vSphere部署系列之11——vCenter權限管理

vSphere部署系列之11——vCenter權限管理

在前面的博文章節中已完成了整個vCenter運行環境的整體部署，接下來是有關運維方面的一些研究。這一章先講一講vCenter中的權限設置。

在vSphere中，權限由清單對象的用戶或組和分配的角色組成，例如虛擬機或 ESX/ESXi主機。權限授予用戶執行對象（向其分配了角色）上的角色所指定的活動的權限。

默認狀況下，在全新安裝中，只有用戶administrator@vsphere.local 才具備vCenter Single Sign-On 服務器上的管理員特權。單一的vsphere.local管理員，顯然沒法知足多人運維的應用場景，那麼該如何設置，才能使得域用戶或vCenter所在系統的本地用戶被容許登陸vCenter呢？ 下面在以前的實驗環境中進行權限設置操做。

實驗環境整體規劃，請見前面的博文《vSphere部署系列之03——實驗環境整體規劃》。

 

▲整體規劃網絡拓撲圖

1、準備工做

在本案的整體環境中，使用的域名爲sqing.local，域控服務器主機名爲sqdc01.sqing.local。

登陸域控服務器（虛擬機sqdc01），在Active Directory用戶和計算機中，建立一個名爲VCusers的組織，並在裏面新建vcadmin、vcuser01和vcuser02三個用戶，這三個用戶最終將被vCenter受權。

 

▲新建的域賬號

2、添加標識源

標識源是用戶和組數據的集合。用戶和組數據存儲在Active Directory 中、OpenLDAP 中或者存儲到本地安裝了vCenter Single Sign-On 的計算機操做系統。安裝後，vCenter Single Sign-On 的每一個實例都具備一個本地操做系統標識源vpshere.local。此標識源是vCenter Single Sign-On的內部標識源。

域是用戶和組的存儲庫，能夠由vCenter Single Sign-On服務器用於用戶身份驗證。標識源容許將一個或多個域附加到 vCenter Single Sign-On。vSphere 5.5支持Active Directory 版本2003 及更高版本。本案Active Directory 版本爲2008 R2。

本案的權限設置，主要也是在vSpherer Client鏈接vCenter Server的主界面中進行。但標識源的添加，在vClient中沒法操做，只能登陸到vSpherer Web Client中進行操做。

使用vsphere.local的administrator登陸（輸入vsphere.local\administrator或administrator@vsphere.local均可以），如下是操做過程。

 

▲使用vCenter Single Sign-On管理員登陸vSphere Web Client

 

▲默認進入的是「vCO主頁」界面，單擊左則上方的「主頁」，將返回主頁界面

 

▲主頁界面，單擊「系統管理」菜單，將進入系統管理頁面

 

▲系統管理-配置頁面，進入到「配置」選項，單擊左上的「+」按鈕，將彈出「添加標識源」對話框，其右則各按鈕依次是編輯標識源、刪除標識源、設置爲默認域（要先選中一項非當前默認域）

可看到此時只有vsphere.local和SQVCENTER兩個標識源，其中vsphere.local是vCenter Single Sign-On的內部標識源，不可刪除。SQVCENTER（系統主機名）是本地操做系統標識源，可刪除。

當前默認域爲SQVCENTER（不管什麼時候都只存在一個默認域）。來自非默認域的用戶在登陸時必須添加域名（域\用戶）才能成功進行身份驗證。

 

▲添加標識源對話框，標識源類型選擇「Active Directory（已集成Windows身份驗證）」，標識源設置中，選擇「使用計算機賬戶，並輸入將要添加的域「sqing.local」。設置完成後，單擊「肯定」按鈕，並返回到系統管理頁面。

注：vCenter Single Sign-On 僅容許指定單個Active Directory 域做爲標識源。該域可包含子域或做爲林的根域。在vSphere Web Client中顯示爲 Active Directory (已集成Windows 身份驗證)。

另外，vCenter Single Sign-On支持多個 Active Directory over LDAP 標識源，以便與vSphere 5.1 隨附的vCenter Single Sign-On服務兼容。

▲系統管理-配置頁面，可看到已添加了域「sqing.local」做爲標識源

以上設置完成後，在系統管理-用戶和組中，域的下拉列表會出現剛添加的域sqing.local，選擇該域，將可查看該域中的用戶。

 

▲系統管理-用戶和組頁面，可查看到以前在域中建立的vcadmin、vcuser01和 vcuser02三個用戶。

接下來是設置，在vSphere Web Client也是能夠操做的，筆者出於使用習慣，轉到vSphere Client上進行操做。

3、添加權限

使用administrator@vsphere.local登陸vSphere Client。

在主機和羣集列表中，選擇數據中心（也可選擇羣集或主機，各項是有差異的，後文講到），而後在右則內容框中切換到「權限」頁面，即可查看並管理權限。

初始時，權限只開放給vsphere.local\administrator一個用戶，其角色爲「管理員」。vCenter Single Sign-On 管理員特權不一樣於vCenter Server系統 或ESXi 主機上的管理員角色（此時使用SQVCENTER系統管理員是不能登陸vSphere Client的，但能夠登陸到vSphere Web Client，不過沒有管理員的操做權限）。

 

▲主界面-權限頁面，右擊彈出菜單中，選擇「添加權限」將彈出「分配權限」對話框。

 

▲分配權限，單擊「添加」按鈕，將彈出「選擇用戶和組」對話框

 

