vSphere部署系列之11——vCenter权限管理

vSphere部署系列之11——vCenter权限管理

在前面的博文章节中已完成了整个vCenter运行环境的整体部署，接下来是有关运维方面的一些研究。这一章先讲一讲vCenter中的权限设置。

在vSphere中，权限由清单对象的用户或组和分配的角色组成，例如虚拟机或 ESX/ESXi主机。权限授予用户执行对象（向其分配了角色）上的角色所指定的活动的权限。

默认状况下，在全新安装中，只有用户administrator@vsphere.local 才具备vCenter Single Sign-On 服务器上的管理员特权。单一的vsphere.local管理员，显然没法知足多人运维的应用场景，那么该如何设置，才能使得域用户或vCenter所在系统的本地用户被容许登陆vCenter呢？ 下面在以前的实验环境中进行权限设置操做。

实验环境整体规划，请见前面的博文《vSphere部署系列之03——实验环境整体规划》。

 

▲整体规划网络拓扑图

1、准备工做

在本案的整体环境中，使用的域名为sqing.local，域控服务器主机名为sqdc01.sqing.local。

登陆域控服务器（虚拟机sqdc01），在Active Directory用户和计算机中，建立一个名为VCusers的组织，并在里面新建vcadmin、vcuser01和vcuser02三个用户，这三个用户最终将被vCenter受权。

 

▲新建的域账号

2、添加标识源

标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操做系统。安装后，vCenter Single Sign-On 的每一个实例都具备一个本地操做系统标识源vpshere.local。此标识源是vCenter Single Sign-On的内部标识源。

域是用户和组的存储库，能够由vCenter Single Sign-On服务器用于用户身份验证。标识源容许将一个或多个域附加到 vCenter Single Sign-On。vSphere 5.5支持Active Directory 版本2003 及更高版本。本案Active Directory 版本为2008 R2。

本案的权限设置，主要也是在vSpherer Client链接vCenter Server的主界面中进行。但标识源的添加，在vClient中没法操做，只能登陆到vSpherer Web Client中进行操做。

使用vsphere.local的administrator登陆（输入vsphere.local\administrator或administrator@vsphere.local均可以），如下是操做过程。

 

▲使用vCenter Single Sign-On管理员登陆vSphere Web Client

 

▲默认进入的是“vCO主页”界面，单击左则上方的“主页”，将返回主页界面

 

▲主页界面，单击“系统管理”菜单，将进入系统管理页面

 

▲系统管理-配置页面，进入到“配置”选项，单击左上的“+”按钮，将弹出“添加标识源”对话框，其右则各按钮依次是编辑标识源、删除标识源、设置为默认域（要先选中一项非当前默认域）

可看到此时只有vsphere.local和SQVCENTER两个标识源，其中vsphere.local是vCenter Single Sign-On的内部标识源，不可删除。SQVCENTER（系统主机名）是本地操做系统标识源，可删除。

当前默认域为SQVCENTER（不管什么时候都只存在一个默认域）。来自非默认域的用户在登陆时必须添加域名（域\用户）才能成功进行身份验证。

 

▲添加标识源对话框，标识源类型选择“Active Directory（已集成Windows身份验证）”，标识源设置中，选择“使用计算机账户，并输入将要添加的域“sqing.local”。设置完成后，单击“肯定”按钮，并返回到系统管理页面。

注：vCenter Single Sign-On 仅容许指定单个Active Directory 域做为标识源。该域可包含子域或做为林的根域。在vSphere Web Client中显示为 Active Directory (已集成Windows 身份验证)。

另外，vCenter Single Sign-On支持多个 Active Directory over LDAP 标识源，以便与vSphere 5.1 随附的vCenter Single Sign-On服务兼容。

▲系统管理-配置页面，可看到已添加了域“sqing.local”做为标识源

以上设置完成后，在系统管理-用户和组中，域的下拉列表会出现刚添加的域sqing.local，选择该域，将可查看该域中的用户。

 

▲系统管理-用户和组页面，可查看到以前在域中建立的vcadmin、vcuser01和 vcuser02三个用户。

接下来是设置，在vSphere Web Client也是能够操做的，笔者出于使用习惯，转到vSphere Client上进行操做。

3、添加权限

使用administrator@vsphere.local登陆vSphere Client。

在主机和群集列表中，选择数据中心（也可选择群集或主机，各项是有差异的，后文讲到），而后在右则内容框中切换到“权限”页面，即可查看并管理权限。

初始时，权限只开放给vsphere.local\administrator一个用户，其角色为“管理员”。vCenter Single Sign-On 管理员特权不一样于vCenter Server系统 或ESXi 主机上的管理员角色（此时使用SQVCENTER系统管理员是不能登陆vSphere Client的，但能够登陆到vSphere Web Client，不过没有管理员的操做权限）。

 

▲主界面-权限页面，右击弹出菜单中，选择“添加权限”将弹出“分配权限”对话框。

 

▲分配权限，单击“添加”按钮，将弹出“选择用户和组”对话框

 

