Basic 과정은 PVE 서버를 1대 또는 2대 정도를 다루는 시나리오가 배경입니다. 그래서 한 사람이 모든 것을 소유/책임지는 경우가 많을 것입니다. 그래서 그냥 쉽게 사용한다면 root 계정을 사용하면 됩니다. 사용자 권한 관리 개념 없이 모든 것을 슈퍼유저로 사용하는 것이죠. 그냥 막 쓰기는 이게 편하긴 합니다 ^^
그래도 기왕 시작한 것이니 PBS의 권한 설정 구조에 대해서 좀 살펴보도록 하겠습니다.
1. 사용자를 결정해 주세요
제일 먼저 권한을 부여할 사용자를 결정(추가)해야 합니다. 여기서 사용자는 PBS에 로그인해서 사용한다는 의미 보다는, PVE와 PBS를 연결할 때 사용하는 사용자라고 생각하면 됩니다. Configuration > Access Control > User Management 메뉴를 통해서 등록된 사용자 중에 하나가 될 것입니다.
사용자가 만들어졌다는 것은 PBS에 login만 할 수 있는 상태입니다. 예를 들어 pve-backup-admin 사용자를 만들기만 한 상태에서 PBS에 로그인하면 그림과 같은 오류가 발생합니다.
얼핏보면 그래도 메뉴에 있는 권한을 사용할 수 있는 것 처럼 보이지만, 실제로 할 수 있는 작업은 거의 없습니다. Access Control 에서 사용자 설정과 관련된 내용 정도만 사용할 수 있습니다. 나머지는 전부 Fobbiden 등과 같은 오류가 발생합니다.
참고 : 권한이 없으면 메뉴를 표시 안하는게 이상적입니다. PBS 다음 버전에서는 개선되기를 바랍니다.사용자만 추가한 상태에서는 아주 정상적인 상황이니 걱정 안해도 됩니다~ ^^
2. 데이터스토어별로 권한 부여해주세요
Configuration > Access Control 메뉴의 Permissions 탭에서 사용자 권한을 관리합니다. 여기서 Add 단추를 클릭하고, User Permission을 선택해서 사용자 권한을 추가합니다.
권한 설정은 1. 사용자를 결정, 2. 사용자가 사용할 경로(Path)를 선택, 3. 사용자가 경로를 액세스할 때 부여될 역할(Role)을 부여하는 3단계를 거쳐 이루어집니다.
(1) 사용자 결정은 User 항목을 클릭해서 목록에 있는 사용자를 선택하면 됩니다.
(2) Path는 사용자가 접근할 대상(스토리지)로 이해하면 쉽습니다. 여러 경로가 있지만 좀 간단히 정리해보 다음과 같습니다.
- PBS에도 접속해서 사용할 사용자 : 루트(/) 선택
- PVE 백업 스토리지 연결용 사용자 : 해당 데이터스토어 선택. 예 /datastore/pbs-01-1T
(3) Role이 가장 선택하기 어려운 부분 같습니다. “최소 권한의 원칙”이란 말이 있지만 소규모 환경에서는 관리의 어려움 때문에 세분화하기 쉽지 않습니다. 그래서 나름 간단히 정리한 기준은 다음과 같습니다.
- root 사용자는 PVE 연결용으로 사용하지 않습니다
- 개인 사용 환경이라면, PVE 연결용 사용자에게 DatastorePowerUser 역할 부여 : PVE에서 Prune 작업을 할 수 있습니다. PVE의 Backup 관련 메뉴에 Prune 기능을 붙여 놓은 것도 관리 편의를 위한 목적 같구요. 다만, PVE에서 실수로 Backup 데이터를 삭제할 수도 있게됩니다. 그래서 Prune 작업은 주의해서 사용해야 합니다.
- 회사 업무용 환경이라면, PVE 연결용 사용자에게 DatastoreBackup 역할 부여 : PVE에서 Prune 작업은 안하는게 나은 선택 같습니다. PVE에서는 백업만 하고 Prune 작업을 못합니다. 대신 PBS 관리자가 필요시에 Prune 작업을 하게 됩니다.
PBS에 데이터스토어가 여러개라면 사용자에게 데이터스토어별로 역할을 부여해야 합니다.
이 방법이 정답은 아닙니다.
아무 것도 없으면 너무 막막할 것 같아서 하나의 안을 정리해본 것입니다.
이러한 안을 참고해서, 실제 사용 환경에 맞춰서 스스로 결정해 나가면 됩니다.
