vSphere部署系列之011——vCenter权限管理

vSphere部署系列之11——vCenter权限管理

在前面的博文章节中已完成了整个vCenter运行环境的总体部署，接下来是有关运维方面的一些研究。这一章先讲一讲vCenter中的权限设置。

在vSphere中，权限由清单对象的用户或组和分配的角色组成，例如虚拟机或 ESX/ESXi主机。权限授予用户执行对象（向其分配了角色）上的角色所指定的活动的权限。

默认情况下，在全新安装中，只有用户[email protected] 才具有vCenter Single Sign-On 服务器上的管理员特权。单一的vsphere.local管理员，显然无法满足多人运维的应用场景，那么该如何设置，才能使得域用户或vCenter所在系统的本地用户被允许登录vCenter呢？下面有之前的实验环境中进行权限设置操作。

实验环境总体规划，请见前面的博文《vSphere部署系列之03——实验环境总体规划》。

▲总体规划网络拓扑图

一、准备工作

在本案的总体环境中，使用的域名为sqing.local，域控服务器主机名为sqdc01.sqing.local。

登录域控服务器（虚拟机sqdc01），在Active Directory用户和计算机中，创建一个名为VCusers的组织，并在里面新建vcadmin、vcuser01和vcuser02三个用户，这三个用户最终将被vCenter授权。

▲新建的域帐号

二、添加标识源

标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操作系统。安装后，vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源vpshere.local。此标识源是vCenter Single Sign-On的内部标识源。

域是用户和组的存储库，可以由vCenter Single Sign-On服务器用于用户身份验证。标识源允许将一个或多个域附加到 vCenter Single Sign-On。vSphere 5.5支持Active Directory 版本2003 及更高版本。本案Active Directory 版本为2008 R2。

本案的权限设置，主要也是在vSpherer Client连接vCenter Server的主界面中进行。但标识源的添加，在vClient中无法操作，只能登录到vSpherer Web Client中进行操作。

使用vsphere.local的administrator登录（输入vsphere.local\administrator或[email protected]都可以），以下是操作过程。

▲使用vCenter Single Sign-On管理员登录vSphere Web Client

▲默认进入的是“vCO主页”界面，单击左则上方的“主页”，将返回主页界面

▲主页界面，单击“系统管理”菜单，将进入系统管理页面

▲系统管理-配置页面，进入到“配置”选项，单击左上的“+”按钮，将弹出“添加标识源”对话框，其右则各按钮依次是编辑标识源、删除标识源、设置为默认域（要先选中一项非当前默认域）

可看到此时只有vsphere.local和SQVCENTER两个标识源，其中vsphere.local是vCenter Single Sign-On的内部标识源，不可删除。SQVCENTER（系统主机名）是本地操作系统标识源，可删除。

当前默认域为SQVCENTER（无论何时都只存在一个默认域）。来自非默认域的用户在登录时必须添加域名（域\用户）才能成功进行身份验证。

▲添加标识源对话框，标识源类型选择“Active Directory（已集成Windows身份验证）”，标识源设置中，选择“使用计算机帐户，并输入将要添加的域“sqing.local”。设置完成后，单击“确定”按钮，并返回到系统管理页面。

注：vCenter Single Sign-On 仅允许指定单个Active Directory 域作为标识源。该域可包含子域或作为林的根域。在vSphere Web Client中显示为 Active Directory (已集成Windows 身份验证)。

另外，vCenter Single Sign-On支持多个 Active Directory over LDAP 标识源，以便与vSphere 5.1 随附的vCenter Single Sign-On服务兼容。

▲系统管理-配置页面，可看到已添加了域“sqing.local”作为标识源

以上设置完成后，在系统管理-用户和组中，域的下拉列表会出现刚添加的域sqing.local，选择该域，将可查看该域中的用户。

▲系统管理-用户和组页面，可查看到之前在域中创建的vcadmin、vcuser01和 vcuser02三个用户。

接下来是设置，在vSphere Web Client也是可以操作的，笔者出于使用习惯，转到vSphere Client上进行操作。

三、添加权限

使用[email protected]登录vSphere Client。

在主机和群集列表中，选择数据中心（也可选择群集或主机，各项是有差别的，后文讲到），然后在右则内容框中切换到“权限”页面，便可查看并管理权限。

初始时，权限只开放给vsphere.local\administrator一个用户，其角色为“管理员”。vCenter Single Sign-On 管理员特权不同于vCenter Server系统或ESXi 主机上的管理员角色（此时使用SQVCENTER系统管理员是不能登录vSphere Client的，但可以登录到vSphere Web Client，不过没有管理员的操作权限）。

▲主界面-权限页面，右击弹出菜单中，选择“添加权限”将弹出“分配权限”对话框。

▲分配权限，单击“添加”按钮，将弹出“选择用户和组”对话框

▲选择用户和组，域下拉框中“（服务器）”下面的空间条目没显示出来，实际上是为“SQVCENTER”（本地系统），。“（服务器）”这一条目也等同于“SQVCENTER”。

这个界面与第二节中，vSphere Web Client中看到的“系统管理-用户和组”是一样的，如果没有在第二节中添加标识符sqing.local，这里域的下拉列表中将看不到域SQING。

▲选择用户和组，选定域SQING，然后在“用户和组”列表框中选择需要添加的用户，

一次可添加多个用户，双击将要添加的用户，将会出现在“用户”文本框中，这里选定vcadmin和vcuser01两个用户，单击“确定”按钮，返回上一级对话框。

▲分配权限

从以上三张图中，可看到“用户和组”列表中添加了vcadmin和vcuser01两个sqing.local域用户，其角色默认为“只读”。分别选中，然后在右则的“分配的角色”中进行角色权限设置。设置完成后，单击“确定”按钮，返回主界面。

从上面后两张图，可以看到管理员角色和虚拟机超级用户角色在“特权”上的区别，前者是所有特权，后者默认只勾选了“全局”、“数据存储”、“虚拟机”、“已调度任务”等特权，其他的特权选项可以根据实际情况手动勾选。

▲主界面-权限页面，可以看到vcadmin、vcuser01和vcuser02三个sqing.local域已授权。其角色分别为管理员、虚拟机超级用户和虚拟机用户。

▲单击菜单中的“属性”将弹出“更改访问规则”对话框

▲更改访问规则

在用户属性中可更改角色（只能是角色及其默认的权限勾选项，如果要手动勾选更多的权限，则需要删除，重新增加，在前面展示的步骤中手动勾选）。

四、授权用户的定义范围

群集、池、主机、虚拟机中的授权用户及其权限依次从上一级继承。上述的权限设置，是在数据中心SQ-DataCenter中设置的，这是vCenter管理结构中最高的级别。因此从数据中心一直到虚拟机，对sqing.local域中的vcadmin和vcuser01的授权是一样的。从“定义范围”一栏中可以看出。

在各级别中，可以删除本地对象授权的用户，但无法删除从上一级继承的授权用户。

下面在主机esxi02（10.1.241.22）中对sqing.local域用户vcuser02进行授权，以作区别。操作也是在[email protected]登录vSphere Client的界面中进行。