Esta página foi traduzida pela API Cloud Translation.

Requisitos do vSphere

O Google Distributed Cloud é executado nas suas instalações num ambiente vSphere. Este documento descreve os requisitos para o seu ambiente vSphere.

Esta página destina-se a administradores e arquitetos que definem soluções de TI e a arquitetura do sistema de acordo com a estratégia da empresa, e criam e gerem políticas relacionadas com autorizações dos utilizadores. Para saber mais sobre as funções comuns e as tarefas de exemplo a que fazemos referência no Google Cloud conteúdo, consulte Funções e tarefas comuns de utilizadores do GKE.

Compatibilidade de versões

Os requisitos do vSphere variam consoante a versão do Google Distributed Cloud que está a usar. Para mais informações, consulte a matriz de compatibilidade de versões para versões totalmente suportadas.

Versões suportadas

vSphere é o software de virtualização de servidores da VMware. O vSphere inclui o ESXi e o vCenter Server.

O Google Distributed Cloud suporta estas versões do ESXi e do vCenter Server

7.0 Update 2 e atualizações posteriores da versão 7.0
Atualizações 8.0 e posteriores da versão 8.0

Recomendamos que use a versão 8.0, a versão 7.0 com a atualização 3 ou uma atualização posterior da versão 7.0.

Se quiser criar instantâneos de volumes de CSI, tem de ter uma das seguintes versões:

7.0 Update 3 ou uma atualização posterior da versão 7.0
8.0 ou uma atualização posterior da versão 8.0

Requisitos de licença

Precisa de uma das seguintes licenças:

Licença vSphere Enterprise Plus. Juntamente com esta licença, tem de ter uma subscrição de apoio técnico válida.
Licença vSphere Standard. Juntamente com esta licença, tem de ter uma subscrição de apoio técnico válida. Com esta licença, não pode ativar os grupos de anti-afinidade. Além disso, não pode especificar o seu próprio conjunto de recursos. Tem de usar o conjunto de recursos predefinido.

Requisitos de hardware

O Google Distributed Cloud é executado num conjunto de anfitriões físicos que executam o hipervisor ESXi da VMware. Para saber mais sobre os requisitos de hardware do ESXi, consulte o artigo Requisitos de hardware do ESXi.

Para ambientes de produção, recomendamos vivamente o seguinte:

Ative o VMware Distributed Resource Scheduler (DRS).
Tenha, pelo menos, quatro anfitriões ESXi disponíveis para as VMs do cluster.
Ative o tráfego de cópia de ficheiros de rede (NFC) entre os anfitriões ESXi para permitir a partilha de modelos de SO, se planear implementar clusters do Anthos no VMware em diferentes clusters vSphere ou pools de recursos no mesmo centro de dados do vSphere.
Defina antiAffinityGroups.enabled como true nos ficheiros de configuração do cluster.

Se definir antiAffinityGroups.enabled como true, o Google Distributed Cloud cria regras de antiafinidade do DRS para os nós do cluster, o que faz com que sejam distribuídos por, pelo menos, três anfitriões ESXi físicos. Embora as regras do DRS exijam que os nós do cluster estejam distribuídos por três anfitriões ESXi, recomendamos vivamente que tenha, pelo menos, quatro anfitriões ESXi disponíveis. Isto protege-o contra a perda do plano de controlo do cluster. Por exemplo, suponha que tem apenas três anfitriões ESXi e que o nó do plano de controlo do cluster de administrador está num anfitrião ESXi com falhas. A regra DRS impede que o nó do plano de controlo seja colocado num dos dois anfitriões ESXi restantes.

Para avaliação e prova de conceito, pode definir antiAffinityGroups.enabled como false e usar apenas um anfitrião ESXi. Para mais informações, consulte o artigo Configure uma infraestrutura mínima.

Privilégios da conta de utilizador do vCenter

Para configurar um ambiente vSphere, um administrador da organização pode optar por usar uma conta de utilizador do vCenter que tenha a função de administrador do vCenter Server. Esta função oferece acesso total a todos os objetos do vSphere.

Depois de configurar o ambiente do vSphere, um administrador do cluster pode criar clusters de administrador e clusters de utilizadores. O administrador do cluster não precisa de todos os privilégios fornecidos pela função de administrador do vCenter Server.