▲選擇用戶和組，域下拉框中「（服務器）」下面的空間條目沒顯示出來，其實是爲「SQVCENTER」（本地系統），。「（服務器）」這一條目也等同於「SQVCENTER」。

這個界面與第二節中，vSphere Web Client中看到的「系統管理-用戶和組」是同樣的，若是沒有在第二節中添加標識符sqing.local，這裏域的下拉列表中將看不到域SQING。

 

▲選擇用戶和組，選定域SQING，而後在「用戶和組」列表框中選擇須要添加的用戶，

一次可添加多個用戶，雙擊將要添加的用戶，將會出如今「用戶」文本框中，這裏選定vcadmin和vcuser01兩個用戶，單擊「肯定」按鈕，返回上一級對話框。

 ▲分配權限

從以上三張圖中，可看到「用戶和組」列表中添加了vcadmin和vcuser01兩個sqing.local域用戶，其角色默認爲「只讀」。分別選中，而後在右則的「分配的角色」中進行角色權限設置。設置完成後，單擊「肯定」按鈕，返回主界面。

從上面後兩張圖，能夠看到管理員角色和虛擬機超級用戶角色在「特權」上的區別，前者是全部特權，後者默認只勾選了「全局」、「數據存儲」、「虛擬機」、「已調度任務」等特權，其餘的特權選項能夠根據實際狀況手動勾選。

 

▲主界面-權限頁面，能夠看到vcadmin、vcuser01和vcuser02三個sqing.local域已受權。其角色分別爲管理員、虛擬機超級用戶和虛擬機用戶。

 

▲單擊菜單中的「屬性」將彈出「更改訪問規則」對話框

 

▲更改訪問規則

在用戶屬性中可更改角色（只能是角色及其默認的權限勾選項，若是要手動勾選更多的權限，則須要刪除，從新增長，在前面展現的步驟中手動勾選）。

4、受權用戶的定義範圍

羣集、池、主機、虛擬機中的受權用戶及其權限依次從上一級繼承。上述的權限設置，是在數據中心SQ-DataCenter中設置的，這是vCenter管理結構中最高的級別。所以從數據中心一直到虛擬機，對sqing.local域中的vcadmin和vcuser01的受權是同樣的。從「定義範圍」一欄中能夠看出。

在各級別中，能夠刪除本地對象受權的用戶，但沒法刪除從上一級繼承的受權用戶。

下面在主機esxi02（10.1.241.22）中對sqing.local域用戶vcuser02進行受權，以做區別。操做也是在administrator@vsphere.local登陸vSphere Client的界面中進行。

 

▲添加vcuser02用戶，分配的角色爲「虛擬機用戶」

注：這裏有個「傳播子對象」的選項，默認勾選，是受權得以繼承的關鍵，前面的操做均保留默認勾選。

 

▲主機esxi02的受權用戶，能夠看到剛受權的vcuser02，以及從SQ-DataCenter繼承來的其餘用戶

 

▲主機esxi02的受權用戶，可刪除此對象中受權的用戶vcuser02

 

▲主機esxi02的受權用戶，不可刪除從SQ-DataCenter繼承來的受權用戶vcuser01

 

▲羣集Cluster01的受權用戶，在這裏看不到vcuser02

5、SQING域用戶登陸

僅當用戶位於已添加爲 vCenter Single Sign-On 標識源的域中時，才能夠登陸vCenter Server

下面以sqing.local域用戶 vcuser01 爲例，經過vSphere Client登陸vCenter。在前面的設置中，vcuser01的角色爲「虛擬機超級用戶」。

▲該用戶沒有克隆、模板、從硬盤刪除等權限

除了上述操做外，vCenter Single Sign-On 管理員用戶能夠建立vCenter Single Sign-On 用戶和組。

若要添加SQVCENTER本地用戶，操做方法與上述添加域用戶類似，再也不演示。在實際應用環境中，因爲vCenter與域組合使用，通常都是在域用戶，而後在vCenter中對指定域用戶進行受權。

6、角色的管理

在前面的操做中，一直用到「角色」，vCenter Server 和 ESXi 提供多種默認角色，包括上面用到的管理員、超級虛擬機用戶、虛擬機用戶等，這些角色會與 vSphere 環境中常見職責區域的特權一塊兒進行分組。關於角色更詳細的說明請參考官方文檔。

每一個角色有着其各自的默認權限，固然在添加用戶併爲用戶設置角色的過程當中，能夠手動多勾選其餘一些權限。在而角色自己其實也是能夠自定義建立的。

 

▲在主頁界面中找到「角色」的連接

 

▲角色管理頁面，選中某一個角色，在右則可看到其使用狀況

這裏選中「管理員」角色，可看到內有vphere.local\administrator和sqing\vcadmin兩個用戶，其中前者與數據中心SQ-DataCenter平級（最高級別的管理員），後者是數據中心SQ-DataCenter中的用戶。

用戶圖標帶向下的綠色箭頭，表示向下繼承，由此可知該用戶的受權範圍。

 

▲角色管理頁面，其中，「無權訪問」「只讀」「管理員」這三個是沒法被刪除的，其它能夠被刪除、重命名或編輯。

單擊「添加角色」按鈕，將彈出添加新角色對話框。

單擊「克隆角色」按鈕可對角色進行克隆。

 

▲添加新角色對話框，在這裏可自定義權限並建立一個新角色