VMware虛擬機遠程運維方式

遠程直接管理運維VMware虛擬機

1. 使 用vCenter Server遠程管理運維虛擬機

如果給vCenter Server分配了公網(wǎng)地址，管理員就可以使用vSphere Web Client、VMware vSphere Client、VMware Workstation登錄 vCenter Server，管理其下的所有虛擬機（如圖1）。

VMware支持管理員通過移動終端設備管理VMware vCenter Serevr。移動終端無論采用iOS系統(tǒng)還是Android系統(tǒng)，都有對應版本的View Client。只要在移動終端上安裝了View Client，就可以用View Client登錄vCenter Server，管理其下的虛擬機。如果安裝的vCenter Server是6.5以上的版本，還可通過瀏覽器登錄，和在電腦上登錄vCenter Server所用工具一樣，也是基于瀏覽器的管理工具“vSphere Web Client”。

圖1 用vCenter Server管理虛擬機和主機

圖2 vCenter用戶和組管理

借 助vCenter Server管理虛擬機，有其他遠程操控方式不可比擬的優(yōu)勢。此方式既不需要在虛擬機上開啟遠程訪問端口，也不需要在虛擬機上安裝任何遠程控制軟件。管理員還可以根據(jù)運維管理人員的角色定位創(chuàng)建用戶賬戶，分配相應的訪問權(quán)限和范圍（如圖2）。例如，可以為某軟件供應商的技術(shù)支持人員創(chuàng)建單獨的賬號，讓他只能運維管理自己的虛擬機。

vCenter Server的角色和權(quán)限管理功能非常強大，可以自由創(chuàng)建角色、更改角色的權(quán)限，權(quán)限內(nèi)容非常豐富，有31個大類，虛擬機權(quán)限僅僅是其中的一類。圖3列出的權(quán)限只是虛擬機操作權(quán)限的一部分，管理員可以控制某個角色是否能夠修改設備設置、能否添加內(nèi)存、能否對客戶機進行操作等近三十項配置權(quán)限。

創(chuàng)建或配置好角色后，就可以對某個對象添加或修改權(quán)限，權(quán)限添加內(nèi)容不僅可以指定訪問該對象的用戶，還可以為該用戶分配角色。這里的對象既包括虛擬機，也包括數(shù)據(jù)中心等其他對象。比如，管理員為甲公司技術(shù)支持只分配了虛擬機A的訪問最小權(quán)限，那該技術(shù)支持登錄到vCenter Server后，是看不到其他虛擬機的，也不能修改虛擬機的配置，只能在其負責的虛擬機上進行相應的操作。因此，vCenter Server幾乎適合所有運維管理人員，也包括非本單位運維管理人員，如軟件、服務器、存儲等提供商的技術(shù)支持人員。

2.采用遠程桌面連接方式管理虛擬機

圖3 vCenter角色創(chuàng)建及權(quán)限分配

遠程桌面連接是遠程運維管理服務器最常見的方式之一。因遠程桌面連接需要在被運維管理的服務器上開放端口及公網(wǎng)IP，因此，遠程桌面連接的應用范圍有限，一般只有單位內(nèi)部人員在局域網(wǎng)內(nèi)使用。也有部分單位的管理員為了獲得產(chǎn)品的技術(shù)支持，臨時開放端口，映射公網(wǎng)地址，讓產(chǎn)品的技術(shù)支持人員以遠程桌面連接的方式對產(chǎn)品進行升級或排查故障。

3.利用第三方遠程工具管理虛擬機

在被運維管理虛擬機上安裝 TeamViewer、XT800之類的遠程控制軟件，當然，在本地也要安裝相應的遠程控制軟件，只要雙方能連接到這些遠程控制軟件的服務器，獲得授權(quán)碼，就可以通過授權(quán)碼遠程控制虛擬機，實現(xiàn)遠程運維。此種方式不需要開放端口，被管理的虛擬機也不需要有公網(wǎng)地址。缺點有三，一是需要在被管理的虛擬機上安裝遠程運維工具，占用服務器資源；二是需要登錄遠程控制軟件提供商的服務器，獲得授權(quán)碼或ID，如果訪問不了遠程控制軟件提供商的服務器，遠程操控將無法進行；三是這些遠程控制軟件很容易被黑客修改，如果安裝的是被黑客修改過遠程控制軟件，其后果是難以想象的。因此，下載此類軟件，一定要到官網(wǎng)下載。

