Tenho 5 servidores rodando ESXi, eles são gerenciados pelo vCenter. Desejo configurar pools de recursos para vários administradores de TI de cada departamento e limitá-los a criar e gerenciar VMs em seu próprio pool de recursos e não poder ver outros pools de recursos/VMs/etc. Estou executando o ESXi 5.0.
Consegui criar os pools de recursos em cada host ESXi. Para cada pool defino reservas e permissões máximas para utilização de recursos.
Em seguida, defino permissões para usuários em cada pool de recursos.
Da forma como está, cada usuário pode fazer login e ver apenas seu próprio pool de recursos e máquinas virtuais. No entanto, eles também podem criar máquinas virtuais diretamente no host. Quando tento aplicar a permissão “sem acesso” ao host, eles não conseguem criar VMs em seu pool de recursos. Mesmo quando clico para não propagar a regra. Não posso restringi-los diretamente do host ESXi, caso contrário eles não poderão usar seu pool de recursos.
Além disso, as reservas/limites máximos que defini para cada pool de recursos não parecem importar quando faço login como usuário e vou criar uma VM, permite-me criar algo bem fora das tolerâncias supostamente definidas no pool de recursos. Por exemplo, posso definir a RAM reservada para 8 GB e, em seguida, definir a RAM expansível máxima para 12 GB, mas o usuário ainda pode criar uma VM com 16 GB de RAM.
Alguém sabe a melhor maneira de restringir os usuários aos seus pools de recursos e não permitir que eles aloquem recursos para uma VM que não deveriam ter permissão?
Responder1
Não sabendo sua configuração exata em relação às permissões do usuário, etc., só posso fazer suposições fundamentadas com os dados que recebemos.
Se os critérios a seguir forem o que você procura, os administradores deverão receber Resource Pool Administratorpermissões no nível do pool de recursos.
- Permite que o usuário crie pools de recursos filho e modifique a configuração dos filhos, mas não pode modificar a configuração do pool ou cluster onde a permissão foi concedida.
- O usuário pode conceder permissões a pools de recursos filhos e atribuir VMs ao pai ou ao filho.
- Todos os privilégios para pastas, máquinas virtuais, alarmes e grupos de privilégios de tarefas agendadas.
- Privilégios selecionados para grupos de privilégios de recursos e permissões.
- Sem privilégios para datacenter, rede, host, sessões ou grupos de privilégios de desempenho.
- Privilégios adicionais devem ser concedidos em máquinas virtuais e armazenamentos de dados para permitir o provisionamento de novas máquinas virtuais.
Eu sugiro fortemente a criação de um novo usuário como base de teste e tente aplicar permissões apenas a esse usuário (pode ser necessário usar o Administrador do pool de recursos como base e personalização).
Depois de encontrar a configuração correta, recomendo colocar os usuários em um grupo e aplicar as permissões ao grupo (menos sobrecarga administrativa quando alterações precisam ser feitas).
Pode valer a pena tentar aplicar as permissões do usuário de teste em diferentes níveis e considerar a criação de um pool de recursos filho em cada pool de recursos que você possui e aplicar as permissões a eles para ver se isso tem algum efeito
**Não se esqueça de aplicar propagação às permissões (ela só desce na hierarquia).
Pelo que li, embora eles possam criar máquinas com 16 GB de RAM, apesar do seu limite máximo de 12 GB, a VM só poderá usar um total de 12 GB do pool de recursos, depois disso a VM iniciará em um nível bastante sistema confuso de usar algo semelhante a arquivos de paginação e troca de memória.
**Minha memória pode estar totalmente errada nisso, então não trate isso como evangelho.