VMware vSphere 權限分級管理方法

vCenter Server默認管理員帳戶是administrator@vsphere.local，此帳戶對vCenter Server及vCenterServer下的數據中心、羣集、ESXi主機、虛擬機、虛擬機網絡、存儲等具備全部權限。若是在平常的管理中使用此帳戶，該帳戶權限「過大」，若是配置不當或者誤操做可能會對系統形成影響。在企業虛擬化環境中的平常管理中，應該將管理員分級，爲不一樣的管理配置不一樣的用戶並分配不一樣的權限。vCenter Server提供的角色分如下幾類。

（1）管理員，對vSphere具備徹底的權限，默認帳戶爲administrator@vsphere.local。

（2）只讀，能夠瀏覽、查看vSphere中全部對象，不能更改對象的狀態。

（3）虛擬機用戶。與虛擬機交互的權限，包括打開與關閉虛擬機的電源、安裝VMware Tools、控制檯交互、配置CD媒體、掛起或重置虛擬機、修改任務、建立任務、移除任務、運行任務、取消任務等操做。

（4）虛擬機超級管理員。除了虛擬機用戶權限外還包括快照管理、更改虛擬機配置、瀏覽數據存儲權限。

（5）資源池管理員。警報、修改權限、瀏覽數據存儲、文件夾管理、資源、調度任務、虛擬機超級管理員、虛擬機置備等權限。

（6）數據存儲使用者。在存儲中有分配空間的權限。

（7）網絡管理員。分配網絡的權限。

（8）虛擬機控制檯用戶。與虛擬機交互的權限。

使用administrator@vsphere.local帳戶登陸vCenter Server，在「系統管理→訪問控制→角色」中查看vCenter默認建立的角色及分配的權限，如圖1所示。

vCenter Server 容許經過權限和角色對受權進行精細控制。向 vCenter Server 對象層次結構中的對象分配權限時，請指定哪一個用戶或組對該對象具備哪些特權。要指定特權，應使用角色（即特權集）。

最初僅 vCenter Single Sign-On 域的管理員用戶（默認爲 administrator@vsphere.local）有權登陸到 vCenter Server 系統。受權後，該用戶能夠執行以下操做：

（1）將在其中定義了用戶和組的標識源添加到 vCenter Single Sign-On 中。

（2）向用戶或組授予特權，方法是選擇虛擬機或 vCenter Server 系統等對象並將針對該對象的角色分配給相應的用戶或組。

能夠將vCenter Server加入Active Directory中，而後在Active Directory中建立用戶，並添加到vCenter Server中，爲其分配權限。也能夠使用vCenter Server Appliance所在系統建立本地用戶併爲其分配權限。

vSphere 清單層次結構如圖2所示。vCenter Server管理員能夠爲這些對象分配權限。

圖2 vSphere清單層次結構

許多任務須要清單中多個對象的權限。若是嘗試執行任務的用戶僅具備一個對象的特權，則沒法成功完成該任務。vSphere權限較多。本節經過案例的方式進行介紹。

1 建立本地用戶帳戶

要爲不一樣的用戶分配權限，須要有不一樣的用戶和用戶組。在分配用戶時，能夠使用vCenter Server所依賴的操做系統的用戶帳戶，也能夠將vCenter Server添加到Active Directory，使用Active Directory用戶帳戶。

若是vCenter Server安裝在Windows操做系統，能夠使用Windows操做系統的本地計算機帳戶；若是vCenter Server Appliance運行在Linux平臺上，能夠使用所屬的Linux用戶帳戶。在vCenter Server Appliance中，能夠使用其自己的Linux系統帳戶。首先介紹在vCenter Server Appliance中建立用戶帳戶的方法和步驟。

（1）使用vSphere Client登陸到vCenter Server，在「系統管理→Single Sign On→用戶和組」中「用戶」選項卡中的「域」下拉列表中選擇vSphere.local，單擊「添加用戶」，如圖3所示。

圖3 添加用戶

（2）在「添加用戶」對話框中的「用戶名」中輸入新添加的用戶名，本示例爲view，在「密碼」與「確認密碼」密碼欄中爲新建用戶設置密碼（須要是複雜密碼），在「名字」文本框中爲新建用戶設置名字，本示例爲只讀管理員，設置以後單擊「添加」按鈕完成用戶的建立，如圖4所示。

圖4 新建用戶

（3）參照（1）至（2）的步驟，再次建立三個用戶，本示例爲admin-mg、admin-ser、admin-test，這三個用戶準備用於manage、server、test三個資源池。

2 全局只讀管理員

vSphere中的權限較多、劃分較細。本章從管理與使用的角度，經過案例的方式介紹vSphere的權限管理內容。本節先介紹第一個案例：某用戶能夠從全局的角度「看」到當前的虛擬化架構，但不能對任何虛擬機、網絡、數據作任何的更改。簡單來講，建立一個全局「只讀」管理員用戶。在圖4建立了一個名爲view的用戶，本示例中將把這個用戶添加爲「只讀」管理員。

（1）使用vSphere Client登陸到vCenter Server，在「主機和羣集」選項中單擊「vc.heinfo.edu.cn」(vCenter Server根域)這一級，在「權限」選項卡中單擊＋，如圖6所示。

圖6 添加用戶

（2）在「添加權限」對話框中，在「用戶」下拉列表中選擇vsphere.local，在 後面輸入要添加的用戶名，本示例爲view，在「角色」下拉列表中選擇「只讀」，選中「傳播到子對象」，單擊「肯定」按鈕，如圖7所示。