4.借助聊天工具協(xié)助管理虛擬機

有少部分管理員，為了讓技術(shù)支持人員解決問題，在被運維的虛擬機上臨時安裝QQ、MSN等聊天工具，再利用聊天工具上的遠程控制或遠程協(xié)助功能實現(xiàn)遠程運維。采用方式，管理端和運維端都需要人員，而且雙方必須是好友。

以遠程管理機為跳板，本地管理虛擬機

1.以QQ遠程協(xié)助為跳板工具，用遠程桌面連接管理虛擬機

QQ+遠程桌面連接是一種組合的遠程運維管理方式。需要對方提供技術(shù)支持時，對方人員可以通過聊天工具遠程控制管理員的電腦，把管理員的電腦當作跳板，再通過遠程桌面連接，遠程操控虛擬機，實現(xiàn)虛擬機的遠程運維管理。

2.以QQ遠程協(xié)助為跳板工具，本地使用vCenter管理虛擬機

此種運維方式和上述方式類似，只是本地管理從遠程桌面連接改成了vCenter，也是一種臨時的遠程運維管理方式。采用此種方式的原因，一是單位部署的VMware vCenter Server可能沒有開通外網(wǎng)訪問，二是沒有為技術(shù)支持創(chuàng)建賬號，設置訪問權(quán)限，因事情緊急而采用的臨時方式。

3.以第三方遠程軟件為跳板工具，本地使用vCenter管理虛擬機

管理員可以創(chuàng)建一臺虛擬機（起堡壘機作用），安裝TeamViewer之類的第三方遠程工具和VMware vSphere Client。然后為產(chǎn)品提供商的技術(shù)支持人員創(chuàng)建vCenter賬號，分配好相應權(quán)限。管理員告知技術(shù)支持人員vCenter賬號和第三方遠程工具的授權(quán)碼后，對方就可以對所負責的產(chǎn)品進行遠程運維管理了。用此種方式管理虛擬機，既可以監(jiān)控遠程技術(shù)人員的操作，也可以讓遠程技術(shù)支持人員放手操作。

創(chuàng)建VPN，虛擬機遠程管理本地化

VPN是虛擬專用網(wǎng)絡的簡稱，就是在公用網(wǎng)絡上建立專用網(wǎng)絡，進行加密通訊。VPN屬于遠程訪問技術(shù)，它是利用公用網(wǎng)絡架設專用網(wǎng)絡，管理員即使在外地出差，也可以登錄VPN訪問單位內(nèi)部的服務器。

1. 創(chuàng)建VPN連接

首先架設一臺VPN服務器，根據(jù)運維管理需要，給需要遠程管理服務器的人員創(chuàng)建對應的VPN賬號。如果用PC、筆記本等設備遠程操控虛擬機，桌面系統(tǒng)無論是Windows還是Linux，只要有VPN服務器的公網(wǎng)地址、VPN賬號和密碼，就可以創(chuàng)建VPN連接。

如果用移動終端遠程操控虛擬機，無論終端設備的操作系統(tǒng)是Android系統(tǒng)還是蘋果的iOS系統(tǒng)，都提供了VPN連接功能。用戶可以開啟VPN功能，然后添加VPN即可。添加時需輸入VPN服務器地址、賬號和密碼。

2.虛擬機遠程管理本地化

創(chuàng)建VPN連接后，若要將終端設備連接到單位的局域網(wǎng)，雙擊打開VPN連接，登錄到VPN服務器后，就可以像在單位一樣，用自己的終端設備管理局域網(wǎng)內(nèi)的虛擬機。當然，管理方式可以是遠程桌面連接，也可以是vCenter，這要根據(jù)用戶喜好而定。

虛擬機遠程運維管理最佳途徑

筆者經(jīng)常需要遠程管理維護VMware虛擬機，嘗試過多種遠程管理運維工具，也嘗試了上述幾種遠程運維方式。根據(jù)筆者體驗的結(jié)果，遠程管理維護VMware虛擬機的最佳途徑就是VPN+vCenter。

