「緯育 2026-0325」修訂間的差異
出自頂極製作所
| 行 131: | 行 131: | ||
** 網路連接埠與目錄:均採用預設值。 | ** 網路連接埠與目錄:均採用預設值。 | ||
[[檔案:2026-0325-04.png|800px]] | [[檔案:2026-0325-04.png|800px]] | ||
=== vCenter Client 的演變與連線 === | |||
* 從 Flash 到 HTML5 的轉變 | |||
** 早期 vCenter 存在兩種客戶端:依賴 Adobe Flash Player 的 vSphere Web Client 和後來的 vSphere Client。 | |||
** 由於 Adobe Flash Player 存在嚴重的安全漏洞,主流瀏覽器(如 Chrome)最終完全禁止其執行,導致 vSphere Web Client 被淘汰。 | |||
** VMware 使用 HTML5 技術重寫了 vSphere Client,不僅解決了安全問題,還顯著提升了執行速度。目前所有新功能都整合在此版本中。 | |||
* 建議的連線方式 | |||
** 在瀏覽器中直接輸入 vCenter 的 IP 位址 (https://[IP]) 會出現選擇畫面。 | |||
** 標準做法是選擇 vSphere Client (HTML5)。 | |||
** 為直接進入最新客戶端,建議使用完整網址 https://[IP]/ui 進行連線。 | |||
* DNS 設定的重要性 | |||
** 即使使用 IP 位址登入,vCenter 仍會執行 DNS「反向解析」來尋找主機名稱。 | |||
** 若執行連線的客戶端電腦未設定能解析 vCenter 主機名稱的 DNS 伺服器,登入將會失敗。 | |||
=== 伺服器管理模式與 vCenter 優勢 === | |||
* 單機管理 vs. 集中式管理 | |||
** 單機管理:需為每台主機單獨登入,管理多台主機時效率極低。 | |||
** vCenter 集中式管理:透過 單一登入 (Single Sign-On, SSO),管理者只需登入 vCenter 一次,即可管理所有已納管的主機,極大提升了管理效率,這是使用 vCenter 的核心優勢。 | |||
=== vCenter 身份驗證與 Active Directory 整合 === | |||
* vCenter 的預設 SSO 網域 | |||
** 每個 vCenter Server 在安裝時都會建立一個預設的 SSO 網域,本例中為 vSphere.local。 | |||
** 此網域擁有自己的最高權限管理員帳號:Administrator@vSphere.local,此帳號擁有對 vCenter 服務的初始完整控制權。 | |||
* 整合外部 AD 網域的目標 | |||
** 目標是讓外部網域(如客戶的 vSphere6.local 網域)的管理員能使用其既有帳號登入並管理 vCenter,實現統一身份管理。 | |||
* 帳號表示法 | |||
** 簡寫 (如 Administrator):僅在本機或同品牌環境中有效。 | |||
** 完整 UPN 格式 (如 Administrator@vSphere6.local):在跨平台環境(如 ESXi、vCenter)中必須使用,以明確指定帳號所屬的網域。 | |||
=== 整合外部網域的權限設定步驟 === | |||
* 步驟一:新增身份識別來源 (Identity Source) | |||
** 目的:告知 vCenter 去哪裡驗證外部網域的帳號。 | |||
** 操作:在 vCenter 管理介面中,將客戶的 Active Directory(如 vSphere6.local)新增為一個「身份識別來源」。 | |||
** 結果:vCenter 現在能夠驗證來自該網域的使用者身份。 | |||
* 步驟二:指派「系統管理員」角色 | |||
** 問題:僅新增來源不足以授予操作權限,外部使用者登入後會因權限不足而被拒絕存取。 | |||
** 解決方案:必須為該外部網域的使用者或群組指派 vCenter 的內部角色。 | |||
** 操作:將外部網域的管理員帳號(如 Administrator@vSphere6.local)新增至 vCenter 的權限清單,並賦予其「系統管理員」角色。 | |||
* 步驟三:授予「Single Sign-On (SSO) 管理員」權限 | |||
