添加ESXi主机管理员账户

在一个大型的vSphere虚拟化平台架构中，一定有很多部ESXi主机，甚至于有多部的vCenter Server分散在不同的地理位置，来分散管理所有的ESXi主机与虚拟机，因此，系统管理人员肯定不会只有一位。一般而言，企业总部的系统管理人员，通常拥有所有vCenter与ESXi主机的管理权限，而各分支机构的IT人员则可能只会有特定ESXi主机的管理权限，如此才能够做到按不同层级权限，来划分虚拟化平台的管理范围。怎么实现呢？接下来就让我们来学习一下，如何为不同的ESXi主机加入其她系统管理人员。

这部分的配置可以从vSphere Client或vSphere Web Client来完成。首先请在vSphere Client开启ESXi主机“用户”页面，接着，只要在任一空白处按下鼠标右键，点击“添加”。在“添加使用者”页面中，请输入新使用者的登录账户、描述名称以及两次的密码设置即可。点击“确定”。

切换到“权限”页面，并在任一空白处按下鼠标右键，点击“添加权限”，此时便会开启“指派权限”页面。在此，点击“添加”按钮来挑选所要设置权限的账户，然后再从右边窗格中挑选所要赋予的权限即可。

值得注意的是，您可以给予人员的权限划分得更细，例如，您可以让此人员仅拥有管理储存连接的配置，或是仅能够管理分布式交换器与主机设置文件等。

相同的配置方式在vSphere Web Client中一样可以完成的。您只要在ESXi主机的节点中，点击位于“管理→权限”页面中的添加图示，便会开启人员的挑选页面，选取后再点击“添加”，即可指派管理员的角色，以及决定可管理的权限范围。在“权限”的管理页面中，您可以随时修改或添加任一权限配置。

限制使用SSH连接ESXi主机

尽管在ESXi主机的Console端管理中，可以启用远程SSH的连接功能，但考虑安全性问题，您可能会想要仅允许让特定的来源IP地址可以连接登录，而这个来源IP地址列表，肯定是相关管理人员计算机的固定IP地址。

想要完成这项限制设置很简单，请登录vSphere Web Client并点击至所要设置主机的“管理→设置”页面，然后在“系统→安全性设置”页面中选取编辑“SSH服务器”的设置，在默认的状态下，是允许从任何IP地址连接的，您只要先将该设置取消，然后以逗号分隔多个允许连接的来源IP地址即可。

完成“SSH服务器”的安全性设置之后，您可以尝试从一台不被允许的来源IP地址之计算机，以像是PieTTY的工具来进行连接，这时候便会看到无法连接之类的错误提示信息。

限制管理人员连接登录方式

在您企业的vSphere架构中，可能有根据不同的管理人员，来分配管理的权限范围，例如某些人只能管理特定的ESXi主机或虚拟机，某些人则是只能够进行只读查看与一般操作，而无法修改任何配置。无论管理的权责如何划分，若能够强制让所有管理人员都能够统一经由vSphere Web Client的方式，来连接管理所有的群集、ESXi主机、虚拟机以及储存设备等对象，在虚拟化平台整体安全性的管理上肯定会是最理想的。

在接下来的介绍中，笔者将以设置vCenter下的一部ESXi主机为例，然而在实际的环境之中，您应该帮每一部位于vCenter下的ESXi主机均完成这项设置。请在vSphere Web Client管理界面中点击至要管理的ESXi主机节点，然后切换至“管理→设置”页签下的“系统→安全性设置”页面中。在找到“锁定模式”区域之中点击它的“编辑”按钮继续。在此您可以选定所要采用的锁定模式，分别有正常与严格两种，前者不会锁定从本地服务器命令主控，以及通过vCenter Server的登录管理。至于后者便只会允许通过vCenter Server的连接管理。我们以选择“严格”为例，点击“例外使用者”继续。

在“例外使用者”页面中，建议您可以加入例外的管理员清单，也就是说这一些管理员并不会受到上述严格锁定模式的影响，而能够继续使用原有的各种界面来管理ESXi主机。在设置了严格锁定模式之后，您可以先尝试从服务端的命令控制台，来以非例外的管理员账户进行登录，此时便会出现Authentication Denied的错误信息而无法登录。

紧接着，您可以改使用vSphere Client来远程连接登录此ESXi主机，便会发现同样出现了“您不具有登录此服务器的权限”的错误信息。最后，您可以改用例外管理员的账户，来登录上述的两种管理界面，便会发现是可以顺利进行登录的。