1.安全性高

首先，VPN的安全性很高。一是VPN采用128-bit及以上級別的非對稱加密算法，可以保證數(shù)據(jù)在不安全信道上的安全傳輸。即使被中途截獲，也需要動用巨大的計算力量才有可能解密。二是VPN連接與VPN服務器建立的是點對點的加密隧道連接，即使不同位置的用戶登錄到同一臺服務器上，用戶之間也不會互相獲得彼此傳輸?shù)臄?shù)據(jù)。三是服務器端是通過服務器的IP地址出口，不會透露用戶實際的IP地址等信息，可以確保用戶的匿名性。

其次，用vCenter管理虛擬機，必須先登錄到vCenter Server，而 vCenter采用的是單點登錄（Single Sign-On）方式進行vSphere 身份驗證，這是一種采用安全令牌交換機制的身份驗證代理程序。用戶通過vCenter Single Sign-On進行身份驗證后，即可訪問已被授權(quán)的vCenter服務（包括虛擬機）。vCenter對所有通信的流量都會進行加密，而且只有經(jīng)過身份驗證的用戶才被授予訪問權(quán)限。

2.管理方便快捷

一是實現(xiàn)了虛擬機的集中管理，登錄到vCenter Server后，所有虛擬機都出現(xiàn)vCenter管理控制臺下，如果所管理的虛擬機比較多，還可以在虛擬機和模板視圖中創(chuàng)建文件夾，將虛擬機組織到文件夾層次結(jié)構(gòu)中，就像管理文件那樣管理虛擬機。二是可以進行硬件底層管理，如開關機、添加內(nèi)存和硬盤，放置光盤等。除此之外，還可以像管理本地物理機一樣，遠程安裝操作系統(tǒng)，安裝或卸載軟件，停止或啟動服務，這些都是用遠程管理軟件進行遠程維護不能完成的工作。

3.管理方式多樣化

如果用PC、筆記本等設備管理維護虛擬機，VMware提供了VMware vSphere Client和VMware Workstation Pro兩款工具，功能都很強大。如果不想使用客戶端，還可以使用瀏覽器，通過vSphere Web Client遠程管理維護虛擬機。

如果使用手機、平板等移動終端管理維護虛擬機，Android系統(tǒng)可以使用VMware View，蘋果的iOS系統(tǒng)可以使用vSphere Client管理維護虛擬機。如果VMware vCenter升級到6.5，該版本提供了基于 HTML5 的vSphere Web Client，也就是說，在移動終端上也可以用瀏覽器管理維護虛擬機。

4.遠程流暢清晰

雖然網(wǎng)絡帶寬越來越高，但網(wǎng)絡環(huán)境越來越復雜，用“直連”的遠程控制軟件遠程操控虛擬機時，有時會出現(xiàn)卡頓，甚至出現(xiàn)連接錯誤。筆者曾經(jīng)通過公網(wǎng)地址直接訪問 vCenter Server，遠程操控時，卡頓現(xiàn)象就比較嚴重。而使用VPN連接到局域網(wǎng)后，登錄vCenter Server幾乎和在單位一樣，操作順暢，比TeamViewer遠程控制軟件都流暢。據(jù)筆者估計，同樣的線路，出現(xiàn)這種差異，應該和單位的防火墻有關。

經(jīng)驗總結(jié)

遠程運維管理VMware虛擬機的辦法有很多，讀者可以根據(jù)實際情況，選擇適合自己的遠程運維管理辦法。安全起見，如果是單位內(nèi)部的管理員要遠程運維管理虛擬機，推薦采用VPN+vCenter的組合方式；如果是服務于本單位的技術(shù)支持人員要遠程運維管理，推薦使用“第三方遠程工具+vCenter”的組合方式，采用此方式同樣是“雙保險”，服務于本單位的技術(shù)支持人員想遠程運維管理虛擬機，既需要第三方遠程工具的授權(quán)碼，也需要vCenter賬號。管理員還可以通過監(jiān)看“堡壘機”，全程監(jiān)看技術(shù)支持人員的操作。