Wie kann ich einen ESX-Clientbenutzer nur auf seinen Ressourcenpool beschränken?

11034
0xhughes

Ich habe 5 Server, auf denen ESXi ausgeführt wird. Sie werden von vCenter verwaltet. Ich möchte Ressourcenpools für verschiedene IT-Administratoren aus jeder Abteilung einrichten und diese auf das Erstellen und Verwalten von VMs in ihrem eigenen Ressourcenpool beschränken und andere Ressourcenpools / VMs / etc nicht sehen. Ich verwende ESXi 5.0.

Ich konnte die Ressourcenpools unter jedem ESXi-Host erstellen. Für jeden Pool lege ich Reservierungen und Höchstbeträge für die Ressourcennutzung fest.

Ich lege dann Berechtigungen für Benutzer für jeden Ressourcenpool fest.

So wie es aussieht, kann sich jeder Benutzer anmelden und sieht nur seinen eigenen Ressourcenpool und seine virtuellen Maschinen. Sie können jedoch auch virtuelle Maschinen direkt unter dem Host erstellen. Wenn ich versuche, die Berechtigung "Kein Zugriff" auf den Host anzuwenden, können sie keine VMs in ihrem Ressourcenpool erstellen. Auch wenn ich darauf klicke, um die Regel nicht zu verbreiten. Ich kann sie nicht direkt vom ESXi-Host aus einschränken oder sie können ihren Ressourcenpool nicht verwenden.

Darüber hinaus scheinen die Reservierungen / Höchstgrenzen, die ich für jeden Ressourcenpool festgelegt habe, keine Rolle zu spielen, wenn ich mich als Benutzer anmelde und eine VM erstellen möchte. Ich möchte etwas aus den Toleranzen erstellen, die angeblich im Ressourcenpool festgelegt sind. Zum Beispiel kann ich den reservierten Arbeitsspeicher auf 8 GB setzen, dann den maximal erweiterbaren Arbeitsspeicher auf 12 GB einstellen, aber der Benutzer kann dann immer noch eine VM mit 16 GB RAM erstellen.

Jeder weiß, wie man Benutzer am besten auf ihre Ressourcenpools beschränkt und ihnen nicht erlaubt, Ressourcen für eine VM zuzuweisen, denen sie nicht gestattet sein sollten.

2

1 Antwort auf die Frage

1
Nick Gulino

Da ich Ihre genaue Konfiguration in Bezug auf Benutzerberechtigungen usw. nicht kenne, kann ich nur mit den Daten, die wir erhalten haben, fundierte Vermutungen anstellen.

Wenn Sie nach den folgenden Kriterien suchen, sollten die Admins Resource Pool AdministratorBerechtigungen auf Ressourcenpoolebene erhalten.

  • Ermöglicht dem Benutzer das Erstellen untergeordneter Ressourcenpools und das Ändern der Konfiguration der untergeordneten Elemente. Die Konfiguration des Pools oder Clusters, für den die Berechtigung erteilt wurde, kann jedoch nicht geändert werden.
  • Der Benutzer kann Berechtigungen für untergeordnete Ressourcenpools erteilen und VMs dem übergeordneten oder untergeordneten Objekt zuweisen.
  • Alle Berechtigungen für Ordner, virtuelle Maschinen, Alarme und Berechtigungsgruppen für geplante Aufgaben.
  • Ausgewählte Berechtigungen für Ressourcen- und Berechtigungsgruppen.
  • Keine Berechtigungen für Gruppen mit Rechenzentren, Netzwerken, Hosts, Sitzungen oder Leistungsberechtigungen.
  • Für virtuelle Maschinen und Datenspeicher müssen zusätzliche Berechtigungen erteilt werden, damit neue virtuelle Maschinen bereitgestellt werden können.

Ich würde dringend empfehlen, einen neuen Benutzer als Testbasis zu erstellen und zu versuchen, Berechtigungen nur auf diesen Benutzer anzuwenden (dies erfordert möglicherweise die Verwendung von Resource Pool Admin als Basis und zur Anpassung).

Wenn Sie die richtige Konfiguration gefunden haben, empfehle ich, die Benutzer in einer Gruppe zu platzieren und die Berechtigungen auf die Gruppe anzuwenden (weniger Verwaltungsaufwand, wenn Änderungen vorgenommen werden müssen).

Es kann sich als lohnend erweisen, die Berechtigungen des Testbenutzers auf verschiedenen Ebenen anzuwenden, und in Betracht ziehen, in jedem vorhandenen Ressourcenpool einen untergeordneten Ressourcenpool zu erstellen, und die Berechtigungen darauf anwenden, um festzustellen, ob dies Auswirkungen hat

** Vergessen Sie nicht, die Weitergabe auf die Berechtigungen anzuwenden (sie geht nur in der Hierarchie nach unten).

Nach allem, was ich gelesen habe, werden Maschinen zwar mit 16 GB RAM trotz maximal 12 GB maximaler Kapazität erstellt, die VM darf jedoch immer nur insgesamt 12 GB aus dem Ressourcenpool verwenden, danach startet die VM eher auf einem unordentliches System, das etwas wie Auslagerungsdateien und Speicherausgleich verwendet.

** Meine Erinnerung könnte in diesem Punkt völlig falsch sein, behandeln Sie sie also nicht als Evangelium.

Dies hat mich in die richtige Richtung für die Berechtigungen gesetzt! Danke für deine Hilfe! Mein Problem bestand darin, eine Erlaubnis direkt von der ESX-Ebene aus zu erhalten. Als ich die Berechtigungen von der vCenter-Ebene aus erledigte, konnte ich die Rolle des Ressourcenpool-Administrators korrekt verwenden, und die Admins können nur in ihrer Sandbox spielen. Ich werde mich nach den Stresstests weiter um die Ressourcenpools kümmern. Danke, Nick! 0xhughes vor 10 Jahren 0

Verwandte Probleme