Citrix XenServer 5.6 管理指南：RBAC、审核、资源池管理详解

需积分: 9 137 浏览量更新于2024-07-23 收藏 2.46MB PDF 举报

Citrix XenServer 5.6 管理员指南本文档是 Citrix XenServer 5.6 管理员指南，旨在为初学者和常用工作手册提供详细的命令介绍和原理分析。本指南涵盖了 XenServer 的各种管理功能，包括用户管理、身份验证、基于角色的访问控制、审核、主机和资源池管理等。 **用户管理** 在 XenServer 中，用户管理是非常重要的一部分。管理员可以使用 Active Directory（AD）验证用户，配置 AD 身份验证，删除用户的访问权限，退出 AD 域等。 XenServer 还提供了基于角色的访问控制（RBAC），管理员可以定义角色和权限，使用 xeCLI 命令来处理 RBAC。 **身份验证** XenServer 支持多种身份验证方式，包括使用 Active Directory（AD）验证用户。管理员可以配置 AD 身份验证，指定域控制器的 IP 地址和端口号等。 **基于角色的访问控制** XenServer 的基于角色的访问控制（RBAC）机制允许管理员定义角色和权限，将用户分配到不同的角色中。管理员可以使用 xeCLI 命令来处理 RBAC，例如列出 XenServer 中所有可用的已定义角色，显示当前主体的列表，添加主体到 RBAC，分配 RBAC 角色等。 **审核** XenServer 提供了审核功能，管理员可以使用 xeCLI 命令来获取池中的所有审核记录，获取自精确到毫秒的时间戳开始的池审核记录等。 **主机和资源池管理** XenServer 的主机和资源池管理功能允许管理员创建资源池，添加共享存储，移除 XenServer 主机等。管理员还可以创建异类主机资源池，实现高可用性。 **高可用性** XenServer 的高可用性功能允许管理员创建异类主机资源池，确保资源池中的主机可以自动 failover，提高系统的可用性。本指南为管理员提供了详细的 XenServer 管理功能介绍，涵盖了用户管理、身份验证、基于角色的访问控制、审核、主机和资源池管理等多方面的内容，是 XenServer 管理员的实用手册。

文档概述

本文档是适用于 XenServer™ 的系统管理员指南，该产品是 Citrix® 推出的平台虚拟化解决方案。文档中介绍了配

置 XenServer 部署所涉及的任务，特别是如何设置存储、网络和资源池，以及如何使用 xe 命令行接口 (CLI) 管理

XenServer 主机。

本部分概述了指南的其余部分，以便您查找所需信息。本指南包含下列主题：

• XenServer 主机和资源池

• XenServer 存储配置

• XenServer 网络配置

• XenServer Workload Balancing

• XenServer 备份和恢复

• 监视和管理 XenServer

• XenServer 命令行界面

• XenServer 故障排除

• XenServer 资源分配指导

本指南与其他文档的关联

本文档主要面向需要配置和管理 XenServer 部署的系统管理员。此版本随附的其他文档包括：

• 《XenServer 安装指南》，从较高层次概述了 XenServer，提供了有关安装 XenServer 主机和 XenCenter 管理

控制台的操作步骤说明。

• 《XenServer 虚拟机安装指南》，介绍如何在 XenServer 部署上安装 Linux 和 Windows VM。该指南除了介绍

从安装介质（或使用随 XenServer 版本一起提供的 VM 模板）安装新 VM，还说明了如何使用 P2V 过程从现有

物理机创建 VM。

• 《XenServer 软件开发工具包指南》概述了 XenServer SDK，演示如何编写与 XenServer 主机交互的应用程序

的精选代码示例。

• 《XenAPI 规范》提供 XenServer API 的程序员参考指南。

• XenServer 用户安全阐述了确保 XenServer 安装安全所涉及的问题。

• 发行说明提供了影响此版本的已知问题的列表。

管理用户

首次安装 XenServer 时，会自动将一个用户帐户添加到 XenServer 中。此帐户是本地超级用户 (LSU) 或根用户，

由 XenServer 计算机在本地进行身份验证。

本地超级用户 (LSU) 或根用户是一个用于系统管理的特殊用户帐户，具有完全权限。在 XenServer 中，本地超级

用户是安装时的默认帐户。LSU 通过 XenServer 而非外部身份验证服务进行身份验证。这表示如果外部身份验证

服务失败，LSU 仍可登录并管理系统。LSU 始终可以通过 SSH 访问 XenServer 物理服务器。

您可以通过 XenCenter 的“Users”（用户）选项卡或 CLI 添加 Active Directory 帐户，从而创建其他用

户。XenServer 的所有版本均可从 Active Directory 添加用户帐户。但是，只有 XenServer 企业版和铂金版允许您

为这些 Active Directory 帐户分配不同的权限等级（通过基于角色的访问控制 (Role Based Access Control, RBAC)

