1、模块编号 8-1VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。访问控制访问控制模块 8第1页,共23页。模块编号 8-2VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。您在此处您在此处您在此处您在此处 操作操作vSphere 环境环境配置配置 VMware ESX 和和 ESXi安装和使用安装和使用 VMware vCenter Server存储存储网络连接网络连接虚拟机虚拟机资源监视资源监视访问控制访问控制可扩展性可扩展性配置管理配置管理高可用性和数据
2、保护高可用性和数据保护安装安装 VMware ESX 和和 ESXiVMware 虚拟化简介虚拟化简介第2页,共23页。模块编号 8-3VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。重要性重要性如果有多个用户访问 VMware vSphere 环境,最好只为每个用户分配必要的权限。利用 VMware vCenter Server 可以灵活分配权限。第3页,共23页。模块编号 8-4VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。课程目标课程目标定义权限描
3、述应用权限的规则创建自定义角色创建权限描述使用 VMware vSphere Web Access 的优势列出可在 vSphere Web Access 中执行的任务第4页,共23页。模块编号 8-5VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。访问控制概述访问控制概述借助访问控制系统,借助访问控制系统,vCenter Server 管理管理员可以指定哪些用户或组可以在哪个对象员可以指定哪些用户或组可以在哪个对象上执行何种操作。上执行何种操作。重要概念:重要概念:特权 用于定义可执行的操作角色 代表一组特权对象 操作的目标
4、Windows 用户/组 指明谁可以执行操作将角色、用户将角色、用户/组和对象结合起来组和对象结合起来即可定义权限。即可定义权限。第5页,共23页。模块编号 8-6VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。用户和组用户和组vCenter Server 用户和组就是在用户和组就是在 vCenter Server 的的 Windows 域中定义的用户和组。域中定义的用户和组。第6页,共23页。模块编号 8-7VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利
5、。角色和特权角色和特权 角色是特权的集合。角色是特权的集合。它们使用户可以执行各种任务。按类别分组。包括系统角色、包括系统角色、示例角色和自定示例角色和自定义角色。义角色。第7页,共23页。模块编号 8-8VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。对象对象 对象是要对其执行操作的实体。对象是要对其执行操作的实体。例如,对象包括数据中心、文件夹、资源池、集群、主机、数据中心、网络和虚拟机。所有对象均具有所有对象均具有 Permissions(权限)选项卡。选项卡。此选项卡显示与选定对象相关联的用户/组和角色。第8页,共2
6、3页。模块编号 8-9VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。分配权限分配权限 要添加权限,请转到对象的 Permissions(权(权限)限)选项卡,右键单击视图区域,然后选择 Add Permission(添(添加权限)加权限)。选择用户和角色。也可以选择将权限传播到子对象。第9页,共23页。模块编号 8-10VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。查看角色和分配情况查看角色和分配情况Roles(角色)(角色)窗格显示选定的角色分配给了
7、特定对象上的哪些用户。第10页,共23页。模块编号 8-11VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。应用权限:情景应用权限:情景 1 权限可以传播到对象层次结构下的所有子对象,也可以只应用到直接对象。Greg AdministratorGreg 无访问权限无访问权限第11页,共23页。模块编号 8-12VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。组组 1 VM_Power_On(自定义角色)(自定义角色)组组 2 Take_Snapshots(
8、自定义角色)(自定义角色)组组 1 的成员:的成员:GregSusan组组 2 的成员:的成员:GregCarla应用权限:情景应用权限:情景 2 如果某个用户属于多个用户组,且这些组都具有访问同一如果某个用户属于多个用户组,且这些组都具有访问同一对象的权限:对象的权限:此用户将获得为这些用户组分配的该对象的所有特权。第12页,共23页。模块编号 8-13VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。组组 1 的成员:的成员:GregSusan组组 2 的成员:的成员:GregCarla应用权限:情景应用权限:情景 3 如
