VMware vSphere 权限分级管理方法

编者按：vCenter Server 默认管理员账户是administr ator@vsphere.local，此账户对vCenter Server 及vC enterServer 下的数据中心、群集、ESXi 主机、虚拟机、虚拟机网络、存储等具有所有权限。该权限的大小，关系着系统的操作及安全问题，本文将介绍该权限的管理方法，希望对读者有所启发。

vCenter Ser ver 默认管理员账户是adminis trator@vsphere.local，如果在日常的管理中使用此账户，该账户权限“过大”，如果配置不当或者误操作可能会对系统造成影响。在企业虚拟化环境中的日常管理中，应该将管理员分级，为不同的管理配置不同的用户并分配不同的权限。vCenter Server 提供的角色分以下几类。

1.管理员。对vSphere具有完全的权限，默认账户为administrator@vsphere.local。

2.只读。可以浏览、查看vSphere 中所有对象，不能更改对象的状态。

3.虚拟机用户。与虚拟机交互的权限，包括打开与关闭虚拟机的电源、安装VMware Tools、控制台交互、配置CD 媒体、挂起或重置虚拟机、修改任务、创建任务、移除任务、运行任务、取消任务等操作。

4.虚拟机超级管理员。除了虚拟机用户权限外还包括快照管理、更改虚拟机配置、浏览数据存储权限。

5.资源池管理员。警报、修改权限、浏览数据存储、文件夹管理、资源、调度任务、虚拟机超级管理员、虚拟机置备等权限。

6.数据存储使用者。在存储中有分配空间的权限。

7.网络管理员。分配网络的权限。

8.虚拟机控制台用户。与虚拟机交互的权限。

图1 查看角色

图2 vSphere 清单层次结构

使用administ rator@vsphere.local 账户登录vCenter Server，在“系统管理→访问控制→角色”中查 看vCenter 默认创建的角色及分配的权限，如图1 所示。

vCenter Serv er 允许通过权限和角色对授权进行精细控制。向vCenter Server对象层次结构中的对象分配权限时，请指定哪个用户或组对该对象具有哪些特权。要指定特权，应使用角色（即特权集）。

最初仅vCenter Single Sign-On 域的管理员用户（默认为 administrator@vspher e.local）有权登录到 vCent er Server 系统。授权后，该用户可执行如下操作：

1.将在其中定义了用户和组的标识源添加到vCenter Single Sign-On中。

2.向用户或组授予特权，方法是选择虚拟机或vCenter Server 系统等对象并将针对该对象的角色分配给相应的用户或组。

可以将vCenter Server加入Active Directory 中，然后在Active Directory 中创建用户，并添加到vCenter Server 中，为其分配权限。也可以使用vCenter Server Appliance 所在系统创建本地用户并为其分配权限。

vSphere 清单层次结构如图2 所 示。vCenter Server 管理员可以为这些对象分配权限。

许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权，则无法成功完成该任务。vSphere权限较多。

创建本地用户账户

要为不同的用户分配权限，需要有不同的用户和用户组。在分配用户时，可以使用vCenter Server 所依赖的操作系统的用户账户，也可以将vCenter Server 添加到Active Directory，使 用Active Directory 用户账户。

如果vCenter Server 安装在Windows 操作系统，可以使用Windows 操作系统的本地计算机账户；如果vCenter Server Appliance运行在Linux 平台上，可以使用所属的Linux 用户账 户。在vCenter Server Appliance 中，可以使用其本身的Linux 系统账户。首先介绍在vCenter Server Appliance 中创建用户账户的方法和步骤。

1.使用vSphere Client登录到vCenter Server，在“系统管理→Single Sign On →用户和组”中“用户”选项卡中的“域”下拉列表中选择vSphere.local，单击“添加用户”。

2.在“添加用户”对话框中的“用户名”中输入新添加的用户名，本示例为view，在“密码”与“确认密码”密码栏中为新建用户设置密码（需要是复杂密码），在“名字”文本框中为新建用户设置名字，本示例为只读管理员，设置之后单击“添加”按钮完成用户的创建。

3.参 照1 至2的步骤，再次创建三个用户，本示例为admin-mg、admin-ser、ad min-test，这三个用户准备用于manage、server、test 三个资源池。

全局只读管理员

vSphere 中的权限较多、划分较细。本章从管理与使用的角度，通过案例的方式介绍vSphere的权限管理内容。本节先介绍第一个案例：某用户可以从全局的角度“看”到当前的虚拟化架构，但不能对任何虚拟机、网络、数据做任何的更改。简单来说，创建一个全局“只读”管理员用户。本示例中将把用户添加为“只读”管理员。

1.使用vSphere Client登录到vCenter Server，在“主机和群集”选项中单 击“vc.heinfo.edu.cn”(vCenter Server 根域)这一级，在“权限”选项卡中单击＋。

2.在“添加权限”对话框中，在“用户”下拉列表中选择vsphere.local，在 后面输入要添加的用户名，本示例为view，在“角色”下拉列表中选择“只读”，选中“传播到子对象”，单击“确定”。

3.添加后，可以单击＋继续添加，也可以选择添加的用户，单击进行修改，或者单击“×”删除选定的用户。

在添加了权限之后，注销当前的SSO 管理员账户administrator@vsphere.local，使 用view@vsphere.local 登录。

登录之后可以看到，当前登录的用户view@vsphere.local 可以查看到所有的资源，但不能操作任何具体的资源。

资源池超级管理员账户

在当前的演示环境中有5 台ESXi 主机组成vSphere群集，在群集中创建了3 个资 源池，分别 是Manage、Server、Test。在本示例中将名为admin-ser的用户分配给Server 资源池，对该资源池有完全的控制权，并且能启动、关闭、删除该资源池中的虚拟机，在资源池创建虚拟机、修改虚拟机的配置，并为这个资源池的虚拟机分配VLAN2001、VLAN2002 网络。下面介绍配置的方法。

1.使用vSphere Client登录到vCenter Server，在“主机和群集”中单击名为Server的资源池，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”。

2.在“虚拟机和模板”文件夹用鼠标右键单击名为Datacenter的数据中心，在弹出的快捷菜单中选择“新建文件夹→新建虚拟机和模板文件夹”，创建一个名为VM-Server的文件夹用于资源池。

3.选择VM-Server的文件夹，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”。

4.如果要为允许用户使用模板、从模板部署虚拟机，需要为模板所在的文件夹分配“只读”角色并允许传播到子对象。在本示例中，名为Win7X_Ent_TP 保存在VM-TP的文件夹中，在“权限”中添加名为admin-ser的用户，为其分配“只读”角色，并选中“传播到子对象”。

5.选择名为Win7X_Ent_TP的模板，在“权限”中添加名为admin-ser的用户，为其分配“管理员”角色，并选中“传播到子对象”。

6.在“存 储”文件夹中选择vsanDatastore 存储，在“权限”中添加名为admin-ser的用户，为其分配“数据存储使用者”角色，并选中“传播到子对象”。

7.在“网络”文件夹选择VLAN2001的分布式端口组，在“权限”中添加名为admin-ser的用户，为其分配“网络管理员”角色，并选中“传播到子对象”。

8.选 择VLAN2002的 分布式端口组，在“权限”中添加名为admin-ser的用户，为其分配“网络管理员”角色，并选中“传播到子对象”。

在为admin-ser 分配权限之后，注销当前管理员账户administrator@vsphere.local 并换用admin-ser@vsphere.local 登录，登录之后可以看到，当前用户可以对server 资源池的虚拟机进行所有操作，开、关机，修改虚拟机删除，添加或删除虚拟机，新建虚拟机、从模板部署虚拟机、修改虚拟机配置等操作。

下面测试从模板创建虚拟机的功能，主要步骤如下。

1.选择从模板部署虚拟机，在“选择模板”对话框中的“数据中心”选项卡中，在“VM-TP”文件夹中选择Win7X_Ent_TP 模板虚拟机。

2.在“选择名称和文件夹”对话框中的“虚拟机名称”文本框中，为新建虚拟机设置名称，本示例为Win7X-02，在“为该虚拟机选择位置”中选择VM-Server文件夹。

3.在“自定义硬件”对话框中为虚拟机选择网络（本示例为VLAN2001）、为虚拟机分配CPU 与内存、硬盘空间。

4.在“即将完成”对话框中显示了从模板部署虚拟机的选项，检查无误之后单击“Finish”按钮。然后等待虚拟机部署完成。

资源池管理员账户

在本示例中将名为admin-mg的用户分配给Manage 资源池，对该资源池中的虚拟机有管理员权限：打开、关闭虚拟机电源、重置、挂起虚拟机，可以修改虚拟机的CPU、内存、不能修改虚拟机网络。

使用vSphere Client 登录到vCenter Server，在“主机和群集”中单击名为Manag e的资源池，在“权限”中添加名为admin-mg的用户，为其分配“虚拟机超级用户”角色，并选中“传播到子对象”。

对于虚拟机和模板、存储、网络文件夹不需要分配权限。分配权限之后，使用admin-mg@vsphere.local 登录进行验证，这些不再一一介绍。

除对资源池进行分配外，还可以选择某台虚拟机对其分配权限，其分配方式与为资源池分配类似。