vCenter Server默认管理员账户是administrator@vsphere.local,此账户对vCenter Server及vCenterServer下的数据中心、群集、ESXi主机、虚拟机、虚拟机网络、存储等具有所有权限。如果在日常的管理中使用此账户,该账户权限“过大”,如果配置不当或者误操作可能会对系统造成影响。在企业虚拟化环境中的日常管理中,应该将管理员分级,为不同的管理配置不同的用户并分配不同的权限。vCenter Server提供的角色分以下几类。

(1)管理员,对vSphere具有完全的权限,默认账户为administrator@vsphere.local。

(2)只读,可以浏览、查看vSphere中所有对象,不能更改对象的状态。

(3)虚拟机用户。与虚拟机交互的权限,包括打开与关闭虚拟机的电源、安装VMware Tools、控制台交互、配置CD媒体、挂起或重置虚拟机、修改任务、创建任务、移除任务、运行任务、取消任务等操作。

(4)虚拟机超级管理员。除了虚拟机用户权限外还包括快照管理、更改虚拟机配置、浏览数据存储权限。

(5)资源池管理员。警报、修改权限、浏览数据存储、文件夹管理、资源、调度任务、虚拟机超级管理员、虚拟机置备等权限。

(6)数据存储使用者。在存储中有分配空间的权限。

(7)网络管理员。分配网络的权限。

(8)虚拟机控制台用户。与虚拟机交互的权限。

使用administrator@vsphere.local账户登录vCenter Server,在“系统管理→访问控制→角色”中查看vCenter默认创建的角色及分配的权限,如图1所示。

image

vCenter Server 允许通过权限和角色对授权进行精细控制。向 vCenter Server 对象层次结构中的对象分配权限时,请指定哪个用户或组对该对象具有哪些特权。要指定特权,应使用角色(即特权集)。

最初仅 vCenter Single Sign-On 域的管理员用户(默认为 administrator@vsphere.local)有权登录到 vCenter Server 系统。授权后,该用户可以执行如下操作:

(1)将在其中定义了用户和组的标识源添加到 vCenter Single Sign-On 中。

(2)向用户或组授予特权,方法是选择虚拟机或 vCenter Server 系统等对象并将针对该对象的角色分配给相应的用户或组。

可以将vCenter Server加入Active Directory中,然后在Active Directory中创建用户,并添加到vCenter Server中,为其分配权限。也可以使用vCenter Server Appliance所在系统创建本地用户并为其分配权限。

vSphere 清单层次结构如图2所示。vCenter Server管理员可以为这些对象分配权限。

image

图2 vSphere清单层次结构

许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该任务。vSphere权限较多。本节通过案例的方式进行介绍。

1 创建本地用户账户

要为不同的用户分配权限,需要有不同的用户和用户组。在分配用户时,可以使用vCenter Server所依赖的操作系统的用户账户,也可以将vCenter Server添加到Active Directory,使用Active Directory用户账户。

如果vCenter Server安装在Windows操作系统,可以使用Windows操作系统的本地计算机账户;如果vCenter Server Appliance运行在Linux平台上,可以使用所属的Linux用户账户。在vCenter Server Appliance中,可以使用其本身的Linux系统账户。首先介绍在vCenter Server Appliance中创建用户账户的方法和步骤。

(1)使用vSphere Client登录到vCenter Server,在“系统管理→Single Sign On→用户和组”中“用户”选项卡中的“域”下拉列表中选择vSphere.local,单击“添加用户”,如图3所示。

image

图3 添加用户

(2)在“添加用户”对话框中的“用户名”中输入新添加的用户名,本示例为view,在“密码”与“确认密码”密码栏中为新建用户设置密码(需要是复杂密码),在“名字”文本框中为新建用户设置名字,本示例为只读管理员,设置之后单击“添加”按钮完成用户的创建,如图4所示。

image

图4 新建用户

(3)参照(1)至(2)的步骤,再次创建三个用户,本示例为admin-mg、admin-ser、admin-test,这三个用户准备用于manage、server、test三个资源池。

2 全局只读管理员

vSphere中的权限较多、划分较细。本章从管理与使用的角度,通过案例的方式介绍vSphere的权限管理内容。本节先介绍第一个案例:某用户可以从全局的角度“看”到当前的虚拟化架构,但不能对任何虚拟机、网络、数据做任何的更改。简单来说,创建一个全局“只读”管理员用户。在图4创建了一个名为view的用户,本示例中将把这个用户添加为“只读”管理员。

