Итак, у вас в компании появился специально обученный человек для мониторинга системы в ночное время. Поприветствуем дежурную смену. Теперь можно спокойно спать по ночам.
Однако, чтобы спокойно спать админу виртуализации, нужно две вещи:
- Дать права дежурной смене в vCenter
- Не давать слишком много прав дежурной смене в vCenter :)
Дежурный админ должен иметь возможность работать с виртуальными машинами, управлять ими. Ну, дополнительно, пусть имеет возможность мигрировать виртуалки на другой хост.
В vCenter для настройки прав доступа используется ролевая модель. Вы можете создать какую-то роль, назначить ей определенные привилегии. Потом добавить к объекту пользователя (локального или доменного, в зависимости от ваших настроек) и назначить ему роль. Допустимо наследование.
Administration → Access Control → Roles.
В vCenter 7 имеются примеры ролей, которые можно склонировать и на их основе создать свою роль. В нашем случае интересна роль Virtual machine user (sample).
Virtual machine user (sample)
- Управление виртуальными машинами.
- Global
- Cancel task
- Scheduled task
- Create tasks
- Modify task
- Remove task
- Run task
- Virtual machine
- Interaction
- Answer question
- Configure CD media
- Configure floppy media
- Connect devices
- Console interaction
- Install VMware Tools
- Power off
- Power on
- Reset
- Suspend
- Interaction
Для начала таких прав нам хватит, почти. Выбираем эту роль и клонируем: CLONE.
Указываем название, например, vCenter Duty. OK.
Редактируем созданную роль и добавляем права для миграции виртуальных машин:
- Resource → Assign virtual machine to resource pool
- Resource → Migrate powered off virtual machine
- Resource → Migrate powered on virtual machine
SAVE.
На требуемый кластер или датацентр добавляем Permission. Выбираем группу в AD, к примеру, прекрасную группу vcenter-duty (прошлый раз я создавал не менее прекрасную группу dezhurnaya-smena, тоже неплохое название) и присваиваем данной группе нашу роль vCenter Duty.
Осталось проверить, что у дежурной смены всё заработает.
И... не работает.
You do not hold the privilege to allocate space on the selected datastore.
Нужно отсыпать ещё прав.
- Datastore → Allocate space
- Datastore → Browse datastore
- vApp → Snapshot management
- Network → Assing network
После этого нужно назначить выбранным группам или пользователям созданную роль на:
- хосты
- стораджи
- сети
