С помощью VMWare и vCenter я привык создавать папки в соответствии с файловой системой, чтобы делегировать разрешения пользователям внутри организации. Например, я мог бы создать папку с именем QA, поместить все виртуальные машины QA в эту папку и разрешить группе QA Active Directory иметь только консольный доступ к этой виртуальной машине (не может его изменить). Сейчас я тестирую HyperV R2 с VMM 2008 R2 и не могу найти такой функциональности. Я нашел «Роли пользователей», но, похоже, это скорее решение на уровне хоста, а не на уровне виртуальной машины или папки. Существует ли такая функциональность в HyperV / VMM?
В Hyper-V вы обычно храните все файлы VHD вместе в центральной папке, к которой обычные пользователи не имеют доступа. Это другой способ защиты системы; полное отделение хостов от пользователей. Из-за этого пользователи, которые будут создавать и изменять виртуальные машины, должны иметь какой-то административный доступ к хостам, который либо охватывает всю машину (как это обычно бывает для ИТ-персонала), либо через роль в VMM (через SSP или Административное делегирование).
Пример конфигурации может заключаться в том, что у вас есть виртуальные машины QA для тестирования. Пользователи QA должны иметь возможность создавать новые виртуальные машины на основе простого базового сервера, проводить их тестирование и либо сохранять машину для более обширного тестирования, либо очищать ее.
Вы создаете роль для группы контроля качества, превращая ее в роль пользователя SSP. Затем создайте шаблон виртуальной машины, в основном подготовленную с помощью системы виртуальных машин, которую можно создать из существующей виртуальной машины, клонируя ее, создав шаблон из клона (процесс создания шаблона уничтожает исходную виртуальную машину). Затем вы назначаете шаблон группе контроля качества. Пользователи QA теперь могут создавать виртуальные машины на основе этого шаблона, новые виртуальные машины будут принадлежать QA, а пользователям QA будет разрешен полный доступ к ним (или ограниченный доступ, в зависимости от настроек в установленной вами роли SSP).
Вы также можете назначить владение существующими виртуальными машинами этой группе пользователей, которая затем может иметь доступ к виртуальной машине через SSP (опять же с учетом ограничений, налагаемых ролью пользователя, предоставляющей доступ этой группе).
В этом примере пользователям QA не нужны права на файлы VHD, права на хост-машинах и только ограниченные права в AD и VMM. Это не позволит им использовать консоль администратора VMM, но она предназначена для администраторов, а не для пользователей.
Кроме того, вы можете делегировать административный контроль над определенными машинами определенным пользователям. Если есть Узел тестирования QA, и они не будут запускать свои виртуальные машины в «основном» кластере; вы можете делегировать административное управление этим хостом (через группу хостов) пользователям QA. Это позволит пользователям группы QA использовать консоль администратора VMM и получить полный административный контроль над этой конкретной группой узлов. Такое же делегирование может применяться к библиотекам, позволяя использовать библиотеку контроля качества отдельно от «основной» библиотеки.
Я уверен, что это все ясно как грязь для того, кто не использовал это широко; не стесняйтесь задавать столько вопросов, сколько хотите, чтобы прояснить это.
(Полное раскрытие информации: я работаю на золотого партнера MS, мы создаем такие системы)