【VMware VCF】管理 VCF 环境中组件的用户密码。

守听  金牌会员 | 2024-12-10 23:22:12 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 757|帖子 757|积分 2271

默认情况下,VMware Cloud Foundation 使用 vCenter Single Sign-On 作为身份提供程序,并使用系统域作为其身份源,可以将基于 LDAP 和 OpenLDAP 的 Active Directory 添加为 vCenter Single Sign-On 的身份源,也可以设置 Microsoft ADFS、Okta 或 Microsoft Entra ID 作为 VMware Cloud Foundation 的外部身份提供程序,而不是使用 vCenter Server 内置的 vCenter Single Sign-On。

设置了身份提供程序或添加了身份源后,您可以将用户和组添加到 VMware Cloud Foundation,以向用户提供对 SDDC Manager UI 以及 VMware Cloud Foundation 系统中部署的 vCenter Server 和 NSX Manager 实例的访问权限,用户可以根据其分配的角色(管理员、操纵员或查看者)登录并执行差异的任务。

留意,SDDC Manager 仅管理“管理工作负载 SSO 域”的用户和组,如果创建的 VI 工作负载域未加入到管理工作负载域的 SSO 域,而是独立的 VI 工作负载 SSO 域,则必须使用 VI 工作负载域 vCenter Server(vSphere Client)来进行管理 SSO 域中的用户和组。
 
一、了解组件的账户类型

导航到 SDDC Manager UI->安全->密码管理,这个地方可以查看所有由 SDDC Manager 管理的组件账户,这些账户类型主要包含用户账户(USER)、系统账户(SYSTEM)以及服务账户(SERVICE)。服务账户类型由 VMware Cloud Foundation 自动创建,用于产品组件之间的交互,其他账户类型通常是产品组件自身的当地账户。

ESXi 组件的账户类型。

vCenter Server 组件的账户类型。

NSX 组件的账户类型。

SDDC Manager 组件的账户类型。

 
二、检索组件的用户密码

VCF 环境中的组件账户由 SDDC Manager 管理后,其实可以通过 SDDC Manager 来检索这些组件的账户凭据,比如,当你后续对组件的用户密码进行更新或轮换之后,大概将来某些时候想直接访问这些组件进行维护或故障排除时使用。使用 vcf 用户 ssh 连接到 SDDC Manager CLI,通过 lookup_passwords 下令检索组件的用户密码。

可以直接运行下令并根据选择的组件类型,然后获取对应组件用户的密码。

运行下令并使用 SSO 管理用户认证直接检索 ESXi 组件的用户密码。
  1. lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e ESXI -n 1 -s 20
复制代码

运行下令并使用 SSO 管理用户认证直接检索 vCenter Server 组件的根用户密码。
  1. lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e VCENTER -n 1 -s 20
复制代码

运行下令并使用 SSO 管理用户认证直接检索 vCenter Server 组件的 SSO 用户密码。
  1. lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e PSC -n 1 -s 20
复制代码

运行下令并使用 SSO 管理用户认证直接检索 NSX 组件的用户密码。
  1. lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e NSXT_MANAGER -n 1 -s 20
复制代码

运行下令并使用 SSO 管理用户认证直接检索 SDDC Manager 组件的备份用户密码。
  1. lookup_passwords -u administrator@vsphere.local -p Vcf520@password -e BACKUP -n 1 -s 20
复制代码

 
三、管理组件的用户密码

默认情况下,VCF 环境中组件的用户密码具有有用期,我们可以使用 SoS 实用程序在 SDDC Manager 上运行密码状态检查,如下所示。
  1. vcf@vcf-mgmt01-sddc01 [ ~ ]$ sudo /opt/vmware/sddc-support/sos --password-health
  2. Welcome to Supportability and Serviceability(SoS) utility!
  3. Performing SoS operation for vcf-mgmt01 domain components
  4. Health Check : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-11-10-45-128001
  5. Health Check log : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-11-10-45-128001/sos.log
  6. NOTE : The Health check operation was invoked without --skip-known-host-check, additional identity checks will be included for Connectivity Health, Password Health and Certificate Health Checks because of security reasons.
  7. SDDC Manager : vcf-mgmt01-sddc01.mulab.local                                                                                
  8. +-------------------------+-----------+
  9. |          Stage          |   Status  |
  10. +-------------------------+-----------+
  11. |         Bringup         | Completed |
  12. | Management Domain State | Completed |
  13. +-------------------------+-----------+
  14. +--------------------+---------------+
  15. |     Component      |    Identity   |
  16. +--------------------+---------------+
  17. |    SDDC-Manager    | 192.168.32.70 |
  18. | Number of Servers  |       4       |
  19. +--------------------+---------------+
  20. Password Expiry Status : GREEN                                                                                 
  21. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  22. | SL# |                Component                |            User           | Last Changed Date | Expiry Date  | Expires in Days | State |
  23. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  24. |  1  |   ESXI : vcf-mgmt01-esxi01.mulab.local  | svc-vcf-vcf-mgmt01-esxi01 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  25. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  26. |  2  |   ESXI : vcf-mgmt01-esxi02.mulab.local  | svc-vcf-vcf-mgmt01-esxi02 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  27. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  28. |  3  |   ESXI : vcf-mgmt01-esxi03.mulab.local  | svc-vcf-vcf-mgmt01-esxi03 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  29. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  30. |  4  |   ESXI : vcf-mgmt01-esxi04.mulab.local  | svc-vcf-vcf-mgmt01-esxi04 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  31. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  32. |  5  |    NSX : vcf-mgmt01-nsx01.mulab.local   |           admin           |    Sep 26, 2024   | Dec 25, 2024 |     18 days     | GREEN |
  33. |     |                                         |            root           |    Sep 26, 2024   | Dec 25, 2024 |     18 days     | GREEN |
  34. |     |                                         |           audit           |    Sep 26, 2024   | Dec 25, 2024 |     18 days     | GREEN |
  35. |  6  |   SDDC : vcf-mgmt01-sddc01.mulab.local  |            vcf            |    Nov 12, 2024   | Nov 12, 2025 |     340 days    | GREEN |
  36. |     |                                         |            root           |    Nov 12, 2024   | Feb 10, 2025 |     65 days     | GREEN |
  37. |     |                                         |           backup          |    Nov 12, 2024   | Nov 12, 2025 |     340 days    | GREEN |
  38. |  7  | vCenter : vcf-mgmt01-vcsa01.mulab.local |            root           |    Sep 26, 2024   | Dec 25, 2024 |     17 days     | GREEN |
  39. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  40. Legend:
  41. GREEN - No attention required, health status is NORMAL
  42. YELLOW - May require attention, health status is WARNING
  43. RED - Requires immediate attention, health status is CRITICAL
  44. Health Check completed successfully for : [VCF-SUMMARY, PASSWORD-CHECK]                                                                                
  45. vcf@vcf-mgmt01-sddc01 [ ~ ]$
复制代码
SDDC Manager 可以管理组件的用户密码,比如更新(Update)密码、轮换(Rotate)密码以及修复(Remediate)密码等。更新密码指的是对某一用户“手动”更新自己设置的密码;轮换密码指的是对一个/多个/全部用户“自动”更新生成随机的密码,这种方式可以设置调度轮换,比如每隔 30/60/90 天自动轮换更新一次组件的密码;修复密码指的是当某一组件由于密码已经过期后,管理员只能手动在组件中去更新密码,然后再通过 SDDC Manager 修复组件的密码以同步更新。

留意,ESXi 组件的用户密码不支持调度轮换。

点击“更新密码”,我们可以手动设置一个密码以更新组件的密码。


完成更新。

通过下令可以查看更新后的密码。

点击“轮换密码”,系统会自动随机生成一个密码以更新组件的密码。


通过下令再次查看更新后的密码。

点击“调度轮换”,可以对某一组件的密码设置自动轮换筹划。设置为在筹划日期的半夜运行,禁用轮换调度,密码轮换将变为手动。


注,当前 VCF 5.2.1 版本设置调度轮换后好像 UI 看不到调度设置,之前的版本应该是可以看到的,不过也可以通过其他方式进行查看。
从“密码管理”列表中大概发现,SDDC Manager 组件的用户好像只有 backup 账户,应该还有 vcf 和 root 用户不在列表中。如果需要更新 vcf 和 root 用户的密码,需要手动 ssh 连接到 SDDC Manager CLI 中去,然后使用 passwd 下令进行更新,如下图所示。

如果 vcf 和 root 用户的密码已经过期了怎么办?可以登录 vCenter Server(vSphere Client),找到 SDDC Manager 虚拟机并打开“WEB 控制台”。

然后使用过期的密码进行当地登录,再使用 passwd 下令更新 root 密码以及 vcf 用户密码。

SDDC Manager 组件除了以上所说的用户以外,其实还有一个当地账户(admin@local),通常使用当地帐户用于访问 VMware Cloud Foundation API,比如当 vCenter Server 关闭/故障,无法使用 SSO 管理员用户(administrator@vsphere.local)时,这时这个当地账户就可以不依赖于 SSO 用户独立执行 API 操纵。
当地账户可以通过 API 进行更新密码。导航到 API 资源管理器,输入“admin”以筛选 API 类别,然后使用 PATCH /v1/users/local/admin 选项进行更新当地账户的密码。当执行后状态显示为“204,No Content”,则表示更新成功。

vCenter Server 组件的默认 SSO 管理员用户具有有用期,所以也需要更新该用户的密码,在 SDDC Manager 中显示为“PSC”资源类型。

当通过 SDDC Manager 更新 SSO 管理员用户的密码时,提示不答应轮换 PSC 凭据。由于默认只有一个 SSO 管理员用户(administrator@vsphere.local),所以需要创建备用的 SSO 管理员用户之后才能执行更新操纵。

可以通过登录 vCenter Server(vSphere Client)创建一个 SSO 管理员用户(如 vcfadmin@vsphere.local),然后在 SDDC Manager 下图的地方添加别的一个“管理员”角色的用户。

SDDC Manger 已添加别的一个 SSO 管理员用户。

使用新的 SSO 管理员用户来登录 SDDC Manager,此时,别的一个 SSO 管理员用户的密码可以成功完成轮换。

如果环境是 VMware Cloud Foundation 5.2.1 版本,也可以通过 vCenter Server(vSphere Client)来管理组件的密码。

使用 SoS 实用程序再次查看组件更新后的密码状态,如今所有组件的密码过期日期已被刷新为最新状态。
  1. vcf@vcf-mgmt01-sddc01 [ ~ ]$ sudo /opt/vmware/sddc-support/sos --password-health
  2. [sudo] password for vcf
  3. Welcome to Supportability and Serviceability(SoS) utility!
  4. Performing SoS operation for vcf-mgmt01 domain components
  5. Health Check : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728
  6. Health Check log : /var/log/vmware/vcf/sddc-support/healthcheck-2024-12-07-12-29-31-149728/sos.log
  7. NOTE : The Health check operation was invoked without --skip-known-host-check, additional identity checks will be included for Connectivity Health, Password Health and Certificate Health Checks because of security reasons.
  8. SDDC Manager : vcf-mgmt01-sddc01.mulab.local                                                                                
  9. +-------------------------+-----------+
  10. |          Stage          |   Status  |
  11. +-------------------------+-----------+
  12. |         Bringup         | Completed |
  13. | Management Domain State | Completed |
  14. +-------------------------+-----------+
  15. +--------------------+---------------+
  16. |     Component      |    Identity   |
  17. +--------------------+---------------+
  18. |    SDDC-Manager    | 192.168.32.70 |
  19. | Number of Servers  |       4       |
  20. +--------------------+---------------+
  21. Password Expiry Status : GREEN                                                                                 
  22. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  23. | SL# |                Component                |            User           | Last Changed Date | Expiry Date  | Expires in Days | State |
  24. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  25. |  1  |   ESXI : vcf-mgmt01-esxi01.mulab.local  | svc-vcf-vcf-mgmt01-esxi01 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  26. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  27. |  2  |   ESXI : vcf-mgmt01-esxi02.mulab.local  | svc-vcf-vcf-mgmt01-esxi02 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  28. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  29. |  3  |   ESXI : vcf-mgmt01-esxi03.mulab.local  | svc-vcf-vcf-mgmt01-esxi03 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  30. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  31. |  4  |   ESXI : vcf-mgmt01-esxi04.mulab.local  | svc-vcf-vcf-mgmt01-esxi04 |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  32. |     |                                         |            root           |    Dec 02, 2024   |    Never     |      Never      | GREEN |
  33. |  5  |    NSX : vcf-mgmt01-nsx01.mulab.local   |           admin           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  34. |     |                                         |            root           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  35. |     |                                         |           audit           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  36. |  6  |   SDDC : vcf-mgmt01-sddc01.mulab.local  |            vcf            |    Dec 07, 2024   | Dec 07, 2025 |     365 days    | GREEN |
  37. |     |                                         |            root           |    Dec 07, 2024   | Mar 07, 2025 |     90 days     | GREEN |
  38. |     |                                         |           backup          |    Dec 07, 2024   | Dec 07, 2025 |     365 days    | GREEN |
  39. |  7  | vCenter : vcf-mgmt01-vcsa01.mulab.local |            root           |    Dec 07, 2024   | Mar 07, 2025 |     89 days     | GREEN |
  40. +-----+-----------------------------------------+---------------------------+-------------------+--------------+-----------------+-------+
  41. Legend:
  42. GREEN - No attention required, health status is NORMAL
  43. YELLOW - May require attention, health status is WARNING
  44. RED - Requires immediate attention, health status is CRITICAL
  45. Health Check completed successfully for : [VCF-SUMMARY, PASSWORD-CHECK]                                                                                
  46. vcf@vcf-mgmt01-sddc01 [ ~ ]$
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

守听

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表