Requisitos do vSphere

10

Os clusters do Anthos no VMware (GKE On-Prem) são executados no data center em um ambiente vSphere. Neste documento, descrevemos os requisitos do seu ambiente do vSphere.

Compatibilidade de versões

Os requisitos do vSphere variam de acordo com a versão dos clusters do Anthos no VMware que você está usando. Para mais informações, consulte a matriz de compatibilidade de versões para versões totalmente compatíveis e versões anteriores.

Versões compatíveis

O vSphere é o software de virtualização de servidores da VMware. O vSphere inclui o ESXi e o vCenter Server.

Os clusters do Anthos no VMware suportam estas versões do ESXi e do vCenter Server:

  • 6.7 Atualizar a versão 3 e versões mais recentes da versão 6.7
  • 7.0 Atualizar a versão 1 e versões mais recentes da versão 7.0

Requisitos de licença

Você precisa das seguintes licenças do vSphere:

  • Uma licença do vSphere Enterprise Plus ou do vSphere padrão.

    Recomendamos a licença Enterprise Plus, porque ela permite ativar o Programador de recursos distribuídos (DRS, na sigla em inglês).

    Além dessa licença, você precisa comprar uma assinatura de suporte de pelo menos um ano.

  • Uma licença do vCenter Server Standard. Além dessa licença, você precisa comprar uma assinatura de suporte de pelo menos um ano.

Requisitos de hardware

Os clusters do Anthos no VMware são executados em um conjunto de hosts físicos que executam o Hypervisor ESXi (em inglês) da VMware. Para saber mais sobre os requisitos de hardware do ESXi, consulte Requisitos de hardware do ESXi (em inglês).

Por padrão, os clusters do Anthos no VMware criam automaticamente as regras de antiafinidade do programador de recursos distribuído (DRS, na sigla em inglês) para o cluster de administrador e os nós do cluster de usuário, fazendo com que eles sejam distribuídos em pelo menos três hosts físicos no datacenter.

Esse recurso exige que o ambiente vSphere atenda às seguintes condições:

  • O VMware DRS está ativado. O VMware DRS requer a edição de licença do vSphere Enterprise Plus.

  • Sua conta de usuário do vSphere tem o privilégio Host.Inventory.Modify cluster.

  • Há pelo menos três hosts físicos disponíveis.

Lembre-se de que, se você tiver uma licença Standard do vSphere, não será possível ativar o VMware DRS.

Se o DRS não estiver ativado ou se você não tiver pelo menos três hosts em que as VMs do vSphere possam ser programadas, defina antiAffinityGroups.enabled como false nos arquivos de configurações do cluster de administração e do cluster de usuário.

Privilégios da conta de usuário do vCenter

Para configurar um ambiente do vSphere, um administrador da organização pode optar por usar uma conta de usuário do vCenter que tenha o papel de administrador do vCenter Server. Este papel fornece acesso total a todos os objetos do vSphere.

Após a configuração do ambiente do vSphere, um administrador de cluster pode criar clusters de administrador e de usuário. O administrador do cluster não precisa de todos os privilégios fornecidos pelo papel de Administrador do vCenter Server.

Quando um administrador ou desenvolvedor de cluster cria um cluster, ele fornece uma conta de usuário do vCenter em um arquivo de configuração de credenciais. Recomendamos que a conta de usuário do vCenter listada em um arquivo de configuração de credenciais seja atribuída a um ou mais papéis personalizados que tenham os privilégios mínimos exigidos para a criação e o gerenciamento de clusters.

O administrador da organização pode seguir duas abordagens diferentes:

  • Criar vários papéis com diferentes graus de privilégio. Em seguida, criar permissões que atribuam esses papéis limitados a um usuário ou grupo em objetos individuais do vSphere.

  • Criar um papel que tenha todos os privilégios necessários. Em seguida, criar uma permissão global que atribua esse papel a um usuário ou grupo específico em todos os objetos nas hierarquias do vSphere.

Recomendamos a primeira abordagem, porque ela limita o acesso e aumenta a segurança do ambiente do vCenter Server. Para mais informações, consulte Como usar papéis para atribuir privilégios e Práticas recomendadas para papéis e permissões

Para informações sobre como usar a segunda abordagem, consulte Criar uma permissão global.

