У меня есть 5 серверов, работающих под управлением ESXi, они управляются vCenter. Я хочу настроить пулы ресурсов для различных ИТ-администраторов из каждого отдела и ограничить их в создании и управлении виртуальными машинами в их собственном пуле ресурсов, и не иметь возможности видеть другие пулы ресурсов/виртуальные машины/и т. д. Я использую ESXi 5.0.
Мне удалось создать пулы ресурсов под каждым хостом ESXi. Для каждого пула я установил резервирования и максимальные разрешения на использование ресурсов.
Затем я устанавливаю разрешения для пользователей в каждом пуле ресурсов.
В настоящее время каждый пользователь может войти в систему и видеть только свой собственный пул ресурсов и виртуальные машины. Однако они также могут создавать виртуальные машины непосредственно под хостом, когда я пытаюсь применить разрешение «no-access» к хосту, они не могут создавать виртуальные машины в своем пуле ресурсов. Даже когда я нажимаю «не распространять правило». Я не могу ограничить их напрямую с хоста ESXi, иначе они не смогут использовать свой пул ресурсов.
Кроме того, резервирования/максимальные ограничения, которые я устанавливаю для каждого пула ресурсов, похоже, не имеют значения, когда я вхожу в систему как пользователь и иду создавать виртуальную машину, это позволяет мне создать что-то, выходящее за пределы допусков, предположительно установленных в пуле ресурсов. Например, я могу установить зарезервированную оперативную память на 8 ГБ, затем установить максимальный расширяемый объем оперативной памяти на 12 ГБ, но затем пользователь все равно может создать виртуальную машину с 16 ГБ оперативной памяти.
Кто-нибудь знает, как лучше всего ограничить пользователей их пулами ресурсов и не позволить им выделять ресурсы для виртуальной машины, которые им не должны быть предоставлены?
решение1
Не зная точной конфигурации ваших прав доступа пользователей и т. д., я могу только делать обоснованные предположения на основе предоставленных нам данных.
Если следующие критерии соответствуют вашим требованиям, то администраторам следует предоставить Resource Pool Administratorразрешения на уровне пула ресурсов.
- Позволяет пользователю создавать дочерние пулы ресурсов и изменять конфигурацию дочерних ресурсов, но не может изменять конфигурацию пула или кластера, для которого было предоставлено разрешение.
- Пользователь может предоставлять разрешения дочерним пулам ресурсов и назначать виртуальные машины родительскому или дочернему пулу.
- Все привилегии для групп привилегий папок, виртуальных машин, будильников и запланированных задач.
- Выбранные привилегии для групп привилегий ресурсов и разрешений.
- Нет привилегий для групп привилегий центра обработки данных, сети, хоста, сеансов или производительности.
- Для обеспечения возможности подготовки новых виртуальных машин необходимо предоставить дополнительные привилегии виртуальным машинам и хранилищам данных.
Я настоятельно рекомендую создать нового пользователя в качестве тестовой базы и попробовать применить разрешения только к этому пользователю (может потребоваться использование Resource Pool Admin в качестве базы и настройка).
После того, как вы нашли правильную конфигурацию, я рекомендую поместить пользователей в группу и применить разрешения к группе (меньше административных издержек при необходимости внесения изменений).
Возможно, стоит попробовать применить разрешения тестового пользователя на разных уровнях, а также рассмотреть возможность создания дочернего пула ресурсов в каждом имеющемся пуле ресурсов и применить к ним разрешения, чтобы посмотреть, даст ли это какой-либо эффект.
**Не забудьте применить распространение к разрешениям (оно распространяется только вниз по иерархии).
Из того, что я прочитал, следует, что, хотя они смогут создавать машины с 16 ГБ оперативной памяти, несмотря на максимальный лимит в 12 ГБ, виртуальной машине будет разрешено использовать в общей сложности только 12 ГБ из пула ресурсов, после чего виртуальная машина запустится в довольно запутанной системе, использующей что-то вроде файлов подкачки и подкачки памяти.
**Моя память может быть совершенно неверной, поэтому не воспринимайте это как истину в последней инстанции.