遠(yuǎn)程直接管理運(yùn)維VMware虛擬機(jī)

1. 使 用vCenter Server遠(yuǎn)程管理運(yùn)維虛擬機(jī)

如果給vCenter Server分配了公網(wǎng)地址，管理員就可以使用vSphere Web Client、VMware vSphere Client、VMware Workstation登錄 vCenter Server，管理其下的所有虛擬機(jī)（如圖1）。

VMware支持管理員通過(guò)移動(dòng)終端設(shè)備管理VMware vCenter Serevr。移動(dòng)終端無(wú)論采用iOS系統(tǒng)還是Android系統(tǒng)，都有對(duì)應(yīng)版本的View Client。只要在移動(dòng)終端上安裝了View Client，就可以用View Client登錄vCenter Server，管理其下的虛擬機(jī)。如果安裝的vCenter Server是6.5以上的版本，還可通過(guò)瀏覽器登錄，和在電腦上登錄vCenter Server所用工具一樣，也是基于瀏覽器的管理工具“vSphere Web Client”。

圖1 用vCenter Server管理虛擬機(jī)和主機(jī)

圖2 vCenter用戶(hù)和組管理

借 助vCenter Server管理虛擬機(jī)，有其他遠(yuǎn)程操控方式不可比擬的優(yōu)勢(shì)。此方式既不需要在虛擬機(jī)上開(kāi)啟遠(yuǎn)程訪(fǎng)問(wèn)端口，也不需要在虛擬機(jī)上安裝任何遠(yuǎn)程控制軟件。管理員還可以根據(jù)運(yùn)維管理人員的角色定位創(chuàng)建用戶(hù)賬戶(hù)，分配相應(yīng)的訪(fǎng)問(wèn)權(quán)限和范圍（如圖2）。例如，可以為某軟件供應(yīng)商的技術(shù)支持人員創(chuàng)建單獨(dú)的賬號(hào)，讓他只能運(yùn)維管理自己的虛擬機(jī)。

vCenter Server的角色和權(quán)限管理功能非常強(qiáng)大，可以自由創(chuàng)建角色、更改角色的權(quán)限，權(quán)限內(nèi)容非常豐富，有31個(gè)大類(lèi)，虛擬機(jī)權(quán)限僅僅是其中的一類(lèi)。圖3列出的權(quán)限只是虛擬機(jī)操作權(quán)限的一部分，管理員可以控制某個(gè)角色是否能夠修改設(shè)備設(shè)置、能否添加內(nèi)存、能否對(duì)客戶(hù)機(jī)進(jìn)行操作等近三十項(xiàng)配置權(quán)限。

創(chuàng)建或配置好角色后，就可以對(duì)某個(gè)對(duì)象添加或修改權(quán)限，權(quán)限添加內(nèi)容不僅可以指定訪(fǎng)問(wèn)該對(duì)象的用戶(hù)，還可以為該用戶(hù)分配角色。這里的對(duì)象既包括虛擬機(jī)，也包括數(shù)據(jù)中心等其他對(duì)象。比如，管理員為甲公司技術(shù)支持只分配了虛擬機(jī)A的訪(fǎng)問(wèn)最小權(quán)限，那該技術(shù)支持登錄到vCenter Server后，是看不到其他虛擬機(jī)的，也不能修改虛擬機(jī)的配置，只能在其負(fù)責(zé)的虛擬機(jī)上進(jìn)行相應(yīng)的操作。因此，vCenter Server幾乎適合所有運(yùn)維管理人員，也包括非本單位運(yùn)維管理人員，如軟件、服務(wù)器、存儲(chǔ)等提供商的技術(shù)支持人員。

2.采用遠(yuǎn)程桌面連接方式管理虛擬機(jī)

圖3 vCenter角色創(chuàng)建及權(quán)限分配

遠(yuǎn)程桌面連接是遠(yuǎn)程運(yùn)維管理服務(wù)器最常見(jiàn)的方式之一。因遠(yuǎn)程桌面連接需要在被運(yùn)維管理的服務(wù)器上開(kāi)放端口及公網(wǎng)IP，因此，遠(yuǎn)程桌面連接的應(yīng)用范圍有限，一般只有單位內(nèi)部人員在局域網(wǎng)內(nèi)使用。也有部分單位的管理員為了獲得產(chǎn)品的技術(shù)支持，臨時(shí)開(kāi)放端口，映射公網(wǎng)地址，讓產(chǎn)品的技術(shù)支持人員以遠(yuǎn)程桌面連接的方式對(duì)產(chǎn)品進(jìn)行升級(jí)或排查故障。

