vCenter單點(diǎn)登錄的安全結(jié)構(gòu)
譯文如果你與本人一樣,很可能會(huì)發(fā)現(xiàn),自己教自己VMware技術(shù)的一些新東西有點(diǎn)比較困難。這適用于VMware vCloud Director,還適用于VMware軟件定義數(shù)據(jù)中心的一些底層組件。vCenter單點(diǎn)登錄(vCenter Single Sign On)就是這樣的組件之一。
我在介紹如何在虛擬化工作中使用該組件之前,應(yīng)該先解釋一下為何它必不可少。我確信,你在由vCenter 5升級(jí)到5.1的過(guò)程中,與我一樣會(huì)面臨一點(diǎn)困難,而vCenter 5.1引入了vCenter單點(diǎn)登錄。為什么引入該組件?許多人會(huì)說(shuō),我已經(jīng)在活動(dòng)目錄中有了統(tǒng)一身份管理。
不妨看一下VMware軟件定義數(shù)據(jù)中心的大局。它包含諸如vCloud Director之類(lèi)的組件。在最龐大的使用場(chǎng)合下,vCloud Director可與許多不同的企業(yè)進(jìn)行聯(lián)系。如果這個(gè)組件投入使用,跨企業(yè)的多個(gè)活動(dòng)目錄域就會(huì)對(duì)原生信任(native trusts)之類(lèi)的方面來(lái)說(shuō)變得一團(tuán)糟。vCenter單點(diǎn)登錄提供了對(duì)此進(jìn)行合理安排的一種好方法。
但是即便對(duì)小公司來(lái)說(shuō),vCenter單點(diǎn)登錄、vCloud Director及其余組件也能找到用武之地,實(shí)際上還可使用活動(dòng)目錄。所以說(shuō)到一款產(chǎn)品,像vCloud Director那樣,vCenter單點(diǎn)登錄也是出于需要而開(kāi)發(fā)的,可以涵蓋每一種使用場(chǎng)合。
拋開(kāi)這點(diǎn)不說(shuō),不妨具體介紹一下它是如何工作的。由于牽涉幾個(gè)構(gòu)件,我認(rèn)為現(xiàn)在有必要通過(guò)圖表予以說(shuō)明(參閱圖1)。
圖1:vCenter單點(diǎn)登錄引擎將vCenter等核心組件與活動(dòng)目錄等外部來(lái)源聯(lián)系起來(lái)。
這似乎足夠容易,但是vCenter單點(diǎn)登錄引擎實(shí)際上非常強(qiáng)大、可靠。別忘了VMware軟件定義數(shù)據(jù)中心的宏偉大局;這方面有許多組件。我數(shù)了一下,vCloud套件有11個(gè)組件。vCenter單點(diǎn)登錄是其余所有組件之間的管道。但是就我的虛擬化工作而言,我仍然完全需要活動(dòng)目錄,于是我只要將活動(dòng)目錄作為外部來(lái)源,添加到vCenter單點(diǎn)登錄(參閱圖2)。
圖2:一個(gè)活動(dòng)目錄域SSA作為外部來(lái)源而被添加。
然后,你可以將諸群組添加到vCenter Server等產(chǎn)品中的"__Administrators__"群組,并分配相應(yīng)的角色。沒(méi)錯(cuò),這跟之前實(shí)施的方法不一樣,非常適用于硬件設(shè)備(appliance)模式。至于是不是每個(gè)人都喜歡硬件設(shè)備,我不想作一表態(tài)。
現(xiàn)在,這是美好的大局,但是你需要更多的信息才能了解vCenter單點(diǎn)登錄。不必?fù)?dān)心,VMware已經(jīng)作好了準(zhǔn)備。下面是我在實(shí)驗(yàn)室一直使用的其中兩個(gè)最佳資源。第一個(gè)資源是來(lái)自VMware的博文:《vCenter單點(diǎn)登錄第1部分:vCenter單點(diǎn)登錄到底是什么?》(http://blogs.vmware.com/vsphere/2012/09/vcenter-single-sign-on-part-1-what-is-vcenter-single-sign-on.html)。第二個(gè)資源則來(lái)自vCenter說(shuō)明文檔:《了解vCenter單點(diǎn)登錄。你是否已經(jīng)在用vCenter單點(diǎn)登錄?》(http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.vcenterhost.doc/GUID-)。如果用過(guò)了,你在使用過(guò)程中有何心得?歡迎在此留言。