圖7 添加權限

（3）添加以後如圖8所示。能夠單擊＋繼續添加，也能夠選擇添加的用戶，單擊 進行修改，或者單擊×刪除選定的用戶。

在添加了權限以後，註銷當前的SSO管理員帳戶administrator@vsphere.local，使用view@vsphere.local登陸。

登陸以後能夠看到，當前登陸的用戶view@vsphere.local能夠查看到全部的資源，但不能操做任何具體的資源，如圖10所示。

圖10 只讀管理員

3 資源池超級管理員帳戶

在當前的演示環境中有5臺ESXi主機組成vSphere羣集，在羣集中建立了3個資源池，分別是Manage、Server、Test。在本示例中將名爲admin-ser的用戶分配給Server資源池，對該資源池有徹底的控制權，而且能啓動、關閉、刪除該資源池中的虛擬機，在資源池建立虛擬機、修改虛擬機的配置，併爲這個資源池的虛擬機分配vlan200一、vlan2002網絡。下面介紹配置的方法。

（1）使用vSphere Client登陸到vCenter Server，在「主機和羣集」中單擊名爲Server的資源池，在「權限」中添加名爲admin-ser的用戶，爲其分配「管理員」角色，並選中「傳播到子對象」，添加以後如圖11所示。

圖11 爲Server資源池添加用戶

（2）在「虛擬機和模板」文件夾用鼠標右鍵單擊名爲Datacenter的數據中心，在彈出的快捷菜單中選擇「新建文件夾→新建虛擬機和模板文件夾」，建立一個名爲VM-Server的文件夾用於資源池。

（3）選擇VM-Server的文件夾，在「權限」中添加名爲admin-ser的用戶，爲其分配「管理員」角色，並選中「傳播到子對象」。

（4）若是要爲容許用戶使用模板、從模板部署虛擬機，須要爲模板所在的文件夾分配「只讀」角色並容許傳播到子對象。在本示例中，名爲Win7X_Ent_TP保存在VM-TP的文件夾中，在「權限」中添加名爲admin-ser的用戶，爲其分配「只讀」角色，並選中「傳播到子對象」，如圖14所示。

圖14 爲模板所在文件夾分配只讀角色

（5）選擇名爲Win7X_Ent_TP的模板，在「權限」中添加名爲admin-ser的用戶，爲其分配「管理員」角色，並選中「傳播到子對象」，如圖15所示。

圖15 爲模板分配管理員角色

（6）在「存儲」文件夾中選擇vsanDatastore存儲，在「權限」中添加名爲admin-ser的用戶，爲其分配「數據存儲使用者」角色，並選中「傳播到子對象」，如圖16所示。

圖16 爲數據存儲分配權限

（7）在「網絡」文件夾選擇vlan2001的分佈式端口組，在「權限」中添加名爲admin-ser的用戶，爲其分配「網絡管理員」角色，並選中「傳播到子對象」，如圖17所示。

圖17 爲vlan2001端口組分配權限

（8）選擇vlan2002的分佈式端口組，在「權限」中添加名爲admin-ser的用戶，爲其分配「網絡管理員」角色，並選中「傳播到子對象」。

在爲admin-ser分配權限以後，註銷當前管理員帳戶administrator@vsphere.local並換用admin-ser@vsphere.local登陸，登陸以後能夠看到，當前用戶能夠對server資源池的虛擬機進行全部操做，開、關機，修改虛擬機刪除，添加或刪除虛擬機，新建虛擬機、從模板部署虛擬機、修改虛擬機配置等操做。

下面測試從模板建立虛擬機的功能，主要步驟以下。

（1）選擇從模板部署虛擬機，在「選擇模板」對話框中的「數據中心」選項卡中，在「VM-TP」文件夾中選擇Win7X_Ent_TP的模板虛擬機，如圖20所示。

圖20 選擇模板

（2）在「選擇名稱和文件夾」對話框中的「虛擬機名稱」文本框中，爲新建虛擬機設置名稱，本示例爲Win7X-02，在「爲該虛擬機選擇位置」中選擇VM-Server文件夾。

（3）在「自定義硬件」對話框中爲虛擬機選擇網絡（本示例爲vlan2001）、爲虛擬機分配CPU與內存、硬盤空間。

（4）在「即將完成」對話框中顯示了從模板部署虛擬機的選項，檢查無誤以後單擊「Finish」按鈕。而後等待虛擬機部署完成。

4 資源池管理員帳戶

在本示例中將名爲admin-mg的用戶分配給Manage資源池，對該資源池中的虛擬機有管理員權限：打開、關閉虛擬機電源、重置、掛起虛擬機，能夠修改虛擬機的CPU、內存、不能修改虛擬機網絡。

使用vSphere Client登陸到vCenter Server，在「主機和羣集」中單擊名爲Manage的資源池，在「權限」中添加名爲admin-mg的用戶，爲其分配「虛擬機超級用戶」角色，並選中「傳播到子對象」，添加以後如圖25所示。對於虛擬機和模板、存儲、網絡文件夾不須要分配權限。

圖25 爲Manage資源池添加用戶

分配權限以後，使用admin-mg@vsphere.local登陸進行驗證，這些再也不一一介紹。

除了對資源池進行分配外，還能夠選擇某臺虛擬機對其分配權限，其分配方式與爲資源池分配相似，本例再也不介紹。

說明：這是《VMware vSAN超融合企業應用實戰》圖書的部份內容，圖書購買地址 https://item.jd.com/12842654.html