vSphere部署系列之011——vCenter权限管理

vSphere部署系列之11——vCenter权限管理


在前面的博文章节中已完成了整个vCenter运行环境的总体部署,接下来是有关运维方面的一些研究。这一章先讲一讲vCenter中的权限设置。


在vSphere中,权限由清单对象的用户或组和分配的角色组成,例如虚拟机或 ESX/ESXi主机。权限授予用户执行对象(向其分配了角色)上的角色所指定的活动的权限。


默认情况下,在全新安装中,只有用户administrator@vsphere.local 才具有vCenter Single Sign-On 服务器上的管理员特权。单一的vsphere.local管理员,显然无法满足多人运维的应用场景,那么该如何设置,才能使得域用户或vCenter所在系统的本地用户被允许登录vCenter呢? 下面有之前的实验环境中进行权限设置操作。


实验环境总体规划,请见前面的博文《vSphere部署系列之03——实验环境总体规划》。


 wKioL1fSKFCi--bnAALXJy2rt0w211.png-wh_50

▲总体规划网络拓扑图



一、准备工作


在本案的总体环境中,使用的域名为sqing.local,域控服务器主机名为sqdc01.sqing.local。


登录域控服务器(虚拟机sqdc01),在Active Directory用户和计算机中,创建一个名为VCusers的组织,并在里面新建vcadmin、vcuser01和vcuser02三个用户,这三个用户最终将被vCenter授权。

 

wKioL1fSKIqx3KMHAABIoqwCwEY394.png-wh_50

▲新建的域帐号



二、添加标识源


标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操作系统。安装后,vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源vpshere.local。此标识源是vCenter Single Sign-On的内部标识源。


域是用户和组的存储库,可以由vCenter Single Sign-On服务器用于用户身份验证。标识源允许将一个或多个域附加到 vCenter Single Sign-On。vSphere 5.5支持Active Directory 版本2003 及更高版本。本案Active Directory 版本为2008 R2。


本案的权限设置,主要也是在vSpherer Client连接vCenter Server的主界面中进行。但标识源的添加,在vClient中无法操作,只能登录到vSpherer Web Client中进行操作。


使用vsphere.local的administrator登录(输入vsphere.local\administrator或administrator@vsphere.local都可以),以下是操作过程。


 wKiom1fSKMWSSXXoAAHb9fPRcpI166.png-wh_50

▲使用vCenter Single Sign-On管理员登录vSphere Web Client


 wKiom1fSKMaAtfqWAAH79eut5XQ609.png-wh_50

▲默认进入的是“vCO主页”界面,单击左则上方的“主页”,将返回主页界面


 wKioL1fSKMeCpa-7AAKOompYNYI326.png-wh_50

▲主页界面,单击“系统管理”菜单,将进入系统管理页面


 wKioL1fSKMjQZwTTAACnIMQHEFI723.png-wh_50

▲系统管理-配置页面,进入到“配置”选项,单击左上的“+”按钮,将弹出“添加标识源”对话框,其右则各按钮依次是编辑标识源、删除标识源、设置为默认域(要先选中一项非当前默认域)

可看到此时只有vsphere.local和SQVCENTER两个标识源,其中vsphere.local是vCenter Single Sign-On的内部标识源,不可删除。SQVCENTER(系统主机名)是本地操作系统标识源,可删除。

当前默认域为SQVCENTER(无论何时都只存在一个默认域)。来自非默认域的用户在登录时必须添加域名(域\用户)才能成功进行身份验证。


 wKiom1fSKMjRE3gwAACafkUkRvs064.png-wh_50

▲添加标识源对话框,标识源类型选择“Active Directory(已集成Windows身份验证)”,标识源设置中,选择“使用计算机帐户,并输入将要添加的域“sqing.local”。设置完成后,单击“确定”按钮,并返回到系统管理页面。

注:vCenter Single Sign-On 仅允许指定单个Active Directory 域作为标识源。该域可包含子域或作为林的根域。在vSphere Web Client中显示为 Active Directory (已集成Windows 身份验证)。

