Как ограничить пользователя клиента ESX только своим пулом ресурсов?

10986
0xhughes

У меня 5 серверов, работающих под управлением ESXi, они управляются vCenter. Я хочу настроить пулы ресурсов для различных ИТ-администраторов из каждого отдела и ограничить их для создания и управления виртуальными машинами в их собственном пуле ресурсов, а также чтобы я не мог видеть другие пулы ресурсов / виртуальные машины / и т.д. Я использую ESXi 5.0.

Мне удалось создать пулы ресурсов под каждым хостом ESXi. Для каждого пула я установил резервирование и максимальные допуски на использование ресурсов.

Затем я устанавливаю разрешения для пользователей в каждом пуле ресурсов.

В настоящее время каждый пользователь может войти в систему и видеть только свой пул ресурсов и виртуальные машины. Однако они также могут создавать виртуальные машины непосредственно под хостом, когда я пытаюсь применить к хосту разрешение «нет доступа», они не могут создавать виртуальные машины в своем пуле ресурсов. Даже когда я нажимаю, чтобы не распространять правило. Я не могу ограничить их напрямую от хоста ESXi, иначе они не смогут использовать свой пул ресурсов.

Кроме того, резервирование / максимальные ограничения, которые я устанавливаю для каждого пула ресурсов, кажется, не имеет значения, когда я вхожу в систему как пользователь и перехожу к созданию виртуальной машины, это позволяет мне создать что-то хорошо из допусков, предположительно установленных в пуле ресурсов. Например, я могу установить зарезервированную оперативную память на 8 ГБ, затем установить максимальную расширяемую оперативную память на 12 ГБ, но затем пользователь все равно может создать виртуальную машину с 16 ГБ оперативной памяти.

Кто-нибудь знает, как лучше всего ограничить пользователей пулами ресурсов и не разрешать им выделять ресурсы для виртуальной машины, которую им нельзя разрешать?

2

1 ответ на вопрос

1
Nick Gulino

Не зная вашей точной конфигурации в отношении пользовательских разрешений и т. Д., Я могу только догадываться о данных, которые нам предоставили.

Если вы ищете следующие критерии, администраторам должны быть предоставлены Resource Pool Administratorразрешения на уровне пула ресурсов.

  • Позволяет пользователю создавать дочерние пулы ресурсов и изменять конфигурацию дочерних элементов, но не может изменять конфигурацию для пула или кластера, где было предоставлено разрешение.
  • Пользователь может предоставлять разрешения дочерним пулам ресурсов и назначать виртуальные машины родительскому или дочернему.
  • Все привилегии для группы папок, виртуальной машины, аварийных сигналов и назначенных задач.
  • Выбранные привилегии для групп ресурсов и разрешений.
  • Нет привилегий для центров обработки данных, сети, хоста, сеансов или групп привилегий производительности.
  • На виртуальных машинах и хранилищах данных должны быть предоставлены дополнительные привилегии, чтобы обеспечить подготовку новых виртуальных машин.

Я настоятельно рекомендую создать нового пользователя в качестве базы тестирования и попробовать применить разрешения только для этого пользователя (для этого может потребоваться использование администратора пула ресурсов в качестве базы и настройки).

Как только вы нашли правильную конфигурацию, я рекомендую поместить пользователей в группу и применить разрешения для группы (меньше административных затрат, когда необходимо внести изменения).

Может потребоваться попытаться применить разрешения тестового пользователя на разных уровнях и рассмотреть вопрос о создании дочернего пула ресурсов в каждом имеющемся у вас пуле ресурсов и применить к ним разрешения, чтобы увидеть, имеет ли это какое-либо влияние.

** Не забудьте применить распространение к разрешениям (оно только идет вниз по иерархии).

Из того, что я прочитал, хотя они смогут создавать машины с 16 ГБ оперативной памяти, несмотря на ваш максимальный предел в 12 ГБ, виртуальной машине будет разрешено использовать только 12 ГБ из пула ресурсов, после чего виртуальная машина будет работать на довольно грязная система использования чего-то похожего на файлы подкачки и обмен памяти.

** Моя память может быть совершенно неверной, поэтому не относитесь к ней как к Евангелию.

Это установило меня в правильном направлении для разрешений! Спасибо за твою помощь! Моя проблема пыталась сделать разрешение прямо с уровня ESX. Когда я сделал разрешения на уровне vCenter, я смог правильно использовать роль администратора пула ресурсов, и администраторы могли играть только в своей песочнице. Я буду беспокоиться о ресурсных пулах после некоторого стресс-тестирования в дальнейшем. Спасибо, Ник! 0xhughes 10 лет назад 0

Похожие вопросы