Como faço para restringir um usuário do cliente ESX somente a seu pool de recursos?

Navegue suas respostas
2

Eu tenho 5 servidores executando o ESXi, eles são gerenciados pelo vCenter. Desejo configurar pools de recursos para vários administradores de TI de cada departamento e limitá-los para criar e gerenciar VMs em seu próprio pool de recursos e não conseguir ver outros pools de recursos / VMs / etc. Estou executando o ESXi 5.0.

Consegui criar os pools de recursos em cada host ESXi. Para cada pool, eu defino as reservas e as permissões máximas para a utilização de recursos.

Eu, então, defino permissões para usuários em cada pool de recursos.

Como está, cada usuário pode efetuar login e ver apenas seu próprio pool de recursos e máquinas virtuais. No entanto, eles também podem criar máquinas virtuais diretamente sob o host, quando eu tento aplicar a permissão "sem acesso" ao host, eles não podem criar VMs em seu pool de recursos. Mesmo quando clico para não propagar a regra. Não posso restringi-los diretamente do host do ESXi, senão eles não podem usar o pool de recursos deles.

Além disso, as reservas / limites máximos que defini para cada pool de recursos não parecem importar quando eu faço login como usuário e vou criar uma VM, isso me permite criar algo bem fora das tolerâncias supostamente definidas no recurso piscina. Por exemplo, posso definir a RAM reservada como 8 GB e, em seguida, definir a RAM máxima expansível como 12 GB, mas o usuário ainda pode criar uma VM com 16 GB de RAM.

Alguém sabe a melhor maneira de restringir os usuários a seus pools de recursos e não permitir que eles aloquem recursos para uma VM que não devem ser permitidos?

    
por 0xhughes 24.03.2014 / 02:05

1 resposta

1

Não sabendo sua configuração exata em relação às permissões do usuário, etc., só posso fazer suposições com os dados que recebi.

Se os critérios a seguir forem o que você está procurando, os administradores deverão receber Resource Pool Administrator de permissões no nível do pool de recursos.

  • Permite que o usuário crie pools de recursos filhos e modifique a configuração dos filhos, mas não pode modificar a configuração para o pool ou cluster onde a permissão foi concedida.
  • O usuário pode conceder permissões a pools de recursos filhos e atribuir VMs ao pai ou ao filho.
  • Todos os privilégios para grupos de pastas, máquinas virtuais, alarmes e privilégios de tarefas agendadas.
  • Privilégios selecionados para grupos de privilégios de recursos e permissões.
  • Sem privilégios para grupos de privilégios de datacenter, rede, host, sessões ou desempenho.
  • Privilégios adicionais devem ser concedidos em máquinas virtuais e datastores para permitir o provisionamento de novas máquinas virtuais.

Sugiro strongmente que você crie um novo usuário como base de testes e tente aplicar permissões somente a esse usuário (pode ser necessário usar o Administrador do pool de recursos como base e personalização).

Depois de encontrar a configuração correta, recomendo colocar os usuários em um grupo e aplicar as permissões ao grupo (menos sobrecarga de administrador quando as alterações precisam ser feitas).

Pode ser necessário tentar aplicar as permissões do usuário de teste em níveis diferentes e considerar a criação de um Pool de Recursos para Crianças em cada Pool de Recursos que você tenha e aplicar as permissões a eles para ver se isso tem algum efeito

** Não se esqueça de aplicar a propagação às permissões (só desce a hierarquia).

Pelo que eu li, embora eles possam criar máquinas com 16 GB de RAM, apesar de seu limite máximo de 12 GB, a VM só terá permissão para usar um total de 12 GB do pool de recursos. Depois disso, a VM é iniciada em um sistema bastante desordenado de usar algo parecido com arquivos de paginação e troca de memória.

** Minha memória pode estar totalmente errada, então não trate isso como um evangelho.

    
por 29.03.2014 / 08:48

Tags

E-mails de entrada in-box em massa gerenciados pelo POSTFIX O cliente Synergy não se conectará, apesar da porta aberta?