Google Distributed Cloud berjalan di infrastruktur Anda vSphere lingkungan fleksibel App Engine. Dokumen ini menjelaskan persyaratan untuk lingkungan vSphere Anda.
Halaman ini ditujukan untuk Admin dan arsitek yang menentukan solusi dan sistem IT arsitektur sesuai dengan strategi perusahaan, dan membuat serta mengelola kebijakan yang terkait dengan izin akses pengguna. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami rujuk dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise yang umum.
Kompatibilitas versi
Persyaratan vSphere bervariasi sesuai dengan versi vSphere Google Distributed Cloud yang Anda gunakan. Untuk informasi selengkapnya, lihat versi matriks kompatibilitas untuk versi yang didukung sepenuhnya.
Versi yang didukung
vSphere adalah perangkat lunak virtualisasi server VMware. vSphere menyertakan ESXi dan Server vCenter.
Google Distributed Cloud mendukung versi ESXi dan Server vCenter
- 7.0 Pembaruan 2 dan pembaruan versi 7.0
- Update 8.0 dan yang lebih baru dari versi 8.0
Sebaiknya gunakan 8.0, atau 7.0 Update 3, atau update versi 7.0 yang lebih baru.
Jika ingin membuat snapshot volume CSI, Anda harus memiliki salah satu versi berikut:
- 7.0 Pembaruan 3 atau pembaruan versi 7.0 yang lebih baru
- 8.0 atau pembaruan versi 8.0 yang lebih baru
Persyaratan lisensi
Anda memerlukan salah satu lisensi berikut:
vSphere Enterprise Plus lisensi. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid.
Standar vSphere lisensi. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid. Dengan lisensi ini, Anda tidak dapat mengaktifkan kelompok anti-afinitas. Selain itu, Anda tidak dapat menentukan kumpulan resource. Anda harus menggunakan kumpulan resource default.
Persyaratan hardware
Google Distributed Cloud berjalan pada sekumpulan host fisik yang menjalankan VMware Hypervisor ESXi. Untuk mempelajari tentang persyaratan hardware untuk ESXi, lihat Persyaratan Hardware ESXi.
Untuk lingkungan produksi, kami sangat merekomendasikan hal berikut:
Sediakan minimal empat host ESXi untuk VM cluster Anda.
Aktifkan traffic Network File Copy (NFC) di antara host ESXi untuk mengizinkan berbagi template OS, jika Anda berencana men-deploy cluster Anthos di VMware pada cluster vSphere atau kumpulan resource yang berbeda dalam pusat data vSphere yang sama.
Setel
antiAffinityGroups.enabled
ketrue
di file konfigurasi cluster Anda.
Jika Anda menyetel antiAffinityGroups.enabled
ke true
, Google Distributed Cloud
membuat aturan anti-afinitas DRS untuk node cluster Anda, sehingga
yang tersebar di setidaknya tiga {i>host<i} ESXi fisik. Meskipun aturan DRS
mengharuskan node cluster tersebar di tiga host ESXi, kami sangat
sebaiknya Anda memiliki setidaknya
empat {i>host<i} ESXi. Tindakan ini melindungi Anda
agar tidak kehilangan bidang kontrol cluster Anda. Misalnya, Anda hanya memiliki
tiga host ESXi, dan cluster admin Anda
{i>control-plane<i} berada di {i>host<i} ESXi yang gagal. Aturan DRS akan mencegah
{i>node<i} bidang kontrol agar tidak ditempatkan
di salah satu dari dua {i>host<i} ESXi yang tersisa.
Untuk evaluasi dan bukti konsep, Anda dapat menetapkan antiAffinityGroups.enabled
ke
false
, dan hanya menggunakan satu host ESXi. Untuk informasi selengkapnya, lihat
Menyiapkan infrastruktur minimal.
Hak istimewa akun pengguna vCenter
Untuk menyiapkan lingkungan vSphere, administrator organisasi dapat memilih untuk menggunakan akun pengguna vCenter yang memiliki Peran Administrator Server vCenter. Peran ini memberikan akses penuh ke semua objek vSphere.
Setelah lingkungan vSphere disiapkan, administrator cluster dapat membuat cluster admin dan cluster pengguna. Administrator cluster tidak memerlukan semua hak istimewa yang diberikan oleh peran Administrator Server vCenter.
Saat administrator atau developer cluster membuat cluster, mereka menyediakan akun pengguna vCenter di file konfigurasi kredensial. Sebaiknya akun pengguna vCenter yang tercantum dalam kredensial file konfigurasi diberi satu atau lebih peran khusus yang memiliki nilai minimum hak istimewa yang diperlukan untuk pembuatan dan pengelolaan cluster.
Ada dua pendekatan yang dapat dilakukan administrator organisasi:
Buat beberapa peran dengan berbagai tingkat hak istimewa. Kemudian buat izin akses yang menetapkan peran terbatas tersebut kepada pengguna atau grup di masing-masing objek vSphere.