3.利用第三方遠(yuǎn)程工具管理虛擬機(jī)

在被運(yùn)維管理虛擬機(jī)上安裝 TeamViewer、XT800之類(lèi)的遠(yuǎn)程控制軟件，當(dāng)然，在本地也要安裝相應(yīng)的遠(yuǎn)程控制軟件，只要雙方能連接到這些遠(yuǎn)程控制軟件的服務(wù)器，獲得授權(quán)碼，就可以通過(guò)授權(quán)碼遠(yuǎn)程控制虛擬機(jī)，實(shí)現(xiàn)遠(yuǎn)程運(yùn)維。此種方式不需要開(kāi)放端口，被管理的虛擬機(jī)也不需要有公網(wǎng)地址。缺點(diǎn)有三，一是需要在被管理的虛擬機(jī)上安裝遠(yuǎn)程運(yùn)維工具，占用服務(wù)器資源；二是需要登錄遠(yuǎn)程控制軟件提供商的服務(wù)器，獲得授權(quán)碼或ID，如果訪(fǎng)問(wèn)不了遠(yuǎn)程控制軟件提供商的服務(wù)器，遠(yuǎn)程操控將無(wú)法進(jìn)行；三是這些遠(yuǎn)程控制軟件很容易被黑客修改，如果安裝的是被黑客修改過(guò)遠(yuǎn)程控制軟件，其后果是難以想象的。因此，下載此類(lèi)軟件，一定要到官網(wǎng)下載。

4.借助聊天工具協(xié)助管理虛擬機(jī)

有少部分管理員，為了讓技術(shù)支持人員解決問(wèn)題，在被運(yùn)維的虛擬機(jī)上臨時(shí)安裝QQ、MSN等聊天工具，再利用聊天工具上的遠(yuǎn)程控制或遠(yuǎn)程協(xié)助功能實(shí)現(xiàn)遠(yuǎn)程運(yùn)維。采用方式，管理端和運(yùn)維端都需要人員，而且雙方必須是好友。

以遠(yuǎn)程管理機(jī)為跳板，本地管理虛擬機(jī)

1.以QQ遠(yuǎn)程協(xié)助為跳板工具，用遠(yuǎn)程桌面連接管理虛擬機(jī)

QQ+遠(yuǎn)程桌面連接是一種組合的遠(yuǎn)程運(yùn)維管理方式。需要對(duì)方提供技術(shù)支持時(shí)，對(duì)方人員可以通過(guò)聊天工具遠(yuǎn)程控制管理員的電腦，把管理員的電腦當(dāng)作跳板，再通過(guò)遠(yuǎn)程桌面連接，遠(yuǎn)程操控虛擬機(jī)，實(shí)現(xiàn)虛擬機(jī)的遠(yuǎn)程運(yùn)維管理。

2.以QQ遠(yuǎn)程協(xié)助為跳板工具，本地使用vCenter管理虛擬機(jī)

此種運(yùn)維方式和上述方式類(lèi)似，只是本地管理從遠(yuǎn)程桌面連接改成了vCenter，也是一種臨時(shí)的遠(yuǎn)程運(yùn)維管理方式。采用此種方式的原因，一是單位部署的VMware vCenter Server可能沒(méi)有開(kāi)通外網(wǎng)訪(fǎng)問(wèn)，二是沒(méi)有為技術(shù)支持創(chuàng)建賬號(hào)，設(shè)置訪(fǎng)問(wèn)權(quán)限，因事情緊急而采用的臨時(shí)方式。

3.以第三方遠(yuǎn)程軟件為跳板工具，本地使用vCenter管理虛擬機(jī)

