「緯育 2026-0325」修訂間的差異

ESXi 管理實務

講師解釋在 Windows 11 主機的瀏覽器上，透過輸入 EXSi 主機的 IP 位址（如 192.168.10.10-155/ui ），利用主機虛擬網卡（VMnet）的連線機制來存取其網管功能。並指出此單機管理方式的侷限：管理多台主機時需開啟多個網頁。最後預告將介紹更高效的集中式管理工具 V-Center。

網域環境設定回顧

• AD 網域建立
  • 第一台伺服器 AD2016 安裝 Windows Server 2016，並設定 AD 與 DNS 服務。
• 網域控制站 (Domain Controller)
  • 該伺服器在安裝 AD 後自動提升為網域控制站 (Domain Controller)。
  • 其本機管理員帳號同步提升為網域管理員。
• 新成員加入網域
  • 本次課程目標為將第二台與第三台主機 ESXi0106、ESXi0206 加入 vSphere6.local 網域，成為網域成員。

EXSi 主機的管理方式

• 本機控制台介面 (DCUI)
  • 直接在 EXSi 主機上以 F2 登入的介面稱為 DCUI (Direct Console User Interface)。
  • DCUI 為終端機等級介面，只提供基礎設定，不包含加入網域 (Join Domain) 選項。
• 單機用戶端管理程式 (Web Client)
  • 進階設定（如加入網域）需使用「單機用戶端管理程式」。
  • 過去可能需準備獨立虛擬機並安裝作業系統來執行 Client 程式，較浪費資源。
  • 現今多為 Web 形式，可直接在底層主機作業系統（如 Windows 11）上使用瀏覽器操作。
• 連線與存取方法
  • 在 Windows 11 的瀏覽器（如 Google Chrome）輸入 [EXSi主機的IP位址]/ui 存取主機網管介面。例如：192.168.101.101/ui。
  • 登入使用 root 帳號與對應密碼。
  • 此為單機網管介面，一次僅能管理一台主機，閒置逾時需要重新登入。

網路連線原理

• 主機虛擬網卡 (Host-only Virtual Network Adapter)
  • 主機作業系統 (Windows 11) 與內部虛擬機 (EXSi) 溝通，透過「主機虛擬網卡」進行。
  • 每一台虛擬交換機（例如 VNX11）皆對應一張同名主機虛擬網卡，連接至主機作業系統。
• IP 位址自動設定
  • 當在虛擬交換機（如 Win11）的網段設定了 IP（例如 192.168.101.0）後，系統會自動將該網段的第一個可用 IP（例如 192.168.10.1）指派給對應的主機虛擬網卡。
  • 主機虛擬網卡取得 IP 後，主機上的 Client（瀏覽器）即可與 EXSi 伺服器的網管功能通訊。講師提到，舊版軟體需手動設定此 IP。
• 連線驗證
  • 能在瀏覽器看到 EXSi 的登入介面，表示主機與虛擬機之間的網路路徑暢通。

單機管理的實作與限制

• 管理多台主機
  • 示範開啟兩個瀏覽器分頁，分別登入 ESXi0106、ESXi0206。
• 單機管理的缺點
  • 一次管理一台主機效率低下；若需管理 100 台伺服器，須開啟 100 個網頁，十分不便，被稱為「低階網管」。
• 學習單機管理的目的
  • 仍需熟悉單機管理介面，因在集中式管理工具 vCenter 尚未建置完成前，需先以單機介面進行基礎設定（如加入網域）。

