20160125-VMware-VSOS-Day 1

20160125 VMware VSOS

Day 1 - 20160125

Online resource

https://www.vmware.com/support/pubs/vsphere-esxi-vcenter-server-6-pubs.html

VCP6-DCV

建議課程

• 2v0-620
• ICM
• 2v0-621
• VSOS

Module 2 vSphere Security

About vCenter Single Sign-On

vCenter Single Sign-On Server

• 主要針對 Web Client
• 透過 SSO 來驗證存取 vCenter Server

Supported Identity Store Technologies

• Windows Active Directory(AD)
• Active Directory over LDAP
• OpenLDAP
• Local operating system users
• vCenter Single Sign-On system users

VC的版本必須 > = ESXi 版本

vCenter Deployment Modes

• vCenter Server with an embedded Platform Services Controller
• vCenter Server with an external Platform Services Controller
• 多台 vCenter 附在PSC進行驗證
• Enhanced Linked Mode
• 不建議混合使用

vCenter Server Deployment Recommendations

• 同一個Site 應該不會用 Enhanced Linked Mode
• 透過 HA 來保護
• 多個Site比較有可能用 Enhanced Linked Mode

Lesson 2: Upgrading vCenter Server

vSphere Upgrade Requirements

• vCenter Server for Windows has preinstallation checker 來檢查
• VMware vCenter Server Appliance can be upgraded only from version 5.5

Preparing for vCenter Server Upgrade

Backup vCenter

• Data base with MS SQL http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2012138
• Data base with Postgres  http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2091961&sliceId=1&docTypeID=DT_KB_1_1&dialogID=935191779&stateId=0%200%20935207514

Lesson 3: Configuring ESXi Access and Authentication

Configuring the ESXi Firewall

• Creating custom firewall rules in VMware ESXi 5.x (2008226) http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2008226&sliceId=2&docTypeID=DT_KB_1_1&dialogID=935211170&stateId=0%200%20935213321

等待自己lab

• 在vCenter 選取主機, Manage -- > Settings -- > Security Profile 觀察 Firewall 來知道要開哪些 port
• 可以參考 http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2051575

Enabling and Disabling Lockdown Mode

• 啟用 Lockdown Mode 之後
• 只允許 本機與vpxuser 登入
• 本機 DCUI
• 透過 vCenter 登入 ( 預設使用vpxuser )

Strict Lockdown Mode

• 啟用 Strick Lockdown Mode 之後
• 只允許 vpxuser 登入
• 透過 vCenter 登入 ( 預設使用vpxuser )

-- Class break --

Integrating ESXi with AD

• 誰可以將電腦加入AD
• Domain Admins
• Domain Users ( 預設 10 台電腦 )

Lesson 4: Configuring Roles and Permissions

Access Control Overview

Permission

• Read
• Write

Privilege 特權

• 每一個 Privilege 都是獨立, 互不相干
• 限制行為( 工作職掌 )

User or Group --套用 -- > Role  --透過Role取得Privilege -- >  Object

Applying Permissions: Scenario 1

• 子物件權限高於父物件

Applying Permissions: Scenario 2

• 使用者的權限是採取連集 union 相加

Applying Permissions: Scenario 4

• 當使用者與群組同時存在時, 會忽略群組權限, 所以 Greg 為 Read-only

Notes:

• 如果要授權使用者 ESXi 權限, VC 與 Datacenter 至少要給 Read-only 權限

練習為兩人一組, 因為人數比較少, 所以自己扮演兩個角色, apply 01ab

練習環境 到星期六 XX 為分配的數字, 看講師給的資訊

Lab 1: Adding Active Directory Services and Creating Custom Roles

01a 以及 01b 都要做

• 參考 Lab 文件
• Task 1: Log in to the student desktop
• Task 2: License the vCenter server system and ESXi host
• Task 3: Configure vCenter Server Appliance to use directory services
• 這邊比較奇怪的是加入 AD 之後, 要重新 Rebook vCenter 而且沒有 error message 或是 message 通知
• Task 4: Use vSphere Web Client to add the domain Admins Group to Administrators
• 在驗證來源加入 AD SSO, 使用 AD as a LDAP
• 在 SSO 的 Group, 在 Administrators 群組設定加入Windows AD 內的 Domain Admins 群組.
• 使用 AD 管理者查看是否可以看到 ESXi 主機還有 datacenter ( 可, 因為Domain Admins有加入到 VMware SSO 的 Administrators 群組 )
• 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 否, 因為還沒有加 permission )
• Task 5:Create a Custom Role in vCenter Server
• 透過 vCenter 建立 Role, 針對不同的 Object 設定權限.
• Task 6: Assign Permissions on vCenter Server Inventory Objects
• 在 vCenter 內的 VMs and Templates, 在 Training 的datacenter 加入剛剛自訂的Role權限
• Task 7: Verify Permission Usability
• 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 可看到datacenter )

權限授權相關參考 https://pubs.vmware.com/vsphere-50/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-501-privileges.pdf