** vSphere 6.x 的權限細分:從 6.x 版本開始,SSO 的管理權限從「系統管理員」角色中獨立出來。 | |||
** 問題:僅有「系統管理員」角色的外部使用者,無法檢視或設定 SSO 相關頁面(如使用者和群組、組態)。 | |||
** 解決方案:必須讓該使用者同時具備 SSO 管理權限。 | |||
** 操作:將外部網域的管理員帳號加入到 vSphere.local 網域下的 Administrators 系統群組中。該群組的成員會自動繼承完整的 SSO 管理權限。 | |||
* 最終驗證 | |||
** 完成上述所有步驟後,使用外部網域的管理員帳號登入 vCenter,應能成功存取並管理所有功能,包括先前無法查看的 SSO 設定頁面,實現完整的控制權轉移。 | |||
[[檔案:2026-0325-05.png|800px]] | |||
於 2026年3月25日 (三) 11:51 的修訂
ESXi 管理實務
講師解釋在 Windows 11 主機的瀏覽器上,透過輸入 EXSi 主機的 IP 位址(如 192.168.10.10-155/ui ),利用主機虛擬網卡(VMnet)的連線機制來存取其網管功能。並指出此單機管理方式的侷限:管理多台主機時需開啟多個網頁。最後預告將介紹更高效的集中式管理工具 V-Center。
網域環境設定回顧
- AD 網域建立
- 第一台伺服器 AD2016 安裝 Windows Server 2016,並設定 AD 與 DNS 服務。
- 網域控制站 (Domain Controller)
- 該伺服器在安裝 AD 後自動提升為網域控制站 (Domain Controller)。
- 其本機管理員帳號同步提升為網域管理員。
- 新成員加入網域
- 本次課程目標為將第二台與第三台主機 ESXi0106、ESXi0206 加入 vSphere6.local 網域,成為網域成員。
EXSi 主機的管理方式
- 本機控制台介面 (DCUI)
- 直接在 EXSi 主機上以 F2 登入的介面稱為 DCUI (Direct Console User Interface)。
- DCUI 為終端機等級介面,只提供基礎設定,不包含加入網域 (Join Domain) 選項。
- 單機用戶端管理程式 (Web Client)
- 進階設定(如加入網域)需使用「單機用戶端管理程式」。
- 過去可能需準備獨立虛擬機並安裝作業系統來執行 Client 程式,較浪費資源。
- 現今多為 Web 形式,可直接在底層主機作業系統(如 Windows 11)上使用瀏覽器操作。
- 連線與存取方法
- 在 Windows 11 的瀏覽器(如 Google Chrome)輸入 [EXSi主機的IP位址]/ui 存取主機網管介面。例如:192.168.101.101/ui。
- 登入使用 root 帳號與對應密碼。
- 此為單機網管介面,一次僅能管理一台主機,閒置逾時需要重新登入。
網路連線原理
- 主機虛擬網卡 (Host-only Virtual Network Adapter)
- 主機作業系統 (Windows 11) 與內部虛擬機 (EXSi) 溝通,透過「主機虛擬網卡」進行。
- 每一台虛擬交換機(例如 VNX11)皆對應一張同名主機虛擬網卡,連接至主機作業系統。
- IP 位址自動設定
- 當在虛擬交換機(如 Win11)的網段設定了 IP(例如 192.168.101.0)後,系統會自動將該網段的第一個可用 IP(例如 192.168.10.1)指派給對應的主機虛擬網卡。
- 主機虛擬網卡取得 IP 後,主機上的 Client(瀏覽器)即可與 EXSi 伺服器的網管功能通訊。講師提到,舊版軟體需手動設定此 IP。
- 連線驗證
- 能在瀏覽器看到 EXSi 的登入介面,表示主機與虛擬機之間的網路路徑暢通。
單機管理的實作與限制
- 管理多台主機
- 示範開啟兩個瀏覽器分頁,分別登入 ESXi0106、ESXi0206。
- 單機管理的缺點
- 一次管理一台主機效率低下;若需管理 100 台伺服器,須開啟 100 個網頁,十分不便,被稱為「低階網管」。
- 學習單機管理的目的
- 仍需熟悉單機管理介面,因在集中式管理工具 vCenter 尚未建置完成前,需先以單機介面進行基礎設定(如加入網域)。
ESXi 主機資源監控與網域加入
- ESXi 主機資源使用分析