ESXi 主機資源監控與網域加入

• ESXi 主機資源使用分析
  • 實驗環境的 ESXi 主機配置為 4G 記憶體與 40G 硬碟。
  • CPU 耗損：極低。範例中總容量 5.2GHz 的兩顆 CPU 僅使用 71MHz，使用率不到 1%，顯示 CPU 資源充裕。
  • 記憶體耗損：相對較高。範例中 4G 中已使用 1.08G，約 25–27%，即使僅運行基本網管服務亦然。
• 將 ESXi 主機加入 Active Directory (AD) 網域
  • 啟用內建 AD 功能：ESXi 主機原生具備經微軟授權的 AD 程式。加入網域前需在 ESXi 管理介面啟用此功能（預設為停用）。
  • 操作路徑：於 ESXi Web 管理介面依序點擊「管理」->「安全與使用者」->「驗證」，選擇「加入網域」。
  • 需要網域管理員授權：必須輸入 Domain Controller 的網域管理員帳號（如 Administrator）與密碼（如 passwordAD2016），而非 ESXi 本機密碼，以維護網域安全。
  • 加入網域的指令風暴：執行加入動作時，ESXi 會向 AD Domain Controller 發送一系列驗證與註冊封包。
  • 常見失敗原因：ESXi 與 Domain Controller 網路不通，尤其是 ESXi 虛擬網卡未正確連線到指定虛擬網路（如 VMnet11）。
• 在 AD Domain Controller 上驗證
  • 驗證方法：於第一台 Domain Controller 開啟「Active Directory 使用者和電腦」。
  • 查看位置：已加入網域的成員電腦會出現在「Computers」容器（OU）中，檢查是否出現對應 ESXi 主機名稱（如 EXA-0106）。
  • 刷新檢視：必要時手動 Refresh，確保新加入的電腦顯示。
  • Domain Controller 的位置：因身份特殊，位於「Domain Controllers」專用容器中。

vCenter Server 6.7 版安裝和建置

課程重點在於指導如何將 ESXi 主機加入 Active Directory (AD) 網域，並詳述安裝與設定 vCenter Server 的前置作業。講師先回顧 ESXi 主機的 CPU 與記憶體資源使用情況，接著逐步示範加入 AD 網域的流程，強調需使用網域管理員帳號驗證。課程也說明如何在 AD Domain Controller 上確認主機是否成功加入。後半段講解第四台主機（作為 vCenter Server）安裝準備，包括其集中管理大型資料庫的角色、對硬體（尤其記憶體）的較高需求，以及 vSphere 6.7 版 vCenter 必須安裝在獨立 Windows Server 2016 作業系統上的特定架構。最後，講師佈置安裝 Windows Server 2016 作為 vCenter 主機的任務並設定相關參數。

vCenter Server 安裝準備 (vSphere 6.7 版)

• vCenter Server 角色與架構
  • 定義：vCenter 是含大型資料庫的集中式管理應用程式，可管理少至數台、多至數千台 ESXi 伺服器。
  • vSphere 6.7 的特殊性：必須安裝在獨立的實體或虛擬主機上，先行安裝 Windows Server（如 2016 或 2019），不同於 vSphere 7/8 的架構。
  • vSphere 7/8 的 vCenter (VCSA)：基於 Linux 的虛擬應用裝置，作為 VM 直接安裝在 ESXi 上，不需獨立 Windows 主機。
• 第四台主機 (vCenter) 的硬體規格規劃
  • CPU：分配 2 顆 CPU 核心（2 CPU x 1 Core）。
  • 記憶體：關鍵資源；因 vCenter 為大型資料庫應用，需求高。
  • 基本要求：管理少量主機（如 2 台，或 "tiny" 等級 ≤10 台）至少需 10GB。
  • 設定單位：以 MB 輸入，10GB = 10 * 1024 = 10240 MB。
  • 效能建議：如 vMotion 等操作偏慢，可提升至 12GB 或更高以顯著改善。
  • 硬碟：建議 300GB，採單一檔案 (single file)，為上限值；實際使用依納管主機數增長。
  • 虛擬化引擎設定：此主機僅運行 vCenter，不執行巢狀 VM，故 不需 勾選 CPU 虛擬化引擎（Intel VT-x/EPT 或 AMD-V/RVI）。
• Windows Server 2016 基礎設定 (for vCenter)
  • 網路設定 (IP)：
  • IP 位址：192.168.101.25
  • 子網路遮罩：255.255.255.0
  • 閘道 (Gateway)：不需設定。所有實驗主機均在 192.168.101.0/24 同網段，通訊無須經閘道；舊版 VMware Workstation 不設閘道可能異常的 bug 已修正。
  • DNS 伺服器：指向第一台 AD Domain Controller：192.168.101.10。
  • 其他設定：
  • 關閉防火牆。
  • 停用 IPv6。
  • 透過 VMware Tools 與 AD 主機同步時間。
  • 將本機 Administrator 密碼改為 P@ssw0rdvc。
  • 取消系統自動登入。

將 vCenter Server 加入網域與網路驗證

• 登入與準備
  • 使用伺服器的本機管理員帳號登入。
  • 根據實驗手冊，將此 Windows Server 加入現有的 vsphere6.local 網域。
• 加入網域的步驟與注意事項
  • 強烈建議分兩步操作：

