От редакции VM Guru: Представляем вам очередную статью нового автора VM Guru - Максима Федотенко. В первой части статьи Максима "Рекомендации по защите инфраструктуры виртуальных десктопов, созданных на базе платформы VMware View" было рассказано о сетевой инфраструктуре в контексте безопасности VDI-решения. Во второй статье цикла речь пойдет о некоторых рекомендациях по настройкам серверов и служб технологической инфраструктуры VMware View.
Раздел 1. Платформа виртуализации vSphere
Как говорилось в Части 1 статьи, для инфраструктуры виртуальных десктопов рекомендуется использовать один или несколько отдельных от остальной инфраструктуры виртуализации кластеров ESXi. Следует также использовать vSphere DRS для эффективного распределения виртуальных десктопов связанного клонирования (linked-clonedesktops) между ESXi в кластере (VMware View Installation. Chapter 4. Installing View Composer. "Configuring the vSphere Environment for View Composer").
Раздел 2. Серверы/службы
Сервер vCenter Server
Для инфраструктуры виртуальных десктопов следует использовать vCenter Server, отдельный от vCenter, управляющего инфраструктурой серверной виртуализации (см. Часть 1). В случае использования виртуального сервера vCenter Server он должен быть расположен на инфраструктуре серверной виртуализации.
Сервер vCenter Server инфраструктуры виртуализации десктопов должен входить в домен AD (VMware View Installation. Chapter 3.Preparing Active Directory. "Creating a User Account for vCenter Server"). При этом, в случае использования службы ViewComposer на сервере vCenterServer, он должен входить в домен AD, в котором находятся виртуальные десктопы, или в домен AD, который имеет с данным доменом доверительные отношения. Базу данных View Composer следует использовать в режиме High Availability (Deployment and Technical Considerations Guide "VMware View Backup Best Practices". Раздел View Backup and Restore. "Backup frequency Recommendations").
Сервер View Security
Сетевой экран Windows Firewall на сервере View Security рекомендуется отключить и использовать внешние, по отношению к серверу, межсетевые экраны (VMware Knowledge Base. Статья 1024610 "Using Windows Firewall and Dual Network Interface Cards with VMware View Servers"). Это могут быть как физические, так и виртуальные межсетевые экраны, использующие технологию VMsafe.
Сервер View Security следует размещать на отдельном виртуальном или физическом сервере, который не выполняет более других задач. В случае использования виртуального сервера View Security он должен быть расположен на инфраструктуре серверной виртуализации.
К View Security относятся службы операционной системы, перечисленные в Таблице 1.
Таблица 1 . Службы View Security (VMware View Security. VMware View Security Reference. "Services on a Security Server").
Название службы
Тип запуска
Описание
VMware View Security Server
Automatic
Обеспечивает сервисы сервера Security Server. При запуске и остановке также запускаются и останавливаются службы Framework и Security Gateway.
VMware View Framework Component
Manual
Обеспечивает сервисы журналирования событий, защиты и основные элементы COM+. Эта служба должна быть запущена для корректной работы Security Server.
VMware View PCoIP Secure Gateway
Manual
Обеспечивает сервисы PCoIP Secure Gateway. Этот сервис должен быть запущен, если клиенты соединяются с сервером View Security с использованием PCoIP Secure Gateway.
VMware View Security Gateway Component
Manual
Обеспечивает сервисы защищенного туннелирования. Эта служба должна быть запущена для корректной работы ViewSecurity.
На сервере View Security следует запретить неиспользуемые инфраструктурой виртуальныхдесктопов службы (сервисы). Таким образом, следует отключить роль "Сервер", а также запретить службы, перечисленные в Таблице 2.
В списке контроля доступа к файлу <install_directory>\VMware\VMwareView\Server\sslgateway\conf должны присутствовать только учетные записи SYSTEM и администраторов системы VMwareView (VMware View Security. VMware View Security Reference. "VMware View Resources").
Далее обратим внимание на журнальные файлы сервера View Security. Журналы служб сервера View Security находятся (VMware View Security. VMware View Security Reference. "VMware View Resources"):
<Drive Letter>:\Documents and Settings\All Users\Application Data\VMware\VDM\logs\*.txt
PCoIP Secure Gateway:
в подкаталоге PCoIP Secure Gateway каталога журнальных файлов, файлы SecurityGateway_*.log
Описанные далее настройки приведены в доркументе VMware View Administration. Chapter 8. Configuring Policies. "View Common Configuration ADM Template Settings".
Размещение журнальных файловможно изменить, но делать этого не стоит.
Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, необходимо оставить в разделе “VMware View Common Configuration –>Log Configuration” параметр ”Log Directory” в значении“Not Configured”.
