Google Distributed Cloud viene eseguito on-premise in vSphere completamente gestito di Google Cloud. Questo documento descrive i requisiti per il tuo ambiente vSphere.
Questa pagina è rivolta agli amministratori e agli architetti che definiscono soluzioni e sistemi IT dell'architettura in linea con la strategia aziendale e di creare e gestire policy relative alle autorizzazioni dell'utente. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud, Ruoli e attività utente comuni di GKE Enterprise.
Compatibilità delle versioni
I requisiti di vSphere variano a seconda della versione di Google Distributed Cloud che stai utilizzando. Per ulteriori informazioni, consulta la versione di compatibilità versioni completamente supportate.
Versioni supportate
vSphere è il software di virtualizzazione del server di VMware. vSphere include ESXi e Server vCenter.
Google Distributed Cloud supporta queste versioni ESXi e Server vCenter
- 7.0 Update 2 e successivi aggiornamenti della versione 7.0
- 8.0 e aggiornamenti successivi della versione 8.0
Consigliamo di utilizzare 8.0 o 7.0 Update 3 o un aggiornamento successivo della versione 7.0.
Se vuoi creare snapshot di volumi CSI, devi avere uno dei le seguenti versioni:
- Aggiornamento 3 della versione 7.0 o un aggiornamento successivo della versione 7.0
- 8.0 o un aggiornamento successivo alla versione 8.0
Requisiti relativi alle licenze
Devi disporre di una delle seguenti licenze:
Licenza vSphere Enterprise Plus. Oltre a questa licenza, devi disporre di un abbonamento all'assistenza valido.
Licenza vSphere Standard. Oltre a questa licenza, devi disporre di un abbonamento all'assistenza valido. Con questa licenza, non puoi attivare i gruppi anti-affinità. Inoltre, non puoi specificare il tuo pool di risorse. Devi utilizzare il pool di risorse predefinito.
Requisiti hardware
Google Distributed Cloud viene eseguito su un insieme di host fisici che eseguono l'hypervisor ESXi di VMware. Per informazioni sui requisiti hardware per ESXi, vedi Requisiti hardware ESXi.
Per gli ambienti di produzione, consigliamo vivamente quanto segue:
Fai in modo che siano disponibili almeno quattro host ESXi per le VM del tuo cluster.
Se prevedi di eseguire il deployment di Anthos clusters on VMware su diversi cluster vSphere o pool di risorse all'interno dello stesso data center vSphere, abilita il traffico Network File Copy (NFC) tra gli host ESXi per consentire la condivisione del modello del sistema operativo.
Imposta
antiAffinityGroups.enabled
sutrue
nei file di configurazione del cluster.
Se imposti antiAffinityGroups.enabled
su true
, Google Distributed Cloud
crea regole di anti-affinità DRS per i nodi del cluster,
distribuiti su almeno tre host ESXi fisici. Anche se le regole DRS richiedono che i nodi del cluster siano distribuiti su tre host ESXi, ti consigliamo vivamente di avere almeno quattro host ESXi disponibili. In questo modo, eviterai di perdere il control plane del cluster. Ad esempio, supponiamo che tu abbia
tre host ESXi e il cluster di amministrazione
il nodo del piano di controllo si trova su un host ESXi in cui si verifica un errore. La regola DRS impedirà
di essere posizionato su uno dei restanti due host ESXi.
Per la valutazione e il proof of concept, puoi impostare antiAffinityGroups.enabled
su
false
e utilizzare un solo host ESXi. Per ulteriori informazioni, consulta
Configurare un'infrastruttura minima.
Privilegi dell'account utente vCenter
Per configurare un ambiente vSphere, un amministratore dell'organizzazione potrebbe decidere di utilizza un account utente vCenter con Ruolo Amministratore server vCenter. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.
Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno i privilegi forniti dal ruolo Amministratore server vCenter.
Quando un amministratore o uno sviluppatore crea un cluster, fornisce una account utente vCenter in un file di configurazione credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati con i privilegi minimi richiesti per la creazione e la gestione del cluster.
Un amministratore dell'organizzazione può adottare due approcci diversi:
Creare diversi ruoli con diversi gradi di privilegio. Poi crea autorizzazioni che assegnano questi ruoli limitati a un utente o un gruppo singoli oggetti vSphere.
Crea un ruolo con tutti i privilegi necessari. Quindi crea un autorizzazione globale che assegna quel ruolo a un particolare utente o gruppo su tutte degli oggetti nelle tue gerarchie vSphere.
Consigliamo il primo approccio, perché limita l'accesso e aumenta la sicurezza dell'ambiente vCenter Server. Per ulteriori informazioni, consulta Utilizzare i ruoli per assegnare i privilegi e Best practice per ruoli e autorizzazioni
Per informazioni sull'utilizzo del secondo approccio, consulta Crea un'autorizzazione globale.
