Avamar: Jak przeprowadzić przywracanie plików za pomocą linuksowych narzędzi VMware, bez użytkownika root, przy użyciu sudo

Informacje podstawowe o funkcji FLR w rozwiązaniu Avamar:
Przywracanie plików w programie Avamar to rozwiązanie do odzyskiwania plików bez użycia agenta, które może służyć do przywrócenia jednego lub większej liczby plików gościa z kopii zapasowej obrazu maszyny wirtualnej. Mechanizmem ułatwiającym przywracanie plików są narzędzia VMware oraz funkcje operacji gościa interfejsu API vSphere. Kopia zapasowa obrazu maszyny wirtualnej montuje dysk wirtualny (.vmdk) na serwerze proxy Avamar podczas przeglądania. Po wybraniu plików do przywrócenia zostaną one skopiowane z serwera proxy do docelowej maszyny wirtualnej.

Obowiązkowe wymagania FLR:

1. Docelowa maszyna wirtualna musi być włączona.
2. Docelowa maszyna wirtualna musi mieć zainstalowane narzędzia VMware, a usługa musi być uruchomiona podczas operacji przywracania. 
3. Administrator programu Avamar lub jego użytkownik w zakresie tworzenia kopii zapasowej / przywracania danych muszą posiadać prawidłowe poświadczenia na docelowym gościu (wymaganie zestawu SDK dla operacji gościa VMware). Poświadczenia te należy wprowadzić na początku operacji przywracania plików.
4. Docelowy użytkownik gość musi mieć uprawnienia do zapisu w lokalizacji. W przeciwnym razie operacja nie powiedzie się. W przypadku maszyny wirtualnej z systemem Windows użytkownik przeprowadzający przywracanie z maszyny wirtualnej musi mieć również uprawnienia do zapisu bez podnoszenia kontroli konta użytkownika. W przypadku linuksowych maszyn wirtualnych maszyna wirtualna, z której przywracane są dane, musi mieć możliwość zapisu bez użycia sudo. 

Opcjonalne wymagania FLR: wymagane do szybszej transmisji HTTPS. 

1. Docelowe maszyny wirtualne muszą mieć dostęp TCP 443 do maszyn wirtualnych serwera proxy.
2. W przypadku linuksowych maszyn wirtualnych przed rozpoczęciem operacji przywracania w maszynie wirtualnej należy zainstalować nowoczesną aplikację wget.  

Jeśli wymagania operacyjne nie są spełnione, przed wysłaniem zadania wyświetlane są następujące ostrzeżenia:

Jeśli docelowa maszyna wirtualna nie może nawiązać połączenia HTTPS z serwerem proxy:



Wewnątrz serwera proxy: /usr/local/avamarclient/bin/logs/VSphereWebService.log, zobacz niezerowy kod wyjściowy wget

[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398040: sGuestExeFullFilename = /usr/bin/wget --no-check-certificate --spider -t 1 -T 10 https://182proxy.burlington.lab:443/test
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398041: sUnicodeExeDir = /usr/bin
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398042: sExeFullPath = /usr/bin/wget
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398043: sParameters = --no-check-certificate --spider -t 1 -T 10 https://182proxy.burlington.lab:443/test

[VWS - FUNC]  2020/02/24 15:56:2 TID=3662 MID=254389: VirtualMachineWs::CheckProcessStatus ENTER
[VWS - DEBUG] 2020/02/24 15:56:2 TID=3662 MID=254390: ullPid = 3053
[VWS - WARN]  2020/02/24 15:56:2 TID=140664473914958 MID=254428: CheckProcessStatus Succeeded
[VWS - DEBUG] 2020/02/24 15:56:2  TID=3662 MID=254441: StartProgramInGuest Succeeded. Ret: 4

Lub
  
Linux bez wget:



Wewnątrz serwera proxy: /usr/local/avamarclient/bin/logs/VSphereWebService.log, zobacz:

[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398040: sGuestExeFullFilename = /usr/bin/wget --no-check-certificate --spider -t 1 -T 10 https://182proxy.burlington.lab:443/test
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398041: sUnicodeExeDir = /usr/bin
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398042: sExeFullPath = /usr/bin/wget
[VWS - DEBUG] 2020/02/24 15:56:20 TID=2403 MID=398043: sParameters = --no-check-certificate --spider -t 1 -T 10 https://182proxy.burlington.lab:443/test
[VWS - ERROR] 2020/02/24 15:56:20 TID=140363826202979 MID=398068: StartProgramInGuest Error: SOAP 1.1 fault: "":ServerFaultCode [no subcode]
"File /usr/bin/wget was not found"
Detail: <FileNotFoundFault xmlns="urn:vim25" xsi:type="FileNotFound"><file>/usr/bin/wget</file></FileNotFoundFault>