(1)使用vSphere Client登录到vCenter Server,在“主机和群集”选项中单击“vc.heinfo.edu.cn”(vCenter Server根域)这一级,在“权限”选项卡中单击+,如图6所示。

image

图6 添加用户

(2)在“添加权限”对话框中,在“用户”下拉列表中选择vsphere.local,在 后面输入要添加的用户名,本示例为view,在“角色”下拉列表中选择“只读”,选中“传播到子对象”,单击“确定”按钮,如图7所示。

image

图7 添加权限

(3)添加之后如图8所示。可以单击+继续添加,也可以选择添加的用户,单击 进行修改,或者单击×删除选定的用户。

在添加了权限之后,注销当前的SSO管理员账户administrator@vsphere.local,使用view@vsphere.local登录。

登录之后可以看到,当前登录的用户view@vsphere.local可以查看到所有的资源,但不能操作任何具体的资源,如图10所示。

image

图10 只读管理员

3 资源池超级管理员账户

在当前的演示环境中有5台ESXi主机组成vSphere群集,在群集中创建了3个资源池,分别是Manage、Server、Test。在本示例中将名为admin-ser的用户分配给Server资源池,对该资源池有完全的控制权,并且能启动、关闭、删除该资源池中的虚拟机,在资源池创建虚拟机、修改虚拟机的配置,并为这个资源池的虚拟机分配vlan2001、vlan2002网络。下面介绍配置的方法。

(1)使用vSphere Client登录到vCenter Server,在“主机和群集”中单击名为Server的资源池,在“权限”中添加名为admin-ser的用户,为其分配“管理员”角色,并选中“传播到子对象”,添加之后如图11所示。

image

图11 为Server资源池添加用户

(2)在“虚拟机和模板”文件夹用鼠标右键单击名为Datacenter的数据中心,在弹出的快捷菜单中选择“新建文件夹→新建虚拟机和模板文件夹”,创建一个名为VM-Server的文件夹用于资源池。

(3)选择VM-Server的文件夹,在“权限”中添加名为admin-ser的用户,为其分配“管理员”角色,并选中“传播到子对象”。

(4)如果要为允许用户使用模板、从模板部署虚拟机,需要为模板所在的文件夹分配“只读”角色并允许传播到子对象。在本示例中,名为Win7X_Ent_TP保存在VM-TP的文件夹中,在“权限”中添加名为admin-ser的用户,为其分配“只读”角色,并选中“传播到子对象”,如图14所示。

image

图14 为模板所在文件夹分配只读角色

(5)选择名为Win7X_Ent_TP的模板,在“权限”中添加名为admin-ser的用户,为其分配“管理员”角色,并选中“传播到子对象”,如图15所示。

image

图15 为模板分配管理员角色

(6)在“存储”文件夹中选择vsanDatastore存储,在“权限”中添加名为admin-ser的用户,为其分配“数据存储使用者”角色,并选中“传播到子对象”,如图16所示。

image

图16 为数据存储分配权限

(7)在“网络”文件夹选择vlan2001的分布式端口组,在“权限”中添加名为admin-ser的用户,为其分配“网络管理员”角色,并选中“传播到子对象”,如图17所示。

image

图17 为vlan2001端口组分配权限

(8)选择vlan2002的分布式端口组,在“权限”中添加名为admin-ser的用户,为其分配“网络管理员”角色,并选中“传播到子对象”。

在为admin-ser分配权限之后,注销当前管理员账户administrator@vsphere.local并换用admin-ser@vsphere.local登录,登录之后可以看到,当前用户可以对server资源池的虚拟机进行所有操作,开、关机,修改虚拟机删除,添加或删除虚拟机,新建虚拟机、从模板部署虚拟机、修改虚拟机配置等操作。

下面测试从模板创建虚拟机的功能,主要步骤如下。

(1)选择从模板部署虚拟机,在“选择模板”对话框中的“数据中心”选项卡中,在“VM-TP”文件夹中选择Win7X_Ent_TP的模板虚拟机,如图20所示。

image

图20 选择模板

(2)在“选择名称和文件夹”对话框中的“虚拟机名称”文本框中,为新建虚拟机设置名称,本示例为Win7X-02,在“为该虚拟机选择位置”中选择VM-Server文件夹。

(3)在“自定义硬件”对话框中为虚拟机选择网络(本示例为vlan2001)、为虚拟机分配CPU与内存、硬盘空间。

(4)在“即将完成”对话框中显示了从模板部署虚拟机的选项,检查无误之后单击“Finish”按钮。然后等待虚拟机部署完成。

4 资源池管理员账户

在本示例中将名为admin-mg的用户分配给Manage资源池,对该资源池中的虚拟机有管理员权限:打开、关闭虚拟机电源、重置、挂起虚拟机,可以修改虚拟机的CPU、内存、不能修改虚拟机网络。

使用vSphere Client登录到vCenter Server,在“主机和群集”中单击名为Manage的资源池,在“权限”中添加名为admin-mg的用户,为其分配“虚拟机超级用户”角色,并选中“传播到子对象”,添加之后如图25所示。对于虚拟机和模板、存储、网络文件夹不需要分配权限。

image

图25 为Manage资源池添加用户

分配权限之后,使用admin-mg@vsphere.local登录进行验证,这些不再一一介绍。

除了对资源池进行分配外,还可以选择某台虚拟机对其分配权限,其分配方式与为资源池分配类似,本例不再介绍。

说明:这是《VMware vSAN超融合企业应用实战》图书的部分内容,图书购买地址 https://item.jd.com/12842654.html