▲选择用户和组，域下拉框中“（服务器）”下面的空间条目没显示出来，其实是为“SQVCENTER”（本地系统），。“（服务器）”这一条目也等同于“SQVCENTER”。

这个界面与第二节中，vSphere Web Client中看到的“系统管理-用户和组”是同样的，若是没有在第二节中添加标识符sqing.local，这里域的下拉列表中将看不到域SQING。

 

▲选择用户和组，选定域SQING，而后在“用户和组”列表框中选择须要添加的用户，

一次可添加多个用户，双击将要添加的用户，将会出如今“用户”文本框中，这里选定vcadmin和vcuser01两个用户，单击“肯定”按钮，返回上一级对话框。

 ▲分配权限

从以上三张图中，可看到“用户和组”列表中添加了vcadmin和vcuser01两个sqing.local域用户，其角色默认为“只读”。分别选中，而后在右则的“分配的角色”中进行角色权限设置。设置完成后，单击“肯定”按钮，返回主界面。

从上面后两张图，能够看到管理员角色和虚拟机超级用户角色在“特权”上的区别，前者是全部特权，后者默认只勾选了“全局”、“数据存储”、“虚拟机”、“已调度任务”等特权，其余的特权选项能够根据实际状况手动勾选。

 

▲主界面-权限页面，能够看到vcadmin、vcuser01和vcuser02三个sqing.local域已受权。其角色分别为管理员、虚拟机超级用户和虚拟机用户。

 

▲单击菜单中的“属性”将弹出“更改访问规则”对话框

 

▲更改访问规则

在用户属性中可更改角色（只能是角色及其默认的权限勾选项，若是要手动勾选更多的权限，则须要删除，从新增长，在前面展现的步骤中手动勾选）。

4、受权用户的定义范围

群集、池、主机、虚拟机中的受权用户及其权限依次从上一级继承。上述的权限设置，是在数据中心SQ-DataCenter中设置的，这是vCenter管理结构中最高的级别。所以从数据中心一直到虚拟机，对sqing.local域中的vcadmin和vcuser01的受权是同样的。从“定义范围”一栏中能够看出。

在各级别中，能够删除本地对象受权的用户，但没法删除从上一级继承的受权用户。

下面在主机esxi02（10.1.241.22）中对sqing.local域用户vcuser02进行受权，以做区别。操做也是在administrator@vsphere.local登陆vSphere Client的界面中进行。

 

▲添加vcuser02用户，分配的角色为“虚拟机用户”

注：这里有个“传播子对象”的选项，默认勾选，是受权得以继承的关键，前面的操做均保留默认勾选。

 

▲主机esxi02的受权用户，能够看到刚受权的vcuser02，以及从SQ-DataCenter继承来的其余用户

 

▲主机esxi02的受权用户，可删除此对象中受权的用户vcuser02

 

▲主机esxi02的受权用户，不可删除从SQ-DataCenter继承来的受权用户vcuser01

 

▲群集Cluster01的受权用户，在这里看不到vcuser02

5、SQING域用户登陆

仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时，才能够登陆vCenter Server

下面以sqing.local域用户 vcuser01 为例，经过vSphere Client登陆vCenter。在前面的设置中，vcuser01的角色为“虚拟机超级用户”。

▲该用户没有克隆、模板、从硬盘删除等权限

除了上述操做外，vCenter Single Sign-On 管理员用户能够建立vCenter Single Sign-On 用户和组。

若要添加SQVCENTER本地用户，操做方法与上述添加域用户类似，再也不演示。在实际应用环境中，因为vCenter与域组合使用，通常都是在域用户，而后在vCenter中对指定域用户进行受权。

6、角色的管理

在前面的操做中，一直用到“角色”，vCenter Server 和 ESXi 提供多种默认角色，包括上面用到的管理员、超级虚拟机用户、虚拟机用户等，这些角色会与 vSphere 环境中常见职责区域的特权一块儿进行分组。关于角色更详细的说明请参考官方文档。

每一个角色有着其各自的默认权限，固然在添加用户并为用户设置角色的过程当中，能够手动多勾选其余一些权限。在而角色自己其实也是能够自定义建立的。

 

▲在主页界面中找到“角色”的连接

 

▲角色管理页面，选中某一个角色，在右则可看到其使用状况

这里选中“管理员”角色，可看到内有vphere.local\administrator和sqing\vcadmin两个用户，其中前者与数据中心SQ-DataCenter平级（最高级别的管理员），后者是数据中心SQ-DataCenter中的用户。

用户图标带向下的绿色箭头，表示向下继承，由此可知该用户的受权范围。

 

▲角色管理页面，其中，“无权访问”“只读”“管理员”这三个是没法被删除的，其它能够被删除、重命名或编辑。

单击“添加角色”按钮，将弹出添加新角色对话框。

单击“克隆角色”按钮可对角色进行克隆。

 

▲添加新角色对话框，在这里可自定义权限并建立一个新角色