Доступ к журнальным файлам следует ограничить списком контроля доступа (VMware View Security. VMware View Security Reference. "VMware View Resources").
Максимальный размер журнальных файлов рекомендуется увеличить, например до 100 Мб относительно размера по умолчанию (10 Мб).
Для этого в групповой политике организационной единицы, к которой принадлежат сервера ViewSecurity, установить в разделе ”VMware View Common Configuration –>Log Configuration” параметр “Maximum debug log size in Megabytes” в значение “Enabled” и установить опцию “Maximum debug log size in Megabytes” в значение “100”.
Максимальное количество журнальных файлов может быть увеличено, например, до 100 относительно количества по умолчанию (10).
Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе “VMware View Common Configuration –>Log Configuration” параметр “Maximum number of debug logs” в значение “Enabled” и установить опцию “Maximum number of debug logs” в значение “100”.
Максимальное количество дней, которое хранятся журнальные файлы, может быть также изменено, например, до 90 дней относительно количества по умолчанию (7 дней).
Для этого в групповой политике организационной единицы, к которой принадлежат сервера ViewSecurity, установить в разделе “VMware View Common Configuration –>Log Configuration”параметр “Number of days to keep production logs” в значение “Enabled” и установить опцию “Number of days to keep production logs” в значение “100”.
Возможно также изменить пороговое значение минимально оставшегося дискового пространства для журнальных файлов. По умолчанию оно составляет 200 Мб и рекомендуется его не менять.
Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Security, необходимо оставить в разделе “VMware View Common Configuration” параметр “Disk threshold for log and events in Megabytes” в значение“Not Configured”.
Дополнительно можно включить расширенное журналирование событий (trace и debug).
В групповой политике организационной единицы, к которой принадлежат сервера View Security, установить в разделе “VMware View Common Configuration” параметр “Enable extended logging” в значение “Enabled”.
Сервер View Connection
Сетевой экран Windows Firewall на сервере View Connection рекомендуется отключить (VMware Knowledge Base. Статья 1024610 "Using Windows Firewall and Dual Network Interface Cards with VMware View Servers"). Необходимо использовать внешний по отношению к серверу межсетевой экран.
Соединение между репликами серверов View Connection должны осуществляться по высокоскоростным линиям связи (VMware View Installation. Chapter 1 System Requirements for Server Components. "Network Requirements for Replicated View Connection Server Instances").
Сервер View Connection должен принадлежать домену AD ( VMware View Installation. Chapter 3. Preparing Active Directory. "Configuring Domains and Trust Relationships" ++ VMware View Installation. Chapter 5. Installing View Connection Server. "Installation Prerequisites for View Connection Server"). Однако он не должен быть контроллером домена AD ( VMware View Installation. Chapter 3. Preparing Active Directory. "Configuring Domains and Trust Relationships" ++ VMware View Installation. Chapter 5. Installing View Connection Server. "Installation Prerequisites for View Connection Server").
При этом все реплики сервера View Connection должны находиться в одном домене AD или в доменах, имеющих доверительные отношения.
На сервере View Connection не должна быть установлена роль Windows Terminal Server (VMware View Installation. Chapter 5. Installing View Connection Server. "Installation Prerequisites for View Connection Server").
Сервер View Connection следует располагать на отдельном виртуальном или физическом сервере, который не выполняет более других задач (VMware View Installation. Chapter 5. Installing View Connection Server. "Installation Prerequisites for View Connection Server"). В случае использования виртуального сервера View Connection он должен быть расположен на инфраструктуре серверной виртуализации.
К View Connection относятся службы операционной системы, перечисленные в Таблице 3.
Обеспечивает сервисы брокера соединений. Эта служба должна быть запущена для корректной работы ViewManager. При запуске и остановке также запускаются и останавливаются службы Framework, Message Bus, Security Gateway и Web. Служба не запускает и не останавливает VMware VDMDS и VMware View Script Host.
VMware View Framework Component
Manual
Обеспечивает сервисы журналирования событий, защиты и основные элементы COM+. Эта служба должна быть запущена для корректной работы View Manager.
VMware View Message Bus Component
Manual
Обеспечивает сервис сообщений между компонентами View Manager. Эта служба должна быть запущена для корректной работы View Manager.
VMware View PCoIP Secure Gateway
Manual
Обеспечивает сервисы PCoIP Secure Gateway. Эта служба должна быть запущена, если клиенты соединяются с сервером ViewConnectionс использованием PCoIP Secure Gateway.
VMware View Script Host
Automatic (если включен)
Обеспечивает поддержку скриптов третьих фирм, которые выполняются когда удаляются виртуальные машины. Этот сервис запрещен по умолчанию.
