使用VMWare和vCenter,我习惯以文件系统的方式创build文件夹,将权限委托给组织内的用户。 例如,我可能会创build一个名为QA的文件夹,将所有QA虚拟机放在该文件夹中,并允许QA Active Directory组只能访问此虚拟机(无法更改)。 我现在用VMM 2008 R2来评估HyperV R2,我找不到任何这样的function。 我发现“用户angular色”,但似乎更多的是一个主机级别的解决scheme,而不是虚拟机或文件夹级别。 HyperV / VMM中是否还有这样的function?
在Hyper-V中,通常将所有VHD文件放在一个普通用户无法访问的中央文件夹中。 这是保护系统的另一种方式。 主机与用户完全分离。 因为要创build和修改虚拟机的用户必须具有对主机的某种pipe理访问权限,并且要么涵盖整个机器(如ITtypes员工常见的那样),要么通过VMM中的angular色(通过SSP或行政代表团)。
一个示例configuration可能是您有用于testing的QA VM。 QA用户需要能够基于简单的基本服务器创build新的虚拟机,进行testing,并保存机器以进行更广泛的testing或清理。
您为QA组创build一个angular色,使其成为SSP用户angular色。 然后创build一个虚拟机模板,基本上是一个系统化的虚拟机,可以通过从现有虚拟机创build一个虚拟机,克隆它从克隆中创build模板(模板化过程破坏源虚拟机)。 然后,您将模板分配给QA组。 QA用户现在可以基于此模板创build虚拟机,新的虚拟机将属于QA,并且QA用户将被允许完全访问它们(或受限访问,取决于您设置的SSP用户angular色中的设置)。
您还可以将现有VM的所有权分配给该用户组,然后可以通过SSP访问VM(再次受到用户angular色授予该组访问权限的限制)。
在这个例子中,QA用户不需要VHD文件的权限,主机上没有权限,只有AD和VMM的权限有限。 这不会允许他们使用VMMpipe理控制台,但这是为pipe理员而不是用户。
或者,您可以将某些机器的pipe理控制委派给特定的用户。 如果有质量保证testing主机,他们将不会在“主”群集上运行虚拟机; 您可以将该主机的pipe理控制(通过主机组)委派给QA用户。 这将允许QA组的用户使用VMMpipe理控制台并对该特定主机组进行完全的pipe理控制。 可以将相同types的委托应用于库,从而允许与“主”库分离的QA库。
我敢肯定,对于那些没有广泛使用的人来说,这一切都是清楚的; 随意提出尽可能多的问题,你想帮助清除这个问题。
(完全披露:我为MS金牌合作伙伴工作,我们build立这些系统)