vSphere-Anforderungen

Anthos-Cluster auf VMware (GKE On-Prem) werden lokal in einer vSphere-Umgebung ausgeführt. In diesem Dokument werden die Anforderungen für Ihre vSphere-Umgebung beschrieben.

Versionskompatibilität

Die vSphere-Anforderungen variieren je nach der Version von Anthos-Cluster auf VMware, die Sie verwenden. Weitere Informationen finden Sie in der Versionskompatibilitätsmatrix für vollständig unterstützte Versionen und frühere Versionen.

Unterstützte Versionen

vSphere ist die Servervirtualisierungssoftware von VMware. vSphere umfasst ESXi und vCenter Server.

Anthos-Cluster auf VMware unterstützt diese Versionen von ESXi und vCenter Server:

6.7 Update 3 und höher von Version 6.7
7.0 Update 1 und höher von Builds der Version 7.0

Erforderliche Lizenzen

Sie benötigen eine der folgenden Lizenzen:

vSphere Enterprise Plus. Neben dieser Lizenz benötigen Sie ein gültiges Supportabo.
vSphere Standard. Neben dieser Lizenz benötigen Sie ein gültiges Supportabo. Mit dieser Lizenz können Sie keine Anti-Affinitätsgruppen aktivieren. Außerdem können Sie keinen eigenen Ressourcenpool angeben. Sie müssen den Standardressourcenpool verwenden.

Hardwareanforderungen

Anthos Clusters on VMware wird auf einer Reihe von physischen Hosts ausgeführt, auf denen der ESXi-Hypervisor von VMware ausgeführt wird. Informationen zu den Hardwareanforderungen für ESXi finden Sie unter ESXi-Hardwareanforderungen.

Für Produktionsumgebungen empfehlen wir Folgendes:

Aktivieren Sie VMware Distributed Resource Scheduler (DRS).
Sie benötigen mindestens vier ESXi-Hosts für Ihre Cluster-VMs.
Aktivieren Sie den NFC-Traffic (Network File Copy) zwischen ESXi-Hosts, um die Freigabe von Betriebssystemvorlagen zu ermöglichen, wenn Sie Anthos-Cluster auf VMware auf verschiedenen vSphere-Clustern oder Ressourcenpools im selben vSphere-Rechenzentrum bereitstellen möchten.
Legen Sie antiAffinityGroups.enabled in den Clusterkonfigurationsdateien auf true fest.

Wenn Sie antiAffinityGroups.enabled auf true setzen, erstellt Anthos-Cluster auf VMware DRS-Anti-Affinitätsregeln für Ihre Clusterknoten, wodurch diese auf mindestens drei physische ESXi-Hosts verteilt werden. Auch wenn die DRS-Regeln voraussetzen, dass Clusterknoten auf drei ESXi-Hosts verteilt sind, empfehlen wir dringend, mindestens vier ESXi-Hosts verfügbar zu haben. Dies schützt Sie vor Verlust der Clustersteuerungsebene. Angenommen, Sie haben nur drei ESXi-Hosts und der Knoten der Steuerungsebene Ihres Administratorclusters befindet sich auf einem ESXi-Host, der fehlschlägt. Die DRS-Regel verhindert, dass der Knoten der Steuerungsebene auf einem der beiden verbleibenden ESXi-Hosts platziert wird.

Zum Auswerten und Proof of Concept können Sie antiAffinityGroups.enabled auf false festlegen und nur einen ESXi-Host verwenden. Weitere Informationen finden Sie unter Minimale Infrastruktur einrichten.

vCenter-Nutzerkontoberechtigungen

Zum Einrichten einer vSphere-Umgebung kann ein Organisationsadministrator ein vCenter-Nutzerkonto mit der Rolle „vCenter Server-Administrator” verwenden. Diese Rolle bietet vollständigen Zugriff auf alle vSphere-Objekte.

