'VirtualMachine.Config.AddRemoveDevice',
    'VirtualMachine.Config.EditDevice',
    'VirtualMachine.Config.Settings',
    'VirtualMachine.Config.Resource',
    'VirtualMachine.Config.AdvancedConfig',
    'VirtualMachine.Config.DiskLease',
    'VirtualMachine.Config.DiskExtend',
    'VirtualMachine.Config.ChangeTracking',
    'VirtualMachine.State.CreateSnapshot',
    'VirtualMachine.State.RevertToSnapshot',
    'VirtualMachine.State.RemoveSnapshot',
    'VirtualMachine.State.RenameSnapshot',
    'VirtualMachine.Provisioning.MarkAsTemplate',
    'VirtualMachine.Provisioning.MarkAsVM',
    'VirtualMachine.Provisioning.DiskRandomAccess',
    'VirtualMachine.Provisioning.DiskRandomRead',
    'VirtualMachine.Provisioning.GetVmFiles',
    'VirtualMachine.Provisioning.PutVmFiles',
    'Resource.AssignVMToPool',
    'Resource.CreatePool',
    'Resource.DeletePool',
    'Resource.HotMigrate',
    'Resource.ColdMigrate',
    'Extension.Register',
    'Extension.Unregister',
    'VApp.AssignVM',
    'VApp.AssignResourcePool',
    'VApp.Unregister',
    'StoragePod.Config',
    'Cryptographer.Access',
    'Cryptographer.EncryptNew',
    'Cryptographer.Encrypt',
    'Cryptographer.Migrate',
    'Cryptographer.AddDisk',
    'InventoryService.Tagging.AttachTag',
    'StorageProfile.Update',
    'StorageProfile.View')

Connect-VIServer -Server $vcsa -Credential $creds | Out-Null
New-VIRole -Name $role -Privilege (Get-VIPrivilege -Id $privileges) | Out-Null
Get-VIRole -Name $role | Select-Object Description, PrivilegeList, Server, Name | Format-List
New-VIPermission -Principal $principal -Role $role -Entity (Get-Datacenter) -Propagate:$true -Confirm:$false
Disconnect-VIServer -Confirm:$false

I passaggi sono stati completati per creare l'architettura della soluzione per l'ambiente isolato di cyber recovery.

Per un caso d'uso in cui un cyberadmin utilizza uno script PowerShell che utilizza Veeam per eseguire un ripristino istantaneo di una VM di produzione dal cyberbackup, vedere Ripristino istantaneo.

Inoltre, per un caso d'uso in cui un cyberadmin utilizza l'API di integrazione dei dati Veeam per accedere al cyberbackup, vedere creare un server gestito Veeam Linux.