添加ESXi主機(jī)管理員賬戶

在一個(gè)大型的vSphere虛擬化平臺(tái)架構(gòu)中，一定有很多部ESXi主機(jī)，甚至于有多部的vCenter Server分散在不同的地理位置，來分散管理所有的ESXi主機(jī)與虛擬機(jī)，因此，系統(tǒng)管理人員肯定不會(huì)只有一位。一般而言，企業(yè)總部的系統(tǒng)管理人員，通常擁有所有vCenter與ESXi主機(jī)的管理權(quán)限，而各分支機(jī)構(gòu)的IT人員則可能只會(huì)有特定ESXi主機(jī)的管理權(quán)限，如此才能夠做到按不同層級(jí)權(quán)限，來劃分虛擬化平臺(tái)的管理范圍。怎么實(shí)現(xiàn)呢？接下來就讓我們來學(xué)習(xí)一下，如何為不同的ESXi主機(jī)加入其她系統(tǒng)管理人員。

這部分的配置可以從vSphere Client或vSphere Web Client來完成。首先請(qǐng)?jiān)趘Sphere Client開啟ESXi主機(jī)“用戶”頁面，接著，只要在任一空白處按下鼠標(biāo)右鍵，點(diǎn)擊“添加”。在“添加使用者”頁面中，請(qǐng)輸入新使用者的登錄賬戶、描述名稱以及兩次的密碼設(shè)置即可。點(diǎn)擊“確定”。

切換到“權(quán)限”頁面，并在任一空白處按下鼠標(biāo)右鍵，點(diǎn)擊“添加權(quán)限”，此時(shí)便會(huì)開啟“指派權(quán)限”頁面。在此，點(diǎn)擊“添加”按鈕來挑選所要設(shè)置權(quán)限的賬戶，然后再從右邊窗格中挑選所要賦予的權(quán)限即可。

值得注意的是，您可以給予人員的權(quán)限劃分得更細(xì)，例如，您可以讓此人員僅擁有管理儲(chǔ)存連接的配置，或是僅能夠管理分布式交換器與主機(jī)設(shè)置文件等。

相同的配置方式在vSphere Web Client中一樣可以完成的。您只要在ESXi主機(jī)的節(jié)點(diǎn)中，點(diǎn)擊位于“管理→權(quán)限”頁面中的添加圖示，便會(huì)開啟人員的挑選頁面，選取后再點(diǎn)擊“添加”，即可指派管理員的角色，以及決定可管理的權(quán)限范圍。在“權(quán)限”的管理頁面中，您可以隨時(shí)修改或添加任一權(quán)限配置。

限制使用SSH連接ESXi主機(jī)

盡管在ESXi主機(jī)的Console端管理中，可以啟用遠(yuǎn)程SSH的連接功能，但考慮安全性問題，您可能會(huì)想要僅允許讓特定的來源IP地址可以連接登錄，而這個(gè)來源IP地址列表，肯定是相關(guān)管理人員計(jì)算機(jī)的固定IP地址。

想要完成這項(xiàng)限制設(shè)置很簡單，請(qǐng)登錄vSphere Web Client并點(diǎn)擊至所要設(shè)置主機(jī)的“管理→設(shè)置”頁面，然后在“系統(tǒng)→安全性設(shè)置”頁面中選取編輯“SSH服務(wù)器”的設(shè)置，在默認(rèn)的狀態(tài)下，是允許從任何IP地址連接的，您只要先將該設(shè)置取消，然后以逗號(hào)分隔多個(gè)允許連接的來源IP地址即可。

完成“SSH服務(wù)器”的安全性設(shè)置之后，您可以嘗試從一臺(tái)不被允許的來源IP地址之計(jì)算機(jī)，以像是PieTTY的工具來進(jìn)行連接，這時(shí)候便會(huì)看到無法連接之類的錯(cuò)誤提示信息。

限制管理人員連接登錄方式

在您企業(yè)的vSphere架構(gòu)中，可能有根據(jù)不同的管理人員，來分配管理的權(quán)限范圍，例如某些人只能管理特定的ESXi主機(jī)或虛擬機(jī)，某些人則是只能夠進(jìn)行只讀查看與一般操作，而無法修改任何配置。無論管理的權(quán)責(zé)如何劃分，若能夠強(qiáng)制讓所有管理人員都能夠統(tǒng)一經(jīng)由vSphere Web Client的方式，來連接管理所有的群集、ESXi主機(jī)、虛擬機(jī)以及儲(chǔ)存設(shè)備等對(duì)象，在虛擬化平臺(tái)整體安全性的管理上肯定會(huì)是最理想的。

在接下來的介紹中，筆者將以設(shè)置vCenter下的一部ESXi主機(jī)為例，然而在實(shí)際的環(huán)境之中，您應(yīng)該幫每一部位于vCenter下的ESXi主機(jī)均完成這項(xiàng)設(shè)置。請(qǐng)?jiān)趘Sphere Web Client管理界面中點(diǎn)擊至要管理的ESXi主機(jī)節(jié)點(diǎn)，然后切換至“管理→設(shè)置”頁簽下的“系統(tǒng)→安全性設(shè)置”頁面中。在找到“鎖定模式”區(qū)域之中點(diǎn)擊它的“編輯”按鈕繼續(xù)。在此您可以選定所要采用的鎖定模式，分別有正常與嚴(yán)格兩種，前者不會(huì)鎖定從本地服務(wù)器命令主控，以及通過vCenter Server的登錄管理。至于后者便只會(huì)允許通過vCenter Server的連接管理。我們以選擇“嚴(yán)格”為例，點(diǎn)擊“例外使用者”繼續(xù)。

在“例外使用者”頁面中，建議您可以加入例外的管理員清單，也就是說這一些管理員并不會(huì)受到上述嚴(yán)格鎖定模式的影響，而能夠繼續(xù)使用原有的各種界面來管理ESXi主機(jī)。在設(shè)置了嚴(yán)格鎖定模式之后，您可以先嘗試從服務(wù)端的命令控制臺(tái)，來以非例外的管理員賬戶進(jìn)行登錄，此時(shí)便會(huì)出現(xiàn)Authentication Denied的錯(cuò)誤信息而無法登錄。

緊接著，您可以改使用vSphere Client來遠(yuǎn)程連接登錄此ESXi主機(jī)，便會(huì)發(fā)現(xiàn)同樣出現(xiàn)了“您不具有登錄此服務(wù)器的權(quán)限”的錯(cuò)誤信息。最后，您可以改用例外管理員的賬戶，來登錄上述的兩種管理界面，便會(huì)發(fā)現(xiàn)是可以順利進(jìn)行登錄的。