Nachdem die vSphere-Umgebung eingerichtet wurde, kann ein Clusteradministrator Administratorcluster und Nutzercluster erstellen. Der Clusteradministrator benötigt nicht alle in der Rolle „vCenter Server-Administrator” bereitgestellten Berechtigungen.

Wenn ein Clusteradministrator oder Entwickler einen Cluster erstellt, stellt er in einer Konfigurationsdatei für Anmeldedaten ein vCenter-Nutzerkonto bereit. Wir empfehlen, dem in einer Konfigurationsdatei für Anmeldedaten aufgeführten vCenter-Nutzerkonto mindestens ein oder mehrere benutzerdefinierte Rollen zuzuweisen, die die für die Cluster-Erstellung und -Verwaltung erforderlichen Mindestberechtigungen haben.

Ein Organisationsadministrator kann zwei verschiedene Ansätze verfolgen:

Sie können mehrere Rollen mit unterschiedlichen Berechtigungen erstellen. Erstellen Sie dann Berechtigungen, die einem Nutzer oder einer Gruppe einzelner vSphere-Objekte die eingeschränkten Rollen zuweisen.
Erstellen Sie eine Rolle mit allen erforderlichen Berechtigungen. Erstellen Sie dann eine globale Berechtigung, die diese Rolle einem bestimmten Nutzer oder einer Gruppe auf allen Objekten in Ihren vSphere-Hierarchien zuweist.

Wir empfehlen den ersten Ansatz, da er den Zugriff begrenzt und die Sicherheit Ihrer vCenter Server-Umgebung erhöht. Weitere Informationen finden Sie unter Rollen zum Zuweisen von Berechtigungen verwenden und Best Practices für Rollen und Berechtigungen.

Informationen zur Verwendung des zweiten Ansatzes finden Sie unter Globale Berechtigung erstellen.

Die folgende Tabelle zeigt vier benutzerdefinierte Rollen, die ein Organisationsadministrator erstellen kann. Der Administrator kann dann die benutzerdefinierten Rollen verwenden, um Berechtigungen für bestimmte vSphere-Objekte zuzuweisen:

Benutzerdefinierte Rolle	Berechtigungen	Objekte	An untergeordnete Objekte weitergeben?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory.Modify cluster	Cluster	Ja
SessionValidator	System.Read System.View System.Anonym Sitzungen.Sitzung überprüfen Cns.Searchable Profilbasierter Speicher.Profilbasierter Speicherzugriff	vCenter-Server rooten	Nein
ReadOnly	System.Read System.View System.Anonymous	Rechenzentrum Netzwerk	Ja
Anthos	Berechtigungen in der Anthos-Rolle	Datenspeicher Ressourcenpool VM-Ordner Netzwerk	Ja

Berechtigungen in der benutzerdefinierten Anthos-Rolle

Rufen Sie die Berechtigungen in der benutzerdefinierten Anthos-Rolle auf.

