VMware虛擬機遠程運維方式

遠程直接管理運維VMware虛擬機

1. 使 用vCenter Server遠程管理運維虛擬機

如果給vCenter Server分配了公網地址，管理員就可以使用vSphere Web Client、VMware vSphere Client、VMware Workstation登錄 vCenter Server，管理其下的所有虛擬機（如圖1）。

VMware支持管理員通過移動終端設備管理VMware vCenter Serevr。移動終端無論采用iOS系統還是Android系統，都有對應版本的View Client。只要在移動終端上安裝了View Client，就可以用View Client登錄vCenter Server，管理其下的虛擬機。如果安裝的vCenter Server是6.5以上的版本，還可通過瀏覽器登錄，和在電腦上登錄vCenter Server所用工具一樣，也是基于瀏覽器的管理工具“vSphere Web Client”。

圖1 用vCenter Server管理虛擬機和主機

圖2 vCenter用戶和組管理

借 助vCenter Server管理虛擬機，有其他遠程操控方式不可比擬的優勢。此方式既不需要在虛擬機上開啟遠程訪問端口，也不需要在虛擬機上安裝任何遠程控制軟件。管理員還可以根據運維管理人員的角色定位創建用戶賬戶，分配相應的訪問權限和范圍（如圖2）。例如，可以為某軟件供應商的技術支持人員創建單獨的賬號，讓他只能運維管理自己的虛擬機。

vCenter Server的角色和權限管理功能非常強大，可以自由創建角色、更改角色的權限，權限內容非常豐富，有31個大類，虛擬機權限僅僅是其中的一類。圖3列出的權限只是虛擬機操作權限的一部分，管理員可以控制某個角色是否能夠修改設備設置、能否添加內存、能否對客戶機進行操作等近三十項配置權限。

創建或配置好角色后，就可以對某個對象添加或修改權限，權限添加內容不僅可以指定訪問該對象的用戶，還可以為該用戶分配角色。這里的對象既包括虛擬機，也包括數據中心等其他對象。比如，管理員為甲公司技術支持只分配了虛擬機A的訪問最小權限，那該技術支持登錄到vCenter Server后，是看不到其他虛擬機的，也不能修改虛擬機的配置，只能在其負責的虛擬機上進行相應的操作。因此，vCenter Server幾乎適合所有運維管理人員，也包括非本單位運維管理人員，如軟件、服務器、存儲等提供商的技術支持人員。

2.采用遠程桌面連接方式管理虛擬機

圖3 vCenter角色創建及權限分配

遠程桌面連接是遠程運維管理服務器最常見的方式之一。因遠程桌面連接需要在被運維管理的服務器上開放端口及公網IP，因此，遠程桌面連接的應用范圍有限，一般只有單位內部人員在局域網內使用。也有部分單位的管理員為了獲得產品的技術支持，臨時開放端口，映射公網地址，讓產品的技術支持人員以遠程桌面連接的方式對產品進行升級或排查故障。

3.利用第三方遠程工具管理虛擬機

在被運維管理虛擬機上安裝 TeamViewer、XT800之類的遠程控制軟件，當然，在本地也要安裝相應的遠程控制軟件，只要雙方能連接到這些遠程控制軟件的服務器，獲得授權碼，就可以通過授權碼遠程控制虛擬機，實現遠程運維。此種方式不需要開放端口，被管理的虛擬機也不需要有公網地址。缺點有三，一是需要在被管理的虛擬機上安裝遠程運維工具，占用服務器資源；二是需要登錄遠程控制軟件提供商的服務器，獲得授權碼或ID，如果訪問不了遠程控制軟件提供商的服務器，遠程操控將無法進行；三是這些遠程控制軟件很容易被黑客修改，如果安裝的是被黑客修改過遠程控制軟件，其后果是難以想象的。因此，下載此類軟件，一定要到官網下載。

4.借助聊天工具協助管理虛擬機

有少部分管理員，為了讓技術支持人員解決問題，在被運維的虛擬機上臨時安裝QQ、MSN等聊天工具，再利用聊天工具上的遠程控制或遠程協助功能實現遠程運維。采用方式，管理端和運維端都需要人員，而且雙方必須是好友。

以遠程管理機為跳板，本地管理虛擬機

1.以QQ遠程協助為跳板工具，用遠程桌面連接管理虛擬機

QQ+遠程桌面連接是一種組合的遠程運維管理方式。需要對方提供技術支持時，對方人員可以通過聊天工具遠程控制管理員的電腦，把管理員的電腦當作跳板，再通過遠程桌面連接，遠程操控虛擬機，實現虛擬機的遠程運維管理。

2.以QQ遠程協助為跳板工具，本地使用vCenter管理虛擬機

此種運維方式和上述方式類似，只是本地管理從遠程桌面連接改成了vCenter，也是一種臨時的遠程運維管理方式。采用此種方式的原因，一是單位部署的VMware vCenter Server可能沒有開通外網訪問，二是沒有為技術支持創建賬號，設置訪問權限，因事情緊急而采用的臨時方式。

3.以第三方遠程軟件為跳板工具，本地使用vCenter管理虛擬機

管理員可以創建一臺虛擬機（起堡壘機作用），安裝TeamViewer之類的第三方遠程工具和VMware vSphere Client。然后為產品提供商的技術支持人員創建vCenter賬號，分配好相應權限。管理員告知技術支持人員vCenter賬號和第三方遠程工具的授權碼后，對方就可以對所負責的產品進行遠程運維管理了。用此種方式管理虛擬機，既可以監控遠程技術人員的操作，也可以讓遠程技術支持人員放手操作。

