編者按：vCenter Server 默認(rèn)管理員賬戶是administr ator@vsphere.local，此賬戶對vCenter Server 及vC enterServer 下的數(shù)據(jù)中心、群集、ESXi 主機(jī)、虛擬機(jī)、虛擬機(jī)網(wǎng)絡(luò)、存儲等具有所有權(quán)限。該權(quán)限的大小，關(guān)系著系統(tǒng)的操作及安全問題，本文將介紹該權(quán)限的管理方法，希望對讀者有所啟發(fā)。

vCenter Ser ver 默認(rèn)管理員賬戶是adminis trator@vsphere.local，如果在日常的管理中使用此賬戶，該賬戶權(quán)限“過大”，如果配置不當(dāng)或者誤操作可能會對系統(tǒng)造成影響。在企業(yè)虛擬化環(huán)境中的日常管理中，應(yīng)該將管理員分級，為不同的管理配置不同的用戶并分配不同的權(quán)限。vCenter Server 提供的角色分以下幾類。

1.管理員。對vSphere具有完全的權(quán)限，默認(rèn)賬戶為administrator@vsphere.local。

2.只讀。可以瀏覽、查看vSphere 中所有對象，不能更改對象的狀態(tài)。

3.虛擬機(jī)用戶。與虛擬機(jī)交互的權(quán)限，包括打開與關(guān)閉虛擬機(jī)的電源、安裝VMware Tools、控制臺交互、配置CD 媒體、掛起或重置虛擬機(jī)、修改任務(wù)、創(chuàng)建任務(wù)、移除任務(wù)、運行任務(wù)、取消任務(wù)等操作。

4.虛擬機(jī)超級管理員。除了虛擬機(jī)用戶權(quán)限外還包括快照管理、更改虛擬機(jī)配置、瀏覽數(shù)據(jù)存儲權(quán)限。

5.資源池管理員。警報、修改權(quán)限、瀏覽數(shù)據(jù)存儲、文件夾管理、資源、調(diào)度任務(wù)、虛擬機(jī)超級管理員、虛擬機(jī)置備等權(quán)限。

6.數(shù)據(jù)存儲使用者。在存儲中有分配空間的權(quán)限。

7.網(wǎng)絡(luò)管理員。分配網(wǎng)絡(luò)的權(quán)限。

8.虛擬機(jī)控制臺用戶。與虛擬機(jī)交互的權(quán)限。

圖1 查看角色

圖2 vSphere 清單層次結(jié)構(gòu)

使用administ rator@vsphere.local 賬戶登錄vCenter Server，在“系統(tǒng)管理→訪問控制→角色”中查 看vCenter 默認(rèn)創(chuàng)建的角色及分配的權(quán)限，如圖1 所示。

vCenter Serv er 允許通過權(quán)限和角色對授權(quán)進(jìn)行精細(xì)控制。向vCenter Server對象層次結(jié)構(gòu)中的對象分配權(quán)限時，請指定哪個用戶或組對該對象具有哪些特權(quán)。要指定特權(quán)，應(yīng)使用角色（即特權(quán)集）。

最初僅vCenter Single Sign-On 域的管理員用戶（默認(rèn)為 administrator@vspher e.local）有權(quán)登錄到 vCent er Server 系統(tǒng)。授權(quán)后，該用戶可執(zhí)行如下操作：

1.將在其中定義了用戶和組的標(biāo)識源添加到vCenter Single Sign-On中。

2.向用戶或組授予特權(quán)，方法是選擇虛擬機(jī)或vCenter Server 系統(tǒng)等對象并將針對該對象的角色分配給相應(yīng)的用戶或組。

可以將vCenter Server加入Active Directory 中，然后在Active Directory 中創(chuàng)建用戶，并添加到vCenter Server 中，為其分配權(quán)限。也可以使用vCenter Server Appliance 所在系統(tǒng)創(chuàng)建本地用戶并為其分配權(quán)限。

vSphere 清單層次結(jié)構(gòu)如圖2 所 示。vCenter Server 管理員可以為這些對象分配權(quán)限。

許多任務(wù)需要清單中多個對象的權(quán)限。如果嘗試執(zhí)行任務(wù)的用戶僅具有一個對象的特權(quán)，則無法成功完成該任務(wù)。vSphere權(quán)限較多。

