vSphere部署系列之11——vCenter权限管理

vSphere部署系列之11——vCenter权限管理

vSphere部署系列的第11部分vcenter权限管理

在之前的博文章节中，已经完成了整个vCenter *** 作环境的整体部署，接下来是一些运维方面的研究。本章首先讲vCenter中的权限设置。

在vSphere中，权限由用户或清单对象组以及分配的角色组成，如虚拟机或ESX/ESXi主机。授予用户在角色所分配到的对象上执行角色指定的活动的权限。

默认情况下，在全新安装中，只有用户[email protected]拥有vCenterSingleSign-Onserver的管理员权限。单个vsphere.local管理员显然无法满足多人运维的应用场景，那么如何设置才能让vCenter的系统的域用户或本地用户登录vCenter呢？在之前的实验环境中设置权限。

实验环境总体规划见之前的博文《vSphere部署系列03-实验环境总体规划》。

▲总体规划网络拓扑图

一、准备工作

在本例的整体环境中，使用的域名是sqing.local，域控制服务器的主机名是sqdc01.sqing.local

登录域控制服务器(虚拟机sqdc01)，在ActiveDirectory用户和计算机中创建一个名为VCusers的组织，并在其中创建三个新用户vcadmin、vcuser01和vcuser02。这三个用户最终都会得到vCenter的授权。

▲新域账号

二。添加ID源

身份是用户和组数据的集合。和用户组数据存储在ActiveDirectory、OpenLDAP或本地安装了vCenterSingleSign-On的计算机 *** 作系统中。安装后，vCenterSingleSign-On的每个实例都有一个本地 *** 作系统身份源vpshere.local该身份源是vCenterSingleSign-On的内部身份源。

是域用户和组的存储库，vCenterSingleSign-Onserver可以使用它进行用户身份验证。身份允许一个或多个域连接到vCenterSingleSign-On。vSphere5.5支持ActiveDirectory版本2003和更高版本。此案例的活动目录版本是2008R2。

这个案例的权限设置主要是在vSpherer客户端连接vCenterServer的主界面中进行的。但是，添加身份源不能在vClient中 *** 作，只能通过登录vSphererWeb客户端进行 *** 作。

使用vsphere.local的管理员登录(您可以输入vsphere.local\administrator或[email protected])。下面是 *** 作流程。

▲使用vCenterSingleSign-Onadministrator登录vSphereWebClient。

▲默认会进入“vCO主页”界面。点击左上方的“首页”返回首页界面。

▲在首页界面，点击“系统管理”菜单，进入系统管理页面。

▲在系统管理-配置页面，进入“配置”选项，点击左上方的“+”按钮，打开“添加ID源”对话框。右边的按钮是编辑ID源、删除ID源和设置为默认域(首先选择一个不是当前默认域的域)。

可以看到只有两个身份源:vsphere.local和SQVCENTER，其中vsphere.local是VCENTER单点登录的内部身份源，不能删除。SQVCENTER(系统主机名)是本地 *** 作系统标识源，可以删除。

当前的默认域是SQVCENTER(任何时候都只有一个默认域)。来自非默认域的用户必须在登录时添加域名(域\用户)才能成功进行身份验证。

▲添加身份源对话框，选择“ActiveDirectory”作为身份源类型，在身份源设置中选择“使用计算机帐户”，输入要添加的域“sqing.local”。设置完成后，点击确定，返回系统管理页面。

注意:vCenterSingleSign-On仅允许您指定单个ActiveDirectory域作为身份源。该域可以包含子域，也可以是林的根域。在vSphereWebClient中，它显示为ActiveDirectory(与Windows身份验证集成)。

此外，vCenterSingleSign-On支持多个基于LDAP的ActiveDirectory身份源，以与vSphere5.1中包含的vCenterSingleSign-On服务兼容。

▲在系统管理-配置页面，可以看到已经添加了域“sqing.local”作为身份识别源。

完成上述设置后，新增的域sqing.local会出现在系统管理-用户和组中的域下拉列表中。选择域以查看域中的用户。

▲在系统管理-用户和组页面，可以查看到三个用户，vcadmin、vcuser01、vcuser02，这三个用户是之前在域中创建的。

下一步是设置，可以在vSphereWebClient中 *** 作。因为我的使用习惯，我去vSphere客户端 *** 作。

三。添加权限

使用[email protected]登录vSphereClient。

在主机和集群列表中，选择数据中心(您也可以选择集群或主机，这将在后面讨论)，然后切换到右侧内容框中的Permissions页面，以查看和管理权限。

一开始，权限只对一个用户开放，vsphere.local\administrator，其角色是“管理员”。vCenterSingleSign-On管理员权限不同于vCenterServer系统或ESXi主机上的管理员角色(此时，SQVCENTER系统管理员无法登录vSphereClient，但可以在没有管理员 *** 作权限的情况下登录vSphereWebClient)。

