vSphere安全性 vCenter server系统角色 角色是一组预定义的特权。向对象添加权限时,请将用户或组与角色配对。 VCenter Server包括多种无法更 的系统角色。 vCenter Server提供一些默认角色。不能更改与默认角色关联的特权。默认角色以层次结构方式进行组织 每个角色将继承前一个角色的特权。例如,管理员角色继承只读角色的特权。 vCenter Server角色层次结构还包括几个样本角色。您可以通过克隆样本角色创建类似的角色 您创建的角色不继承任何系统角色的特权。 管理员角色 具有管理员角色的对象用户可在对象上查看和执行所有操作。此角色也包括只 读角色的所有特权。如果您在某个对象上具有管理员角色,可以将特权分配给 各个用户和组 如果您使用管理员角色在 vCenter Server中进行操作,可以将特权分配给默 认 vCenter Single Sign-On标识源中的用户和组。支持的身份服务包括 Windows Active Directory和 OpenLDAP24。 默认情况下,安装后, administrator@ vsphere. local用户将对 vCenter Single Sign-On和 vCenter Server具有管理员角色。该用户之后可以将其他用户与 vCenter server上的管理员角色相关联。 只读角色 具有“只读”角色的对象用户可查看对象的状态和详细信息。例如,具有此角 色的用户可查看虚拟机、主机和资源池属性,但不能查看主机的远程控制台。 通过菜单和工具栏执行的所有操作均被禁止。 无权访问角色 具有“无权访问”角色的对象用户不能以任何方式查看或更改对象。默认情况 下向新用户和组分配此角色。可以逐对象更改角色 vCenter Single Sign-on域的管理员(默认为 administrator@ vsphere loca)、root用户和 vpxuser默认分配有管理员角 。其他用户默认分配有“无权访问”角色 无加峦管理员角色 具有无加密管理员角色的对象用户与具有管理员角色的用户拥有相同的特权 加密操作特权除外。此角色允许管理员指定其他管理员,他们无法加密或解密 虚拟机或访问加密数据,但可以执行所有其他管理任务。 最佳做法是在root级别创建一个用户并向其分配管理员角色。创建一个具有管理员特权的指定用户后,可以 移除root用户的所有权限或将其角色更改为“无权访问 角色和权限的最佳做法 使用角色和权限的最佳做法可充分提高 VCenter server环境的安全性和易管理性。 在 vCenter server环境中配置角色和权限时, VMware建议采用以下最佳做法 如果可能,请向组分配角色,而不要向单个用户分配角色 VMware,lc保留所有权利
vCenter Server 系统角色 角色是一组预定义的特权。向对象添加权限时,请将用户或组与角色配对。vCenter Server 包括多种无法更 改的系统角色。 vCenter Server 提供一些默认角色。不能更改与默认角色关联的特权。默认角色以层次结构方式进行组织。 每个角色将继承前一个角色的特权。例如,管理员角色继承只读角色的特权。 vCenter Server 角色层次结构还包括几个样本角色。您可以通过克隆样本角色创建类似的角色。 您创建的角色不继承任何系统角色的特权。 管理员角色 具有管理员角色的对象用户可在对象上查看和执行所有操作。此角色也包括只 读角色的所有特权。如果您在某个对象上具有管理员角色,可以将特权分配给 各个用户和组。 如果您使用管理员角色在 vCenter Server 中进行操作,可以将特权分配给默 认 vCenter Single Sign-On 标识源中的用户和组。支持的身份服务包括 Windows Active Directory 和 OpenLDAP 2.4。 默认情况下,安装后,administrator@vsphere.local 用户将对 vCenter Single Sign-On 和 vCenter Server 具有管理员角色。该用户之后可以将其他用户与 vCenter Server 上的管理员角色相关联。 只读角色 具有“只读”角色的对象用户可查看对象的状态和详细信息。例如,具有此角 色的用户可查看虚拟机、主机和资源池属性,但不能查看主机的远程控制台。 通过菜单和工具栏执行的所有操作均被禁止。 