創(chuàng)建本地用戶賬戶

要為不同的用戶分配權(quán)限，需要有不同的用戶和用戶組。在分配用戶時，可以使用vCenter Server 所依賴的操作系統(tǒng)的用戶賬戶，也可以將vCenter Server 添加到Active Directory，使 用Active Directory 用戶賬戶。

如果vCenter Server 安裝在Windows 操作系統(tǒng)，可以使用Windows 操作系統(tǒng)的本地計算機(jī)賬戶；如果vCenter Server Appliance運行在Linux 平臺上，可以使用所屬的Linux 用戶賬 戶。在vCenter Server Appliance 中，可以使用其本身的Linux 系統(tǒng)賬戶。首先介紹在vCenter Server Appliance 中創(chuàng)建用戶賬戶的方法和步驟。

1.使用vSphere Client登錄到vCenter Server，在“系統(tǒng)管理→Single Sign On →用戶和組”中“用戶”選項卡中的“域”下拉列表中選擇vSphere.local，單擊“添加用戶”。

2.在“添加用戶”對話框中的“用戶名”中輸入新添加的用戶名，本示例為view，在“密碼”與“確認(rèn)密碼”密碼欄中為新建用戶設(shè)置密碼（需要是復(fù)雜密碼），在“名字”文本框中為新建用戶設(shè)置名字，本示例為只讀管理員，設(shè)置之后單擊“添加”按鈕完成用戶的創(chuàng)建。

3.參 照1 至2的步驟，再次創(chuàng)建三個用戶，本示例為admin-mg、admin-ser、ad min-test，這三個用戶準(zhǔn)備用于manage、server、test 三個資源池。

全局只讀管理員

vSphere 中的權(quán)限較多、劃分較細(xì)。本章從管理與使用的角度，通過案例的方式介紹vSphere的權(quán)限管理內(nèi)容。本節(jié)先介紹第一個案例：某用戶可以從全局的角度“看”到當(dāng)前的虛擬化架構(gòu)，但不能對任何虛擬機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)做任何的更改。簡單來說，創(chuàng)建一個全局“只讀”管理員用戶。本示例中將把用戶添加為“只讀”管理員。

1.使用vSphere Client登錄到vCenter Server，在“主機(jī)和群集”選項中單 擊“vc.heinfo.edu.cn”(vCenter Server 根域)這一級，在“權(quán)限”選項卡中單擊＋。

2.在“添加權(quán)限”對話框中，在“用戶”下拉列表中選擇vsphere.local，在 后面輸入要添加的用戶名，本示例為view，在“角色”下拉列表中選擇“只讀”，選中“傳播到子對象”，單擊“確定”。

3.添加后，可以單擊＋繼續(xù)添加，也可以選擇添加的用戶，單擊進(jìn)行修改，或者單擊“×”刪除選定的用戶。

在添加了權(quán)限之后，注銷當(dāng)前的SSO 管理員賬戶administrator@vsphere.local，使 用view@vsphere.local 登錄。

登錄之后可以看到，當(dāng)前登錄的用戶view@vsphere.local 可以查看到所有的資源，但不能操作任何具體的資源。

資源池超級管理員賬戶

在當(dāng)前的演示環(huán)境中有5 臺ESXi 主機(jī)組成vSphere群集，在群集中創(chuàng)建了3 個資 源池，分別 是Manage、Server、Test。在本示例中將名為admin-ser的用戶分配給Server 資源池，對該資源池有完全的控制權(quán)，并且能啟動、關(guān)閉、刪除該資源池中的虛擬機(jī)，在資源池創(chuàng)建虛擬機(jī)、修改虛擬機(jī)的配置，并為這個資源池的虛擬機(jī)分配VLAN2001、VLAN2002 網(wǎng)絡(luò)。下面介紹配置的方法。

