Requisiti di vSphere

I cluster Anthos su VMware (GKE On-Prem) vengono eseguiti on-premise in un ambiente vSphere. Questo documento descrive i requisiti per il tuo ambiente vSphere.

Compatibilità delle versioni

I requisiti di vSphere variano in base alla versione dei cluster Anthos su VMware in uso. Per ulteriori informazioni, consulta la matrice di compatibilità delle versioni per le versioni completamente supportate e le versioni precedenti.

Versioni supportate

vSphere è il software di virtualizzazione del server VMware. vSphere include ESXi e vCenter Server.

I cluster Anthos su VMware supportano queste versioni di ESXi e vCenter Server:

6.7 Aggiornamento 3 e versioni successive della versione 6.7
7.0 Aggiornamento 1 e versioni successive della versione 7.0

Requisiti relativi alle licenze

Devi disporre di una delle seguenti licenze:

vSphere Enterprise Plus. Oltre a questa licenza, devi avere un abbonamento di assistenza valido.
vSphere Standard. Oltre a questa licenza, devi avere un abbonamento di assistenza valido. Con questa licenza, non puoi attivare i gruppi anti-affinità. Inoltre, non puoi specificare un pool di risorse personalizzato. Devi utilizzare il pool di risorse predefinito.

Requisiti hardware

I cluster Anthos su VMware vengono eseguiti su un set di host fisici che eseguono l'hypervisor ESXi di VMware. Per ulteriori informazioni sui requisiti hardware per ESXi, consulta i requisiti hardware ESXi.

Per gli ambienti di produzione, consigliamo vivamente quanto segue:

Abilita il servizio VMware Distributed Resource Scheduler (DRS).
Avere almeno quattro host ESXi disponibili per le tue VM del cluster.
Attiva il traffico Copia file di rete (NFC) tra gli host ESXi per consentire la condivisione di modelli del sistema operativo, se prevedi di eseguire il deployment di cluster Anthos su VMware su diversi cluster vSphere o pool di risorse all'interno dello stesso data center vSphere.
Imposta antiAffinityGroups.enabled su true nei file di configurazione del cluster.

Se imposti antiAffinityGroups.enabled su true, i cluster Anthos su VMware crea regole anti-affinità DRS per i nodi del cluster, determinandone la distribuzione su almeno tre host ESXi fisici. Anche se le regole DRS richiedono che i nodi del cluster siano distribuiti su tre host ESXi, ti consigliamo vivamente di avere almeno quattro host ESXi disponibili. In questo modo non perderai il piano di controllo del cluster. Ad esempio, supponiamo che tu abbia solo tre host ESXi e che il nodo del piano di controllo del cluster di amministrazione si trovi su un host ESXi con errori. La regola DRS impedirà il posizionamento del nodo del piano di controllo su uno dei due host ESXi rimanenti.

Per la valutazione e la proof of concept, puoi impostare antiAffinityGroups.enabled su false e utilizzare un solo host ESXi. Per ulteriori informazioni, consulta la pagina Configurare l'infrastruttura minima.

Privilegi dell'account utente vCenter

Per configurare un ambiente vSphere, un amministratore dell'organizzazione può scegliere di utilizzare un account utente vCenter con il ruolo amministratore vCenter Server. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.

Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno di tutti i privilegi forniti dal ruolo Amministratore vCenter Server.

Quando un amministratore o uno sviluppatore crea un cluster, fornisce un account utente vCenter in un file di configurazione delle credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati che dispongano dei privilegi minimi richiesti per la creazione e la gestione del cluster.

Un amministratore dell'organizzazione può utilizzare due approcci diversi:

Crea diversi ruoli con diversi gradi di privilegio. Quindi, crea le autorizzazioni che assegnano quei ruoli limitati a un utente o a un gruppo in singoli oggetti vSphere.
Crea un ruolo che disponga di tutti i privilegi necessari. Quindi crea un'autorizzazione globale che assegna il ruolo a un particolare utente o gruppo su tutti gli oggetti nelle gerarchie di vSphere.

