VMware vSphere esxi中的使用者許可權與角色
角色:各種角色定義了對此角色可操作細節的許可權組合
使用者許可權:使用者許可權是對esxi中的物件例項(如esxi主機,虛擬機器,儲存,網路等)進行許可權的分配。通過在這些物件上繫結“使用者+角色”來限定每個使用者或使用者組可以對此物件的操作許可權。
1,在沒有vSphere center 的時候,使用者和角色都是通過vmware client聯機在每臺esxi上分別進行設定的,每個主機上的使用者和角色都是各自獨立的。
2,在使用了vSphere center 的時候如果esxi主機已被加入到center中,此時所有使用者和許可權都是統一定義和安排的。與上面不同的時候,由於vSphere center是安裝在一臺windows server 64位作業系統中的,所以vmware直接使用windows server中定義的域使用者(如果有活動目錄)或本地使用者的資料庫來作為自身管理和登陸使用者的資料庫來使用的,所以你在center上你找不到新增使用者的地方,因為使用者是在windows server系統上建立的。
3,vSphere center 中VMware預設定義了幾個角色,分別是:
無權訪問
只讀
管理員
虛擬機器超級使用者(示例)
虛擬機器使用者(示例)
資源池管理員(示例)
WMware Consolidated Backup使用者(示例)
資料儲存使用者(示例)
其中,[無權訪問],[只讀]和[管理員] 這三個是無法被刪除的,其它可以被刪除。在需要建立自定義角色時,你可以直接對上面這些角色進行克隆,克隆出新的角色後再編輯角色,修改相應的許可權。也可以直接新增角色進行許可權的定義。
下面說一下在vSphere center中如何讓使用者或使用者組只能控制其被允許的虛擬機器的開關機和連線主機上儲存的許可權。
1,建立一個角色。在vSphere center中選擇[系統管理]-->[角色],然後克隆[虛擬機器使用者(示例)]這個角色為一個新的角色——[虛擬機器使用者+訪問儲存],然後編輯此角色,在編輯角色的視窗中,勾選[資料儲存]下面的[瀏覽資料儲存]。
2,在vSphere center所安裝的windows server作業系統中開啟使用者管理,在使用者管理中新增一個使用者,或新增一個使用者組,將多個使用者放到這個使用者組中。
3,將vmware client 連線到vSphere center,在[清單]-->[主機和群集]介面左邊點選相應要給其限制的虛擬機器,再點選右邊的[許可權]功能卡,然後在右擊彈出的快捷選單中選擇[新增許可權]。在彈出的[分配許可權]對話方塊中,點選[新增],然後找到剛才在windows server中建立的使用者或使用者組。
4,回到[分配許可權]對話方塊中,在右邊的選擇需要分配給此虛擬機器的角色,我們選擇剛才建立的角色[虛擬機器使用者+訪問儲存],2,3,4步設定好下圖片如下:
5,在[清單]-->[資料儲存]中,先要點選[資料中心的名稱]的節,然後像3,4步一樣在右邊的[許可權]功能卡中給這個資料中心分配許可權。(新增一個使用者或使用者組,角色選擇[只讀]就可以了)這裡注意,如果你不想此使用者看到此資料中心下的所有儲存,請將(傳播到子物件)的勾去掉。
6,然後在[資料中心的名稱]下找到你要分配給使用者訪問許可權的資料儲存名,按照上面辦法,給這個資料儲存分配使用者和角色,此時角色應該選擇我們開始建立的[虛擬機器使用者+訪問儲存]。
結束!這樣使用者就可以通過我們給他建立的使用者名稱登入到vcenter,或web access訪問vcenter,在管理介面中,此使用者只能看到我們分配給他的的虛擬機器,許可權只限於開關機,和改變CDROM的ISO映象到主機上我們指定給他的某個儲存。
__________________________________________________________________________
從上面操作我們可知,VMware vSphere的角色是很細的,許可權分配也是很嚴謹的(對於某一個許可權的正常設定必須讓涉及此許可權每個物件都要有相應的許可權才行)。你要訪問某個儲存,必須要對這個儲存所屬的資料中心有[只讀]許可權才行,光有資料儲存的訪問許可權,而沒有對其父物件——資料中心的只讀許可權,使用者還是不能訪問到此儲存的。這一點很重要!
其它許可權的使用沒有一一試用,但只要注意上面這點,並且對每個許可權的意思都瞭解,應該都是差不多的。