13、超级指标与 vROps 6.0 用户管理全解析

超级指标与 vROps 6.0 用户管理全解析

超级指标的类型与特点

超级指标在系统监控和管理中起着重要作用，主要分为通用资源超级指标和特定资源/直通超级指标。

通用资源超级指标是通过数学运算符组合现有指标，并将其应用于具有相同属性的同一对象或其他对象。通过使用 “This” 选项，它可以替代对象类型，使得该超级指标能放置在任何对象上，但要求所有对象共享名称完全相同的属性，并且管理员需确保该属性在不同对象上具有相同含义或结果。例如，对于数据存储，可通过公式 (This.read/(This.read+This.write))*100 计算读取百分比。在定义通用超级指标时，常见错误是 “Cannot convert aggregated result to number”，这是因为对象可能有属性的多个实例，需要使用额外的 sum 、 avg 、 max 或 count 操作来处理，如 sum(avg($This.CPUUsage)/(avg($This.CPULimit)) 。

特定资源/直通超级指标针对特定对象而非对象类型，也称为直通指标。它无需像汇总超级指标那样指定深度，通常针对特定指标而非属性，因为该超级指标已针对特定对象唯一。

构建自定义超级指标

构建自定义超级指标，首先要有明确的用例或要解决的问题。以管理员想了解集群中所有虚拟机的 CPU 就绪百分比（或 CPU 争用情况）是否随已分配虚拟机数量的增加而增加为例，汇总超级指标是最合适的选择。

创建汇总超级指标时，理解父子关系至关重要，它有助于确定所定义的循环算法的深度。父子关系可在 “All Metrics” 视图、关系小部件和管理下的对象关系部分中查看。在这个例子中，由于管理员将 DRS 设置为完全自动，更关注集群级别而非主机级别的虚拟机最大 CPU 就绪情况，因此需要将深度设置为 2。

定义新超级指标的步骤如下：
1. 选择路径并打开向导 ：在导航栏中选择 “Content | Super Metrics”，然后选择加号图标打开向导。
2. 命名超级指标 ：命名很关键，要能描述超级指标的应用位置和功能，因为超级指标没有描述字段，所以要充分利用名称字段。
3. 过滤对象类型 ：由于对象类型众多，可利用过滤字段减少选项。
4. 选择对象类型 ：根据需求，选择相关的对象类型，如这里选择虚拟机对象类型。
5. 输入数学操作数 ：在选择属性类型之前，通过输入 max 函数或从函数菜单中选择来打开数学操作数。
6. 添加对象类型到超级指标 ：在 max() 操作数就位后，滚动列表找到感兴趣的属性类型，如 “Ready (%)”，双击将其添加到工作区。
7. 更改深度 ：默认深度为 1，此超级指标只能应用于 vSphere 主机级别，将值更新为 2 以确保能在集群级别添加。
8. 显示公式描述 ：选择显示公式描述按钮，可显示更易读的超级指标版本，并进行一些基本验证。

验证和应用超级指标

新超级指标创建完成后，在应用到实际对象之前需要进行验证。验证能让你看到公式的结果，帮助发现重大公式错误。超级指标在通过策略应用到对象之前没有值，但超级指标验证允许你模拟任何时间段的超级指标值，这有助于在应用超级指标之前确保结果符合预期。

验证新超级指标的步骤如下：
1. 清除对象类型过滤器 ：准备可视化超级指标（验证）时，首先清除对象类型过滤器，以便选择集群对象。
2. 打开超级指标可视化工具 ：选择向导顶部的按钮，用指标可视化工具替换指标和属性类型窗口。
3. 选择目标对象 ：找到并选择与超级指标应用对象类型匹配的目标对象，此时将显示超级指标的预览。
4. 设置时间范围（可选） ：如果希望预览更长或不同时间段的数据，可设置时间范围。
5. 保存超级指标 ：如果对超级指标满意，保存并关闭向导。

应用超级指标到 Operations Manager 6.0 的步骤如下：
1. 选择对象类型 ：保存并关闭超级指标后，选择屏幕底部的 “Object Types” 选项卡，然后选择绿色加号按钮。
2. 选择要添加的对象类型 ：浏览或搜索要添加到超级指标的对象类型，这样可指定超级指标仅应用于某些对象类型，避免在不支持的对象（如数据存储）上进行计算。
3. 选择合适的策略 ：从策略库中找到合适的策略，选择铅笔图标。
4. 选择超级指标并启用 ：在 “Override Attributes” 部分，选择 “Attribute Type” 下拉菜单，取消选择 “Metric” 和 “Property” 以减少要选择的属性数量，找到与资源类型匹配的创建的超级指标，将状态设置为 “Local (enabled)”，然后保存并关闭策略。
5. 等待显示结果 ：经过几个收集周期（5 - 10 个），超级指标应开始在库存中所选的对象类型上显示。

