檢視緯育 2026-0325 的原始碼

== ESXi 管理實務 ==
講師解釋在 Windows 11 主機的瀏覽器上，透過輸入 EXSi 主機的 IP 位址（如 192.168.10.10-155/ui ），利用主機虛擬網卡（VMnet）的連線機制來存取其網管功能。並指出此單機管理方式的侷限：管理多台主機時需開啟多個網頁。最後預告將介紹更高效的集中式管理工具 V-Center。

=== 網域環境設定回顧 ===
* AD 網域建立
** 第一台伺服器 AD2016 安裝 Windows Server 2016，並設定 AD 與 DNS 服務。
* 網域控制站 (Domain Controller)
** 該伺服器在安裝 AD 後自動提升為網域控制站 (Domain Controller)。
** 其本機管理員帳號同步提升為網域管理員。
* 新成員加入網域
** 本次課程目標為將第二台與第三台主機 ESXi0106、ESXi0206 加入 vSphere6.local 網域，成為網域成員。
=== EXSi 主機的管理方式 ===
* 本機控制台介面 (DCUI)
** 直接在 EXSi 主機上以 F2 登入的介面稱為 DCUI (Direct Console User Interface)。
** DCUI 為終端機等級介面，只提供基礎設定，不包含加入網域 (Join Domain) 選項。
* 單機用戶端管理程式 (Web Client)
** 進階設定（如加入網域）需使用「單機用戶端管理程式」。
** 過去可能需準備獨立虛擬機並安裝作業系統來執行 Client 程式，較浪費資源。
** 現今多為 Web 形式，可直接在底層主機作業系統（如 Windows 11）上使用瀏覽器操作。
* 連線與存取方法
** 在 Windows 11 的瀏覽器（如 Google Chrome）輸入 [EXSi主機的IP位址]/ui 存取主機網管介面。例如：192.168.101.101/ui。
** 登入使用 root 帳號與對應密碼。
** 此為單機網管介面，一次僅能管理一台主機，閒置逾時需要重新登入。
=== 網路連線原理 ===
* 主機虛擬網卡 (Host-only Virtual Network Adapter)
** 主機作業系統 (Windows 11) 與內部虛擬機 (EXSi) 溝通，透過「主機虛擬網卡」進行。
** 每一台虛擬交換機（例如 VNX11）皆對應一張同名主機虛擬網卡，連接至主機作業系統。
* IP 位址自動設定
** 當在虛擬交換機（如 Win11）的網段設定了 IP（例如 192.168.101.0）後，系統會自動將該網段的第一個可用 IP（例如 192.168.10.1）指派給對應的主機虛擬網卡。
** 主機虛擬網卡取得 IP 後，主機上的 Client（瀏覽器）即可與 EXSi 伺服器的網管功能通訊。講師提到，舊版軟體需手動設定此 IP。
* 連線驗證
** 能在瀏覽器看到 EXSi 的登入介面，表示主機與虛擬機之間的網路路徑暢通。
=== 單機管理的實作與限制 ===
* 管理多台主機
** 示範開啟兩個瀏覽器分頁，分別登入 ESXi0106、ESXi0206。
* 單機管理的缺點
** 一次管理一台主機效率低下；若需管理 100 台伺服器，須開啟 100 個網頁，十分不便，被稱為「低階網管」。
* 學習單機管理的目的
** 仍需熟悉單機管理介面，因在集中式管理工具 vCenter 尚未建置完成前，需先以單機介面進行基礎設定（如加入網域）。
[[檔案:2026-0325-02.png|800px]]
=== ESXi 主機資源監控與網域加入 ===
* ESXi 主機資源使用分析
** 實驗環境的 ESXi 主機配置為 4G 記憶體與 40G 硬碟。
** CPU 耗損：極低。範例中總容量 5.2GHz 的兩顆 CPU 僅使用 71MHz，使用率不到 1%，顯示 CPU 資源充裕。
** 記憶體耗損：相對較高。範例中 4G 中已使用 1.08G，約 25–27%，即使僅運行基本網管服務亦然。
* 將 ESXi 主機加入 Active Directory (AD) 網域