- 實驗環境的 ESXi 主機配置為 4G 記憶體與 40G 硬碟。
- CPU 耗損:極低。範例中總容量 5.2GHz 的兩顆 CPU 僅使用 71MHz,使用率不到 1%,顯示 CPU 資源充裕。
- 記憶體耗損:相對較高。範例中 4G 中已使用 1.08G,約 25–27%,即使僅運行基本網管服務亦然。
- 將 ESXi 主機加入 Active Directory (AD) 網域
- 啟用內建 AD 功能:ESXi 主機原生具備經微軟授權的 AD 程式。加入網域前需在 ESXi 管理介面啟用此功能(預設為停用)。
- 操作路徑:於 ESXi Web 管理介面依序點擊「管理」->「安全與使用者」->「驗證」,選擇「加入網域」。
- 需要網域管理員授權:必須輸入 Domain Controller 的網域管理員帳號(如 Administrator)與密碼(如 passwordAD2016),而非 ESXi 本機密碼,以維護網域安全。
- 加入網域的指令風暴:執行加入動作時,ESXi 會向 AD Domain Controller 發送一系列驗證與註冊封包。
- 常見失敗原因:ESXi 與 Domain Controller 網路不通,尤其是 ESXi 虛擬網卡未正確連線到指定虛擬網路(如 VMnet11)。
- 在 AD Domain Controller 上驗證
- 驗證方法:於第一台 Domain Controller 開啟「Active Directory 使用者和電腦」。
- 查看位置:已加入網域的成員電腦會出現在「Computers」容器(OU)中,檢查是否出現對應 ESXi 主機名稱(如 EXA-0106)。
- 刷新檢視:必要時手動 Refresh,確保新加入的電腦顯示。
- Domain Controller 的位置:因身份特殊,位於「Domain Controllers」專用容器中。
vCenter Server 安裝準備 (vSphere 6.7 版)
- vCenter Server 角色與架構
- 定義:vCenter 是含大型資料庫的集中式管理應用程式,可管理少至數台、多至數千台 ESXi 伺服器。
- vSphere 6.7 的特殊性:必須安裝在獨立的實體或虛擬主機上,先行安裝 Windows Server(如 2016 或 2019),不同於 vSphere 7/8 的架構。
- vSphere 7/8 的 vCenter (VCSA):基於 Linux 的虛擬應用裝置,作為 VM 直接安裝在 ESXi 上,不需獨立 Windows 主機。
- 第四台主機 (vCenter) 的硬體規格規劃
- CPU:分配 2 顆 CPU 核心(2 CPU x 1 Core)。
- 記憶體:關鍵資源;因 vCenter 為大型資料庫應用,需求高。
- 基本要求:管理少量主機(如 2 台,或 "tiny" 等級 ≤10 台)至少需 10GB。
- 設定單位:以 MB 輸入,10GB = 10 * 1024 = 10240 MB。
- 效能建議:如 vMotion 等操作偏慢,可提升至 12GB 或更高以顯著改善。
- 硬碟:建議 300GB,採單一檔案 (single file),為上限值;實際使用依納管主機數增長。
- 虛擬化引擎設定:此主機僅運行 vCenter,不執行巢狀 VM,故 不需 勾選 CPU 虛擬化引擎(Intel VT-x/EPT 或 AMD-V/RVI)。
- Windows Server 2016 基礎設定 (for vCenter)
- 網路設定 (IP):
- IP 位址:192.168.101.25
- 子網路遮罩:255.255.255.0
- 閘道 (Gateway):不需設定。所有實驗主機均在 192.168.101.0/24 同網段,通訊無須經閘道;舊版 VMware Workstation 不設閘道可能異常的 bug 已修正。
- DNS 伺服器:指向第一台 AD Domain Controller:192.168.101.10。
- 其他設定:
- 關閉防火牆。
- 停用 IPv6。
- 透過 VMware Tools 與 AD 主機同步時間。
- 將本機 Administrator 密碼改為 P@ssw0rdvc。
- 取消系統自動登入。
將 vCenter Server 加入網域與網路驗證
- 登入與準備
- 使用伺服器的本機管理員帳號登入。
- 根據實驗手冊,將此 Windows Server 加入現有的 vsphere6.local 網域。
