Exigences concernant vSphere

GKE sur VMware s'exécute sur votre site dans un environnement vSphere. Ce document décrit les exigences concernant votre environnement vSphere.

Compatibilité des versions

Les exigences de vSphere varient selon la version de GKE sur VMware que vous utilisez. Pour en savoir plus, consultez la matrice de compatibilité des versions pour les versions entièrement compatibles et les versions antérieures.

Versions compatibles

vSphere est le logiciel de virtualisation de serveur de VMware. vSphere inclut ESXi et vCenter Server.

GKE sur VMware est compatible avec ces versions d'ESXi et de vCenter Server

  • 7.0 Mise à jour 2 et versions ultérieures de la version 7.0
  • 8.0 et mises à jour ultérieures de la version 8.0

Nous vous recommandons d'utiliser la version 8.0, la version 7.0 Update 3, ou une mise à jour ultérieure de la version 7.0.

Si vous souhaitez créer des instantanés de volume CSI, vous devez disposer de l'une des versions suivantes:

  • 7.0 Mise à jour 3 ou ultérieure de la version 7.0
  • 8.0 ou version ultérieure de la version 8.0

Exigences concernant les licences

Vous devez posséder l'une des licences suivantes :

  • Licence vSphere Enterprise Plus. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide.

  • Licence vSphere standard. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide. Cette licence ne vous permet pas d'activer de groupes d'anti-affinité. En outre, vous ne pouvez pas spécifier votre propre pool de ressources. Vous devez utiliser le pool de ressources par défaut.

Matériel requis

GKE sur VMware s'exécute sur un ensemble d'hôtes physiques qui exécutent l'hyperviseur ESXi VMware. Pour en savoir plus sur la configuration adaptée, consultez la page Configuration matérielle requise pour ESXi.

Pour les environnements de production, nous vous recommandons vivement de respecter les préconisations suivantes :

  • Activez VMware DRS (Distributed Resource Scheduler).

  • Prévoyez au moins quatre hôtes ESXi pour vos VM de cluster.

  • Activez le trafic Network File Copy (NFC) entre les hôtes ESXi pour permettre le partage de modèles d'OS, si vous envisagez de déployer Clusters Anthos sur VMware sur différents clusters vSphere, ou sur des pools de ressources situés dans le même centre de données vSphere.

  • Définissez antiAffinityGroups.enabled sur true dans les fichiers de configuration de votre cluster.

Si vous définissez antiAffinityGroups.enabled sur true, GKE sur VMware crée des règles d'anti-affinité DRS pour vos nœuds de cluster, ce qui entraîne leur propagation sur au moins trois hôtes ESXi physiques. Même si les règles DRS exigent que les nœuds de cluster soient répartis sur trois hôtes ESXi, nous vous recommandons vivement de disposer d'au moins quatre hôtes ESXi disponibles. Cela vous évite de perdre le plan de contrôle de votre cluster. Supposons par exemple que vous n'ayez que trois hôtes ESXi et que le nœud de plan de contrôle de votre cluster d'administrateur se trouve sur un hôte ESXi qui est défaillant. La règle DRS empêche le nœud de plan de contrôle d'être placé sur l'un des deux hôtes ESXi restants.

Pour l'évaluation et la démonstration de faisabilité, vous pouvez définir antiAffinityGroups.enabled sur false et n'utiliser qu'un seul hôte ESXi. Pour plus d'informations, consultez la section Configurer une infrastructure minimale.

Droits de compte d'utilisateur vCenter

Pour configurer un environnement vSphere, un administrateur d'organisation peut choisir d'utiliser un compte utilisateur vCenter doté du rôle Administrateur vCenter Server. Ce rôle fournit un accès complet à tous les objets vSphere.

Une fois l'environnement vSphere configuré, un administrateur de cluster peut créer des clusters d'administrateur et des clusters d'utilisateur. L'administrateur du cluster n'a pas besoin de tous les droits fournis par le rôle Administrateur vCenter Server.

Lorsqu'un administrateur ou un développeur de cluster crée un cluster, il fournit un compte utilisateur vCenter dans un fichier de configuration des identifiants. Nous recommandons d'attribuer au compte utilisateur vCenter répertorié dans un fichier de configuration des identifiants un ou plusieurs rôles personnalisés qui comportent les droits minimum nécessaires pour la création et la gestion des clusters.

Un administrateur d'organisation peut adopter deux approches différentes :

  • Créer plusieurs rôles avec des droits dvariables. Créer ensuite des autorisations qui attribuent ces rôles limités à un utilisateur ou à un groupe d'objets vSphere individuels.

  • Créez un rôle disposant de tous les droits nécessaires. Créez ensuite une autorisation globale qui attribue ce rôle à un utilisateur ou à un groupe particulier sur tous les objets de vos hiérarchies vSphere.

