Exigences concernant vSphere

Anthos clusters on VMware (GKE On-Prem) s'exécute dans votre centre de données dans un environnement vSphere. Ce document décrit les exigences concernant votre environnement vSphere.

Compatibilité des versions

Les exigences concernant vSphere varient en fonction de la version d'Anthos clusters on VMware que vous utilisez. Pour en savoir plus, consultez la matrice de compatibilité des versions pour les versions entièrement compatibles et les versions antérieures.

Versions compatibles

vSphere est le logiciel de virtualisation de serveur de VMware. vSphere inclut ESXi et vCenter Server.

Anthos clusters on VMware est compatible avec les versions suivantes de ESXi et vCenter Server :

6.7 Mise à jour 3 et versions ultérieures de la version 6.7
7.0 Mise à jour 1 et versions ultérieures de la version 7.0

Exigences concernant les licences

Vous avez besoin des licences vSphere suivantes :

Une licence vSphere Enterprise Plus ou vSphere Standard.

Nous vous recommandons d'utiliser la licence Enterprise Plus, car elle vous permet d'activer le Distributed Resource Scheduler (DRS).

Parallèlement à cette licence, vous devez souscrire un abonnement d'assistance d'au moins un an.
Une licence vCenter Server Standard. Parallèlement à cette licence, vous devez souscrire un abonnement d'assistance d'au moins un an.

Configuration matérielle requise

Anthos clusters on VMware s'exécute sur un ensemble d'hôtes physiques exécutant l'hyperviseur ESXi VMware. Pour en savoir plus sur la configuration adaptée, consultez la page Configuration matérielle requise pour ESXi.

Par défaut, Anthos clusters on VMware crée automatiquement des règles anti-affinités DRS (Distributed Resource Scheduler) pour les nœuds de votre cluster d'administrateur et de votre cluster d'utilisateur, avec pour effet de les répartir sur au moins trois hôtes physiques dans votre centre de données.

Cette fonctionnalité nécessite que votre environnement vSphere remplisse les conditions suivantes :

La fonctionnalité VMware DRS est activée. VMware DRS nécessite l'édition de licence vSphere Enterprise Plus.
Votre compte utilisateur vSphere dispose du privilège Host.Inventory.Modify cluster.
Au moins trois hôtes physiques sont disponibles.

Rappelez-vous que si vous possédez une licence standard vSphere, vous ne pouvez pas activer DRS.

Si vous n'avez pas activé DRS ou si vous n'avez pas au moins trois hôtes sur lesquels les VM vSphere peuvent être planifiées, définissez antiAffinityGroups.enabled sur false dans les fichiers de configuration du cluster d'administrateur et du cluster d'utilisateur.

Droits de compte d'utilisateur vCenter

Pour configurer un environnement vSphere, un administrateur d'organisation peut choisir d'utiliser un compte utilisateur vCenter doté du rôle Administrateur vCenter Server. Ce rôle fournit un accès complet à tous les objets vSphere.

Une fois l'environnement vSphere configuré, un administrateur de cluster peut créer des clusters d'administrateur et des clusters d'utilisateur. L'administrateur du cluster n'a pas besoin de tous les droits fournis par le rôle Administrateur vCenter Server.

Lorsqu'un administrateur ou un développeur de cluster crée un cluster, il fournit un compte utilisateur vCenter dans un fichier de configuration des identifiants. Nous recommandons d'attribuer au compte utilisateur vCenter répertorié dans un fichier de configuration des identifiants un ou plusieurs rôles personnalisés qui comportent les droits minimum nécessaires pour la création et la gestion des clusters.

Un administrateur d'organisation peut adopter deux approches différentes :

Créer plusieurs rôles avec des droits dvariables. Créer ensuite des autorisations qui attribuent ces rôles limités à un utilisateur ou à un groupe d'objets vSphere individuels.
Créez un rôle disposant de tous les droits nécessaires. Créez ensuite une autorisation globale qui attribue ce rôle à un utilisateur ou à un groupe particulier sur tous les objets de vos hiérarchies vSphere.

Nous vous recommandons la première approche, car elle limite l'accès et augmente la sécurité de votre environnement vCenter Server. Pour en savoir plus, consultez les pages Utiliser des rôles pour attribuer des droits et Bonnes pratiques concernant les rôles et les autorisations.

