Як обмежити користувача клієнта ESX лише своїм ресурсом?


2

У мене є 5 серверів під управлінням ESXi, ними керує vCenter. Я хочу налаштувати пули ресурсів для різних ІТ-адміністраторів з кожного відділу та обмежити їх для створення та управління VM у власному пулі ресурсів, а не мати можливості бачити інші пули ресурсів / VM / тощо. Я працюю ESXi 5.0.

Мені вдалося створити ресурси ресурсів під кожним хостом ESXi. Для кожного пулу я встановив застереження та максимальний обсяг використання ресурсів.

Потім я встановлюю дозволи для користувачів у кожному пулі ресурсів.

Наразі кожен користувач може увійти та бачити лише власний пул ресурсів та віртуальні машини. Однак вони також можуть створювати віртуальні машини безпосередньо під хостом, коли я намагаюся застосувати дозвіл "без доступу" до хоста, вони не можуть створювати віртуальних машин у своєму ресурсному пулі. Навіть коли натискаю, щоб не поширювати правило. Я не можу обмежувати їх безпосередньо від хоста ESXi, інакше вони не можуть використовувати їх пул ресурсів.

Крім того, здається, що резервації / максимальні обмеження, встановлені для кожного пулу ресурсів, не мають значення, коли я входжу як користувач та йду створити віртуальний комп'ютер, це дозволить мені створити щось добре з допусків, які нібито встановлені в пулі ресурсів. Наприклад, я можу встановити зарезервовану оперативну пам’ять на 8 ГБ, потім встановити максимальну оперативну пам'ять, що розширюється, на 12 ГБ, але тоді користувач все одно може створити VM з 16 ГБ оперативної пам’яті.

Хтось знає найкращий спосіб обмежити користувачів у їхніх ресурсних пулах і не дати їм виділяти ресурси для VM, вони не повинні бути дозволені?

Відповіді:


1

Не знаючи вашої точної конфігурації щодо дозволів користувачів тощо, я можу робити лише здогадки про те, з якими нам були дані.

Якщо наступні критерії - це те, що ви шукаєте, адміністраторам слід надати Resource Pool Administratorдозволи на рівні пулу ресурсів.

  • Дозволяє користувачеві створювати пули дочірніх ресурсів та змінювати конфігурацію дітей, але не може змінювати конфігурацію для пулу чи кластеру, де надано дозвіл.
  • Користувач може надати дозволи для басейнів дочірніх ресурсів і призначити VM батькам або дитині.
  • Усі привілеї для папок, віртуальної машини, сигналізацій та запланованих груп привілеїв.
  • Вибрані привілеї для груп привілеїв ресурсів та дозволів.
  • Немає привілеїв для центру обробки даних, мережі, хоста, сеансів чи груп привілеїв для продуктивності.
  • Необхідно надати додаткові пільги на віртуальні машини та сховища даних, щоб забезпечити надання нових віртуальних машин.

Я настійно пропоную створити нового користувача в якості тестової бази і спробувати застосувати дозволи лише для цього користувача (може знадобитися використання адміністратора пулу ресурсів як бази та налаштування).

Після того, як ви знайшли правильну конфігурацію, рекомендую розмістити користувачів у групі та застосувати дозволи до групи (менші накладні витрати адміністратора, коли потрібно внести зміни).

Можливо, спробуйте застосувати дозволи дозволу тестового користувача на різних рівнях і розглянути можливість створення пулу дочірніх ресурсів у кожному наявному пулі ресурсів і застосувати до них дозволи, щоб побачити, чи це впливає

** Не забудьте застосувати розповсюдження до дозволів (це лише знижує ієрархію).

З того, що я прочитав, хоча вони зможуть створювати машини з 16 ГБ оперативної пам'яті, незважаючи на максимальний ліміт 12 ГБ, VM дозволять використовувати лише 12 ГБ з Ресурсного пулу, після чого VM запускається досить безладна система використання чогось схожого на файли сторінок і обмін пам’яттю.

** Моя пам’ять може бути абсолютно помилковою у цьому, тому не сприймайте це як євангеліє.


Це встановило мене в правильному напрямку для дозволів! Дякуємо за вашу допомогу! Моя проблема намагалася зробити дозвіл безпосередньо з рівня ESX. Коли я зробив дозволи на рівні vCenter, я зміг правильно використовувати роль адміністратора пулу ресурсів, і адміністратори можуть грати лише у своїй пісочниці. Я буду хвилюватися про ресурси ресурсів після деяких стрес-тестів. Дякую Ніку!
0xhughes
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.