emeriks
Goto Top

VMware ESX - Start einer VM verhindern

Hi,
kennt jemand eine elegante Methode, wie man im VMware ESX bzw. vSphere den Start einer VM verhindern kann?
Auch Administratoren sollen erst einmal daran gehindert werden, eine VM aus Versehen zu starten.

Ich weiß, dass sich ein Administrator sowieso immer wieder die Berechtigung holen oder eine Einstellung ändern kann, um die VM trotzdem zu starten. Darum geht es nicht.

Wir haben hier VM, welche nur zum bequemen Erstellen von VMDK genutzt werden sollen. Cluster-Laufwerke u.ä.
Kommandozeile am ESX oder PowerShell CLI geht dafür auch, aber auch darum geht es nicht.

Mir würde reichen, wenn man z.B. durch eine bewusste Fehlkonfiguration oder irgendeine Option auch bei einem Administrator zunächst eine VM nicht starten kann. Fehlermeldung kommt o.ä.

Mit Berechtigungen habe ich es schon versucht. Aber es scheint so zu sein, wenn jemand für den ESX, den Cluster oder das ganze Datacenter (so genau habe ich das noch nicht überprüft) Admin ist, dass er dann immer die VM einschalten kann.

Hat jemand ne Idee?

E.

Content-Key: 344670

Url: https://administrator.de/contentid/344670

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 16:40:41 Uhr
Goto Top
Hi,

wie wäre es mit "Nicht Starten - nur als Vorlage" in den Namen - wer es dann noch startet gehört gehängt.

VG
Mitglied: Penny.Cilin
Penny.Cilin 27.07.2017 um 16:55:03 Uhr
Goto Top
Meines Wissens geht das nicht.

Was man tun kann, ist eine eigene Gruppe/Ordner erstellen und benennen, wo VMs/Templates aufbewahrt werden, welche NICHT gestartet werden sollen/dürfen.
Mitglied: emeriks
emeriks 27.07.2017 um 17:26:45 Uhr
Goto Top
wie wäre es mit "Nicht Starten - nur als Vorlage" in den Namen - wer es dann noch startet gehört gehängt.
Na gut, soweit war ich schon. face-wink
Mitglied: emeriks
emeriks 27.07.2017 aktualisiert um 17:28:01 Uhr
Goto Top
Joa, Konvertierung in Template wäre eine Option ....
Gar nicht mal so dumm.
Mitglied: Vision2015
Vision2015 27.07.2017 um 17:30:20 Uhr
Goto Top
moin...
du meinst nicht etwa so

Frank
Mitglied: StefanKittel
StefanKittel 27.07.2017 um 17:53:18 Uhr
Goto Top
Hallo,

Du kannst doch einfach ein HDD-Datei umbennen.
Keine Festplatte, kein booten

Stefan
Mitglied: emeriks
emeriks 27.07.2017 um 17:59:13 Uhr
Goto Top
du meinst nicht etwa so
Äh, sorry. Wo ist da der Zusammenhang mit meiner Frage? Ist der Link falsch oder übersehe ich da was?
Mitglied: emeriks
emeriks 27.07.2017 um 18:00:23 Uhr
Goto Top
Du kannst doch einfach ein HDD-Datei umbennen.
Keine Festplatte, kein booten
Jaein. Daran dachte ich auch schon. Aber sobald man dann das nächste Mal in der Konfiguration ist und diese ändert (neue VMDK erstellt), dann nimmt er das nicht ab.
Mitglied: Vision2015
Vision2015 27.07.2017 um 18:19:55 Uhr
Goto Top
Zitat von @emeriks:

du meinst nicht etwa so
Äh, sorry. Wo ist da der Zusammenhang mit meiner Frage? Ist der Link falsch oder übersehe ich da was?

UPS ...nicht ganz, Falscher link.
ich such später den richtigen raus...

Frank
Mitglied: el-capitano86
el-capitano86 27.07.2017 um 19:48:11 Uhr
Goto Top
Moin,

und wenn du die VM einfach aus der Bestandsliste entfernst und bei Bedarf die vmx-Datei erneut registrierst?
So kann die VM auf keinen Fall aus Versehen gestartet werden.

Gruß
Tim
Mitglied: manuel-r
manuel-r 27.07.2017 um 20:36:01 Uhr
Goto Top
'n Abend

Bei einer absichtlichen Falsch-Konfiguration wie bspw. Festplatte abhängen o.ä. sehe ich das Problem, dass wahrscheinlich oft vergessen wird die Konfiguration wieder "kaputt" zu machen nachdem die VM benutzt wurde. Beim Entfernen von der Bestandsliste wird es ähnlich sein.

Zumindest theoretisch sollte es machbar sein die produktiven VMs in einen Ressourcenpool "produktiv" und die anderen in einen Pool "testen" zu stecken. Dann bekommt jeder Admin zwei Benutzer einer davon hat nur Berechtigungen auf den Ressourcenpool "produktiv"; der andere Benutzer nur auf "testen". Damit muss ein Admin sich für jeden Pool getrennt am ESX/vCenter anmelden um mit den VMs im jeweiligen Pool arbeiten zu können. Müsste man mal testen...

