Requisitos de vSphere

Los clústeres de Anthos alojados en VMware (GKE On-Prem) se ejecutan en tu centro de datos en un entorno vSphere. En este documento, se describen los requisitos para el entorno de vSphere.

Compatibilidad de versiones

Los requisitos de vSphere varían según la versión de los clústeres de Anthos alojados en VMware que uses. Si deseas obtener más información, consulta la matriz de compatibilidad de versiones para versiones compatibles y versiones anteriores.

Versiones compatibles

vSphere es el software de virtualización de servidores de VMware que incluye ESXi y vCenter Server.

Los clústeres de Anthos alojados en VMware admiten estas versiones de ESXi y vCenter Server:

6.7 actualización 3 y versiones posteriores de la versión 6.7
7.0 actualización 1 y versiones posteriores de la versión 7.0

Requisitos de licencia

Necesitas las siguientes licencias de vSphere:

Una licencia vSphere Enterprise Plus o vSphere Standard.

Recomendamos la licencia Enterprise Plus, ya que te permite habilitar el programador de recursos distribuidos (DRS).

Junto con esta licencia, debes comprar una suscripción de asistencia durante al menos un año.
Una licencia de vCenter Server Standard. Junto con esta licencia, debes comprar una suscripción de asistencia durante al menos un año.

Requisitos de hardware

Clústeres de Anthos alojados en VMware se ejecuta en un conjunto de hosts físicos que ejecutan el hipervisor de ESXi de VMware. Para obtener información sobre los requisitos de hardware de ESXi, consulta ESXi Hardware Requirements (Requisitos de hardware de ESXi).

De forma predeterminada, clústeres de Anthos alojados en VMware crea automáticamente reglas de antiafinidad del distribuidor de recursos distribuidos (DRS) para el clúster del administrador y los nodos del clúster de usuario, lo que hace que se propaguen entre al menos tres hosts físicos en tu centro de datos.

Para esta función, se requiere que el entorno de vSphere cumpla con las siguientes condiciones:

DRS de VMware debe estar habilitado. Para DRS de VMware, se requiere la edición de licencia vSphere Enterprise Plus.
La cuenta de usuario de vSphere debe tener el privilegio Host.Inventory.Modify cluster.
Debe haber al menos tres hosts físicos disponibles.

Recuerda que, si tienes una licencia de vSphere Standard, no puedes habilitar DRS.

Si no tienes DRS habilitado o no tienes al menos tres hosts en los que se puedan programar las VM de vSphere, establece antiAffinityGroups.enabled como false en los archivos de configuración del clúster de administrador y el clúster de usuario.

Privilegios de la cuenta de usuario de vCenter

Para configurar un entorno de vSphere, un administrador de la organización puede optar por usar una cuenta de usuario de vCenter que tenga el rol de administrador de vCenter Server. Esta función proporciona acceso completo a todos los objetos de vSphere.

Después de configurar el entorno de vSphere, un administrador de clústeres puede crear clústeres de administrador y de usuario. El administrador del clúster no necesita todos los privilegios que proporciona el rol de administrador de vCenter Server.

Cuando un administrador o desarrollador de clústeres crea un clúster, proporciona una cuenta de usuario de vCenter en un archivo de configuración de credenciales. Recomendamos que a la cuenta de usuario de vCenter que aparece en un archivo de configuración de credenciales se le asigne uno o más roles personalizados que tengan los privilegios mínimos necesarios para la creación y la administración de clústeres.

Hay dos enfoques diferentes que un administrador de la organización puede adoptar:

Crea varios roles con diferentes privilegios. Luego, crea permisos que asignen esos roles limitados a un usuario o grupo en objetos individuales de vSphere.
Crea un rol que tenga todos los privilegios necesarios. Luego, crea un permiso global que asigne ese rol a un usuario o grupo en particular en todos los objetos de tus jerarquías de vSphere.

Recomendamos el primer enfoque, ya que limita el acceso y aumenta la seguridad de tu entorno de vCenter Server. A fin de obtener más información, consulta Usa roles para asignar privilegios y Prácticas recomendadas para roles y permisos.

Para obtener información sobre el uso del segundo enfoque, consulta Crea un permiso global.