La tabella seguente mostra quattro ruoli personalizzati che un amministratore dell'organizzazione possono creare. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare autorizzazioni su oggetti vSphere specifici:
Ruolo personalizzato | Privilegi | Oggetti | Vuoi propagare la modifica agli oggetti secondari? |
---|---|---|---|
ClusterEditor |
System.Read System.View System.Anonymous Host.Inventory.Modify cluster |
cluster | Sì |
SessionValidator |
System.Read System.View System.Anonymous Sessioni.Convalida sessione Cns.Searchable Archiviazione basata sul profilo.Visualizzazione archiviazione basata sul profilo |
Server vCenter principale | No |
ReadOnly |
System.Read System.View System.Anonymous |
data center rete |
Sì |
Anthos | Privilegi nel ruolo Anthos |
datastore pool di risorse Cartella VM network |
Sì |
Privilegi nel ruolo personalizzato Anthos
Crea ruoli e autorizzazioni personalizzati
Un amministratore dell'organizzazione può utilizzare lo strumento a riga di comando govc per creare ruoli e autorizzazioni personalizzati.
L'amministratore dell'organizzazione deve disporre di un account vCenter Server con privilegi sufficienti per creare ruoli e autorizzazioni. Ad esempio, un account con Ruolo di amministratore appropriato.
Prima di eseguire govc
, imposta alcune variabili di ambiente:
Imposta GOVC_URL sull'URL della tua istanza di vCenter Server.
Imposta GOVC_USERNAME sul nome utente dell'account vCenter Server dell'amministratore dell'organizzazione.
Imposta GOVC_PASSWORD sulla password dell'account vCenter Server dell'amministratore dell'organizzazione.
Ad esempio:
export GOVC_URL=vc-01.example export GOVC_USERNAME=alice@vsphere.local export GOVC_PASSWORD=8ODQYHo2Yl@
Creazione di ruoli personalizzati
Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:
govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View govc role.create ReadOnly System.Read System.View System.Anonymous
Crea un'autorizzazione che conceda il ruolo ClusterEditor
Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando
assegni un'autorizzazione su un oggetto, puoi specificare se l'autorizzazione
si propaga agli oggetti figlio. Con govc
, puoi farlo impostando il
--propagate
su true
o false
. Il valore predefinito è false
.
Crea un'autorizzazione che conceda il ruolo ClusterEditor a un utente su un cluster . Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:
govc permissions.set -principal ACCOUNT \ -role ClusterEditor -propagate=true CLUSTER_PATH`
Sostituisci quanto segue:
ACCOUNT: l'account utente vCenter Server a cui viene concesso ruolo
CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere
Ad esempio, il seguente comando crea un'autorizzazione che associa la coppia (bob@vsphere.local, ClusterEditor con my-dc/host/my-cluster. L'autorizzazione viene propagata a tutti gli oggetti secondari di my-dc/host/my-cluster:
govc permissions.set -principal bob@vsphere.local \ -role ClusterEditor -propagate=true my-dc/host/my-cluster
Creare autorizzazioni aggiuntive
Questa sezione fornisce esempi di creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle esigenze del tuo ambiente.
Crea un'autorizzazione che conceda il ruolo SessionValidator a un account sull'oggetto vCenter Server principale. Questa autorizzazione non si propaga agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role SessionValidator -propagate=false
Crea autorizzazioni che concedono il ruolo ReadOnly a un account su un oggetto data center e un oggetto di rete. Queste autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT \ -role ReadOnly -propagate=true \ /my-dc \ /my-dc/network/my-net
Crea autorizzazioni che concedono il ruolo Anthos a un account su quattro oggetti: un datastore, una cartella VM, un pool di risorse e una rete. Questi le autorizzazioni si propagano agli oggetti secondari:
govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \ /my-dc/datastore/my-ds \ /my-dc/vm/my-folder \ /my-dc/host/my-cluster/Resources/my-rp \ /my-dc/network/my-net
Crea un'autorizzazione globale
Questa sezione offre un'alternativa alla creazione di vari ruoli e autorizzazioni aggiuntive. Sconsigliamo di utilizzare questo approccio perché garantisce un gran numero di privilegiati su tutti gli oggetti nelle gerarchie vSphere.
Se non hai ancora creato il ruolo personalizzato Anthos, crealo ora.
Crea un'autorizzazione globale:
govc permissions.set -principal ACCOUNT \ -role Anthos -propagate=true
Sostituisci quanto segue:
Sostituisci ACCOUNT con l'account utente vCenter Server attualmente in corso ha concesso il ruolo
Ad esempio, il seguente comando crea un'autorizzazione globale che concede il ruolo Anthos a bob@vsphere.local. L'autorizzazione si propaga a tutti gli oggetti in le gerarchie vSphere:
govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true
Problemi noti
Consulta L'installazione non va a buon fine durante la creazione del datadisk vSphere.
Passaggi successivi
Requisiti di archiviazione, CPU e RAM