Google Distributed Cloud s'exécute sur site dans un environnement vSphere. Ce document décrit les exigences concernant votre environnement vSphere.
Compatibilité des versions
Les exigences de vSphere varient en fonction de la version de Google Distributed Cloud que vous utilisez. Pour en savoir plus, consultez la matrice de compatibilité des versions pour les versions entièrement compatibles et les versions antérieures.
Versions compatibles
vSphere est le logiciel de virtualisation de serveur de VMware. vSphere inclut ESXi et vCenter Server.
Google Distributed Cloud est compatible avec ces versions d'ESXi et de vCenter Server
- 7.0 Mise à jour 2 et mises à jour ultérieures de la version 7.0
- Mises à jour de la version 8.0 et ultérieures de la version 8.0
Nous vous recommandons d'utiliser la version 8.0, la version 7.0, mise à jour 3, ou une mise à jour ultérieure de la version 7.0.
Si vous souhaitez créer des instantanés de volume CSI, vous devez disposer de l'une des versions suivantes:
- 7.0 Mise à jour 3 ou version ultérieure de la version 7.0
- 8.0 ou version ultérieure de la version 8.0
Exigences concernant les licences
Vous devez posséder l'une des licences suivantes :
Licence vSphere Enterprise Plus. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide.
Licence vSphere standard. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide. Cette licence ne vous permet pas d'activer de groupes d'anti-affinité. En outre, vous ne pouvez pas spécifier votre propre pool de ressources. Vous devez utiliser le pool de ressources par défaut.
Matériel requis
Google Distributed Cloud s'exécute sur un ensemble d'hôtes physiques qui exécutent l'hyperviseur ESXi de VMware. Pour en savoir plus sur la configuration adaptée, consultez la page Configuration matérielle requise pour ESXi.
Pour les environnements de production, nous vous recommandons vivement de respecter les préconisations suivantes :
Prévoyez au moins quatre hôtes ESXi pour vos VM de cluster.
Activez le trafic Network File Copy (NFC) entre les hôtes ESXi pour permettre le partage de modèles d'OS, si vous envisagez de déployer Clusters Anthos sur VMware sur différents clusters vSphere, ou sur des pools de ressources situés dans le même centre de données vSphere.
Définissez
antiAffinityGroups.enabled
surtrue
dans les fichiers de configuration de votre cluster.
Si vous définissez antiAffinityGroups.enabled
sur true
, Google Distributed Cloud crée des règles d'anti-affinité DRS pour vos nœuds de cluster, qui sont ainsi réparties sur au moins trois hôtes ESXi physiques. Même si les règles DRS exigent que les nœuds de cluster soient répartis sur trois hôtes ESXi, nous vous recommandons vivement de disposer d'au moins quatre hôtes ESXi disponibles. Cela vous évite de perdre le plan de contrôle de votre cluster. Supposons par exemple que vous n'ayez que trois hôtes ESXi et que le nœud de plan de contrôle de votre cluster d'administrateur se trouve sur un hôte ESXi qui est défaillant. La règle DRS empêche le nœud de plan de contrôle d'être placé sur l'un des deux hôtes ESXi restants.
Pour l'évaluation et la démonstration de faisabilité, vous pouvez définir antiAffinityGroups.enabled
sur false
et n'utiliser qu'un seul hôte ESXi. Pour plus d'informations, consultez la section Configurer une infrastructure minimale.
Droits de compte d'utilisateur vCenter
Pour configurer un environnement vSphere, un administrateur d'organisation peut choisir d'utiliser un compte utilisateur vCenter doté du rôle Administrateur vCenter Server. Ce rôle fournit un accès complet à tous les objets vSphere.
Une fois l'environnement vSphere configuré, un administrateur de cluster peut créer des clusters d'administrateur et des clusters d'utilisateur. L'administrateur du cluster n'a pas besoin de tous les droits fournis par le rôle Administrateur vCenter Server.
Lorsqu'un administrateur ou un développeur de cluster crée un cluster, il fournit un compte utilisateur vCenter dans un fichier de configuration des identifiants. Nous recommandons d'attribuer au compte utilisateur vCenter répertorié dans un fichier de configuration des identifiants un ou plusieurs rôles personnalisés qui comportent les droits minimum nécessaires pour la création et la gestion des clusters.
Un administrateur d'organisation peut adopter deux approches différentes :
Créer plusieurs rôles avec des droits dvariables. Créer ensuite des autorisations qui attribuent ces rôles limités à un utilisateur ou à un groupe d'objets vSphere individuels.
Créez un rôle disposant de tous les droits nécessaires. Créez ensuite une autorisation globale qui attribue ce rôle à un utilisateur ou à un groupe particulier sur tous les objets de vos hiérarchies vSphere.