Manuel
Mitglied: emeriks
emeriks 27.07.2017 um 20:52:15 Uhr
Goto Top
und wenn du die VM einfach aus der Bestandsliste entfernst und bei Bedarf die vmx-Datei erneut registrierst?
So kann die VM auf keinen Fall aus Versehen gestartet werden.
Auch ne Option. Allerdings besteht hier die Gefahr, dass die VM (die Dateien) mal gelöscht werden, weil jemand gerade nichts damit anzufangen weiß.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 20:54:00 Uhr
Goto Top
Ich fasse zusammen: Du willst die Administration eures ESX sowas von DAUproof machen, dass es einfacher wäre, alle Admins rauszuwerfen?
Mitglied: emeriks
emeriks 27.07.2017 um 21:01:48 Uhr
Goto Top
Ich fasse zusammen: Du willst die Administration eures ESX sowas von DAUproof machen, dass es einfacher wäre, alle Admins rauszuwerfen?
Inklusive mich selbst, ja. face-wink

Ich habe die VM in einen Ordnern Namens "nicht einschalten!" abgelegt. Das sollte eigentlich reichen. Jedoch sieht man diesen Ordner nicht in allen Ansichten. Und wenn mal ein Admin in der PowerCLI sowas eingibt wie
(Befehle erfunden, ich müsste erst nachsehen)
Get-VM | Start-VM
dann startet er einfach mal so alle nicht eigeschalteten VM's.
Mitglied: Dani
Dani 27.07.2017 um 21:51:28 Uhr
Goto Top
Moin,
ich würd mal die Jungs von VMWare Forum bzw. Support konsultieren. Das ist schon recht speziell was du da vorhast.
Wieder mal ein Beweis, dass sowas eigentlich organisatorisch zu lösen ist, aber keine Sau beachtet.


Gruß,
Dani
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.07.2017 um 23:00:10 Uhr
Goto Top
Na dann, kehr mal aus.

Ansonsten benenn die VM DIREKT so. Ist zwar nicht schön, aber zumindest sicher.
Mitglied: emeriks
emeriks 28.07.2017 um 08:22:22 Uhr
Goto Top
Ansonsten benenn die VM DIREKT so. Ist zwar nicht schön, aber zumindest sicher.
Das ist ja der Punkt. Geht nicht. Die VM wird benutzt, um die VMDK in einem bestimmt benannten Verzeichnis mit diesem Namen zu erstellen. Wenn ich die VM jetzt "Nicht Starten irgenwas" nenne, dann heißen die über diese VM erstellten VMDk ebenso.
Mitglied: UnbekannterNR1
UnbekannterNR1 28.07.2017 um 08:58:57 Uhr
Goto Top
Nach den genannten Möglichkeiten bleibt ja fast nur noch die Struktur Komplett zu ändern.
1. Keine Person hat voll Adminrechte auf Alles. Nur ein Service Account dessen Passwort im Safe liegt.
2. Je nach größe des Teams. Ausreichend Gruppen anlegen und gut benennen.
3. Diesen Gruppen entsprechende Rechte zuweisen. Und bei der Entsprechenden VM/Ordner halt die Rechte auslassen.

OK ist gerade sehr Kurz ausgefallen die Beschreibung. Aber generell sollte ja gelten jeder hat nur die Rechte die er wirklich braucht, und so wenig wie möglich.
Mitglied: emeriks
emeriks 28.07.2017 um 10:21:43 Uhr
Goto Top
Aber generell sollte ja gelten jeder hat nur die Rechte die er wirklich braucht, und so wenig wie möglich.
Das ist bei uns schon so gegeben. Und es betrifft demnach auch nur jene, die im Datacenter, ESX oder Cluster Volladmin sind.
Extra Konten für diese Admin-Funktionen wäre etwas überbordend und bekomme ich in diesem Zusammenhang wohl nicht durch.
Mitglied: ukulele-7
Lösung ukulele-7 31.07.2017 um 12:24:09 Uhr
Goto Top
Du könntest im BIOS der VM ein Passwort on boot setzen.
Mitglied: emeriks
emeriks 31.07.2017 um 13:07:09 Uhr
Goto Top
Du könntest im BIOS der VM ein Passwort on boot setzen.
Der war gut!
Zwar nicht schlussendlich die Lösung, aber es hat mich darüber nachdenken lassen, wie ich die VM dazu bekomme, sich selbst wieder auszuschalten, wenn sie bei der Passworteingabe hängen bleibt.
Also man vergibt Passwort. VM bootet und verlangt Passwort. Wenn man jetzt nichts eingibt dann bleibt sie in diesem Zustand am Laufen. Hm ...

Lösung: Alarm mit Aktion!

Neuen Alarm definieren
- Allgemein: "Überwachen von bestimmten Ereignissen, ...., z.B. das Einsachalten der VM"
- Auslöser: "VM wird gestartet", Status "Zurücksetzen"
- Aktionen: "Virtuelle Maschine ausschalten"

Jetzt wird die VM nach dem Einschalten postwendend wieder ausgeschaltet.