Google Distributed Cloud는 vSphere 환경의 온프레미스에서 실행됩니다. 이 문서에서는 vSphere 환경을 위한 요구사항을 설명합니다.
이 페이지는 회사 전략에 따라 IT 솔루션과 시스템 아키텍처를 정의하고, 사용자 권한과 관련된 정책을 만들고 관리하는 관리자 및 설계자를 대상으로 합니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할 및 예시 작업에 대해 자세히 알아보려면 일반 GKE 기업 사용자 역할 및 작업을 참조하세요.
버전 호환성
vSphere 요구사항은 사용 중인 Google Distributed Cloud 버전에 따라 다릅니다. 자세한 내용은 완전히 지원되는 버전의 버전 호환성 표를 참조하세요.
지원되는 버전
vSphere는 VMware의 서버 가상화 소프트웨어입니다. vSphere에는 ESXi 및 vCenter Server가 포함됩니다.
Google Distributed Cloud는 이러한 버전의 ESXi 및 vCenter Server를 지원합니다.
- 7.0 업데이트 2 및 7.0 버전 이후 업데이트
- 8.0 및 버전 8.0의 이후 업데이트
8.0 또는 7.0 업데이트 3 또는 버전 7.0의 이후 업데이트를 사용하는 것이 좋습니다.
CSI 볼륨 스냅샷을 만들려면 다음 버전 중 하나가 있어야 합니다.
- 7.0 업데이트 3 또는 7.0 버전 이후 업데이트
- 8.0 또는 버전 8.0의 이후 업데이트
라이선스 요구사항
다음 라이선스 중 하나가 필요합니다.
vSphere Enterprise Plus 라이선스. 이 라이선스와 함께 유효한 지원 구독이 있어야 합니다.
vSphere Standard 라이선스. 이 라이선스와 함께 유효한 지원 구독이 있어야 합니다. 이 라이선스를 사용하면 안티어피니티 그룹을 사용 설정할 수 없습니다. 또한 자체 리소스 풀을 지정할 수 없습니다. 기본 리소스 풀을 사용해야 합니다.
하드웨어 요구사항
Google Distributed Cloud는 VMware ESXi 하이퍼바이저를 실행하는 물리적 호스트 집합에서 실행됩니다. ESXi의 요구사항에 대해 알아보려면 ESXi 하드웨어 요구사항을 참조하세요.
프로덕션 환경에서는 다음을 수행하는 것이 좋습니다.
VMware Distributed Resource Scheduler(DRS)를 사용 설정합니다.
클러스터 VM에 사용 가능한 ESXi 호스트가 4개 이상 있어야 합니다.
동일한 vSphere 데이터 센터 내의 다른 vSphere 클러스터 또는 리소스 풀에 VMware용 Anthos 클러스터를 배포하려는 경우 OS 템플릿을 공유할 수 있도록 ESXi 호스트 간의 NFC(네트워크 파일 복사) 트래픽을 사용 설정합니다.
클러스터 구성 파일에서
antiAffinityGroups.enabled
를true
로 설정합니다.
antiAffinityGroups.enabled
를 true
로 설정하면 Google Distributed Cloud가 클러스터 노드에 DRS 안티-어피니티 규칙을 만들어 3개 이상의 물리적 ESXi 호스트에 분산되도록 합니다. DRS 규칙에 따라 클러스터 노드가 3개의 ESXi 호스트에 분산되어야 하지만, 4개 이상의 ESXi 호스트를 사용하는 것이 좋습니다. 이렇게 하면 클러스터 컨트롤 플레인이 손실되지 않습니다. 예를 들어 ESXi 호스트가 3개만 있고 관리자 클러스터 제어 영역 노드가 오류가 발생한 ESXi 호스트에 있다고 가정해 보겠습니다. DRS 규칙은 제어 영역 노드가 나머지 두 ESXi 호스트 중 하나에 배치되지 않도록 합니다.
평가 및 개념 증명의 경우 antiAffinityGroups.enabled
를 false
로 설정하고 하나의 ESXi 호스트만 사용할 수 있습니다. 자세한 내용은 최소 인프라 설정을 참조하세요.
vCenter 사용자 계정 권한
vSphere 환경을 설정하려면 조직 관리자가 vCenter Server 관리자 역할이 있는 vCenter 사용자 계정을 사용하도록 선택해야 할 수 있습니다. 이 역할은 모든 vSphere 객체에 대한 전체 액세스 권한을 제공합니다.
vSphere 환경이 설정된 후 클러스터 관리자가 관리자 클러스터 및 사용자 클러스터를 만들 수 있습니다. 클러스터 관리자에게는 vCenter Server 관리자 역할로 제공되는 모든 권한이 필요하지 않습니다.
클러스터 관리자 또는 개발자는 클러스터를 만들 때 사용자 인증 정보 구성 파일에서 vCenter 사용자 계정을 제공합니다. 사용자 인증 정보 구성 파일에 나열된 vCenter 사용자 계정에 클러스터 만들기 및 관리에 필요한 최소 권한이 포함된 커스텀 역할을 하나 이상 할당하는 것이 좋습니다.
조직 관리자는 다음과 같이 두 가지 다른 접근 방식을 사용할 수 있습니다.
권한 수준이 서로 다른 여러 역할을 만듭니다. 그런 후 이러한 제한된 역할을 개별 vSphere 객체의 사용자 또는 그룹에 할당하는 권한을 만듭니다.
