20160125 VMware VSOS
Day 1 - 20160125
Online resource
VCP6-DCV
建議課程
- 2v0-620
- ICM
- 2v0-621
- VSOS
Module 2 vSphere Security
About vCenter Single Sign-On
vCenter Single Sign-On Server
- 主要針對 Web Client
- 透過 SSO 來驗證存取 vCenter Server
Supported Identity Store Technologies
- Windows Active Directory(AD)
- Active Directory over LDAP
- OpenLDAP
- Local operating system users
- vCenter Single Sign-On system users
VC的版本必須 > = ESXi 版本
vCenter Deployment Modes
- vCenter Server with an embedded Platform Services Controller
- vCenter Server with an external Platform Services Controller
- 多台 vCenter 附在PSC進行驗證
- Enhanced Linked Mode
- 不建議混合使用
vCenter Server Deployment Recommendations
- 同一個Site 應該不會用 Enhanced Linked Mode
- 透過 HA 來保護
- 多個Site比較有可能用 Enhanced Linked Mode
Lesson 2: Upgrading vCenter Server
vSphere Upgrade Requirements
- vCenter Server for Windows has preinstallation checker 來檢查
- VMware vCenter Server Appliance can be upgraded only from version 5.5
Preparing for vCenter Server Upgrade
Backup vCenter
Lesson 3: Configuring ESXi Access and Authentication
Configuring the ESXi Firewall
- Creating custom firewall rules in VMware ESXi 5.x (2008226) http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2008226&sliceId=2&docTypeID=DT_KB_1_1&dialogID=935211170&stateId=0%200%20935213321
等待自己lab
- 在vCenter 選取主機, Manage -- > Settings -- > Security Profile 觀察 Firewall 來知道要開哪些 port
Enabling and Disabling Lockdown Mode
- 啟用 Lockdown Mode 之後
- 只允許 本機與vpxuser 登入
- 本機 DCUI
- 透過 vCenter 登入 ( 預設使用vpxuser )
Strict Lockdown Mode
- 啟用 Strick Lockdown Mode 之後
- 只允許 vpxuser 登入
- 透過 vCenter 登入 ( 預設使用vpxuser )
-- Class break --
Integrating ESXi with AD
- 誰可以將電腦加入AD
- Domain Admins
- Domain Users ( 預設 10 台電腦 )
Lesson 4: Configuring Roles and Permissions
Access Control Overview
Permission
- Read
- Write
Privilege 特權
- 每一個 Privilege 都是獨立, 互不相干
- 限制行為( 工作職掌 )
User or Group --套用 -- > Role --透過Role取得Privilege -- > Object
Applying Permissions: Scenario 1
- 子物件權限高於父物件
Applying Permissions: Scenario 2
- 使用者的權限是採取連集 union 相加
Applying Permissions: Scenario 4
- 當使用者與群組同時存在時, 會忽略群組權限, 所以 Greg 為 Read-only
Notes:
- 如果要授權使用者 ESXi 權限, VC 與 Datacenter 至少要給 Read-only 權限
練習為兩人一組, 因為人數比較少, 所以自己扮演兩個角色, apply 01ab
練習環境 到星期六 XX 為分配的數字, 看講師給的資訊
Lab 1: Adding Active Directory Services and Creating Custom Roles
01a 以及 01b 都要做
- 參考 Lab 文件
- Task 1: Log in to the student desktop
- Task 2: License the vCenter server system and ESXi host
- Task 3: Configure vCenter Server Appliance to use directory services
- 這邊比較奇怪的是加入 AD 之後, 要重新 Rebook vCenter 而且沒有 error message 或是 message 通知
- Task 4: Use vSphere Web Client to add the domain Admins Group to Administrators
- 在驗證來源加入 AD SSO, 使用 AD as a LDAP
- 在 SSO 的 Group, 在 Administrators 群組設定加入Windows AD 內的 Domain Admins 群組.
- 使用 AD 管理者查看是否可以看到 ESXi 主機還有 datacenter ( 可, 因為Domain Admins有加入到 VMware SSO 的 Administrators 群組 )
- 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 否, 因為還沒有加 permission )
- Task 5:Create a Custom Role in vCenter Server
- 透過 vCenter 建立 Role, 針對不同的 Object 設定權限.
