ESXi を実行しているサーバーが 5 台あり、それらは vCenter によって管理されています。各部門のさまざまな IT 管理者用にリソース プールを設定し、各管理者が自分のリソース プールで VM を作成および管理できるように制限し、他のリソース プール/VM などを表示できないようにしたいと考えています。ESXi 5.0 を実行しています。
各 ESXi ホストの下にリソース プールを作成できました。各プールに対して、リソース使用率の予約と最大許容量を設定しました。
次に、各リソース プールのユーザーの権限を設定します。
現状では、各ユーザーはログインして自分のリソース プールと仮想マシンのみを表示できます。ただし、ホストの直下に仮想マシンを作成することもできますが、ホストに「アクセスなし」権限を適用しようとすると、リソース プールに VM を作成できなくなります。ルールを伝播しないようにクリックしても、ESXi ホストから直接制限することはできません。そうしないと、リソース プールを使用できなくなります。
さらに、各リソース プールに設定した予約/最大制限は、ユーザーとしてログインして VM を作成するときには関係ないようです。リソース プールに設定されているはずの許容範囲をはるかに超えたものを作成できます。たとえば、予約済み RAM を 8 GB に設定し、最大拡張可能 RAM を 12 GB に設定しても、ユーザーは 16 GB RAM の VM を作成できます。
ユーザーをリソース プールに制限し、許可されていない VM にリソースを割り当てないようにする最善の方法を知っている人はいますか?
答え1
ユーザー権限などに関する正確な構成がわからないため、提供されたデータに基づいて推測することしかできません。
次の基準を満たす場合は、管理者にResource Pool Administratorリソース プール レベルで権限を付与する必要があります。
- ユーザーは子リソース プールを作成し、子の構成を変更することができますが、権限が付与されたプールまたはクラスターの構成を変更することはできません。
- ユーザーは子リソース プールに権限を付与し、親または子に VM を割り当てることができます。
- フォルダー、仮想マシン、アラーム、およびスケジュールされたタスクの権限グループのすべての権限。
- リソースおよび権限の権限グループに対して選択された権限。
- データセンター、ネットワーク、ホスト、セッション、またはパフォーマンス権限グループに対する権限はありません。
- 新しい仮想マシンのプロビジョニングを許可するには、仮想マシンとデータストアに追加の権限を付与する必要があります。
テスト ベースとして新しいユーザーを作成し、このユーザーのみに権限を適用してみることを強くお勧めします (リソース プール管理をベースとして使用し、カスタマイズする必要がある場合があります)。
正しい構成が見つかったら、ユーザーをグループに配置し、そのグループに権限を適用することをお勧めします (変更が必要になったときに管理オーバーヘッドが少なくなります)。
テスト ユーザーの権限をさまざまなレベルで適用してみると効果的かもしれません。また、各リソース プールに子リソース プールを作成し、権限を適用して効果があるかどうかを確認することも検討してください。
**権限に伝播を適用することを忘れないでください (階層の下位にのみ適用されます)。
私が読んだところによると、最大 12 GB の制限にもかかわらず 16 GB の RAM を搭載したマシンを作成することはできますが、VM はリソース プールから合計 12 GB しか使用できず、それを超えると VM はページファイルやメモリ スワッピングに似たものを使用するかなり面倒なシステムで起動します。
**これについては私の記憶が完全に間違っている可能性があるので、これを絶対的な真実として扱わないでください。