필요한 권한을 모두 포함하는 하나의 역할을 만듭니다. 그런 후 vSphere 계층 구조에서 모든 객체에 대한 특정 사용자 또는 그룹에 이 역할을 할당하는 전역 권한을 만듭니다.
액세스를 제한하고 vCenter Server 환경의 보안을 향상시켜 주기 때문에 첫 번째 접근 방법이 권장됩니다. 자세한 내용은 역할을 사용하여 권한 할당 및 역할 및 권한 권장사항을 참조하세요.
두 번째 방식을 사용하는 방법에 대한 상세 설명은 전역 권한 만들기를 참조하세요.
다음 표에서는 조직 관리자가 만들 수 있는 4개의 커스텀 역할을 보여줍니다. 그런 후 관리자가 커스텀 역할을 사용해서 특정 vSphere 객체에 대해 권한을 할당할 수 있습니다.
맞춤 역할 | 권한 | 객체 | 하위 객체에 전파? |
---|---|---|---|
ClusterEditor |
System.Read System.View System.Anonymous Host.Inventory.Modify 클러스터 |
클러스터 | 예 |
SessionValidator |
System.Read System.View System.Anonymous Sessions.Validate 세션 Cns.Searchable 프로젝트 기반 스토리지.프로젝트 기반 스토리지 보기 |
루트 vCenter 서버 | 아니요 |
ReadOnly |
System.Read System.View System.Anonymous |
데이터 센터 네트워크 |
예 |
Anthos | Anthos 역할의 권한 |
datastore 리소스 풀 VM 폴더 네트워크 |
예 |
Anthos 커스텀 역할의 권한
커스텀 역할 및 권한 만들기
조직 관리자가 govc 명령줄 도구를 사용하여 커스텀 역할 및 권한을 만들 수 있습니다.
조직 관리자에게 역할 및 권한 만들기를 위한 충분한 권한이 있는 vCenter Server 계정이 있어야 합니다. 예를 들어 관리자 역할이 있는 계정이면 적합합니다.
govc
를 실행하기 전에 일부 환경 변수를 설정하세요.
GOVC_URL을 vCenter Server 인스턴스의 URL로 설정합니다.
GOVC_USERNAME을 조직 관리자의 vCenter Server 계정 사용자 이름으로 설정합니다.
GOVC_PASSWORD를 조직 관리자의 vCenter Server 계정 비밀번호로 설정합니다.
예를 들면 다음과 같습니다.
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
맞춤 역할 만들기
ClusterEditor, SessionValidator, ReadOnly 커스텀 역할을 만듭니다.
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
ClusterEditor 역할을 부여하는 권한을 만듭니다.
권한은 (사용자, 역할) 쌍을 가져와서 이를 객체와 연결합니다. 객체에 대해 권한을 할당할 때 권한을 하위 객체에 전파할지 여부를 지정할 수 있습니다. govc
의 경우에 이렇게 하려면 --propagate
플래그를 true
또는 false
로 설정합니다. 기본값은 false
입니다.
클러스터 객체의 사용자에게 ClusterEditor 역할을 부여하는 권한을 만듭니다. 이 권한은 클러스터 객체의 모든 하위 객체에 전파됩니다.
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
다음을 바꿉니다.
ACCOUNT: 역할을 부여할 vCenter 서버 사용자 계정입니다.
CLUSTER_PATH: vSphere 객체 계층 구조의 클러스터 경로입니다.
예를 들어 다음 명령어는 쌍(bob@vsphere.local, ClusterEditor와 my-dc/host/my-cluster)을 연결하는 권한을 만듭니다. 이 권한은 my-dc/host/my-cluster의 모든 하위 객체에 전파됩니다.
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
추가 권한 만들기
이 섹션에서는 추가 권한 만들기 예시를 보여줍니다. 해당 환경의 필요에 따라 예시 객체 경로를 바꿉니다.
루트 vCenter Server 객체의 계정에 SessionValidator 역할을 부여하는 권한을 만듭니다. 이 권한은 하위 객체에 적용되지 않습니다.
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
데이터 센터 객체 및 네트워크 객체의 계정에 읽기 전용 역할을 부여하는 권한을 만듭니다. 이러한 권한은 하위 객체에 전파됩니다.
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Datastore, VM 폴더, 리소스 풀, 네트워크의 네 가지 객체에 대한 계정에 Anthos 역할을 부여하는 권한을 만듭니다. 이러한 권한은 하위 객체에 전파됩니다.
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
전역 권한 1개 만들기
이 섹션에서는 여러 역할과 여러 권한을 만드는 대신 사용할 수 있습니다. 이 방법은 vSphere 계층 구조의 모든 객체에 대한 큰 권한 집합을 부여하므로 권장되지 않습니다.
Anthos 커스텀 역할을 아직 만들지 않았으면 지금 만드세요.
전역 권한 1개 만들기:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
다음을 바꿉니다.
ACCOUNT를 역할을 부여받을 vCenter Server 사용자 계정으로 바꿉니다.
예를 들어 다음 명령어는 Anthos 역할을 bob@vsphere.local에 부여하는 전역 권한을 만듭니다. 이 권한은 vSphere 계층 구조의 모든 객체에 전파됩니다.
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
알려진 문제
vSphere 데이터 디스크를 만들 때 설치 프로그램 오류를 참조하세요.