Nous vous recommandons la première approche, car elle limite l'accès et augmente la sécurité de votre environnement vCenter Server. Pour en savoir plus, consultez les pages Utiliser des rôles pour attribuer des droits et Bonnes pratiques concernant les rôles et les autorisations.

Pour en savoir plus sur l'utilisation de la seconde approche, consultez la page Créer une autorisation globale.

Le tableau suivant présente quatre rôles personnalisés qu'un administrateur d'organisation peut créer. L'administrateur peut ensuite utiliser les rôles personnalisés pour attribuer des autorisations sur des objets vSphere spécifiques :

Rôle personnaliséDroitsObjetsPropager aux objets
enfants ?
ClusterEditor System.Read
System.View
System.Anonymous
Host.Inventory. Modifier le cluster
Cluster Oui
SessionValidator System.Read
System.View
System.Anonymous
Sessions.Validate session
Cns.Searchable
Profile-driven storage.Profile-driven storage view
Serveur vCenter racine Non
ReadOnly System.Read
System.View
System.Anonymous
centre de données
réseau
Oui
Anthos Droits associés au rôle Anthos datastore
pool de ressources
Dossier de VM
réseau
Oui

Droits associés au rôle personnalisé Anthos

Créer des rôles et des autorisations personnalisés

Un administrateur d'organisation peut utiliser l'outil de ligne de commande govc pour créer des rôles et des autorisations personnalisés.

L'administrateur de l'organisation doit disposer d'un compte serveur vCenter disposant des droits suffisants pour créer des rôles et des autorisations. Par exemple, un compte disposant du rôle d'administrateur serait approprié.

Avant d'exécuter govc, définissez certaines variables d'environnement :

  • Définissez GOVC_URL sur l'URL de votre instance vCenter Server.

  • Définissez GOVC_USERNAME sur le nom d'utilisateur du compte vCenter Server de l'administrateur de l'organisation.

  • Définissez GOVC_PASSWORD sur le mot de passe du compte vCenter Server de l'administrateur de l'organisation.

Exemple :

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Créer des rôles personnalisés

Créez les rôles personnalisés ClusterEditor, SessionValidator et ReadOnly :

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Créer une autorisation qui accorde le rôle ClusterEditor

Une autorisation utilise une paire (utilisateur, rôle) et l'associe à un objet. Lorsque vous attribuez une autorisation sur un objet, vous pouvez indiquer si celle-ci se propage aux objets enfants. Pour ce faire, définissez l'option --propagate sur true ou false avec govc. La valeur par défaut est false.

Créez une autorisation qui accorde le rôle ClusterEditor à un utilisateur sur un objet de cluster. Cette autorisation se propage à tous les objets enfants de l'objet de cluster :

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Remplacez les éléments suivants :

  • ACCOUNT : compte utilisateur vCenter Server disposant du rôle

  • CLUSTER_PATH : chemin d'accès du cluster dans la hiérarchie des objets vSphere

Par exemple, la commande suivante crée une autorisation qui associe la paire (bob@vsphere.local, ClusterEditor) à my-dc/host/my-cluster. L'autorisation se propage à tous les objets enfants de my-dc/host/my-cluster :

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Créer des autorisations supplémentaires

Cette section donne des exemples de création d'autorisations supplémentaires. Remplacez les exemples de chemin d'accès aux objets selon les besoins de votre environnement.

Créez une autorisation qui attribue le rôle SessionValidator à un compte sur l'objet racine vCenter Server. Cette autorisation ne se propage pas aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Créez des autorisations qui accordent le rôle ReadOnly à un compte sur un objet de centre de données et un objet réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Créez des autorisations qui attribuent le rôle Anthos à un compte sur quatre objets : un datastore, un dossier de VM, un pool de ressources et un réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Créer une autorisation globale

Cette section propose une alternative à la création de plusieurs rôles et de plusieurs autorisations. Nous ne recommandons pas cette approche, car elle accorde un grand nombre de droits sur tous les objets de vos hiérarchies vSphere.

Si vous n'avez pas encore créé le rôle personnalisé Anthos, créez-le maintenant.

Créez une autorisation globale :

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Remplacez les éléments suivants :

Remplacez ACCOUNT par le compte d'utilisateur vCenter Server auquel le rôle est attribué

Par exemple, la commande suivante crée une autorisation globale qui attribue le rôle Anthos à bob@vsphere.local. L'autorisation se propage à tous les objets de vos hiérarchies vSphere :

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problèmes connus

Consultez la section Échec de l'installation lors de la création du disque de données vSphere.

Étapes suivantes

Exigences concernant le processeur, la RAM et l'espace de stockage