- Task 6: Assign Permissions on vCenter Server Inventory Objects
- 在 vCenter 內的 VMs and Templates, 在 Training 的datacenter 加入剛剛自訂的Role權限
- Task 7: Verify Permission Usability
- 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 可看到datacenter )
-- 中午休息 --
繼續 Lab 1 練習
14:00
Lesson 5: Securing vSphere
Securing ESXi Hosts
- ESXi 預設只允許 root 登入 shell, 其他使用要登入則必須修改 /etc/security/access.conf
/etc/security/access.conf 檔案內容為
# This file is autogenerated and must not be edited.
+:dcui:ALL
+:root:ALL
+:vpxuser:ALL
+:vslauser:ALL
-:ALL:ALL
Lab 在 ESXi 主機建立使用者 user1 然後允取ssh 登入
- 使用 vSphere Client 連線 ESXi 主機
- 開啟 SSH 與 ESX shell
- 建立 user1 使用者
- 使用 user1 ssh 連線到 esxi01.vclass.local, 無法連線, 但是 root 可以連線
- 以 root 連線到 esxi01.vclass.local,
- 編輯 /etc/security/access.conf , 加入 +:user1:ALL
- 再次嘗試使用 user1 連線 esxi 主機, 可以連線 ESXi 主機 ( 證實 /etc/security/access.conf 控管 )
-- Class break --
Virtual Machine Protection Overview
- Disable copy-and-paste operations between guest operating systems and the remote console
- 使用 Role 或是 permission 來達成
Module 3 VMware Management Resources
Methods to run commands
- VMware vSphere ESXi Shell
- vSphere CLI
- vSphere Management Assistant, which includes vSphere CLI
Accessing vSphere ESXi shell locally
- Alt + F1 ESXi shell
- Alt + F2 DCUI
Accessing vSphere ESXi Shell Remotely
ESXi Shell 與 SSH 預設是關閉
- 可在 Security Profile 開啟
- DCUI 內的 Troubleshooting Options 內設定
About vSphere CLI
- 可以在 Windows 或是 Linux 上安裝
- 或是使用 vSphere Management Assistant (vMA), 上面有 CLI
Setting up a vSphere Management Assistant Appliance
- Deploy vMA from a URL or a download file.
- Configure vMA time-zone and network settings
- login as vi-admin
- 設定時區還有網路
- Add target servers to vMA.
- 加入要管理的 vCenter / ESXi hosts
- vifp addserver IP或FQDN --username 帳號
- 設定之後指定的對象 ( 非必要, 但是可以下指令省略 --server )
- vifptarget -s IP或FQDN
- Initialize vi-fastpass authentication.
- 執行相關管理指令
Joining vSphere Management Assistant to AD
- sudo domainjoin-cli join <domain-name> <domain-admin-user>
Connecting to the Infrastructure
- 直接連線 ESXi 走 port 443
- 透過 vCenter 走 port 902
vSphere CLI Command Structure
- --server 連線的機器, ESIi 主機或是 vCenter
- --username 帳號
- --password 密碼
- --vihost 如果是透過 vCenter 要指定要連線的 ESXi 主機
- 上述的方式如果存成 script, 可能會存入 --password, 所以建議使用 vi-fastpass
vSphere Management Assistant Commands
- esxcli
- resxtop
- svmotion
- vicfg- commands
- ESXi 4.x 使用 esxcfg-*
- ESXi 5.x 使用 vicfg-*
- ESXi 5.x ~ 6.x 使用 esxcli
- vicfg-hostops
- 例如 Reboot / Shut down / maintenance mode
- vicfg-cfgbackup
- 例如 Backup and restore host configuration setting
- vicfg-authconfig
- 例如 Add ESXi hosts to an AD domain.
- vifs
- vmkfstools
- vmware-cmd
- 控制 Virtual Machines 指令
vi-fastpass 帳密儲存位置
- ~/.vmware/credstore/vmacredentials.xml 參考 http://www.virtuallyghetto.com/2010/11/how-to-configure-and-use-vmas-vi.html
Virtual Machines Operation Examples Using the vmware-command
esxcli Namespaces
- 後續統一用 esxcli 名稱來執行
Using esxcli to Obtain wth World ID
- World ID
- World - 使用CPU資源的物件 ( 一個 VM 會有很多 World )
- 例如 vCPU / KVM / VMM
Lab 2: Using vSphere Management Assistant
- 參考 Lab 文件
- 使用 SSH 連線到 vMA 進行 Lab
- Task 1: STart SSH and vSphere ESXi Shell Services
- Task 2: Log into the vSphere Management Assistant Appliance
- Task 3: Add the vCenter Server System and ESXi Host as Target Servers
- 加入 vCenter 會提醒, ESXi 主機則不會
- Task 4: Add the ESXi Host Thumbprint to the vCenter Server Certificate Store
- 這邊有遇到誤加 thumbprint 導致無法連線 esxcli 問題, 看下面的 notes
- Task 5: Use ESXCli commands to Query ESXi Host Properties
- Task 6: Use vicfg-ntp commands to configure NTP
Notes
- ~/.vmware/credstore/vmacredentials.xml 儲存帳密
- ~/.vmware/credstore/vicredentials.xml 儲存 thumbprint, 有碰到因為誤植 thumbprint 而導致 esxcli 無法連線, 類似 SSH RSA Host key 需要注意
-- Class End --
沒有留言:
張貼留言