Lub

[VWS - DEBUG] 2020/02/24 15:34:22 TID=2397 MID=395783: StartProgramInGuest Succeeded. Ret: 1

Funkcja opcjonalna FLR: Przywracanie listy kontroli dostępu (ACL)

Domyślnie funkcja ta nie jest włączona.
Wynik:
Bez funkcji ACL (domyślnie):
Wszystkie pliki przywrócone przez funkcję przywracania plików będą własnością użytkownika poświadczeń gościa maszyny wirtualnej wprowadzonych podczas operacji FLR, a poprzednie uprawnienia do plików nie zostaną ustawione.

Przy włączonej funkcji ACL:
Jeśli użytkownik chce, aby przywrócone pliki miały ustawione pierwotną własność pliku i uprawnienia do niego nadane przy ich utworzeniu, musi włączyć tę opcjonalną funkcję.



Wynik:
Podczas operacji przywracania nowe pliki zostaną utworzone przez użytkowników maszyny wirtualnej FLR, ale po zakończeniu przywracania zostanie uruchomiona operacja ACL, a własność plików i uprawnienia do nich zostaną przywrócone do stanu pierwotnego. 

Wewnątrz serwera proxy: /usr/local/avamarclient/bin/logs/VSphereWebService.log, zobacz:

[VWS - FUNC] 2020/03/03 03:42:29 TID=140664473914958 MID=254066: VirtualMachineWs::ExecuteRestoreAcl ENTER
[VWS - FUNC] 2020/03/03 03:42:29 TID=140664473914958 MID=254067: VirtualMachineWs::ExecuteRestoreAcl RestoreAcl Input file created
[VWS - FUNC] 2020/03/03 03:42:29 TID=140664473914958 MID=254068: VirtualMachineWs::ExecuteRestoreAcl Input File transfer /usr/local/avamarclient/bin/7fc01f28-c871-4835-948d-2d8a14bd1d8b.xml to /tmp/7fc01f28-c871-4835-948d-2d8a14bd1d8b.xml
[VWS - FUNC] 2020/03/03 03:42:32 TID=140664473914958 MID=254140: VirtualMachineWs::ExecuteRestoreAcl Exe File transfer /usr/local/avamarclient/bin/RestoreAcl to /tmp/7fc01f28-c871-4835-948d-2d8a14bd1d8b.exe
[VWS - DEBUG] 2020/03/03 03:42:40 TID=3662 MID=254349: sGuestExeFullFilename = /tmp/7fc01f28-c871-4835-948d-2d8a14bd1d8b.exe /tmp/7fc01f28-c871-4835-948d-2d8a14bd1d8b.xml 0001
[VWS - FUNC] 2020/03/03 03:42:42 TID=3662 MID=254389: VirtualMachineWs::CheckProcessStatus ENTER
[VWS - DEBUG] 2020/03/03 03:42:42 TID=3662 MID=254390: ullPid = 3053
[VWS - WARN] 2020/03/03 03:42:47 TID=140664473914958 MID=254428: CheckProcessStatus Succeeded
[VWS - DEBUG] 2020/03/03 03:42:47 TID=3662 MID=254441: StartProgramInGuest Succeeded. Ret: 0
[VWS - FUNC] 2020/03/03 03:42:47 TID=140664473914958 MID=254519: VirtualMachineWs::ExecuteRestoreAcl LEAVE

W niektórych dystrybucjach systemu Linux, takich jak Ubuntu lub Photon OS, użytkownicy root systemu operacyjnego nie są domyślnie skonfigurowani. Zamiast tego administratorzy systemu Linux uruchamiają operacje wymagające wyższych uprawnień, korzystając z polecenia sudo.  

Jednak w przypadku większości operacji (VM_LoginInGuest, CopyFileFromHostToGuest i ListFilesInGuest) narzędzia VMware i zestawy VMware SDK nie potrafią wykonać polecenia sudo. 