   1. 先修改電腦名稱以符合 DNS 記錄（例如，改為 VC06），然後重新啟動。
   2. 重啟後，再執行加入網域的動作。

• • 若同時修改電腦名稱並加入網域，可能導致加入失敗。
• 加入網域操作
  • 在「系統內容」中，選擇加入網域 vsphere6.local，並使用網域管理員（vsphere6\administrator）的憑證進行驗證。
  • 成功後重新啟動，並改用網域管理員身份登入。
• 網路問題排解
  • 問題：加入網域時可能出現「無法聯絡網域控制站」的錯誤，即使 DNS 查詢成功。
  • 原因：可能與 ARP 廣播請求超時有關。
  • 解決方法：先執行 ping 指令 ping 一下網域控制站（如 192.168.101.100），觸發 ARP 解析並快取結果，之後再嘗試加入網域即可成功。
• 安裝 vCenter 前的 DNS 驗證
  • 重要性：vCenter 正常運作的先決條件是 DNS 解析功能完全正常。
  • 驗證工具：使用 nslookup 命令。
  • 驗證步驟：進入 nslookup 模式，確認預設伺服器為 DNS 伺服器，然後執行所有相關主機（AD、ESXi、vCenter 本身）的正向查詢（名稱 -> IP）與反向查詢（IP -> 名稱），確保四筆正向與四筆反向查詢皆能成功解析。

vCenter Server 安裝準備與概念

• 安裝檔案準備
  • vCenter 的安裝檔 (.iso) 是一個虛擬光碟，內含 vCenter、資料庫等多種應用程式。
  • 建議方法：利用 VMware Tools 的無縫複製功能，將 ISO 檔從實體主機直接複製到虛擬機桌面，然後在虛擬機內部右鍵點擊 ISO 檔，選擇「掛接」(Mount)，再執行安裝程式 (autorun.exe)。此法比直接在虛擬機設定中掛載 ISO 效能更佳。
• 資料中心的三大組成
  • 網路資源池 (交換機)、運算資源池 (伺服器)、儲存 (Storage) (硬碟陣列)。儲存已發展成一個獨立的專業領域。
• vCenter 部署類型
  • 內嵌式部署 (Embedded)：將 Platform Services Controller (PSC) 與 vCenter Server 安裝在同一台機器上。每個 vCenter 有自己獨立的 SSO、授權等服務。此方式較穩定，為 VMware 後期推薦。
  • 外部署 (External)：將 PSC 與 vCenter Server 分別安裝在不同機器上，允許多個 vCenter 共享一個 PSC 提供的共用服務（SSO、授權、憑證管理）。此架構在實務上可能因資源競爭導致不穩定。
  • 課程選擇：選擇「內嵌式部署」。

vCenter Server 安裝過程中的關鍵設定

• 系統網路名稱：使用 FQDN
  • 系統名稱必須使用「完全合格域名」(Fully Qualified Domain Name, FQDN)，例如 VC06.vsphere.local，而不應使用 IP 位址。
  • 這個 FQDN 會被寫入資安憑證中，用於元件間的加密通訊，且必須在 DNS 中有對應紀錄。
• Single Sign-On (SSO) 網域設定
  • 安裝時會建立一個專門用於 vCenter 認證的 SSO 網域，預設名稱為 vsphere.local。
  • 需為此 SSO 網域的 administrator 帳戶設定密碼。
• 服務登入帳號與權限指派
  • 帳戶選擇：為了與 AD 整合，應選擇使用外部的網域管理員帳戶（如 vsphere6\administrator）作為 vCenter 的服務帳戶，而非使用本機系統帳戶。
  • 權限問題：使用外部網域帳戶作為服務帳戶會觸發 Windows 的安全機制，導致安裝因「沒有以服務方式登錄的權限」而失敗。
  • 解決方案：必須手動為該網域管理員帳戶指派權限。

   1. 在 vCenter 伺服器上執行 gpedit.msc 開啟「本機群組原則編輯器」。
   2. 導覽至：電腦設定 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 使用者權限指派。
   3. 找到「以服務方式登錄」(Log on as a service) 原則。
   4. 將 AD 網域管理員帳戶（vsphere6\Administrator）新增至此原則中。

