Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.

VM Administration über VC Client oder Web Access

Virtualisierungsmanagement, Servermanagement.

Moderatoren: Dayworker, continuum, Tschoergez, irix, stefan.becker

Benutzeravatar
Member
Beiträge: 210
Registriert: 11.09.2007, 19:30
Wohnort: Wiener Neustadt

VM Administration über VC Client oder Web Access

Beitragvon stoani » 20.09.2009, 13:19

Hallo,
In unserem Konzern greifen derzeit ca. 30 Personen auf das VC zu um VMs zu administrieren. Das sollen in Zukunft noch mehr werden.
Ich habe gelesen das jeder Consolen Zugriff den ESX Servern Performance kostet.
Wäre es hier vielleicht sinnvoll die VMs über Web Access zu administrieren.
Derzeit reden wir hier von ca. 400 VMs.
Wie handelt ihr das?

lg
Andi

Jenseits von Gut & Böse
Beiträge: 11505
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 20.09.2009, 13:58

Hier administriert die VMs (120) einer.... und wenn es Noetig ist ein zweiter. Die Benutzer bzw. die Admins des Guest OS oder der Anwendung benutzen RDP, SSH, $whatever.

WebAccess ist per default abgeschaltet auf den vShere HOSTS und ich nehme mal an das eine Belastung fuer die COS und somit den HOST darstellt.

Gruss
Joerg

Benutzeravatar
Member
Beiträge: 210
Registriert: 11.09.2007, 19:30
Wohnort: Wiener Neustadt

Beitragvon stoani » 20.09.2009, 18:03

Hallo Jörg,
Nur wie soll ich es ohne Zugriff aufs VC regeln, das die diversen Admins einen Server aus welchen Gründen auch immer neu starten bzw. abschalten können?

lg
Andi

Jenseits von Gut & Böse
Beiträge: 11505
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 20.09.2009, 18:28

stoani hat geschrieben:Hallo Jörg,
Nur wie soll ich es ohne Zugriff aufs VC regeln, das die diversen Admins einen Server aus welchen Gründen auch immer neu starten bzw. abschalten können?

lg
Andi


Also die VMs bei uns sind eingeschaltet... oder aus. Eine taeglichen Wechsel gibts nicht und ich habe auch Probleme mir das vorzustellen. Ein Reboot aus dem GuestOS ist ja wohl nun kein Problem und dazu brauchst keinen Zugriff aufs VC.

Mitteilerweise sind wir dazu uebergegegangen die VC Benutzer aus dem AD zuholen. Die Rechte fuer Untergruppen legen wir auf Verzeichnisse in welchen dann die VMs liegen. Das hat den Vorteil das bei einem Restore/$whatever der VM wir nicht an die Rechte denken muessen.

Sollte es tatsaechlich den Fall geben das eine Person viele VMs ein und ausschalten muss das bekommt er halt den VI Client... alleren anderen haben RCLI zubenutzen eine Batch datei mit ihrem eigenen Benutzer/Passwd.

Die Konsole hat aber

Code: Alles auswählen

keiner
von denen.... weil zum Gucken haben sie RDP/VNC/SSH.

Auf den ESX selber kommt keiner.... ausser der Admin weil da must du ja wieder extra Gruppen und Benutzer anlegen und pflegen. Total hinderlich bei Neuinstallation/Upgrade eines ESX und irgendwie unpraktikabel wenn die VM umzieht.

Irgendwie fehlt mit noch die Vorstellungskraft warum es viele Leute geben soll die ihre VMs konfigurieren.

Bei einem Kunden hab ich mal eine Webinterface gebaut wo die Leute ihre VMs sehen konnten (Status) und bei Bedarf halt eine Aktion wie Reboot/Stopp/Start ausfuehren konnten. Das ganze mit PHP und SOAP. Es muss nur einer Liste mit den Zuordnungen in dem Webinterface pflegen.

Gruss
Joerg

Benutzeravatar
Member
Beiträge: 210
Registriert: 11.09.2007, 19:30
Wohnort: Wiener Neustadt

Beitragvon stoani » 20.09.2009, 18:40

Hallo Jörg,
Mit geht es darum das ein Admin eine VM starten bzw. stoppen kann. Kann ja mal passieren das das OS beim Starten hängen bleibt oder ähnliches.
Zugriff auf die Console möchte ich in Zukunft abstellen.

Andi

Jenseits von Gut & Böse
Beiträge: 11505
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 20.09.2009, 19:32

stoani hat geschrieben:Hallo Jörg,
Mit geht es darum das ein Admin eine VM starten bzw. stoppen kann. Kann ja mal passieren das das OS beim Starten hängen bleibt oder ähnliches.
Zugriff auf die Console möchte ich in Zukunft abstellen.

Andi


Einzeiler in einer BATCH Datei.

Frage:
Wieviele Admins habt ihr?

Gruss
Joerg

Benutzeravatar
Profi
Beiträge: 838
Registriert: 06.04.2006, 14:36
Wohnort: bei Mainz
Kontaktdaten:

Beitragvon Heros » 21.09.2009, 14:07

Eigentlich sollten die 30 Personen auch kein Problem sein. Nach deiner Beschreibung sollte ein großTeil ja auch nur selten darauf zugreifen, oder?

Profi
Beiträge: 991
Registriert: 31.03.2008, 17:26
Wohnort: Einzugsbereich des FC Schalke 04
Kontaktdaten:

Beitragvon kastlr » 21.09.2009, 17:02

Hallo,

zum Starten/Stoppen von VM's reichen doch schon Virtual Machine User Rechte.
Daher würde ich auf meinem VC Server einfach einige lokale Gruppen anlegen und darin dann die Domänen Accounts der Admins versenken.

Anschließend noch der lokalen Gruppe das Recht auf der VM zuweisen und schon ist der Drops gelutscht.

Viel Erfolg
Ralf

Benutzeravatar
Member
Beiträge: 210
Registriert: 11.09.2007, 19:30
Wohnort: Wiener Neustadt

Beitragvon stoani » 22.09.2009, 16:38

Hallo Leute,

Wieviele Admins kann ich gar nicht genau sagen. Aber es gibt Domain Admins, Fileserver Admins, SQL Server Admins, Exchange Admins, Backup Admins, SAP Admins, Application Operation Admins, Entwickler und Programmierer, etc.etc.
Diese ganzen Zugriffsberechtigungen wurden halt schon vor meiner Zeit im Konzern vergeben. Jetzt sind die Leute das gewöhnt. Und jetzt komme ich und möchte ihnen die Rechte wieder nehmen ;-((

Jörg, wie meinst Du das mit der Batchdatei?

Das mit den Berechtigungen wäre schon auch ein Weg, aber ich möchte halt das ausser den VMware Admins keiner aufs VC zugreift. Ich darf ja auch nicht in der Domäne herumwerkeln oder die Datenbanken durchstöbern.

Jenseits von Gut & Böse
Beiträge: 11505
Registriert: 02.08.2008, 15:06
Wohnort: Hannover/Wuerzburg
Kontaktdaten:

Beitragvon irix » 24.09.2009, 13:34

stoani hat geschrieben:Hallo Leute,

Jörg, wie meinst Du das mit der Batchdatei?


Na eine Batch welcher als Verknupefung auf dem Desktop liegt und welche als Inhalt den RCLI Aufruf enthaelt. Name und Passwd wenn man Faul gleich als Parameter hinten dran gehaengt. Wer dieses Sicherheitrisiko nicht eingehen will der muss ein paar mehr Zeilen schreiben so das die Batch die Eingaben vom Benutzer erfragt bei der Ausfuehrung..

Das mit den Berechtigungen wäre schon auch ein Weg, aber ich möchte halt das ausser den VMware Admins keiner aufs VC zugreift. Ich darf ja auch nicht in der Domäne herumwerkeln oder die Datenbanken durchstöbern.


Das laesst sich aber nicht vermeiden. Du must ja die Benutzer mit ihrem Rollen(Rechten) verteilen auf die Objekte (Resource Pools, Ordner, VMs usw.).

Ob die Benutzer dann die Webguit, VI Client, RCLI oder aber selber was stricken in dem sie die API benutzen kannst du dann nicht mehr einschraenken. Aber egal was sie Benutzen bleibt immer Eingeschränkt auf die Rechte welche DU vergeben hast.

Gruss
Joerg

Benutzeravatar
Member
Beiträge: 210
Registriert: 11.09.2007, 19:30
Wohnort: Wiener Neustadt

Beitragvon stoani » 24.09.2009, 18:22

Hallo Jörg,
Danke mal für Deine Tipps und Hinweise.
Ich schätze mal das ich die Admins übers VC auf Ihre VMs lasse, eingeschränkt auf start, stop, reset sowie die Möglichkeit ein ISO File zu mounten damit sie Ihre Programme im OS installieren können.

lg
Andi

Benutzeravatar
Moderator
Beiträge: 3476
Registriert: 23.02.2005, 09:14
Wohnort: Burgberg im Allgäu
Kontaktdaten:

Beitragvon Tschoergez » 25.09.2009, 11:50

Wenn Du Veränderungen in dem (sozialkompetenztechnisch sensiblen :grin:) Bereich kommunizieren musst, stell das so vor:

Der Zugriff mit dem VI Client zum VC ist wie der Schlüssel zum Serverraum und -Schrank. Haben/hatten den denn auch alle 30 Admins früher?

Wenn nicht, gibts eigentlich keinen Grund, den Applikationsadmins VC-Zugang zu geben, dann müssen sie eben anrufen, wenn ne VM böse hängt oder nen harten Neustart braucht.

Ich präferiere da auch eher die Vorgehensweise von irix, den Admins "Shellzugriff" via RDP/VNC usw. zu geben, und das VC nur in der Zuständigkeit der VMware-Admins zu lassen.

Viele Grüße,
Jörg

Profi
Beiträge: 991
Registriert: 31.03.2008, 17:26
Wohnort: Einzugsbereich des FC Schalke 04
Kontaktdaten:

Beitragvon kastlr » 25.09.2009, 13:33

Hallo zusammen,

kann mir mal jemand erklären, was daran so verwerflich ist, den Admins stark eingeschränkte Rechte zum Starten und Stoppen von VM's zu geben?
An der Umgebung können Sie doch gar nichts ändern, solange ich bei der Vergabe der Rollen vernünftig agiere.

Und nur mal nebenbei bemerkt, kann man gewisse Software Installationen nicht über RDP durchführen, da können GANZ tolle Effekte auftreten.

Und bei Performance Problemen mit der VIC Console könnt ihr solche Sessions doch immer noch "killen".

Gruß
Ralf

Member
Beiträge: 175
Registriert: 17.12.2007, 15:39

Beitragvon eini » 25.09.2009, 13:33

Zur Info, machen wir auch so (wenn auch nur im Ausnahmefall) aber unter vCenter 4.0 gibt es wohl einen Bug welcher den Konsolenzugriff verhindert. Ein SR bei VMWare brachte keine Lösung, die arbeiten daran.

Der Bug wirkt sich aus wenn eine Benutzergruppe explizite Rechte auf eine VM bekommt was ja der Normalfall ist. Wenn alle Admins alle Rechte haben tritt es nicht auf was aber in meinen Augen fragwürdig ist als Workarround.

Profi
Beiträge: 991
Registriert: 31.03.2008, 17:26
Wohnort: Einzugsbereich des FC Schalke 04
Kontaktdaten:

Beitragvon kastlr » 25.09.2009, 13:48

Meint Ihr etwas das Problem, das nur Admins die WebConsole nutzen können?
Falls ja, habe ich eine Lösung für vSphere VC (hat zumindest bei mir funktioniert).

Im ViC habe ich der entsprechenden Domänen Gruppe Read Only Permissions erteilt, und zwar ausschließlich für den VC Server (keine Vererbung).

Danach konnten meine User ohne Admin Rechte an die Webconsole und Ihre VM's managen.
Denkt aber auch daran, eurem Account die Administrator Rechte zu geben, sonnst sperrt Ihr euch aus.

Probiert's mal aus.

Viel Erfolg
Ralf


Zurück zu „vCenter / VMware VirtualCenter“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast