提到IT安全性，第一大原則就是“不要相信任何人”。一旦公司達(dá)到一定規(guī)模后，安全總會成為問題。如果你在使用VMware，那么太多人訪問vCenter就會會成為問題。

但是通過一些想法和優(yōu)秀的設(shè)計來固化vCenter安全關(guān)注點(diǎn)是非常容易的。使用vCenter角色，可以實現(xiàn)管理員用戶權(quán)限的細(xì)粒度管理。

剛開始時，你應(yīng)該進(jìn)行一些整體的調(diào)整。一個非常重要的變更就是將本地管理員從全局管理員角色中移除。否則具有vCenter server的本地管理員權(quán)限的用戶就對整個虛擬基礎(chǔ)設(shè)施具有管理權(quán)限。

使用正確的vCenter視圖來應(yīng)用安全性

你可以使用的一個簡單的場景就是區(qū)分兩大管理組Windows管理組和Linux管理組的權(quán)限，只有你是唯一的VMware管理員。你還需要有兩個活動目錄組，每個活動目錄組對應(yīng)著相應(yīng)的管理員集合。也可以在角色中存放特定的用戶，但是這讓事情變得復(fù)雜，尤其是當(dāng)員工不斷調(diào)整變化時更是如此。

顯示在vSphere Client中列出的角色

在vCenter儀表盤中，黃色的目錄用于收集物理條目，比如機(jī)器內(nèi)的目錄。這些目錄用于組織邏輯基礎(chǔ)設(shè)施。針對藍(lán)色目錄(虛擬機(jī)以及目錄)對象，可以指派相應(yīng)的特權(quán)。為創(chuàng)建Windows以及Linux管理角色，可以選擇主頁>管理>角色?？梢钥吹揭呀?jīng)創(chuàng)建的一些角色。通過單擊可以查看擁有該角色的用戶。

創(chuàng)建新角色

請注意vCenter提供了角色示例，可以通過克隆高級用戶示例角色來創(chuàng)建一個新角色。右鍵選擇克隆，可以創(chuàng)建名為虛擬機(jī)克隆高級用戶(sample)的新角色?？寺〗巧鞘褂矛F(xiàn)有的角色被認(rèn)為是最佳實踐。這樣做意味著如果有必要你總可以重頭開始。右鍵選擇重命名可以將角色的名字修改為WintelAdmins。重復(fù)上述步驟可以再創(chuàng)建一個名為LinuxAdmins的角色。

創(chuàng)建Windows和Linux管理員角色

接下來回退到vCenter，進(jìn)入虛擬機(jī)以及模板視圖。右鍵單擊數(shù)據(jù)中心，創(chuàng)建名為Wintel的目錄，然后在創(chuàng)建名為Linux的目錄。通過拖拽可以將虛擬機(jī)移動到指定的目錄下。

使用目錄簡化管理

為Windows管理員添加權(quán)限

現(xiàn)在可以將權(quán)限應(yīng)用到這些目錄了。返回主菜單，虛擬機(jī)與模板。單擊Wintel目錄，虛擬機(jī)將位于左側(cè)面板，然后單擊右側(cè)的權(quán)限標(biāo)簽，通過右鍵單擊添加權(quán)限來添加Wintel管理員。

分配正確的權(quán)限

單擊添加，然后為要添加的組選擇域。然后輸入Wintel管理員組的前幾個字母。為簡化操作可以在單擊查詢前先選擇顯示組。如果你知道域以及組，可以直接在左側(cè)的角色分配下拉列表中選擇之前創(chuàng)建的Wintel管理員組。