功能）。如果在您的环境中未使用 Active Directory，则只能使用 LSU 帐户。

首次添加用户帐户时分配给用户的权限因 XenServer 版本的不同而有所差别：

• 在 XenServer 和 XenServer 高级版中创建（添加）新用户时，XenServer 会自动授予帐户访问该版本中提供的

所有功能所需的权限。

• 在 XenServer 企业版和铂金版中创建新用户时，XenServer 不会自动为新创建的用户帐户分配角色。因此，在

您为这些帐户分配角色之前，它们对 XenServer 池没有任何访问权限。

如果您没有上述版本之一，则可以从 Active Directory 添加用户。但是，所有用户均具有池管理员角色。

这些权限通过角色授予，如“使用 Active Directory (AD) 验证用户”一节中所述。

使用 Active Directory (AD) 验证用户

如果您希望在服务器或池上具有多个用户帐户，则必须使用 Active Directory 用户帐户进行身份验证。这样使

XenServer 用户能够使用其 Windows 域凭据登录到池的 XenServer。

可以为特定用户配置不同访问权限级别的唯一方法是：启用 Active Directory 身份验证，添加用户帐户，然后为这

些帐户分配角色。

Active Directory 用户可以使用 xe CLI（传递适当的 -u 和 -pw 参数），也可以使用 XenCenter 连接到该主机。

身份验证基于每个资源池执行。

访问可通过使用主体来控制。XenServer 中的一个主体对应目录服务器上的一个实体（用户或组）。启用外部身份

验证后，将首先针对本地根凭据来检查用于创建会话的凭据（以防目录服务器不可用），然后针对主体列表进行检

查。要允许访问，您必须为授权访问的用户或组创建一个主体条目。这可以通过使用 XenCenter 或 xe CLI 实现。

如果您熟悉 XenCenter，则请注意，XenServer CLI 提及 Active Directory 和用户帐户功能时，使用的术语略有差

别：

XenCenter 术语 XenServer CLI 术语

用户主体

添加用户添加主体

XenServer 环境中的 Active Directory 身份验证简介

虽然 XenServer 基于 Linux，但 XenServer 允许您将 Active Directory 帐户用作 XenServer 用户帐户。为

此，XenServer 会将 Active Directory 凭据传递到 Active Directory 域控制器。

添加到 XenServer 后，Active Directory 用户和组即成为 XenServer 主体，在 XenCenter 中通常简单地称之为用

户。将主体注册到 XenServer 后，用户/组在登录时会通过 Active Directory 进行身份验证，并且不需要用域名来限

定其用户名。

注意

默认情况下，如果您未限定用户名（例如，输入 mydomain\myuser 或

myser@mydomain.com），XenCenter 始终会尝试使用用户当前加入的域将用户登录到 Active

Directory 身份验证服务器。LSU 帐户属例外情况，对于 LSU 帐户，XenCenter 始终首先在本地（即

在 XenServer 上）对其进行身份验证。

外部身份验证工作流程如下：

1. 将连接到服务器时提供的凭据传递到 Active Directory 域控制器，进行身份验证。

2. 域控制器对凭据进行检查。如果凭据无效，身份验证立即失败。

3. 如果凭据有效，会对 Active Directory 控制器进行查询，以获取与凭据相关联的主体标识符和组成员。

4. 如果主体标识符与 XenServer 中存储的某个标识符相匹配，即可成功完成身份验证。

您加入域后，可以为池启用 Active Directory 身份验证。但是，池加入域后，只有该域（或与该域具有信任关系的

域）中的用户才能连接到该池。

注意

不支持手动更新 DHCP 配置的网络 PIF 的 DNS 配置，且手动配置可能会导致 Active Directory 集成

失败或停止工作，从而导致用户身份验证失败或停止工作。

从 XenServer 5.5 进行升级

从 XenServer 5.5 升级到当前版本时，会为在 XenServer 5.5 中创建的所有用户帐户分配池管理员角色。执行此操

作的原因是存在向后兼容：在 XenServer 5.5 中，所有用户均具有完全权限，可在池中执行任何任务。

因此，如果您要从 XenServer 5.5 进行升级，请务必再次访问与每个用户帐户相关联的角色，以确保角色仍然适

用。

配置 Active Directory 身份验证

XenServer 支持运行 Windows 2003 或更新版本的 Active Directory 服务器。

XenServer 主机的 Active Directory 身份验证要求 Active Directory 服务器（配置为允许互操作）和 XenServer

主机使用相同的 DNS 服务器。在某些配置中，Active Directory 服务器本身可能会提供 DNS。使用 DHCP 来为

XenServer 主机提供 IP 地址和 DNS 服务器列表，或在使用手动静态配置的情况下通过设置 PIF 对象的值或使用

安装程序，都可以实现上述目标。

Citrix 建议您启用 DCHP 来广播主机名称。尤其是不应将主机名称 localhost 或 linux 分配给主机。

请注意以下问题：

• XenServer 主机名在 XenServer 部署中应唯一。XenServer 使用其主机名在 AD 数据库中标记其 AD 条目。因

此，如果两台 XenServer 主机具有相同的主机名，且加入相同的 AD 域，则无论这两台主机位于相同的池中还

是不同的池中，第二台 XenServer 都会覆盖第一台 XenServer 的 AD 条目，因而导致第一台 XenServer 上的

AD 身份验证停止工作。

如果这两台 XenServer 主机加入不同的 AD 域，则可以使用相同的主机名。

• 服务器可以位于不同的时区，因为比较的是 UTC 时间。为确保正确的同步，您可以为 XenServer 池和 Active

Directory 服务器选择相同的 NTP 服务器。

• 不支持混合身份验证池（即，不能将池中的某些服务器配置为使用 Active Directory，而另一些不使用）。

• XenServer Active Directory 集成使用 Kerberos 协议与 Active Directory 服务器进行通信。因此，XenServer 不