Quando um administrador ou um programador de clusters cria um cluster, fornece uma conta de utilizador do vCenter num ficheiro de configuração de credenciais. Recomendamos que a conta de utilizador do vCenter que consta de um ficheiro de configuração de credenciais lhe seja atribuída uma ou mais funções personalizadas que tenham os privilégios mínimos necessários para a criação e a gestão de clusters.

Existem duas abordagens diferentes que um administrador da organização pode adotar:

Crie várias funções com diferentes graus de privilégio. Em seguida, crie autorizações que atribuam essas funções limitadas a um utilizador ou um grupo em objetos individuais do vSphere.
Crie uma função com todos os privilégios necessários. Em seguida, crie uma autorização global que atribui essa função a um utilizador ou grupo específico em todos os objetos nas suas hierarquias do vSphere.

Recomendamos a primeira abordagem, porque limita o acesso e aumenta a segurança do seu ambiente do vCenter Server. Para mais informações, consulte os artigos Usar funções para atribuir privilégios e Práticas recomendadas para funções e autorizações

Para ver informações sobre como usar a segunda abordagem, consulte o artigo Crie uma autorização global.

A tabela seguinte mostra quatro funções personalizadas que um administrador da organização pode criar. O administrador pode, em seguida, usar as funções personalizadas para atribuir autorizações a objetos vSphere específicos:

Função personalizada	Privilégios	Objetos	Propagar para objetos secundários?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory.Modify cluster	cluster	Sim
SessionValidator	System.Read System.View System.Anonymous Sessions.Validate session Cns.Searchable Profile-driven storage.Profile-driven storage view	Servidor vCenter raiz	Não
ReadOnly	System.Read System.View System.Anonymous	centro de dados rede	Sim
Anthos	Privilégios na função do Anthos	datastore resource pool VM folder network	Sim

Privilégios na função personalizada do Anthos

Veja os privilégios na função personalizada do Anthos.

Categoria	Privilégios
Cloud Native Store	Pesquisável
Datastore	Atribua espaço Procurar armazenamento de dados Configure o armazenamento de dados Operações de ficheiros de baixo nível Remover ficheiro Atualize os ficheiros da máquina virtual Atualize os metadados da máquina virtual
Operações criptográficas	Acesso direto
Pasta	Criar pasta Eliminar pasta Mova a pasta Mude o nome da pasta
Inventário do anfitrião	Modificar cluster
Etiquetagem do vSphere	Crie uma etiqueta do vSphere Elimine a etiqueta do vSphere Atribua ou desatribua uma etiqueta do vSphere Atribua ou desatribua uma etiqueta do vSphere a um objeto (vSphere 7)
Sessões	Valide a sessão
Rede	Atribua uma rede
Recurso	Aplicar recomendação Atribua a máquina virtual ao conjunto de recursos Migre a máquina virtual desligada Migre a máquina virtual ligada Query vMotion
Vistas de armazenamento	Ver
Sistema	Anónimo Leitura Ver
Tarefas	Criar tarefa Atualizar tarefa
vApp	Importar Configuração da aplicação vApp Configuração da instância da vApp
Máquina virtual	Configuração Adicione um disco existente Adicione um novo disco Adicione ou remova um dispositivo Configuração avançada Altere a quantidade de CPUs Alterar recurso Configure o atributo managedBy Ative/desative a monitorização de alterações do disco Adquira a concessão do disco Apresente as definições de ligação Expanda o disco virtual Configure o dispositivo USB anfitrião. Altere a memória. Modifique as definições do dispositivo Consultar compatibilidade de tolerância a falhas Consultar ficheiros não pertencentes ao utilizador Configure o dispositivo não processado. Atualize a partir do caminho Remova o disco Mudar o nome Reponha as informações do convidado Definir anotação Alterar definições. Altere o posicionamento do ficheiro de troca. Ativar/desativar ramificação principal Atualize a compatibilidade da máquina virtual Operações de convidados Modificação do alias de funcionamento do convidado Consulta de alias de operação de convidado Modificações de funcionamento dos hóspedes Execução do programa de operações de hóspedes Consultas de funcionamento de convidados Interação Responder à pergunta Operação de cópia de segurança na máquina virtual Configure o suporte de CD Configure suportes de disquetes Interação com a consola Crie uma captura de ecrã Desfragmente todos os discos Ligação do dispositivo Arrastar e largar Gestão do sistema operativo convidado pela API VIX Injete códigos de leitura HID USB Pausar ou retomar Efetue operações de limpeza ou redução Desligar Ligar Grave a sessão na máquina virtual Repetição da sessão na máquina virtual Repor Retomar tolerância a falhas Suspender Suspenda a tolerância a falhas Teste de comutação por falha Teste de reinício da VM secundária Desative a tolerância a falhas Ative a tolerância a falhas Instalação do VMware Tools Inventário Criar a partir de existente Criar novo Mover Registar-se Remover Remover registo Aprovisionamento Permita o acesso ao disco Permitir o acesso aos ficheiros Permitir acesso só de leitura ao disco Permitir a transferência de máquinas virtuais Permitir o carregamento de ficheiros de máquinas virtuais Clonar modelo Clone a máquina virtual Crie um modelo a partir de uma máquina virtual Personalize o convidado. Implemente o modelo Marcar como modelo Marque como máquina virtual Modifique a especificação de personalização Promova discos Leia as especificações de personalização Configuração do serviço Permitir notificações Permitir a sondagem de notificações de eventos globais Faça a gestão das configurações de serviços Modifique a configuração do serviço Consultar configurações do serviço Ler configuração do serviço Gestão de instantâneos Criar instantâneo Remova o instantâneo Mude o nome do instantâneo Reverta para o instantâneo Replicação do vSphere Configure a replicação Faça a gestão da replicação Monitorize a replicação

