远程直接管理运维VMware虚拟机

1. 使 用vCenter Server远程管理运维虚拟机

如果给vCenter Server分配了公网地址，管理员就可以使用vSphere Web Client、VMware vSphere Client、VMware Workstation登录 vCenter Server，管理其下的所有虚拟机（如图1）。

VMware支持管理员通过移动终端设备管理VMware vCenter Serevr。移动终端无论采用iOS系统还是Android系统，都有对应版本的View Client。只要在移动终端上安装了View Client，就可以用View Client登录vCenter Server，管理其下的虚拟机。如果安装的vCenter Server是6.5以上的版本，还可通过浏览器登录，和在电脑上登录vCenter Server所用工具一样，也是基于浏览器的管理工具“vSphere Web Client”。

图1 用vCenter Server管理虚拟机和主机

图2 vCenter用户和组管理

借 助vCenter Server管理虚拟机，有其他远程操控方式不可比拟的优势。此方式既不需要在虚拟机上开启远程访问端口，也不需要在虚拟机上安装任何远程控制软件。管理员还可以根据运维管理人员的角色定位创建用户账户，分配相应的访问权限和范围（如图2）。例如，可以为某软件供应商的技术支持人员创建单独的账号，让他只能运维管理自己的虚拟机。

vCenter Server的角色和权限管理功能非常强大，可以自由创建角色、更改角色的权限，权限内容非常丰富，有31个大类，虚拟机权限仅仅是其中的一类。图3列出的权限只是虚拟机操作权限的一部分，管理员可以控制某个角色是否能够修改设备设置、能否添加内存、能否对客户机进行操作等近三十项配置权限。

创建或配置好角色后，就可以对某个对象添加或修改权限，权限添加内容不仅可以指定访问该对象的用户，还可以为该用户分配角色。这里的对象既包括虚拟机，也包括数据中心等其他对象。比如，管理员为甲公司技术支持只分配了虚拟机A的访问最小权限，那该技术支持登录到vCenter Server后，是看不到其他虚拟机的，也不能修改虚拟机的配置，只能在其负责的虚拟机上进行相应的操作。因此，vCenter Server几乎适合所有运维管理人员，也包括非本单位运维管理人员，如软件、服务器、存储等提供商的技术支持人员。

2.采用远程桌面连接方式管理虚拟机

图3 vCenter角色创建及权限分配

远程桌面连接是远程运维管理服务器最常见的方式之一。因远程桌面连接需要在被运维管理的服务器上开放端口及公网IP，因此，远程桌面连接的应用范围有限，一般只有单位内部人员在局域网内使用。也有部分单位的管理员为了获得产品的技术支持，临时开放端口，映射公网地址，让产品的技术支持人员以远程桌面连接的方式对产品进行升级或排查故障。

3.利用第三方远程工具管理虚拟机

在被运维管理虚拟机上安装 TeamViewer、XT800之类的远程控制软件，当然，在本地也要安装相应的远程控制软件，只要双方能连接到这些远程控制软件的服务器，获得授权码，就可以通过授权码远程控制虚拟机，实现远程运维。此种方式不需要开放端口，被管理的虚拟机也不需要有公网地址。缺点有三，一是需要在被管理的虚拟机上安装远程运维工具，占用服务器资源；二是需要登录远程控制软件提供商的服务器，获得授权码或ID，如果访问不了远程控制软件提供商的服务器，远程操控将无法进行；三是这些远程控制软件很容易被黑客修改，如果安装的是被黑客修改过远程控制软件，其后果是难以想象的。因此，下载此类软件，一定要到官网下载。

4.借助聊天工具协助管理虚拟机

有少部分管理员，为了让技术支持人员解决问题，在被运维的虚拟机上临时安装QQ、MSN等聊天工具，再利用聊天工具上的远程控制或远程协助功能实现远程运维。采用方式，管理端和运维端都需要人员，而且双方必须是好友。

以远程管理机为跳板，本地管理虚拟机

1.以QQ远程协助为跳板工具，用远程桌面连接管理虚拟机

QQ+远程桌面连接是一种组合的远程运维管理方式。需要对方提供技术支持时，对方人员可以通过聊天工具远程控制管理员的电脑，把管理员的电脑当作跳板，再通过远程桌面连接，远程操控虚拟机，实现虚拟机的远程运维管理。

2.以QQ远程协助为跳板工具，本地使用vCenter管理虚拟机

此种运维方式和上述方式类似，只是本地管理从远程桌面连接改成了vCenter，也是一种临时的远程运维管理方式。采用此种方式的原因，一是单位部署的VMware vCenter Server可能没有开通外网访问，二是没有为技术支持创建账号，设置访问权限，因事情紧急而采用的临时方式。

3.以第三方远程软件为跳板工具，本地使用vCenter管理虚拟机

管理员可以创建一台虚拟机（起堡垒机作用），安装TeamViewer之类的第三方远程工具和VMware vSphere Client。然后为产品提供商的技术支持人员创建vCenter账号，分配好相应权限。管理员告知技术支持人员vCenter账号和第三方远程工具的授权码后，对方就可以对所负责的产品进行远程运维管理了。用此种方式管理虚拟机，既可以监控远程技术人员的操作，也可以让远程技术支持人员放手操作。