VMware View Security Gateway Component
Manual
Обеспечивает сервисы защищенного туннелирования. Эта служба должна быть запущена для корректной работы View Manager.
VMware View Web Component
Manual
Обеспечивает сервисы Web для View Manager. Эта служба должна быть запущена для корректной работы View Manager.
Обеспечивает сервисы каталога LDAP для ViewManager. Эта служба должна быть запущена для корректной работы View Manager.
На сервере View Connection следует запретить неиспользуемые инфраструктурой виртуальныхдесктопов службы (сервисы). Таким образом, следует запретить службы, перечисленные в Таблице 4.
Таблица 4 . Службы, запрещаемые на сервере View Connection.
На сервере View Connection следует настроить синхронизацию времени с используемыми в организации серверами времени (VMware White Paper "VMware View Security Server Hardening Guide". Пункт VSS 07).
Рекомендуется настроить фильтр доменов, в которых сервер ViewConnection будет производить поиск пользователей.
Для настройки фильтра доменов в сервере View Connection используется команда "vmadmin". (VMware View Installation. Chapter 3. Preparing Active Directory. "Trust Relationships and Domain Filtering")
Резервная копия файлов LDAP-каталога должна быть защищена при помощи списка управления доступом. В него должны входить только учетные записи “SYSTEM” и группы администраторов ViewConnectionна уровне операционной системы (VMware View Security. VMware View Security Reference. "VMware View Resources").
Windows Server 2008:
<Drive Letter>:\Program Data\VMWare\VDM\backups
Windows Server 2003:
<Drive Letter>:\Documents and Settings\All Users\Application Data\VMWare\VDM\backups
В списке контроля доступа к файлу <install_directory>\VMware\VMware View\Server\sslgateway\conf должны присутствовать только учетные записи “SYSTEM” и администраторовVMware View (VMware View Security. VMware View Security Reference. "VMware View Resources").
Доступ к файлу настройки Web-сервера Tomcat web.xml должен быть ограничен учетными записями “SYSTEM” и администраторов VMware View (VMware View Security. VMware View Security Reference. "VMware View Resources").
Должны быть запрещены рекурсивный сбор и хранение сервером View Connection информации о доверенных доменах. Такую информацию сервер должен собирать каждый раз при аутентификации пользователя доверенного домена в инфраструктуре виртуальных десктопов. Запрещение связано с тем, что сервера View Connection сохраняют в памяти информацию о доверии.
В групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе“VMware View Server Configuration” параметр “Recursive Enumeration of trusted domains”в значение “Disabled” (VMware View Administration. Chapter 8. Configuring Policies. “View Server Configuration ADM Template Settings”).
Далее обратим внимание на журнальные файлы сервера ViewConnection.
Журналы служб сервера View Connection находятся (VMware View Security. VMware View Security Reference. "VMware View Resources"):
<Drive Letter>:\Documents and Settings\All Users\Application Data\VMware\VDM\logs\*.txt
Размещение журнальных файлов может изменяться, но также как и в случае с сервером View Security делать это не стоит.
Для этого в групповой политике организационной единицы, к которой принадлежат сервера View Connection, установить в разделе“VMware View Common Configuration –>Log Configuration”параметр “Log Directory”в значение “Not Configured”.
Доступ к журнальным файлам должен быть ограничен списком контроля доступа (VMware View Security. VMware View Security Reference. "VMware View Resources").
Следующие параметры повторяют параметры журналированияView Security, приведенные выше (там же описана и процедура их изменения):
Доступ к журнальным файлам следует ограничить списком контроля доступа.
Максимальное количество журнальных файлов может быть увеличено, например, до 100 относительно количества по умолчанию (10).
Максимальное количество дней, которое хранятся журнальные файлы, может быть также изменено, например, до 90 дней относительно количества по умолчанию (7 дней).
Возможно также изменить пороговое значение минимально оставшегося дискового пространства для журнальных файлов. По умолчанию оно составляет 200 Мб и рекомендуется его не менять.
Дополнительно можно включить расширенное журналирование событий (trace и debug).
Служба View Composer
Для организации пулов виртуальных десктопов следует использовать View Composer. При этом служба View Composer может быть расположена на vCenter Server, который управляет инфраструктурой виртуализации десктопов, или на отдельном виртуальном или физическом сервере. На отдельном сервере ее можно размещать, начиная с версии VMware View 5.1.
Рекомендуется базу данных View Composer располагать на отдельном сервере. Сервер базы данных View Composer не должен совмещаться с сервером vCenter Server или с сервером View Composer. Для управления базой данных View Composer может использоваться СУБД Microsoft SQL Server или СУБД Oracle. База данных View Composer должна находиться в режиме High Availability (Deployment and Technical Considerations Guide "VMware View Backup Best Practices". Раздел View Backup and Restore. "Backup frequency Recommendations"). Для хранения данных сервера View Composer должен быть создан отдельный экземпляр (instance) базы данных.
