Hallo,
ich habe vor Kurzem einen Test-Cluster aus drei Maschinen mit Proxmox VE 6 installiert. Das Interface gefällt mit sehr gut. Das Storage Backend ist ein eigener CEPH-Cluster. Wir möchten Proxmox nutzen, um verschiedenen Arbeitsgruppen die weitgehende Selbtverwaltung von eigenen VMs zu ermöglichen, ohne das eine Gruppe dabei einer anderen Gruppen versehentlich eine VM oder eine Ressource der VM löschen kann. Bisher haben wir das mit XenServer gemacht, was aber bzlg Ceph noch nicht optimal ist.
In Proxmox habe ich hierzu testweise einen Resourcepool eingerichtet, VMs hinzugefügt und Permissions in Form einer Nutzergruppe erteilt. Ein Nutzer dieser Gruppe sieht nun nur die VMs in seinem Pool sowie neue VMs, die er selbst erstellen kann. Das ist genau das was ich möchte.
Da aber Proxmox leider noch keine erasure-coded Ceph-RBD-Pools kennt, als auch keine Ceph Namespaces, kann ich ceph-seitig keine Vorkehrungen treffen, das zwei Arbeitsgruppen sich mit Ihren VMs nicht ins Gehege kommen können. Ursprünglich hatte ich angedacht Namespaces oder eigene RBD-Pools je Arbeitsgruppe einrichten. Beides geht zur Zeit nicht, wenn ich wie geplant erasure-coded RBD-Pools haben will, weil ich das nur mit einer /etc/ceph/ceph.conf auf den Proxmox-Servern schaffe, die eine Konfiguration wie "rbd default data pool = rbd-ecpool" enthält, die dann eben für alle RBD-Pools gilt und den Datenpool eines RBD Pools als "rbd-ecpool" festlegt.
Daher würde ich gerne wissen ob verschiedene Ressource-Pools einen zuverlässigen Schutz erlauben damit eben ein Nutzer aus Resourcepool A nicht in der Lage ist auf Daten (die ja letztlich alle im gleichen Ceph-RBD-Pool liegen) eines Resourcepools B zuzugreifen, VMs oder z.B. VM Platten zu lesen oder gar zu löschen? Der Zugriff der Nutzer erfolgt dabei immer nur über die Web-Schnittstelle.
Vielen Dank im Voraus
Rainer
ich habe vor Kurzem einen Test-Cluster aus drei Maschinen mit Proxmox VE 6 installiert. Das Interface gefällt mit sehr gut. Das Storage Backend ist ein eigener CEPH-Cluster. Wir möchten Proxmox nutzen, um verschiedenen Arbeitsgruppen die weitgehende Selbtverwaltung von eigenen VMs zu ermöglichen, ohne das eine Gruppe dabei einer anderen Gruppen versehentlich eine VM oder eine Ressource der VM löschen kann. Bisher haben wir das mit XenServer gemacht, was aber bzlg Ceph noch nicht optimal ist.
In Proxmox habe ich hierzu testweise einen Resourcepool eingerichtet, VMs hinzugefügt und Permissions in Form einer Nutzergruppe erteilt. Ein Nutzer dieser Gruppe sieht nun nur die VMs in seinem Pool sowie neue VMs, die er selbst erstellen kann. Das ist genau das was ich möchte.
Da aber Proxmox leider noch keine erasure-coded Ceph-RBD-Pools kennt, als auch keine Ceph Namespaces, kann ich ceph-seitig keine Vorkehrungen treffen, das zwei Arbeitsgruppen sich mit Ihren VMs nicht ins Gehege kommen können. Ursprünglich hatte ich angedacht Namespaces oder eigene RBD-Pools je Arbeitsgruppe einrichten. Beides geht zur Zeit nicht, wenn ich wie geplant erasure-coded RBD-Pools haben will, weil ich das nur mit einer /etc/ceph/ceph.conf auf den Proxmox-Servern schaffe, die eine Konfiguration wie "rbd default data pool = rbd-ecpool" enthält, die dann eben für alle RBD-Pools gilt und den Datenpool eines RBD Pools als "rbd-ecpool" festlegt.
Daher würde ich gerne wissen ob verschiedene Ressource-Pools einen zuverlässigen Schutz erlauben damit eben ein Nutzer aus Resourcepool A nicht in der Lage ist auf Daten (die ja letztlich alle im gleichen Ceph-RBD-Pool liegen) eines Resourcepools B zuzugreifen, VMs oder z.B. VM Platten zu lesen oder gar zu löschen? Der Zugriff der Nutzer erfolgt dabei immer nur über die Web-Schnittstelle.
Vielen Dank im Voraus
Rainer