Crie funções e autorizações personalizadas

Um administrador da organização pode usar a ferramenta de linha de comandos govc para criar funções e autorizações personalizadas.

O administrador da organização tem de ter uma conta do vCenter Server com privilégios suficientes para criar funções e autorizações. Por exemplo, uma conta com a função de administrador seria adequada.

Antes de executar govc, defina algumas variáveis de ambiente:

Defina GOVC_URL como o URL da sua instância do vCenter Server.
Defina GOVC_USERNAME como o nome de utilizador da conta do vCenter Server do administrador da organização.
Defina GOVC_PASSWORD como a palavra-passe da conta do vCenter Server do administrador da organização.

Por exemplo:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Criar funções personalizadas

Crie as funções personalizadas ClusterEditor, SessionValidator e ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Veja o comando para criar a função personalizada do Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Crie uma autorização que conceda a função ClusterEditor

Uma autorização usa um par (utilizador, função) e associa-o a um objeto. Quando atribui uma autorização a um objeto, pode especificar se a autorização é propagada a objetos subordinados. Com govc, pode fazê-lo definindo a flag --propagate como true ou false. A predefinição é false.

Crie uma autorização que conceda a função ClusterEditor a um utilizador num objeto de cluster. Esta autorização propaga-se a todos os objetos secundários do objeto de cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Substitua o seguinte:

ACCOUNT: a conta de utilizador do servidor vCenter à qual está a ser concedida a função
CLUSTER_PATH: o caminho do cluster na hierarquia de objetos do vSphere

Por exemplo, o seguinte comando cria uma autorização que associa o par (bob@vsphere.local, ClusterEditor) a my-dc/host/my-cluster. A autorização é propagada a todos os objetos subordinados de my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Crie autorizações adicionais

Esta secção apresenta exemplos de criação de autorizações adicionais. Substitua os caminhos dos objetos de exemplo conforme necessário para o seu ambiente.

Crie uma autorização que conceda a função SessionValidator a uma conta no objeto do servidor vCenter raiz. Esta autorização não é propagada a objetos secundários:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Crie autorizações que concedam a função ReadOnly a uma conta num objeto de centro de dados e num objeto de rede. Estas autorizações propagam-se aos objetos secundários:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crie autorizações que concedam a função do Anthos a uma conta em quatro objetos: um arquivo de dados, uma pasta de VMs, um conjunto de recursos e uma rede. Estas autorizações propagam-se aos objetos secundários:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crie uma autorização global

Esta secção apresenta uma alternativa à criação de várias funções e várias autorizações. Não recomendamos esta abordagem porque concede um grande conjunto de privilégios em todos os objetos nas suas hierarquias do vSphere.

Se ainda não criou a função personalizada do Anthos, crie-a agora.

Crie uma autorização global:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true