无权访问角色 具有“无权访问”角色的对象用户不能以任何方式查看或更改对象。默认情况 下向新用户和组分配此角色。可以逐对象更改角色。 vCenter Single Sign-On 域的管理员(默认为 administrator@vsphere.local)、root 用户和 vpxuser 默认分配有管理员角 色。其他用户默认分配有“无权访问”角色。 无加密管理员角色 具有无加密管理员角色的对象用户与具有管理员角色的用户拥有相同的特权, 加密操作特权除外。此角色允许管理员指定其他管理员,他们无法加密或解密 虚拟机或访问加密数据,但可以执行所有其他管理任务。 最佳做法是在 root 级别创建一个用户并向其分配管理员角色。创建一个具有管理员特权的指定用户后,可以 移除 root 用户的所有权限或将其角色更改为“无权访问”。 角色和权限的最佳做法 使用角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。 在 vCenter Server 环境中配置角色和权限时,VMware 建议采用以下最佳做法: n 如果可能,请向组分配角色,而不要向单个用户分配角色。 vSphere 安全性 VMware, Inc. 保留所有权利。 31
vSphere安全性 仅授予对被需要对象的权限,仅向必须拥有特权的用户或组分配特权。使用最少权限数以使了解和管理 权限结构变得更容易。 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您 可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权 使用文件夹对对象进行分组。例如,要授予对一组主机的修改权限并授予对另一组主机的查看权限,请 将各组主机置于一个文件夹中。 向根 vCenter server对象添加权限时要小心。具有根级别特权的用户有权访问 vCenter server上的全局 数据,例如,角色、自定义属性、 vCenter server设置。 考虑向对象分配权限时启用传播功能。传播功能可确保对象层次结构中的新对象继承权限。例如,您可 以将权限分配给虚拟机文件夹,然后启用传播功能以确保该权限应用于文件夹中的所有虚拟机 使用“无权访问”角色屏蔽层次结构的特定区域。“无权访问”角色会限制具有该角色的用户或组的访 问权限。 ■对许可证的更改会传播到以下项: 链接到同一 Platform services Controller的所有 VCenter server系统 ■同一 vCenter Single Sign-On域中的 Platform Services Controller实例。 即使用户并未对所有 vCenter Server系统拥有特权,也会发生许可证传播。 常见任务的所需特权 许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该 任务。 下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单 对象添加权限。如果希望多次分配一组特权,请创建自定义角色。 如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作: 消耗存储空间的任何操作都需要目标数据存储的数据存储分配空间特权以及用于执行该操作本身的特 权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或群集)和目标父对象上的适当特权。 ■每个主机和群集有其自身的固有资源池,其中包含该主机或群集的所有资源。将虚拟机直接部署到主机 或群集需要资源将虚拟机分配给资源池特权。 表2-4.常见任务的所需特权 任务 所需收权 适用角色 创建虚拟机 在目标文件夹或数据中心上 虚拟机清单新建 虚拟机配置添加新磁盘(如果要创建新虚拟磁盘) 虚拟机配量添加现有磁盘(如果使用现有虚拟磁盘) 虚拟机配置裸设备(如果使用RDM或SCS直通设备) 在目标主机、群集或资源池上 资源池管理员或管 资源将虚拟机分配给资源池 VMware,lc保留所有权利
