Hallo,
ich benötige auf meinen ESX Servern einen user nur mit Leserechten auf alle VM zum auslesen der Statistik- und Leistungsdaten. Kann mir jemand sagen welche Rechte er wo benötigt?
Hintergrund: wir setzen ein Monitoringtool ein, das auch die Leistungsdaten der VM auslesen kann. Haben das mit root getestet. Brauch jetzt einen user mit so viel Rechten wie nötig aber nicht mehr.
Gruß
Jens
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
ESX user für Monitoring tool
Ich hab da ein Verständnisproblem.
Das Monitoringtool greift direkt auf die ESX Server zu. Kann ich im VCenter einen "readonly" user erstellen, diesen im Monitoringtool eintragen und damit direkt! auf die ESX Server zugreifen?
Hab geraqde gesehen, das es auch Tools gibt, die auf das VCenter zugreifen und nicht direkt auf die ESX Server, was ich persönlich besser finde, gerade wenn die VMware Umgebung ein Cluster ist.
Gruß
Jens
Das Monitoringtool greift direkt auf die ESX Server zu. Kann ich im VCenter einen "readonly" user erstellen, diesen im Monitoringtool eintragen und damit direkt! auf die ESX Server zugreifen?
Hab geraqde gesehen, das es auch Tools gibt, die auf das VCenter zugreifen und nicht direkt auf die ESX Server, was ich persönlich besser finde, gerade wenn die VMware Umgebung ein Cluster ist.
Gruß
Jens
-
irix
- King of the Hill
- Beiträge: 13058
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Beides ist Moeglich. Wenn du das fuer den Host machen willst dann must du dich einmalig ueber den vSphere Client auf den Host verbinden und ueber Host->Permissions->Add(Rechts Klick) einen lokalen User anlegen und diesem dann "Read Only" zuweisen.
Wenn dein Tool aber auch mit dem vCenter sprechen kann dann ist dies vorzuziehen weil dann koennte der User dafuer auch "einfach" aus dem AD kommen.
Gruss
Joerg
Wenn dein Tool aber auch mit dem vCenter sprechen kann dann ist dies vorzuziehen weil dann koennte der User dafuer auch "einfach" aus dem AD kommen.
Gruss
Joerg
Hi,
wie Joerg schon gesagt hat kann man beides machen. Es liegt immer an deiner Umgebung.
Bin gerade dabei was ähnliches zu implementieren. Allerdings sind in dem vCenter auch Test ESX integriert, auf denen üble Tests laufen. Da wir nicht wollen das wir vom Überwachungstool mit Warnungen überschüttet werden, da wir die ja mit Absicht herbei führen. Haben wir uns dazu entschieden direkt die Produktivsystem im Tool anzugeben und eben nicht den vCenter.
Wie so oft es kommt darauf an.
Gruß Peter
wie Joerg schon gesagt hat kann man beides machen. Es liegt immer an deiner Umgebung.
Bin gerade dabei was ähnliches zu implementieren. Allerdings sind in dem vCenter auch Test ESX integriert, auf denen üble Tests laufen. Da wir nicht wollen das wir vom Überwachungstool mit Warnungen überschüttet werden, da wir die ja mit Absicht herbei führen. Haben wir uns dazu entschieden direkt die Produktivsystem im Tool anzugeben und eben nicht den vCenter.
Wie so oft es kommt darauf an.
Gruß Peter
Guten Morgen,
ok, ich hab mich direkt mittels viclient auf den ESX Server als root eingeloggt. Unter Benutzer/ Gruppen einen neuen user erstellt. Der soll jetzt nur Leserechte bekommen, damit das Monitoringtool durch diesen user direkt auf den ESX Server zugreifen kann. Jetzt gibt es ja zwei Möglichkeiten:
a.) die Gruppen die direkt auf dem ESX server liegen (Benutzer/Gruppen), wie z. B. wheel und
b.) die Rollen auf dem Vcenter ( Berechtigungen) wie z. B. kein Zugriff, nur Lesen und Administrator.
Muß ich den neuen user in a) oder b) eintragen? In a) habe ich keine Gruppe gefunden mit nur Leseberechtigungen und b) gilt nur für den Zugriff übers VCenter, oder?
Gruss
Jens
ok, ich hab mich direkt mittels viclient auf den ESX Server als root eingeloggt. Unter Benutzer/ Gruppen einen neuen user erstellt. Der soll jetzt nur Leserechte bekommen, damit das Monitoringtool durch diesen user direkt auf den ESX Server zugreifen kann. Jetzt gibt es ja zwei Möglichkeiten:
a.) die Gruppen die direkt auf dem ESX server liegen (Benutzer/Gruppen), wie z. B. wheel und
b.) die Rollen auf dem Vcenter ( Berechtigungen) wie z. B. kein Zugriff, nur Lesen und Administrator.
Muß ich den neuen user in a) oder b) eintragen? In a) habe ich keine Gruppe gefunden mit nur Leseberechtigungen und b) gilt nur für den Zugriff übers VCenter, oder?
Gruss
Jens
-
irix
- King of the Hill
- Beiträge: 13058
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Wenn du keine Gruppe anlegt dann erstellt er eine neue und verwendet dafuer den Benutzernamen. Wuesste keine Nachteil fuer diese Methode.
Da du uns nicht verraten hast was fuer ein Tool du da einsetzen moechtest kann man nicht sagen ob und was Ueberhaupt nicht geht oder aber Sinnvoll erscheint.
Das vCenter kommuniziert ueber seinen auf dem Host installierten Agent mittels Benutzer vpxa welcher alle Recht hat. Wenn eine Anwendung/Benutzer mit dem vCenter spricht werden hier die Rechte gefiltert basierend auf dem im vCenter benutzen Account und dessen Rolle.
Mit einem Benutzer aus dem vCenter kannst du dich nicht direkt auf dem Host anmelden, ausser du hast den Host mit deinem AD verknuepft.
Gruss
Joerg
Da du uns nicht verraten hast was fuer ein Tool du da einsetzen moechtest kann man nicht sagen ob und was Ueberhaupt nicht geht oder aber Sinnvoll erscheint.
Das vCenter kommuniziert ueber seinen auf dem Host installierten Agent mittels Benutzer vpxa welcher alle Recht hat. Wenn eine Anwendung/Benutzer mit dem vCenter spricht werden hier die Rechte gefiltert basierend auf dem im vCenter benutzen Account und dessen Rolle.
Mit einem Benutzer aus dem vCenter kannst du dich nicht direkt auf dem Host anmelden, ausser du hast den Host mit deinem AD verknuepft.
Gruss
Joerg
Mein monitoruser ist auf dem ESX server beim erstellen automatisch der Gruppe users zugeordnet worden. Damit sollte er nur readonly Rechte haben (hab ich in einer VMware community gelesen). Denke das ich die Zuweisung der Rolle als readonly im VC rausnehmen kann, da ja direkt auf den ESX Server zugegriffen wird.
Kann das erst morgen testen ob das funktioniert. Das Programm ist "Observer Infrastrucutre"
Erstmal dank.
Gruß
Jens
Kann das erst morgen testen ob das funktioniert. Das Programm ist "Observer Infrastrucutre"
Erstmal dank.
Gruß
Jens
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste