文档详细内容(约238页)
vSphere安全性 部署 VCenter Server Appliance时,指定这些密码。 设备Lnux操作系统的root用户的密码。 ■ vCenter Single Sign-On域管理员(默认为 administrator(@ vsphere. local)的密码 可以从设备控制台更改root用户密码并执行其他 vCenter Server Appliance本地用户管理任务。请参见 vCenter Server Appliance配置 安全性最佳做法与资源 如果您按照最佳做法进行操作,ESXi和 vCenter Server可以与不包含虚拟化的环境一样安全,安全性甚至 本手册包括 vSphere基础架构的不同组件的最佳做法。 表1-1.安全性最佳做法 vSphere组件 资源 EsXi主机 第3章,确保ESXi主机安全 vCenter server系统 vCenter server安全性最佳做法 虚拟机 虚拟机安全性最佳做法 vSphere网络连接 vSphere网络连接安全性最佳做法 本手册只是必须用于确保环境安全的其中一种资源。 VMware安全资源(包括安全警示和下载)通过Web提供 表1-2.Web上的 VMware安全资源 主题 资源 EsXi和vCenterserver安全性和操作相关信息,包https:/vspherecentral.vmware.com/t/security/ 括安全配置和管理程序安全性。 VMware安全策略、最新安全警示、安全下载及安http://www.vmware.com/go/security 全主题重点讨论。 公司安全响应策略 http://ww.vmware.com/support/policies/securityresponse.html VMware致力于帮助维护安全的环境。安全问题是需要及时更正的。 VMware 安全响应策略中作出了解决其产品中可能存在的漏洞之承诺 第三方软件支持策略 http://www.vmware.com/support/policies/ VMware支持各种存储系统和软件代理(如备份代理及系统管理代理等)。可 以通过在http://www.vmware.com/vmtn/resources/上搜索ESXi兼容性指南, 找到支持ESXi的代理、工具及其他软件的列表 VMware不可能对此行业中的所有产品和配置进行测试。如果 VMware未在兼 容性指南中列出某种产品或配置,其技术支持人员将尝试帮 题,但不能保证该产品或配置的可用性。请始终对不受支持的产品或配置进行 安全风险评估 合规性和安全标准,以及关于虚拟化和合规性的合http://www.vmware.com/go/compliance 作伙伴解决方案和深入内容 针对于不同vSphere组件版本的安全认证和验证(如https://ww.vmware.com/support/support-resources/certifications.htm CcES和FPS)的相关信息 VMware,lc保留所有权利
部署 vCenter Server Appliance 时,指定这些密码。 n 设备 Linux 操作系统的 root 用户的密码。 n vCenter Single Sign-On 域管理员(默认为 administrator@vsphere.local)的密码。 可以从设备控制台更改 root 用户密码并执行其他 vCenter Server Appliance 本地用户管理任务。请参见 vCenter Server Appliance 配置。 安全性最佳做法与资源 如果您按照最佳做法进行操作,ESXi 和 vCenter Server 可以与不包含虚拟化的环境一样安全,安全性甚至 更高。 本手册包括 vSphere 基础架构的不同组件的最佳做法。 表 1‑1. 安全性最佳做法 vSphere 组件 资源 ESXi 主机 第 3 章,确保 ESXi 主机安全 vCenter Server 系统 vCenter Server 安全性最佳做法 虚拟机 虚拟机安全性最佳做法 vSphere 网络连接 vSphere 网络连接安全性最佳做法 本手册只是必须用于确保环境安全的其中一种资源。 VMware 安全资源(包括安全警示和下载)通过 Web 提供。 表 1‑2. Web 上的 VMware 安全资源 主题 资源 ESXi 和 vCenter Server 安全性和操作相关信息,包 括安全配置和管理程序安全性。 https://vspherecentral.vmware.com/t/security/ VMware 安全策略、最新安全警示、安全下载及安 全主题重点讨论。 http://www.vmware.com/go/security 公司安全响应策略 http://www.vmware.com/support/policies/security_response.html VMware 致力于帮助维护安全的环境。安全问题是需要及时更正的。VMware 安全响应策略中作出了解决其产品中可能存在的漏洞之承诺。 第三方软件支持策略 http://www.vmware.com/support/policies/ VMware 支持各种存储系统和软件代理(如备份代理及系统管理代理等)。可 以通过在 http://www.vmware.com/vmtn/resources/ 上搜索 ESXi 兼容性指南, 找到支持 ESXi 的代理、工具及其他软件的列表。 VMware 不可能对此行业中的所有产品和配置进行测试。如果 VMware 未在兼 容性指南中列出某种产品或配置,其技术支持人员将尝试帮助解决任何相关问 题,但不能保证该产品或配置的可用性。请始终对不受支持的产品或配置进行 安全风险评估。 合规性和安全标准,以及关于虚拟化和合规性的合 作伙伴解决方案和深入内容 http://www.vmware.com/go/compliance 针对于不同 vSphere 组件版本的安全认证和验证(如 CCEVS 和 FIPS)的相关信息。 https://www.vmware.com/support/support-resources/certifications.html vSphere 安全性 VMware, Inc. 保留所有权利。 16
