VMware vSphere 权限分级管理方法

vCenter Server默认管理员帐户是administrator@vsphere.local，此帐户对vCenter Server及vCenterServer下的数据中心、群集、ESXi主机、虚拟机、虚拟机网络、存储等具备全部权限。若是在平常的管理中使用此帐户，该帐户权限“过大”，若是配置不当或者误操做可能会对系统形成影响。在企业虚拟化环境中的平常管理中，应该将管理员分级，为不一样的管理配置不一样的用户并分配不一样的权限。vCenter Server提供的角色分如下几类。

（1）管理员，对vSphere具备彻底的权限，默认帐户为administrator@vsphere.local。

（2）只读，能够浏览、查看vSphere中全部对象，不能更改对象的状态。

（3）虚拟机用户。与虚拟机交互的权限，包括打开与关闭虚拟机的电源、安装VMware Tools、控制台交互、配置CD媒体、挂起或重置虚拟机、修改任务、建立任务、移除任务、运行任务、取消任务等操做。

（4）虚拟机超级管理员。除了虚拟机用户权限外还包括快照管理、更改虚拟机配置、浏览数据存储权限。

（5）资源池管理员。警报、修改权限、浏览数据存储、文件夹管理、资源、调度任务、虚拟机超级管理员、虚拟机置备等权限。

（6）数据存储使用者。在存储中有分配空间的权限。

（7）网络管理员。分配网络的权限。

（8）虚拟机控制台用户。与虚拟机交互的权限。

使用administrator@vsphere.local帐户登陆vCenter Server，在“系统管理→访问控制→角色”中查看vCenter默认建立的角色及分配的权限，如图1所示。

vCenter Server 容许经过权限和角色对受权进行精细控制。向 vCenter Server 对象层次结构中的对象分配权限时，请指定哪一个用户或组对该对象具备哪些特权。要指定特权，应使用角色（即特权集）。

最初仅 vCenter Single Sign-On 域的管理员用户（默认为 administrator@vsphere.local）有权登陆到 vCenter Server 系统。受权后，该用户能够执行以下操做：

（1）将在其中定义了用户和组的标识源添加到 vCenter Single Sign-On 中。

（2）向用户或组授予特权，方法是选择虚拟机或 vCenter Server 系统等对象并将针对该对象的角色分配给相应的用户或组。

能够将vCenter Server加入Active Directory中，而后在Active Directory中建立用户，并添加到vCenter Server中，为其分配权限。也能够使用vCenter Server Appliance所在系统建立本地用户并为其分配权限。

vSphere 清单层次结构如图2所示。vCenter Server管理员能够为这些对象分配权限。

图2 vSphere清单层次结构

许多任务须要清单中多个对象的权限。若是尝试执行任务的用户仅具备一个对象的特权，则没法成功完成该任务。vSphere权限较多。本节经过案例的方式进行介绍。

1 建立本地用户帐户

要为不一样的用户分配权限，须要有不一样的用户和用户组。在分配用户时，能够使用vCenter Server所依赖的操做系统的用户帐户，也能够将vCenter Server添加到Active Directory，使用Active Directory用户帐户。

若是vCenter Server安装在Windows操做系统，能够使用Windows操做系统的本地计算机帐户；若是vCenter Server Appliance运行在Linux平台上，能够使用所属的Linux用户帐户。在vCenter Server Appliance中，能够使用其自己的Linux系统帐户。首先介绍在vCenter Server Appliance中建立用户帐户的方法和步骤。

（1）使用vSphere Client登陆到vCenter Server，在“系统管理→Single Sign On→用户和组”中“用户”选项卡中的“域”下拉列表中选择vSphere.local，单击“添加用户”，如图3所示。

图3 添加用户

（2）在“添加用户”对话框中的“用户名”中输入新添加的用户名，本示例为view，在“密码”与“确认密码”密码栏中为新建用户设置密码（须要是复杂密码），在“名字”文本框中为新建用户设置名字，本示例为只读管理员，设置以后单击“添加”按钮完成用户的建立，如图4所示。

图4 新建用户

（3）参照（1）至（2）的步骤，再次建立三个用户，本示例为admin-mg、admin-ser、admin-test，这三个用户准备用于manage、server、test三个资源池。

2 全局只读管理员

vSphere中的权限较多、划分较细。本章从管理与使用的角度，经过案例的方式介绍vSphere的权限管理内容。本节先介绍第一个案例：某用户能够从全局的角度“看”到当前的虚拟化架构，但不能对任何虚拟机、网络、数据作任何的更改。简单来讲，建立一个全局“只读”管理员用户。在图4建立了一个名为view的用户，本示例中将把这个用户添加为“只读”管理员。

（1）使用vSphere Client登陆到vCenter Server，在“主机和群集”选项中单击“vc.heinfo.edu.cn”(vCenter Server根域)这一级，在“权限”选项卡中单击＋，如图6所示。