- 加入網域的步驟與注意事項
- 強烈建議分兩步操作:
1. 先修改電腦名稱以符合 DNS 記錄(例如,改為 VC06),然後重新啟動。 2. 重啟後,再執行加入網域的動作。
- 若同時修改電腦名稱並加入網域,可能導致加入失敗。
- 加入網域操作
- 在「系統內容」中,選擇加入網域 vsphere6.local,並使用網域管理員(vsphere6\administrator)的憑證進行驗證。
- 成功後重新啟動,並改用網域管理員身份登入。
- 網路問題排解
- 問題:加入網域時可能出現「無法聯絡網域控制站」的錯誤,即使 DNS 查詢成功。
- 原因:可能與 ARP 廣播請求超時有關。
- 解決方法:先執行 ping 指令 ping 一下網域控制站(如 192.168.101.100),觸發 ARP 解析並快取結果,之後再嘗試加入網域即可成功。
- 安裝 vCenter 前的 DNS 驗證
- 重要性:vCenter 正常運作的先決條件是 DNS 解析功能完全正常。
- 驗證工具:使用 nslookup 命令。
- 驗證步驟:進入 nslookup 模式,確認預設伺服器為 DNS 伺服器,然後執行所有相關主機(AD、ESXi、vCenter 本身)的正向查詢(名稱 -> IP)與反向查詢(IP -> 名稱),確保四筆正向與四筆反向查詢皆能成功解析。
vCenter Server 安裝準備與概念
- 安裝檔案準備
- vCenter 的安裝檔 (.iso) 是一個虛擬光碟,內含 vCenter、資料庫等多種應用程式。
- 建議方法:利用 VMware Tools 的無縫複製功能,將 ISO 檔從實體主機直接複製到虛擬機桌面,然後在虛擬機內部右鍵點擊 ISO 檔,選擇「掛接」(Mount),再執行安裝程式 (autorun.exe)。此法比直接在虛擬機設定中掛載 ISO 效能更佳。
- 資料中心的三大組成
- 網路資源池 (交換機)、運算資源池 (伺服器)、儲存 (Storage) (硬碟陣列)。儲存已發展成一個獨立的專業領域。
- vCenter 部署類型
- 內嵌式部署 (Embedded):將 Platform Services Controller (PSC) 與 vCenter Server 安裝在同一台機器上。每個 vCenter 有自己獨立的 SSO、授權等服務。此方式較穩定,為 VMware 後期推薦。
- 外部署 (External):將 PSC 與 vCenter Server 分別安裝在不同機器上,允許多個 vCenter 共享一個 PSC 提供的共用服務(SSO、授權、憑證管理)。此架構在實務上可能因資源競爭導致不穩定。
- 課程選擇:選擇「內嵌式部署」。
vCenter Server 安裝過程中的關鍵設定
- 系統網路名稱:使用 FQDN
- 系統名稱必須使用「完全合格域名」(Fully Qualified Domain Name, FQDN),例如 VC06.vsphere.local,而不應使用 IP 位址。
- 這個 FQDN 會被寫入資安憑證中,用於元件間的加密通訊,且必須在 DNS 中有對應紀錄。
- Single Sign-On (SSO) 網域設定
- 安裝時會建立一個專門用於 vCenter 認證的 SSO 網域,預設名稱為 vsphere.local。
- 需為此 SSO 網域的 administrator 帳戶設定密碼。
- 服務登入帳號與權限指派
- 帳戶選擇:為了與 AD 整合,應選擇使用外部的網域管理員帳戶(如 vsphere6\administrator)作為 vCenter 的服務帳戶,而非使用本機系統帳戶。
- 權限問題:使用外部網域帳戶作為服務帳戶會觸發 Windows 的安全機制,導致安裝因「沒有以服務方式登錄的權限」而失敗。
- 解決方案:必須手動為該網域管理員帳戶指派權限。
1. 在 vCenter 伺服器上執行 gpedit.msc 開啟「本機群組原則編輯器」。 2. 導覽至:電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 使用者權限指派。 3. 找到「以服務方式登錄」(Log on as a service) 原則。 4. 將 AD 網域管理員帳戶(vsphere6\Administrator)新增至此原則中。
- 完成權限指派後,安裝程序即可順利通過驗證。
- 資料庫與其他設定