創建VPN，虛擬機遠程管理本地化

VPN是虛擬專用網絡的簡稱，就是在公用網絡上建立專用網絡，進行加密通訊。VPN屬于遠程訪問技術，它是利用公用網絡架設專用網絡，管理員即使在外地出差，也可以登錄VPN訪問單位內部的服務器。

1. 創建VPN連接

首先架設一臺VPN服務器，根據運維管理需要，給需要遠程管理服務器的人員創建對應的VPN賬號。如果用PC、筆記本等設備遠程操控虛擬機，桌面系統無論是Windows還是Linux，只要有VPN服務器的公網地址、VPN賬號和密碼，就可以創建VPN連接。

如果用移動終端遠程操控虛擬機，無論終端設備的操作系統是Android系統還是蘋果的iOS系統，都提供了VPN連接功能。用戶可以開啟VPN功能，然后添加VPN即可。添加時需輸入VPN服務器地址、賬號和密碼。

2.虛擬機遠程管理本地化

創建VPN連接后，若要將終端設備連接到單位的局域網，雙擊打開VPN連接，登錄到VPN服務器后，就可以像在單位一樣，用自己的終端設備管理局域網內的虛擬機。當然，管理方式可以是遠程桌面連接，也可以是vCenter，這要根據用戶喜好而定。

虛擬機遠程運維管理最佳途徑

筆者經常需要遠程管理維護VMware虛擬機，嘗試過多種遠程管理運維工具，也嘗試了上述幾種遠程運維方式。根據筆者體驗的結果，遠程管理維護VMware虛擬機的最佳途徑就是VPN+vCenter。

1.安全性高

首先，VPN的安全性很高。一是VPN采用128-bit及以上級別的非對稱加密算法，可以保證數據在不安全信道上的安全傳輸。即使被中途截獲，也需要動用巨大的計算力量才有可能解密。二是VPN連接與VPN服務器建立的是點對點的加密隧道連接，即使不同位置的用戶登錄到同一臺服務器上，用戶之間也不會互相獲得彼此傳輸的數據。三是服務器端是通過服務器的IP地址出口，不會透露用戶實際的IP地址等信息，可以確保用戶的匿名性。

其次，用vCenter管理虛擬機，必須先登錄到vCenter Server，而 vCenter采用的是單點登錄（Single Sign-On）方式進行vSphere 身份驗證，這是一種采用安全令牌交換機制的身份驗證代理程序。用戶通過vCenter Single Sign-On進行身份驗證后，即可訪問已被授權的vCenter服務（包括虛擬機）。vCenter對所有通信的流量都會進行加密，而且只有經過身份驗證的用戶才被授予訪問權限。

2.管理方便快捷

一是實現了虛擬機的集中管理，登錄到vCenter Server后，所有虛擬機都出現vCenter管理控制臺下，如果所管理的虛擬機比較多，還可以在虛擬機和模板視圖中創建文件夾，將虛擬機組織到文件夾層次結構中，就像管理文件那樣管理虛擬機。二是可以進行硬件底層管理，如開關機、添加內存和硬盤，放置光盤等。除此之外，還可以像管理本地物理機一樣，遠程安裝操作系統，安裝或卸載軟件，停止或啟動服務，這些都是用遠程管理軟件進行遠程維護不能完成的工作。

3.管理方式多樣化

如果用PC、筆記本等設備管理維護虛擬機，VMware提供了VMware vSphere Client和VMware Workstation Pro兩款工具，功能都很強大。如果不想使用客戶端，還可以使用瀏覽器，通過vSphere Web Client遠程管理維護虛擬機。

如果使用手機、平板等移動終端管理維護虛擬機，Android系統可以使用VMware View，蘋果的iOS系統可以使用vSphere Client管理維護虛擬機。如果VMware vCenter升級到6.5，該版本提供了基于 HTML5 的vSphere Web Client，也就是說，在移動終端上也可以用瀏覽器管理維護虛擬機。

4.遠程流暢清晰

雖然網絡帶寬越來越高，但網絡環境越來越復雜，用“直連”的遠程控制軟件遠程操控虛擬機時，有時會出現卡頓，甚至出現連接錯誤。筆者曾經通過公網地址直接訪問 vCenter Server，遠程操控時，卡頓現象就比較嚴重。而使用VPN連接到局域網后，登錄vCenter Server幾乎和在單位一樣，操作順暢，比TeamViewer遠程控制軟件都流暢。據筆者估計，同樣的線路，出現這種差異，應該和單位的防火墻有關。

經驗總結

遠程運維管理VMware虛擬機的辦法有很多，讀者可以根據實際情況，選擇適合自己的遠程運維管理辦法。安全起見，如果是單位內部的管理員要遠程運維管理虛擬機，推薦采用VPN+vCenter的組合方式；如果是服務于本單位的技術支持人員要遠程運維管理，推薦使用“第三方遠程工具+vCenter”的組合方式，采用此方式同樣是“雙保險”，服務于本單位的技術支持人員想遠程運維管理虛擬機，既需要第三方遠程工具的授權碼，也需要vCenter賬號。管理員還可以通過監看“堡壘機”，全程監看技術支持人員的操作。