Сервер View Transfer
Сервер View Transfer должен быть виртуальным. При этом сервер View Transfer должен располагаться на инфраструктуре виртуализации десктопов и управляться тем же vCenter Server, что и виртуальные десктопы (VMware View Architecture Planning. Chapter 4. Architecture Design Elements and Planning Guidelines. "View Transfer Server Configuration").
К View Transfer относятся службы операционной системы, перечисленные вТаблице 5.
Обеспечивает сервисы, которые координируют сервисы, связанные с View Transfer. При запуске и остановке также запускаются и останавливаются службы View Transfer Server Control Serviceи Framework.
VMware View Transfer Server Control Service
Manual
Обеспечивает возможность управления для View Transfer и управляет коммуникациями с View Connection.
VMware View Framework Component
Manual
Обеспечивает сервисы журналирования событий, защиты и основные элементы COM+. Эта служба должна быть запущена для корректной работы View Manager.
Apache service
Automatic
Обеспечивает возможность передачи данных для клиентских компьютеров, которые выполняют виртуальные рабочие станции в локальном режиме (Local Mode). Служба Apache запускается когда добавляетсясервер ViewTransfer во View Manager.
Доступ к файлу настройки Web-сервера Apache httpd.conf должен быть ограничен учетными записями “SYSTEM” и администраторов VMware View (VMware View Security Reference. "VMware View Resources").
Репозиторий сервера View Transfer должен находиться в общей сетевой папке (Remote Transfer Server Repository). Локальное хранилище использовать не рекомендуется. Доступ к общей сетевой папке репозитория следует ограничить правами на Чтение (Read) и Изменение (Modify) специально созданной для репозитория доменной учетной записи.
Журналы служб сервера View Transfer находятся (VMware View Security. VMware View Security Reference. "VMware View Resources"):
Windows Server 2008: <Drive Letter>:\ProgramData\VMware\VDM\logs\*.txt
Windows Server 2003: %ALLUSERSPROFILE%\Application Data\VMware\VDM\logs\*.txt
Журналы службы Web-сервераApache находятся (VMware View Security. VMware View Security Reference. "VMware View Resources"): <Drive Letter>:\Program files\Apache Group\Apache2\logs\error.log
Доступ к журнальным файлам ViewTransfer и Web-сервера Apache следует ограничить списком контроля доступа (VMware View Security. VMware View Security Reference. "VMware View Resources").
Раздел 3. Аутентификация и авторизация
На Рисунке 1 приведена схема, показывающая технологические учетные записи и их права, используемые инфраструктурой виртуальных рабочих станций VMwareView.
Рисунок 1 . Учетные записи и их права, используемые инфраструктурой виртуальных десктопов (VMware View Security. VMware View Security Reference. "VMware View Accounts").
Рассмотрим права учетных записей, используемых инфраструктурой виртуальных десктопов, в порядке, обозначенном на Рисунке 1.
Администраторы VDI
Вначале рассмотрим права администратора(ов) инфраструктуры виртуальных десктопов.
Под номером 1 обозначены права администратора инфраструктуры во View Manager. Привилегии администратора(ов) могут быть глобальными и объектными. Внутренние привилегии View Manager мы рассматривать не будем, т.к. они даются встроенным ролям и обычно использовать их для других целей не приходится. Объектные привилегии даются на конкретные объекты – пулы, десктопы, постоянные диски. Объектные привилегии позволяют давать доступ на администрирование, например, только конкретных пулов виртуальных десктопов, т.е. передавать полномочия, например, филиалам, организациям–потребителям услуг виртуальных десктопов и т.п. Предопределенные административные роли в иерархии View Manager приведен в Таблице 6, а набор возможных привилегий, из которых возможно формировать собственные роли во View Manager, приведен в Таблице 7.
Таблица 6. Предопределенные административные роли во View Manager (VMware View Administration.Chapter 2.Configuring Role-Based Delegated Administration. "Predefined Administrator Roles").
Роль
Описание
Применение к папке
Administrators
Выполняет все административные задачи, включая создание дополнительных администраторов и групп. Администраторы, имеющие права на папку Root, имеют полный доступ ко всем объектам.
По умолчанию роль Administrators на папку Root назначается членам локальной административной группы на View Connection Server.
Администратор должен иметь роль Administrators на паку Root для выполнения следующих задач:
Добавление и удаление папок.
Управление приложениями ThinApp и конфигурационными настройками во View Administrator.
Управление экземплярами серверов View Transfer и репозиторием Transfer Server
Использование команд vdmadmin и vdmimport.