Buat satu peran yang memiliki semua hak istimewa yang diperlukan. Kemudian buat izin global yang menetapkan peran tersebut kepada pengguna atau grup tertentu di semua dalam hierarki vSphere Anda.
Kami merekomendasikan pendekatan pertama, karena membatasi akses dan meningkatkan keamanan lingkungan Server vCenter Anda. Untuk informasi selengkapnya, lihat Menggunakan Peran untuk Menetapkan Hak Istimewa dan Praktik Terbaik untuk Peran dan Izin
Untuk informasi tentang penggunaan pendekatan kedua, lihat Buat satu izin global.
Tabel berikut menunjukkan empat peran khusus yang dimiliki administrator organisasi dapat dibuat. Administrator kemudian dapat menggunakan peran khusus untuk menetapkan izin pada objek vSphere tertentu:
Peran khusus | Hak Istimewa | Objek | Memperluas ke objek turunan? |
---|---|---|---|
ClusterEditor |
System.Read System.View System.Anonymous Host.Inventory.Ubah cluster |
cluster | Ya |
SessionValidator |
System.Read System.View System.Anonymous Sesi.Validasi sesi Cns.Searchable Penyimpanan berbasis profil.Tampilan penyimpanan berbasis profil |
Server vCenter Root | Tidak |
ReadOnly |
System.Read System.View System.Anonymous |
pusat data jaringan |
Ya |
Anthos | Hak istimewa dalam peran Anthos |
datastore kumpulan resource Folder VM jaringan |
Ya |
Hak istimewa dalam peran kustom Anthos
Membuat peran dan izin khusus
Administrator organisasi dapat menggunakan govc alat command line untuk membuat peran dan izin khusus.
Administrator organisasi harus memiliki akun Server vCenter yang memiliki memadai hak istimewa untuk membuat peran dan izin. Misalnya, akun yang memiliki Peran administrator akan sesuai.
Sebelum menjalankan govc
, tetapkan beberapa variabel lingkungan:
Tetapkan GOVC_URL ke URL instance Server vCenter Anda.
Setel GOVC_USERNAME ke nama pengguna vCenter administrator organisasi Akun server.
Setel GOVC_PASSWORD ke sandi vCenter administrator organisasi Akun server.
Contoh:
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Membuat peran ubahsuaian
Buat peran kustom ClusterEditor, SessionValidator, dan ReadOnly:
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Membuat izin yang memberikan peran ClusterEditor
Izin mengambil pasangan (pengguna, peran) dan mengaitkannya dengan suatu objek. Kapan
Anda menetapkan izin akses pada
sebuah objek, Anda dapat menentukan apakah izin
menyebar ke objek turunan. Dengan govc
, Anda dapat melakukannya dengan menyetel
--propagate
ke true
atau false
. Defaultnya adalah false
.
Membuat izin yang memberikan peran ClusterEditor kepada pengguna di cluster . Izin ini diterapkan ke semua objek turunan dari objek cluster:
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Ganti kode berikut:
ACCOUNT: akun pengguna Server vCenter yang diberi peran
CLUSTER_PATH: jalur cluster di objek vSphere hierarki
Misalnya, perintah berikut membuat izin yang mengaitkan pasangan (bob@vsphere.local, ClusterEditor dengan my-dc/host/my-cluster. Izin menyebar ke semua objek turunan my-dc/host/my-cluster:
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Membuat izin tambahan
Bagian ini memberikan contoh pembuatan izin tambahan. Ganti contoh jalur objek sesuai kebutuhan lingkungan Anda.
Buat izin yang memberikan peran SessionValidator ke akun pada objek Server vCenter root. Izin ini tidak diterapkan ke objek turunan:
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Buat izin yang memberikan peran ReadOnly ke akun di objek pusat data dan objek jaringan. Izin ini diterapkan ke turunan objek:
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Membuat izin yang memberikan peran Anthos ke akun di empat objek: datastore, folder VM, kumpulan resource, dan jaringan. Ini izin diterapkan ke objek turunan:
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Buat satu izin global
Bagian ini memberikan alternatif pembuatan beberapa peran dan beberapa izin akses. Kami tidak merekomendasikan pendekatan ini karena memberikan banyak hak istimewa pada semua objek dalam hierarki vSphere Anda.
Jika Anda belum membuat peran khusus Anthos, buat sekarang.
Buat satu izin global:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Ganti kode berikut:
Ganti ACCOUNT dengan akun pengguna vCenter Server yang sedang diberi peran
Misalnya, perintah berikut membuat izin global yang memberikan izin Peran Anthos ke bob@vsphere.local. Izin tersebut akan disebarkan ke semua objek dalam hierarki vSphere Anda:
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Masalah umum
Lihat Penginstal gagal saat membuat datadisk vSphere.
Langkah selanjutnya
Persyaratan CPU, RAM, dan penyimpanan