虚拟化技术项目教程（ESXi）课件项目10 权限管理.pptxVIP

vSphere权限管理

《虚拟化技术项目教程(ESXi)》

BIGDATA

密码

1项目导入ProjectImport

2职业能力目标和要求

Vocationalcompetencyobjectivesandrequirements

相关知识

relatedknowledge

CONTENTS

3

目录

一、项目导入

学校信息中心为了充分利用现有的服务器硬件资源，,将实施一个虚拟化项目，将原有的2台服务器进行虚拟化。为了进行分级管理，对ESXi主机创建不同的用户和进行相应的角色分配。

《虚拟化技术项目教程(ESXi)》

二、职业能力目标和要求

1.掌握vSphere的权限类型

2.能熟练配置vSphere中的各种权限3.掌握vSphere权限结构

4.掌握vSphere中常见任务所需特权

《虚拟化技术项目教程(ESXi)》

三、相关知识

1.vSphere中的授权

在vSphere中授权用户或组的主要方式是vCenterServer权限。根据要执行的任务，可能需要其他授权。vSphere6.0及更高版本允许有特权的用户以下列方式授予其他用户执行任务的权限。这些方法大多数互相排斥；但是，可以使用全局权限授予某些用户对所有解决方案的权限，以及使用本地vCenterServer权限授予其他用户对各个vCenterServer系统的权限。权限类型如表10-1所示。

《虚拟化技术项目教程(ESXi)》

权限类型

权限内容

vCenterServer权限

vCenterServer系统的权限模型需要向该vCenterServer对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权，即选定对象的角色。例如，您可以选择一台ESXi主机并向一组用户分配角色，以授予这些用户对该主机的相应特权。

全局权限

全局权限应用到跨多个解决方案的全局根对象。例如，如果已安

装vCenterServer和vCenterOrchestrator,则可以使用全局权限向这两个对象层次结构中的所有对象授予权限。系统会在整个vsphere.local

域中复制全局权限。全局权限不会为通过vsphere.local组管理的服务提供授权。

ESXi本地主机权限

如果要管理不受vCenterServer系统管理的独立ESXi主机，则可以向用户分配其中一个预定义的角色。

三、相关知识

表10-1权限类型与相应的权限内容

《虚拟化技术项目教程(ESXi)》

三、相关知识

2.vCenterServer权限模型

vCenterServer系统的权限模型需要向vSphere对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权，即选定对象的角色。

相关概念如下：

(1)权限

vCenterServer对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。

《虚拟化技术项目教程(ESXi)》

三、相关知识

(2)用户和组

在vCenterServer系统中，可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过vCenterSingleSign-On进行身份验证。必须在vCenter

SingleSign-On正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如ActiveDirectory)中的工具定义用户和组。

(3)角色

角色允许基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在vCenterServer中预定义，不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。

《虚拟化技术项目教程(ESXi)》

三、相关知识

(4)特权

特权是精细的访问控制。可以将这些特权分组到角色中，然后可以将其映射到用户或组。

(5)vSphere权限

vSphere权限结构如图10-1所示。

《虚拟化技术项目教程(ESXi)》图10-1vSphere权限结构

特权

特权

三、相关知识

要向对象分配权限，执行以下步骤：

①在vCenter对象层次结构中选择要对其应用权限的对象。

②选择应对该对象具有特权的组或用户。

③选择组或用户针对该对象应具有的角色(即一组特权)。默认情况下，权限会传播，即组或用户对选定对象及其子对象具有选定角色。