對(duì)于文件服務(wù)器、主域服務(wù)器、郵箱服務(wù)器、代理服務(wù)器,我們都有嚴(yán)格的權(quán)限管控,某個(gè)用戶、每一級(jí)別的管理人員都賦予相應(yīng)的操作權(quán)限。即便是某項(xiàng)權(quán)限設(shè)置的不當(dāng),影響的也只是單一服務(wù),虛擬化服務(wù)器則不然,由于它承載的虛擬服務(wù)太多,一旦虛擬系統(tǒng)的權(quán)限失控,輕則丟失文件,某一服務(wù)失效;重則會(huì)導(dǎo)致其構(gòu)建的所有虛擬系統(tǒng)中斷運(yùn)行。因此,我們對(duì)虛擬系統(tǒng)的權(quán)限控制要謹(jǐn)慎操作。
案例回顧:
處理器E5506、16GB內(nèi)存、2TB硬盤(pán)的一臺(tái)物理服務(wù)器,上面運(yùn)行著10個(gè)虛擬化系統(tǒng),其中物理服務(wù)器的C盤(pán)為系統(tǒng)盤(pán),D盤(pán)和E盤(pán)分別裝載著5個(gè)虛擬系統(tǒng),F(xiàn)盤(pán)則作為保留,時(shí)刻準(zhǔn)備應(yīng)用于虛擬硬盤(pán)。這樣的設(shè)置起初沒(méi)有任何問(wèn)題,但是隨著時(shí)間的推移,虛擬機(jī)最近的表現(xiàn)有些異常。
E盤(pán)裝在的虛擬系統(tǒng)是代理服務(wù)器、文件服務(wù)器、郵件服務(wù)器、OA服務(wù)器和測(cè)試服務(wù)器,除了代理服務(wù)器,其余三個(gè)服務(wù)器每天都會(huì)產(chǎn)生大量的數(shù)據(jù),這導(dǎo)致了硬盤(pán)空間告急,出現(xiàn)了空間不足的提示,看來(lái)需要清理一下磁盤(pán)空間了。
由于所有的服務(wù)都已經(jīng)穩(wěn)定的投入運(yùn)行,測(cè)試服務(wù)器已經(jīng)不再需要,決定將這個(gè)虛擬化服務(wù)器予以刪除,暫時(shí)緩解一下空間危機(jī),但是再刪除過(guò)程中出現(xiàn)了意外,登陸的帳戶沒(méi)有權(quán)限刪除文件。
案例分析:
由于管理員帳戶處于絕對(duì)的保密狀態(tài),很多時(shí)候我們使用一個(gè)低權(quán)限的帳戶來(lái)查看虛擬化服務(wù)器的各項(xiàng)工作指標(biāo),但是這個(gè)賬戶受到部分限制,一些工作不能流暢的進(jìn)行,因此我們需要開(kāi)放權(quán)限。
將這些帳戶加入Administrators組嗎?顯然不是!
管理員組的權(quán)限過(guò)于開(kāi)放,有時(shí)候無(wú)意識(shí)的操作會(huì)使虛擬服務(wù)停止,甚至?xí)刮锢矸?wù)器崩潰,寬松的權(quán)限意味著風(fēng)險(xiǎn),因此對(duì)權(quán)限要把握的很準(zhǔn)確。
但是,Hyper v的權(quán)限指派要比NTFS等安全權(quán)限復(fù)雜得多,我們需要選擇一款好的工具來(lái)精確的、簡(jiǎn)單的設(shè)置Hyper v的應(yīng)用權(quán)限,那就是“AzMan”。
#p#副標(biāo)題#e#
解決方案:
AzMan(Authorization Manager,授權(quán)管理器),是微軟公司提供的授權(quán)管理軟件,它不依托于COM+,是開(kāi)放的組件標(biāo)準(zhǔn),因此它可以在底層支持XML、AD、ADAM、SQL Server等眾多授權(quán)方式。
它的應(yīng)用也較為簡(jiǎn)單,基于MMC(Microsoft Management Console,微軟管理控制臺(tái))來(lái)管理相關(guān)的認(rèn)證中心和授權(quán)訪問(wèn)級(jí)別。下面我們介紹一下如何通過(guò)AzMan來(lái)設(shè)置用戶訪問(wèn)和管理Hyper的相關(guān)權(quán)限。
一、授權(quán)管理器的添加
1、依次選擇“開(kāi)始”→“運(yùn)行”,在“運(yùn)行”對(duì)話框中輸入“MMC”,啟動(dòng)“控制臺(tái)”;
2、再選擇“文件”→“添加/刪除管理單元”,找到“授權(quán)管理器”,單擊“添加”按鈕,再單擊“確定”按鈕;
3、這時(shí)系統(tǒng)會(huì)提示“沒(méi)有選擇授權(quán)存儲(chǔ)”(見(jiàn)圖一),我們必須打開(kāi)一個(gè)存儲(chǔ)的資源。選擇“操作”→“打開(kāi)授權(quán)存儲(chǔ)(O)...”,在“選擇授權(quán)存儲(chǔ)類(lèi)型中選擇“XML文件”,然后選擇“瀏覽”按鈕,瀏覽到“
%ProgramData%\Microsoft\Windows\Hyper-V”中的InitialStore.xml文件。
注意:如果安裝的是Hyper-V Server 2008 R2,由于自身沒(méi)有Shell界面,MMC控制臺(tái)不可用,我們可以直接在存儲(chǔ)名稱(chēng)中輸入:
\\IP地址\c$\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml (IP地址為Hyper-V Server 2008 R2物理服務(wù)器地址,C為Hyper-V Server 2008 R2系統(tǒng)安裝盤(pán)),選擇完畢后,單擊“確定”按鈕;
圖一
4、這樣授權(quán)管理器就已經(jīng)添加完畢(見(jiàn)圖二),我們可以看到里面已經(jīng)內(nèi)嵌了administrator管理員帳戶,但是這個(gè)賬戶權(quán)限太大,我們需要重新定義角色和添加授權(quán)帳戶。
圖二
二、帳戶的添加及管理
針對(duì)不同管理員我們需要設(shè)定差異的控制權(quán)限,也許我們希望某個(gè)管理員只能建立和刪除虛擬系統(tǒng);也許只希望某IT工程師可以開(kāi)始或停止虛擬服務(wù);再或者只允許低級(jí)別管理用戶查看部分虛擬系統(tǒng)的狀態(tài),這樣就需要仔細(xì)授權(quán)。
1、依次選擇“授權(quán)管理器”→“InitialStore.xml” →“Hyper –v services” →“定義”→“角色定義”,右鍵選擇“新建角色定義(N)...”;
2、輸入名稱(chēng)和說(shuō)明,以便日后可以快速的定位相關(guān)角色,這里新建的角色名稱(chēng)“Hyper”,然后選擇“添加”按鈕,再選擇“操作”,這里羅列出了所有可操作選項(xiàng)(見(jiàn)圖三),雖然都是英文,但是比較簡(jiǎn)單,不再贅述。
圖三
3、勾選合適的操作權(quán)限,如:“Create Virtual Machine”,然后選擇“確定”按鈕,這樣角色就已經(jīng)建立完成;
4、右鍵選擇“角色分配”,再選擇“分配新角色(R)…”,選擇剛剛建立的“hyper”,確定;
5、右鍵選擇“hyper”角色,選擇“分配用戶和組(A)” ,再選擇“從Windows 和 Active Directory(W)…”,接下來(lái)就可以選擇Hyper服務(wù)器中相應(yīng)用戶名了(見(jiàn)圖四),如果該服務(wù)器已經(jīng)加入了域,則可以選擇域帳戶。所有配置進(jìn)行完畢后,我們將此控制臺(tái)予以保存,以方便日后維護(hù)。
圖四
6、至此,授權(quán)工作就全部結(jié)束了,Hyper V Server 2008 R2中的用戶yanghuan將擁有hyper中設(shè)置的Create Virtual Machine(創(chuàng)建虛擬系統(tǒng))權(quán)限,這樣的管理將會(huì)非常明朗。
#p#副標(biāo)題#e#
知識(shí)延伸:
本文是針對(duì)Hyper v權(quán)限管理做的實(shí)戰(zhàn)演示,對(duì)于AzMan我們?cè)購(gòu)慕Y(jié)構(gòu)和組成上做一下簡(jiǎn)單的介紹。
AzMan是由四個(gè)基本對(duì)象組成,它們分別是:角色、用戶、操作和任務(wù)。
角色(Role)
我們之前已經(jīng)在AzMan建立了一個(gè)角色,它是一組任務(wù)和操作的集合,在這個(gè)集合中我們可以授權(quán)給用戶多個(gè)操作權(quán)限,也可以為用戶自定義多個(gè)任務(wù),如果角色眾多我們還可以應(yīng)用“角色組”的方式將角色統(tǒng)一管理。
用戶(Member)
可以是Hyper V中的帳戶、Active Directory的帳戶、還可以是第三方帳戶。一個(gè)帳戶可以存在于多個(gè)角色之中,運(yùn)行多的操作。
操作(Operation)
它是AzMan邏輯模型中的最基本的、最小的單元,它不可拆分,也不能在疊加其他的“操作”之上,每一個(gè)操作都有唯一的ID標(biāo)識(shí)。
任務(wù)(Task)
角色是任務(wù)和操作的集合,任務(wù)則是操作的集合,單一任務(wù)包含多個(gè)的操作,可以包含多個(gè)任務(wù),對(duì)于復(fù)雜的管理模型,我們就可以通過(guò)任務(wù)來(lái)完成。
結(jié)語(yǔ):
不管是物理服務(wù)器還是虛擬服務(wù)器,權(quán)限的管控都是重中之重,失去權(quán)限的控制遲早會(huì)造成不可挽回的錯(cuò)誤。在Hyper v 投入運(yùn)行伊始,我們就需要根據(jù)職責(zé)不同,針對(duì)每個(gè)IT工程師授予權(quán)限,保障權(quán)限不會(huì)濫用,將虛擬化服務(wù)的風(fēng)險(xiǎn)降至最低,提升數(shù)據(jù)中心整體可用性。
原文鏈接:http://virtual.51cto.com/art/201103/246640.htm
