VMware-Forum

Hallo zusammen,

ich arbeite schon seit einigen Jahren mit VMWare ESX(i) und hatte bis vor einem Jahr 6 vollwertige ESX-Server mit SAN-Anbindung unter meiner Fuchtel. Da die Aufgaben in meiner alten Firma nicht getrennt waren, hatten alle 4 EDV-Mitglieder Vollzugriff auf die ESX-Maschinen und deren VMs und eine getrennte Rollenvergabe war nicht notwendig; ich hatte mich damit daher noch nie befasst.

In meiner aktuellen Firma gibt es jedoch mich als Administrator vor Ort, der direkt für die ESXi-Server und VMs verantwortlich ist und eine zentrale Stelle (unser Verband), der bestimmte Rechte für eine der VMs benötigt um die Maschine starten und stoppen zu können, da diese von den Technikern dort verwaltet und gemanaged wird. Da ich nur relativ kleine Geschäftsstellen zu betreuen habe, haben wir auf den Einsatz von kostenpflichtigen ESX(i)-Lizenzen bisher verzichtet; es steht also nur der Funktionsumfang der kostenfreien ESXi-Lizenz zur Verfügung. Mich beschleicht nun aber das Gefühl, dass mit der kostenfreien ESXi-Version keine Rollenverwaltung möglich ist. Ist das korrekt? Oder habe ich im vSphere Client nur an der falschen Stelle gesucht?

Wäre nett, wenn mir jemand die Frage beantworten könnte, da ich über die Suche zum Thema "Rollen" oder "neue Rollen erstellen" und ähnlich nichts gefunden habe. Falls das nicht möglich ist, müssten wir wohl den Einsatz von ESXi überdenken, da ich mir jetzt schon das begeisterte Gesicht unseres GFs vorstellen kann, wenn ich Ihn um eine Investitionssumme von rund 800 Euro für die Essentials-Version mit 3 Jahren SnS bitte (sofern dort dann das Rollenmanagement möglich wäre). Da wird dann die Aussage kommen "hätten wir auch bei W2K3 64 Bit und VMWare Server bleiben können" und jegliches Argument dagegen würde im Sande verlaufen (und da gibt es reichlich Argumente gegen...). Eine Rechtevergabe nur für die VM als vollwertiger Administrator kommt für mich nicht in Betracht, da dann darüber ein ESX-Unerfahrener Kollege vom Verband sämtliche Einstellungen die VHardware betreffend ändern könnte und uns somit im schlimmsten Fall den ESXi-Server lahmlegen oder abschiessen könnte.

Grüße

Daniel

Rollen sind ein Feature des vCenters... ohne dies funktioniert das nicht was du moechtest.

Die Promo fuer das kleine Essentials, bei dem man kein Support kaufen darf sondern ein Jahr Subscription geschenkt bekommt ist verlaengert worden. Falls du mehr Infos bzw. Angebot fuer deinen Chef brauchst schreib eine PM an mich.

Apropo Chef... wie wird sein Gesicht aussehen wenn du mal eine Rechnung aufmachst an das was ihr an Hardware gespart habt durch den Einsatz von Virtualisierung?

Wenn du eh schon den Mumm ansammelst fuer einen Investantrag dann schreib gleich noch eine Backuploesung von Veeam,Vizioncore,PHD dazu. Dann kannst du auch ruhig schlafen .... zumind. ausserhalb der Arbeitszeit

Gruss
Joerg

Danke für die Info irix, hatte ich mir schon gedacht.

Das Gesicht wird sich nicht entspannen, weil vorher vieles zusammen auf einer Maschine lief (SQL-Server, Easy-Archiv, Exchange, DC auf einem Blech und der Rest inkl. DC auf einem anderen). Die VM-PCs waren immer alte, ausgemusterte PCs in der Ecke. Klar kann ich was Strom und so weiter angeht Rechnungen aufmachen, aber du wirst die Aussagen sicherlich kennen: "Das zahlen wir doch sowieso." Und die viel weniger gewordenen Ausfälle sieht er eh nicht, weil er das vorher nicht mitbekommen hat und jetzt sowieso nicht mehr mitbekommt. Es gibt da so einen Spruch mit dem Ochsen und ins Horn petzen...