En la siguiente tabla, se muestran cuatro roles personalizados que un administrador de la organización puede crear. Luego, el administrador puede usar los roles personalizados para asignar permisos en objetos específicos de vSphere:

Función personalizada	Privilegios	Objetos	¿Deseas propagar a objetos secundarios?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory.Modify cluster	clúster	Sí
SessionValidator	System.Read System.View System.Anonymous Sessions.Validate session Cns.Searchable Profile-driven storage.Profile-driven storage view	Raíz de vCenter Server	No
ReadOnly	System.Read System.View System.Anonymous	centro de datos red	Sí
Anthos	Privilegios en el rol de Anthos	almacén de datos grupo de recursos carpeta de VM red	Sí

Privilegios en el rol personalizado de Anthos

Visualiza los privilegios en el rol personalizado de Anthos.

Categoría	Privilegios
Cloud Native Store	Se puede buscar
Datastore	Asignar espacio Explorar el almacén de datos Configurar el almacén de datos Low level file operations (Operaciones de archivos de bajo nivel) Quitar archivos Actualizar los archivos de la máquina virtual Actualizar los metadatos de la máquina virtual
Operaciones criptográficas	Acceso directo
Carpeta	Crear carpeta Borrar carpeta Mover carpeta Cambiar el nombre de la carpeta
Inventario de host	Modificar clúster
Etiquetado de vSphere	Crear una etiqueta de vSphere Borrar una etiqueta de vSphere Asignar o anular una asignación de etiqueta de vSphere Asignar o anular asignación de etiqueta de vSphere en el objeto (vSphere 7)
Sesiones	Validar sesión
Red	Asignar redes
Recurso	Aplicar recomendaciones Asignar una máquina virtual al grupo de recursos Migrar una máquina virtual apagada Migrar con optimización de la máquina virtual Consultar vMotion
Visualizaciones de almacenamiento	Ver
Sistema	Anónimo Leer Vista
Tareas	Crear tarea Actualizar tarea
vApp	Importar Configuración de la aplicación de vApp Configuración de instancia de vApp
Máquina virtual	Configuration Agregar un disco existente Agregar un disco nuevo Agregar o quitar un dispositivo Configuración avanzada Cambiar recuento de CPU Cambiar recursos Configurar managedBy Activar o desactivar el seguimiento de cambios de disco Adquirir una asignación de tiempo de disco Mostrar la configuración de conexión Extender el disco virtual Configurar el dispositivo USB del host. Cambiar la memoria. Modificar la configuración de los dispositivos Compatibilidad con tolerancia a errores de consulta Consultar archivos sin propietario Configurar el dispositivo sin procesar. Volver a cargar desde la ruta de acceso Quitar el disco Cambiar nombre Restablecer la información de los invitados Establecer anotación Cambiar la configuración. Cambiar la ubicación del archivo de intercambio. Activar o desactivar la bifurcación principal Actualizar la compatibilidad de máquinas virtuales Operaciones de invitado Modificación del alias de una operación de invitado Consulta de alias de una operación de invitado Modificaciones de las operaciones de invitado Ejecución del programa de operaciones de invitado Consultas de operaciones de invitado Interacción Responder preguntas Operación de copia de seguridad en máquinas virtuales Configurar los medios de CD Configurar medios flexibles Interacción con la consola Crear captura de pantalla Desfragmentar todos los discos Conexión del dispositivo Arrastrar y soltar Administración de sistemas operativos invitados por la API de VIX Incorporar códigos de escaneo USB HID Pausar o reanudar Realizar operaciones de limpieza o reducción Apagar Encender Grabar sesiones en una máquina virtual Volver a reproducir sesiones en una máquina virtual Reset Volver a activar la tolerancia a errores Suspender Suspender la tolerancia a errores Probar la conmutación por error Probar el reinicio de la VM secundaria Desactivar la tolerancia a errores Activar la tolerancia a errores Instalación de las herramientas de VMware Inventario Crear a partir de uno existente Crear nuevo Mover Registrar Quitar Cancelar registro Aprovisionamiento Permitir el acceso al disco Permitir el acceso a los archivos Permitir acceso de solo lectura al disco Permitir la descarga de máquinas virtuales Permitir la carga de archivos de máquinas virtuales Clonar plantillas Clonar máquinas virtuales Crear una plantilla desde una máquina virtual Personalizar invitado. Implementar plantillas Marcar como plantilla Marcar como máquina virtual Modificar las especificaciones de la personalización Promover discos Leer las especificaciones de la personalización Configuración del servicio Permitir notificaciones Permitir el sondeo de notificaciones de eventos globales Administrar la configuración del servicio Modificar la configuración del servicio Configuración del servicio de consultas Leer la configuración del servicio Administración de instantáneas Crear instantáneas Quitar instantáneas Cambiar el nombre de una instantánea Volver a la instantánea Replicación de vSphere Configurar la replicación Administrar la replicación Supervisar la replicación