管理員可以創(chuàng)建一臺(tái)虛擬機(jī)（起堡壘機(jī)作用），安裝TeamViewer之類(lèi)的第三方遠(yuǎn)程工具和VMware vSphere Client。然后為產(chǎn)品提供商的技術(shù)支持人員創(chuàng)建vCenter賬號(hào)，分配好相應(yīng)權(quán)限。管理員告知技術(shù)支持人員vCenter賬號(hào)和第三方遠(yuǎn)程工具的授權(quán)碼后，對(duì)方就可以對(duì)所負(fù)責(zé)的產(chǎn)品進(jìn)行遠(yuǎn)程運(yùn)維管理了。用此種方式管理虛擬機(jī)，既可以監(jiān)控遠(yuǎn)程技術(shù)人員的操作，也可以讓遠(yuǎn)程技術(shù)支持人員放手操作。

創(chuàng)建VPN，虛擬機(jī)遠(yuǎn)程管理本地化

VPN是虛擬專(zhuān)用網(wǎng)絡(luò)的簡(jiǎn)稱(chēng)，就是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。VPN屬于遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)，它是利用公用網(wǎng)絡(luò)架設(shè)專(zhuān)用網(wǎng)絡(luò)，管理員即使在外地出差，也可以登錄VPN訪(fǎng)問(wèn)單位內(nèi)部的服務(wù)器。

1. 創(chuàng)建VPN連接

首先架設(shè)一臺(tái)VPN服務(wù)器，根據(jù)運(yùn)維管理需要，給需要遠(yuǎn)程管理服務(wù)器的人員創(chuàng)建對(duì)應(yīng)的VPN賬號(hào)。如果用PC、筆記本等設(shè)備遠(yuǎn)程操控虛擬機(jī)，桌面系統(tǒng)無(wú)論是Windows還是Linux，只要有VPN服務(wù)器的公網(wǎng)地址、VPN賬號(hào)和密碼，就可以創(chuàng)建VPN連接。

如果用移動(dòng)終端遠(yuǎn)程操控虛擬機(jī)，無(wú)論終端設(shè)備的操作系統(tǒng)是Android系統(tǒng)還是蘋(píng)果的iOS系統(tǒng)，都提供了VPN連接功能。用戶(hù)可以開(kāi)啟VPN功能，然后添加VPN即可。添加時(shí)需輸入VPN服務(wù)器地址、賬號(hào)和密碼。

2.虛擬機(jī)遠(yuǎn)程管理本地化

創(chuàng)建VPN連接后，若要將終端設(shè)備連接到單位的局域網(wǎng)，雙擊打開(kāi)VPN連接，登錄到VPN服務(wù)器后，就可以像在單位一樣，用自己的終端設(shè)備管理局域網(wǎng)內(nèi)的虛擬機(jī)。當(dāng)然，管理方式可以是遠(yuǎn)程桌面連接，也可以是vCenter，這要根據(jù)用戶(hù)喜好而定。

虛擬機(jī)遠(yuǎn)程運(yùn)維管理最佳途徑

筆者經(jīng)常需要遠(yuǎn)程管理維護(hù)VMware虛擬機(jī)，嘗試過(guò)多種遠(yuǎn)程管理運(yùn)維工具，也嘗試了上述幾種遠(yuǎn)程運(yùn)維方式。根據(jù)筆者體驗(yàn)的結(jié)果，遠(yuǎn)程管理維護(hù)VMware虛擬機(jī)的最佳途徑就是VPN+vCenter。

1.安全性高

首先，VPN的安全性很高。一是VPN采用128-bit及以上級(jí)別的非對(duì)稱(chēng)加密算法，可以保證數(shù)據(jù)在不安全信道上的安全傳輸。即使被中途截獲，也需要?jiǎng)佑镁薮蟮挠?jì)算力量才有可能解密。二是VPN連接與VPN服務(wù)器建立的是點(diǎn)對(duì)點(diǎn)的加密隧道連接，即使不同位置的用戶(hù)登錄到同一臺(tái)服務(wù)器上，用戶(hù)之間也不會(huì)互相獲得彼此傳輸?shù)臄?shù)據(jù)。三是服務(wù)器端是通過(guò)服務(wù)器的IP地址出口，不會(huì)透露用戶(hù)實(shí)際的IP地址等信息，可以確保用戶(hù)的匿名性。

其次，用vCenter管理虛擬機(jī)，必須先登錄到vCenter Server，而 vCenter采用的是單點(diǎn)登錄（Single Sign-On）方式進(jìn)行vSphere 身份驗(yàn)證，這是一種采用安全令牌交換機(jī)制的身份驗(yàn)證代理程序。用戶(hù)通過(guò)vCenter Single Sign-On進(jìn)行身份驗(yàn)證后，即可訪(fǎng)問(wèn)已被授權(quán)的vCenter服務(wù)（包括虛擬機(jī)）。vCenter對(duì)所有通信的流量都會(huì)進(jìn)行加密，而且只有經(jīng)過(guò)身份驗(yàn)證的用戶(hù)才被授予訪(fǎng)問(wèn)權(quán)限。

