我有 5 台運行 ESXi 的伺服器,它們由 vCenter 管理。我想為每個部門的各種 IT 管理員設定資源池,並限制他們在自己的資源池中建立和管理虛擬機,並且無法看到其他資源池/虛擬機等。我正在運行 ESXi 5.0。
我能夠在每個 ESXi 主機下建立資源池。對於每個池,我設定了資源利用的預留和最大限額。
然後,我為每個資源池上的使用者設定權限。
目前,每個使用者登入後只能看到自己的資源池和虛擬機器。然而,他們也可以直接在主機下方建立虛擬機,當我嘗試向主機應用「無存取」權限時,他們無法在其資源池中建立虛擬機。即使我點擊不傳播規則。我無法直接限制它們使用 ESXi 主機,否則它們將無法使用其資源池。
此外,當我以使用者身分登入並建立虛擬機器時,我為每個資源池設定的預留/最大限制似乎並不重要,它讓我可以在資源池中設定的容差之外創建一些東西。例如,我可以將保留 RAM 設定為 8 GB,然後將最大可擴充 RAM 設定為 12 GB,但使用者仍可建立具有 16 GB RAM 的虛擬機器。
任何人都知道限制使用者使用其資源池並不允許他們為不應允許的虛擬機器分配資源的最佳方法嗎?
答案1
由於不知道您在用戶權限等方面的確切配置,我只能根據我們提供的數據做出有根據的猜測。
如果您正在尋找以下條件,則應向管理員授予Resource Pool Administrator資源池層級的權限。
- 允許使用者建立子資源池並修改子資源池的配置,但無法修改授予權限的池或叢集的配置。
- 使用者可以向子資源池授予權限,並將虛擬機器指派給父資源池或子資源池。
- 資料夾、虛擬機器、警報和計劃任務權限群組的所有權限。
- 資源和權限權限群組的選定權限。
- 沒有資料中心、網路、主機、會話或效能權限群組的權限。
- 必須在虛擬機器和資料儲存上授予附加權限,以允許配置新虛擬機器。
我強烈建議建立一個新使用者作為測試基礎,並嘗試僅向該使用者應用權限(可能需要使用資源池管理作為基礎並進行自訂)。
找到正確的配置後,我建議將使用者放入一個群組並向該群組應用權限(需要進行更改時減少管理開銷)。
嘗試在不同層級應用測試使用者的權限可能是值得的,並考慮在您擁有的每個資源池中建立子資源池,並將權限應用於它們,看看是否有任何效果
**不要忘記將傳播應用於權限(它只會沿著層次結構向下傳播)。
根據我的閱讀,雖然他們將能夠創建具有 16GB 內存的機器,儘管您的最大限制為 12GB,但虛擬機將只被允許使用資源池中總共 12GB 的內存,之後虛擬機以相當大的速度啟動。使用類似於頁面檔案和記憶體交換的東西的混亂系統。
**我的記憶可能完全錯誤,所以不要把它當作福音。