Як обмежити користувача клієнта ESX лише своїм ресурсом?

У мене є 5 серверів під управлінням ESXi, ними керує vCenter. Я хочу налаштувати пули ресурсів для різних ІТ-адміністраторів з кожного відділу та обмежити їх для створення та управління VM у власному пулі ресурсів, а не мати можливості бачити інші пули ресурсів / VM / тощо. Я працюю ESXi 5.0.

Мені вдалося створити ресурси ресурсів під кожним хостом ESXi. Для кожного пулу я встановив застереження та максимальний обсяг використання ресурсів.

Потім я встановлюю дозволи для користувачів у кожному пулі ресурсів.

Наразі кожен користувач може увійти та бачити лише власний пул ресурсів та віртуальні машини. Однак вони також можуть створювати віртуальні машини безпосередньо під хостом, коли я намагаюся застосувати дозвіл "без доступу" до хоста, вони не можуть створювати віртуальних машин у своєму ресурсному пулі. Навіть коли натискаю, щоб не поширювати правило. Я не можу обмежувати їх безпосередньо від хоста ESXi, інакше вони не можуть використовувати їх пул ресурсів.

Крім того, здається, що резервації / максимальні обмеження, встановлені для кожного пулу ресурсів, не мають значення, коли я входжу як користувач та йду створити віртуальний комп'ютер, це дозволить мені створити щось добре з допусків, які нібито встановлені в пулі ресурсів. Наприклад, я можу встановити зарезервовану оперативну пам’ять на 8 ГБ, потім встановити максимальну оперативну пам'ять, що розширюється, на 12 ГБ, але тоді користувач все одно може створити VM з 16 ГБ оперативної пам’яті.

Хтось знає найкращий спосіб обмежити користувачів у їхніх ресурсних пулах і не дати їм виділяти ресурси для VM, вони не повинні бути дозволені?

Не знаючи вашої точної конфігурації щодо дозволів користувачів тощо, я можу робити лише здогадки про те, з якими нам були дані.

Якщо наступні критерії - це те, що ви шукаєте, адміністраторам слід надати Resource Pool Administratorдозволи на рівні пулу ресурсів.

• Дозволяє користувачеві створювати пули дочірніх ресурсів та змінювати конфігурацію дітей, але не може змінювати конфігурацію для пулу чи кластеру, де надано дозвіл.
• Користувач може надати дозволи для басейнів дочірніх ресурсів і призначити VM батькам або дитині.
• Усі привілеї для папок, віртуальної машини, сигналізацій та запланованих груп привілеїв.
• Вибрані привілеї для груп привілеїв ресурсів та дозволів.
• Немає привілеїв для центру обробки даних, мережі, хоста, сеансів чи груп привілеїв для продуктивності.
• Необхідно надати додаткові пільги на віртуальні машини та сховища даних, щоб забезпечити надання нових віртуальних машин.

Я настійно пропоную створити нового користувача в якості тестової бази і спробувати застосувати дозволи лише для цього користувача (може знадобитися використання адміністратора пулу ресурсів як бази та налаштування).

Після того, як ви знайшли правильну конфігурацію, рекомендую розмістити користувачів у групі та застосувати дозволи до групи (менші накладні витрати адміністратора, коли потрібно внести зміни).

Можливо, спробуйте застосувати дозволи дозволу тестового користувача на різних рівнях і розглянути можливість створення пулу дочірніх ресурсів у кожному наявному пулі ресурсів і застосувати до них дозволи, щоб побачити, чи це впливає

** Не забудьте застосувати розповсюдження до дозволів (це лише знижує ієрархію).

З того, що я прочитав, хоча вони зможуть створювати машини з 16 ГБ оперативної пам'яті, незважаючи на максимальний ліміт 12 ГБ, VM дозволять використовувати лише 12 ГБ з Ресурсного пулу, після чого VM запускається досить безладна система використання чогось схожого на файли сторінок і обмін пам’яттю.

** Моя пам’ять може бути абсолютно помилковою у цьому, тому не сприймайте це як євангеліє.