高級(jí)維護(hù)配置

添加ESXi主機(jī)管理員賬戶

在一個(gè)大型的vSphere虛擬化平臺(tái)架構(gòu)中，一定有很多部ESXi主機(jī)，甚至于有多部的vCenter Server分散在不同的地理位置，來(lái)分散管理所有的ESXi主機(jī)與虛擬機(jī)，因此，系統(tǒng)管理人員肯定不會(huì)只有一位。一般而言，企業(yè)總部的系統(tǒng)管理人員，通常擁有所有vCenter與ESXi主機(jī)的管理權(quán)限，而各分支機(jī)構(gòu)的IT人員則可能只會(huì)有特定ESXi主機(jī)的管理權(quán)限，如此才能夠做到按不同層級(jí)權(quán)限，來(lái)劃分虛擬化平臺(tái)的管理范圍。怎么實(shí)現(xiàn)呢？接下來(lái)就讓我們來(lái)學(xué)習(xí)一下，如何為不同的ESXi主機(jī)加入其她系統(tǒng)管理人員。

這部分的配置可以從vSphere Client或vSphere Web Client來(lái)完成。首先請(qǐng)?jiān)趘Sphere Client開(kāi)啟ESXi主機(jī)“用戶”頁(yè)面，接著，只要在任一空白處按下鼠標(biāo)右鍵，點(diǎn)擊“添加”。在“添加使用者”頁(yè)面中，請(qǐng)輸入新使用者的登錄賬戶、描述名稱以及兩次的密碼設(shè)置即可。點(diǎn)擊“確定”。

切換到“權(quán)限”頁(yè)面，并在任一空白處按下鼠標(biāo)右鍵，點(diǎn)擊“添加權(quán)限”，此時(shí)便會(huì)開(kāi)啟“指派權(quán)限”頁(yè)面。在此，點(diǎn)擊“添加”按鈕來(lái)挑選所要設(shè)置權(quán)限的賬戶，然后再?gòu)挠疫叴案裰刑暨x所要賦予的權(quán)限即可。

值得注意的是，您可以給予人員的權(quán)限劃分得更細(xì)，例如，您可以讓此人員僅擁有管理儲(chǔ)存連接的配置，或是僅能夠管理分布式交換器與主機(jī)設(shè)置文件等。

相同的配置方式在vSphere Web Client中一樣可以完成的。您只要在ESXi主機(jī)的節(jié)點(diǎn)中，點(diǎn)擊位于“管理→權(quán)限”頁(yè)面中的添加圖示，便會(huì)開(kāi)啟人員的挑選頁(yè)面，選取后再點(diǎn)擊“添加”，即可指派管理員的角色，以及決定可管理的權(quán)限范圍。在“權(quán)限”的管理頁(yè)面中，您可以隨時(shí)修改或添加任一權(quán)限配置。

限制使用SSH連接ESXi主機(jī)

盡管在ESXi主機(jī)的Console端管理中，可以啟用遠(yuǎn)程SSH的連接功能，但考慮安全性問(wèn)題，您可能會(huì)想要僅允許讓特定的來(lái)源IP地址可以連接登錄，而這個(gè)來(lái)源IP地址列表，肯定是相關(guān)管理人員計(jì)算機(jī)的固定IP地址。

想要完成這項(xiàng)限制設(shè)置很簡(jiǎn)單，請(qǐng)登錄vSphere Web Client并點(diǎn)擊至所要設(shè)置主機(jī)的“管理→設(shè)置”頁(yè)面，然后在“系統(tǒng)→安全性設(shè)置”頁(yè)面中選取編輯“SSH服務(wù)器”的設(shè)置，在默認(rèn)的狀態(tài)下，是允許從任何IP地址連接的，您只要先將該設(shè)置取消，然后以逗號(hào)分隔多個(gè)允許連接的來(lái)源IP地址即可。

完成“SSH服務(wù)器”的安全性設(shè)置之后，您可以嘗試從一臺(tái)不被允許的來(lái)源IP地址之計(jì)算機(jī)，以像是PieTTY的工具來(lái)進(jìn)行連接，這時(shí)候便會(huì)看到無(wú)法連接之類的錯(cuò)誤提示信息。

限制管理人員連接登錄方式

在您企業(yè)的vSphere架構(gòu)中，可能有根據(jù)不同的管理人員，來(lái)分配管理的權(quán)限范圍，例如某些人只能管理特定的ESXi主機(jī)或虛擬機(jī)，某些人則是只能夠進(jìn)行只讀查看與一般操作，而無(wú)法修改任何配置。無(wú)論管理的權(quán)責(zé)如何劃分，若能夠強(qiáng)制讓所有管理人員都能夠統(tǒng)一經(jīng)由vSphere Web Client的方式，來(lái)連接管理所有的群集、ESXi主機(jī)、虛擬機(jī)以及儲(chǔ)存設(shè)備等對(duì)象，在虛擬化平臺(tái)整體安全性的管理上肯定會(huì)是最理想的。

在接下來(lái)的介紹中，筆者將以設(shè)置vCenter下的一部ESXi主機(jī)為例，然而在實(shí)際的環(huán)境之中，您應(yīng)該幫每一部位于vCenter下的ESXi主機(jī)均完成這項(xiàng)設(shè)置。請(qǐng)?jiān)趘Sphere Web Client管理界面中點(diǎn)擊至要管理的ESXi主機(jī)節(jié)點(diǎn)，然后切換至“管理→設(shè)置”頁(yè)簽下的“系統(tǒng)→安全性設(shè)置”頁(yè)面中。在找到“鎖定模式”區(qū)域之中點(diǎn)擊它的“編輯”按鈕繼續(xù)。在此您可以選定所要采用的鎖定模式，分別有正常與嚴(yán)格兩種，前者不會(huì)鎖定從本地服務(wù)器命令主控，以及通過(guò)vCenter Server的登錄管理。至于后者便只會(huì)允許通過(guò)vCenter Server的連接管理。我們以選擇“嚴(yán)格”為例，點(diǎn)擊“例外使用者”繼續(xù)。

在“例外使用者”頁(yè)面中，建議您可以加入例外的管理員清單，也就是說(shuō)這一些管理員并不會(huì)受到上述嚴(yán)格鎖定模式的影響，而能夠繼續(xù)使用原有的各種界面來(lái)管理ESXi主機(jī)。在設(shè)置了嚴(yán)格鎖定模式之后，您可以先嘗試從服務(wù)端的命令控制臺(tái)，來(lái)以非例外的管理員賬戶進(jìn)行登錄，此時(shí)便會(huì)出現(xiàn)Authentication Denied的錯(cuò)誤信息而無(wú)法登錄。

緊接著，您可以改使用vSphere Client來(lái)遠(yuǎn)程連接登錄此ESXi主機(jī)，便會(huì)發(fā)現(xiàn)同樣出現(xiàn)了“您不具有登錄此服務(wù)器的權(quán)限”的錯(cuò)誤信息。最后，您可以改用例外管理員的賬戶，來(lái)登錄上述的兩種管理界面，便會(huì)發(fā)現(xiàn)是可以順利進(jìn)行登錄的。