GKE di VMware berjalan di lokasi Anda di lingkungan vSphere. Dokumen ini menjelaskan persyaratan untuk lingkungan vSphere Anda.
Kompatibilitas versi
Persyaratan vSphere bervariasi sesuai dengan versi GKE di VMware yang Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat matriks kompatibilitas versi untuk versi yang didukung sepenuhnya dan versi sebelumnya.
Versi yang didukung
vSphere adalah software virtualisasi server VMware. vSphere mencakup ESXi dan vCenter Server.
GKE di VMware mendukung versi ESXi dan vCenter Server ini
- 7.0 Update 2 dan update yang lebih baru dari versi 7.0
- Update 8.0 dan yang lebih baru dari versi 8.0
Kami menyarankan Anda menggunakan 8.0, atau 7.0 Update 3, atau update yang lebih baru dari versi 7.0.
Jika ingin membuat snapshot volume CSI, Anda harus memiliki salah satu versi berikut:
- 7.0 Update 3 atau update yang lebih baru dari versi 7.0
- 8.0 atau pembaruan yang lebih baru dari versi 8.0
Persyaratan lisensi
Anda memerlukan salah satu lisensi berikut:
Lisensi vSphere Enterprise Plus. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid.
lisensi vSphere Standard. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid. Dengan lisensi ini, Anda tidak dapat mengaktifkan grup anti-afinitas. Selain itu, Anda tidak dapat menentukan kumpulan resource Anda sendiri. Anda harus menggunakan kumpulan resource default.
Persyaratan hardware
GKE di VMware berjalan pada sekumpulan host fisik yang menjalankan hypervisor ESXi VMware. Guna mempelajari persyaratan hardware untuk ESXi, lihat Persyaratan Hardware ESXi.
Untuk lingkungan produksi, kami sangat merekomendasikan hal berikut:
Memiliki minimal empat host ESXi yang tersedia untuk VM cluster Anda.
Aktifkan traffic Network File Copy (NFC) di antara host ESXi untuk mengizinkan berbagi template OS, jika Anda berencana men-deploy cluster Anthos di VMware pada cluster vSphere atau kumpulan resource yang berbeda dalam pusat data vSphere yang sama.
Tetapkan
antiAffinityGroups.enabled
ketrue
dalam file konfigurasi cluster Anda.
Jika Anda menetapkan antiAffinityGroups.enabled
ke true
, GKE di VMware akan membuat aturan anti-afinitas DRS untuk node cluster Anda, yang menyebabkan node tersebut disebar di setidaknya tiga host ESXi fisik. Meskipun aturan DRS mengharuskan node cluster tersebar di tiga host ESXi, kami sangat menyarankan Anda untuk memiliki minimal empat host ESXi. Tindakan ini akan melindungi Anda
agar tidak kehilangan bidang kontrol cluster. Misalnya, Anda hanya memiliki tiga host ESXi, dan node bidang kontrol cluster admin Anda berada di host ESXi yang gagal. Aturan DRS akan mencegah node bidang kontrol ditempatkan pada salah satu dari dua host ESXi yang tersisa.
Untuk evaluasi dan bukti konsep, Anda dapat menetapkan antiAffinityGroups.enabled
ke
false
, dan hanya menggunakan satu host ESXi. Untuk mengetahui informasi selengkapnya, lihat
Menyiapkan infrastruktur minimal.
Hak istimewa akun pengguna vCenter
Untuk menyiapkan lingkungan vSphere, administrator organisasi dapat memilih untuk menggunakan akun pengguna vCenter yang memiliki peran Administrator Server vCenter. Peran ini memberikan akses penuh ke semua objek vSphere.
Setelah lingkungan vSphere disiapkan, administrator cluster dapat membuat cluster admin dan cluster pengguna. Administrator cluster tidak memerlukan semua hak istimewa yang diberikan oleh peran Administrator Server vCenter.
Saat membuat cluster, administrator atau developer cluster akan memberikan akun pengguna vCenter dalam file konfigurasi kredensial. Sebaiknya akun pengguna vCenter yang tercantum dalam file konfigurasi kredensial diberi satu atau beberapa peran khusus yang memiliki hak istimewa minimum yang diperlukan untuk pembuatan dan pengelolaan cluster.
Ada dua pendekatan berbeda yang dapat dilakukan administrator organisasi:
Buat beberapa peran dengan berbagai tingkat hak istimewa. Kemudian, buat izin yang menetapkan peran terbatas tersebut kepada pengguna atau grup pada setiap objek vSphere.
Buat satu peran yang memiliki semua hak istimewa yang diperlukan. Kemudian, buat izin global yang menetapkan peran tersebut kepada pengguna atau grup tertentu pada semua objek dalam hierarki vSphere Anda.
