I cluster Anthos su VMware (GKE On-Prem) vengono eseguiti nel tuo data center in un ambiente vSphere. Questo documento descrive i requisiti per il tuo ambiente vSphere.
Compatibilità delle versioni
I requisiti di vSphere variano in base alla versione dei cluster Anthos su VMware in uso. Per ulteriori informazioni, consulta la matrice di compatibilità delle versioni per le versioni completamente supportate e le versioni precedenti.
Versioni supportate
vSphere è il software di virtualizzazione del server VMware. vSphere include ESXi e vCenter Server.
I cluster Anthos su VMware supportano queste versioni di ESXi e vCenter Server:
- 6.7 Aggiornamento 3 e versioni successive della versione 6.7
- 7.0 Aggiornamento 1 e versioni successive della versione 7.0
Requisiti relativi alle licenze
Sono necessarie le seguenti licenze vSphere:
Una licenza vSphere Enterprise Plus o vSphere Standard.
Ti consigliamo la licenza Enterprise Plus, perché consente di abilitare Distributed Resource Scheduler (DRS).
Insieme a questa licenza, devi acquistare un abbonamento di assistenza per almeno un anno.
Una licenza vCenter Server Standard. Insieme a questa licenza, devi acquistare un abbonamento di assistenza per almeno un anno.
Requisiti hardware
I cluster Anthos su VMware vengono eseguiti su un set di host fisici che eseguono l'hypervisor ESXi di VMware. Per ulteriori informazioni sui requisiti hardware per ESXi, consulta i requisiti hardware ESXi.
Per impostazione predefinita, i cluster Anthos su VMware creano automaticamente regole anti-affinità Distributed Resource Scheduler (DRS) per i nodi cluster di amministrazione e cluster utente, che vengono distribuiti in almeno tre host fisici del data center.
Questa funzionalità richiede che il tuo ambiente vSphere soddisfi le seguenti condizioni:
VMware DRS è abilitato. VMware DRS richiede la versione di licenza vSphere Enterprise Plus.
Il tuo account utente vSphere dispone del privilegio
Host.Inventory.Modify cluster
.Sono disponibili almeno tre host fisici.
Ricorda che se hai una licenza vSphere Standard, non puoi abilitare DRS.
Se non hai abilitato DRS o se non hai almeno tre host in cui è possibile pianificare le VM vSphere, imposta antiAffinityGroups.enabled
su false
nei file di configurazione del cluster di amministrazione e del cluster utente.
Privilegi dell'account utente vCenter
Per configurare un ambiente vSphere, un amministratore dell'organizzazione può scegliere di utilizzare un account utente vCenter con il ruolo amministratore vCenter Server. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.
Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno di tutti i privilegi forniti dal ruolo Amministratore vCenter Server.
Quando un amministratore o uno sviluppatore crea un cluster, fornisce un account utente vCenter in un file di configurazione delle credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati che dispongano dei privilegi minimi richiesti per la creazione e la gestione del cluster.
Un amministratore dell'organizzazione può utilizzare due approcci diversi:
Crea diversi ruoli con diversi gradi di privilegio. Quindi, crea le autorizzazioni che assegnano quei ruoli limitati a un utente o a un gruppo in singoli oggetti vSphere.
Crea un ruolo che disponga di tutti i privilegi necessari. Quindi crea un'autorizzazione globale che assegna il ruolo a un particolare utente o gruppo su tutti gli oggetti nelle gerarchie di vSphere.
Consigliamo il primo approccio, in quanto limita l'accesso e aumenta la sicurezza del tuo ambiente vCenter Server. Per ulteriori informazioni, consulta Uso dei ruoli per assegnare privilegi e Best practice per i ruoli e le autorizzazioni
Per informazioni sull'utilizzo del secondo approccio, consulta l'articolo su come creare un'autorizzazione globale.