Crea roles y permisos personalizados

Un administrador de la organización puede usar la herramienta de línea de comandos govc para crear roles y permisos personalizados.

El administrador de la organización debe tener una cuenta de vCenter Server que tenga privilegios suficientes para crear roles y permisos. Por ejemplo, una cuenta con el rol de administrador sería apropiada.

Antes de ejecutar govc, configura algunas variables de entorno:

Configura GOVC_URL como la URL de tu instancia de vCenter Server.
Configura GOVC_USERNAME como el nombre de usuario de la cuenta de vCenter Server del administrador de la organización.
Configura GOVC_PASSWORD como la contraseña de la cuenta de vCenter Server del administrador de la organización.

Por ejemplo:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Crea roles personalizados

Crea los roles personalizados ClusterEditor, SessionValidator y ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Visualiza el comando para crear el rol personalizado de Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Annotation
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Crea un permiso que otorgue el rol ClusterEditor

Un permiso toma un par (usuario, rol) y lo asocia con un objeto. Cuando asignas un permiso a un objeto, puedes especificar si el permiso se propaga a objetos secundarios. Esto lo puedes hacer con govc, para ello, configura la marca --propagate en true o false. El valor predeterminado es false.

Crea un permiso que otorgue el rol ClusterEditor a un usuario en un objeto de clúster. Este permiso se propaga a todos los objetos secundarios del objeto de clúster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Reemplaza lo siguiente:

ACCOUNT: la cuenta de usuario de vCenter Server a la que se le otorga el rol
CLUSTER_PATH: la ruta del clúster en la jerarquía de objetos de vSphere

Por ejemplo, el siguiente comando crea un permiso que asocia el par (bob@vsphere.local, ClusterEditor with my-dc/host/my-cluster. El permiso se propaga a todos los objetos secundarios de my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Crea permisos adicionales

En esta sección, se proporcionan ejemplos de creación de permisos adicionales. Reemplaza las rutas de acceso de los objetos de ejemplo según sea necesario para tu entorno.

Crea un permiso que otorgue el rol SessionValidator a una cuenta en el objeto raíz de vCenter Server. Este permiso no se propaga a objetos secundarios:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Crea permisos que otorguen el rol ReadOnly a una cuenta en un objeto del centro de datos y un objeto de red. Estos permisos se propagan a objetos secundarios:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crea permisos que otorguen el rol de Anthos a una cuenta en cuatro objetos: un almacén de datos, una carpeta de VM, un grupo de recursos y una red. Estos permisos se propagan a objetos secundarios:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crea un permiso global

En esta sección, se ofrece una alternativa a la creación de varios roles y permisos. No recomendamos este enfoque porque otorga un gran conjunto de privilegios en todos los objetos de tus jerarquías de vSphere.

Si aún no creaste el rol personalizado de Anthos, créalo ahora.

Crea un permiso global:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Reemplaza lo siguiente:

Reemplaza ACCOUNT por la cuenta de usuario de vCenter Server a la que se le otorga el rol.

Por ejemplo, el siguiente comando crea un permiso global que otorga el rol de Anthos a bob@vsphere.local. El permiso se propaga a todos los objetos de tus jerarquías de vSphere:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problemas conocidos

Consulta El instalador falla cuando se crea el disco de datos de vSphere.

¿Qué sigue?

Requisitos de CPU, RAM y almacenamiento