支持与未使用 Kerberos 的 Active Directory 服务器进行通信。

• 要确保使用 Active Directory 的外部身份验证成功，使 XenServer 主机上的时钟与 Active Directory 服务器上的

时钟保持同步很重要。在 XenServer 加入 Active Directory 域时，将会对时钟同步进行检测，而且身份验证将在

服务器时钟偏差过大时失败。

警告

主机名必须由不超过 63 个字母数字字符组成，不得使用纯数字名称。

启用 Active Directory 身份验证之后，如果随后向该池添加服务器，系统会提示您在要加入池的服务器上配置

Active Directory。系统提示您在要加入的服务器上输入凭据后，输入具有足够权限的 Active Directory 凭据，以将

服务器添加到该域。

启用池的外部身份验证

• 可通过 XenCenter 或 CLI 使用以下命令配置使用 Active Directory 的外部身份验证。

xe pool-enable-external-auth auth-type=AD \

service-name=<full-qualified-domain> \

config:user=<username> \

config:pass=<password>

指定的用户需要具有 Add/remove computer objects or workstations（添加/删除计算机对象或工

作站）权限，这是域管理员的默认权限。

注意

如果您未使用 Active Directory 和您的 XenServer 主机正在使用的网络上的 DHCP，您可以使用

两种方法设置 DNS：

1. 配置 XenServer 主机上使用的 DNS 服务器：

xe pif-reconfigure-ip mode=static dns=<dnshost>

2. 手动设置使用（与您的 DNS 服务器处于同一网络的）PIF 的管理接口：

xe host-management-reconfigure pif-uuid=<pif_in_the_dns_subnetwork>

注意

外部身份验证是每个主机都具有的属性。但是，Citrix 建议您基于每个池启用和禁用此身份验证，这

样 XenServer 将能够处理在特定主机上启用身份验证时出现的任何故障，并根据需要回滚所做的所

有更改，从而确保整个池的配置始终一致。使用 host-param-list 命令检查主机属性，并通过检

查相关字段的值确定外部身份验证的状态。

禁用外部身份验证

• 使用 XenCenter 或下列 xe 命令以禁用外部身份验证：

xe pool-disable-external-auth

用户身份验证

要允许用户访问您的 XenServer 主机，必须为该用户或其所在的组添加一个主体。（仍以常规方法检查过渡组成

员，例如：为组 A 添加一个主体，其中组 A 包含组 B 且 user 1 是组 B 的成员之一，这会允许对 user 1 进行访

问）。如果您要管理 Active Directory 中的用户权限，可以创建一个组，然后在该组中添加和删除用户；或者，可

以根据您的身份验证需求从 XenServer 中添加和删除单个用户或用户和组的组合。主体列表可由 XenCenter 或按

如下所示使用 CLI 进行管理。

对一个用户进行身份验证时，首先针对本地根帐户检查凭据，以支持您恢复 AD 服务器失败的系统。如果凭据（即

用户名、密码）不匹配/未通过身份验证，则会向 AD 服务器提出身份验证请求 – 如果成功，则将针对本地主体列