Да
Administrators (Read Only)
Просмотр, но не управление, глобальными настройками и объектами инвентаризации.
Просмотр, но не управление, приложениями ThinAppи конфигурационными настройками.
Просмотр, но не управление, экземплярами серверов ViewTransfer и репозиторием Transfer Server.
Выполнение всех команд PowerShell и утилит командной строки, включая vdmadmin и vdmimport.
Когда администраторам назначена данная роль, они могут только просматривать объекты в соответствующей папке.
Да
Agent Registration Administrators
Регистрация неуправляемых рабочих станций, таких как физические системы, отдельные виртуальные машины и терминальные сервера.
Нет
Global Configuration and Policy Administrators
Просмотр и изменение глобальных политик и конфигурационных настроек за исключением ролей и привилегий, приложений ThinAppи настроек, экземпляров серверов View Transfer и репозитория Transfer Server.
Нет
Global Configuration and Policy Administrators (Read only)
Просмотр, но не изменение глобальных политик и конфигурационных настроек за исключением ролей и привилегий, приложений ThinApp и настроек, экземпляров серверов View Transfer и репозитория Transfer Server.
Нет
Inventory Administrators
Выполнение любых операций над всеми виртуальными рабочими станциями, сессиями и пулами.
Управление постоянными дисками.
Осуществление операцийповторной синхронизации (resync), обновления (refresh) и балансировки (rebalance) пулов связанного клонирования и изменение основного образа пула.
Когда администраторам назначена данная роль, они могут только выполнять эти операции только на объектах в соответствующей папке.
Да
InventoryAdministrators (Readonly)
Просмотр, но не изменение, объектов.
Когда администраторам назначена данная роль, они могут только просматривать объекты в соответствующей папке.
Да
Таблица 7. Привилегии ролей во View Manager (VMware View Administration. Chapter 2. Configuring Role-Based Delegated Administration. "Predefined Roles and Privileges").
Привилегия
Описание
Примечание
Глобальные привилегии
Console Interaction
Вход и использование ViewAdministrator
Direct Interaction
Использование команд PowerShell и утилит командной строки, за исключением vdmadmin и vdmimport.
Администраторы должны иметь рольAdministrators на папке Root для использования команд vdmadmin и vdmimport.
Manage Global Configuration and Policies
Просмотр и модификация глобальных политик и конфигурационных параметров.
За исключением администраторских ролей и разрешений
Manage Roles and Permissions
Создание, изменение и удаление администраторских ролей и разрешений.
Register Agent
Установка ViewAgent на неуправляемые источники виртуальных рабочих станций, таких как физические системы, отдельно стоящие виртуальные машины и терминальные сервераю
Во время установки ViewAgent необходимо ввести параметры учетной записи администратора для регисрации на неуправляемом источнике виртуальной рабочей станции в сервере ViewConnection
Объектные привилегии
Pool
Enable Pool
Разрешает (enable) и запрещает (disable) пулы виртуальных рабочих станций
Entitle Pool
Добавляет (add) и удаляет (remove) права пользователей
Manage Composer Pool Image
Повторно синхронизирует (resync), обновляет (refresh) и балансирует (rebalance) пулы связанных клонов (linked-clonepools) и изменяет образ пула по умолчанию (default pool image)
Manage Pool
Добавляет, изменяет и удаляет пулы виртуальных рабочих станций, а также добавляет и удаляет виртуальные рабочие станции
Desktop
Manage Desktop
Выполняет все операции, связанные с виртуальными рабочими станциями и сессиями
Manage Reboot Operation
Сбрасывает (reset) виртуальные рабочие станции
Manage Remote Sessions
Отсоединение (disconnect) и выход из системы удаленных сессий и отсылка сообщений на рабочие станции пользователей
Manage Local Sessions
Откат (rollback) и инициация репликаций локальных рабочих станций
Persistent Disks
Manage Persistent Disks
Выполнение всех операций View Composer с постоянными (persistent) дисками, включая подсоединение, отключение и импорт постоянных дисков.
Внутренние привилегии
Full (Read only)
Дает доступ только на чтение ко всем настройкам
Даетсяроли Administrators (Read Only)
ManageInventory (Readonly)
Дает доступ только на чтение ко всем инвентарным объектам
Даетсяроли Inventory Administrators (Read Only)
Manage Global Configuration and Policies (Read only)
Дает доступ только на чтение к конфигурационным настройкам и глобальной политике за исключением администраторов и ролей
Дается роли Global Configuraton and Policy Administrators (Read only)
В Таблице 8 приведены наиболее распространенные задачи администрирования во View Manager и соответствующие данным задачам привилегии – глобальные и объектные с указанием объектов, на которые они распространяются.