另外,vCenter Single Sign-On支持多个 Active Directory over LDAP 标识源,以便与vSphere 5.1 随附的vCenter Single Sign-On服务兼容。


wKioL1fSKMihXsuSAACxfac26oI506.png-wh_50

▲系统管理-配置页面,可看到已添加了域“sqing.local”作为标识源


以上设置完成后,在系统管理-用户和组中,域的下拉列表会出现刚添加的域sqing.local,选择该域,将可查看该域中的用户。


 wKioL1fSKMnCwJEkAADfINRJaCE634.png-wh_50

▲系统管理-用户和组页面,可查看到之前在域中创建的vcadmin、vcuser01和 vcuser02三个用户。


接下来是设置,在vSphere Web Client也是可以操作的,笔者出于使用习惯,转到vSphere Client上进行操作。



三、添加权限


使用administrator@vsphere.local登录vSphere Client。


在主机和群集列表中,选择数据中心(也可选择群集或主机,各项是有差别的,后文讲到),然后在右则内容框中切换到“权限”页面,便可查看并管理权限。


初始时,权限只开放给vsphere.local\administrator一个用户,其角色为“管理员”。vCenter Single Sign-On 管理员特权不同于vCenter Server系统 或ESXi 主机上的管理员角色(此时使用SQVCENTER系统管理员是不能登录vSphere Client的,但可以登录到vSphere Web Client,不过没有管理员的操作权限)。


 wKioL1fSKXfTQRVpAADS9yjulew853.png-wh_50

▲主界面-权限页面,右击弹出菜单中,选择“添加权限”将弹出“分配权限”对话框。


 wKioL1fSKXfgxiP4AADPbcx389w688.png-wh_50

▲分配权限,单击“添加”按钮,将弹出“选择用户和组”对话框


 wKioL1fSKcDB4vTAAADgz48h1oo677.png-wh_50

▲选择用户和组,域下拉框中“(服务器)”下面的空间条目没显示出来,实际上是为“SQVCENTER”(本地系统),。“(服务器)”这一条目也等同于“SQVCENTER”。


这个界面与第二节中,vSphere Web Client中看到的“系统管理-用户和组”是一样的,如果没有在第二节中添加标识符sqing.local,这里域的下拉列表中将看不到域SQING。


 wKiom1fSKcHzO32TAADDtxFBD8I212.png-wh_50

▲选择用户和组,选定域SQING,然后在“用户和组”列表框中选择需要添加的用户,

一次可添加多个用户,双击将要添加的用户,将会出现在“用户”文本框中,这里选定vcadmin和vcuser01两个用户,单击“确定”按钮,返回上一级对话框。


wKiom1fSKcGSVeFzAADVhHEbWnw913.png-wh_50


wKioL1fSKcKQz2MpAAEAEhgDvaE476.png-wh_50


wKiom1fSKcLzXsEzAAD5P24X7Lg783.png-wh_50

 ▲分配权限

从以上三张图中,可看到“用户和组”列表中添加了vcadmin和vcuser01两个sqing.local域用户,其角色默认为“只读”。分别选中,然后在右则的“分配的角色”中进行角色权限设置。设置完成后,单击“确定”按钮,返回主界面。

从上面后两张图,可以看到管理员角色和虚拟机超级用户角色在“特权”上的区别,前者是所有特权,后者默认只勾选了“全局”、“数据存储”、“虚拟机”、“已调度任务”等特权,其他的特权选项可以根据实际情况手动勾选。


 wKioL1fSKcPz42-TAADnwe2VOXo587.png-wh_50

▲主界面-权限页面,可以看到vcadmin、vcuser01和vcuser02三个sqing.local域已授权。其角色分别为管理员、虚拟机超级用户和虚拟机用户。


 wKiom1fSKcPw3KzhAAD0JW_t1Zo961.png-wh_50

▲单击菜单中的“属性”将弹出“更改访问规则”对话框


 wKioL1fSKcTinKo_AABghI4atWA518.png-wh_50

▲更改访问规则

在用户属性中可更改角色(只能是角色及其默认的权限勾选项,如果要手动勾选更多的权限,则需要删除,重新增加,在前面展示的步骤中手动勾选)。



四、授权用户的定义范围


群集、池、主机、虚拟机中的授权用户及其权限依次从上一级继承。上述的权限设置,是在数据中心SQ-DataCenter中设置的,这是vCenter管理结构中最高的级别。因此从数据中心一直到虚拟机,对sqing.local域中的vcadmin和vcuser01的授权是一样的。从“定义范围”一栏中可以看出。


在各级别中,可以删除本地对象授权的用户,但无法删除从上一级继承的授权用户。


下面在主机esxi02(10.1.241.22)中对sqing.local域用户vcuser02进行授权,以作区别。操作也是在administrator@vsphere.local登录vSphere Client的界面中进行。


 wKioL1fSKcSy4fMCAADVe7--eEw264.png-wh_50

▲添加vcuser02用户,分配的角色为“虚拟机用户”