需要注意的是，超级指标依赖于公式中被转换指标的准确和一致的数据收集。如果使用从多个适配器拉取数据的汇总超级指标，而其中一个适配器离线，指标可能会严重偏离。

超级指标与视图的比较

视图和超级指标各有优缺点。视图创建快速简单，能显示过去、现在和未来的数据（趋势），而超级指标只有在创建并附加到对象后才有数据，在应用之前无法看到其值。

超级指标本身就是一种指标，与视图不同，视图仅在仪表板或报告请求时动态生成，而超级指标一旦应用，就会像普通指标一样不断计算并存储在 FSDB 中。超级指标可以应用动态阈值和警报，允许 vROps 在需要时检测异常并相应地发出警报，还具有任何标准指标的粒度和规律性，便于与 “All Metrics” 窗口中的其他指标图表组合。

根据具体用例和情况来选择使用视图还是超级指标。如果只需要对一组对象进行一些基本的数据转换，可先从视图开始；如果需要定期获取信息，可将其转换为超级指标；如果需要高级数学操作数、动态阈值和警报等功能，则直接选择超级指标。

vROps 6.0 的基于角色的访问控制

vROps 6.0 引入了基于角色的访问控制（RBAC），以确保不同角色的用户只能查看和编辑特定组件。基于角色的访问原则是根据用户在组织中的角色提供最小权限访问。vROps 6.0 具有开箱即用的角色，也能根据非常细化的权限集定义自己的角色。

用户认证主要有三种方式：通过 vCenter（vCenter 单点登录）认证、直接使用 Active Directory（LDAP）认证和本地 vROps 用户认证。vCenter 用户不能直接通过 vROps 管理，当 vROps 6.0 向 vCenter 注册时，新角色会添加到 vCenter 服务器，用户获得这些角色后可使用相关权限登录 vROps。

vROps 6 有两个级别的访问：对对象（如主机或虚拟机）的访问和对 vROps 内权限（如编辑仪表板或创建警报的能力）的访问。

配置 LDAP 源

配置 LDAP 源可提供第三个用户源，步骤如下：
1. 登录并导航 ：以管理员身份登录 vROps 6.0 实例，导航到管理部分，选择 “LDAP Import Sources”。
2. 选择配置选项 ：点击绿色加号图标，打开 “Add Sources for User and Group Import” 框，有基本和高级两种选项。选择基本选项将根据输入的域名确定基本可分辨名称（DN）并自动发现主机；选择高级选项可手动输入 LDAP 源常见的所有连接详细信息。
3. 输入信息并测试 ：输入正确信息后，点击 “Test”，应收到成功测试消息。确保选中同步组成员关系的复选框，以便 vROps 自动保持 AD 组和成员的同步。

配置用户和组

配置用户和组时，从角色到用户反向操作更合理，步骤如下：
1. 登录并选择访问控制 ：登录 vROps 6 实例，导航到管理部分，选择 “Access Control”，这里有 “User Accounts” 选项卡、“User Groups” 选项卡、“Roles” 选项卡和 “Password Policy” 选项卡。
2. 设置密码策略（可选） ：在 “Password Policy” 选项卡中，可配置仅适用于本地 vROps 用户账户的密码策略，建议与现有 AD 密码策略保持一致。
3. 管理角色 ：选择 “Roles” 选项卡，有许多开箱即用的角色，如 “ReadOnly”、“PowerUserMinusRemediation” 和 “GeneralUser - 1”。选择一个角色，窗口左下角将显示分配给该角色的所有用户，底部中心显示分配给该角色的所有用户组，右下角显示该角色当前拥有的权限列表。权限分为管理、内容和环境三部分，可通过勾选或取消勾选特定操作旁边的框来更改权限，然后点击 “Update”。
4. 导入用户组 ：选择 “User Groups” 选项卡，点击绿色加号图标，这里选择导入 Active Directory 组。点击类似两个人和绿色向左箭头的图标，打开 “Import User Groups” 对话框，选择之前配置的 LDAP 源，搜索要导入的组。
5. 选择角色和权限 ：选择相关组后点击 “Next”，在 “Roles” 下勾选要添加到组中的角色。一个组或用户可以有多个角色，权限会组合，在有冲突的情况下，最严格的权限将生效。
6. 选择访问对象 ：点击 “Objects” 选项卡，可允许组和用户访问特定对象或所有对象。左侧是对象层次结构，右侧是与解决方案关联的所有对象，勾选所选对象旁边的复选框，授予组或用户在登录 vROps 时查看和与这些对象交互的能力。
7. 完成导入 ：点击 “Finish”，应看到新导入的组及其角色、用户和关联对象。

用户类型说明

在 “User Accounts” 选项卡中，有三种不同的用户类型：
- vCenter 用户 ：灰色显示的用户是来自 vCenter 的用户，不能添加到角色、组或对象中。vCenter 用户只能看到与他们有权限访问的 vCenter 服务器关联的 vSphere 对象，其访问权限来自 vROps 6.0 注册时导入到 vCenter 的角色。
- AD 用户 ：AD 用户与本地用户类似，可以添加到本地组，不限于导入时所在的 AD 组。
- 双重身份用户 ：如果用户既是 vCenter 用户又是 LDAP 用户，虽然技术上是同一个网络域账户，但根据登录时选择的认证源，会被视为两个完全不同的 vROps 用户。

