Requisiti di vSphere

Google Distributed Cloud viene eseguito on-premise in un ambiente vSphere. Questo documento descrive i requisiti per il tuo ambiente vSphere.

Compatibilità delle versioni

I requisiti di vSphere variano a seconda della versione di Google Distributed Cloud in uso. Per ulteriori informazioni, consulta la matrice di compatibilità delle versioni per le versioni completamente supportate e le versioni precedenti.

Versioni supportate

vSphere è il software di virtualizzazione del server di VMware. vSphere include ESXi e vCenter Server.

Google Distributed Cloud supporta queste versioni di ESXi e vCenter Server

  • 7.0 Update 2 e successivi aggiornamenti della versione 7.0
  • 8.0 e aggiornamenti successivi della versione 8.0

Consigliamo di utilizzare 8.0 o 7.0 Update 3 o un aggiornamento successivo della versione 7.0.

Se vuoi creare snapshot di volumi CSI, devi avere una delle seguenti versioni:

  • 7.0 Update 3 o un aggiornamento successivo della versione 7.0
  • 8.0 o un aggiornamento successivo della versione 8.0

Requisiti relativi alle licenze

È necessaria una delle seguenti licenze:

Requisiti hardware

Google Distributed Cloud viene eseguito su un insieme di host fisici che eseguono l'hypervisor ESXi VMware. Per informazioni sui requisiti hardware per ESXi, consulta la pagina Requisiti hardware ESXi.

Per gli ambienti di produzione, consigliamo vivamente quanto segue:

  • Abilita VMware Distributed Resource Scheduler (DRS).

  • Fai in modo che siano disponibili almeno quattro host ESXi per le VM del tuo cluster.

  • Se prevedi di eseguire il deployment di Anthos clusters on VMware su diversi cluster o pool di risorse vSphere all'interno dello stesso data center vSphere, attiva il traffico Network File Copy (NFC) tra gli host ESXi per consentire la condivisione dei modelli di sistema operativo.

  • Imposta antiAffinityGroups.enabled su true nei file di configurazione del cluster.

Se imposti antiAffinityGroups.enabled su true, Google Distributed Cloud crea regole di anti-affinità DRS per i nodi del cluster, determinandone la distribuzione su almeno tre host ESXi fisici. Anche se le regole DRS richiedono che i nodi del cluster siano distribuiti su tre host ESXi, consigliamo vivamente di mettere a disposizione almeno quattro host ESXi. In questo modo, non perderai il piano di controllo del cluster. Ad esempio, supponiamo che tu abbia solo tre host ESXi e che il nodo del piano di controllo del cluster di amministrazione si trovi su un host ESXi in cui si verifica un errore. La regola DRS impedirà al nodo del piano di controllo di essere posizionato su uno dei due host ESXi rimanenti.

Per la valutazione e il proof of concept, puoi impostare antiAffinityGroups.enabled su false e utilizzare un solo host ESXi. Per maggiori informazioni, consulta Configurare l'infrastruttura minima.

Privilegi per l'account utente vCenter

Per configurare un ambiente vSphere, un amministratore dell'organizzazione può scegliere di utilizzare un account utente vCenter con il ruolo Amministratore server vCenter. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.

Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno di tutti i privilegi forniti dal ruolo Amministratore server vCenter.

Quando un amministratore o uno sviluppatore crea un cluster, fornisce un account utente vCenter in un file di configurazione delle credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati con i privilegi minimi necessari per la creazione e la gestione del cluster.

Un amministratore dell'organizzazione può adottare due approcci diversi:

  • Creare diversi ruoli con diversi gradi di privilegio. Quindi crea autorizzazioni che assegnano questi ruoli limitati a un utente o a un gruppo su singoli oggetti vSphere.

  • Crea un ruolo con tutti i privilegi necessari. Quindi crea un'autorizzazione globale che assegni tale ruolo a un determinato utente o gruppo su tutti gli oggetti nelle gerarchie vSphere.

Consigliamo il primo approccio, perché limita l'accesso e aumenta la sicurezza dell'ambiente vCenter Server. Per ulteriori informazioni, consulta Utilizzo dei ruoli per l'assegnazione di privilegi e Best practice per ruoli e autorizzazioni

Per informazioni sull'utilizzo del secondo approccio, consulta Creare un'autorizzazione globale.

