vmware 培训教材8_AccessControl

1、VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。访问控制模块 8第1页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。您在此处您在此处 操作vSphere 环境配置 VMware ESX 和 ESXi安装和使用 VMware vCenter Server存储网络连接虚拟机资源监视访问控制可扩展性配置管理高可用性和数据保护安装 VMware ESX 和 ESXiVMware 虚拟化简介第2页，共23页。VMware vSphere 4：安

2、装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。重要性如果有多个用户访问 VMware vSphere 环境，最好只为每个用户分配必要的权限。利用 VMware vCenter Server 可以灵活分配权限。第3页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。课程目标定义权限描述应用权限的规则创建自定义角色创建权限描述使用 VMware vSphere Web Access 的优势列出可在 vSphere Web Access 中执行的任务第4页，共23页。VMwar

3、e vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。访问控制概述借助访问控制系统，vCenter Server 管理员可以指定哪些用户或组可以在哪个对象上执行何种操作。重要概念： 特权 用于定义可执行的操作角色 代表一组特权对象 操作的目标Windows 用户/组 指明谁可以执行操作将角色、用户/组和对象结合起来即可定义权限。第5页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。用户和组vCenter Server 用户和组就是在 vCenter S

4、erver 的 Windows 域中定义的用户和组。第6页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。角色和特权 角色是特权的集合。它们使用户可以执行各种任务。 按类别分组。包括系统角色、示例角色和自定义角色。 第7页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。对象 对象是要对其执行操作的实体。例如，对象包括数据中心、文件夹、资源池、集群、主机、数据中心、网络和虚拟机。所有对象均具有 Permissions（权限）

5、选项卡。此选项卡显示与选定对象相关联的用户/组和角色。第8页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。分配权限 要添加权限，请转到对象的 Permissions（权限） 选项卡，右键单击视图区域，然后选择 Add Permission（添加权限）。选择用户和角色。也可以选择将权限传播到子对象。第9页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。查看角色和分配情况Roles（角色） 窗格显示选定的角色分配给了特定对象上

6、的哪些用户。第10页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。应用权限：情景 1 权限可以传播到对象层次结构下的所有子对象，也可以只应用到直接对象。Greg AdministratorGreg 无访问权限第11页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。组 1 VM_Power_On（自定义角色）组 2 Take_Snapshots（自定义角色）组 1 的成员：GregSusan组 2 的成员：GregCarla

7、应用权限：情景 2 如果某个用户属于多个用户组，且这些组都具有访问同一对象的权限：此用户将获得为这些用户组分配的该对象的所有特权。第12页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。组 1 的成员：GregSusan组 2 的成员：GregCarla应用权限：情景 3 如果某个用户属于多个用户组，而且这些组具有访问不同对象的权限：对于这些用户组有权访问的每个对象，此用户也可以用相同的权限进行访问，就像直接为该用户授予了这些权限一样。 组 1 Administrator组 2 Read-Only第13页，共

8、23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。组 1 VM_Power_On（自定义角色）组 2 Take_Snapshots（自定义角色）Greg Read-only组 1 的成员：GregSusan组 2 的成员：GregCarla应用权限：情景 4 针对某个对象，为用户明确定义的访问权限优先于用户组的访问权限。 第14页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。创建角色创建角色：为其指定一个描述性名称。仅选择必要的

9、特权。第15页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。创建角色：示例创建只能执行必要任务的角色。示例：Virtual Machine Creator使用文件夹界定权限的范围。例如，将 Virtual Machine Creator 角色分配给用户 Nancy，并将其应用到 Finance 文件夹。Virtual Machine Creator 角色Datastore（数据存储） Allocate space（分配空间）Network（网络） Assign network（分配网络）Resource（资

10、源） Assign virtual machine to resource pool（将虚拟机分配给资源池）Virtual machine（虚拟机） Inventory（清单） Create new（新建）Virtual machine（虚拟机） Configuration（配置） Add new disk（添加新磁盘）Virtual machine（虚拟机） Configuration（配置） Add or remove device（添加或移除设备）第16页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。

11、使用 vSphere Web Access 执行访问控制vSphere Web Access 是一种基于浏览器的应用程序，主要用于管理虚拟机。管理员可让最终用户通过浏览器访问虚拟机，用户无需在其桌面上安装 VMware vSphere Client。客户端设备允许虚拟机访问用户本地软驱和 CD/DVD 驱动器中的介质。减少访问 VMware ESX 主机上的这些驱动器的需要vSphere Web Access（Apache Tomcat 服务）安装在此处Web Access Web Access 第17页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 200

12、9 VMware, Inc. 保留所有权利。使用 vSphere Web Access将 Web 浏览器指向 vCenter Server 系统或 ESX 主机的主机名（或 IP 地址），然后单击 Log in to Web Access（登录 Web Access） 链接。vSphere Web Access 在 ESXi 主机上不可用。登录 vSphere Web Access。第18页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。查看 VM 及其详细信息。查看 VM 的控制台。执行选择 VM 任务。v

13、Sphere Web Access 任务第19页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。生成虚拟机快捷方式一种通过 URL 访问虚拟机的方式可以将其包含在电子邮件中第20页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 2009 VMware, Inc. 保留所有权利。练习 14在本练习中，您将创建 vCenter Server 用户权限。在 vCenter Server 系统中创建 Windows 帐户。创建 Virtual Machine Creator 角色。将角色分配给用户。检验该用户是否能够创建虚拟机。限制仅可在本地数据存储中创建虚拟机。（可选）创建名为 Template Deployer 的角色。第21页，共23页。VMware vSphere 4：安装、配置、管理 修订版 B版权所有 200