Po wykonaniu operacji przywracania przez zwykłego użytkownika operacja może zakończyć się niepowodzeniem z powodu niewystarczających uprawnień gościa do lokalizacji docelowej.

W przypadku środowisk, w których użytkownik root systemu Linux jest wyłączony, nie jest skonfigurowany lub nie można go udostępnić ze względów bezpieczeństwa, należy rozważyć wykonanie następujących czynności:

Opcja 1. Przywróć w alternatywnej lokalizacji jako użytkownik inny niż root. 
Przykład:
Plik źródłowy:  /root/test  (folder/plik o ograniczonym dostępie)
Plik docelowy:  /home/flruser/ (lokalizacja o nieograniczonym dostępie)
Utworzone przez maszynę wirtualną (gościa):  „flruser”  

Wynik:
Podczas przeglądania FLR dyski wirtualne są montowane na serwerze proxy Avamar i wyświetlane w interfejsie użytkownika. Obejmuje to wszystkie foldery i pliki. Przejdź do folderu /root i wybierz plik file1.txt, a następnie wybierz opcję „Restore everything to a different location” („Przywróć wszystko w innej lokalizacji”). Następnie w polu Absolute Destination (Bezwzględna lokalizacja docelowa) wybierz lub wprowadź /home/flruser/.



Wynik:
Plik root/test zostanie przywrócony w lokalizacji /home/flruser/test 
Uwaga: plik będzie miał uprawnienia użytkownika gościa FLR. 

Opcja 2. Przywróć w alternatywnej lokalizacji za pomocą opcji Restore ACL, przy użyciu polecenia sudo. 
W programie Avamar 18.2 należy zainstalować poprawkę serwera proxy 318791 (lub nowszą).
W systemie Avamar 19.2 należy zainstalować poprawkę serwera proxy 318791 (lub nowszą).

Poprawki te dodają nową funkcję „enablesudouserrestore”, która jest domyślnie wyłączona.

Instrukcja włączania funkcji sudo:
Na serwerze proxy Avamar:

1. Na serwerze proxy zainstaluj wymienioną wyżej poprawkę.
2. Zmodyfikuj plik /usr/local/avamarclient/bin/config.xml, dodając/edytując w nim wiersz (<enablesudouserrestore>1</enablesudouserrestore>).
3. Uruchom ponownie FLR za pomocą polecenia: service vmwareflr restart

Na każdej linuksowej maszynie wirtualnej, na której będzie włączona funkcja FLR:

1. Utwórz dedykowanego użytkownika FLR,  np. flruser.  Aby zwiększyć bezpieczeństwo, można wyłączyć powłokę systemową dla tego konta.
2. Skopiuj plik binarny /usr/local/avamarclient/bin/RestoreAcl z serwera proxy Avamar do docelowej maszyny wirtualnej, korzystając ze stałej lokalizacji /usr/bin/RestoreACL i ustaw uprawnienia na 755 przy użyciu polecenia chmod.

3. Zmodyfikuj /etc/sudoers, aby zezwolić użytkownikowi FLR z kroku 1 na wykonywanie pliku binarnego RestoreACL bez hasła. 

Opcja 3. Przywróć w oryginalnej lokalizacji za pomocą metody sudo wget z ACL. 

Uwaga: 

• ta opcja jest dostępna tylko wtedy, gdy dostępny jest opcjonalny sieciowy protokół HTTPS, a przywracanych jest ponad 5 MB lub 10 plików.
• Korzystanie z graficznego interfejsu użytkownika programu Avamar do wskazania lokalizacji docelowej maszyny wirtualnej na żywo w przypadku folderów o ograniczonym dostępie może się nie powieść, ale wpisanie lokalizacji bezpośrednio w polu „Absolute Destination” („Bezwzględna lokalizacja docelowa”) będzie nadal możliwe. 

1. Wykonaj kroki w opcji 2 na serwerze proxy, aby włączyć przywracanie listy ACL.
2. Na serwerze proxy Avamar zmodyfikuj /usr/local/avamarClient/bin/wget_linux_script.template 

3. Uruchom ponownie FLR za pomocą polecenia: service vmwareflr restart
4. Na każdej linuksowej maszynie wirtualnej, na której użytkownik FLR będzie wykonywać przywracanie do oryginalnej lokalizacji, należy zmodyfikować /etc/sudoers, aby umożliwić użytkownikowi FLR z kroku 1 wykonywanie pliku binarnego wget bez hasła.