如何实现不同用户间的资源隔离？

场景描述

某VMware虚拟化平台含5台虚拟机（VM1、VM2、VM3、VM4、VM5），混合云备份2.0-A控制台需要实现隔离备份，租户A只能浏览并备份VM1和VM2，租户B只能浏览并备份VM3、VM4、VM5。

前提条件

生产平台必须为vCenter，若为独立ESXi，其必须被vCenter接管。

vCenter下提前做好资源池隔离或虚拟机组隔离，隔离操作步骤：

1. 创建拥有备份恢复权限的角色，参考配置VMware用户角色和资源权限。
2. 创建资源池或虚拟机组，将VM1和VM2放入一个资源池或虚拟机组，将VM3、VM4、VM5放入一个资源池或虚拟机组。
3. 创建两个用户user1和user2，分别管理不同的资源池或虚拟机组。
   

   • 用户需要添加数据中心、主机所属集群、主机、存储、网络、资源池/虚拟机文件夹的权限。添加资源池/虚拟机文件夹的权限时需要勾选“传播到子对象”，以便自动发现新增的虚拟机。

   • 用户需要添加第1步的角色。

4. 管理员账号登录控制台，分别使用user1和user2添加VMware虚拟化平台（vCenter）。
5. 安全管理员登录控制台，分别将VMware虚拟化平台分配给租户A和租户B。
6. 租户A登录控制台，新建备份任务，浏览数据源仅能查看VM1和VM2，并可对其进行备份恢复。
7. 租户B登录控制台，新建备份任务，浏览数据源仅能查看VM3、VM4、VM5，并可对其进行备份恢复。
   

   • 如果使用资源池管理虚拟机，新建备份任务建议选择“主机和集群”浏览方式或“存储”浏览方式，如果使用虚拟机文件夹管理虚拟机，建议使用“虚拟机和模板”浏览方式或“存储”浏览方式。