Таблица 8. Соотнесение задач по администрированию инфраструктуры виртуальных десктопов и необходимых для этого привилегий во View Manager (VMware View Administration. Chapter 2. Configuring Role-Based Delegated Administration. "Required Privileges for Common Tasks").
Задача
Требуемая привилегия/роль
Применение
Управление пулами
Разрешать (enable) или запрещать (disable) пул
Enable Pool
Пул
Добавлять (entitle) или удалять (unentitle) права пользователей на пул
Entitle Pool
Пул
Добавлять пул
ManagePool
При добавлении пула связанных клонов (linked-clone) необходимо иметь роль Administrators на папку Root для опубликования основного (base) образа в репозитории сервера View Transfer
Папка
Модифицировать или удалять пул
Manage Pool
Пул
Добавлять или удалять виртуальные рабочие станции в/из пула
Manage Pool
Пул
Обновлять (refresh), реконструировать (recompose), балансировать (rebalance) или изменять основной образ View Composer
Manage Composer Pool Image
Пул
Изменение папки
Manage Pool
Папка источник
Папка приемник
Управление виртуальными рабочими столами
Удаление виртуальной машины
Manage Pool
Пул
Сброс (reset) виртуальной машины
Manage reboot Operation
Виртуальный десктоп
Отмена, пауза и возобновление задачи
Manage Composer Pool Image
Назначение и удаление владельца
Manage Desktop
Виртуальный десктоп
Вход и выход из режима обслуживания
Manage Desktop
Виртуальный десктоп
Откат (rollback) и инициация репликаций
Manage Local sessions
Виртуальный десктоп
Отсоединение (disconnect) и выход из системы (logoff) удаленных сессий
Manage Remote Sessions
Виртуальный десктоп
Управление постоянными (persistent) дисками
Отключение диска
Manage Persistent Disks
Диск
Manage Pool
Пул
Подсоединение диска
Manage Persistent Disks
Диск
Manage Pool
Виртуальный десктоп
Редактирование диска
Manage Persistent Disks
Диск
Manage Pool
Выбранный пул
Изменение папки
Manage Persistent Disks
Папка источник
Папка приемник
Пересоздание виртуальной рабочей станции
Manage Persistent Disks
Диск
Manage Pool
Целевой пул
Импорт из vCenter Server
Manage Persistent Disks
Диск
Manage Pool
Пул
Удаление диска
Manage Persistent Disks
Диск
Управление пользователями и администраторами
Обновление информации о пользователе
Manage Global Configuration and Policies
Отсылка сообщений пользователям виртуальных рабочих станций
Manage Remote Sessions
Виртуальный десктоп
Добавление администратора или группы администраторов
Manage Roles and Permissions
Добавление, изменение или удаление полномочий администраторов
Manage Roles and Permissions
Добавление, изменение или удаление ролей администраторов
Manage Roles and Permissions
Общие административные задачи и команды
Добавлять и удалять папки
Роль Administrators
Root
Управлять ThinApp-приложениями и установками во View Adminstrator-е
Роль Administrators
Root
Просмотр и изменение экземпляра сервера View Transfer и репозиторийсервера View Transfer
Роль Administrators
Root
Установка View Agent на неуправляемый источник виртуальной рабочей станции, такие как физическая система, отдельная виртуальная машина или терминальный сервер
Register Agent
Просмотр и изменение конфигурационных установок (исключая администраторов) во View Administrator-е
Manage Global Configuration and Policies
Использование команд PowerShell и утилит, за исключением команд vdmadmin, vdmimport и vdmexport
Под номером 2 на Рисунке 1 обозначены права администратора инфраструктуры в vCenter Server. Администратору нужны права на уровне vCenter Server для создания основного образа пула виртуальных десктопов. Права для создания основного образа представлены в Таблице 9.
Таблица 9. Права учетной записи администратора VDI на уровне vCenter Server.
Группа привилегий
Подгруппа привилегий
Привилегии
Datastore
Allocate space
Network
Assign network
Resource
Assign virtual machine to resource pool
Virtual machine
Configuration
All
Interaction
Console interaction
Device connection
Power Off
Power On
Reset
Suspend
VMware Tools install
Inventory
Create from existing
Create new
Remove
Provisioning
Create template from virtual machine
State
All
View Manager
Для доступа ViewManager к vCenterServer должна быть создана доменная пользовательская учетная запись в том же домене, что и сервер ViewConnection, или в разных доменах, но с доверительными отношениями (VMware View Installation. Chapter 3. Preparing Active Directory. "Creating a User Account for vCenter Server").