Pour en savoir plus sur l'utilisation de la seconde approche, consultez la page Créer une autorisation globale.

Le tableau suivant présente quatre rôles personnalisés qu'un administrateur d'organisation peut créer. L'administrateur peut ensuite utiliser les rôles personnalisés pour attribuer des autorisations sur des objets vSphere spécifiques :

Rôle personnalisé	Droits	Objets	Propager aux objets enfants ?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory. Modifier le cluster	Cluster	Yes
SessionValidator	System.Read System.View System.Anonymous Sessions.Validate session Cns.Searchable Profile-driven storage.Profile-driven storage view	Serveur vCenter racine	Non
ReadOnly	System.Read System.View System.Anonymous	centre de données réseau	Yes
Anthos	Droits associés au rôle Anthos	datastore pool de ressources Dossier de VM réseau	Yes

Droits associés au rôle personnalisé Anthos

Affichez les droits du rôle personnalisé Anthos.

Catégorie	Droits
Cloud Native Store	Inclus dans l'index de recherche
Datastore	Allouer de l'espace Parcourir le datastore Configurer le datastore Opérations sur les fichiers de bas niveau Supprimer le fichier Mettre à jour les fichiers de machines virtuelles Mettre à jour les métadonnées de machines virtuelles
Opérations de chiffrement	Accès direct
Dossier	Créer un dossier Supprimer le dossier Déplacer le dossier Renommer le dossier
Inventaire des hôtes	Modifier le cluster
Ajout de tags vSphere	Créer un tag vSphere Supprimer le tag vSphere Attribuer ou annuler l'attribution d'un tag vSphere Attribuer ou annuler l'attribution d'un tag vSphere sur l'objet (vSphere 7)
Sessions	Valider la session
Réseau	Attribuer un réseau
Ressource	Appliquer la recommandation Attribuer une machine virtuelle au pool de ressources Migrer une machine virtuelle hors tension Migrer une machine virtuelle sous tension Interroger vMotion
Vues du stockage	Vue
Système	Anonyme Lire View
Tasks	Créer une tâche Mettre à jour la tâche
vApp	Importation Configuration de l'application vApp Configuration de l'instance vApp
Machine virtuelle	Configuration Ajouter un disque existant Ajouter un disque Ajouter ou supprimer un appareil Configuration avancée Modifier le nombre de processeurs Modifier une ressource Configurer ManagedBy Activer/Désactiver le suivi des modifications du disque Acquérir un bail de disque Afficher les paramètres de connexion Étendre le disque virtuel Configurer l'appareil USB hôte. Modifier la mémoire. Modifier les paramètres de l'appareil Vérifier la compatibilité avec la tolérance aux pannes Interroger des fichiers sans propriétaire Configurer l'appareil brut. Recharger à partir du chemin Supprimer le disque Renommer Réinitialiser les informations sur les invités Définir une annotation Modifier les paramètres. Modifier l'emplacement du fichier d'échange. Activer/désactiver le parent de duplication Mettre à niveau la compatibilité des machines virtuelles Opérations d'invité Modification de l'alias d'opération d'invité Requête d'alias d'opération d'invité Modifications d'opération d'invité Exécution du programme d'opération d'invité Requêtes concernant les opérations d'invités Interaction Répondre à la question Opération de sauvegarde sur une machine virtuelle Configurer le support CD Configurer le support disquette Interaction avec la console Créer une capture d'écran Défragmenter tous les disques Connexion de l'appareil Glisser-déposer Gestion de système d'exploitation invité par l'API VIX Injecter des codes d'analyse USB HID Mettre en pause ou reprendre Exécuter des opérations d'effacement ou de réduction Mettre hors tension Mettre sous tension Enregistrer une session sur une machine virtuelle Revoir une session sur une machine virtuelle Reset Rétablir la tolérance aux pannes Suspendre Suspendre la tolérance aux pannes Tester le basculement Tester le redémarrage d'une VM secondaire Désactiver la tolérance aux pannes Activer la tolérance aux pannes Installer VMware Tools Inventaire Créer à partir de données existantes Créer Déplacer Enregistrer Supprimer Annuler l'enregistrement Provisionnement Autoriser l'accès au disque Autoriser l'accès aux fichiers Autoriser l'accès au disque en lecture seule Autoriser le téléchargement d'une machine virtuelle Autoriser l'importation de fichiers d'une machine virtuelle Cloner le modèle Cloner une machine virtuelle Créer un modèle à partir d'une machine virtuelle Personnaliser l'invité. Déployer le modèle Marquer comme modèle Marquer comme machine virtuelle Modifier la spécification de personnalisation Promouvoir des disques Lire les spécifications de personnalisation Configuration de service Autoriser les notifications Autoriser l'interrogation des notifications d'événements globaux Gérer des configurations de service Modifier la configuration de service Interroger les configurations de service Lire la configuration de service Gestion des instantanés Créer un instantané Supprimer un instantané Renommer un instantané Rétablir un instantané Duplication de vSphere Configurer la duplication Gérer la duplication Surveiller la duplication