La tabella seguente mostra quattro ruoli personalizzati che un amministratore dell'organizzazione può creare. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare le autorizzazioni su oggetti vSphere specifici:
Ruolo personalizzato | Privilegi | Oggetti | Propagare agli oggetti secondari? |
---|---|---|---|
Editor cluster |
Sistema.Lettura Sistema.Visualizza Sistema.Anonimo Inventario.inventario.Modifica cluster |
cluster | Sì |
Convalida sessione |
System.Read System.View System.Unknown Sessioni.Convalida sessione Cns.Ricercabile Spazio di archiviazione basato sul profilo |
Server vCenter radice | No |
Sola lettura |
System.Read System.View System.onym |
data center rete |
Sì |
Anthos | Privilegi nel ruolo Anthos |
datastore pool di risorse cartella VM rete |
Sì |
Privilegi nel ruolo personalizzato Anthos
Creare ruoli e autorizzazioni personalizzati
L'amministratore di un'organizzazione può utilizzare lo strumento a riga di comando govc per creare autorizzazioni e ruoli personalizzati.
L'amministratore dell'organizzazione deve avere un account vCenter Server con privilegi sufficienti per la creazione di ruoli e autorizzazioni. Ad esempio, un account con il ruolo Amministratore sarebbe appropriato.
Prima di eseguire govc
, imposta alcune variabili di ambiente:
Imposta GOVC_URL sull'URL dell'istanza di vCenter Server.
Imposta GOVC_USERNAME sul nome utente dell'account vCenter dell'amministratore dell'organizzazione.
Imposta GOVC_PASSWORD sulla password dell'account vCenter dell'amministratore dell'organizzazione.
Ad esempio:
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Creazione di ruoli personalizzati
Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Crea un'autorizzazione che concede il ruolo ClusterEditor
Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando assegni un'autorizzazione a un oggetto, puoi specificare se l'autorizzazione viene propagata agli oggetti secondari. Per govc
, devi impostare il flag --propagate
su true
o false
. Il valore predefinito è false
.
Creare un'autorizzazione che concede il ruolo ClusterEditor a un utente su un oggetto cluster. Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Sostituisci quanto segue:
ACCOUNT: l'account utente vCenter Server a cui viene concesso il ruolo
CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere
Ad esempio, il comando seguente crea un'autorizzazione che associa la coppia (bob@vSphere.local, ClusterEditor a my-dc/host/my-cluster). L'autorizzazione viene estesa a tutti gli oggetti secondari di my-dc/host/my-cluster:
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Crea autorizzazioni aggiuntive
Questa sezione fornisce esempi di creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle tue esigenze di ambiente.
Crea un'autorizzazione che conceda il ruolo SessionValidator a un account sull'oggetto vCenter Server radice. Questa autorizzazione non viene propagata agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Creare autorizzazioni che concedono il ruolo ReadOnly a un account su un oggetto data center e su un oggetto di rete. Queste autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Crea le autorizzazioni che concedono il ruolo Anthos a un account in quattro oggetti: un datastore, una cartella VM, un pool di risorse e una rete. Queste autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Crea un'autorizzazione globale
Questa sezione offre un'alternativa alla creazione di più ruoli e autorizzazioni. Questo approccio non è consigliato perché concede un ampio insieme di privilegi su tutti gli oggetti delle gerarchie di vSphere.
Se non hai già creato il ruolo personalizzato di Anthos, crealo ora.
Crea un'autorizzazione globale:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Sostituisci quanto segue:
Sostituisci ACCOUNT con l'account utente vCenter Server a cui viene concesso il ruolo
Ad esempio, il comando seguente crea un'autorizzazione globale che concede il ruolo Anthos a bob@vSphere.local. L'autorizzazione si propaga a tutti gli oggetti nelle gerarchie di vSphere:
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Problemi noti
Vedi Programma di installazione non riuscito durante la creazione del disco dati vSphere.
Passaggi successivi
Requisiti di CPU, RAM e spazio di archiviazione