注:这里有个“传播子对象”的选项,默认勾选,是授权得以继承的关键,前面的操作均保留默认勾选。


 wKiom1fSKcXAI-6uAADh0RV-6Bc061.png-wh_50

▲主机esxi02的授权用户,可以看到刚授权的vcuser02,以及从SQ-DataCenter继承来的其他用户


 wKiom1fSKpjRfvt5AADnrE7QEIM690.png-wh_50

▲主机esxi02的授权用户,可删除此对象中授权的用户vcuser02


 wKioL1fSKpmApxMKAADpg3o1Zrs818.png-wh_50

▲主机esxi02的授权用户,不可删除从SQ-DataCenter继承来的授权用户vcuser01


 wKioL1fSKpngTsDcAADd_fA2EZA709.png-wh_50

▲群集Cluster01的授权用户,在这里看不到vcuser02



五、SQING域用户登录


仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时,才可以登录vCenter Server


下面以sqing.local域用户 vcuser01 为例,通过vSphere Client登录vCenter。在前面的设置中,vcuser01的角色为“虚拟机超级用户”。


wKioL1fSKr7QjiubAAESQo4JJOc171.png-wh_50


wKiom1fSKr6zmzcKAAGRC8dZtu0740.png-wh_50


▲该用户没有克隆、模板、从硬盘删除等权限


除了上述操作外,vCenter Single Sign-On 管理员用户可以创建vCenter Single Sign-On 用户和组。


若要添加SQVCENTER本地用户,操作方法与上述添加域用户相似,不再演示。在实际应用环境中,由于vCenter与域组合使用,一般都是在域用户,然后在vCenter中对指定域用户进行授权。



六、角色的管理


在前面的操作中,一直用到“角色”,vCenter Server 和 ESXi 提供多种默认角色,包括上面用到的管理员、超级虚拟机用户、虚拟机用户等,这些角色会与 vSphere 环境中常见职责区域的特权一起进行分组。关于角色更详细的说明请参考官方文档。


每个角色有着其各自的默认权限,当然在添加用户并为用户设置角色的过程中,可以手动多勾选其他一些权限。在而角色本身其实也是可以自定义创建的。


 wKioL1fSKwKAeyItAAEmxW4DKkA031.png-wh_50

▲在主页界面中找到“角色”的链接


 wKioL1fSKwOQOzAtAAEJbwyirZ0211.png-wh_50

▲角色管理页面,选中某一个角色,在右则可看到其使用情况

这里选中“管理员”角色,可看到内有vphere.local\administrator和sqing\vcadmin两个用户,其中前者与数据中心SQ-DataCenter平级(最高级别的管理员),后者是数据中心SQ-DataCenter中的用户。

