Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

vCenter Rollen und Rechte Problem für Testumgebung

Alles zum Virtualisierungsmanagement und Servermanagement, was nicht direkt in ein festes Version-Schema paßt.

Moderatoren: irix, Dayworker

Antworten
Member
Beiträge: 9
Registriert: 06.02.2014, 14:55

vCenter Rollen und Rechte Problem für Testumgebung

Beitragvon C3P0 » 07.02.2014, 00:20

Servus zusammen,

ich hab ein Problem mit der vCenter-Rechtevergabe und komme nicht weiter.
Die Idee ist es eine virtuelle Testumgebung für Entwickler zu schaffen, in der sie eine "Spielwiese" mit Admin-Rechte haben, wo jeder zugreifen kann und VMs wo nur ein einzelner Entwickler Zugriff hat.

Meine Idee war es die Rechteverwaltung vom vCenter zu nutzen und Ressourcen-Pools für die oben genannten Einschränkungen.

Nun mein Problem, es sieht danach aus, dass die Rechteverwaltung für so etwas nicht vorgesehen ist oder ich übersehe etwas.

Bestimmte Rechte muss ich einfach auf Datencenter-Ebene setzte z.b virtuelle Maschinen erstellen bzw. sie einer Bestandsliste zuordnen. Weiterhin muss ich Rechte so setzen bzw. weitervererben, dass auf einmal ein Entwickler das komplette Inventory vom vCenter sieht.

Moment fällt mir dazu nichts mehr ein außer den Entwickler einen Ressourcen-Pool zu geben in dem sie eben nur die vMaschinen verwalten können.


Zur Info: Das vCenter verwaltet 3-Hosts und ist im AD

Vielleicht hatte jemand von euch schon mal so ein ähnliches Problem und kann mir helfen :)
Nach oben
Member
Beiträge: 243
Registriert: 27.03.2012, 15:03
Wohnort: Würzburg

Beitragvon Gad » 07.02.2014, 07:44

Ich hab das so:

Ein RessourcenPool mit nur dem Recht "Assign virtual Machine to resource pool."

Alle anderen Rechte werden über jeweils einen eigenen Datastore, Netzwerk und Ordner zugewiesen.

Die Entwickler sehen nur Ihr eigenen VMs (oder eine andere falls jemand ne VM in den falschen Pool legt, haben dann aber keine Rechte dafür)

und können in Ihrem Ordner / Datastore machen was sie wollen.
Nach oben
Member
Beiträge: 9
Registriert: 06.02.2014, 14:55

Beitragvon C3P0 » 07.02.2014, 10:29

Ah super Danke, jetzt bin ich von der Leitung runter! Ich hatte diese Ordner in der Weboberfläche vom vCenter einfach nicht gefunden, im vSphere-Client geht das doch um einiges einfacher.
Nach oben
Profi
Beiträge: 993
Registriert: 31.03.2008, 17:26
Wohnort: Einzugsbereich des FC Schalke 04
Kontaktdaten:
Kontaktdaten von kastlr

Beitragvon kastlr » 07.02.2014, 10:31

Hallo,

da unsere AD ziemlich groß und in unserem Team keiner AD Administrator ist haben wir das mit lokalen Gruppen umgesetzt.
Das funktioniert sowohl mit dem klassischem vCenter als auch mit der vCSA.

Da bei uns die Kollegen nicht völlig frei agieren dürfen, haben wir die Rechte etwas eingeschränkt.
Im Detail haben wir das wie folgt umgesetzt.

  • Anlegen einer lokalen Gruppe (vAPP_Deployment) mit den Domänen Accounts der Entwickler/Kollegen
  • Anlegen von weiteren lokalen Gruppen, um z. B. unterschiedliche Fachbereiche abbilden zu können (optional)
  • Anlegen einer Rolle vAPP_Deployment_Datastore mit dem Privileg Datastore, Allocate Storage
  • Anlegen einer Rolle vAPP_Deployment_Host mit den Privilegien
    Network, Assign network
    vApp, Clone     und Import
    Virtual Machine, Configuration, Add new disk
  • Anlegen einer Rolle vAPP_Deployment_Network mit dem Privileg Network, Assign Network
Diese Rollen verwenden wir in unserer Umgebung ohne Vererbung.
Über die Rolle vAPP_Deployment_Datastore haben wir den Entwicklern (lokale Gruppe vAPP_Deployment) die notwendigen Privilegien an einigen ausgewählten Datastore-Clustern zugewiesen.
Gleiche Vorgehensweise triift für die Rolle vAPP_Deployment_Host zu, darüber haben wir sowohl den Zugriff auf den Cluster als auch die einzelnen Hosts gewährt.

Für die Netzwerkkommunikation haben wir alle erforderlichen vDS Switche in einen Ordner eingefügt und den Kollegen über die Rolle vAPP_Deployment_Network die Berechtigungen zugewiesen.

Anstelle von Resource Pools verwenden wir Ordner um die Struktur abzubilden.
Die VM's werden dann in den Ordnern gruppiert und die optionalen Usergruppen erhalten darauf Zugriff als Power User.

VMware hat das mit den Rechten nicht wirklich sinnvoll gelöst und die Fehlermeldungen helfen einem auch nicht wirklich weiter.
Daher empfehle ich in so einem Fall, das verbose Logging für den Client zu aktivieren, da die Logfiles oft die genaue Beschreibung des fehlenden Privileges enthalten.

Verbose logging for VMware Infrastructure Client and vSphere Client

Viel Spaß beim Spielen mit den Rechten.

Gruß,
Ralf
Nach oben
Member
Beiträge: 9
Registriert: 06.02.2014, 14:55

Beitragvon C3P0 » 07.02.2014, 11:00

Hi,

Danke für den Einblick in deine Rechtestruktur, dass hilft mir beim genauen Planen bei unsere Struktur schon weiter. Das mit den Rechten hat VMware nun wirklich nicht elegant gelöst aber es funktioniert.

[Update]

So wollte mich nochmal melden, wie ich es jetzt gelöst habe. Wie oben schon erwähnt kann man die Rechte super mit Gruppen und den Ordner für Netzwerk, Datenspeicher und VMs abdecken, wenn man diese Funktion gefunden hat.

Bei mir sieht es aktuelle so:

1 Datastore Ordner
1 Netzwerk Ordner
1 VM Ordner mit Unterordner für die verschiedene Entwicklungs-Spielwiesen

Dazu wurden auch entsprechenden Rollen angelegt:

VM5_APT1_Datastore
VM5_APT1_Netzwerk
VM5_APT1_Spielwiese
VM5_APT1_VM (Personalisierter Testpool für jeden Entwickler)

Wenn man sich erst einmal in der VMware Rechtestruktur eingearbeitet hat, geht es deutlich leichter von der Hand.
Nach oben
Antworten

Zurück zu „vCenter / VMware VirtualCenter“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste