本文中，该领域的一名专家总结了如何正确地分配权限、角色和用户许可等的相关经验，以帮助我们确保vSphere环境的稳定性和安全性。前面我们介绍了vSphere权限与角色，本文介绍为特定的用户和对象分配用户许可。

　　许可的方式下允许我们可以为用户或组分配不同的权限以完成指定的动作，而且可以对vCenter Server内的对象做一些修改。vCenter Server许可只会影响到那些登陆到vCenter Server的用户，而并非是对所有登陆到ESX主机的用户都直接产生影响。

　　许可的管理是非常精细的，有很多访问控制相关的内容可以进行调控，从而为vCenter Server内的各种对象分配不同的权限。这样的权限可以从最高级的数据中心级别一直到最底层的仅对单个虚拟机的控制权。

　　通过在vCenter Server中选中特定的对象，然后在右手侧的面板中您可以看到为它分配的许可。这里我们可以了解到用户/组、为它分配的角色以及设置的级别。如果某个许可是在更高级别的对象内设置的，那么我们只有选中正确的对象才能对该许可做删除操作。同样，我们也可以选择是否把某个对象的许可降级应用到系统内的其它低级对象上。另外，我们还可以为某个用户或用户组分配多个不同的许可，从而为虚拟数据中心内的各种对象指定不同的访问级别。举例来说，我们可以为某个用户分配最高级的数据中心级别的只读权限，这样它就可以访问数据中心内的所有对象。而在针对其它的一些特定对象时，诸如某个ESX主机或虚拟机，则可以为它们分配更高的管理级别。

　　“Roles”选项为用户提供了把一组对应的权限组合成一个角色的能力，然后可以直接把角色应用于用户和组。我们不能直接为用户和组分配权限，因此要借助于先把权限组合为角色然后再把该角色分配给某个用户的方式。在vCenter Server中的用户，如果作为不同的对象出现的话，同一用户是可以分配多个带有不同权限的角色的。但是，如果某个用户拥有的多个不同级别权限是基于同一对象创建的，那么将只有最严格的那个权限才会应用。例如，假设某台主机的某个用户同时拥有了只读权限和完整的管理员权限，那么它最后获得的默认权限是只读属性的。通过选中指定的对象，然后在右侧面板内选择Permissions页，右键单击并选择Add Permission项，我们可以为该对象选择用户和用户组以及分配单一角色（参照图6）。

 
　　图6：为某个用户或组分配权限

　　请注意，当我们在创建许可的时候选择了多个用户和用户组，在Permissions页中可以单独显示出这些相关的用户和用户组。如果某个用户分配的角色是基于某个对象（例如ESX主机）上指定的权限，那么该用户虽然可以看到该对象的所有相关信息，但是在该用户下可以对这个对象执行的操作却受到之前为用户所分配权限的限制。如果该用户缺少完成某个操作的必要权限，那么很多在完整管理员权限下可以看到的操作项就会被隐藏或者是显示为灰色。

　　另外，如果许可是在较低的级别上应用的（例如基于某个虚拟机），用户将无法看到其它的对象（其余的虚拟机），因为他们缺少访问其余对象的权限（除非我们专门把许可应用到更高的级别上）。如果分配该用户许可的目的是为了让它可以在登录vCenter Server的时候实现对某台虚拟机的管理，那么用户登陆后就只能看到datacenter和该虚拟机。它们将无法访问其余的一些对象，如，其它虚拟机、虚拟机所在的ESX宿主机、集群、资源池等等。

　　许可对于完成vCenter Server内的访问分配是一个很好的方法，用户可以通过许可的方式来确保不会把不需要的访问能力分配给vCenter Server用户。下面是一些使用用户许可时的最佳实践：

• 某些特定权限可能对主机造成伤害，因此它们在分配给用户时需要多加注意，只有在必须的情况下再去分配。其中包括任何允许用户可以删除、重命名、移除或者是创建某些可能造成数据丢失或数据中心溢出的条目的权限。这些都会对虚拟机上的某些服务进程造成负面影响（例如，无法创建快照）。
• 永远不要为用户分配超出所需的权限。仅分配所需的权限并避免权限超出所需的级别。假设某个研发人员需要的仅仅是访问主机上某一个或两个虚拟机，那么我们只需在虚拟机的级别上为其分配某一台或几台指定虚拟机的访问权限。
• 针对用户需求来创建特定的角色。为某个操作组人员创建角色时，如果他们的职责限于对虚拟机的监控上，那么为他们创建一个角色仅可以和虚拟机做简单交互操作，如启动、关闭、重置和基于控制台的交互等等。这样的权限可以允许操作组成员登陆虚拟机的控制台来查看虚拟机操作，以及完成对虚拟机的电源周期管理。
• 可以在底层文件级进行操作以完成数据存储这样的权限，在分配时是一定要谨慎的。例如允许用户可以向宿主机的数据存储区上传和下载文件的访问权限是一定要注意的，因为这些操作可能会带来安全风险。
• 很多潜在权限风险存在于网络和子虚拟交换机vSwitch层面。这些权限允许用户可以把虚拟机迁移到任何在vSwitch上配置好的虚拟LAN上。当我们在一台物理主机上同时配置有公有网络和私有网络的不同vSwitch，而且从管理员角度看明确不希望虚拟机在它们之间迁移或者是用户同时可以连接两个不同网络时，这样的权限是非常危险的。为网络管理员们分配网络权限，然后同时禁止网络内的其它人员可以访问，从实践看是很好的处理方法之一。

　　现在，您已经了解了如何使用vCenter Server来实现用户环境的安全性，但是您还需要同时保证用户直接通过vSphere Client或者是ESX服务控制台来登录到ESX和ESXi主机时的安全性。对于这样的访问方式我们需要尽可能地加以控制，只有在必须的时候再开放相应权限。千万不要轻易泄露root账户访问密码，通过创建一些单独的本地用户账户来代替使用，而连接每台主机时使用不同的用户账户进行。在下一版升级后的vSphere中将会允许用户通过活动目录域来完成这些任务。

　　vSphere中包含了很多内置的安全访问控制方法，因此我们要理解和利用这些安全工具来确保虚拟环境的安全性。