创建VPN，虚拟机远程管理本地化

VPN是虚拟专用网络的简称，就是在公用网络上建立专用网络，进行加密通讯。VPN属于远程访问技术，它是利用公用网络架设专用网络，管理员即使在外地出差，也可以登录VPN访问单位内部的服务器。

1. 创建VPN连接

首先架设一台VPN服务器，根据运维管理需要，给需要远程管理服务器的人员创建对应的VPN账号。如果用PC、笔记本等设备远程操控虚拟机，桌面系统无论是Windows还是Linux，只要有VPN服务器的公网地址、VPN账号和密码，就可以创建VPN连接。

如果用移动终端远程操控虚拟机，无论终端设备的操作系统是Android系统还是苹果的iOS系统，都提供了VPN连接功能。用户可以开启VPN功能，然后添加VPN即可。添加时需输入VPN服务器地址、账号和密码。

2.虚拟机远程管理本地化

创建VPN连接后，若要将终端设备连接到单位的局域网，双击打开VPN连接，登录到VPN服务器后，就可以像在单位一样，用自己的终端设备管理局域网内的虚拟机。当然，管理方式可以是远程桌面连接，也可以是vCenter，这要根据用户喜好而定。

虚拟机远程运维管理最佳途径

笔者经常需要远程管理维护VMware虚拟机，尝试过多种远程管理运维工具，也尝试了上述几种远程运维方式。根据笔者体验的结果，远程管理维护VMware虚拟机的最佳途径就是VPN+vCenter。

1.安全性高

首先，VPN的安全性很高。一是VPN采用128-bit及以上级别的非对称加密算法，可以保证数据在不安全信道上的安全传输。即使被中途截获，也需要动用巨大的计算力量才有可能解密。二是VPN连接与VPN服务器建立的是点对点的加密隧道连接，即使不同位置的用户登录到同一台服务器上，用户之间也不会互相获得彼此传输的数据。三是服务器端是通过服务器的IP地址出口，不会透露用户实际的IP地址等信息，可以确保用户的匿名性。

其次，用vCenter管理虚拟机，必须先登录到vCenter Server，而 vCenter采用的是单点登录（Single Sign-On）方式进行vSphere 身份验证，这是一种采用安全令牌交换机制的身份验证代理程序。用户通过vCenter Single Sign-On进行身份验证后，即可访问已被授权的vCenter服务（包括虚拟机）。vCenter对所有通信的流量都会进行加密，而且只有经过身份验证的用户才被授予访问权限。

2.管理方便快捷

一是实现了虚拟机的集中管理，登录到vCenter Server后，所有虚拟机都出现vCenter管理控制台下，如果所管理的虚拟机比较多，还可以在虚拟机和模板视图中创建文件夹，将虚拟机组织到文件夹层次结构中，就像管理文件那样管理虚拟机。二是可以进行硬件底层管理，如开关机、添加内存和硬盘，放置光盘等。除此之外，还可以像管理本地物理机一样，远程安装操作系统，安装或卸载软件，停止或启动服务，这些都是用远程管理软件进行远程维护不能完成的工作。

3.管理方式多样化

如果用PC、笔记本等设备管理维护虚拟机，VMware提供了VMware vSphere Client和VMware Workstation Pro两款工具，功能都很强大。如果不想使用客户端，还可以使用浏览器，通过vSphere Web Client远程管理维护虚拟机。

如果使用手机、平板等移动终端管理维护虚拟机，Android系统可以使用VMware View，苹果的iOS系统可以使用vSphere Client管理维护虚拟机。如果VMware vCenter升级到6.5，该版本提供了基于 HTML5 的vSphere Web Client，也就是说，在移动终端上也可以用浏览器管理维护虚拟机。

4.远程流畅清晰

虽然网络带宽越来越高，但网络环境越来越复杂，用“直连”的远程控制软件远程操控虚拟机时，有时会出现卡顿，甚至出现连接错误。笔者曾经通过公网地址直接访问 vCenter Server，远程操控时，卡顿现象就比较严重。而使用VPN连接到局域网后，登录vCenter Server几乎和在单位一样，操作顺畅，比TeamViewer远程控制软件都流畅。据笔者估计，同样的线路，出现这种差异，应该和单位的防火墙有关。

经验总结

远程运维管理VMware虚拟机的办法有很多，读者可以根据实际情况，选择适合自己的远程运维管理办法。安全起见，如果是单位内部的管理员要远程运维管理虚拟机，推荐采用VPN+vCenter的组合方式；如果是服务于本单位的技术支持人员要远程运维管理，推荐使用“第三方远程工具+vCenter”的组合方式，采用此方式同样是“双保险”，服务于本单位的技术支持人员想远程运维管理虚拟机，既需要第三方远程工具的授权码，也需要vCenter账号。管理员还可以通过监看“堡垒机”，全程监看技术支持人员的操作。