n 仅授予对被需要对象的权限,仅向必须拥有特权的用户或组分配特权。使用最少权限数以使了解和管理 权限结构变得更容易。 n 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您 可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权。 n 使用文件夹对对象进行分组。例如,要授予对一组主机的修改权限并授予对另一组主机的查看权限,请 将各组主机置于一个文件夹中。 n 向根 vCenter Server 对象添加权限时要小心。具有根级别特权的用户有权访问 vCenter Server 上的全局 数据,例如,角色、自定义属性、vCenter Server 设置。 n 考虑向对象分配权限时启用传播功能。传播功能可确保对象层次结构中的新对象继承权限。例如,您可 以将权限分配给虚拟机文件夹,然后启用传播功能以确保该权限应用于文件夹中的所有虚拟机。 n 使用“无权访问”角色屏蔽层次结构的特定区域。“无权访问”角色会限制具有该角色的用户或组的访 问权限。 n 对许可证的更改会传播到以下项: n 链接到同一 Platform Services Controller 的所有 vCenter Server 系统。 n 同一 vCenter Single Sign-On 域中的 Platform Services Controller 实例。 n 即使用户并未对所有 vCenter Server 系统拥有特权,也会发生许可证传播。 常见任务的所需特权 许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该 任务。 下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单 对象添加权限。如果希望多次分配一组特权,请创建自定义角色。 如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作: n 消耗存储空间的任何操作都需要目标数据存储的数据存储.分配空间特权以及用于执行该操作本身的特 权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。 n 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或群集)和目标父对象上的适当特权。 n 每个主机和群集有其自身的固有资源池,其中包含该主机或群集的所有资源。将虚拟机直接部署到主机 或群集需要资源.将虚拟机分配给资源池特权。 表 2‑4. 常见任务的所需特权 任务 所需特权 适用角色 创建虚拟机 在目标文件夹或数据中心上: n 虚拟机.清单.新建 n 虚拟机.配置.添加新磁盘(如果要创建新虚拟磁盘) n 虚拟机.配置.添加现有磁盘(如果使用现有虚拟磁盘) n 虚拟机.配置.裸设备(如果使用 RDM 或 SCSI 直通设备) 管理员 在目标主机、群集或资源池上: 资源.将虚拟机分配给资源池 资源池管理员或管 理员 vSphere 安全性 VMware, Inc. 保留所有权利。 32
vSphere安全性 表2-4.常见任务的所需特权(续) 任务 所需收权 适用角色 在目标数据存储或包含数据存储的文件夹上 数据存储用户或管 数据存储分配空间 理员 王虚拟机将分配到的网络上 网络用户或管理员 打开虚拟机电源 在其中部署虚拟机的数据中心上 虚拟机超级用户或 虚拟机交互打开电源 管理员 王虚拟机或虚拟机的文件夹上 虚拟机交互打开电源 从模板部署虚拟机 在目标文件夹或数据中心上 管理员 虚拟机清单从现有项创建 虚拟机配量添加新盘 在模板或模板的文件夹上 管理员 虚拟机置备部署模板 在目标主机、群集或资源池上: 管理员 资源将虚拟机分配给资源池 在目标数据存储或数据存储的文件夹上 数据存储用户或管 数据存储分配空间 在虚拟机将分配到的网络上 网络用户或管理员 网络分配网络 生成虚拟机快照 拟机或虚拟机的文件夹上 拟机超级用户或 虚拟机快照管理创建快照 管理员 将虚拟机移动到资源池中 虚拟机或虚拟机的文件夹上: 管理员 资源将虚拟机分配给资源池 虚拟机清单移动 在目标资源池 管理员 资源将虚拟机分配给资源池 在虚拟机上安装客户机操作系统在虚拟机或虚拟机的文件夹上 虚拟机超级用户或 虚拟机交互回答问题 管理员 虚拟机交互控制台交互 虚拟机交互关闭电源 虚拟机交互打开电源 虚拟机交互重置 虚拟机交互配置cD媒体(如果从CD安装) 虚拟机交互配置软盘媒体(如果从软盘安装) 虚拟机交互 Mware Tools安装 VMware,lc保留所有权利