1.使用vSphere Client登錄到vCenter Server，在“主機(jī)和群集”中單擊名為Server的資源池，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

2.在“虛擬機(jī)和模板”文件夾用鼠標(biāo)右鍵單擊名為Datacenter的數(shù)據(jù)中心，在彈出的快捷菜單中選擇“新建文件夾→新建虛擬機(jī)和模板文件夾”，創(chuàng)建一個名為VM-Server的文件夾用于資源池。

3.選擇VM-Server的文件夾，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

4.如果要為允許用戶使用模板、從模板部署虛擬機(jī)，需要為模板所在的文件夾分配“只讀”角色并允許傳播到子對象。在本示例中，名為Win7X_Ent_TP 保存在VM-TP的文件夾中，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“只讀”角色，并選中“傳播到子對象”。

5.選擇名為Win7X_Ent_TP的模板，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“管理員”角色，并選中“傳播到子對象”。

6.在“存 儲”文件夾中選擇vsanDatastore 存儲，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“數(shù)據(jù)存儲使用者”角色，并選中“傳播到子對象”。

7.在“網(wǎng)絡(luò)”文件夾選擇VLAN2001的分布式端口組，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“網(wǎng)絡(luò)管理員”角色，并選中“傳播到子對象”。

8.選 擇VLAN2002的 分布式端口組，在“權(quán)限”中添加名為admin-ser的用戶，為其分配“網(wǎng)絡(luò)管理員”角色，并選中“傳播到子對象”。

在為admin-ser 分配權(quán)限之后，注銷當(dāng)前管理員賬戶administrator@vsphere.local 并換用admin-ser@vsphere.local 登錄，登錄之后可以看到，當(dāng)前用戶可以對server 資源池的虛擬機(jī)進(jìn)行所有操作，開、關(guān)機(jī)，修改虛擬機(jī)刪除，添加或刪除虛擬機(jī)，新建虛擬機(jī)、從模板部署虛擬機(jī)、修改虛擬機(jī)配置等操作。

下面測試從模板創(chuàng)建虛擬機(jī)的功能，主要步驟如下。

1.選擇從模板部署虛擬機(jī)，在“選擇模板”對話框中的“數(shù)據(jù)中心”選項卡中，在“VM-TP”文件夾中選擇Win7X_Ent_TP 模板虛擬機(jī)。

2.在“選擇名稱和文件夾”對話框中的“虛擬機(jī)名稱”文本框中，為新建虛擬機(jī)設(shè)置名稱，本示例為Win7X-02，在“為該虛擬機(jī)選擇位置”中選擇VM-Server文件夾。

3.在“自定義硬件”對話框中為虛擬機(jī)選擇網(wǎng)絡(luò)（本示例為VLAN2001）、為虛擬機(jī)分配CPU 與內(nèi)存、硬盤空間。

4.在“即將完成”對話框中顯示了從模板部署虛擬機(jī)的選項，檢查無誤之后單擊“Finish”按鈕。然后等待虛擬機(jī)部署完成。

資源池管理員賬戶

在本示例中將名為admin-mg的用戶分配給Manage 資源池，對該資源池中的虛擬機(jī)有管理員權(quán)限：打開、關(guān)閉虛擬機(jī)電源、重置、掛起虛擬機(jī)，可以修改虛擬機(jī)的CPU、內(nèi)存、不能修改虛擬機(jī)網(wǎng)絡(luò)。

使用vSphere Client 登錄到vCenter Server，在“主機(jī)和群集”中單擊名為Manag e的資源池，在“權(quán)限”中添加名為admin-mg的用戶，為其分配“虛擬機(jī)超級用戶”角色，并選中“傳播到子對象”。

對于虛擬機(jī)和模板、存儲、網(wǎng)絡(luò)文件夾不需要分配權(quán)限。分配權(quán)限之后，使用admin-mg@vsphere.local 登錄進(jìn)行驗證，這些不再一一介紹。

除對資源池進(jìn)行分配外，還可以選擇某臺虛擬機(jī)對其分配權(quán)限，其分配方式與為資源池分配類似。