VRO基础入门（三） - 基本组件 · 上篇

2023-05-26 | 阅读：次

系列目录：

VRO基础入门（一）- 简介
VRO基础入门（二）- 安装与部署
VRO基础入门（三）- 基本组件 · 上篇
[VRO基础入门（四）- 基本组件 · 下篇]
[VRO基础入门（五）- 成功灾备计划的第一步]
[VRO基础入门（六）- 数据实验室]
[VRO基础入门（七）- Plan Step · 上篇]
[VRO基础入门（八）- Plan Step · 下篇]
[VRO基础入门（九）- 文档模板解析]
[VRO基础入门（十）- 使用VRO搭配K10实现全自动容器灾备]

作为一套灾备管理系统，权限管理是至关重要的，因此，我想先来说说VRO中的角色权限管理。在VRO中的角色权限管理并不叫RBAC，VRO通过Scope来控制所有用户的访问权限，Scope控制了用户在VRO中能访问哪些备份和灾备资源以及能对这些资源进行什么样的操作。

Scope的操作权限

先来说说Scope的操作权限，和其他系统RBAC的权限分类设定类似，在VRO中，这些权限分类我们叫做Scope Inclusions，包含以下五类：

Groups
Recovery Locations
Plan Steps
Credentials
Template Jobs

对于拥有这五类Scope Inclusions中某一个资源的操作权限的Scope来说，该Scope就能使用这个对象。这里这五大类的对象都可以同时属于不同的Scope。

另外，Scope中还有个非常特殊的对象 – Datalab，每一个Datalab都和一个Scope一一对应，也就是说，每个Scope都有一个或多个独立的属于自己的DataLab。

关于Scope Inclusions将在VRO基础入门（四）- 基本组件 · 下篇中详细介绍。

Scope的创建和用户分配

每个Scope可以分配3类不同的角色类型，分别是：

Administrators - 可以做所有操作
Plan Authors - 可以启用、禁用、重置、创建、编辑和测试灾备计划
Plan Operators - 只能处理一些启用状态的灾备计划

VRO中内置了一个Admin Scope，默认情况下，在这个Scope中的Administrator权限最大，能做所有的操作。使用者可以通过新建Scope来为不同的用户限定不同的权限，执行不同的操作。

对于用户新建的Scope，我们可以修改名称，可以删除。而这些Scope的Roles仅限于Plan Authors和Plan Operators。以Plan Authors举例子，在每个Scope下的Plan Authors Role中，我们可以为这个Scope加入不同的用户。如下图所示。

在VRO中，这个Scope非常难理解，不过没关系，我来打这个比方说明：

我们可以把Scope想象成一个一个的房间，每个房间都会有把锁，而这把锁配了多把钥匙，我们现在把这些钥匙分给不同的用户，那么这些用户都能通过A钥匙进入房间（Scope A），通过B钥匙进入房间（Scope B），通过C钥匙进入房间（Scope C）。这样，就形成了VRO中特殊的一种权限的管理：

当前有房间（Scope）：A、B、C、D

用户1：拥有房间A、B的钥匙。

用户2：拥有房间B、C、D的钥匙。

用户3：拥有房间D的钥匙。

转换成VRO中的Scope管理：

房间（Scope A）：用户1

房间（Scope B）：用户1、用户2

房间（Scope C）：用户2

房间（Scope D）：用户2、用户3

而分钥匙的方法，就是在VRO中设置User and Scopes，在VRO中，通过拥有Administrator Role的User登录后，可以至Administration界面下面，找到Permission->Users and Scope来设定以上的管理权限，如下图：

按照这样设定完成后，我们用test01再次登入VRO的系统后，我们可以看到Dashborad上显示的当前用户的Scope如下图所示：

类似的，test02这个用户登入系统后，将会看到房间B、C、D，而test03登入系统后，将只会看到房间D。

配置Scope Inclusions

进入Administration界面，在Permissions下，可以找到Scope Inclusions，在这个界面上，可以为每个Scope设定不同的可用组件。如下图，可以在红框位置选择Scope来切换并且设定。

这里面大家可以注意到这是一个复选框，也就是说，可以同时选择多个Scope进行相关设定，但是为了更准确的设置相关内容，我还是建议大家逐个勾选设定会比较好。

Datalabs

VRO的Datalab其实就是VBR中的Virtual Lab，只要在VBR中配置了Virtual Lab后，VRO就能直接识别到。在识别到这些Virtual Labs之后，VRO需要做一个分配的动作，将这些Virtual Lab按照实际使用的需求分配给不同的Scope。特别注意，每一个Virtual Lab只能分配给一个指定的Scope。

要分配Datalab，可以使用Administrator账号进入Administration界面，找到Permission下面的Datalab Configuration，在这个页面下，勾选中间VRO扫描到的Virtual Lab名称，然后点击Edit按钮。

当点击了Edit按钮后会打开Edit DataLab Configuration的对话框，在这里选择需要分配给哪个Scope即可。如下图所示：

如果需要调整或者重新分配Datalab，可以勾选Virtual Lab名称，然后同样点击Edit按钮回到前面的向导界面，就能通过Clear按钮取消关联。

Lab Groups

我相信熟悉DataLabs的同学一定会好奇，我们VBR上的Datalabs的功能包含三个核心组件：Virtual Lab、Application Group和Surebackup Job。那么在VRO中我们将DataLab和VBR的Virtual Lab做了一一的对应，剩下的Application Group和Surebackup Job去哪里了？

在VRO中，也有一个和VBR中的Application Group一一对应的组件，那就是Lab Groups。在Administration控制台中并没有这个Lab Groups的设定，这个Lab Groups需要使用每个用户的账号登入自己的VRO控制台中，用各自的账号进入DataLabs主页面进行设置。和Virtual Lab不同的是，Lab Groups并不是从VBR的Application Group中继承，在VRO中，这个Lab Group是全新创建的，需要用VRO中的对象来创建。