• • 完成權限指派後，安裝程序即可順利通過驗證。
• 資料庫與其他設定
  • 資料庫：選擇使用「內嵌式資料庫 (Postgres)」，適用於中小型環境。大型企業可能需使用外部 Oracle 資料庫。
  • 網路連接埠與目錄：均採用預設值。

vCenter Client 的演變與連線

• 從 Flash 到 HTML5 的轉變
  • 早期 vCenter 存在兩種客戶端：依賴 Adobe Flash Player 的 vSphere Web Client 和後來的 vSphere Client。
  • 由於 Adobe Flash Player 存在嚴重的安全漏洞，主流瀏覽器（如 Chrome）最終完全禁止其執行，導致 vSphere Web Client 被淘汰。
  • VMware 使用 HTML5 技術重寫了 vSphere Client，不僅解決了安全問題，還顯著提升了執行速度。目前所有新功能都整合在此版本中。
• 建議的連線方式
  • 在瀏覽器中直接輸入 vCenter 的 IP 位址 (https://[IP]) 會出現選擇畫面。
  • 標準做法是選擇 vSphere Client (HTML5)。
  • 為直接進入最新客戶端，建議使用完整網址 https://[IP]/ui 進行連線。
• DNS 設定的重要性
  • 即使使用 IP 位址登入，vCenter 仍會執行 DNS「反向解析」來尋找主機名稱。
  • 若執行連線的客戶端電腦未設定能解析 vCenter 主機名稱的 DNS 伺服器，登入將會失敗。

伺服器管理模式與 vCenter 優勢

• 單機管理 vs. 集中式管理
  • 單機管理：需為每台主機單獨登入，管理多台主機時效率極低。
  • vCenter 集中式管理：透過 單一登入 (Single Sign-On, SSO)，管理者只需登入 vCenter 一次，即可管理所有已納管的主機，極大提升了管理效率，這是使用 vCenter 的核心優勢。

vCenter 身份驗證與 Active Directory 整合

• vCenter 的預設 SSO 網域
  • 每個 vCenter Server 在安裝時都會建立一個預設的 SSO 網域，本例中為 vSphere.local。
  • 此網域擁有自己的最高權限管理員帳號：Administrator@vSphere.local，此帳號擁有對 vCenter 服務的初始完整控制權。
• 整合外部 AD 網域的目標
  • 目標是讓外部網域（如客戶的 vSphere6.local 網域）的管理員能使用其既有帳號登入並管理 vCenter，實現統一身份管理。
• 帳號表示法
  • 簡寫 (如 Administrator)：僅在本機或同品牌環境中有效。
  • 完整 UPN 格式 (如 Administrator@vSphere6.local)：在跨平台環境（如 ESXi、vCenter）中必須使用，以明確指定帳號所屬的網域。

整合外部網域的權限設定步驟

• 步驟一：新增身份識別來源 (Identity Source)
  • 目的：告知 vCenter 去哪裡驗證外部網域的帳號。
  • 操作：在 vCenter 管理介面中，將客戶的 Active Directory（如 vSphere6.local）新增為一個「身份識別來源」。
  • 結果：vCenter 現在能夠驗證來自該網域的使用者身份。
• 步驟二：指派「系統管理員」角色
  • 問題：僅新增來源不足以授予操作權限，外部使用者登入後會因權限不足而被拒絕存取。
  • 解決方案：必須為該外部網域的使用者或群組指派 vCenter 的內部角色。
  • 操作：將外部網域的管理員帳號（如 Administrator@vSphere6.local）新增至 vCenter 的權限清單，並賦予其「系統管理員」角色。
• 步驟三：授予「Single Sign-On (SSO) 管理員」權限
  • vSphere 6.x 的權限細分：從 6.x 版本開始，SSO 的管理權限從「系統管理員」角色中獨立出來。
  • 問題：僅有「系統管理員」角色的外部使用者，無法檢視或設定 SSO 相關頁面（如使用者和群組、組態）。
  • 解決方案：必須讓該使用者同時具備 SSO 管理權限。
  • 操作：將外部網域的管理員帳號加入到 vSphere.local 網域下的 Administrators 系統群組中。該群組的成員會自動繼承完整的 SSO 管理權限。
• 最終驗證
  • 完成上述所有步驟後，使用外部網域的管理員帳號登入 vCenter，應能成功存取並管理所有功能，包括先前無法查看的 SSO 設定頁面，實現完整的控制權轉移。