图6 添加用户

（2）在“添加权限”对话框中，在“用户”下拉列表中选择vsphere.local，在 后面输入要添加的用户名，本示例为view，在“角色”下拉列表中选择“只读”，选中“传播到子对象”，单击“肯定”按钮，如图7所示。

图7 添加权限

（3）添加以后如图8所示。能够单击＋继续添加，也能够选择添加的用户，单击 进行修改，或者单击×删除选定的用户。

在添加了权限以后，注销当前的SSO管理员帐户administrator@vsphere.local，使用view@vsphere.local登陆。

登陆以后能够看到，当前登陆的用户view@vsphere.local能够查看到全部的资源，但不能操做任何具体的资源，如图10所示。

图10 只读管理员

3 资源池超级管理员帐户

在当前的演示环境中有5台ESXi主机组成vSphere群集，在群集中建立了3个资源池，分别是Manage、Server、Test。在本示例中将名为admin-ser的用户分配给Server资源池，对该资源池有彻底的控制权，而且能启动、关闭、删除该资源池中的虚拟机，在资源池建立虚拟机、修改虚拟机的配置，并为这个资源池的虚拟机分配vlan200一、vlan2002网络。下面介绍配置的方法。

（1）使用vSphere Client登陆到vCenter Server，在“主机和群集”中单击名为Server的资源池，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”，添加以后如图11所示。

图11 为Server资源池添加用户

（2）在“虚拟机和模板”文件夹用鼠标右键单击名为Datacenter的数据中心，在弹出的快捷菜单中选择“新建文件夹→新建虚拟机和模板文件夹”，建立一个名为VM-Server的文件夹用于资源池。

（3）选择VM-Server的文件夹，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”。

（4）若是要为容许用户使用模板、从模板部署虚拟机，须要为模板所在的文件夹分配“只读”角色并容许传播到子对象。在本示例中，名为Win7X_Ent_TP保存在VM-TP的文件夹中，在“权限”中添加名为admin-ser的用户，为其分配“只读”角色，并选中“传播到子对象”，如图14所示。

图14 为模板所在文件夹分配只读角色

（5）选择名为Win7X_Ent_TP的模板，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”，如图15所示。

图15 为模板分配管理员角色

（6）在“存储”文件夹中选择vsanDatastore存储，在“权限”中添加名为admin-ser的用户，为其分配“数据存储使用者”角色，并选中“传播到子对象”，如图16所示。

图16 为数据存储分配权限

（7）在“网络”文件夹选择vlan2001的分布式端口组，在“权限”中添加名为admin-ser的用户，为其分配“网络管理员”角色，并选中“传播到子对象”，如图17所示。

图17 为vlan2001端口组分配权限

（8）选择vlan2002的分布式端口组，在“权限”中添加名为admin-ser的用户，为其分配“网络管理员”角色，并选中“传播到子对象”。

在为admin-ser分配权限以后，注销当前管理员帐户administrator@vsphere.local并换用admin-ser@vsphere.local登陆，登陆以后能够看到，当前用户能够对server资源池的虚拟机进行全部操做，开、关机，修改虚拟机删除，添加或删除虚拟机，新建虚拟机、从模板部署虚拟机、修改虚拟机配置等操做。

下面测试从模板建立虚拟机的功能，主要步骤以下。

（1）选择从模板部署虚拟机，在“选择模板”对话框中的“数据中心”选项卡中，在“VM-TP”文件夹中选择Win7X_Ent_TP的模板虚拟机，如图20所示。

图20 选择模板

（2）在“选择名称和文件夹”对话框中的“虚拟机名称”文本框中，为新建虚拟机设置名称，本示例为Win7X-02，在“为该虚拟机选择位置”中选择VM-Server文件夹。

（3）在“自定义硬件”对话框中为虚拟机选择网络（本示例为vlan2001）、为虚拟机分配CPU与内存、硬盘空间。

（4）在“即将完成”对话框中显示了从模板部署虚拟机的选项，检查无误以后单击“Finish”按钮。而后等待虚拟机部署完成。

4 资源池管理员帐户

在本示例中将名为admin-mg的用户分配给Manage资源池，对该资源池中的虚拟机有管理员权限：打开、关闭虚拟机电源、重置、挂起虚拟机，能够修改虚拟机的CPU、内存、不能修改虚拟机网络。

使用vSphere Client登陆到vCenter Server，在“主机和群集”中单击名为Manage的资源池，在“权限”中添加名为admin-mg的用户，为其分配“虚拟机超级用户”角色，并选中“传播到子对象”，添加以后如图25所示。对于虚拟机和模板、存储、网络文件夹不须要分配权限。

图25 为Manage资源池添加用户

分配权限以后，使用admin-mg@vsphere.local登陆进行验证，这些再也不一一介绍。

除了对资源池进行分配外，还能够选择某台虚拟机对其分配权限，其分配方式与为资源池分配相似，本例再也不介绍。

说明：这是《VMware vSAN超融合企业应用实战》图书的部份内容，图书购买地址 https://item.jd.com/12842654.html