(图文)详论vCenter Single Sign-On之 - 什么是vCenter Single Sign-On
虚拟人工作室
一切以用户价值为依归 http://www.vmanager.cn
(图文)详论 vCenter Single Sign-On之 - 什么是 vCenter Single Sign-On
vCenter Single Sign-On出来很有一段时间了,虚拟人也通过不同的方式简述了下它的部署和
简单用途,但是,猫猫一直觉得少些什么东西,因此,特此查询众多资料,然后系统化的整
理了下关于vCenter Single Sign-On(SSO)的用途以及配置,形成针对SSO的单独系列化...
虚拟人工作室
一切以用户价值为依归 http://www.vmanager.cn
(图文)详论 vCenter Single Sign-On之 - 什么是 vCenter Single Sign-On
vCenter Single Sign-On出来很有一段时间了,虚拟人也通过不同的方式简述了下它的部署和
简单用途,但是,猫猫一直觉得少些什么东西,因此,特此查询众多资料,然后系统化的整
理了下关于vCenter Single Sign-On(SSO)的用途以及配置,形成针对SSO的单独系列化
文档。本文为系列之始;
首先需要解决的第一个问题就是,搞清楚什么是vCenter Single Sign-On?
简单来说,vCenter Single Sign-On(SSO,后续都简称为SSO)它是在vSphere 5.1里出现的
一个新组件,通常,很多人不求甚解的简单的把它理解为一个Authentication源,但是,实质
上它其实并不是一个Authentication源。本质上它其实是一个在vSphere应用和Authentication
源之间的一个安全交互组件。
在过去的版本里,当用户在尝试登录到基于AD授信的vCenter Server时,当用户输入用户名、
密码之后,将会直接去到Active Directory进行校验。这样做的好处是优化了访问速率,但是
缺点是vCenter Server之类的应用直接可以读取到AD信息,可能导致潜在的AD安全leak;另
外,由于vSphere 构建下的周边组件越来越多,每个设备都需要和AD通讯,因此,带来的管
理工作也较以往更大,在这个背景下,vSphere 5.1里出现了vCenter Single Sign-On(SSO)
组件,它的出现,要求所有基于vCenter或和vCenter有关联的组件在访问Domain前,先访问
SSO,这样一来,除了解决逻辑安全性之余,还降低了用户的访问零散性,加强了访问的几
种转发和变相保障了AD的安全性。它作通过和类似AD或OpenLDAP之类的Idenfity Sources
的通讯来实现Authentication。SSO的架构示意图如下:
虚拟人工作室
一切以用户价值为依归 http://www.vmanager.cn
从上面的示意图中,可以看到,SSO是需要DB的,同时,它也需要和LDAP类组件结合适用
才有效,至于是不是Active Directory倒不见得一定是要这样,因为它同时也支持OpenLDAP
这样的LDAP服务。从上图中的登录流程来来看,它的流程如下:
Web Client 登录目标设备 > 输入用户名密码 > 去到SSO服务器执行安全校验 > SSO服
务器去DB里检索输入的信息 > 检索通过后同步转发请求到本地目标业务本地用户和第三
方授信源 > SSO负责返回一个可信的Token给用户访问端 > 确认一切无误后,转发到不同
的业务类型,至此,完成整个流程;
优点
• 从这里可以看出,诸多的业务,例如:vCenter、vCenter Orchestrator、vShield、vCloud
Director之类的原本每个都需要输入、校验用户密码的,只需要SSO一次验证通过之后,
即可但点登录,不再需要多次输入了;
• 同时,也避免了授信源直接和未经验证的Not-aware访问端直接通讯;
缺点
福兮,祸之所依;祸兮,福之所倚。万物都是有利有弊的,连虚拟化都如此,更何况这里的
SSO呢。高度集中的访问授信,直接就导致了原本的端到端的访问中间多了一个节点,从业
人员都知道:多一个节点也就意味着多了一个故障节点,如上图所示:如果SSO服务器宕掉
后果是什么呢?不言而喻,所有的业务都将无法访问,所以,这就是所有鸡蛋都放在一个篮
子里的代价;
作为一个vSphere 5.1新增的重要组件,如果没有它甚至都无法安装vCenter Server,如此高
的重要性,在vSphere 5.1里第一次出现的SSO实质上有点难堪重任的味道,根据实践显示:
它的稳定性实在不是那么理想,因此,猫猫只能说它暂时还是一个叫好不叫座 的组件,因为,
用户们又得为它头疼了;
第二个问题,看下面这张图,它充分体现了部署一个从vCenter Server 5.0升级到vCenter
Server 5.1的复杂性,这又给用户的系统升级带来了一些不太愉快的事情:
虚拟人工作室
一切以用户价值为依归 http://www.vmanager.cn
结合SSO自身不太稳定的问题,不得不说,一个新生事物要想成长壮大,是不可缺少时间和
小白鼠的,程序是美国人开发的,作为User,我们只能选择用或者不用!
还好,VMware也明白这样的方案的不足所在,因此,它们也为用户提供了SSO Cluster的方
案,如下图所示:
虚拟人工作室
一切以用户价值为依归 http://www.vmanager.cn
上图中,SSO Cluster中,多台SSO服务器Share同一个DB,彼此形成主备,这样一来,即
使某台SSO服务器坏掉,依然不会影响到业务的访问,总算还是可以解决生产稳定性需求的
问题。这里,猫猫也得提醒从业的同学们,务必要注意,作为一个负责人规划、实施人员,
SSO的高可用是务必要考虑的问题,如果你忽略了这个,那我得说,可能猫猫的培训还是有
价值的……
未完待续……
本文档为【(图文)详论vCenter Single Sign-On之 - 什么是vCenter Single Sign-On】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
浙公网安备 33021202002483