21
VMware ESX - Start einer VM verhindern
Hi,
kennt jemand eine elegante Methode, wie man im VMware ESX bzw. vSphere den Start einer VM verhindern kann?
Auch Administratoren sollen erst einmal daran gehindert werden, eine VM aus Versehen zu starten.
Ich weiß, dass sich ein Administrator sowieso immer wieder die Berechtigung holen oder eine Einstellung ändern kann, um die VM trotzdem zu starten. Darum geht es nicht.
Wir haben hier VM, welche nur zum bequemen Erstellen von VMDK genutzt werden sollen. Cluster-Laufwerke u.ä.
Kommandozeile am ESX oder PowerShell CLI geht dafür auch, aber auch darum geht es nicht.
Mir würde reichen, wenn man z.B. durch eine bewusste Fehlkonfiguration oder irgendeine Option auch bei einem Administrator zunächst eine VM nicht starten kann. Fehlermeldung kommt o.ä.
Mit Berechtigungen habe ich es schon versucht. Aber es scheint so zu sein, wenn jemand für den ESX, den Cluster oder das ganze Datacenter (so genau habe ich das noch nicht überprüft) Admin ist, dass er dann immer die VM einschalten kann.
Hat jemand ne Idee?
E.
kennt jemand eine elegante Methode, wie man im VMware ESX bzw. vSphere den Start einer VM verhindern kann?
Auch Administratoren sollen erst einmal daran gehindert werden, eine VM aus Versehen zu starten.
Ich weiß, dass sich ein Administrator sowieso immer wieder die Berechtigung holen oder eine Einstellung ändern kann, um die VM trotzdem zu starten. Darum geht es nicht.
Wir haben hier VM, welche nur zum bequemen Erstellen von VMDK genutzt werden sollen. Cluster-Laufwerke u.ä.
Kommandozeile am ESX oder PowerShell CLI geht dafür auch, aber auch darum geht es nicht.
Mir würde reichen, wenn man z.B. durch eine bewusste Fehlkonfiguration oder irgendeine Option auch bei einem Administrator zunächst eine VM nicht starten kann. Fehlermeldung kommt o.ä.
Mit Berechtigungen habe ich es schon versucht. Aber es scheint so zu sein, wenn jemand für den ESX, den Cluster oder das ganze Datacenter (so genau habe ich das noch nicht überprüft) Admin ist, dass er dann immer die VM einschalten kann.
Hat jemand ne Idee?
E.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344670
Url: https://administrator.de/contentid/344670
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
21 Kommentare
Neuester Kommentar
Hi,
wie wäre es mit "Nicht Starten - nur als Vorlage" in den Namen - wer es dann noch startet gehört gehängt.
VG
wie wäre es mit "Nicht Starten - nur als Vorlage" in den Namen - wer es dann noch startet gehört gehängt.
VG
Meines Wissens geht das nicht.
Was man tun kann, ist eine eigene Gruppe/Ordner erstellen und benennen, wo VMs/Templates aufbewahrt werden, welche NICHT gestartet werden sollen/dürfen.
Was man tun kann, ist eine eigene Gruppe/Ordner erstellen und benennen, wo VMs/Templates aufbewahrt werden, welche NICHT gestartet werden sollen/dürfen.
wie wäre es mit "Nicht Starten - nur als Vorlage" in den Namen - wer es dann noch startet gehört gehängt.
Na gut, soweit war ich schon. 
Joa, Konvertierung in Template wäre eine Option ....
Gar nicht mal so dumm.
Gar nicht mal so dumm.
Hallo,
Du kannst doch einfach ein HDD-Datei umbennen.
Keine Festplatte, kein booten
Stefan
Du kannst doch einfach ein HDD-Datei umbennen.
Keine Festplatte, kein booten
Stefan
du meinst nicht etwa so
Äh, sorry. Wo ist da der Zusammenhang mit meiner Frage? Ist der Link falsch oder übersehe ich da was?Du kannst doch einfach ein HDD-Datei umbennen.
Keine Festplatte, kein booten
Jaein. Daran dachte ich auch schon. Aber sobald man dann das nächste Mal in der Konfiguration ist und diese ändert (neue VMDK erstellt), dann nimmt er das nicht ab.Keine Festplatte, kein booten
Moin,
und wenn du die VM einfach aus der Bestandsliste entfernst und bei Bedarf die vmx-Datei erneut registrierst?
So kann die VM auf keinen Fall aus Versehen gestartet werden.
Gruß
Tim
und wenn du die VM einfach aus der Bestandsliste entfernst und bei Bedarf die vmx-Datei erneut registrierst?
So kann die VM auf keinen Fall aus Versehen gestartet werden.
Gruß
Tim
'n Abend
Bei einer absichtlichen Falsch-Konfiguration wie bspw. Festplatte abhängen o.ä. sehe ich das Problem, dass wahrscheinlich oft vergessen wird die Konfiguration wieder "kaputt" zu machen nachdem die VM benutzt wurde. Beim Entfernen von der Bestandsliste wird es ähnlich sein.
Zumindest theoretisch sollte es machbar sein die produktiven VMs in einen Ressourcenpool "produktiv" und die anderen in einen Pool "testen" zu stecken. Dann bekommt jeder Admin zwei Benutzer einer davon hat nur Berechtigungen auf den Ressourcenpool "produktiv"; der andere Benutzer nur auf "testen". Damit muss ein Admin sich für jeden Pool getrennt am ESX/vCenter anmelden um mit den VMs im jeweiligen Pool arbeiten zu können. Müsste man mal testen...
