ESXクライアントユーザーをリソースプールのみに制限するにはどうすればよいですか?
ESXiを実行しているサーバーが5つあり、それらはvCenterによって管理されています。各部門のさまざまなIT管理者用にリソースプールを設定し、それらを制限して、独自のリソースプールでVMを作成および管理し、他のリソースプール/ VMなどを表示できないようにします。 ESXi5.0を実行しています。
各ESXiホストの下にリソースプールを作成することができました。プールごとに、リソース使用率の予約と最大許容量を設定しました。
次に、各リソースプールのユーザーにアクセス許可を設定します。
現状では、各ユーザーはログインでき、自分のリソースプールと仮想マシンのみを表示できます。ただし、ホストの直下に仮想マシンを作成することもできます。ホストに「アクセス禁止」権限を適用しようとすると、リソースプールにVMを作成できません。クリックしてルールを伝播しない場合でも。 ESXiホストから直接制限することはできません。制限しないと、リソースプールを使用できません。
さらに、各リソースプールに設定した予約/最大制限は、ユーザーとしてログインしてVMを作成するときに重要ではないようです。リソースプールに設定されていると思われる許容範囲から、かなり外れたものを作成しましょう。たとえば、予約済みRAMを8GBに設定してから、最大拡張可能RAMを12GBに設定できますが、ユーザーは引き続きa =を作成できます。 VM 16GBのRAMを搭載。
ユーザーをリソースプールに制限し、VMにリソースを割り当てることを許可しないようにするための最善の方法を知っている人はいますか?
ユーザー権限などに関する正確な構成がわからないので、私は与えられたデータを使って知識に基づいた推測しかできません。
次の基準があなたが探しているものである場合、管理者はリソースプールレベルでResource Pool Administrator権限を付与されるべきです。
- ユーザーが子リソースプールを作成し、子の構成を変更できるようにしますが、アクセス許可が付与されたプールまたはクラスターの構成を変更することはできません。
- ユーザーは、子リソースプールにアクセス許可を付与し、VMを親または子に割り当てることができます。
- フォルダー、仮想マシン、アラーム、およびスケジュールされたタスク特権グループのすべての特権。
- リソースおよび権限特権グループに対して選択された特権。
- データセンター、ネットワーク、ホスト、セッション、またはパフォーマンス特権グループに対する特権はありません。
- 新しい仮想マシンのプロビジョニングを可能にするには、仮想マシンとデータストアに追加の特権を付与する必要があります。
テストベースとして新しいユーザーを作成し、このユーザーにのみアクセス許可を適用してみることを強くお勧めします(ベースとしてリソースプール管理者を使用してカスタマイズする必要がある場合があります)。
正しい構成を見つけたら、ユーザーをグループに配置し、アクセス許可をグループに適用することをお勧めします(変更が必要な場合の管理オーバーヘッドが少なくなります)。
さまざまなレベルでテストユーザーのアクセス許可を適用してみて、所有している各リソースプールに子リソースプールを作成し、それらにアクセス許可を適用して、それが効果があるかどうかを確認することを検討してください。
**権限に伝播を適用することを忘れないでください(階層を下るだけです)。
私が読んだところによると、最大制限が12GBであるにもかかわらず、16GBのRAMを搭載したマシンを作成できますが、VMは、リソースプールから合計12GBしか使用できません。 、その後、VMは、ページファイルやメモリスワッピングに似たものを使用するかなり厄介なシステムで開始されます。
**私の記憶はこれに関して完全に間違っている可能性があるので、それを福音として扱わないでください。