Kategorie	Berechtigungen
Cloudnativer Speicher	Suchbar
Datastore	Speicherplatz zuordnen In Datenspeicher suchen Datastore konfigurieren Low-Level-Dateivorgänge Datei entfernen VM-Dateien aktualisieren Metadaten für virtuelle Maschinen aktualisieren
Kryptografische Vorgänge	Direktzugriff
Ordner	Ordner erstellen Ordner löschen Ordner verschieben Ordner umbenennen
Inventar hosten	Cluster ändern
vSphere-Tagging	vSphere-Tag erstellen vSphere-Tag löschen Weisen Sie ein vSphere-Tag zu oder heben Sie die Zuweisung auf vSphere-Tag für Objekt zuweisen oder Zuweisung aufheben (vSphere 7)
Sitzungen	Sitzung validieren
Netzwerk	Netz zuweisen
Ressource	Empfehlung anwenden Virtuelle Maschine zu Ressourcenpool zuweisen Ausgeschaltete virtuelle Maschine migrieren Eingeschaltete virtuelle Maschine migrieren vMotion abfragen
Speicheransichten	Anzeigen
System	Anonym Lesen Ansehen
Google Tasks	Aufgabe erstellen Aufgabe aktualisieren
vApp	Import Konfiguration der vApp-Anwendung Konfiguration von vApp-Instanzen
Virtuelle Maschine	Configuration Vorhandenes Laufwerk hinzufügen Neues Laufwerk hinzufügen Gerät hinzufügen oder entfernen Erweiterte Konfiguration CPU-Anzahl ändern Ressource ändern managedBy konfigurieren Verfolgung der Laufwerksänderung umschalten Laufwerksfreigabe erwerben Display-Verbindungseinstellungen Virtuelles Laufwerk erweitern Konfigurieren Sie ein Host-USB-Gerät. Ändern Sie den Speicher. Geräteeinstellungen ändern Kompatibilität – Abfragefehlertoleranz Unbeanspruchte Dateien abfragen Konfigurieren Sie das Standardgerät. Von Pfad neu laden Laufwerk entfernen Umbenennen Gastinformationen zurücksetzen Anmerkung festlegen Ändern Sie die Einstellungen. Ändern Sie die Swapfile-Platzierung. Übergeordnetes Element aktivieren/deaktivieren Kompatibilität – Upgrade von VMs Gastvorgänge Änderung des Gastbetriebs-Alias Abfrage des Gastbetriebs-Alias Gastbetrieb-Änderungen Ausführung des Gastbetriebsprogramms Gastbetrieb-Abfragen Interaktion Frage beantworten Sicherungsvorgang auf der virtuellen Maschine CD-Medien konfigurieren Diskettenmedien konfigurieren Interaktion mit der Console Screenshot erstellen Alle Laufwerke defragmentieren Geräteverbindung Drag-and-drop Gastbetriebssystemverwaltung durch die VIX API USB-HID-Scancodes einfügen Pausieren oder Pausierung aufheben Lösch- oder Verkleinerungsvorgänge ausführen Ausschalten Einschalten Sitzung auf virtueller Maschine aufzeichnen Sitzung auf virtueller Maschine noch einmal abspielen Zurücksetzen Fehlertoleranz fortsetzen Sperren Fehlertoleranz aussetzen Failover testen Neustart der sekundären VM testen Fehlertoleranz deaktivieren Fehlertoleranz aktivieren Installation der VMware-Tools Inventar Aus vorhandenen erstellen Neu erstellen Verschieben Anmelden Entfernen Registrierung aufheben Wird bereitgestellt Laufwerkzugriff zulassen Dateizugriff zulassen Schreibgeschützten Zugriff zulassen Herunterladen von virtuellen Maschinen zulassen Hochladen von VM-Dateien zulassen Vorlage klonen Virtuelle Maschine klonen Vorlage aus virtueller Maschine erstellen Passen Sie den Gast an. Vorlage bereitstellen Als Vorlage markieren Als virtuelle Maschine markieren Anpassungsspezifikation ändern Laufwerke hochstufen Anpassungsspezifikationen lesen Dienstkonfiguration Benachrichtigungen zulassen. Abfrage globaler Ereignisbenachrichtigungen zulassen Dienstkonfigurationen verwalten Dienstkonfiguration ändern Dienstkonfigurationen abfragen Dienstkonfiguration lesen Snapshot-Verwaltung Snapshot erstellen Snapshot entfernen Snapshot umbenennen Auf Snapshot zurücksetzen vSphere-Replikation Replikation konfigurieren Replikation verwalten Replikation beobachten

Benutzerdefinierte Rollen und Berechtigungen erstellen

Ein Organisationsadministrator kann mit dem govc-Befehlszeilentool benutzerdefinierte Rollen und Berechtigungen erstellen.

Der Administrator der Organisation muss ein vCenter Server-Konto haben, das über ausreichende Berechtigungen zum Erstellen von Rollen und Berechtigungen verfügt. Ein Konto mit der Rolle „Administrator” wäre beispielsweise angemessen.

