vSphere部署系列之11——vCenter權限管理

vSphere部署系列之11——vCenter權限管理

在前面的博文章節中已完成了整個vCenter運作環境的總體部署，接下來是有關運維方面的一些研究。這一章先講一講vCenter中的權限設定。

在vSphere中，權限由清單對象的使用者或組和配置設定的角色組成，例如虛拟機或 ESX/ESXi主機。權限授予使用者執行對象（向其配置設定了角色）上的角色所指定的活動的權限。

預設情況下，在全新安裝中，隻有使用者[email protected] 才具有vCenter Single Sign-On 伺服器上的管理者特權。單一的vsphere.local管理者，顯然無法滿足多人運維的應用場景，那麼該如何設定，才能使得域使用者或vCenter所在系統的本地使用者被允許登入vCenter呢？ 下面在之前的實驗環境中進行權限設定操作。

實驗環境總體規劃，請見前面的博文《vSphere部署系列之03——實驗環境總體規劃》。

▲總體規劃網絡拓撲圖

一、準備工作

在本案的總體環境中，使用的域名為sqing.local，域控伺服器主機名為sqdc01.sqing.local。

登入域控伺服器（虛拟機sqdc01），在Active Directory使用者和計算機中，建立一個名為VCusers的組織，并在裡面建立vcadmin、vcuser01和vcuser02三個使用者，這三個使用者最終将被vCenter授權。

<a href="http://s2.51cto.com/wyfs02/M01/87/09/wKioL1fSKIqx3KMHAABIoqwCwEY394.png-wh_500x0-wm_3-wmp_4-s_2164031368.png" target="_blank"></a>

▲建立的域帳号

二、添加辨別源

辨別源是使用者群組資料的集合。使用者群組資料存儲在Active Directory 中、OpenLDAP 中或者存儲到本地安裝了vCenter Single Sign-On 的計算機作業系統。安裝後，vCenter Single Sign-On 的每個執行個體都具有一個本地作業系統辨別源vpshere.local。此辨別源是vCenter Single Sign-On的内部辨別源。

域是使用者群組的存儲庫，可以由vCenter Single Sign-On伺服器用于使用者身份驗證。辨別源允許将一個或多個域附加到 vCenter Single Sign-On。vSphere 5.5支援Active Directory 版本2003 及更高版本。本案Active Directory 版本為2008 R2。

本案的權限設定，主要也是在vSpherer Client連接配接vCenter Server的主界面中進行。但辨別源的添加，在vClient中無法操作，隻能登入到vSpherer Web Client中進行操作。

使用vsphere.local的administrator登入（輸入vsphere.local\administrator或[email protected]都可以），以下是操作過程。

▲使用vCenter Single Sign-On管理者登入vSphere Web Client

▲預設進入的是“vCO首頁”界面，單擊左則上方的“首頁”，将傳回首頁界面

▲首頁界面，單擊“系統管理”菜單，将進入系統管理頁面

▲系統管理-配置頁面，進入到“配置”選項，單擊左上的“+”按鈕，将彈出“添加辨別源”對話框，其右則各按鈕依次是編輯辨別源、删除辨別源、設定為預設域（要先選中一項非目前預設域）

可看到此時隻有vsphere.local和SQVCENTER兩個辨別源，其中vsphere.local是vCenter Single Sign-On的内部辨別源，不可删除。SQVCENTER（系統主機名）是本地作業系統辨別源，可删除。

目前預設域為SQVCENTER（無論何時都隻存在一個預設域）。來自非預設域的使用者在登入時必須添加域名（域\使用者）才能成功進行身份驗證。

▲添加辨別源對話框，辨別源類型選擇“Active Directory（已內建Windows身份驗證）”，辨別源設定中，選擇“使用計算機帳戶，并輸入将要添加的域“sqing.local”。設定完成後，單擊“确定”按鈕，并傳回到系統管理頁面。

注：vCenter Single Sign-On 僅允許指定單個Active Directory 域作為辨別源。該域可包含子域或作為林的根域。在vSphere Web Client中顯示為 Active Directory (已內建Windows 身份驗證)。

另外，vCenter Single Sign-On支援多個 Active Directory over LDAP 辨別源，以便與vSphere 5.1 随附的vCenter Single Sign-On服務相容。

<a href="http://s2.51cto.com/wyfs02/M02/87/09/wKioL1fSKMihXsuSAACxfac26oI506.png-wh_500x0-wm_3-wmp_4-s_790316335.png" target="_blank"></a>

▲系統管理-配置頁面，可看到已添加了域“sqing.local”作為辨別源

以上設定完成後，在系統管理-使用者群組中，域的下拉清單會出現剛添加的域sqing.local，選擇該域，将可檢視該域中的使用者。

▲系統管理-使用者群組頁面，可檢視到之前在域中建立的vcadmin、vcuser01和 vcuser02三個使用者。

接下來是設定，在vSphere Web Client也是可以操作的，筆者出于使用習慣，轉到vSphere Client上進行操作。

三、添權重限

使用[email protected]登入vSphere Client。

在主機和群集清單中，選擇資料中心（也可選擇群集或主機，各項是有差别的，後文講到），然後在右則内容框中切換到“權限”頁面，便可檢視并管理權限。

初始時，權限隻開放給vsphere.local\administrator一個使用者，其角色為“管理者”。vCenter Single Sign-On 管理者特權不同于vCenter Server系統 或ESXi 主機上的管理者角色（此時使用SQVCENTER系統管理者是不能登入vSphere Client的，但可以登入到vSphere Web Client，不過沒有管理者的操作權限）。

▲主界面-權限頁面，右擊彈出菜單中，選擇“添權重限”将彈出“配置設定權限”對話框。

▲配置設定權限，單擊“添加”按鈕，将彈出“選擇使用者群組”對話框

▲選擇使用者群組，域下拉框中“（伺服器）”下面的空間條目沒顯示出來，實際上是為“SQVCENTER”（本地系統），。“（伺服器）”這一條目也等同于“SQVCENTER”。

這個界面與第二節中，vSphere Web Client中看到的“系統管理-使用者群組”是一樣的，如果沒有在第二節中添加辨別符sqing.local，這裡域的下拉清單中将看不到域SQING。

▲選擇使用者群組，標明域SQING，然後在“使用者群組”清單框中選擇需要添加的使用者，

一次可添加多個使用者，輕按兩下将要添加的使用者，将會出現在“使用者”文本框中，這裡標明vcadmin和vcuser01兩個使用者，單擊“确定”按鈕，傳回上一級對話框。

<a href="http://s5.51cto.com/wyfs02/M00/87/0B/wKiom1fSKcGSVeFzAADVhHEbWnw913.png-wh_500x0-wm_3-wmp_4-s_2177061409.png" target="_blank"></a>

<a href="http://s2.51cto.com/wyfs02/M02/87/09/wKioL1fSKcKQz2MpAAEAEhgDvaE476.png-wh_500x0-wm_3-wmp_4-s_207881694.png" target="_blank"></a>

<a href="http://s5.51cto.com/wyfs02/M01/87/0B/wKiom1fSKcLzXsEzAAD5P24X7Lg783.png-wh_500x0-wm_3-wmp_4-s_1771996310.png" target="_blank"></a>

 ▲配置設定權限

從以上三張圖中，可看到“使用者群組”清單中添加了vcadmin和vcuser01兩個sqing.local域使用者，其角色預設為“隻讀”。分别選中，然後在右則的“配置設定的角色”中進行角色權限設定。設定完成後，單擊“确定”按鈕，傳回主界面。

從上面後兩張圖，可以看到管理者角色和虛拟機超級使用者角色在“特權”上的差別，前者是所有特權，後者預設隻勾選了“全局”、“資料存儲”、“虛拟機”、“已排程任務”等特權，其他的特權選項可以根據實際情況手動勾選。

▲主界面-權限頁面，可以看到vcadmin、vcuser01和vcuser02三個sqing.local域已授權。其角色分别為管理者、虛拟機超級使用者和虛拟機使用者。

▲單擊菜單中的“屬性”将彈出“更改通路規則”對話框

▲更改通路規則

在使用者屬性中可更改角色（隻能是角色及其預設的權限勾選項，如果要手動勾選更多的權限，則需要删除，重新增加，在前面展示的步驟中手動勾選）。

四、授權使用者的定義範圍

群集、池、主機、虛拟機中的授權使用者及其權限依次從上一級繼承。上述的權限設定，是在資料中心SQ-DataCenter中設定的，這是vCenter管理結構中最高的級别。是以從資料中心一直到虛拟機，對sqing.local域中的vcadmin和vcuser01的授權是一樣的。從“定義範圍”一欄中可以看出。

在各級别中，可以删除本地對象授權的使用者，但無法删除從上一級繼承的授權使用者。

下面在主機esxi02（10.1.241.22）中對sqing.local域使用者vcuser02進行授權，以作差別。操作也是在[email protected]登入vSphere Client的界面中進行。

▲添加vcuser02使用者，配置設定的角色為“虛拟機使用者”

注：這裡有個“傳播子對象”的選項，預設勾選，是授權得以繼承的關鍵，前面的操作均保留預設勾選。

▲主機esxi02的授權使用者，可以看到剛授權的vcuser02，以及從SQ-DataCenter繼承來的其他使用者

▲主機esxi02的授權使用者，可删除此對象中授權的使用者vcuser02

▲主機esxi02的授權使用者，不可删除從SQ-DataCenter繼承來的授權使用者vcuser01

▲群集Cluster01的授權使用者，在這裡看不到vcuser02

五、SQING域使用者登入

僅當使用者位于已添加為 vCenter Single Sign-On 辨別源的域中時，才可以登入vCenter Server

下面以sqing.local域使用者 vcuser01 為例，通過vSphere Client登入vCenter。在前面的設定中，vcuser01的角色為“虛拟機超級使用者”。

<a href="http://s2.51cto.com/wyfs02/M02/87/09/wKioL1fSKr7QjiubAAESQo4JJOc171.png-wh_500x0-wm_3-wmp_4-s_319702636.png" target="_blank"></a>

<a href="http://s2.51cto.com/wyfs02/M01/87/0B/wKiom1fSKr6zmzcKAAGRC8dZtu0740.png-wh_500x0-wm_3-wmp_4-s_3681235709.png" target="_blank"></a>

▲該使用者沒有克隆、模闆、從硬碟删除等權限

除了上述操作外，vCenter Single Sign-On 管理者使用者可以建立vCenter Single Sign-On 使用者群組。

若要添加SQVCENTER本地使用者，操作方法與上述添加域使用者相似，不再示範。在實際應用環境中，由于vCenter與域組合使用，一般都是在域使用者，然後在vCenter中對指定域使用者進行授權。

六、角色的管理

在前面的操作中，一直用到“角色”，vCenter Server 和 ESXi 提供多種預設角色，包括上面用到的管理者、超級虛拟機使用者、虛拟機使用者等，這些角色會與 vSphere 環境中常見職責區域的特權一起進行分組。關于角色更詳細的說明請參考官方文檔。

每個角色有着其各自的預設權限，當然在添加使用者并為使用者設定角色的過程中，可以手動多勾選其他一些權限。在而角色本身其實也是可以自定義建立的。

▲在首頁界面中找到“角色”的連結

▲角色管理頁面，選中某一個角色，在右則可看到其使用情況

這裡選中“管理者”角色，可看到内有vphere.local\administrator和sqing\vcadmin兩個使用者，其中前者與資料中心SQ-DataCenter平級（最進階别的管理者），後者是資料中心SQ-DataCenter中的使用者。

使用者圖示帶向下的綠色箭頭，表示向下繼承，由此可知該使用者的授權範圍。

▲角色管理頁面，其中，“無權通路”“隻讀”“管理者”這三個是無法被删除的，其它可以被删除、重命名或編輯。

單擊“添加角色”按鈕，将彈出添加新角色對話框。

單擊“克隆角色”按鈕可對角色進行克隆。

▲添加新角色對話框，在這裡可自定義權限并建立一個新角色

本文轉自Sunshyfangtian 51CTO部落格，原文連結：http://blog.51cto.com/sunshyfangtian/1851009，如需轉載請自行聯系原作者