vSphere部署系列之11——vCenter权限管理

在前面的博文章节中已完成了整个vCenter运行环境的总体部署，接下来是有关运维方面的一些研究。这一章先讲一讲vCenter中的权限设置。

在vSphere中，权限由清单对象的用户或组和分配的角色组成，例如虚拟机或 ESX/ESXi主机。权限授予用户执行对象（向其分配了角色）上的角色所指定的活动的权限。

默认情况下，在全新安装中，只有用户administrator@vsphere.local 才具有vCenter Single Sign-On 服务器上的管理员特权。单一的vsphere.local管理员，显然无法满足多人运维的应用场景，那么该如何设置，才能使得域用户或vCenter所在系统的本地用户被允许登录vCenter呢？ 下面在之前的实验环境中进行权限设置操作。
实验环境总体规划，请见前面的博文《vSphere部署系列之03——实验环境总体规划》。


▲总体规划网络拓扑图


一、准备工作

在本案的总体环境中，使用的域名为sqing.local，域控服务器主机名为sqdc01.sqing.local。

登录域控服务器（虚拟机sqdc01），在Active Directory用户和计算机中，创建一个名为VCusers的组织，并在里面新建vcadmin、vcuser01和vcuser02三个用户，这三个用户最终将被vCenter授权。
 

▲新建的域帐号


二、添加标识源

标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操作系统。安装后，vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源vpshere.local。此标识源是vCenter Single Sign-On的内部标识源。

域是用户和组的存储库，可以由vCenter Single Sign-On服务器用于用户身份验证。标识源允许将一个或多个域附加到 vCenter Single Sign-On。vSphere 5.5支持Active Directory 版本2003 及更高版本。本案Active Directory 版本为2008 R2。

本案的权限设置，主要也是在vSpherer Client连接vCenter Server的主界面中进行。但标识源的添加，在vClient中无法操作，只能登录到vSpherer Web Client中进行操作。

使用vsphere.local的administrator登录（输入vsphere.local\administrator或administrator@vsphere.local都可以），以下是操作过程。


▲使用vCenter Single Sign-On管理员登录vSphere Web Client


▲默认进入的是“vCO主页”界面，单击左则上方的“主页”，将返回主页界面


▲主页界面，单击“系统管理”菜单，将进入系统管理页面


▲系统管理-配置页面，进入到“配置”选项，单击左上的“+”按钮，将弹出“添加标识源”对话框，其右则各按钮依次是编辑标识源、删除标识源、设置为默认域（要先选中一项非当前默认域）
可看到此时只有vsphere.local和SQVCENTER两个标识源，其中vsphere.local是vCenter Single Sign-On的内部标识源，不可删除。SQVCENTER（系统主机名）是本地操作系统标识源，可删除。
当前默认域为SQVCENTER（无论何时都只存在一个默认域）。来自非默认域的用户在登录时必须添加域名（域\用户）才能成功进行身份验证。


▲添加标识源对话框，标识源类型选择“Active Directory（已集成Windows身份验证）”，标识源设置中，选择“使用计算机帐户，并输入将要添加的域“sqing.local”。设置完成后，单击“确定”按钮，并返回到系统管理页面。
注：vCenter Single Sign-On 仅允许指定单个Active Directory 域作为标识源。该域可包含子域或作为林的根域。在vSphere Web Client中显示为 Active Directory (已集成Windows 身份验证)。
另外，vCenter Single Sign-On支持多个 Active Directory over LDAP 标识源，以便与vSphere 5.1 随附的vCenter Single Sign-On服务兼容。


▲系统管理-配置页面，可看到已添加了域“sqing.local”作为标识源

以上设置完成后，在系统管理-用户和组中，域的下拉列表会出现刚添加的域sqing.local，选择该域，将可查看该域中的用户。


▲系统管理-用户和组页面，可查看到之前在域中创建的vcadmin、vcuser01和 vcuser02三个用户。

接下来是设置，在vSphere Web Client也是可以操作的，笔者出于使用习惯，转到vSphere Client上进行操作。


三、添加权限

使用administrator@vsphere.local登录vSphere Client。

在主机和群集列表中，选择数据中心（也可选择群集或主机，各项是有差别的，后文讲到），然后在右则内容框中切换到“权限”页面，便可查看并管理权限。

初始时，权限只开放给vsphere.local\administrator一个用户，其角色为“管理员”。vCenter Single Sign-On 管理员特权不同于vCenter Server系统 或ESXi 主机上的管理员角色（此时使用SQVCENTER系统管理员是不能登录vSphere Client的，但可以登录到vSphere Web Client，不过没有管理员的操作权限）。


▲主界面-权限页面，右击弹出菜单中，选择“添加权限”将弹出“分配权限”对话框。


▲分配权限，单击“添加”按钮，将弹出“选择用户和组”对话框

 
▲选择用户和组，域下拉框中“（服务器）”下面的空间条目没显示出来，实际上是为“SQVCENTER”（本地系统），。“（服务器）”这一条目也等同于“SQVCENTER”。