A tabela a seguir mostra quatro papéis personalizados que um administrador da organização pode criar. Em seguida, o administrador pode usar os papéis personalizados para atribuir permissões em objetos específicos do vSphere:

Função personalizadaPrivilégiosObjetosPropagar para
objetos filhos?
ClusterEditor System.Read
System.View
System.Anonymous
Host.Inventory.Modificar cluster
cluster Sim
SessionValidator System.Read
System.View
System.anonymous
Sessão Sessions.Validate
Cns.Searchable
Armazenamento orientado por perfis.Visualização de armazenamento orientado por perfis
Servidor vCenter raiz No
ReadOnly System.Read
System.View
System.Anonymous
data center
rede
Sim
Anthos Privilégios no papel do Anthos datastore
pool de recursos
pasta da VM
rede
Sim

Privilégios na função personalizada do Anthos

Criar funções e permissões personalizadas

Um administrador da organização pode usar a ferramenta de linha de comando govc para criar funções e permissões personalizadas.

O administrador da organização precisa ter uma conta do vCenter Server que tenha privilégios suficientes para criar funções e permissões. Por exemplo, uma conta que tem o papel de administrador é adequada.

Antes de executar govc, defina algumas variáveis de ambiente:

  • Defina GOVC_URL como o URL da sua instância do vCenter Server.

  • Defina GOVC_USERNAME como o nome de usuário da conta do vCenter Server do administrador da organização.

  • Defina GOVC_PASSWORD como a senha da conta do vCenter Server do administrador da organização.

Exemplo:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Criar funções personalizadas

Crie as funções personalizadas ClusterEditor, SessionValidator e ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Crie uma permissão que conceda o papel ClusterEditor

Uma permissão pega um par (usuário, papel) e o associa a um objeto. Ao atribuir uma permissão a um objeto, é possível especificar se ela será propagada para objetos filhos. Com govc, você faz isso definindo a sinalização --propagate como true ou false. O padrão é false.

Crie uma permissão que conceda o papel ClusterEditor a um usuário em um objeto de cluster. Essa permissão é propagada para todos os objetos filhos do objeto de cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Substitua:

  • ACCOUNT: a conta de usuário do vCenter Server que está recebendo o papel

  • CLUSTER_PATH: o caminho do cluster na hierarquia de objetos do vSphere

Por exemplo, o comando a seguir cria uma permissão que associa o par (bob@vsphere.local, ClusterEditor a my-dc/host/my-cluster). A permissão é propagada a todos os objetos filhos de my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Criar permissões adicionais

Esta seção fornece exemplos de criação de permissões adicionais. Substitua os caminhos de objeto de exemplo conforme necessário para seu ambiente.

Crie uma permissão que conceda o papel SessionValidator a uma conta no objeto raiz do vCenter Server. Essa permissão não se propaga a objetos filhos:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Crie permissões que concedam o papel ReadOnly a uma conta em um objeto de data center e um objeto de rede. Essas permissões se propagam a objetos filhos:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crie permissões que concedam o papel do Anthos a uma conta em quatro objetos: um datastore, uma pasta de VM, um pool de recursos e uma rede. Essas permissões são propagadas a objetos filhos:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Criar uma permissão global

Nesta seção, você verá uma alternativa à criação de vários papéis e várias permissões. Não recomendamos essa abordagem porque ela concede um grande conjunto de privilégios em todos os objetos nas hierarquias do vSphere.

Se você ainda não criou a função personalizada do Anthos, crie-a agora.

Criar uma permissão global:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Substitua:

Substitua ACCOUNT pela conta de usuário do vCenter Server que está recebendo o papel

Por exemplo, o comando a seguir cria uma permissão global que concede o papel do Anthos a bob@vsphere.local. A permissão é propagada a todos os objetos nas hierarquias do vSphere:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problemas conhecidos

Consulte O instalador falha ao criar o vSphere datadisk.

A seguir

Requisitos de CPU, RAM e armazenamento