** 啟用內建 AD 功能：ESXi 主機原生具備經微軟授權的 AD 程式。加入網域前需在 ESXi 管理介面啟用此功能（預設為停用）。
** 操作路徑：於 ESXi Web 管理介面依序點擊「管理」-&gt;「安全與使用者」-&gt;「驗證」，選擇「加入網域」。
** 需要網域管理員授權：必須輸入 Domain Controller 的網域管理員帳號（如 Administrator）與密碼（如 passwordAD2016），而非 ESXi 本機密碼，以維護網域安全。
** 加入網域的指令風暴：執行加入動作時，ESXi 會向 AD Domain Controller 發送一系列驗證與註冊封包。
** 常見失敗原因：ESXi 與 Domain Controller 網路不通，尤其是 ESXi 虛擬網卡未正確連線到指定虛擬網路（如 VMnet11）。
* 在 AD Domain Controller 上驗證
** 驗證方法：於第一台 Domain Controller 開啟「Active Directory 使用者和電腦」。
** 查看位置：已加入網域的成員電腦會出現在「Computers」容器（OU）中，檢查是否出現對應 ESXi 主機名稱（如 EXA-0106）。
** 刷新檢視：必要時手動 Refresh，確保新加入的電腦顯示。
** Domain Controller 的位置：因身份特殊，位於「Domain Controllers」專用容器中。
== vCenter Server 6.7 版安裝和建置 ==
課程重點在於指導如何將 ESXi 主機加入 Active Directory (AD) 網域，並詳述安裝與設定 vCenter Server 的前置作業。講師先回顧 ESXi 主機的 CPU 與記憶體資源使用情況，接著逐步示範加入 AD 網域的流程，強調需使用網域管理員帳號驗證。課程也說明如何在 AD Domain Controller 上確認主機是否成功加入。後半段講解第四台主機（作為 vCenter Server）安裝準備，包括其集中管理大型資料庫的角色、對硬體（尤其記憶體）的較高需求，以及 vSphere 6.7 版 vCenter 必須安裝在獨立 Windows Server 2016 作業系統上的特定架構。最後，講師佈置安裝 Windows Server 2016 作為 vCenter 主機的任務並設定相關參數。
=== vCenter Server 安裝準備 (vSphere 6.7 版) ===
* vCenter Server 角色與架構
** 定義：vCenter 是含大型資料庫的集中式管理應用程式，可管理少至數台、多至數千台 ESXi 伺服器。
** vSphere 6.7 的特殊性：必須安裝在獨立的實體或虛擬主機上，先行安裝 Windows Server（如 2016 或 2019），不同於 vSphere 7/8 的架構。
** vSphere 7/8 的 vCenter (VCSA)：基於 Linux 的虛擬應用裝置，作為 VM 直接安裝在 ESXi 上，不需獨立 Windows 主機。
* 第四台主機 (vCenter) 的硬體規格規劃
** CPU：分配 2 顆 CPU 核心（2 CPU x 1 Core）。
** 記憶體：關鍵資源；因 vCenter 為大型資料庫應用，需求高。
** 基本要求：管理少量主機（如 2 台，或 "tiny" 等級 ≤10 台）至少需 10GB。
** 設定單位：以 MB 輸入，10GB = 10 * 1024 = 10240 MB。
** 效能建議：如 vMotion 等操作偏慢，可提升至 12GB 或更高以顯著改善。
** 硬碟：建議 300GB，採單一檔案 (single file)，為上限值；實際使用依納管主機數增長。
** 虛擬化引擎設定：此主機僅運行 vCenter，不執行巢狀 VM，故 不需 勾選 CPU 虛擬化引擎（Intel VT-x/EPT 或 AMD-V/RVI）。
* Windows Server 2016 基礎設定 (for vCenter)
** 網路設定 (IP)：
** IP 位址：192.168.101.25
** 子網路遮罩：255.255.255.0
** 閘道 (Gateway)：不需設定。所有實驗主機均在 192.168.101.0/24 同網段，通訊無須經閘道；舊版 VMware Workstation 不設閘道可能異常的 bug 已修正。
** DNS 伺服器：指向第一台 AD Domain Controller：192.168.101.10。
** 其他設定：
** 關閉防火牆。
** 停用 IPv6。
** 透過 VMware Tools 與 AD 主機同步時間。
** 將本機 Administrator 密碼改為 P@ssw0rdvc。
** 取消系統自動登入。
[[檔案:2026-0325-03.png|800px]]

