Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste: creevm

Panneau latéral

ACCUEIL

Support de cours

Bloc de compétences

Archives

SNT

* accès limité

reseau:vmware:creevm

Table des matières

Donner les droits de création de VMs à un groupe d'utilisateurs

Documentation VMware : Privilèges requis pour les tâches courantes (Créer une machine virtuelle) http://pubs.vmware.com/vsphere-60/index.jsp#com.vmware.vsphere.security.doc/GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB.html#GUID-4D0F8E63-2961-4B71-B365-BBFA24673FDB

Présentation

  • Permettre à un groupe d'utilisateurs de pouvoir créer et gérer leurs VMs
  • Sans disposer de droits supplémentaires sur le serveur

Principes

  • Créer un dossier spécifique dans le centre de données ;
  • Créer un groupe de ressources spécifique sur un hôte physique ;
  • ce groupe de ressources précise éventuellement les limitations des ressources à utiliser (Ressources CPU et Mémoire RAM) ;
  • les utilisateurs sont administrateur de ce groupe de ressources ;
  • il est nécessaire de permettre :
    • de pouvoir créer une VM dans le centre de données ;
    • d'allouer de l'espace disque dans la banque de données ;
    • de parcourir la banque de données pour associer un fichier iso au lecteur de CD-ROM de la VM
    • de pouvoir assigner un réseau à la VM (parmi les VLANs disponibles)
  • Pour cela et pour faire simple, un seul rôle appelé Créateur VMs est créé et regroupe ces privilèges particuliers.

Résumé des privilèges requis :

PrivilègeObjet concernéRôle attribué
Machine virtuelle.Inventaire .CréerPool de ressources concernéAdministrateur
Dossier spécifiqueCréateur VMs
Machine virtuelle.Configuration.Ajouter un nouveau disque (en cas de création d'un nouveau disque virtuel)Pool de ressources concernéAdministrateur
Machine virtuelle.Configuration.Ajouter un disque existant (en cas d'utilisation d'un disque virtuel existant)Pool de ressources concernéAdministrateur
Ressource.Attribuer une machine virtuelle au pool de ressourcesPool de ressources concernéAdministrateur
Banque de données.Allouer de l'espaceDossier spécifiqueCréateur VMs
Banque de données.Parcourir banque de donnéesDossier spécifiqueCréateur VMs
Réseau.Assigner un réseauRéseau concernéCréateur VMs

Mise en oeuvre

La mise en oeuvre de cette gestion se fera, à titre d'exemple, avec les informations suivantes :

  • Compte utilisateur utilisé dans le domaine BTSSIO.LOCAL : icn2015
  • Ce compte appartient au groupe utilisateur : G_Valadon_2015_ICN
  • Création d'un dossier ICN dans le centre de données
  • Création du rôle Createur VMs

Ouverture de session de l'utilisateur

  • compte icn2015 du domaine BTSSIO.LOCAL

  • n'ayant aucune autorisation, ce compte ne peut accéder aux ressources

Création du dossier ICN

Au niveau des hôtes et Clusters, création du dossier ICN dans le centre de données existant Datacenter :

Au niveau VM et modèles on visualise le dossier ICN créé :

Création d'un rôle

Pour faire simple, un seul rôle supplémentaire appelé Créateur VMs est créé avec les privilèges nécessaires. Ce rôle sera utilisé sur plusieurs objets, là où cela est requis.

Privilèges associés à ce rôle

  • Banque de données.Allouer de l'espace
  • Banque de données.Parcourir banque de données
  • Machine virtuelle.Inventaire .Créer
  • Réseau.Assigner un réseau

Création du rôle et définition des privilèges

Donner l'autorisation d'écrire et de parcourir la banque de données en utilisant le rôle Créateur VMs

Cette autorisation est uniquement définie pour la banque de données de l'un des ESX qui est appelée datastore1 dans Vsphère.

Donner l'autorisation d'assigner un réseau précis aux VMs créées

Cette autorisation est uniquement définie pour le réseau VM Network. Il est bien sûr possible, comme pour les autorisations précédentes, de le faire à un niveau supérieur pour permettre l'utilisation de tous les réseaux (VLANs)

Affecter les bonnes autorisations pour limiter ce que peut faire l'utilisateur

Attention : pour gérer ce que peut ou ne peut pas voir et faire l'utilisateur, il faudra cocher ou pas l'option Propager vers les enfants, c'est à dire limiter ou pas le rôle à l'objet.

Attribuer le rôle lecture seule uniquement sur l'objet Vsphère

Attribuer le rôle lecture seule uniquement sur le centre de données

Attribuer le rôle Créateur VMs sur le dossier ICN

Attribuer le rôle lecture seule uniquement sur l'hôte physique

Attribuer le rôle Administrateur sur le pool de ressources ICN

Création d'une VM par l'utilisateur icn2015

En rafraîchissant l'affichage, ou en se reconnectant, l'utilisateur accède au pool de ressources et peut créer sa VM.

Lors de la création, développez l'arborescence pour choisir le dossier ICN :

reseau/vmware/creevm.txt · Dernière modification: 2016/05/29 22:45 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki