對于文件服務器、主域服務器、郵箱服務器、代理服務器,我們都有嚴格的權限管控,某個用戶、每一級別的管理人員都賦予相應的操作權限。即便是某項權限設置的不當,影響的也只是單一服務,虛擬化服務器則不然,由于它承載的虛擬服務太多,一旦虛擬系統的權限失控,輕則丟失文件,某一服務失效;重則會導致其構建的所有虛擬系統中斷運行。因此,我們對虛擬系統的權限控制要謹慎操作。
案例回顧:
處理器E5506、16GB內存、2TB硬盤的一臺物理服務器,上面運行著10個虛擬化系統,其中物理服務器的C盤為系統盤,D盤和E盤分別裝載著5個虛擬系統,F盤則作為保留,時刻準備應用于虛擬硬盤。這樣的設置起初沒有任何問題,但是隨著時間的推移,虛擬機最近的表現有些異常。
E盤裝在的虛擬系統是代理服務器、文件服務器、郵件服務器、OA服務器和測試服務器,除了代理服務器,其余三個服務器每天都會產生大量的數據,這導致了硬盤空間告急,出現了空間不足的提示,看來需要清理一下磁盤空間了。
由于所有的服務都已經穩定的投入運行,測試服務器已經不再需要,決定將這個虛擬化服務器予以刪除,暫時緩解一下空間危機,但是再刪除過程中出現了意外,登陸的帳戶沒有權限刪除文件。
案例分析:
由于管理員帳戶處于絕對的保密狀態,很多時候我們使用一個低權限的帳戶來查看虛擬化服務器的各項工作指標,但是這個賬戶受到部分限制,一些工作不能流暢的進行,因此我們需要開放權限。
將這些帳戶加入Administrators組嗎?顯然不是!
管理員組的權限過于開放,有時候無意識的操作會使虛擬服務停止,甚至會使物理服務器崩潰,寬松的權限意味著風險,因此對權限要把握的很準確。
但是,Hyper v的權限指派要比NTFS等安全權限復雜得多,我們需要選擇一款好的工具來精確的、簡單的設置Hyper v的應用權限,那就是“AzMan”。
#p#副標題#e#
解決方案:
AzMan(Authorization Manager,授權管理器),是微軟公司提供的授權管理軟件,它不依托于COM+,是開放的組件標準,因此它可以在底層支持XML、AD、ADAM、SQL Server等眾多授權方式。
它的應用也較為簡單,基于MMC(Microsoft Management Console,微軟管理控制臺)來管理相關的認證中心和授權訪問級別。下面我們介紹一下如何通過AzMan來設置用戶訪問和管理Hyper的相關權限。
一、授權管理器的添加
1、依次選擇“開始”→“運行”,在“運行”對話框中輸入“MMC”,啟動“控制臺”;
2、再選擇“文件”→“添加/刪除管理單元”,找到“授權管理器”,單擊“添加”按鈕,再單擊“確定”按鈕;
3、這時系統會提示“沒有選擇授權存儲”(見圖一),我們必須打開一個存儲的資源。選擇“操作”→“打開授權存儲(O)...”,在“選擇授權存儲類型中選擇“XML文件”,然后選擇“瀏覽”按鈕,瀏覽到“
%ProgramData%\Microsoft\Windows\Hyper-V”中的InitialStore.xml文件。
注意:如果安裝的是Hyper-V Server 2008 R2,由于自身沒有Shell界面,MMC控制臺不可用,我們可以直接在存儲名稱中輸入:
\\IP地址\c$\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml (IP地址為Hyper-V Server 2008 R2物理服務器地址,C為Hyper-V Server 2008 R2系統安裝盤),選擇完畢后,單擊“確定”按鈕;
圖一
4、這樣授權管理器就已經添加完畢(見圖二),我們可以看到里面已經內嵌了administrator管理員帳戶,但是這個賬戶權限太大,我們需要重新定義角色和添加授權帳戶。
圖二
二、帳戶的添加及管理
針對不同管理員我們需要設定差異的控制權限,也許我們希望某個管理員只能建立和刪除虛擬系統;也許只希望某IT工程師可以開始或停止虛擬服務;再或者只允許低級別管理用戶查看部分虛擬系統的狀態,這樣就需要仔細授權。
1、依次選擇“授權管理器”→“InitialStore.xml” →“Hyper –v services” →“定義”→“角色定義”,右鍵選擇“新建角色定義(N)...”;
2、輸入名稱和說明,以便日后可以快速的定位相關角色,這里新建的角色名稱“Hyper”,然后選擇“添加”按鈕,再選擇“操作”,這里羅列出了所有可操作選項(見圖三),雖然都是英文,但是比較簡單,不再贅述。
圖三
3、勾選合適的操作權限,如:“Create Virtual Machine”,然后選擇“確定”按鈕,這樣角色就已經建立完成;
4、右鍵選擇“角色分配”,再選擇“分配新角色(R)…”,選擇剛剛建立的“hyper”,確定;
5、右鍵選擇“hyper”角色,選擇“分配用戶和組(A)” ,再選擇“從Windows 和 Active Directory(W)…”,接下來就可以選擇Hyper服務器中相應用戶名了(見圖四),如果該服務器已經加入了域,則可以選擇域帳戶。所有配置進行完畢后,我們將此控制臺予以保存,以方便日后維護。
圖四
6、至此,授權工作就全部結束了,Hyper V Server 2008 R2中的用戶yanghuan將擁有hyper中設置的Create Virtual Machine(創建虛擬系統)權限,這樣的管理將會非常明朗。
#p#副標題#e#
知識延伸:
本文是針對Hyper v權限管理做的實戰演示,對于AzMan我們再從結構和組成上做一下簡單的介紹。
AzMan是由四個基本對象組成,它們分別是:角色、用戶、操作和任務。
角色(Role)
我們之前已經在AzMan建立了一個角色,它是一組任務和操作的集合,在這個集合中我們可以授權給用戶多個操作權限,也可以為用戶自定義多個任務,如果角色眾多我們還可以應用“角色組”的方式將角色統一管理。
用戶(Member)
可以是Hyper V中的帳戶、Active Directory的帳戶、還可以是第三方帳戶。一個帳戶可以存在于多個角色之中,運行多的操作。
操作(Operation)
它是AzMan邏輯模型中的最基本的、最小的單元,它不可拆分,也不能在疊加其他的“操作”之上,每一個操作都有唯一的ID標識。
任務(Task)
角色是任務和操作的集合,任務則是操作的集合,單一任務包含多個的操作,可以包含多個任務,對于復雜的管理模型,我們就可以通過任務來完成。
結語:
不管是物理服務器還是虛擬服務器,權限的管控都是重中之重,失去權限的控制遲早會造成不可挽回的錯誤。在Hyper v 投入運行伊始,我們就需要根據職責不同,針對每個IT工程師授予權限,保障權限不會濫用,將虛擬化服務的風險降至最低,提升數據中心整體可用性。
原文鏈接:http://virtual.51cto.com/art/201103/246640.htm