=== 將 vCenter Server 加入網域與網路驗證 ===
* 登入與準備
** 使用伺服器的本機管理員帳號登入。
** 根據實驗手冊，將此 Windows Server 加入現有的 vsphere6.local 網域。
* 加入網域的步驟與注意事項
** 強烈建議分兩步操作：
    1. 先修改電腦名稱以符合 DNS 記錄（例如，改為 VC06），然後重新啟動。
    2. 重啟後，再執行加入網域的動作。
** 若同時修改電腦名稱並加入網域，可能導致加入失敗。
* 加入網域操作
** 在「系統內容」中，選擇加入網域 vsphere6.local，並使用網域管理員（vsphere6\administrator）的憑證進行驗證。
** 成功後重新啟動，並改用網域管理員身份登入。
* 網路問題排解
** 問題：加入網域時可能出現「無法聯絡網域控制站」的錯誤，即使 DNS 查詢成功。
** 原因：可能與 ARP 廣播請求超時有關。
** 解決方法：先執行 ping 指令 ping 一下網域控制站（如 192.168.101.100），觸發 ARP 解析並快取結果，之後再嘗試加入網域即可成功。
* 安裝 vCenter 前的 DNS 驗證
** 重要性：vCenter 正常運作的先決條件是 DNS 解析功能完全正常。
** 驗證工具：使用 nslookup 命令。
** 驗證步驟：進入 nslookup 模式，確認預設伺服器為 DNS 伺服器，然後執行所有相關主機（AD、ESXi、vCenter 本身）的正向查詢（名稱 -&gt; IP）與反向查詢（IP -&gt; 名稱），確保四筆正向與四筆反向查詢皆能成功解析。
=== vCenter Server 安裝準備與概念 ===
* 安裝檔案準備
** vCenter 的安裝檔 (.iso) 是一個虛擬光碟，內含 vCenter、資料庫等多種應用程式。
** 建議方法：利用 VMware Tools 的無縫複製功能，將 ISO 檔從實體主機直接複製到虛擬機桌面，然後在虛擬機內部右鍵點擊 ISO 檔，選擇「掛接」(Mount)，再執行安裝程式 (autorun.exe)。此法比直接在虛擬機設定中掛載 ISO 效能更佳。
* 資料中心的三大組成
** 網路資源池 (交換機)、運算資源池 (伺服器)、儲存 (Storage) (硬碟陣列)。儲存已發展成一個獨立的專業領域。
* vCenter 部署類型
** 內嵌式部署 (Embedded)：將 Platform Services Controller (PSC) 與 vCenter Server 安裝在同一台機器上。每個 vCenter 有自己獨立的 SSO、授權等服務。此方式較穩定，為 VMware 後期推薦。
** 外部署 (External)：將 PSC 與 vCenter Server 分別安裝在不同機器上，允許多個 vCenter 共享一個 PSC 提供的共用服務（SSO、授權、憑證管理）。此架構在實務上可能因資源競爭導致不穩定。
** 課程選擇：選擇「內嵌式部署」。
=== vCenter Server 安裝過程中的關鍵設定 ===
* 系統網路名稱：使用 FQDN
** 系統名稱必須使用「完全合格域名」(Fully Qualified Domain Name, FQDN)，例如 VC06.vsphere.local，而不應使用 IP 位址。
** 這個 FQDN 會被寫入資安憑證中，用於元件間的加密通訊，且必須在 DNS 中有對應紀錄。
* Single Sign-On (SSO) 網域設定
** 安裝時會建立一個專門用於 vCenter 認證的 SSO 網域，預設名稱為 vsphere.local。
** 需為此 SSO 網域的 administrator 帳戶設定密碼。
* 服務登入帳號與權限指派
** 帳戶選擇：為了與 AD 整合，應選擇使用外部的網域管理員帳戶（如 vsphere6\administrator）作為 vCenter 的服務帳戶，而非使用本機系統帳戶。
** 權限問題：使用外部網域帳戶作為服務帳戶會觸發 Windows 的安全機制，導致安裝因「沒有以服務方式登錄的權限」而失敗。
** 解決方案：必須手動為該網域管理員帳戶指派權限。
    1. 在 vCenter 伺服器上執行 gpedit.msc 開啟「本機群組原則編輯器」。