Consigliamo il primo approccio, in quanto limita l'accesso e aumenta la sicurezza del tuo ambiente vCenter Server. Per ulteriori informazioni, consulta Uso dei ruoli per assegnare privilegi e Best practice per i ruoli e le autorizzazioni

Per informazioni sull'utilizzo del secondo approccio, consulta l'articolo su come creare un'autorizzazione globale.

La tabella seguente mostra quattro ruoli personalizzati che un amministratore dell'organizzazione può creare. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare le autorizzazioni su oggetti vSphere specifici:

Ruolo personalizzato	Privilegi	Oggetti	Propagare agli oggetti secondari?
Editor cluster	Sistema.Lettura Sistema.Visualizza Sistema.Anonimo Inventario.inventario.Modifica cluster	cluster	Sì
Convalida sessione	System.Read System.View System.Unknown Sessioni.Convalida sessione Cns.Ricercabile Spazio di archiviazione basato sul profilo	Server vCenter radice	No
Sola lettura	System.Read System.View System.onym	data center rete	Sì
Anthos	Privilegi nel ruolo Anthos	datastore pool di risorse cartella VM rete	Sì

Privilegi nel ruolo personalizzato Anthos

Visualizza i privilegi nel ruolo personalizzato di Anthos.

Categoria	Privilegi
Negozio cloud-native	Ricercabile
Datastore	Alloca spazio Sfoglia datastore Configura datastore Operazioni sui file di basso livello Rimuovi file Aggiorna i file delle macchine virtuali Aggiornare i metadati della macchina virtuale
Operazioni di crittografia	Accesso diretto
Cartella	Crea cartella Elimina cartella Sposta cartella Rinomina cartella
Inventario host	Modifica cluster
Tagging di vSphere	Crea tag vSphere Elimina tag vSphere Assegna tag o annulla l'assegnazione di un tag vSphere Assegna o annulla l'assegnazione del tag vSphere sull'oggetto (vSphere 7)
Sessioni	Convalida sessione
Rete	Assegna rete
Risorsa	Applica consiglio Assegna una macchina virtuale al pool di risorse Esegui la migrazione della macchina virtuale spenta Migrato con macchina virtuale Query vMotion
Visualizzazioni spazio di archiviazione	Visualizza
Sistema	Anonimo Lettura Visualizza
Tasks	Crea attività Aggiorna attività
App v	Importa Configurazione dell'applicazione vApp Configurazione dell'istanza vApp
Macchina virtuale	Configurazione Aggiungi disco esistente Aggiungi nuovo disco Aggiungi o rimuovi dispositivo Configurazione avanzata Modifica conteggio CPU Modifica risorsa Configura managedBy Attiva/disattiva il monitoraggio delle modifiche del disco Acquisisci leasing del disco Mostra impostazioni di connessione Estendi disco virtuale Configura dispositivo USB host. Cambia memoria. Modificare le impostazioni del dispositivo Compatibilità con tolleranza agli errori delle query Esegui query su file non di proprietà Configura dispositivo non elaborato. Ricarica dal percorso Rimuovi disco Rinomina Reimposta informazioni ospite Imposta annotazione Modificare le impostazioni. Modifica posizionamento Swapfile. Attiva/disattiva genitore fork Esegui l'upgrade di compatibilità delle macchine virtuali Operazioni Ospite Modifica dell'alias dell'operazione Ospite Query alias alias operazione Modifiche delle operazioni Ospite Esecuzione del programma operativo guest Query sull'operazione Ospite Interazione Rispondi alla domanda Operazione di backup sulla macchina virtuale Configura supporto CD Configurare i contenuti multimediali floppy Interazione con la console Creazione di screenshot Frammenta tutti i dischi Connessione dispositivo Trascina Gestione del sistema operativo guest da parte dell'API VIX Inserisci codici di scansione HID USB Mettere in pausa o riattivare Eseguire la cancellazione dei dati o la riduzione Spegni Accendi Registra sessione su macchina virtuale Riproduzione della sessione su una macchina virtuale Reimposta Riprendi tolleranza agli errori Sospendi Sospendi tolleranza agli errori Test di failover Testa la VM secondaria di riavvio Disattiva tolleranza agli errori Attiva tolleranza agli errori Installazione di VMware Tools Inventario Crea da esistente Crea nuovo Sposta Registra Rimuovi Annulla registrazione Provisioning Consenti accesso al disco Consenti l'accesso al file Consenti l'accesso al disco di sola lettura Consenti il download di macchine virtuali Consenti il caricamento di file di macchine virtuali Clona modello Clona macchina virtuale Crea modello da macchina virtuale Personalizza ospite. Esegui il deployment del modello Contrassegna come modello Contrassegna come macchina virtuale Modifica la specifica di personalizzazione Promuovi dischi Leggi le specifiche di personalizzazione Configurazione del servizio Consenti notifiche Consenti il polling delle notifiche di eventi globali Gestisci le configurazioni dei servizi Modifica configurazione servizio Configurazioni di servizi di query Lettura della configurazione del servizio Gestione di snapshot Crea snapshot Rimuovi snapshot Rinomina snapshot Ripristina snapshot Replica vSphere Configura replica Gestisci replica Monitora replica

