Tengo 5 servidores que ejecutan ESXi, están administrados por vCenter. Quiero configurar grupos de recursos para varios administradores de TI de cada departamento y limitarlos para crear y administrar máquinas virtuales en su propio grupo de recursos, y no poder ver otros grupos de recursos/VM/etc. Estoy ejecutando ESXi 5.0.
Pude crear los grupos de recursos en cada host ESXi. Para cada grupo establezco reservas y asignaciones máximas para la utilización de recursos.
Luego configuro permisos para los usuarios en cada grupo de recursos.
Tal como están las cosas, cada usuario puede iniciar sesión y solo ver su propio grupo de recursos y máquinas virtuales. Sin embargo, también pueden crear máquinas virtuales directamente bajo el host; cuando intento aplicar el permiso de "no acceso" al host, no pueden crear máquinas virtuales en su grupo de recursos. Incluso cuando hago clic para no propagar la regla. No puedo restringirlos directamente desde el host ESXi o no podrán usar su grupo de recursos.
Además, las reservas/límites máximos que establezco para cada grupo de recursos no parecen importar cuando inicio sesión como usuario y voy a crear una máquina virtual, me permite crear algo fuera de las tolerancias supuestamente establecidas en el grupo de recursos. Por ejemplo, puedo configurar la RAM reservada en 8 GB, luego configurar la RAM expandible máxima en 12 GB, pero luego el usuario aún puede crear una máquina virtual con 16 GB de RAM.
¿Alguien sabe cuál es la mejor manera de restringir a los usuarios a sus grupos de recursos y no permitirles asignar recursos para una máquina virtual que no deberían tener permitido?
Respuesta1
Al no conocer su configuración exacta con respecto a los permisos de usuario, etc., solo puedo hacer conjeturas fundamentadas con los datos que me han proporcionado.
Si lo que está buscando son los siguientes criterios, entonces a los administradores se les deben otorgar Resource Pool Administratorpermisos en el nivel del grupo de recursos.
- Permite al usuario crear grupos de recursos secundarios y modificar la configuración de los niños, pero no puede modificar la configuración del grupo o clúster donde se otorgó el permiso.
- El usuario puede otorgar permisos a grupos de recursos secundarios y asignar máquinas virtuales al padre o al hijo.
- Todos los privilegios para carpetas, máquinas virtuales, alarmas y grupos de privilegios de tareas programadas.
- Privilegios seleccionados para grupos de privilegios de recursos y permisos.
- Sin privilegios para centros de datos, redes, hosts, sesiones ni grupos de privilegios de rendimiento.
- Se deben otorgar privilegios adicionales en máquinas virtuales y almacenes de datos para permitir el aprovisionamiento de nuevas máquinas virtuales.
Recomiendo encarecidamente crear un nuevo usuario como base de prueba e intentar aplicar permisos solo a este usuario (puede que sea necesario utilizar Resource Pool Admin como base y personalizarlo).
Una vez que haya encontrado la configuración correcta, recomiendo colocar a los usuarios en un grupo y aplicar los permisos al grupo (menos gastos administrativos cuando es necesario realizar cambios).
Puede que valga la pena intentar aplicar los permisos del usuario de prueba en diferentes niveles y considerar la posibilidad de crear un grupo de recursos secundarios en cada grupo de recursos que tenga y aplicarles los permisos para ver si eso tiene algún efecto.
**No olvide aplicar la propagación a los permisos (solo desciende en la jerarquía).
Por lo que he leído, si bien podrán crear máquinas con 16 GB de RAM a pesar de su límite máximo de 12 GB, a la VM solo se le permitirá usar un total de 12 GB del grupo de recursos, después de eso, la VM comienza en un modo bastante Sistema desordenado de uso de algo parecido a archivos de paginación e intercambio de memoria.
** Mi memoria podría estar completamente equivocada en esto, así que no lo trates como si fuera un evangelio.