2.管理方便快捷

一是實(shí)現(xiàn)了虛擬機(jī)的集中管理，登錄到vCenter Server后，所有虛擬機(jī)都出現(xiàn)vCenter管理控制臺(tái)下，如果所管理的虛擬機(jī)比較多，還可以在虛擬機(jī)和模板視圖中創(chuàng)建文件夾，將虛擬機(jī)組織到文件夾層次結(jié)構(gòu)中，就像管理文件那樣管理虛擬機(jī)。二是可以進(jìn)行硬件底層管理，如開(kāi)關(guān)機(jī)、添加內(nèi)存和硬盤(pán)，放置光盤(pán)等。除此之外，還可以像管理本地物理機(jī)一樣，遠(yuǎn)程安裝操作系統(tǒng)，安裝或卸載軟件，停止或啟動(dòng)服務(wù)，這些都是用遠(yuǎn)程管理軟件進(jìn)行遠(yuǎn)程維護(hù)不能完成的工作。

3.管理方式多樣化

如果用PC、筆記本等設(shè)備管理維護(hù)虛擬機(jī)，VMware提供了VMware vSphere Client和VMware Workstation Pro兩款工具，功能都很強(qiáng)大。如果不想使用客戶(hù)端，還可以使用瀏覽器，通過(guò)vSphere Web Client遠(yuǎn)程管理維護(hù)虛擬機(jī)。

如果使用手機(jī)、平板等移動(dòng)終端管理維護(hù)虛擬機(jī)，Android系統(tǒng)可以使用VMware View，蘋(píng)果的iOS系統(tǒng)可以使用vSphere Client管理維護(hù)虛擬機(jī)。如果VMware vCenter升級(jí)到6.5，該版本提供了基于 HTML5 的vSphere Web Client，也就是說(shuō)，在移動(dòng)終端上也可以用瀏覽器管理維護(hù)虛擬機(jī)。

4.遠(yuǎn)程流暢清晰

雖然網(wǎng)絡(luò)帶寬越來(lái)越高，但網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，用“直連”的遠(yuǎn)程控制軟件遠(yuǎn)程操控虛擬機(jī)時(shí)，有時(shí)會(huì)出現(xiàn)卡頓，甚至出現(xiàn)連接錯(cuò)誤。筆者曾經(jīng)通過(guò)公網(wǎng)地址直接訪(fǎng)問(wèn) vCenter Server，遠(yuǎn)程操控時(shí)，卡頓現(xiàn)象就比較嚴(yán)重。而使用VPN連接到局域網(wǎng)后，登錄vCenter Server幾乎和在單位一樣，操作順暢，比TeamViewer遠(yuǎn)程控制軟件都流暢。據(jù)筆者估計(jì)，同樣的線(xiàn)路，出現(xiàn)這種差異，應(yīng)該和單位的防火墻有關(guān)。

經(jīng)驗(yàn)總結(jié)

遠(yuǎn)程運(yùn)維管理VMware虛擬機(jī)的辦法有很多，讀者可以根據(jù)實(shí)際情況，選擇適合自己的遠(yuǎn)程運(yùn)維管理辦法。安全起見(jiàn)，如果是單位內(nèi)部的管理員要遠(yuǎn)程運(yùn)維管理虛擬機(jī)，推薦采用VPN+vCenter的組合方式；如果是服務(wù)于本單位的技術(shù)支持人員要遠(yuǎn)程運(yùn)維管理，推薦使用“第三方遠(yuǎn)程工具+vCenter”的組合方式，采用此方式同樣是“雙保險(xiǎn)”，服務(wù)于本單位的技術(shù)支持人員想遠(yuǎn)程運(yùn)維管理虛擬機(jī)，既需要第三方遠(yuǎn)程工具的授權(quán)碼，也需要vCenter賬號(hào)。管理員還可以通過(guò)監(jiān)看“堡壘機(jī)”，全程監(jiān)看技術(shù)支持人員的操作。