在vSphere环境中，很多的安全问题都是由于没有正确地设置安全访问策略引起的。为了做到提前避免问题出现，解决方案提供商们应该仔细检查vSphere环境中的每个相关层面，据此为用户制定正确的安全访问策略。本文中，该领域的一名专家总结了如何正确地分配权限、角色和用户许可等的相关经验，以帮助我们确保vSphere环境的稳定性和安全性。

　　在vSphere环境中，安全问题非常关键。虚拟机的架构、访问及管理方式和传统的物理服务器的差别是非常巨大的。因为在虚拟架构下，虚拟机被压缩为一个个存放于共享数据区域内的单个文件。所以，也同时增加了更多需要防护的部分。另外，虚拟环境中的任何变化或操作都可能会引发系统内的连锁反应。毕竟所有的虚拟机都共享了公共基础架构部分。因此，在正确的地点设置了正确的安全访问策略对于宿主机和虚拟机的防护而言是至关重要的。

　　正因为虚拟环境拥有众多组成部分，它的安全部署也需要在多个层面上实现。在vCenter Server中我们有很多种方法来加强虚拟环境的安全，通过vCenter可以在vSphere内的多个不同层面上提供集中认证服务。vCenter Server的功能主要体现在以下四个方面：

• 权限（Privileges）。权限用于允许或禁止连接到vSphere的用户可以进行的操作。
• 角色（Roles）。角色指的是分配给某个用户或用户组的一组权限的集合。
• 用户和用户组（Users and Groups）。用户和用户组主要用于设置许可级别，以便于分配给从活动目录域获得的各种角色或者是本地Windows域中的用户/组。
• 许可（Permissions）。许可主要用于分配给vSphere中的一个对象使用。主要由用户/组和角色构成。

　　查看和定义正确的vSphere安全权限

　　权限被细分为大约20个左右的类别和子类。图1 从整体上显示了大多数可以在vSphere中进行设定的用户权限。

　　图1：vSphere中相关权限整体视图

　　如果我们展开这些类别，可以看到它们之下的子类别和一些私有权限（参看图2）。

　　图2：展开目录可以看到对应的子目录。

　　解决方案供应商只有在创建和调整角色内容的时候才能访问到对应的权限。选定了虚拟机模板之后就自动包含了所有的子类和它所拥有的权限。如果您想获得更加精细的管理，需要在选定的目录下取消对应条目的选定从而来获得所需的管理权限。

　　对于宿主机和虚拟机而言，可以分配很多不同的权限。对于vCenter Server的某些操作则需要分配很多权限来成功完成操作过程。虽然很多项权限都是默认的，但是如何来准确定义某个特定动作所需的权限组合往往是一个容易混淆的问题。一种识别办法是通过建立一个拥有混合权限的测试用户，然后在测试过程中逐步添加或移除部分权限。您可以在做过改变之后，重新登录到该用户来检查是否可以完成指定的操作。如果不能，就在后台添加权限，然后重新测试。很有效的方式就是先选定所有权限，然后在后台逐步一条条地移除权限，最终达到所期望的许可级别。

　　在下半部分中我们将继续介绍为vSphere安全配置和分配角色。