VMware vSphere 權限分級管理方法

編者按：vCenter Server 默認管理員賬戶是administr ator@vsphere.local，此賬戶對vCenter Server 及vC enterServer 下的數據中心、群集、ESXi 主機、虛擬機、虛擬機網絡、存儲等具有所有權限。該權限的大小，關系著系統的操作及安全問題，本文將介紹該權限的管理方法，希望對讀者有所啟發。

vCenter Ser ver 默認管理員賬戶是adminis trator@vsphere.local，如果在日常的管理中使用此賬戶，該賬戶權限“過大”，如果配置不當或者誤操作可能會對系統造成影響。在企業虛擬化環境中的日常管理中，應該將管理員分級，為不同的管理配置不同的用戶并分配不同的權限。vCenter Server 提供的角色分以下幾類。

1.管理員。對vSphere具有完全的權限，默認賬戶為administrator@vsphere.local。

2.只讀。可以瀏覽、查看vSphere 中所有對象，不能更改對象的狀態。

3.虛擬機用戶。與虛擬機交互的權限，包括打開與關閉虛擬機的電源、安裝VMware Tools、控制臺交互、配置CD 媒體、掛起或重置虛擬機、修改任務、創建任務、移除任務、運行任務、取消任務等操作。

4.虛擬機超級管理員。除了虛擬機用戶權限外還包括快照管理、更改虛擬機配置、瀏覽數據存儲權限。

5.資源池管理員。警報、修改權限、瀏覽數據存儲、文件夾管理、資源、調度任務、虛擬機超級管理員、虛擬機置備等權限。

6.數據存儲使用者。在存儲中有分配空間的權限。

7.網絡管理員。分配網絡的權限。

8.虛擬機控制臺用戶。與虛擬機交互的權限。

圖1 查看角色

圖2 vSphere 清單層次結構

使用administ rator@vsphere.local 賬戶登錄vCenter Server，在“系統管理→訪問控制→角色”中查 看vCenter 默認創建的角色及分配的權限，如圖1 所示。

vCenter Serv er 允許通過權限和角色對授權進行精細控制。向vCenter Server對象層次結構中的對象分配權限時，請指定哪個用戶或組對該對象具有哪些特權。要指定特權，應使用角色（即特權集）。

最初僅vCenter Single Sign-On 域的管理員用戶（默認為 administrator@vspher e.local）有權登錄到 vCent er Server 系統。授權后，該用戶可執行如下操作：

1.將在其中定義了用戶和組的標識源添加到vCenter Single Sign-On中。

2.向用戶或組授予特權，方法是選擇虛擬機或vCenter Server 系統等對象并將針對該對象的角色分配給相應的用戶或組。

可以將vCenter Server加入Active Directory 中，然后在Active Directory 中創建用戶，并添加到vCenter Server 中，為其分配權限。也可以使用vCenter Server Appliance 所在系統創建本地用戶并為其分配權限。

vSphere 清單層次結構如圖2 所 示。vCenter Server 管理員可以為這些對象分配權限。

許多任務需要清單中多個對象的權限。如果嘗試執行任務的用戶僅具有一個對象的特權，則無法成功完成該任務。vSphere權限較多。

創建本地用戶賬戶

要為不同的用戶分配權限，需要有不同的用戶和用戶組。在分配用戶時，可以使用vCenter Server 所依賴的操作系統的用戶賬戶，也可以將vCenter Server 添加到Active Directory，使 用Active Directory 用戶賬戶。

如果vCenter Server 安裝在Windows 操作系統，可以使用Windows 操作系統的本地計算機賬戶；如果vCenter Server Appliance運行在Linux 平臺上，可以使用所屬的Linux 用戶賬 戶。在vCenter Server Appliance 中，可以使用其本身的Linux 系統賬戶。首先介紹在vCenter Server Appliance 中創建用戶賬戶的方法和步驟。

1.使用vSphere Client登錄到vCenter Server，在“系統管理→Single Sign On →用戶和組”中“用戶”選項卡中的“域”下拉列表中選擇vSphere.local，單擊“添加用戶”。

2.在“添加用戶”對話框中的“用戶名”中輸入新添加的用戶名，本示例為view，在“密碼”與“確認密碼”密碼欄中為新建用戶設置密碼（需要是復雜密碼），在“名字”文本框中為新建用戶設置名字，本示例為只讀管理員，設置之后單擊“添加”按鈕完成用戶的創建。

3.參 照1 至2的步驟，再次創建三個用戶，本示例為admin-mg、admin-ser、ad min-test，這三個用戶準備用于manage、server、test 三個資源池。

全局只讀管理員

vSphere 中的權限較多、劃分較細。本章從管理與使用的角度，通過案例的方式介紹vSphere的權限管理內容。本節先介紹第一個案例：某用戶可以從全局的角度“看”到當前的虛擬化架構，但不能對任何虛擬機、網絡、數據做任何的更改。簡單來說，創建一個全局“只讀”管理員用戶。本示例中將把用戶添加為“只讀”管理員。