Legen Sie vor dem Ausführen von govc einige Umgebungsvariablen fest:

Legen Sie die GOVC_URL auf die URL Ihrer vCenter-Server-Instanz fest.
Legen Sie den GOVC_USERNAME auf den Nutzernamen des vCenter Server-Kontos des Organisationsadministrators fest.
Legen Sie das GOVC_PASSWORD auf das Passwort des vCenter Server-Kontos des Organisationsadministrators fest.

Beispiel:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Benutzerdefinierte Rollen erstellen

Erstellen Sie die benutzerdefinierten Rollen „ClusterEditor”, „SessionValidator” und „ReadOnly”:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Session.ValidateSessions Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Rufen Sie den Befehl zum Erstellen der benutzerdefinierten Anthos-Rolle auf.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Annotation
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Berechtigung erstellen, die die Rolle „Clusterbearbeiter” gewährt

Bei Berechtigungen wird ein Objekt (Nutzer, Rolle) mit einem Objekt verknüpft. Wenn Sie eine Berechtigung für ein Objekt zuweisen, können Sie angeben, ob die Berechtigung an untergeordnete Objekte weitergegeben wird. Bei govc setzen Sie das Flag --propagate entweder auf true oder false. Der Standardwert ist false.

Erstellen Sie eine Berechtigung, mit der einem Nutzer für ein Clusterobjekt die Rolle „Clusterbearbeiter” zugewiesen wird. Diese Berechtigung wird an alle untergeordneten Objekte des Clusterobjekts weitergegeben:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Dabei gilt:

ACCOUNT: Das vCenter Server-Nutzerkonto, dem die Rolle zugewiesen wird
CLUSTER_PATH: Pfad des Clusters in der vSphere-Objekthierarchie

Der folgende Befehl erstellt beispielsweise eine Berechtigung, die das Paar (bob@vsphere.local, ClusterEditor mit my-dc/host/my-cluster) verknüpft. Die Berechtigung wird an alle untergeordneten Objekte von „my-dc/host/my-cluster” weitergegeben:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Zusätzliche Berechtigungen erstellen

Dieser Abschnitt enthält Beispiele zum Erstellen zusätzlicher Berechtigungen. Ersetzen Sie die Beispielobjektpfade nach Ihrer Umgebung.

Erstellen Sie eine Berechtigung, die einem Konto im Root-vCenter-Serverobjekt die Rolle „SessionValidator” zuweist. Diese Berechtigung wird nicht für untergeordnete Objekte weitergegeben:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Erstellen Sie Berechtigungen, die einem Konto für ein Rechenzentrumsobjekt und ein Netzwerkobjekt die Rolle „ReadOnly” zuweisen. Diese Berechtigungen werden an untergeordnete Objekte weitergegeben:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Erstellen Sie Berechtigungen, die einem Konto die Rolle Anthos für vier Objekte zuweisen: einen Datenspeicher, einen VM-Ordner, einen Ressourcenpool und ein Netzwerk. Diese Berechtigungen werden an untergeordnete Objekte weitergegeben:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Globale Berechtigung erstellen

Dieser Abschnitt bietet eine Alternative zum Erstellen mehrerer Rollen und Berechtigungen. Wir empfehlen diesen Ansatz nicht, da er eine große Anzahl von Berechtigungen für alle Objekte in Ihren vSphere-Hierarchien gewährt.

Wenn Sie die benutzerdefinierte Anthos-Rolle noch nicht erstellt haben, erstellen Sie sie jetzt.

Erstellen Sie eine globale Berechtigung:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Dabei gilt:

Ersetzen Sie ACCOUNT durch das vCenter Server-Nutzerkonto, dem die Rolle zugewiesen wird.

Mit dem folgenden Befehl wird beispielsweise eine globale Berechtigung erstellt, die bob@vsphere.local die Anthos-Rolle zuweist. Diese Berechtigung gilt dann für alle Objekte in Ihren vSphere-Hierarchien:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Bekannte Probleme

Siehe Installationsprogramm schlägt beim Erstellen eines vSphere-Datenlaufwerks fehl.

Nächste Schritte

CPU-, RAM- und Speicherbedarf