Créer des rôles et des autorisations personnalisés

Un administrateur d'organisation peut utiliser l'outil de ligne de commande govc pour créer des rôles et des autorisations personnalisés.

L'administrateur de l'organisation doit disposer d'un compte serveur vCenter disposant des droits suffisants pour créer des rôles et des autorisations. Par exemple, un compte disposant du rôle d'administrateur serait approprié.

Avant d'exécuter govc, définissez certaines variables d'environnement :

Définissez GOVC_URL sur l'URL de votre instance vCenter Server.
Définissez GOVC_USERNAME sur le nom d'utilisateur du compte vCenter Server de l'administrateur de l'organisation.
Définissez GOVC_PASSWORD sur le mot de passe du compte vCenter Server de l'administrateur de l'organisation.

Exemple :

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Créer des rôles personnalisés

Créez les rôles personnalisés ClusterEditor, SessionValidator et ReadOnly :

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Affichez la commande pour créer le rôle personnalisé Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Annotation
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Créer une autorisation qui accorde le rôle ClusterEditor

Une autorisation utilise une paire (utilisateur, rôle) et l'associe à un objet. Lorsque vous attribuez une autorisation sur un objet, vous pouvez indiquer si celle-ci se propage aux objets enfants. Pour ce faire, définissez l'option --propagate sur true ou false avec govc. La valeur par défaut est false.

Créez une autorisation qui accorde le rôle ClusterEditor à un utilisateur sur un objet de cluster. Cette autorisation se propage à tous les objets enfants de l'objet de cluster :

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Remplacez les éléments suivants :

ACCOUNT : compte utilisateur vCenter Server disposant du rôle
CLUSTER_PATH : chemin d'accès du cluster dans la hiérarchie des objets vSphere

Par exemple, la commande suivante crée une autorisation qui associe la paire (bob@vsphere.local, ClusterEditor) à my-dc/host/my-cluster. L'autorisation se propage à tous les objets enfants de my-dc/host/my-cluster :

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Créer des autorisations supplémentaires

Cette section donne des exemples de création d'autorisations supplémentaires. Remplacez les exemples de chemin d'accès aux objets selon les besoins de votre environnement.

Créez une autorisation qui attribue le rôle SessionValidator à un compte sur l'objet racine vCenter Server. Cette autorisation ne se propage pas aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Créez des autorisations qui accordent le rôle ReadOnly à un compte sur un objet de centre de données et un objet réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Créez des autorisations qui attribuent le rôle Anthos à un compte sur quatre objets : un datastore, un dossier de VM, un pool de ressources et un réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Créer une autorisation globale

Cette section propose une alternative à la création de plusieurs rôles et de plusieurs autorisations. Nous ne recommandons pas cette approche, car elle accorde un grand nombre de droits sur tous les objets de vos hiérarchies vSphere.

Si vous n'avez pas encore créé le rôle personnalisé Anthos, créez-le maintenant.

Créez une autorisation globale :

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Remplacez les éléments suivants :

Remplacez ACCOUNT par le compte d'utilisateur vCenter Server auquel le rôle est attribué

Par exemple, la commande suivante crée une autorisation globale qui attribue le rôle Anthos à bob@vsphere.local. L'autorisation se propage à tous les objets de vos hiérarchies vSphere :

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problèmes connus

Consultez la section Échec de l'installation lors de la création du disque de données vSphere.

Étapes suivantes

Exigences concernant le processeur, la RAM et l'espace de stockage