vSphere安全性 表12.Web上的 VMware安全资源(续) 主题 资源 针对不同vSphere版本和其他VMware产品的安全https://www.vmware.com/support/support-resources/hardening-guides.html 性配置指南(以前称为强化指南) 《VMwarevSphereHypervisor的安全性》白皮书http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsi uslet-101.pdf VMware,lc保留所有权利
表 1‑2. Web 上的 VMware 安全资源 (续) 主题 资源 针对不同 vSphere 版本和其他 VMware 产品的安全 性配置指南(以前称为强化指南)。 https://www.vmware.com/support/support-resources/hardening-guides.html 《VMware vSphere Hypervisor 的安全性》白皮书 http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsruslet-101.pdf vSphere 安全性 VMware, Inc. 保留所有权利。 17
vSphere权限和用户管理任务 2 身份验证和授权可以控制访问权限。 vCenter Single Sign-On支持身份验证,这表明它可以确定用户究竟是 否可以访问 vSphere组件。每个用户还必须获得授权,才能查看或操作 vSphere对象。 vSphere支持多种不同的授权机制,如了解 vSphere中的授权中所述。本部分中的信息重点关注 vCenter Server权限模型的工作原理以及如何执行用户管理任务。 vCenter server允许通过权限和角色对授权进行精细控制。向 vCenter server对象层次结构中的对象分配权 时,请指定哪个用户或组对该对象具有哪些特权。要指定特权,请使用角色(即特权集) 最初,仅 vCenter Single Sign-On域的管理员用户(默认为 administrator@ vsphere.ocal)有权登录到 vCenter server系统。授权后,该用户可以执行如下操作 1将在其中定义了用户和组的标识源添加到 vCenter Single Sign-On中。请参见 Platform Services Controller管理文档。 2向用户或组授予特权,方法是选择虚拟机或 vCenter server系统等对象并将针对该对象的角色分配给相 应的用户或组 角色、特权和权限(htp/ ink brightcove. com/services/player/bcpid2296383276001? bctid=ref: video roles privileges permissions vsphere web client) 本章讨论了以下主题 了解 vSphere中的授权 管理 vCenter组件的权限 全局权限 使用角色分配特权 角色和权限的最佳做法 常见任务的所需特权 了解 vSphere中的授权 vSphere支持具有精细控制的几个模型,以确定是否允许用户执行某项任务。 vCenter Single Sign-On使用 vCenter Single Sign-On组中的组成员资格决定您可以执行的操作。您在对象上的角色或者您的全局权限确 定您是否可以在 vSphere中执行其他任务。 VMware,lc保留所有权利
vSphere 权限和用户管理任务 2 身份验证和授权可以控制访问权限。vCenter Single Sign-On 支持身份验证,这表明它可以确定用户究竟是 否可以访问 vSphere 组件。每个用户还必须获得授权,才能查看或操作 vSphere 对象。 vSphere 支持多种不同的授权机制,如了解 vSphere 中的授权中所述。本部分中的信息重点关注 vCenter Server 权限模型的工作原理以及如何执行用户管理任务。 vCenter Server 允许通过权限和角色对授权进行精细控制。向 vCenter Server 对象层次结构中的对象分配权 限时,请指定哪个用户或组对该对象具有哪些特权。要指定特权,请使用角色(即特权集)。 最初,仅 vCenter Single Sign-On 域的管理员用户(默认为 administrator@vsphere.local)有权登录到 vCenter Server 系统。授权后,该用户可以执行如下操作: 1 将在其中定义了用户和组的标识源添加到 vCenter Single Sign-On 中。