表检索并验证用户的信息，否则访问将被拒绝。如果用户或用户的组成员身份在主体列表中，针对主体列表的身份

验证将成功。

注意

使用 Active Directory 组授予需要主机 SSH 访问权限的池管理员用户所需的访问权限时，Active

Directory 组中的用户数不得超过 500。

允许用户使用 CLI 访问 XenServer

• 将 AD 主体添加到 XenServer：

xe subject-add subject-name=<entity name>

实体名称应是要授予访问权限的用户或组的名称。虽然在无需消除歧义的情况下行为会相同，但您仍然可以选

择包括实体的域（例如，“<xendt\user1>”而非“<user1>”）。

使用 CLI 删除用户的访问权限

1. 确定您要撤销访问权限的主体的主体识别符，即用户或包含该用户的组（删除一个组将删除该组中所有用户的

访问权限，前提是这些用户未在主体列表中指定）。您可以使用主体列表命令实现上述目标：

xe subject-list

您可能希望在列表中应用过滤器，例如，要获得 testad 域中名称为 user1 的用户的主体识别符，您可以使

用下列命令：

xe subject-list other-config:subject-name='<domain\user>'

2. 使用 subject-remove 命令删除用户，传递上一步中获得的主体识别符：

xe subject-remove subject-identifier=<subject identifier>

3. 您可能希望终止此用户已进行身份验证的所有当前会话。有关终止会话的更多信息,请参阅使用 xe 终止所有已

经身份验证的会话和使用 xe 终止单个用户的会话。如果不终止会话，已被撤销权限的用户可以在注销前继续

访问系统。

列出有访问权限的主体

• 要识别具有访问 XenServer 主机或池权限的用户和组的列表，请使用下列命令：

xe subject-list

删除用户的访问权限

用户通过身份验证之后，即有权访问服务器，直至用户自己终止其会话或其他用户终止其会话。从主体列表中删除

一个用户或从主体列表中的某个组删除用户不会自动撤销该用户已经身份验证的会话，这意味着用户可以继续使用

XenCenter 或其他已创建的 API 会话访问池。为强制终止这些会话，XenCenter 和 CLI 提供终止单个或所有当前

活动会话的工具。请参阅 XenCenter 帮助，了解使用 XenCenter 的步骤，或以下使用 CLI 的步骤。

使用 xe 终止所有已经身份验证的会话

• 执行以下 CLI 命令：

xe session-subject-identifier-logout-all

使用 xe 终止单个用户的会话

1. 确定要注销的会话的主体标识符使用 session-subject-identifier-list 或 subject-list xe 命

令查找该标识符（第一个显示具有会话的用户，第二个显示所有用户，但可以过滤，例如，使用诸如 xe

剩余196页未读，继续阅读

留兰香薄荷

粉丝: 16
资源: 24

Citrix XenServer 5.6 管理指南：RBAC、审核、资源池管理详解

Citrix XenServer ® 5.6 虚拟机安装指南

Citrix XenServer5.6 管理员指南.pdf

xencenter7.0中文

citrix 中文管理操作手册

xenserver-7.6.0-xencenter.msi 文件下载

grafana配置citrix告警

xenserver7.6 下载

xencenter安装

xenserver客户端

xenserver安装教程

最新资源