Nous vous recommandons la première approche, car elle limite l'accès et augmente la sécurité de votre environnement vCenter Server. Pour en savoir plus, consultez les pages Utiliser des rôles pour attribuer des droits et Bonnes pratiques concernant les rôles et les autorisations.
Pour en savoir plus sur l'utilisation de la seconde approche, consultez la page Créer une autorisation globale.
Le tableau suivant présente quatre rôles personnalisés qu'un administrateur d'organisation peut créer. L'administrateur peut ensuite utiliser les rôles personnalisés pour attribuer des autorisations sur des objets vSphere spécifiques :
Rôle personnalisé | Droits | Objets | Propager aux objets enfants ? |
---|---|---|---|
ClusterEditor |
System.Read System.View System.Anonymous Host.Inventory. Modifier le cluster |
Cluster | Oui |
SessionValidator |
System.Read System.View System.Anonymous Sessions.Validate session Cns.Searchable Profile-driven storage.Profile-driven storage view |
Serveur vCenter racine | Non |
ReadOnly |
System.Read System.View System.Anonymous |
centre de données réseau |
Oui |
Anthos | Droits associés au rôle Anthos |
datastore pool de ressources Dossier de VM réseau |
Oui |
Droits associés au rôle personnalisé Anthos
Créer des rôles et des autorisations personnalisés
Un administrateur d'organisation peut utiliser l'outil de ligne de commande govc pour créer des rôles et des autorisations personnalisés.
L'administrateur de l'organisation doit disposer d'un compte serveur vCenter disposant des droits suffisants pour créer des rôles et des autorisations. Par exemple, un compte disposant du rôle d'administrateur serait approprié.
Avant d'exécuter govc
, définissez certaines variables d'environnement :
Définissez GOVC_URL sur l'URL de votre instance vCenter Server.
Définissez GOVC_USERNAME sur le nom d'utilisateur du compte vCenter Server de l'administrateur de l'organisation.
Définissez GOVC_PASSWORD sur le mot de passe du compte vCenter Server de l'administrateur de l'organisation.
Exemple :
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Créer des rôles personnalisés
Créez les rôles personnalisés ClusterEditor, SessionValidator et ReadOnly :
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Créer une autorisation qui accorde le rôle ClusterEditor
Une autorisation utilise une paire (utilisateur, rôle) et l'associe à un objet. Lorsque vous attribuez une autorisation sur un objet, vous pouvez indiquer si celle-ci se propage aux objets enfants. Pour ce faire, définissez l'option --propagate
sur true
ou false
avec govc
. La valeur par défaut est false
.
Créez une autorisation qui accorde le rôle ClusterEditor à un utilisateur sur un objet de cluster. Cette autorisation se propage à tous les objets enfants de l'objet de cluster :
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Remplacez les éléments suivants :
ACCOUNT : compte utilisateur vCenter Server disposant du rôle
CLUSTER_PATH : chemin d'accès du cluster dans la hiérarchie des objets vSphere
Par exemple, la commande suivante crée une autorisation qui associe la paire (bob@vsphere.local, ClusterEditor) à my-dc/host/my-cluster. L'autorisation se propage à tous les objets enfants de my-dc/host/my-cluster :
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Créer des autorisations supplémentaires
Cette section donne des exemples de création d'autorisations supplémentaires. Remplacez les exemples de chemin d'accès aux objets selon les besoins de votre environnement.
Créez une autorisation qui attribue le rôle SessionValidator à un compte sur l'objet racine vCenter Server. Cette autorisation ne se propage pas aux objets enfants :
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Créez des autorisations qui accordent le rôle ReadOnly à un compte sur un objet de centre de données et un objet réseau. Ces autorisations se propagent aux objets enfants :
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Créez des autorisations qui attribuent le rôle Anthos à un compte sur quatre objets : un datastore, un dossier de VM, un pool de ressources et un réseau. Ces autorisations se propagent aux objets enfants :
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Créer une autorisation globale
Cette section propose une alternative à la création de plusieurs rôles et de plusieurs autorisations. Nous ne recommandons pas cette approche, car elle accorde un grand nombre de droits sur tous les objets de vos hiérarchies vSphere.
Si vous n'avez pas encore créé le rôle personnalisé Anthos, créez-le maintenant.
Créez une autorisation globale :
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Remplacez les éléments suivants :
Remplacez ACCOUNT par le compte d'utilisateur vCenter Server auquel le rôle est attribué
Par exemple, la commande suivante crée une autorisation globale qui attribue le rôle Anthos à bob@vsphere.local. L'autorisation se propage à tous les objets de vos hiérarchies vSphere :
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Problèmes connus
Consultez la section Échec de l'installation lors de la création du disque de données vSphere.
Étapes suivantes
Exigences concernant le processeur, la RAM et l'espace de stockage