-- 中午休息 --

繼續 Lab 1 練習

14:00

Lesson 5: Securing vSphere

Securing ESXi Hosts

• ESXi 預設只允許 root 登入 shell, 其他使用要登入則必須修改 /etc/security/access.conf

/etc/security/access.conf 檔案內容為

# This file is autogenerated and must not be edited.

+:dcui:ALL

+:root:ALL

+:vpxuser:ALL

+:vslauser:ALL

-:ALL:ALL

Lab 在 ESXi 主機建立使用者 user1 然後允取ssh 登入

• 使用 vSphere Client 連線 ESXi 主機
• 開啟 SSH 與 ESX shell
• 建立 user1 使用者
• 使用 user1 ssh 連線到 esxi01.vclass.local, 無法連線, 但是 root 可以連線
• 以 root 連線到 esxi01.vclass.local,
• 編輯 /etc/security/access.conf , 加入 +:user1:ALL
• 再次嘗試使用 user1 連線 esxi 主機, 可以連線 ESXi 主機 ( 證實 /etc/security/access.conf 控管 )

-- Class break --

Virtual Machine Protection Overview

• Disable copy-and-paste operations between guest operating systems and the remote console
• 使用 Role 或是 permission 來達成

Module 3 VMware Management Resources

Methods to run commands

• VMware vSphere ESXi Shell
• vSphere CLI
• vSphere Management Assistant, which includes vSphere CLI

Accessing vSphere ESXi shell locally

• Alt + F1 ESXi shell
• Alt + F2 DCUI

Accessing vSphere ESXi Shell Remotely

ESXi Shell 與 SSH 預設是關閉

• 可在 Security Profile 開啟
• DCUI 內的 Troubleshooting Options 內設定

About vSphere CLI

• 可以在 Windows 或是 Linux 上安裝
• 或是使用 vSphere Management Assistant (vMA), 上面有 CLI

Setting up a vSphere Management Assistant Appliance

• Deploy vMA from a URL or a download file.
• Configure vMA time-zone and network settings
• 到 http://vMA_IP:5480
• login as vi-admin
• 設定時區還有網路
• Add target servers to vMA.
• 加入要管理的 vCenter / ESXi hosts
• vifp   addserver   IP或FQDN  --username  帳號
• 設定之後指定的對象 ( 非必要, 但是可以下指令省略 --server )
• vifptarget  -s   IP或FQDN
• Initialize vi-fastpass authentication.
• 執行相關管理指令

Joining vSphere Management Assistant to AD

• 參考 https://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vma.doc_50%2Fvima_get_start.4.8.html
• sudo   domainjoin-cli   join   <domain-name>   <domain-admin-user>

Connecting to the Infrastructure

• 直接連線 ESXi 走 port 443
• 透過 vCenter 走 port 902

vSphere CLI Command Structure

• --server 連線的機器, ESIi 主機或是 vCenter
• --username 帳號
• --password 密碼
• --vihost 如果是透過 vCenter 要指定要連線的 ESXi 主機
• 上述的方式如果存成 script, 可能會存入 --password, 所以建議使用 vi-fastpass

vSphere Management Assistant Commands

• esxcli
• resxtop
• svmotion
• vicfg- commands
• ESXi 4.x 使用 esxcfg-*
• ESXi 5.x 使用 vicfg-*
• ESXi 5.x ~ 6.x 使用 esxcli
• vicfg-hostops
• 例如 Reboot / Shut down / maintenance mode
• vicfg-cfgbackup
• 例如 Backup and restore host configuration setting
• vicfg-authconfig
• 例如 Add ESXi hosts to an AD domain.
• vifs
• vmkfstools
• vmware-cmd
• 控制 Virtual Machines 指令

vi-fastpass 帳密儲存位置

• ~/.vmware/credstore/vmacredentials.xml 參考 http://www.virtuallyghetto.com/2010/11/how-to-configure-and-use-vmas-vi.html

Virtual Machines Operation Examples Using the vmware-command

esxcli Namespaces

• 後續統一用 esxcli 名稱來執行

Using esxcli to Obtain wth World ID

• World ID
• World - 使用CPU資源的物件 ( 一個 VM 會有很多 World )
• 例如 vCPU / KVM / VMM

Lab 2: Using vSphere Management Assistant

• 參考 Lab 文件
• 使用 SSH 連線到 vMA 進行 Lab
• Task 1: STart SSH and vSphere ESXi Shell Services
• Task 2: Log into the vSphere Management Assistant Appliance
• Task 3: Add the vCenter Server System and ESXi Host as Target Servers
• 加入 vCenter 會提醒, ESXi 主機則不會
• Task 4: Add the ESXi Host Thumbprint to the vCenter Server Certificate Store
• 這邊有遇到誤加 thumbprint 導致無法連線 esxcli 問題, 看下面的 notes
• Task 5: Use ESXCli commands to Query ESXi Host Properties
• Task 6: Use vicfg-ntp commands to configure NTP

Notes

• ~/.vmware/credstore/vmacredentials.xml 儲存帳密
• ~/.vmware/credstore/vicredentials.xml 儲存 thumbprint, 有碰到因為誤植 thumbprint 而導致 esxcli 無法連線, 類似 SSH RSA Host key 需要注意

-- Class End --