    2. 導覽至：電腦設定 -&gt; Windows 設定 -&gt; 安全性設定 -&gt; 本機原則 -&gt; 使用者權限指派。
    3. 找到「以服務方式登錄」(Log on as a service) 原則。
    4. 將 AD 網域管理員帳戶（vsphere6\Administrator）新增至此原則中。
** 完成權限指派後，安裝程序即可順利通過驗證。
* 資料庫與其他設定
** 資料庫：選擇使用「內嵌式資料庫 (Postgres)」，適用於中小型環境。大型企業可能需使用外部 Oracle 資料庫。
** 網路連接埠與目錄：均採用預設值。
[[檔案:2026-0325-04.png|800px]]
=== vCenter Client 的演變與連線 ===
* 從 Flash 到 HTML5 的轉變
** 早期 vCenter 存在兩種客戶端：依賴 Adobe Flash Player 的 vSphere Web Client 和後來的 vSphere Client。
** 由於 Adobe Flash Player 存在嚴重的安全漏洞，主流瀏覽器（如 Chrome）最終完全禁止其執行，導致 vSphere Web Client 被淘汰。
** VMware 使用 HTML5 技術重寫了 vSphere Client，不僅解決了安全問題，還顯著提升了執行速度。目前所有新功能都整合在此版本中。
* 建議的連線方式
** 在瀏覽器中直接輸入 vCenter 的 IP 位址 (https://[IP]) 會出現選擇畫面。
** 標準做法是選擇 vSphere Client (HTML5)。
** 為直接進入最新客戶端，建議使用完整網址 https://[IP]/ui 進行連線。
* DNS 設定的重要性
** 即使使用 IP 位址登入，vCenter 仍會執行 DNS「反向解析」來尋找主機名稱。
** 若執行連線的客戶端電腦未設定能解析 vCenter 主機名稱的 DNS 伺服器，登入將會失敗。
=== 伺服器管理模式與 vCenter 優勢 ===
* 單機管理 vs. 集中式管理
** 單機管理：需為每台主機單獨登入，管理多台主機時效率極低。
** vCenter 集中式管理：透過 單一登入 (Single Sign-On, SSO)，管理者只需登入 vCenter 一次，即可管理所有已納管的主機，極大提升了管理效率，這是使用 vCenter 的核心優勢。
=== vCenter 身份驗證與 Active Directory 整合 ===
* vCenter 的預設 SSO 網域
** 每個 vCenter Server 在安裝時都會建立一個預設的 SSO 網域，本例中為 vSphere.local。
** 此網域擁有自己的最高權限管理員帳號：Administrator@vSphere.local，此帳號擁有對 vCenter 服務的初始完整控制權。
* 整合外部 AD 網域的目標
** 目標是讓外部網域（如客戶的 vSphere6.local 網域）的管理員能使用其既有帳號登入並管理 vCenter，實現統一身份管理。
* 帳號表示法
** 簡寫 (如 Administrator)：僅在本機或同品牌環境中有效。
** 完整 UPN 格式 (如 Administrator@vSphere6.local)：在跨平台環境（如 ESXi、vCenter）中必須使用，以明確指定帳號所屬的網域。
=== 整合外部網域的權限設定步驟 ===
* 步驟一：新增身份識別來源 (Identity Source)
** 目的：告知 vCenter 去哪裡驗證外部網域的帳號。
** 操作：在 vCenter 管理介面中，將客戶的 Active Directory（如 vSphere6.local）新增為一個「身份識別來源」。
** 結果：vCenter 現在能夠驗證來自該網域的使用者身份。
* 步驟二：指派「系統管理員」角色
** 問題：僅新增來源不足以授予操作權限，外部使用者登入後會因權限不足而被拒絕存取。
** 解決方案：必須為該外部網域的使用者或群組指派 vCenter 的內部角色。
** 操作：將外部網域的管理員帳號（如 Administrator@vSphere6.local）新增至 vCenter 的權限清單，並賦予其「系統管理員」角色。
* 步驟三：授予「Single Sign-On (SSO) 管理員」權限