Под номером 3 на Рисунке 1 обозначены права учетной записи ViewManager на сервере vCenter Server на уровне операционной системы. Данная учетная запись должна иметь пользовательские права на сервере vCenter Server, а в случае использования View Composer, она должна иметь права администратора на сервере vCenter Server (входить в локальную группу “Administrators”) (VMware View Installation. Chapter 8. Configuring View for the First Time. "Configure a vCenter Server User for View Manager, View Composer, and Local Mode").
Под номером 4 на Рисунке 1 обозначены права учетной записи View Manager на сервере vCenter Server на уровне самого программного обеспечения vCenter Server.
Подключение View Manager к vCenter Server должно осуществляться при помощи ограниченной учетной записи, имеющей права на vCenter Server в зависимости от использования View Composer или локального режима (Local Mode).
Проверить используемую учетную запись можно во View Administrator. В нем выбрать “View Configuration –>Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” проверить имя пользователя “Username” для доступа к vCenterServer. (VMware View Installation. Chapter 5. Installing View Connection Server. "Add vCenter Server Instances to View Manager")
В Таблице 10 представлены права учетной записи View Manager в vCenter Server в случае, если не используется ни View Composer, ни локальный режим (Local Mode).
Таблица 10 . Привилегии View Manager на уровне vCenter Server (VMware View Installation. Chapter 5. Installing View Connection Server. "Configuring User Accounts for vCenter Server and View Composer").
Группа привилегий
Подгруппа
Привилегии
Folder
Create Folder
Delete Folder
Virtual Machine
Configuration
Add or remove device
Advanced
Modify device settings
Права учетной записи View Manager на уровне vCenter Server в случае использования View Composer расширяются относительно стандартных (см. Таблицу 10) привилегиями, перечисленными в Таблице 11.
Таблица 11 . Дополнительные привилегии учетной записи View Manager на сервере vCenter Server в случае использования View Composer (VMware View Installation. Chapter 5. Installing View Connection Server. "Configuring User Accounts for vCenter Server and View Composer").
Группа привилегий
Подгруппа
Привилегии
Datastore
Allocate Space
Browse datastore
Low level file operations
Virtual Machine
Inventory
All
Configuration
All
State
All
Provisioning
Clone virtual machine
Allow disk access
Resource
Assign virtual machine to resource pool
Global
Enable methods
Disable methods
System tag
Network
All
Права учетной записи ViewManager на уровне vCenter Server в случае использования локального режима (Local Mode) расширяются относительно привилегий View Manager в случае использования View Composer (см. Таблицы 10 и 11) привилегиями, перечисленными вТаблице 12.
Таблица 12 . Дополнительные привилегии учетной записи View Manager на сервере vCenter Server в случае использования локального режима (Loca Mode) (VMware View Installation. Chapter 5. Installing View Connection Server. "Configuring User Accounts for vCenter Server and View Composer").
Группа привилегий
Подгруппа
Привилегии
Global
Set custom attribute
Host
Configuration
System management
View Composer
Под номером 5 на Рисунке 1 обозначены права учетной записи View Composer к базе данных View Composer. В качестве системы управления базой данных View Composer может выступать Microsoft SQL Server или Oracle.
В случае использования Microsoft SQL Server в качестве модели аутентификации может быть выбрана интегрированная с операционной системой Windows аутентификация или аутентификация SQL-сервера. В случае размещения базы данных на том же сервере, что и vCenter Server, необходимо использовать интегрированный метод аутентификации, а в других случаях – аутентификацию SQL-сервера.
В случае использования интегрированного метода аутентификации пользователь, под которым происходит обращение View Composerк базе данных, не должен иметь дополнительных к правам обычного пользователя прав в операционной системе сервера баз данных. Пользователь, под которым происходит обращение View Composer к базе данных СУБД Microsoft SQL Server, должен иметь роль "db_owner fixed database" в базе данных View Composer.
В случае использования Oracle пользователь, под которым происходит обращение View Composerк базе данных, должен иметь не следующие права (VMware View Installation. Chapter 4. Installing View Composer. "Configure an Oracle Database User for View Composer"):
grant connect to <user>;
grant resource to <user>;
grant create procedure to <user>;
grant create view to <user>
grant create sequence to <user>;
grant create table to <user>;
grant create materialized view to <user>;
grant execute on dbms_lock to <user>;
grant execute on dbms_job to <user>;
grant unlimited tablespace to <user>;
Под номером 6 на Рисунке 1 обозначены права учетной записи View Composer в корпоративном каталоге Microsoft Active Directory.
Подключение View Composer к AD должно осуществляться при помощи ограниченной учетной записи.
Проверить используемую учетную запись можно во View Administrator. В нем выбрать “View Configuration –>Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “View Composer settings”в окне “Domains” выбрать имя домена, нажать кнопку “Edit…”в появившемся окне “Edit Domain” проверить имя пользователя “Username” (VMware View Installation. Chapter 5.Installing View Connection Server. "Configure View Composer Settings for vCenter Server").
