星期一, 1月 25, 2016

20160125-VMware-VSOS-Day 1

20160125 VMware VSOS

Day 1 - 20160125

Online resource

VCP6-DCV
建議課程
  • 2v0-620
    • ICM
  • 2v0-621
    • VSOS

Module 2 vSphere Security

About vCenter Single Sign-On
vCenter Single Sign-On Server
  • 主要針對 Web Client
  • 透過 SSO 來驗證存取 vCenter Server

Supported Identity Store Technologies
  • Windows Active Directory(AD)
  • Active Directory over LDAP
  • OpenLDAP
  • Local operating system users
  • vCenter Single Sign-On system users

VC的版本必須 > = ESXi 版本

vCenter Deployment Modes
  • vCenter Server with an embedded Platform Services Controller
  • vCenter Server with an external Platform Services Controller
    • 多台 vCenter 附在PSC進行驗證
  • Enhanced Linked Mode
  • 不建議混合使用

vCenter Server Deployment Recommendations
  • 同一個Site 應該不會用 Enhanced Linked Mode
    • 透過 HA 來保護
  • 多個Site比較有可能用 Enhanced Linked Mode

Lesson 2: Upgrading vCenter Server

vSphere Upgrade Requirements
  • vCenter Server for Windows has preinstallation checker 來檢查
  • VMware vCenter Server Appliance can be upgraded only from version 5.5



Preparing for vCenter Server Upgrade

Backup vCenter

Lesson 3: Configuring ESXi Access and Authentication

Configuring the ESXi Firewall

等待自己lab


Enabling and Disabling Lockdown Mode
  • 啟用 Lockdown Mode 之後
    • 只允許 本機與vpxuser 登入
      • 本機 DCUI
      • 透過 vCenter 登入 ( 預設使用vpxuser )

Strict Lockdown Mode
  • 啟用 Strick Lockdown Mode 之後
    • 只允許 vpxuser 登入
      • 透過 vCenter 登入 ( 預設使用vpxuser )

-- Class break --

Integrating ESXi with AD
  • 誰可以將電腦加入AD
    • Domain Admins
    • Domain Users ( 預設 10 台電腦 )

Lesson 4: Configuring Roles and Permissions

Access Control Overview
Permission
  • Read
  • Write
Privilege 特權
  • 每一個 Privilege 都是獨立, 互不相干
  • 限制行為( 工作職掌 )

User or Group --套用 -- > Role  --透過Role取得Privilege -- >  Object

Applying Permissions: Scenario 1
  • 子物件權限高於父物件

Applying Permissions: Scenario 2
  • 使用者的權限是採取連集 union 相加

Applying Permissions: Scenario 4
  • 當使用者與群組同時存在時, 會忽略群組權限, 所以 Greg 為 Read-only

Notes:
  • 如果要授權使用者 ESXi 權限, VC 與 Datacenter 至少要給 Read-only 權限


練習為兩人一組, 因為人數比較少, 所以自己扮演兩個角色, apply 01ab
練習環境 到星期六 XX 為分配的數字, 看講師給的資訊


Lab 1: Adding Active Directory Services and Creating Custom Roles
01a 以及 01b 都要做
  • 參考 Lab 文件
  • Task 1: Log in to the student desktop
  • Task 2: License the vCenter server system and ESXi host
  • Task 3: Configure vCenter Server Appliance to use directory services
    • 這邊比較奇怪的是加入 AD 之後, 要重新 Rebook vCenter 而且沒有 error message 或是 message 通知
  • Task 4: Use vSphere Web Client to add the domain Admins Group to Administrators
    • 在驗證來源加入 AD SSO, 使用 AD as a LDAP
    • 在 SSO 的 Group, 在 Administrators 群組設定加入Windows AD 內的 Domain Admins 群組.
    • 使用 AD 管理者查看是否可以看到 ESXi 主機還有 datacenter ( 可, 因為Domain Admins有加入到 VMware SSO 的 Administrators 群組 )
    • 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 否, 因為還沒有加 permission )
  • Task 5:Create a Custom Role in vCenter Server
    • 透過 vCenter 建立 Role, 針對不同的 Object 設定權限.
  • Task 6: Assign Permissions on vCenter Server Inventory Objects
    • 在 vCenter 內的 VMs and Templates, 在 Training 的datacenter 加入剛剛自訂的Role權限
  • Task 7: Verify Permission Usability
    • 使用 AD 一般使用者查看是否可以看到 ESXi 主機還有 datacenter ( 可看到datacenter )