La tabella seguente mostra quattro ruoli personalizzati che possono essere creati da un amministratore dell'organizzazione. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare autorizzazioni su oggetti vSphere specifici:

Ruolo personalizzatoPrivilegiOggettiPropagare agli
oggetti secondari?
ClusterEditor System.Read
System.View
System.Anonimo
Host.Inventory.Modifica cluster
cluster
SessionValidator System.Read
System.View
System.Anonimo
Sessioni.Convalida sessione
Cns.Ricercabile
Archiviazione basata su profilo.Visualizzazione archiviazione basata su profilo
Server vCenter radice No
ReadOnly System.Read
System.View
System.Anonimo
data center
rete
Anthos Privilegi nel ruolo Anthos datastore
pool di risorse
cartella VM
network

Privilegi nel ruolo personalizzato Anthos

Crea ruoli e autorizzazioni personalizzati

Un amministratore dell'organizzazione può utilizzare lo strumento a riga di comando govc per creare autorizzazioni e ruoli personalizzati.

L'amministratore dell'organizzazione deve avere un account vCenter Server che disponga di privilegi sufficienti per la creazione di ruoli e autorizzazioni. Ad esempio, un account con il ruolo Amministratore sarebbe appropriato.

Prima di eseguire govc, imposta alcune variabili di ambiente:

  • Imposta GOVC_URL sull'URL della tua istanza di vCenter Server.

  • Imposta GOVC_USERNAME sul nome utente dell'account vCenter Server dell'amministratore dell'organizzazione.

  • Imposta GOVC_PASSWORD sulla password dell'account vCenter Server dell'amministratore dell'organizzazione.

Ad esempio:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Creazione di ruoli personalizzati

Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Crea un'autorizzazione che conceda il ruolo ClusterEditor

Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando assegni un'autorizzazione su un oggetto, puoi specificare se l'autorizzazione viene propagata a oggetti secondari. Con govc, puoi farlo impostando il flag --propagate su true o false. Il valore predefinito è false.

Creare un'autorizzazione che conceda il ruolo ClusterEditor a un utente su un oggetto cluster. Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Sostituisci quanto segue:

  • ACCOUNT: l'account utente vCenter Server a cui viene concesso il ruolo

  • CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere

Ad esempio, il seguente comando crea un'autorizzazione che associa la coppia (bob@vSphere.local, ClusterEditor con my-dc/host/my-cluster. L'autorizzazione si propaga a tutti gli oggetti figlio di my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Crea autorizzazioni aggiuntive

Questa sezione fornisce esempi della creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle necessità per il tuo ambiente.

Crea un'autorizzazione che conceda il ruolo SessionValidator a un account nell'oggetto vCenter Server. Questa autorizzazione non si propaga agli oggetti secondari:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Creare autorizzazioni che concedono il ruolo ReadOnly a un account su un oggetto data center e un oggetto di rete. Queste autorizzazioni si propagano agli oggetti figlio:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Creare autorizzazioni che concedono il ruolo Anthos a un account su quattro oggetti: un datastore, una cartella di VM, un pool di risorse e una rete. Queste autorizzazioni si propagano agli oggetti secondari:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crea un'autorizzazione globale

Questa sezione offre un'alternativa alla creazione di vari ruoli e autorizzazioni. Sconsigliamo di utilizzare questo approccio perché concede un ampio insieme di privilegi su tutti gli oggetti nelle gerarchie vSphere.

Se non hai ancora creato il ruolo personalizzato Anthos, crealo ora.

Crea un'autorizzazione globale:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Sostituisci quanto segue:

Sostituisci ACCOUNT con l'account utente vCenter Server a cui viene concesso il ruolo.

Ad esempio, il comando seguente crea un'autorizzazione globale che concede il ruolo Anthos a bob@vsfera.local. L'autorizzazione si propaga a tutti gli oggetti nelle tue gerarchie vSphere:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problemi noti

Vedi Il programma di installazione non riesce durante la creazione di vSphere datadisk.

Passaggi successivi

Requisiti di CPU, RAM e spazio di archiviazione