View Composer требует, чтобы учетная запись, под которой он работает с Active Directory, обладала привилегиями для добавления и удаления учетных записей компьютеров в определенную организационную единицу OU.
Запустить“Start –> Programs –> Administrative Tools –> Active Directory User and Computers”
Отметить пункт в меню“View –> Advanced Features”
Нажать правой кнопкой мыши на организационной единице <VDI Computers> и выбрать пункт меню “Properties” (<VDI Computers> - организационная единица, в которой находятся учетные записи виртуальных десктопов)
Выбрать закладку “Security”. Нажать на кнопку “Advanced”
Выбрать закладку “Permissions”. Нажать на кнопку “Add” для добавления пользователя View Composer
В появившемся окне выбрать пользователя и нажать “Ok”
Далее в окне “Permissions Entry for <VDI Computers>” выбрать закладку “Object” и в списке “Permissions” установить “Allow” для:
List Contents;
Read All Properties;
Write All Properties;
Read Permissions;
Create Computer Objects;
Delete Computer Objects.
Выбрать закладку “Properties”. В ней всписке “Apply to” выбрать “Descendant Computer objects” и в списке “Permissions” установить “Allow” для “Write All Properties”.
Аудит
Под номером 7 на Рисунке 1 обозначены права учетной записи View Manager к базе данных событий VMware View. Также как и в случае с базой данных View Composer в качестве системы управления базой данных View Composer может выступать Microsoft SQL Server или Oracle, да и права учетной записи к базе данных совпадают с View Composer (VMware View Installation. Chapter 9. Creating an Event Database. "Add a Database and Database User for View Events").
View Transfer
Под номером 8 на Рисунке 1 обозначены права учетной записи сервера View Transfer к репозиторию. Данная учетная запись должна иметь права на чтение и запись в общую сетевую папку репозитория.
Пользователь виртуального десктопа
Под номером 9 на Рисунке 1 обозначены права пользователя на виртуальном десктопе. Более подробно об этих правах мы поговорим в следующей главе, в том числе и при использовании локального режима (см. номер 10 на Рисунке 1).
Раздел 4. Защита взаимодействия
Поговорим немного о том, каким образом можно защитить технологические соединения.
Во-первых, во время установки серверов ViewSecurity следует использовать парные пароли для начальной аутентификации серверов ViewConnection и View Security между собой. При подсоединении сервера Security Serverк серверу Connection Server начальный парный пароль (pairing password) должен задаваться, исходя из парольной политики, а его время жизни должно быть не более, например, 10 минут (VMware View Installation. Chapter 5. Installing view Connection Server. "Configure a Security Server Pairing Password").
Далее, соединение View Manager (Connection Server) с vCenter Server должно осуществляться по защищенному при помощи SSL каналу (VMware View Security. VMware View Security Settings. "Security-Related Server Settings in View Administrator").
Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –>Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” проверить,что отмечен чекбокс“Connect Using SSL”.
Коммуникации между компонентами View Manager должны быть защищены использованием цифровой подписи (VMware View Security. VMware View Security Settings. "Security-Related Server Settings in View Administrator").
Для этого необходимо зайтивоViewAdministrator. Выбрать “View Configuration –>Global Settings”. Впанели “GlobalSettings” нажатькнопку “Edit…”. Впоявившемсяокне “GlobalSettings” установитьпараметр “Messagesecuritymode” взначение “Enabled”.
Раздел 5. Другие рекомендации
С точки зрения ограничения нагрузки на инфраструктурные сервера можно рекомендовать выполнять следующие требования.
Установить значение максимального количества одновременных запросов View Manager к vCenter Server на инициализацию (provisioning) виртуальных машин (по умолчанию это значение не влияет на инициализацию виртуальных рабочих станций связанного клонирования (linked-clone)).
Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –>Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” нажать кнопку “Advanced>>” и установить параметр “Max concurrent provisioning operations” в нужное значение (VMware View Administration. Chapter 1. Configuring View Connection Server. "Add vCenter Server Instances to View Manager").
Установить значение максимального количества одновременных запросов изменению состояния виртуальных машин (включение, выключение, приостановка (suspend) и т.п.) (По умолчанию это значение влияет на виртуальные рабочих станций и на связанные клоны (linked-clone)).
Для этого необходимо зайти во View Administrator. Выбрать “View Configuration –>Servers”. В панели “vCenter Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit vCenter Server” в панели “vCenter Server Settings” нажать кнопку “Advanced>>” и установить параметр “Max concurrent power operations” в нужное значение.(VMware View Administration. Chapter 1. Configuring View Connection Server. "Add vCenter Server Instances to View Manager").
RSS