** vSphere 6.x 的權限細分：從 6.x 版本開始，SSO 的管理權限從「系統管理員」角色中獨立出來。
** 問題：僅有「系統管理員」角色的外部使用者，無法檢視或設定 SSO 相關頁面（如使用者和群組、組態）。
** 解決方案：必須讓該使用者同時具備 SSO 管理權限。
** 操作：將外部網域的管理員帳號加入到 vSphere.local 網域下的 Administrators 系統群組中。該群組的成員會自動繼承完整的 SSO 管理權限。
* 最終驗證
** 完成上述所有步驟後，使用外部網域的管理員帳號登入 vCenter，應能成功存取並管理所有功能，包括先前無法查看的 SSO 設定頁面，實現完整的控制權轉移。
[[檔案:2026-0325-05.png|800px]]
=== vCenter 集中管理基礎設定 ===
* 建立邏輯資料中心 (Data Center)
** 在 vCenter 中，資料中心是邏輯上的機房/最上層目錄，用於組織與管理 ESXi 主機。
** 建立步驟：登入 vCenter，於「主機和叢集」視圖，對 vCenter 伺服器物件按右鍵，選擇「新增資料中心」。
** 命名範例：可自訂名稱（課程示範使用「DC」）。後續新增主機皆歸屬於此資料中心。
** 資料儲存：新增主機等操作會寫入 vCenter 內建 PostgreSQL 資料庫，因此登入 vCenter 可見所有已匯入設備。
* 新增 ESXi 主機至資料中心
** 目的：將獨立 ESXi 主機納入 vCenter 集中管理。
** 操作入口：在已建立的資料中心上按右鍵，選擇「新增主機」；流程共七步。
** [步驟 1] 指定主機名稱：
  ** 必須使用「完全合格網域名稱」(FQDN)，格式為 主機名稱.網域名稱；嚴禁使用 IP 位址，否則清單僅顯示 IP，失去 DNS 管理意義。
  ** 範例：ESXi0106.vsphere6.local。
  ** 原理：vCenter 透過 DNS 進行正向查詢，將 FQDN 解析為 IP 後連線。
** [步驟 2] 輸入主機連線認證：
  ** 需提供目標 ESXi 主機最高權限帳密，以授權 vCenter 管理。
  ** 帳號：root
  ** 密碼：該主機的 root 密碼（範例為 Password）。
** [步驟 3] 憑證警告與主機摘要：
  ** 因未使用正式憑證會出現安全警告；可見主機 SHA1 指紋，點選「是」繼續。
  ** 成功連線後顯示「主機摘要」，含主機型號、版本（如 VMware ESXi, 6.7.0）與授權狀態（預設 60 天評估版）。
** [步驟 4] 設定鎖定模式 (Lockdown Mode)：
  ** 停用（預設）：不鎖定；可透過 vCenter 管理，亦可直接以客戶端連線單台 ESXi。
  ** 啟用（正常或嚴格）：鎖定；僅允許透過 vCenter 管理，禁止直接登入 ESXi。
  ** 課程選擇預設「停用」。
** [步驟 5 & 6] 選擇資源位置與完成：
  ** 確認主機新增至指定資料中心（如 DC）下。
  ** 點擊「Finish」完成程序。
* 匯入後的主機狀態
** 新增主機（如 ESXi-0106、ESXi-0206）會出現在資料中心清單中。
** 剛加入時可能短暫顯示紅色警告圖示，表示 vCenter 正在建立連線；若網路正常（如 vCenter 的 .250 與主機的 .101 可互通/PING 通），警告即會消失轉為正常。
=== vCenter 集中管理的價值與要求 ===
* 實現單一登入與全面檢視
** 以網域管理員帳號登入 vCenter（非本機帳號），可在單一介面檢視所有已匯入伺服器清單。
** 若資料中心有 100 台伺服器，即可看到 100 台並進行統一設定與管理。
* 支援跨主機進階功能
** vCenter 是多伺服器協同操作的必要前提，例如 vMotion（將虛擬機即時移轉至另一台伺服器）。
** 因 vCenter 能同時看到並操作多台伺服器，使複雜移轉設定更為簡化。
* 主機列表的顯示要求
** 嚴格要求：vCenter 主機清單必須以 FQDN 顯示伺服器，例如 esxi0106.vsphere6.local。
** 零分標準：若清單顯示 IP 位址，視為不合格（零分），違背使用 DNS 解析與名稱管理的初衷。
[[檔案:2026-0325-06.png|800px]]