表 2‑4. 常见任务的所需特权 (续) 任务 所需特权 适用角色 在目标数据存储或包含数据存储的文件夹上: 数据存储.分配空间 数据存储用户或管 理员 在虚拟机将分配到的网络上: 网络.分配网络 网络用户或管理员 打开虚拟机电源 在其中部署虚拟机的数据中心上: 虚拟机.交互.打开电源 虚拟机超级用户或 管理员 在虚拟机或虚拟机的文件夹上: 虚拟机.交互.打开电源 从模板部署虚拟机 在目标文件夹或数据中心上: n 虚拟机.清单.从现有项创建 n 虚拟机.配置.添加新磁盘 管理员 在模板或模板的文件夹上: 虚拟机.置备.部署模板 管理员 在目标主机、群集或资源池上: 资源.将虚拟机分配给资源池 管理员 在目标数据存储或数据存储的文件夹上: 数据存储.分配空间 数据存储用户或管 理员 在虚拟机将分配到的网络上: 网络.分配网络 网络用户或管理员 生成虚拟机快照 在虚拟机或虚拟机的文件夹上: 虚拟机.快照管理.创建快照 虚拟机超级用户或 管理员 将虚拟机移动到资源池中 在虚拟机或虚拟机的文件夹上: n 资源.将虚拟机分配给资源池 n 虚拟机.清单.移动 管理员 在目标资源池上: 资源.将虚拟机分配给资源池 管理员 在虚拟机上安装客户机操作系统 在虚拟机或虚拟机的文件夹上: n 虚拟机.交互.回答问题 n 虚拟机.交互.控制台交互 n 虚拟机.交互.设备连接 n 虚拟机.交互.关闭电源 n 虚拟机.交互.打开电源 n 虚拟机.交互.重置 n 虚拟机.交互.配置 CD 媒体(如果从 CD 安装) n 虚拟机.交互.配置软盘媒体(如果从软盘安装) n 虚拟机.交互.VMware Tools 安装 虚拟机超级用户或 管理员 vSphere 安全性 VMware, Inc. 保留所有权利。 33
表2-4.常见任务的所需特权(续) 任务 所需收权 适用角色 在包含安装媒体lsO映像的数据存储上 虚拟机超级用户或 数据存储浏览数据存储(如果从数据存储上的lsO映像安装) 管理员 王向其上载安装介质sO映像的数据存储上 数据存储浏览数据存储 数据存储低级别文件操作 通过 vMotion迁移虚拟机 在虚拟机或虚拟机的文件夹上 资源池管理员或管 资源迁移已打开电源的虚拟机 资源将虚拟机分配给资源池(如果目标资源池与源资源池不同) 目标主机、群集或资源池上(如果与源主机、群集或资源池不同) 资源池管理员或管 资源将虚拟机分配给资源 冷迁移(重定位)虚拟机 虚拟机或虚拟机的文件夹上: 资源池管理员或管 资源迁移已关闭电源的虚拟机 理员 源将虚拟机分配给资源池(如果目标资源池与源资源池不同) 在目标主机、群集或资源池上(如果与源主机、群集或资源池不同) 资源池管理员或管 资源将虚拟机分配给资源池 在目标数据存储上(如果与源数据存储不同): 数据存储用户或管 数据存储分配空间 过 Storage vMotion迁移虚在虚拟机或虚拟机的文件夹上 资源池管理员或管 资源迁移已打开电源的应拟机 在目标数据存储上: 数据存储用户或管 数据存储分配空间 理员 将主机移动到群集 在主机上 管理员 主机清单将主机添加到群集 在目标群集上 管理员 主机清单将主机添加到群集 加密虚拟机 只有在包含 vCenter Server的环境中才能执行加密任务。此外,ESX主机必管理员 须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。 组加密操作特权可实现精细控制。请参见加密任务的必备条件和必需特权。 VMware,lc保留所有权利
表 2‑4. 常见任务的所需特权 (续) 任务 所需特权 适用角色 在包含安装媒体 ISO 映像的数据存储上: 数据存储.浏览数据存储(如果从数据存储上的 ISO 映像安装) 在向其上载安装介质 ISO 映像的数据存储上: n 数据存储.浏览数据存储 n 数据存储.低级别文件操作 虚拟机超级用户或 管理员 通过 vMotion 迁移虚拟机 在虚拟机或虚拟机的文件夹上: n 资源.迁移已打开电源的虚拟机 n 资源.将虚拟机分配给资源池(如果目标资源池与源资源池不同) 资源池管理员或管 理员 在目标主机、群集或资源池上(如果与源主机、群集或资源池不同): 资源.将虚拟机分配给资源池 资源池管理员或管 理员 冷迁移(重定位)虚拟机 在虚拟机或虚拟机的文件夹上: n 资源.