Los clústeres de Anthos en VMware ahora son Google Distributed Cloud (solo software) para VMware. Para obtener más información, consulta la descripción general del producto.

Esta página se ha traducido con Cloud Translation API.

Requisitos de vSphere

Google Distributed Cloud se ejecuta en tus instalaciones en un entorno de vSphere. En este documento se describen los requisitos de tu entorno de vSphere.

Esta página está dirigida a administradores y arquitectos que definen soluciones de TI y arquitecturas de sistemas de acuerdo con la estrategia de la empresa, y que crean y gestionan políticas relacionadas con los permisos de los usuarios. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas de usuario habituales de GKE.

Compatibilidad de versiones

Los requisitos de vSphere varían en función de la versión de Google Distributed Cloud que utilices. Para obtener más información, consulta la matriz de compatibilidad de versiones totalmente compatibles.

Versiones compatibles

vSphere es el software de virtualización de servidores de VMware. vSphere incluye ESXi y vCenter Server.

Google Distributed Cloud admite estas versiones de ESXi y vCenter Server.

7.0 Update 2 y actualizaciones posteriores de la versión 7.0
Actualizaciones 8.0 y posteriores de la versión 8.0

Te recomendamos que uses la versión 8.0, la 7.0 Update 3 o una actualización posterior de la versión 7.0.

Si quieres crear snapshots de volúmenes de CSI, debes tener una de las siguientes versiones:

7.0 Update 3 o una actualización posterior de la versión 7.0
8.0 o una actualización posterior de la versión 8.0

Licencias obligatorias

Necesitas una de las siguientes licencias:

Licencia de vSphere Enterprise Plus. Además de esta licencia, debes tener una suscripción de asistencia válida.
Licencia estándar de vSphere. Además de esta licencia, debes tener una suscripción de asistencia válida. Con esta licencia, no puedes habilitar grupos antiafinidad. Además, no puedes especificar tu propio grupo de recursos. Debes usar el grupo de recursos predeterminado.

Requisitos de hardware

Google Distributed Cloud se ejecuta en un conjunto de hosts físicos que ejecutan el hipervisor ESXi de VMware. Para obtener información sobre los requisitos de hardware de ESXi, consulta Requisitos de hardware de ESXi.

En los entornos de producción, te recomendamos que hagas lo siguiente:

Habilita VMware Distributed Resource Scheduler (DRS).
Tener al menos cuatro hosts ESXi disponibles para las máquinas virtuales del clúster.
Habilita el tráfico de copia de archivos de red (NFC) entre hosts ESXi para permitir el uso compartido de plantillas de SO si tienes previsto desplegar clústeres de Anthos en VMware en diferentes clústeres de vSphere o grupos de recursos dentro del mismo centro de datos de vSphere.
Asigna el valor true a antiAffinityGroups.enabled en los archivos de configuración del clúster.

Si asignas el valor true a antiAffinityGroups.enabled, Google Distributed Cloud crea reglas de antiafinidad de DRS para los nodos de tu clúster, lo que hace que se distribuyan en al menos tres hosts ESXi físicos. Aunque las reglas de DRS requieren que los nodos del clúster se distribuyan en tres hosts ESXi, te recomendamos que tengas disponibles al menos cuatro hosts ESXi. De esta forma, no perderás el plano de control del clúster. Por ejemplo, supongamos que solo tienes tres hosts ESXi y que el nodo del plano de control de tu clúster de administrador está en un host ESXi que falla. La regla de DRS evitará que el nodo del plano de control se coloque en uno de los dos hosts ESXi restantes.

Para la evaluación y la prueba de concepto, puedes definir antiAffinityGroups.enabled en false y usar solo un host ESXi. Para obtener más información, consulta el artículo Configurar una infraestructura mínima.

Privilegios de la cuenta de usuario de vCenter

Para configurar un entorno de vSphere, un administrador de la organización puede usar una cuenta de usuario de vCenter que tenga el rol de administrador de vCenter Server. Este rol proporciona acceso completo a todos los objetos de vSphere.

Una vez configurado el entorno de vSphere, un administrador de clústeres puede crear clústeres de administradores y de usuarios. El administrador del clúster no necesita todos los privilegios que proporciona el rol Administrador de vCenter Server.