共享仪表板

如果要将仪表板共享给特定组，可按以下步骤操作：
1. 导航到共享界面 ：导航到 UI 的内容部分，选择仪表板，在右侧窗格中选择齿轮图标，选择 “Share Dashboards”，打开新窗口，左侧显示组，右侧显示仪表板。
2. 共享仪表板 ：通过点击并拖动右侧的仪表板，将其放到左侧要共享的组中，就像将文件拖放到文件夹中一样。

通过以上对超级指标和 vROps 6.0 用户管理的详细介绍，希望能帮助你更好地理解和运用这些功能，提升系统监控和管理的效率。

超级指标与 vROps 6.0 用户管理全解析

超级指标与视图对比总结

为了更清晰地展示超级指标与视图的差异，我们可以通过以下表格进行对比：
| 特性 | 视图 | 超级指标 |
| — | — | — |
| 创建难度 | 快速简单 | 相对复杂 |
| 数据展示 | 可显示过去、现在和未来数据（趋势） | 应用前无数据，应用后持续计算存储 |
| 动态生成 | 按需动态生成 | 持续计算存储 |
| 阈值与警报 | 不支持 | 支持动态阈值和警报 |
| 与其他指标组合 | 较难 | 易于与其他指标图表组合 |

从这个表格可以更直观地看到，视图适合快速获取简单数据趋势，而超级指标在需要深度分析、监测异常和设置警报等场景下更具优势。

vROps 6.0 基于角色访问控制的优势和注意事项

vROps 6.0 的基于角色的访问控制（RBAC）具有多方面的优势。首先，开箱即用的角色为管理员提供了基本的权限模板，节省了设置时间。同时，能够根据细化的权限集定义自定义角色，满足了不同组织复杂多样的权限需求。通过将用户和组分配到角色，再为角色分配权限，形成了清晰的权限管理体系，提高了系统的安全性和管理效率。

然而，在使用 RBAC 时也有一些注意事项。在定义自定义角色时，由于权限众多，筛选出相关权限可能需要花费一定时间。管理员需要仔细考虑每个权限的影响，确保角色的权限设置既满足用户需求，又不会过度开放权限导致安全风险。另外，对于 vCenter 用户和 LDAP 用户的不同处理方式，管理员需要清晰了解，避免在权限管理上出现混淆。

超级指标和 RBAC 的应用场景分析

超级指标应用场景

• 性能监测 ：在大型数据中心中，管理员可以使用超级指标来监测集群中虚拟机的性能。例如，通过创建汇总超级指标来监控 CPU 就绪百分比，及时发现 CPU 争用问题，提前采取措施优化资源分配。
• 容量规划 ：通过分析存储系统的读写百分比等超级指标，管理员可以预测存储需求的增长趋势，为容量规划提供依据。

RBAC 应用场景

• 部门级权限管理 ：不同部门对 vROps 系统的使用需求不同。例如，运维部门需要具备编辑仪表板、创建警报等权限，而普通用户可能只需要查看数据的权限。通过 RBAC，可以为不同部门的用户分配合适的角色和权限。
• 数据安全和合规性 ：在一些对数据安全和合规性要求较高的行业，如金融、医疗等，RBAC 可以帮助管理员严格控制用户对敏感数据的访问，确保系统符合相关法规和标准。

总结与建议

超级指标和基于角色的访问控制是 vROps 6.0 中非常重要的功能，它们分别在系统性能监测和用户权限管理方面发挥着关键作用。

对于超级指标，建议管理员在创建之前充分明确用例和需求，仔细定义公式和设置参数。在应用过程中，要密切关注数据的准确性和一致性，避免因数据问题导致指标偏差。同时，根据实际情况灵活选择使用超级指标还是视图，以达到最佳的数据分析效果。

对于 RBAC，管理员应合理利用开箱即用的角色，并结合组织的具体需求定义自定义角色。在分配权限时，要遵循最小权限原则，确保用户只能访问他们工作所需的资源。定期审查角色和权限设置，及时调整以适应组织的变化。

通过合理运用超级指标和 RBAC，管理员可以提升 vROps 6.0 系统的管理效率和安全性，更好地满足组织的业务需求。

以下是一个简单的 mermaid 流程图，展示了构建超级指标的主要流程：

graph LR
    A[明确用例] --> B[选择超级指标类型]
    B --> C[理解父子关系]
    C --> D[定义新超级指标]
    D --> E[验证超级指标]
    E --> F[应用超级指标]

希望通过本文的介绍，你对超级指标和 vROps 6.0 的基于角色的访问控制有了更深入的理解，并能够在实际应用中灵活运用这些功能。