Ich habe 5 Server, auf denen ESXi läuft, sie werden von vCenter verwaltet. Ich möchte Ressourcenpools für verschiedene IT-Administratoren aus jeder Abteilung einrichten und sie darauf beschränken, VMs in ihrem eigenen Ressourcenpool zu erstellen und zu verwalten und andere Ressourcenpools/VMs/usw. nicht sehen zu können. Ich verwende ESXi 5.0.
Ich konnte die Ressourcenpools unter jedem ESXi-Host erstellen. Für jeden Pool habe ich Reservierungen und maximale Zuteilungen für die Ressourcennutzung festgelegt.
Anschließend lege ich für jeden Ressourcenpool die Berechtigungen der Benutzer fest.
Derzeit kann sich jeder Benutzer anmelden und nur seinen eigenen Ressourcenpool und seine virtuellen Maschinen sehen. Sie können jedoch auch virtuelle Maschinen direkt unter dem Host erstellen. Wenn ich versuche, die Berechtigung „Kein Zugriff“ auf den Host anzuwenden, können sie keine VMs in ihrem Ressourcenpool erstellen. Selbst wenn ich klicke, um die Regel nicht zu verbreiten. Ich kann sie nicht direkt vom ESXi-Host ausschließen, da sie sonst ihren Ressourcenpool nicht verwenden können.
Außerdem scheinen die Reservierungen/Höchstgrenzen, die ich für jeden Ressourcenpool festlege, keine Rolle zu spielen, wenn ich mich als Benutzer anmelde und eine VM erstelle. Ich kann damit etwas erstellen, das weit außerhalb der Toleranzen liegt, die im Ressourcenpool angeblich festgelegt sind. Ich kann beispielsweise den reservierten RAM auf 8 GB festlegen und dann den maximal erweiterbaren RAM auf 12 GB einstellen, aber dann kann der Benutzer immer noch eine VM mit 16 GB RAM erstellen.
Kennt jemand die beste Methode, um Benutzer auf ihre Ressourcenpools zu beschränken und ihnen zu verbieten, Ressourcen für eine VM zuzuweisen, die ihnen nicht gestattet sein sollten?
Antwort1
Da ich Ihre genaue Konfiguration hinsichtlich Benutzerberechtigungen usw. nicht kenne, kann ich auf Grundlage der uns vorliegenden Daten nur fundierte Vermutungen anstellen.
Wenn Sie nach den folgenden Kriterien suchen, sollten den Administratoren Resource Pool AdministratorBerechtigungen auf Ressourcenpoolebene erteilt werden.
- Ermöglicht dem Benutzer, untergeordnete Ressourcenpools zu erstellen und die Konfiguration der untergeordneten Ressourcen zu ändern, kann jedoch die Konfiguration für den Pool oder Cluster, für den die Berechtigung erteilt wurde, nicht ändern.
- Benutzer können Berechtigungen für untergeordnete Ressourcenpools erteilen und VMs dem übergeordneten oder untergeordneten Element zuweisen.
- Alle Berechtigungen für Berechtigungsgruppen für Ordner, virtuelle Maschinen, Alarme und geplante Aufgaben.
- Ausgewählte Berechtigungen für Ressourcen- und Berechtigungsgruppen.
- Keine Berechtigungen für Rechenzentrums-, Netzwerk-, Host-, Sitzungs- oder Leistungsberechtigungsgruppen.
- Um die Bereitstellung neuer virtueller Maschinen zu ermöglichen, müssen auf virtuellen Maschinen und Datenspeichern zusätzliche Berechtigungen gewährt werden.
Ich empfehle dringend, als Testbasis einen neuen Benutzer zu erstellen und zu versuchen, Berechtigungen nur auf diesen Benutzer anzuwenden (dazu sind möglicherweise die Verwendung von Resource Pool Admin und Anpassungen erforderlich).
Wenn Sie die richtige Konfiguration gefunden haben, empfehle ich, die Benutzer in einer Gruppe zu platzieren und die Berechtigungen auf die Gruppe anzuwenden (weniger Verwaltungsaufwand, wenn Änderungen vorgenommen werden müssen).
Es kann sich lohnen, die Berechtigungen des Testbenutzers auf verschiedenen Ebenen anzuwenden. Außerdem sollten Sie in jedem vorhandenen Ressourcenpool einen untergeordneten Ressourcenpool erstellen und die Berechtigungen auf diesen anwenden, um zu sehen, ob dies Auswirkungen hat.
**Vergessen Sie nicht, die Berechtigungen weiterzugeben (diese gelten nur nach unten in der Hierarchie).
Soweit ich gelesen habe, können Sie zwar Maschinen mit 16 GB RAM erstellen, obwohl Ihr Maximallimit von 12 GB gilt, die VM darf jedoch immer nur insgesamt 12 GB aus dem Ressourcenpool verwenden. Danach startet die VM mit einem ziemlich chaotischen System, das so etwas wie Auslagerungsdateien und Speicherauslagerung verwendet.
**Meine Erinnerung könnte mich hier völlig täuschen, also nehmen Sie es nicht für bare Münze.