Die Datensicherung läuft bei uns momentan über ArcServe auf ein Bandlaufwerk und unser Verband hat massig Erfahrung mit Rücksicherungen über diese Software und auch mit Emergency-Restores (letzteres habe ich mit Veritas/Symantec Backup Exec), sodass ich mir in der Hinsicht erst mal keine Gedanken mache. Der ESXi ist so schnell wieder manuell installiert und die W2K3 und WinXP Pro Vorlagen so schnell über die 2x 1 GBit-Anbindung rübergeschaufelt, dass eine separate Backuplösung nicht notwendig ist. Bei einem Ausfall sind unsere Maschinen mit 4h Restore-Time abgesichert, sodass weitere Überlegungen nicht notwendig sind. Sämtliche unersätzliche Anwendungen laufen über WAN auf Servern unseres Verbandes. Intern laufen nur halbkritische Anwendungen, bei denen ein Ausfall von 4 Stunden weh tut aber verschmerzbar ist. Wir sind noch in der glücklichen Situation, dass wir nicht unbedingt alle 10 Sekunden unsere Mails brauchen...NOCH!

Im Übrigen:
"Sie haben Post"

Dank & Gruß

Daniel

irix hat geschrieben:Rollen sind ein Feature des vCenters... ohne dies funktioniert das nicht was du moechtest.

Das sehe ich anders...

Rollen sind im VSphere-Client unter Home--> Rollen einrichtbar. Damit kann ich Benutzerrechte realisieren, die z.b. nur den Konsolenzugriff, An- bzw. Abschalten etc. ermöglichen, nicht aber Konfigurationsänderungen an den VM's. VCenter ist hierfür nicht notwendig, funktioniert insofern auch für "free" ESXI's.

Gruß,
Arnd

Supervielen Dank, klappt wunderbar!
Kann ich unseren Technikern vom Verband nun doch nur die Berechtigungen zuweisen die für nen Reboot benötigt werden und für Aktionen auf der Console. Die machen zwar normalerweise nichts ohne nachzufragen, aber man kennt das ja - der Teufel ist ein Eichhörnchen...

Komisch nur, dass die Funktion für Rollen etwas "versteckt" ist. Leider kommt man über "Verwaltung --> Rolle" nicht dorthin, wobei ich genau das erwartet hätte und versucht habe; ist aber ausgegraut.

ArndN hat geschrieben:

irix hat geschrieben:Rollen sind ein Feature des vCenters... ohne dies funktioniert das nicht was du moechtest.

Das sehe ich anders...

Rollen sind im VSphere-Client unter Home--> Rollen einrichtbar. Damit kann ich Benutzerrechte realisieren, die z.b. nur den Konsolenzugriff, An- bzw. Abschalten etc. ermöglichen, nicht aber Konfigurationsänderungen an den VM's. VCenter ist hierfür nicht notwendig, funktioniert insofern auch für "free" ESXI's.

Gruß,
Arnd

Mache ich hier auch für Entwickler die ihre eigenen Systeme ggf. makl neu starten müssen.
Leider nur lokale Logins und kein Abgleich gegen die Domäne aber das ist ok.

Gut, für letzteres brauchst du definitiv ein vCenter (zumindest meines Wissens nach). Für meine Zwecke reicht das in der Form aber voll aus, da die Kollegen den Zugang sowieso dokumentieren und somit nicht zwingend einer der geschätzten 6000 User in unserer Domain genommen werden muss...

boni hat geschrieben:Supervielen Dank, klappt wunderbar!

Komisch nur, dass die Funktion für Rollen etwas "versteckt" ist. Leider kommt man über "Verwaltung --> Rolle" nicht dorthin, wobei ich genau das erwartet hätte und versucht habe; ist aber ausgegraut.

Da suchen viele nach - irgendwie sieht man die "Home-Seite" auch scheinbar im laufenden Betrieb im VSphere-Client nie mehr wieder. Warum auch - braucht man ja auch nur, um Rollen zu definieren... aber so kann man zumindest eine gewisse Sicherheit herstellen und verhindern, das VM's plötzlich im Nirvana verschwinden. Ich hab Kunden, die durchaus in der Lage sind, die Maschinen insofern zu warten, dass z.B. Neustarts nach Updates durchgeführt werden. Und dafür ist eine geänderte Rolle zwingend notwendig.

Gruß,
Arnd