▲主界面-权限页面，右键d出菜单，选择“添加权限”，d出“分配权限”对话框。

▲分配权限，点击“添加”按钮，d出“选择用户和组”对话框。

▲选择用户和组。域下拉框中“(服务器)”下空之间的条目不显示，实际上是“SQVCENTER”(本地系统)。条目“(服务器)”也等同于“SQVCENTER”。

此界面与第二部分vSphereWebClient中的“系统管理-用户和组”相同。如果在第二部分中没有添加标识符SQING.local，则在此处的域下拉列表中将看不到域SQING。

▲选择用户和组，选择域SQING，然后在用户和组列表框中选择要添加的用户。

您可以一次添加多个用户。双击要添加的用户，它将出现在用户文本框中。在这里，选择两个用户vcadmin和vcuser01，然后单击OK返回到上一个对话框。

▲分配权限

从上面三个图中可以看到，vcadmin和vcuser01被添加到用户和组列表中，默认情况下它们的角色是只读的。分别选中，然后在右侧的“已分配角色”中设置角色权限。设置完成后，点击确定返回主界面。

从上面的最后两个图中，您可以看到管理员角色和虚拟机超级用户角色在权限方面的区别。前者是所有权限，后者只有全局、数据存储、虚拟机、调度任务等默认勾选的权限。其他权限选项可以根据实际情况手动勾选。

▲在主界面-权限页面，可以看到vcadmin、vcuser01、vcuser02已经被授权。他们的角色是管理员、虚拟机超级用户和虚拟机用户。

▲点击菜单中的“属性”，d出“更改访问规则”对话框。

▲更改访问规则

您可以在用户属性中更改角色(仅角色及其默认权限检查选项。如果您想要手动检查更多权限，您需要删除它们，再次添加它们，并在前面显示的步骤中手动检查它们)。

四。授权用户的定义范围

授权用户及其在集群、池、主机和虚拟机中的权限依次继承自上一级。上述权限设置在数据中心SQ-DataCenter中设置，这是vCenter管理结构中的最高级别。因此，从数据中心到虚拟机，sqing.local域中vcadmin和vcuser01的授权是相同的。从“定义范围”一栏可以看出。

在每个级别中，可以删除由本地对象授权的用户，但不能删除从上一级别继承的授权用户。

以下主机esxi02(10.1.241.22)授权sqing.local域用户vcuser02有所作为。 *** 作也在[email protected]登录vSphereClient的界面进行。

▲添加分配了“虚拟机用户”角色的vcuser02用户

注意:有一个“传播子对象”选项，默认勾选，是授权继承的关键。默认情况下，所有先前的 *** 作都保持选中状态。

▲主机esxi02的授权用户可以看到新授权的vcuser02和其他继承自SQ-DataCenter的用户。

▲主机esxi02的授权用户可以删除该对象中的授权用户vcuser02。

▲主机esxi02的授权用户不能删除从SQ-DataCenter继承的授权用户vcuser01。

clusterCluster01的授权用户在这里看不到vcuser02。

五、域名用户登录

只有当用户位于已添加为vCenterSingleSign-On身份源的域中时，他们才能登录vCenterServer。

下面以sqing.local域的用户vcuser01为例，通过vSphereClient登录vCenter。在之前的设置中，vcuser01的角色是“虚拟机超级用户”。

▲该用户没有克隆、模板、从硬盘删除等权限。

除了上述 *** 作，vCenterSingleSign-On管理员用户还可以创建vCenterSingleSign-On用户和组。

添加SQVCENTER本地用户， *** 作方法与上述添加域用户类似，不再赘述。在实际应用环境中，由于vCenter是与域结合使用的，所以域中的用户通常在vCenter中进行授权。

六。角色管理

在之前的 *** 作中，一直使用“角色”。vCenterServer和ESXi提供了多种默认角色，包括管理员、超级虚拟机用户、虚拟机用户等。用在上面。这些角色与vSphere环境中常见责任领域的权限组合在一起。有关角色的更详细描述，请参考官方文档。

每个角色都有自己的默认权限。当然，在添加用户和为用户设置角色的过程中，可以手动检查一些其他的权限。其实角色本身是可以定制的。

▲在首页界面找到“角色”的链接。

▲角色管理页面，选择一个角色，右边可以看到它的用法。

在这里选择“管理员”角色，可以看到有两个用户:vphere.local\administrator和sqing\vcadmin，其中前者等同于数据中心的SQ-DataCenter(最高级别的管理员)，后者是数据中心SQ-DataCenter中的用户。

用户的图标有一个向下的绿色箭头，表示向下继承，表示用户的授权范围。

▲角色管理页面，其中“无权限”、“只读”、“管理员”不能删除，其他可以删除、重命名或编辑。

点击“添加角色”按钮，将d出添加新角色的对话框。

单击克隆角色按钮克隆角色。

▲添加新角色对话框，可以自定义权限，新建角色。