提到IT安全性,第一大原则就是“不要相信任何人”。一旦公司达到一定规模后,安全总会成为问题。如果你在使用VMware,那么太多人访问vCenter就会会成为问题。
但是通过一些想法和优秀的设计来固化vCenter安全关注点是非常容易的。使用vCenter角色,可以实现管理员用户权限的细粒度管理。
刚开始时,你应该进行一些整体的调整。一个非常重要的变更就是将本地管理员从全局管理员角色中移除。否则具有vCenter server的本地管理员权限的用户就对整个虚拟基础设施具有管理权限。
使用正确的vCenter视图来应用安全性
你可以使用的一个简单的场景就是区分两大管理组Windows管理组和Linux管理组的权限,只有你是唯一的VMware管理员。你还需要有两个活动目录组,每个活动目录组对应着相应的管理员集合。也可以在角色中存放特定的用户,但是这让事情变得复杂,尤其是当员工不断调整变化时更是如此。
显示在vSphere Client中列出的角色
在vCenter仪表盘中,黄色的目录用于收集物理条目,比如机器内的目录。这些目录用于组织逻辑基础设施。针对蓝色目录(虚拟机以及目录)对象,可以指派相应的特权。为创建Windows以及Linux管理角色,可以选择主页>管理>角色。可以看到已经创建的一些角色。通过单击可以查看拥有该角色的用户。
创建新角色
请注意vCenter提供了角色示例,可以通过克隆高级用户示例角色来创建一个新角色。右键选择克隆,可以创建名为虚拟机克隆高级用户(sample)的新角色。克隆角色而非使用现有的角色被认为是最佳实践。这样做意味着如果有必要你总可以重头开始。右键选择重命名可以将角色的名字修改为WintelAdmins。重复上述步骤可以再创建一个名为LinuxAdmins的角色。
创建Windows和Linux管理员角色
接下来回退到vCenter,进入虚拟机以及模板视图。右键单击数据中心,创建名为Wintel的目录,然后在创建名为Linux的目录。通过拖拽可以将虚拟机移动到指定的目录下。
使用目录简化管理
为Windows管理员添加权限
现在可以将权限应用到这些目录了。返回主菜单,虚拟机与模板。单击Wintel目录,虚拟机将位于左侧面板,然后单击右侧的权限标签,通过右键单击添加权限来添加Wintel管理员。
分配正确的权限
单击添加,然后为要添加的组选择域。然后输入Wintel管理员组的前几个字母。为简化操作可以在单击查询前先选择显示组。如果你知道域以及组,可以直接在左侧的角色分配下拉列表中选择之前创建的Wintel管理员组。