-- 中午休息 --

繼續 Lab 1 練習

14:00
Lesson 5: Securing vSphere

Securing ESXi Hosts
  • ESXi 預設只允許 root 登入 shell, 其他使用要登入則必須修改 /etc/security/access.conf
/etc/security/access.conf 檔案內容為
# This file is autogenerated and must not be edited.
+:dcui:ALL
+:root:ALL
+:vpxuser:ALL
+:vslauser:ALL
-:ALL:ALL
Lab 在 ESXi 主機建立使用者 user1 然後允取ssh 登入
  • 使用 vSphere Client 連線 ESXi 主機
    • 開啟 SSH 與 ESX shell
    • 建立 user1 使用者
  • 使用 user1 ssh 連線到 esxi01.vclass.local, 無法連線, 但是 root 可以連線
  • 以 root 連線到 esxi01.vclass.local,
    • 編輯 /etc/security/access.conf , 加入 +:user1:ALL
  • 再次嘗試使用 user1 連線 esxi 主機, 可以連線 ESXi 主機 ( 證實 /etc/security/access.conf 控管 )

-- Class break --

Virtual Machine Protection Overview
  • Disable copy-and-paste operations between guest operating systems and the remote console
    • 使用 Role 或是 permission 來達成

Module 3 VMware Management Resources

Methods to run commands
  • VMware vSphere ESXi Shell
  • vSphere CLI
  • vSphere Management Assistant, which includes vSphere CLI

Accessing vSphere ESXi shell locally
  • Alt + F1 ESXi shell
  • Alt + F2 DCUI

Accessing vSphere ESXi Shell Remotely
ESXi Shell 與 SSH 預設是關閉
  • 可在 Security Profile 開啟
  • DCUI 內的 Troubleshooting Options 內設定

About vSphere CLI
  • 可以在 Windows 或是 Linux 上安裝
  • 或是使用 vSphere Management Assistant (vMA), 上面有 CLI

Setting up a vSphere Management Assistant Appliance
  • Deploy vMA from a URL or a download file.
  • Configure vMA time-zone and network settings
  • Add target servers to vMA.
    • 加入要管理的 vCenter / ESXi hosts
      • vifp   addserver   IP或FQDN  --username  帳號
    • 設定之後指定的對象 ( 非必要, 但是可以下指令省略 --server )
      • vifptarget  -s   IP或FQDN
  • Initialize vi-fastpass authentication.
    • 執行相關管理指令

Joining vSphere Management Assistant to AD

Connecting to the Infrastructure
  • 直接連線 ESXi 走 port 443
  • 透過 vCenter 走 port 902

vSphere CLI Command Structure
  • --server 連線的機器, ESIi 主機或是 vCenter
  • --username 帳號
  • --password 密碼
  • --vihost 如果是透過 vCenter 要指定要連線的 ESXi 主機
  • 上述的方式如果存成 script, 可能會存入 --password, 所以建議使用 vi-fastpass

vSphere Management Assistant Commands
  • esxcli
  • resxtop
  • svmotion
  • vicfg- commands
    • ESXi 4.x 使用 esxcfg-*
    • ESXi 5.x 使用 vicfg-*
    • ESXi 5.x ~ 6.x 使用 esxcli
    • vicfg-hostops
      • 例如 Reboot / Shut down / maintenance mode
    • vicfg-cfgbackup
      • 例如 Backup and restore host configuration setting
    • vicfg-authconfig
      • 例如 Add ESXi hosts to an AD domain.
  • vifs
  • vmkfstools
  • vmware-cmd
    • 控制 Virtual Machines 指令

vi-fastpass 帳密儲存位置


Virtual Machines Operation Examples Using the vmware-command

esxcli Namespaces
  • 後續統一用 esxcli 名稱來執行

Using esxcli to Obtain wth World ID
  • World ID
    • World - 使用CPU資源的物件 ( 一個 VM 會有很多 World )
      • 例如 vCPU / KVM / VMM

Lab 2: Using vSphere Management Assistant
  • 參考 Lab 文件
  • 使用 SSH 連線到 vMA 進行 Lab
  • Task 1: STart SSH and vSphere ESXi Shell Services
  • Task 2: Log into the vSphere Management Assistant Appliance
  • Task 3: Add the vCenter Server System and ESXi Host as Target Servers
    • 加入 vCenter 會提醒, ESXi 主機則不會
  • Task 4: Add the ESXi Host Thumbprint to the vCenter Server Certificate Store
    • 這邊有遇到誤加 thumbprint 導致無法連線 esxcli 問題, 看下面的 notes
  • Task 5: Use ESXCli commands to Query ESXi Host Properties
  • Task 6: Use vicfg-ntp commands to configure NTP
Notes
  • ~/.vmware/credstore/vmacredentials.xml 儲存帳密
  • ~/.vmware/credstore/vicredentials.xml 儲存 thumbprint, 有碰到因為誤植 thumbprint 而導致 esxcli 無法連線, 類似 SSH RSA Host key 需要注意


-- Class End --

沒有留言: