Anzahl von Konsolenverbindungen pro vMaschine einschränken

[plodeg]

Hello!

Wir setzen bei uns für verschiedenste Testszenarien den ESX4i ein, mit dem dazugehörigen vSphere Client 4.0.

Die Testumgebung wird jedoch von verschiedenen Standorten genutzt, somit kann es passieren das ein User X aus Wien auf einer Maschine arbeitet. Leider kann es vorkommen, dass der User X seinen Arbeitsplatz verlässt (Meeting, etc. ..). Der User Y aus Graz weiß jedoch nichts davon und arbeitet auf der selben Maschine weiter --> nicht gut!
Zusatz: Wir müssen mit dem vSphere Client arbeiten, da wir auch mit VPN-Clients arbeiten die den kompletten Verkehr zu einer externen Firewalltunneln - somit können wir mit RDP nicht arbeiten.

Die Frage nun: Gibt es eine Möglichkeit die Anzahl der Konsolenverbindungen pro vMaschine im vSphere Client einzuschränken?

Weiters ist mir aufgefallen, wenn man in eine vMaschine über die Registerkarte "Konsole" navigiert, springt der Client nach einem Timeout (ca. 90 Sekunden) in die Bestandsliste zurück - ich vermute aufgrund einer Akualisierung der Liste. Kann dieser Timeout verändert werden? Interessanterweise passiert dies nicht, wenn man über den Button "Konsole" navigiert (dabei wird ja ein eigenes Konsolenfenster geöffnet).

Danke schon im Voraus, Gernot

[irix]

Unter http://sanbarrow.com/vmx/vmx-advanced.html#mks sind die Parameter welche es so gfibt gelistet. Allerdings konnte ich auf den ersten Blick nicht finden.

Die Anzahl der max. Konsolen war 40. Ich wueste aber nicht was eine Reduzierung dieser Anzahl bei deinem Problem bringt. Du muestest es ja auf "1" reduzieren weil ansonsten immer noch die Gefaqhr besteht das 2 gleichzeitig etwas tun.

In meinen Augen ist euer Konzept falsch weil das waere Aufgabe des OS ist.

Gruss
Joerg

[plodeg]

Danke für die rasche Antwort!

Ja, den Parameter würde ich auf "1" setzen - somit könnte ich eine Mehrplatzfähigkeit im vSphere Client unterbinden. Ich habe jedoch leider in der Liste auch keinen passenden Parameter gefunden, wo ich die maximale Konsolenverbindungsanzahl setzen kann.

Wenn ich eine Konsolenverbindung starte, schreibt er ja im Fenster "Die Anzahl der aktiven Verbindungen hat sich geändert. Diese Konsole verfügt nun über x aktive Verbindungen". Dem System ist also die Anzahl bekannt, jetzt müsste ich nur noch wissen, wie ich diese einschränken kann...

Konzept ist der falsche Ausdruck, historisch Gewachsen passt bei uns besser...

[Dayworker]

Du könntest das sicher auf dem ESXi per Conf-Eintrag abändern, allerdings wäre dann vielleicht nur noch eine Verbindung per Vi/vSphere-Client möglich pro ESX möglich und alle weiteren Verbindungen würden abgelehnt.
Die entscheidende Frage ist dabei auch, weshalb ihr den Vi/vSphere-Client überhaupt zum Arbeiten benutzt
Wenn du RDP, SSH oder VNC nutzt, gibt es das Problem ja nicht. Von daher hat in meinen Augen "irix" Recht und euer historisch gewachsenes Konzept ist entweder falsch oder sollte dringend überdacht werden. Du müßtest dann ja zur Sicherheit auch für jede(n) Benutzer/Benutzergruppe eigene Berechtigungen vergeben und das wäre in meinen Augen unnützer Aufwand.

[plodeg]

Danke für den Hinweise, leider kann ich dies nicht auf Betriebssystem managen - und zwar aus aus folgendem Grund:
Ein User verbindet sich auf die virtuelle Maschine und startet (zumindest manchmal) anschließend einen VPN-Client-Verbindung. Dieser VPN-Client setzt jedoch das Default-Gateway um und tunnelt sämtlichen Verkehr zu der externen Zielfirewall bzw. deren Netze dahinter. Starte ich die VPN-Client-Verbindung fliege ich deshalb mit sämtlichen Verbindungen (RDP, VNC, CIFS, ...) vom Test- und Firmennetz raus.

Die Lösung dieses Problems für uns war der ESXi-Server mit vSphere Client, da sich der Client ja direkt auf das ESXi-System verbindet und nicht auf die vMaschine. Ändern sich dabei die Hostrouten auf den virtuellen Clients, kann man trotzdem beqeum weiterarbeiten - zwar kann ich bei bestehender VPN-Verbindung keine Daten austauschen, jedoch zumindest weiterarbeiten und dieser Zustand reicht uns völlig aus.

Das System ist ja schon bei uns im Einsatz und läuft zufriedenstellend. Der einzige offene Punkte ist nunmehr, gleichzeitiges Verbinden auf eine vMaschine zu unterbinden...

Vielleicht hat noch jemand einen Tipp für mich?

lg Gernot

[Dayworker]

Das schaut mir aber nach einem Fehler in den VPN-Einstellungen aus.

[irix]

Das schaut mir aber nach einem Fehler in den VPN-Einstellungen aus.

Nicht unbedingt. Hier ist es auch gewollt das bei einer akt. VPN Verbindung aller Traffic ueber eben jenes geht und andere Netzverbindungen unter Umstaenden gekappt werden. Man moechte ja nicht das man verschiedene Netz mit einander verbindet und Sicherheitseinstelluingen umgangen werden.

Aber du hast Recht das man es anders Einstellen kann.

Gruss
Joerg

[Dayworker]

Nicht unbedingt. Hier ist es auch gewollt das bei einer akt. VPN Verbindung aller Traffic ueber eben jenes geht und andere Netzverbindungen unter Umstaenden gekappt werden. Man moechte ja nicht das man verschiedene Netz mit einander verbindet und Sicherheitseinstelluingen umgangen werden.

Okay. Aber wenn man das vorher weiß, kann man doch eigentlich mit dieser Sicherheitseinstellung leben.

[plodeg]

ja genau, so ist es. Das System ist aus Securitygründen bei verbundenem VPN-Client komplett abgeschottet - zum ESXi Server hin, dürfen auch nur die wenigen Ports, die der vSphere Client braucht. Ich möchte ja den Access für RDP und Ähnliche gar nicht öffnen...

Nochmal: Die verwendete Architektur hat sich in der Praxis bei uns als äußert brauchbar herausgestelllt - Ich möchte nur noch die Anzahl der Verbindungen einschränken

[Dayworker]

Die Einstellung für die Anzahl der möglichen Konsolen müßte dazu eigentlich in einer mir unbekannten Conf-Datei hinterlegt sein oder es ist im ESX(i) hardcodiert.