9、果某个用户属于多个用户组,而且这些组具有访问不同对如果某个用户属于多个用户组,而且这些组具有访问不同对象的权限:象的权限:对于这些用户组有权访问的每个对象,此用户也可以用相同的权限进行访问,就像直接为该用户授予了这些权限一样。组组 1 Administrator组组 2 Read-Only第13页,共23页。模块编号 8-14VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。组组 1 VM_Power_On(自定义角色)(自定义角色)组组 2 Take_Snapshots(自定义角色)(自定义角色)Greg Read-only
10、组组 1 的成员:的成员:GregSusan组组 2 的成员:的成员:GregCarla应用权限:情景应用权限:情景 4 针对某个对象,为用户明确定义的访问权限优先于用户组的针对某个对象,为用户明确定义的访问权限优先于用户组的访问权限。访问权限。第14页,共23页。模块编号 8-15VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。创建角色创建角色创建角色:创建角色:为其指定一个描述性名称。1.仅选择必要的特权。第15页,共23页。模块编号 8-16VMware vSphere 4:安装、配置、管理 修订版 B版权所有 200
11、9 VMware,Inc.保留所有权利。创建角色:示例创建角色:示例创建只能执行必要任务的角色。创建只能执行必要任务的角色。示例:Virtual Machine Creator使用文件夹界定权限的范围。使用文件夹界定权限的范围。例如,将 Virtual Machine Creator 角色分配给用户 Nancy,并将其应用到 Finance 文件夹。Virtual Machine Creator 角色角色Datastore(数据存储)Allocate space(分配空间)Network(网络)Assign network(分配网络)Resource(资源)Assign virtual mac
12、hine to resource pool(将虚拟机分配给资源池)Virtual machine(虚拟机)Inventory(清单)Create new(新建)Virtual machine(虚拟机)Configuration(配置)Add new disk(添加新磁盘)Virtual machine(虚拟机)Configuration(配置)Add or remove device(添加或移除设备)第16页,共23页。模块编号 8-17VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。使用使用 vSphere Web Acc
13、ess 执行访问控制执行访问控制vSphere Web Access 是一种基于浏览器的应用程序,主要用于管理虚拟机。是一种基于浏览器的应用程序,主要用于管理虚拟机。管理员可让最终用户通过浏览器访问虚拟机,用户无需在其桌面上安装 VMware vSphere Client。客户端设备允许虚拟机访问用户本地软驱和 CD/DVD 驱动器中的介质。减少访问 VMware ESX 主机上的这些驱动器的需要vSphere Web Access(Apache Tomcat 服务)安装服务)安装在此处在此处Web Access Web Access 第17页,共23页。模块编号 8-18VMware vSp
14、here 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。使用使用 vSphere Web Access将 Web 浏览器指向 vCenter Server 系统或 ESX 主机的主机名(或 IP 地址),然后单击 Log in to Web Access(登录 Web Access)链接。vSphere Web Access 在 ESXi 主机上不可用。1.登录 vSphere Web Access。第18页,共23页。模块编号 8-19VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利
15、。查看 VM 及其详细信息。查看 VM 的控制台。执行选择 VM 任务。vSphere Web Access 任务任务第19页,共23页。模块编号 8-20VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。生成虚拟机快捷方式生成虚拟机快捷方式一种通过 URL 访问虚拟机的方式可以将其包含在电子邮件中第20页,共23页。模块编号 8-21VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。练习练习 14在本练习中,您将创建在本练习中,您将创建 vCenter Se
16、rver 用户权限。用户权限。在 vCenter Server 系统中创建 Windows 帐户。创建 Virtual Machine Creator 角色。将角色分配给用户。检验该用户是否能够创建虚拟机。限制仅可在本地数据存储中创建虚拟机。(可选)创建名为 Template Deployer 的角色。第21页,共23页。模块编号 8-22VMware vSphere 4:安装、配置、管理 修订版 B版权所有 2009 VMware,Inc.保留所有权利。要点要点权限是对清单中的某个对象应用的用户/组和角色的组合。权限可以传播到对象层次结构下的所有子对象,也可以只应用到直接对象。为了实现更好的安全性并增加控制能力,最好的做法是用最少的特权定义角色。vSphere Web Access 可让最终用户通过浏览器访问虚拟机,用户无需在其桌面上安装 vSphere Client。第22页,共23页。模块编号 8-23演讲完毕,谢谢观看!第23页,共23页。