用户图标带向下的绿色箭头,表示向下继承,由此可知该用户的授权范围。


 wKiom1fSKwSwPA7mAAD_K4LyFJM576.png-wh_50

▲角色管理页面,其中,“无权访问”“只读”“管理员”这三个是无法被删除的,其它可以被删除、重命名或编辑。

单击“添加角色”按钮,将弹出添加新角色对话框。

单击“克隆角色”按钮可对角色进行克隆。


 wKioL1fSODHw424qAAC65EYUSDE598.png-wh_50

▲添加新角色对话框,在这里可自定义权限并创建一个新角色

本文出自 “一树清劲” 博客,请务必保留此出处http://sunshyfangtian.blog.51cto.com/1405751/1851009

本页内容版权归属为原作者,如有侵犯您的权益,请通知我们删除。
DNS ( Domain Name System ,域名系统),因特网上作为域名和 IP 地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的 IP 数串。通过主机名,最终得到该主机名对应的 IP 地址的过程叫做域名解析(或主机名解析)。 DNS 协议运行在 UDP 协议之上,使用端口号 53 。 主机名到 IP 地址的映射有两种方式: 1 )静态映射,每台设备上都配置主机到 IP 地址的映射,各设备独立维护自己的映射表,而且只供本设备使用; 2 )动态映射,建立
如题所示,生产服务器每天会产生很大的日志文件,为了不使硬盘被日志文件塞满,因此需要定期清理日志文件。这时我们可以写一个shell脚本用来清理某个路径下45天以前的日志,然后再设置一个定时任务每周定时执行这个脚本即可 (1)清理某个路径下的日志脚本delOldLogs.sh: [root@prx01cleanlog]#vim/usr/local/cleanlog/delOldLogs.sh #!/bin/sh#删除输入路径下的修改时间在45天以前的日志文件find$1-mtime+45-name"*log*
软 RAID 是在操作系统层面进行的 RAID 配置,也能对数据进行保护,实际生产环境中使用存储中磁盘阵列和硬 RAID 实现冗余的情况比较多。 此实验在虚拟机中完成,在系统中添加 5 块磁盘,每块磁盘 512MB ,利用这 5 块磁盘做 RAID5 实验 ,模拟磁盘损坏及替换磁盘,模拟停止 RAID 阵列及启动阵列,阵列中的数据情况。 1. 添加磁盘 ,每块磁盘 512MB ,共 5 块,如图 1 所示。 图 1 2. 启动系统并查看磁盘 ll /dev/sd* 出现 /dev/sdb,/dev/sdc
上一篇给大家分享了监控Nginx《 项目实战:创建模板,监控Nginx状态、服务信息 》,这里跟大家分享一下监控MySQL的记录,如果你没有安装MySQL可以参考我另一篇博文《 ubuntu安装配置LNMP 》,Let's go! Zabbix 监控 MySQL 数据库 一、客户端 Ubuntu 普通用户登录 1、 登陆 MySQL $ mysql -uroot -p Enter password: Welcome to the MySQL monitor.Commands end with ; or \
认真的测试过网上的大多数文章和版本,真正能一次性测试通过的文章太少了,需要反复的推敲,反复的查阅资料,才能真正的测试成功,所以,在此背景下,总结了Rsync,加上自己的理解分享出来; 1、 原理篇 Rsync,故名思议,是一个远程数据同步工具,可以镜像整个目录树和文件系统,也可以保持源文件的权限,时间和软硬链接,可以优化数据,文件重复数据的删除,也可以在LAN/WAN之间快速的同步多台主机的数据,这主要得益于Rsync的压缩和Rsync的核心算法,其算法,是本地和远程两台主机之间的文件达到同步并保持一致,
实战自制Linux操作系统 本文主要通过裁剪现有Linux系统,打造一个属于自己的Linux小系统,让其能够装载网卡驱动,并配置IP地址,实现网络功能。 自制linux系统 步骤概述: 1 、新建一个硬盘 2 、在该新硬盘上新建两个分区,一个当boot分区,一个当/分区 3 、格式化并且挂载两个分区 4 、安装grub至目标磁盘 5 、为grub提供配置文件 6 、复制内核文件和initrd文件 7 、创建目标主机根文件系统 8 、移植bash命令和其库文件到根文件系统 9 、装载模块,实现网络功能 10
Kickstart+PXE自动部署 目录: 无人值守安装简介 实战:PXE批量部署linux操作系统 前言 部署dhcp服务 HTTP服务 TFTP服务 复制PXE启动时需要的文件 修改引导启动菜单 配置kickstart自动安装文件(ks.cfg) 装机测试 无人值守安装简介 无人值守安装(Unattended Setup)指软件安装时无需任何用户干预,直接按默认或通过应答文件设置安装,这对于无特殊需求的用户或企业大批量部署安装操作系统及软件时非常方便。无人值守安装也称为静默安装,在安装过程中可以静默安
一、CentOS 6 的启动流程 第一步:加电自检(POST) 主要检查硬件设备是否存在并能正常运行,如:CPU、内存、硬盘、风扇、输入输出设备等。自检功能主要是通过BIOS来实现的,BIOS程序是装载在一个硬件芯片CMOS上的,加电过程就是给CMOS通电,然后启动BIOS程序,BIOS程序会根据CMOS上面的一些配置信息区读取其他的硬件设备信息并检测其是否存在并能正常运行,之后进行硬件设备的初始化。 第二步:选择启动顺序,加载MBR 按照BIOS中设置的Boot Sequence查找Boot Loade
前几天我博客记录了zabbix安装《 Ubuntu系统LNMP环境下安装配置zabbix3.04 》这里我们给大家分享一下zabbix-proxy安装配置。阿里云zabbix-service ,公司内网zabbix-proxy 下面开始: zabbix-proxy 服务器配置 1 、配置 zabbix 源 #wget http://repo.zabbix.com/zabbix/3.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.0-1+trusty
WEB 服务器的架设 , 在 linux 有一个很著名的架构叫 lamp : linux+apache+mysql+php,就知道apache的分量了。 在搭建 apache 服务钱需要做 DNS 服务器 DNS的搭建 http://wt7315.blog.51cto.com/10319657/1852795 http的详解 http://wt7315.blog.51cto.com/10319657/1837595 apache 后台进程: httpd 脚本: /etc/rc.d/init.d/httpd