Manuel
Bei einer absichtlichen Falsch-Konfiguration wie bspw. Festplatte abhängen o.ä. sehe ich das Problem, dass wahrscheinlich oft vergessen wird die Konfiguration wieder "kaputt" zu machen nachdem die VM benutzt wurde. Beim Entfernen von der Bestandsliste wird es ähnlich sein.
Zumindest theoretisch sollte es machbar sein die produktiven VMs in einen Ressourcenpool "produktiv" und die anderen in einen Pool "testen" zu stecken. Dann bekommt jeder Admin zwei Benutzer einer davon hat nur Berechtigungen auf den Ressourcenpool "produktiv"; der andere Benutzer nur auf "testen". Damit muss ein Admin sich für jeden Pool getrennt am ESX/vCenter anmelden um mit den VMs im jeweiligen Pool arbeiten zu können. Müsste man mal testen...
Manuel
und wenn du die VM einfach aus der Bestandsliste entfernst und bei Bedarf die vmx-Datei erneut registrierst?
So kann die VM auf keinen Fall aus Versehen gestartet werden.
Auch ne Option. Allerdings besteht hier die Gefahr, dass die VM (die Dateien) mal gelöscht werden, weil jemand gerade nichts damit anzufangen weiß.So kann die VM auf keinen Fall aus Versehen gestartet werden.
Ich fasse zusammen: Du willst die Administration eures ESX sowas von DAUproof machen, dass es einfacher wäre, alle Admins rauszuwerfen?
Ich fasse zusammen: Du willst die Administration eures ESX sowas von DAUproof machen, dass es einfacher wäre, alle Admins rauszuwerfen?
Inklusive mich selbst, ja. Ich habe die VM in einen Ordnern Namens "nicht einschalten!" abgelegt. Das sollte eigentlich reichen. Jedoch sieht man diesen Ordner nicht in allen Ansichten. Und wenn mal ein Admin in der PowerCLI sowas eingibt wie
(Befehle erfunden, ich müsste erst nachsehen)
Get-VM | Start-VM
Moin,
ich würd mal die Jungs von VMWare Forum bzw. Support konsultieren. Das ist schon recht speziell was du da vorhast.
Wieder mal ein Beweis, dass sowas eigentlich organisatorisch zu lösen ist, aber keine Sau beachtet.
Gruß,
Dani
ich würd mal die Jungs von VMWare Forum bzw. Support konsultieren. Das ist schon recht speziell was du da vorhast.
Wieder mal ein Beweis, dass sowas eigentlich organisatorisch zu lösen ist, aber keine Sau beachtet.
Gruß,
Dani
Na dann, kehr mal aus.
Ansonsten benenn die VM DIREKT so. Ist zwar nicht schön, aber zumindest sicher.
Ansonsten benenn die VM DIREKT so. Ist zwar nicht schön, aber zumindest sicher.
Ansonsten benenn die VM DIREKT so. Ist zwar nicht schön, aber zumindest sicher.
Das ist ja der Punkt. Geht nicht. Die VM wird benutzt, um die VMDK in einem bestimmt benannten Verzeichnis mit diesem Namen zu erstellen. Wenn ich die VM jetzt "Nicht Starten irgenwas" nenne, dann heißen die über diese VM erstellten VMDk ebenso.
Nach den genannten Möglichkeiten bleibt ja fast nur noch die Struktur Komplett zu ändern.
1. Keine Person hat voll Adminrechte auf Alles. Nur ein Service Account dessen Passwort im Safe liegt.
2. Je nach größe des Teams. Ausreichend Gruppen anlegen und gut benennen.
3. Diesen Gruppen entsprechende Rechte zuweisen. Und bei der Entsprechenden VM/Ordner halt die Rechte auslassen.
OK ist gerade sehr Kurz ausgefallen die Beschreibung. Aber generell sollte ja gelten jeder hat nur die Rechte die er wirklich braucht, und so wenig wie möglich.
1. Keine Person hat voll Adminrechte auf Alles. Nur ein Service Account dessen Passwort im Safe liegt.
2. Je nach größe des Teams. Ausreichend Gruppen anlegen und gut benennen.
3. Diesen Gruppen entsprechende Rechte zuweisen. Und bei der Entsprechenden VM/Ordner halt die Rechte auslassen.
OK ist gerade sehr Kurz ausgefallen die Beschreibung. Aber generell sollte ja gelten jeder hat nur die Rechte die er wirklich braucht, und so wenig wie möglich.
Aber generell sollte ja gelten jeder hat nur die Rechte die er wirklich braucht, und so wenig wie möglich.
Das ist bei uns schon so gegeben. Und es betrifft demnach auch nur jene, die im Datacenter, ESX oder Cluster Volladmin sind.Extra Konten für diese Admin-Funktionen wäre etwas überbordend und bekomme ich in diesem Zusammenhang wohl nicht durch.
Du könntest im BIOS der VM ein Passwort on boot setzen.
1Du könntest im BIOS der VM ein Passwort on boot setzen.
Der war gut!Zwar nicht schlussendlich die Lösung, aber es hat mich darüber nachdenken lassen, wie ich die VM dazu bekomme, sich selbst wieder auszuschalten, wenn sie bei der Passworteingabe hängen bleibt.
Also man vergibt Passwort. VM bootet und verlangt Passwort. Wenn man jetzt nichts eingibt dann bleibt sie in diesem Zustand am Laufen. Hm ...
Lösung: Alarm mit Aktion!
Neuen Alarm definieren
- Allgemein: "Überwachen von bestimmten Ereignissen, ...., z.B. das Einsachalten der VM"
- Auslöser: "VM wird gestartet", Status "Zurücksetzen"
- Aktionen: "Virtuelle Maschine ausschalten"
Jetzt wird die VM nach dem Einschalten postwendend wieder ausgeschaltet.
1
