如何限制 ESX 客户端用户仅能使用其资源池?

如何限制 ESX 客户端用户仅能使用其资源池?

我有 5 台运行 ESXi 的服务器,它们由 vCenter 管理。我想为每个部门的各种 IT 管理员设置资源池,并限制他们在自己的资源池中创建和管理虚拟机,并且无法查看其他资源池/虚拟机/等。我正在运行 ESXi 5.0。

我能够在每个 ESXi 主机下创建资源池。对于每个池,我设置了资源利用的预留和最大限额。

然后,我为每个资源池的用户设置权限。

目前,每个用户都可以登录并只能看到自己的资源池和虚拟机。但是他们也可以直接在主机下创建虚拟机,当我尝试将“无访问”权限应用于主机时,他们无法在其资源池中创建虚拟机。即使我单击不传播规则。我无法直接从 ESXi 主机限制他们,否则他们无法使用其资源池。

此外,当我以用户身份登录并创建虚拟机时,我为每个资源池设置的预留/最大限制似乎并不重要,它让我能够创建超出资源池中设定的容差的东西。例如,我可以将预留 RAM 设置为 8 GB,然后将最大可扩展 RAM 设置为 12 GB,但用户仍然可以创建具有 16 GB RAM 的虚拟机。

有谁知道限制用户使用他们的资源池并且不允许他们为不应该被允许的虚拟机分配资源的最佳方法吗?

答案1

由于不知道您关于用户权限等方面的具体配置,我只能根据我们提供的数据进行有根据的猜测。

如果您正在寻找以下标准,那么应该Resource Pool Administrator在资源池级别授予管理员权限。

  • 允许用户创建子资源池并修改子资源池的配置,但不能修改被授予权限的池或集群的配置。
  • 用户可以向子资源池授予权限,并将虚拟机分配给父资源池或子资源池。
  • 文件夹、虚拟机、警报和计划任务权限组的所有权限。
  • 为资源和权限特权组选择的特权。
  • 没有数据中心、网络、主机、会话或性能权限组的权限。
  • 必须在虚拟机和数据存储上授予额外的权限才能配置新的虚拟机。

我强烈建议创建一个新用户作为测试基础,并尝试仅将权限应用于该用户(可能需要使用资源池管理员作为基础并进行自定义)。

一旦找到正确的配置,我建议将用户放在一个组中并将权限应用于该组(需要进行更改时减少管理开销)。

尝试在不同级别应用测试用户的权限可能会有所帮助,并考虑在您拥有的每个资源池中创建一个子资源池并将权限应用于它们,看看是否有任何效果

**不要忘记将传播应用于权限(它只会沿着层次结构向下传播)。

据我所知,尽管您的最大限制为 12GB,但他们仍能够创建具有 16GB 内存的机器,但虚拟机将只被允许使用资源池中总共 12GB 的内存,之后虚拟机将在一个相当混乱的系统上启动,使用类似于页面文件和内存交换的东西。

**我的记忆可能完全错误,所以不要将其视为福音。

相关内容