Kami menyarankan pendekatan pertama karena membatasi akses dan meningkatkan keamanan lingkungan Server vCenter Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran untuk Menetapkan Hak Istimewa dan Praktik Terbaik untuk Peran dan Izin
Untuk informasi tentang penggunaan pendekatan kedua, lihat Membuat satu izin global.
Tabel berikut menunjukkan empat peran khusus yang dapat dibuat oleh administrator organisasi. Administrator kemudian dapat menggunakan peran khusus untuk menetapkan izin pada objek vSphere tertentu:
Peran khusus | Hak Istimewa | Objek | Memperluas ke objek turunan? |
---|---|---|---|
ClusterEditor |
System.Read System.View System.Anonymous Host.Inventory.Modify cluster |
cluster | Ya |
SessionValidator |
System.Read System.View System.Anonymous Sesi.Validasi sesi Cns.Searchable Penyimpanan berdasarkan profil.Tampilan penyimpanan berdasarkan profil |
Server vCenter Root | Tidak |
ReadOnly |
System.Read System.View System.Anonymous |
pusat data jaringan |
Ya |
Anthos | Hak istimewa dalam peran Anthos |
datastore kumpulan resource Folder VM jaringan |
Ya |
Hak istimewa dalam peran khusus Anthos
Membuat peran dan izin khusus
Administrator organisasi dapat menggunakan alat command line govc untuk membuat peran dan izin khusus.
Administrator organisasi harus memiliki akun Server vCenter yang memiliki hak istimewa yang memadai untuk membuat peran dan izin. Misalnya, akun yang memiliki peran Administrator adalah akun yang sesuai.
Sebelum menjalankan govc
, tetapkan beberapa variabel lingkungan:
Tetapkan GOVC_URL ke URL instance vCenter Server Anda.
Tetapkan GOVC_USERNAME ke nama pengguna akun Server vCenter administrator organisasi.
Setel GOVC_PASSWORD ke sandi akun Server vCenter administrator organisasi.
Contoh:
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Membuat peran ubahsuaian
Buat peran khusus ClusterEditor, SessionValidator, dan ReadOnly:
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Membuat izin yang memberikan peran ClusterEditor
Izin mengambil pasangan (pengguna, peran) dan mengaitkannya dengan objek. Saat menetapkan izin pada sebuah objek, Anda dapat menentukan apakah izin tersebut berlaku untuk objek turunan. Dengan govc
, Anda melakukannya dengan menetapkan tanda --propagate
ke true
atau false
. Defaultnya adalah false
.
Buat izin yang memberikan peran ClusterEditor kepada pengguna di objek cluster. Izin ini menyebar ke semua objek turunan dari objek cluster:
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Ganti kode berikut:
ACCOUNT: akun pengguna Server vCenter yang diberi peran
CLUSTER_PATH: jalur cluster dalam hierarki objek vSphere
Misalnya, perintah berikut akan membuat izin yang mengaitkan pasangan ini (bob@vsphere.local, ClusterEditor dengan my-dc/host/my-cluster. Izin tersebut diterapkan ke semua objek turunan pada my-dc/host/my-cluster:
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Membuat izin tambahan
Bagian ini memberikan contoh pembuatan izin tambahan. Ganti contoh jalur objek sesuai kebutuhan untuk lingkungan Anda.
Buat izin yang memberikan peran SessionValidator ke akun di objek Server vCenter root. Izin ini tidak diterapkan ke objek turunan:
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Buat izin yang memberikan peran ReadOnly ke akun di objek pusat data dan objek jaringan. Izin ini diterapkan ke objek turunan:
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Buat izin yang memberikan peran Anthos ke akun di empat objek: datastore, folder VM, kumpulan resource, dan jaringan. Izin ini disebarkan ke objek turunan:
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Buat satu izin global
Bagian ini memberikan alternatif untuk membuat beberapa peran dan beberapa izin. Kami tidak merekomendasikan pendekatan ini karena memberikan banyak hak istimewa pada semua objek dalam hierarki vSphere Anda.
Jika Anda belum membuat peran khusus Anthos, buat sekarang.
Buat satu izin global:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Ganti kode berikut:
Ganti ACCOUNT dengan akun pengguna Server vCenter yang diberi peran
Misalnya, perintah berikut membuat izin global yang memberikan peran Anthos ke bob@vsphere.local. Izin ini menyebar ke semua objek dalam hierarki vSphere Anda:
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Masalah umum
Lihat Penginstal gagal saat membuat datadisk vSphere.
Langkah selanjutnya
Persyaratan CPU, RAM, dan penyimpanan