- 資料庫:選擇使用「內嵌式資料庫 (Postgres)」,適用於中小型環境。大型企業可能需使用外部 Oracle 資料庫。
- 網路連接埠與目錄:均採用預設值。
vCenter Client 的演變與連線
- 從 Flash 到 HTML5 的轉變
- 早期 vCenter 存在兩種客戶端:依賴 Adobe Flash Player 的 vSphere Web Client 和後來的 vSphere Client。
- 由於 Adobe Flash Player 存在嚴重的安全漏洞,主流瀏覽器(如 Chrome)最終完全禁止其執行,導致 vSphere Web Client 被淘汰。
- VMware 使用 HTML5 技術重寫了 vSphere Client,不僅解決了安全問題,還顯著提升了執行速度。目前所有新功能都整合在此版本中。
- 建議的連線方式
- 在瀏覽器中直接輸入 vCenter 的 IP 位址 (https://[IP]) 會出現選擇畫面。
- 標準做法是選擇 vSphere Client (HTML5)。
- 為直接進入最新客戶端,建議使用完整網址 https://[IP]/ui 進行連線。
- DNS 設定的重要性
- 即使使用 IP 位址登入,vCenter 仍會執行 DNS「反向解析」來尋找主機名稱。
- 若執行連線的客戶端電腦未設定能解析 vCenter 主機名稱的 DNS 伺服器,登入將會失敗。
伺服器管理模式與 vCenter 優勢
- 單機管理 vs. 集中式管理
- 單機管理:需為每台主機單獨登入,管理多台主機時效率極低。
- vCenter 集中式管理:透過 單一登入 (Single Sign-On, SSO),管理者只需登入 vCenter 一次,即可管理所有已納管的主機,極大提升了管理效率,這是使用 vCenter 的核心優勢。
vCenter 身份驗證與 Active Directory 整合
- vCenter 的預設 SSO 網域
- 每個 vCenter Server 在安裝時都會建立一個預設的 SSO 網域,本例中為 vSphere.local。
- 此網域擁有自己的最高權限管理員帳號:Administrator@vSphere.local,此帳號擁有對 vCenter 服務的初始完整控制權。
- 整合外部 AD 網域的目標
- 目標是讓外部網域(如客戶的 vSphere6.local 網域)的管理員能使用其既有帳號登入並管理 vCenter,實現統一身份管理。
- 帳號表示法
- 簡寫 (如 Administrator):僅在本機或同品牌環境中有效。
- 完整 UPN 格式 (如 Administrator@vSphere6.local):在跨平台環境(如 ESXi、vCenter)中必須使用,以明確指定帳號所屬的網域。
整合外部網域的權限設定步驟
- 步驟一:新增身份識別來源 (Identity Source)
- 目的:告知 vCenter 去哪裡驗證外部網域的帳號。
- 操作:在 vCenter 管理介面中,將客戶的 Active Directory(如 vSphere6.local)新增為一個「身份識別來源」。
- 結果:vCenter 現在能夠驗證來自該網域的使用者身份。
- 步驟二:指派「系統管理員」角色
- 問題:僅新增來源不足以授予操作權限,外部使用者登入後會因權限不足而被拒絕存取。
- 解決方案:必須為該外部網域的使用者或群組指派 vCenter 的內部角色。
- 操作:將外部網域的管理員帳號(如 Administrator@vSphere6.local)新增至 vCenter 的權限清單,並賦予其「系統管理員」角色。
- 步驟三:授予「Single Sign-On (SSO) 管理員」權限
- vSphere 6.x 的權限細分:從 6.x 版本開始,SSO 的管理權限從「系統管理員」角色中獨立出來。
- 問題:僅有「系統管理員」角色的外部使用者,無法檢視或設定 SSO 相關頁面(如使用者和群組、組態)。
- 解決方案:必須讓該使用者同時具備 SSO 管理權限。
- 操作:將外部網域的管理員帳號加入到 vSphere.local 網域下的 Administrators 系統群組中。該群組的成員會自動繼承完整的 SSO 管理權限。
- 最終驗證
- 完成上述所有步驟後,使用外部網域的管理員帳號登入 vCenter,應能成功存取並管理所有功能,包括先前無法查看的 SSO 設定頁面,實現完整的控制權轉移。