迁移已关闭电源的虚拟机 n 资源.将虚拟机分配给资源池(如果目标资源池与源资源池不同) 资源池管理员或管 理员 在目标主机、群集或资源池上(如果与源主机、群集或资源池不同): 资源.将虚拟机分配给资源池 资源池管理员或管 理员 在目标数据存储上(如果与源数据存储不同): 数据存储.分配空间 数据存储用户或管 理员 通过 Storage vMotion 迁移虚 拟机 在虚拟机或虚拟机的文件夹上: 资源.迁移已打开电源的虚拟机 资源池管理员或管 理员 在目标数据存储上: 数据存储.分配空间 数据存储用户或管 理员 将主机移动到群集 在主机上: 主机.清单.将主机添加到群集 管理员 在目标群集上: 主机.清单.将主机添加到群集 管理员 加密虚拟机 只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必 须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一 组加密操作特权可实现精细控制。请参见加密任务的必备条件和必需特权。 管理员 vSphere 安全性 VMware, Inc. 保留所有权利。 34
确保ESXi主机安全 3 ESXi虚拟化管理程序架构具有许多内置安全功能,如CPU隔离、内存隔离和设备隔离。您可以配置锁定模 式、证书替换和智能卡身份验证等其他功能以增强安全性。 EsXi主机还受防火墙保护。您可以根据需要打开入站和岀站流量的端口,但应限制对服务和端口的访冋 使用ESⅪi锁定模式并限制对 ESXi Shell的访冋有助于进一步构建更加安全的环境。从 vSphere6.0开始 ESXi主机将加入证书基础架构。默认情况下,主机将使用 Mware Certificate Authority(McA签名的证 书进行置备。 有关EsXi安全性的其他信息,请参见 VMware白皮书《 VMware vSphere Hypervisor的安全性》。 本章讨论了以下主题: 常规ESXi安全建议 ESXi主机的证书管理 使用安全配置文件自定义主机 为EsXi主机分配特权 使用 Active Directory管理ESXi用户 使用 vSphere Authentication Proxy 配置ESXi的智能卡身份验证 使用 ESXi Shel EsXi主机的UEF安全引导 使用可信平台模块保护ESXi主机 EsXi日志文件 常规ESXi安全建议 为了避免ESX主机遭到未经授权的入侵和误用, VMware对几个参数、设置和活动施加了一些限制。可以 根据配置需求而放宽这些限制。如果放宽限制,确保在可信任的环境中使用并采取其他安全措施 VMware,lc保留所有权利
确保 ESXi 主机安全 3 ESXi 虚拟化管理程序架构具有许多内置安全功能,如 CPU 隔离、内存隔离和设备隔离。您可以配置锁定模 式、证书替换和智能卡身份验证等其他功能以增强安全性。 ESXi 主机还受防火墙保护。您可以根据需要打开入站和出站流量的端口,但应限制对服务和端口的访问。 使用 ESXi 锁定模式并限制对 ESXi Shell 的访问有助于进一步构建更加安全的环境。从 vSphere 6.0 开始, ESXi 主机将加入证书基础架构。默认情况下,主机将使用 VMware Certificate Authority (VMCA) 签名的证 书进行置备。 有关 ESXi 安全性的其他信息,请参见 VMware 白皮书《VMware vSphere Hypervisor 的安全性》。 本章讨论了以下主题: n 常规 ESXi 安全建议 n ESXi 主机的证书管理 n 使用安全配置文件自定义主机 n 为 ESXi 主机分配特权 n 使用 Active Directory 管理 ESXi 用户 n 使用 vSphere Authentication Proxy n 配置 ESXi 的智能卡身份验证 n 使用 ESXi Shell n ESXi 主机的 UEFI 安全引导 n 使用可信平台模块保护 ESXi 主机 n ESXi 日志文件 常规 ESXi 安全建议 为了避免 ESXi 主机遭到未经授权的入侵和误用,VMware 对几个参数、设置和活动施加了一些限制。可以 根据配置需求而放宽这些限制。如果放宽限制,确保在可信任的环境中使用并采取其他安全措施。 VMware, Inc. 保留所有权利。 35