1.使用vSphere Client登錄到vCenter Server，在“主機和群集”選項中單 擊“vc.heinfo.edu.cn”(vCenter Server 根域)這一級，在“權限”選項卡中單擊＋。

2.在“添加權限”對話框中，在“用戶”下拉列表中選擇vsphere.local，在 后面輸入要添加的用戶名，本示例為view，在“角色”下拉列表中選擇“只讀”，選中“傳播到子對象”，單擊“確定”。

3.添加后，可以單擊＋繼續添加，也可以選擇添加的用戶，單擊進行修改，或者單擊“×”刪除選定的用戶。

在添加了權限之后，注銷當前的SSO 管理員賬戶administrator@vsphere.local，使 用view@vsphere.local 登錄。

登錄之后可以看到，當前登錄的用戶view@vsphere.local 可以查看到所有的資源，但不能操作任何具體的資源。

資源池超級管理員賬戶

在當前的演示環境中有5 臺ESXi 主機組成vSphere群集，在群集中創建了3 個資 源池，分別 是Manage、Server、Test。在本示例中將名為admin-ser的用戶分配給Server 資源池，對該資源池有完全的控制權，并且能啟動、關閉、刪除該資源池中的虛擬機，在資源池創建虛擬機、修改虛擬機的配置，并為這個資源池的虛擬機分配VLAN2001、VLAN2002 網絡。下面介紹配置的方法。

1.使用vSphere Client登錄到vCenter Server，在“主機和群集”中單擊名為Server的資源池，在“權限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

2.在“虛擬機和模板”文件夾用鼠標右鍵單擊名為Datacenter的數據中心，在彈出的快捷菜單中選擇“新建文件夾→新建虛擬機和模板文件夾”，創建一個名為VM-Server的文件夾用于資源池。

3.選擇VM-Server的文件夾，在“權限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

4.如果要為允許用戶使用模板、從模板部署虛擬機，需要為模板所在的文件夾分配“只讀”角色并允許傳播到子對象。在本示例中，名為Win7X_Ent_TP 保存在VM-TP的文件夾中，在“權限”中添加名為admin-ser的用戶，為其分配“只讀”角色，并選中“傳播到子對象”。

5.選擇名為Win7X_Ent_TP的模板，在“權限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

6.在“存 儲”文件夾中選擇vsanDatastore 存儲，在“權限”中添加名為admin-ser的用戶，為其分配“數據存儲使用者”角色，并選中“傳播到子對象”。

7.在“網絡”文件夾選擇VLAN2001的分布式端口組，在“權限”中添加名為admin-ser的用戶，為其分配“網絡管理員”角色，并選中“傳播到子對象”。

8.選 擇VLAN2002的 分布式端口組，在“權限”中添加名為admin-ser的用戶，為其分配“網絡管理員”角色，并選中“傳播到子對象”。

在為admin-ser 分配權限之后，注銷當前管理員賬戶administrator@vsphere.local 并換用admin-ser@vsphere.local 登錄，登錄之后可以看到，當前用戶可以對server 資源池的虛擬機進行所有操作，開、關機，修改虛擬機刪除，添加或刪除虛擬機，新建虛擬機、從模板部署虛擬機、修改虛擬機配置等操作。

下面測試從模板創建虛擬機的功能，主要步驟如下。

1.選擇從模板部署虛擬機，在“選擇模板”對話框中的“數據中心”選項卡中，在“VM-TP”文件夾中選擇Win7X_Ent_TP 模板虛擬機。

2.在“選擇名稱和文件夾”對話框中的“虛擬機名稱”文本框中，為新建虛擬機設置名稱，本示例為Win7X-02，在“為該虛擬機選擇位置”中選擇VM-Server文件夾。

3.在“自定義硬件”對話框中為虛擬機選擇網絡（本示例為VLAN2001）、為虛擬機分配CPU 與內存、硬盤空間。

4.在“即將完成”對話框中顯示了從模板部署虛擬機的選項，檢查無誤之后單擊“Finish”按鈕。然后等待虛擬機部署完成。

資源池管理員賬戶

在本示例中將名為admin-mg的用戶分配給Manage 資源池，對該資源池中的虛擬機有管理員權限：打開、關閉虛擬機電源、重置、掛起虛擬機，可以修改虛擬機的CPU、內存、不能修改虛擬機網絡。

使用vSphere Client 登錄到vCenter Server，在“主機和群集”中單擊名為Manag e的資源池，在“權限”中添加名為admin-mg的用戶，為其分配“虛擬機超級用戶”角色，并選中“傳播到子對象”。

對于虛擬機和模板、存儲、網絡文件夾不需要分配權限。分配權限之后，使用admin-mg@vsphere.local 登錄進行驗證，這些不再一一介紹。

除對資源池進行分配外，還可以選擇某臺虛擬機對其分配權限，其分配方式與為資源池分配類似。