这个界面与第二节中，vSphere Web Client中看到的“系统管理-用户和组”是一样的，如果没有在第二节中添加标识符sqing.local，这里域的下拉列表中将看不到域SQING。


▲选择用户和组，选定域SQING，然后在“用户和组”列表框中选择需要添加的用户，
一次可添加多个用户，双击将要添加的用户，将会出现在“用户”文本框中，这里选定vcadmin和vcuser01两个用户，单击“确定”按钮，返回上一级对话框。


 



▲分配权限
从以上三张图中，可看到“用户和组”列表中添加了vcadmin和vcuser01两个sqing.local域用户，其角色默认为“只读”。分别选中，然后在右则的“分配的角色”中进行角色权限设置。设置完成后，单击“确定”按钮，返回主界面。
从上面后两张图，可以看到管理员角色和虚拟机超级用户角色在“特权”上的区别，前者是所有特权，后者默认只勾选了“全局”、“数据存储”、“虚拟机”、“已调度任务”等特权，其他的特权选项可以根据实际情况手动勾选。


▲主界面-权限页面，可以看到vcadmin、vcuser01和vcuser02三个sqing.local域已授权。其角色分别为管理员、虚拟机超级用户和虚拟机用户。


▲单击菜单中的“属性”将弹出“更改访问规则”对话框


▲更改访问规则
在用户属性中可更改角色（只能是角色及其默认的权限勾选项，如果要手动勾选更多的权限，则需要删除，重新增加，在前面展示的步骤中手动勾选）。


四、授权用户的定义范围

群集、池、主机、虚拟机中的授权用户及其权限依次从上一级继承。上述的权限设置，是在数据中心SQ-DataCenter中设置的，这是vCenter管理结构中最高的级别。因此从数据中心一直到虚拟机，对sqing.local域中的vcadmin和vcuser01的授权是一样的。从“定义范围”一栏中可以看出。

在各级别中，可以删除本地对象授权的用户，但无法删除从上一级继承的授权用户。

下面在主机esxi02（10.1.241.22）中对sqing.local域用户vcuser02进行授权，以作区别。操作也是在administrator@vsphere.local登录vSphere Client的界面中进行。


▲添加vcuser02用户，分配的角色为“虚拟机用户”
注：这里有个“传播子对象”的选项，默认勾选，是授权得以继承的关键，前面的操作均保留默认勾选。


▲主机esxi02的授权用户，可以看到刚授权的vcuser02，以及从SQ-DataCenter继承来的其他用户


▲主机esxi02的授权用户，可删除此对象中授权的用户vcuser02


▲主机esxi02的授权用户，不可删除从SQ-DataCenter继承来的授权用户vcuser01


▲群集Cluster01的授权用户，在这里看不到vcuser02


五、SQING域用户登录

仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时，才可以登录vCenter Server

下面以sqing.local域用户 vcuser01 为例，通过vSphere Client登录vCenter。在前面的设置中，vcuser01的角色为“虚拟机超级用户”。




▲该用户没有克隆、模板、从硬盘删除等权限

除了上述操作外，vCenter Single Sign-On 管理员用户可以创建vCenter Single Sign-On 用户和组。

若要添加SQVCENTER本地用户，操作方法与上述添加域用户相似，不再演示。在实际应用环境中，由于vCenter与域组合使用，一般都是在域用户，然后在vCenter中对指定域用户进行授权。


六、角色的管理

在前面的操作中，一直用到“角色”，vCenter Server 和 ESXi 提供多种默认角色，包括上面用到的管理员、超级虚拟机用户、虚拟机用户等，这些角色会与 vSphere 环境中常见职责区域的特权一起进行分组。关于角色更详细的说明请参考官方文档。

每个角色有着其各自的默认权限，当然在添加用户并为用户设置角色的过程中，可以手动多勾选其他一些权限。在而角色本身其实也是可以自定义创建的。


▲在主页界面中找到“角色”的链接


▲角色管理页面，选中某一个角色，在右则可看到其使用情况
这里选中“管理员”角色，可看到内有vphere.local\administrator和sqing\vcadmin两个用户，其中前者与数据中心SQ-DataCenter平级（最高级别的管理员），后者是数据中心SQ-DataCenter中的用户。
用户图标带向下的绿色箭头，表示向下继承，由此可知该用户的授权范围。


▲角色管理页面，其中，“无权访问”“只读”“管理员”这三个是无法被删除的，其它可以被删除、重命名或编辑。
单击“添加角色”按钮，将弹出添加新角色对话框。
单击“克隆角色”按钮可对角色进行克隆。


▲添加新角色对话框，在这里可自定义权限并创建一个新角色