Creare ruoli e autorizzazioni personalizzati

L'amministratore di un'organizzazione può utilizzare lo strumento a riga di comando govc per creare autorizzazioni e ruoli personalizzati.

L'amministratore dell'organizzazione deve avere un account vCenter Server con privilegi sufficienti per la creazione di ruoli e autorizzazioni. Ad esempio, un account con il ruolo Amministratore sarebbe appropriato.

Prima di eseguire govc, imposta alcune variabili di ambiente:

Imposta GOVC_URL sull'URL dell'istanza di vCenter Server.
Imposta GOVC_EMAIL come nome utente dell'account vCenter dell'amministratore dell'organizzazione.
Imposta GOVC_PASSWORD sulla password dell'account vCenter dell'amministratore dell'organizzazione.

Ad esempio:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Creazione di ruoli personalizzati

Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Visualizza il comando per creare il ruolo personalizzato Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Annotation
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Crea un'autorizzazione che concede il ruolo ClusterEditor

Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando assegni un'autorizzazione a un oggetto, puoi specificare se l'autorizzazione viene propagata agli oggetti secondari. Per govc, devi impostare il flag --propagate su true o false. Il valore predefinito è false.

Creare un'autorizzazione che concede il ruolo ClusterEditor a un utente su un oggetto cluster. Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Sostituisci quanto segue:

ACCOUNT: l'account utente vCenter Server a cui viene concesso il ruolo
CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere

Ad esempio, il comando seguente crea un'autorizzazione che associa la coppia (bob@vSphere.local, ClusterEditor a my-dc/host/my-cluster). L'autorizzazione viene estesa a tutti gli oggetti secondari di my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Crea autorizzazioni aggiuntive

Questa sezione fornisce esempi di creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle tue esigenze di ambiente.

Crea un'autorizzazione che conceda il ruolo SessionValidator a un account sull'oggetto vCenter Server radice. Questa autorizzazione non viene propagata agli oggetti secondari:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Creare autorizzazioni che concedono il ruolo ReadOnly a un account su un oggetto data center e su un oggetto di rete. Queste autorizzazioni si propagano agli oggetti secondari:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crea le autorizzazioni che concedono il ruolo Anthos a un account in quattro oggetti: un datastore, una cartella VM, un pool di risorse e una rete. Queste autorizzazioni si propagano agli oggetti secondari:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crea un'autorizzazione globale

Questa sezione offre un'alternativa alla creazione di più ruoli e autorizzazioni. Questo approccio non è consigliato perché concede un ampio insieme di privilegi su tutti gli oggetti delle gerarchie di vSphere.

Se non hai già creato il ruolo personalizzato di Anthos, crealo ora.

Crea un'autorizzazione globale:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Sostituisci quanto segue:

Sostituisci ACCOUNT con l'account utente vCenter Server a cui viene concesso il ruolo

Ad esempio, il comando seguente crea un'autorizzazione globale che concede il ruolo Anthos a bob@vSphere.local. L'autorizzazione si propaga a tutti gli oggetti nelle gerarchie di vSphere:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problemi noti

Vedi Programma di installazione non riuscito durante la creazione del disco dati vSphere.

Passaggi successivi

Requisiti di CPU, RAM e spazio di archiviazione