请参见 Platform Services Controller 管理文档。 2 向用户或组授予特权,方法是选择虚拟机或 vCenter Server 系统等对象并将针对该对象的角色分配给相 应的用户或组。 角色、特权和权限 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_roles_privileges_permissions_vsphere_web_client) 本章讨论了以下主题: n 了解 vSphere 中的授权 n 管理 vCenter 组件的权限 n 全局权限 n 使用角色分配特权 n 角色和权限的最佳做法 n 常见任务的所需特权 了解 vSphere 中的授权 vSphere 支持具有精细控制的几个模型,以确定是否允许用户执行某项任务。vCenter Single Sign-On 使用 vCenter Single Sign-On 组中的组成员资格决定您可以执行的操作。您在对象上的角色或者您的全局权限确 定您是否可以在 vSphere 中执行其他任务。 VMware, Inc. 保留所有权利。 18
vSphere安全性 授权概览 vSphere6.0及更高版本允许有特权的用户授予其他用户执行任务的权限。可以使用全局权限,也可以使用 本地 vCenter Server权限以授权其他用户处理各个 vCenter Server实例。 v Center server 2权限 vCenter Server系统的权限模型需要向对象层次结构中的对象分配权限。每种 权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,您可以选 择虚拟机,然后选择添加权限,向所选域中的一组用户分配角色。该角色授予 这些用户相应的虚拟机特权 全局权 全局权限应用到跨多个解决方案的全局根对象。例如,如果同时安装了 vCenter server和 rEalize orchestrator,则可以使用全局权限。例如,可以 授予一组用户对这两个对象层次结构中的所有对象的读取权限 系统会在整个 vsphere loca域中复制全局权限。全局权限不会为通过 vsphere. local组管理的服务提供授权。请参见全局权限。 v Center Single Sign-On vsphere. local组的成员可以执行某些任务。例如,如果您是 组中的组成员资格 License Service Administrators组的成员,则可以执行许可证管理。请参见 Platform services controller管理文档。 EsXi本地主机权限 如果要管理不受 vCenter Server系统管理的独立EsXi主机,则可以向用户 分配其中一个预定义的角色。请参见 vSphere单台主机管理- VMware H Cent文档 对于受管主机,请向 vCenter server清单中的EsXi主机对象分配角色。 了解对象级别权限模型 您授权用户或组使用对象上的权限在 vCenter对象上执行任务。 vSphere权限模型需要向 vSphere对象层 次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,一组用 户可能在一个虚拟机上具有只读角色,而在另一个虚拟机上具有管理员角色。 以下概念非常重要。 vCenter Server对象层次结构中的每个对象都具有关联的权限。每个权限为 一个组或用户指定该组或用户具有对象的哪些特权。 用户和组 在 vCenter Server系统中,可以仅向经过身份验证的用户或经过身份验证的 用户组分配特权。用户通过 vCenter Single Sign-On进行身份验证。必须在 vCenter Single Sign-On用于进行身份验证的标识源中定义用户和组。使用您 的标识源(例如 Active Directory)中的工具定义用户和组 VMware,lc保留所有权利
授权概览 vSphere 6.0 及更高版本允许有特权的用户授予其他用户执行任务的权限。可以使用全局权限,也可以使用 本地 vCenter Server 权限以授权其他用户处理各个 vCenter Server 实例。 vCenter Server 权限 vCenter Server 系统的权限模型需要向对象层次结构中的对象分配权限。每种 权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,您可以选 择虚拟机,然后选择添加权限,向所选域中的一组用户分配角色。该角色授予 这些用户相应的虚拟机特权。 全局权限 全局权限应用到跨多个解决方案的全局根对象。例如,如果同时安装了 vCenter Server 和 vRealize Orchestrator,则可以使用全局权限。例如,可以 授予一组用户对这两个对象层次结构中的所有对象的读取权限。 系统会在整个 vsphere.local 域中复制全局权限。全局权限不会为通过 vsphere.local 组管理的服务提供授权。请参见全局权限。 vCenter Single Sign-On 组中的组成员资格 vsphere.local 组的成员可以执行某些任务。例如,如果您是 LicenseService.Administrators 组的成员,则可以执行许可证管理。请参见 Platform Services Controller 管理文档。 