Cuando un administrador o un desarrollador de clústeres crea un clúster, proporciona una cuenta de usuario de vCenter en un archivo de configuración de credenciales. Te recomendamos que a la cuenta de usuario de vCenter que aparece en un archivo de configuración de credenciales se le asigne uno o varios roles personalizados que tengan los privilegios mínimos necesarios para crear y gestionar clústeres.

Un administrador de una organización puede adoptar dos enfoques diferentes:

Crea varios roles con diferentes grados de privilegio. A continuación, crea permisos que asignen esos roles limitados a un usuario o grupo en objetos de vSphere concretos.
Crea un rol que tenga todos los privilegios necesarios. A continuación, crea un permiso global que asigne ese rol a un usuario o grupo concreto en todos los objetos de tus jerarquías de vSphere.

Te recomendamos que utilices el primer método, ya que limita el acceso y aumenta la seguridad de tu entorno de vCenter Server. Para obtener más información, consulta los artículos Usar roles para asignar privilegios y Prácticas recomendadas para roles y permisos.

Para obtener información sobre cómo usar el segundo método, consulta Crear un permiso global.

En la siguiente tabla se muestran cuatro funciones personalizadas que puede crear un administrador de la organización. A continuación, el administrador puede usar los roles personalizados para asignar permisos a objetos de vSphere específicos:

Función personalizada	Privilegios	Objetos	¿Propagar a los objetos secundarios?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory.Modify cluster	clúster	Sí
SessionValidator	System.Read System.View System.Anonymous Sessions.Validate session Cns.Searchable Profile-driven storage.Profile-driven storage view	Servidor raíz de vCenter	No
ReadOnly	System.Read System.View System.Anonymous	centro de datos red	Sí
Anthos	Privilegios del rol de Anthos	datastore grupo de recursos carpeta de máquinas virtuales red	Sí

Privilegios del rol personalizado de Anthos

Consulta los privilegios del rol personalizado de Anthos.

Categoría	Privilegios
Cloud Native Store	Disponible para búsquedas
Datastore	Asignar espacio Consultar almacén de datos Configurar el almacén de datos Operaciones de archivos de bajo nivel Eliminar archivo Actualizar archivos de máquinas virtuales Actualizar los metadatos de una máquina virtual
Operaciones criptográficas	Acceso directo
Carpeta	Crear carpeta Eliminar carpeta Mover carpeta Cambiar el nombre de la carpeta
Inventario de hosts	Modificar clúster
Etiquetado de vSphere	Crear etiqueta de vSphere Eliminar etiqueta de vSphere Asignar o quitar una etiqueta de vSphere Asignar o quitar una etiqueta de vSphere a un objeto (vSphere 7)
Sesiones	Validar la sesión
Red	Asignar red
Recurso	Aplicar recomendación Asignar una máquina virtual a un grupo de recursos Migrar una máquina virtual apagada Migrar una máquina virtual encendida Consultar vMotion
Vistas de almacenamiento	Ver
Sistema	Anónimo Leer Ver
Tasks	Crear tarea Actualizar tarea
vApp	Importar Configuración de aplicaciones de vApp Configuración de la instancia de vApp
Máquina virtual	Configuración Añadir disco disponible Añadir disco nuevo Añadir o quitar un dispositivo Configuración avanzada Cambiar el número de CPUs Cambiar recurso Configurar managedBy Activar o desactivar el seguimiento de cambios en el disco Adquirir una concesión de disco Mostrar los ajustes de conexión Ampliar un disco virtual Configura el dispositivo USB host. Cambiar memoria. Modificar los ajustes del dispositivo Consultar la compatibilidad con la tolerancia a fallos Consultar archivos sin propietario Configura el dispositivo sin formato. Volver a cargar desde la ruta Eliminar disco Cambiar nombre Restablecer información de invitado Definir una anotación Cambiar configuración. Cambiar la ubicación del archivo de intercambio. Alternar el elemento superior de la bifurcación Actualizar la compatibilidad de la máquina virtual Operaciones de invitado Modificación del alias de operación de invitado Consulta de alias de operación de invitado Modificaciones en el funcionamiento de los huéspedes Ejecución del programa de operaciones de invitado Consultas de operaciones de invitados Interacción Responder a la pregunta Operación de copia de seguridad en una máquina virtual Configurar medios de CD Configurar medios extraíbles Interacción con la consola Create screenshot Desfragmentar todos los discos Conexión del dispositivo Arrastrar y soltar Gestión del sistema operativo invitado mediante la API VIX Inyectar códigos de escaneo HID USB Pausar o reanudar Realizar operaciones de borrado o reducción Apagar Encendido Grabar una sesión en una máquina virtual Repetir una sesión en una máquina virtual Restablecer Reanudar tolerancia a fallos Suspender Suspender tolerancia a fallos Prueba de conmutación por error Prueba de reinicio de VM secundaria Desactivar la tolerancia a fallos Activar la tolerancia a fallos Instalación de VMware Tools Inventario Crear a partir de una plantilla Crear Mover Registrarse Quitar Dar de baja Aprovisionando Permitir acceso al disco Permitir acceso al archivo Permitir acceso de solo lectura al disco Permitir la descarga de máquinas virtuales Permitir la subida de archivos de máquinas virtuales Clonar plantilla Clonar máquina virtual Crear una plantilla a partir de una máquina virtual Personalizar invitado. Desplegar plantilla Marcar como plantilla Marcar como máquina virtual Modificar la especificación de personalización Promocionar discos Leer las especificaciones de personalización Configuración del servicio Permitir notificaciones Permitir el sondeo de notificaciones de eventos globales Gestionar configuraciones de servicios Modificar la configuración del servicio Consultar configuraciones de servicios Leer la configuración del servicio Gestión de capturas Crear captura Eliminar captura Cambiar el nombre de una instantánea Volver a la captura Replicación de vSphere Configurar la replicación Gestionar replicación Monitorizar la replicación

Crear roles y permisos personalizados

Un administrador de una organización puede usar la herramienta de línea de comandos govc para crear roles y permisos personalizados.

El administrador de la organización debe tener una cuenta de vCenter Server con privilegios suficientes para crear roles y permisos. Por ejemplo, una cuenta con el rol de administrador sería adecuada.

Antes de ejecutar govc, define algunas variables de entorno:

Define GOVC_URL como la URL de tu instancia de vCenter Server.
Asigna a GOVC_USERNAME el nombre de usuario de la cuenta de vCenter Server del administrador de la organización.
Asigna a GOVC_PASSWORD la contraseña de la cuenta de administrador de la organización de vCenter Server.

Por ejemplo:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Cómo crear funciones personalizadas

Crea los roles personalizados ClusterEditor, SessionValidator y ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Consulta el comando para crear el rol personalizado de Anthos.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Crea un permiso que conceda el rol ClusterEditor

Un permiso toma un par (usuario, rol) y lo asocia a un objeto. Cuando asignas un permiso a un objeto, puedes especificar si el permiso se propaga a los objetos secundarios. Con govc, puedes hacerlo asignando a la marca --propagate el valor true o false. El valor predeterminado es false.

Crea un permiso que conceda el rol ClusterEditor a un usuario en un objeto de clúster. Este permiso se propaga a todos los objetos secundarios del objeto de clúster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Haz los cambios siguientes:

ACCOUNT: la cuenta de usuario de vCenter Server a la que se le concede el rol
CLUSTER_PATH: la ruta del clúster en la jerarquía de objetos de vSphere

Por ejemplo, el siguiente comando crea un permiso que asocia el par (bob@vsphere.local, ClusterEditor) con my-dc/host/my-cluster. El permiso se propaga a todos los objetos secundarios de my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Crear permisos adicionales

En esta sección se muestran ejemplos de cómo crear permisos adicionales. Sustituye las rutas de los objetos de ejemplo según sea necesario en tu entorno.

Crea un permiso que asigne el rol SessionValidator a una cuenta en el objeto raíz del servidor vCenter. Este permiso no se propaga a los objetos secundarios:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Crea permisos que asignen el rol ReadOnly a una cuenta en un objeto de centro de datos y en un objeto de red. Estos permisos se propagan a los objetos secundarios:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crea permisos que asignen el rol de Anthos a una cuenta en cuatro objetos: un almacén de datos, una carpeta de VM, un pool de recursos y una red. Estos permisos se propagan a los objetos secundarios:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crear un permiso global

En esta sección se ofrece una alternativa a la creación de varios roles y permisos. No recomendamos este enfoque porque concede un gran conjunto de privilegios en todos los objetos de las jerarquías de vSphere.

Si aún no has creado el rol personalizado de Anthos, créalo ahora.

Crea un permiso global:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true