ESXi 本地主机权限 如果要管理不受 vCenter Server 系统管理的独立 ESXi 主机,则可以向用户 分配其中一个预定义的角色。请参见 vSphere 单台主机管理 - VMware Host Client 文档。 对于受管主机,请向 vCenter Server 清单中的 ESXi 主机对象分配角色。 了解对象级别权限模型 您授权用户或组使用对象上的权限在 vCenter 对象上执行任务。vSphere 权限模型需要向 vSphere 对象层 次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。例如,一组用 户可能在一个虚拟机上具有只读角色,而在另一个虚拟机上具有管理员角色。 以下概念非常重要。 权限 vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为 一个组或用户指定该组或用户具有对象的哪些特权。 用户和组 在 vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的 用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 用于进行身份验证的标识源中定义用户和组。使用您 的标识源(例如 Active Directory)中的工具定义用户和组。 vSphere 安全性 VMware, Inc. 保留所有权利。 19
vSphere安全性 特权 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到 用户或组。 角色 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的 权限。默认角色(例如管理员)已在 VCenter server中预定义,不能更改。 其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过 克隆和修改样本角色创建自定义角色。请参见创建自定义角色 图21. vSphere权限 特口 角色 vSphere对象 特口 特口 用口或口 要向对象分配权限,请执行以下步骤 1在 VCenter对象层次结构中选择要应用权限的对象 2选择应对该对象具有特权的组或用户。 3选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权) 默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。 vCenter Server提供预定义的角色,这些角色合并了经常使用的特权集。也可通过合并一组角色创建自定义 角色。 通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权, 同时还需要针对目标数据中心的特权。 请参见下面的信息 要了解 请参见 创建自定义角色。 创建自定义角色 所有特权以及可对其应用特权的对象 第13章,定义的特权 对不同对象执行不同任务所需的特权集。 常见任务的所需特权 独立ESX主机的权限模型比较简单。请参见为ESXi主机分配特权。 权限的层次结构继承 当向对象授予权限时,可以选择是否允许其沿对象层次结构向下传播。为每个权限设置传播。传播并非普遍 适用。为子对象定义的权限将总是替代从父对象中传播的权限 VMware,lc保留所有权利
特权 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到 用户或组。 角色 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的 权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。 其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过 克隆和修改样本角色创建自定义角色。请参见创建自定义角色。 图 2‑1. vSphere 权限 权限 vSphere 对象 用户或户 角色 特户 特户 特户 特户 要向对象分配权限,请执行以下步骤: 1 在 vCenter 对象层次结构中选择要应用权限的对象。 2 选择应对该对象具有特权的组或用户。 3 选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权)。 默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。 vCenter Server 提供预定义的角色,这些角色合并了经常使用的特权集。也可通过合并一组角色创建自定义 角色。 通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权, 同时还需要针对目标数据中心的特权。 请参见下面的信息。 要了解... 请参见... 创建自定义角色。 创建自定义角色 所有特权以及可对其应用特权的对象 第 13 章,定义的特权 对不同对象执行不同任务所需的特权集。 常见任务的所需特权 独立 ESXi 主机的权限模型比较简单。请参见为 ESXi 主机分配特权。 权限的层次结构继承 当向对象授予权限时,可以选择是否允许其沿对象层次结构向下传播。为每个权限设置传播。传播并非普遍 适用。为子对象定义的权限将总是替代从父对象中传播的权限。 vSphere 安全性 VMware, Inc. 保留所有权利。 20
