Exigences concernant vSphere

Google Distributed Cloud s'exécute sur site dans un environnement vSphere. Ce document décrit les exigences concernant votre environnement vSphere.

Cette page s'adresse aux administrateurs et aux architectes qui définissent les solutions informatiques et l'architecture du système conformément à la stratégie de l'entreprise, et qui créent et gèrent des règles liées aux autorisations des utilisateurs. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.

Compatibilité des versions

Les exigences de vSphere varient selon la version de Google Distributed Cloud que vous utilisez. Pour en savoir plus, consultez la matrice de compatibilité des versions pour les versions entièrement compatibles.

Versions compatibles

vSphere est le logiciel de virtualisation de serveur de VMware. vSphere inclut ESXi et vCenter Server.

Google Distributed Cloud est compatible avec les versions suivantes d'ESXi et de vCenter Server :

  • Mises à jour 7.0 2 et ultérieures de la version 7.0
  • Mises à jour 8.0 et ultérieures de la version 8.0

Nous vous recommandons d'utiliser la mise à jour 8.0 ou 7.0 3, ou une mise à jour ultérieure de la version 7.0.

Si vous souhaitez créer des instantanés de volume CSI, vous devez disposer de l'une des versions suivantes :

  • Mise à jour 7.0 3 ou ultérieure de la version 7.0
  • Mise à jour 8.0 ou ultérieure de la version 8.0

Exigences concernant les licences

Vous devez posséder l'une des licences suivantes :

  • Licence vSphere Enterprise Plus. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide.

  • Licence vSphere standard. Parallèlement à cette licence, vous devez disposer d'un abonnement à une assistance valide. Cette licence ne vous permet pas d'activer de groupes d'anti-affinité. En outre, vous ne pouvez pas spécifier votre propre pool de ressources. Vous devez utiliser le pool de ressources par défaut.

Configuration matérielle requise

Google Distributed Cloud s'exécute sur un ensemble d'hôtes physiques qui exécutent l'hyperviseur ESXi de VMware. Pour en savoir plus sur la configuration adaptée, consultez la page Configuration matérielle requise pour ESXi.

Pour les environnements de production, nous vous recommandons vivement de respecter les préconisations suivantes :

  • Activez VMware DRS (Distributed Resource Scheduler).

  • Prévoyez au moins quatre hôtes ESXi pour vos VM de cluster.

  • Activez le trafic Network File Copy (NFC) entre les hôtes ESXi pour permettre le partage de modèles d'OS, si vous envisagez de déployer Clusters Anthos sur VMware sur différents clusters vSphere, ou sur des pools de ressources situés dans le même centre de données vSphere.

  • Définissez antiAffinityGroups.enabled sur true dans les fichiers de configuration de votre cluster.

Si vous définissez antiAffinityGroups.enabled sur true, Google Distributed Cloud crée des règles d'anti-affinité DRS pour vos nœuds de cluster, ce qui entraîne leur répartition sur au moins trois hôtes ESXi physiques. Même si les règles DRS exigent que les nœuds de cluster soient répartis sur trois hôtes ESXi, nous vous recommandons vivement de disposer d'au moins quatre hôtes ESXi disponibles. Cela vous évite de perdre le plan de contrôle de votre cluster. Supposons par exemple que vous n'ayez que trois hôtes ESXi et que le nœud de plan de contrôle de votre cluster d'administrateur se trouve sur un hôte ESXi qui est défaillant. La règle DRS empêche le nœud de plan de contrôle d'être placé sur l'un des deux hôtes ESXi restants.

Pour l'évaluation et la démonstration de faisabilité, vous pouvez définir antiAffinityGroups.enabled sur false et n'utiliser qu'un seul hôte ESXi. Pour plus d'informations, consultez la section Configurer une infrastructure minimale.

Droits de compte d'utilisateur vCenter

Pour configurer un environnement vSphere, un administrateur d'organisation peut choisir d'utiliser un compte utilisateur vCenter doté du rôle Administrateur vCenter Server. Ce rôle fournit un accès complet à tous les objets vSphere.

Une fois l'environnement vSphere configuré, un administrateur de cluster peut créer des clusters d'administrateur et des clusters d'utilisateur. L'administrateur du cluster n'a pas besoin de tous les droits fournis par le rôle Administrateur vCenter Server.

Lorsqu'un administrateur ou un développeur de cluster crée un cluster, il fournit un compte utilisateur vCenter dans un fichier de configuration des identifiants. Nous recommandons d'attribuer au compte utilisateur vCenter répertorié dans un fichier de configuration des identifiants un ou plusieurs rôles personnalisés qui comportent les droits minimum nécessaires pour la création et la gestion des clusters.

Un administrateur d'organisation peut adopter deux approches différentes :

  • Créer plusieurs rôles avec des droits dvariables. Créer ensuite des autorisations qui attribuent ces rôles limités à un utilisateur ou à un groupe d'objets vSphere individuels.

  • Créez un rôle disposant de tous les droits nécessaires. Créez ensuite une autorisation globale qui attribue ce rôle à un utilisateur ou à un groupe particulier sur tous les objets de vos hiérarchies vSphere.

Nous vous recommandons la première approche, car elle limite l'accès et augmente la sécurité de votre environnement vCenter Server. Pour en savoir plus, consultez les pages Utiliser des rôles pour attribuer des droits et Bonnes pratiques concernant les rôles et les autorisations.

Pour en savoir plus sur l'utilisation de la seconde approche, consultez la page Créer une autorisation globale.

Le tableau suivant présente quatre rôles personnalisés qu'un administrateur d'organisation peut créer. L'administrateur peut ensuite utiliser les rôles personnalisés pour attribuer des autorisations sur des objets vSphere spécifiques :

Rôle personnaliséDroitsObjetsPropager aux objets
enfants ?
ClusterEditor System.Read
System.View
System.Anonymous
Host.Inventory. Modifier le cluster 		Cluster Oui
SessionValidator System.Read
System.View
System.Anonymous
Sessions.Validate session
Cns.Searchable
Profile-driven storage.Profile-driven storage view 		Serveur vCenter racine Non
ReadOnly System.Read
System.View
System.Anonymous 		centre de données
réseau 		Oui
Anthos Droits associés au rôle Anthos datastore
pool de ressources
Dossier de VM
réseau 		Oui

Droits associés au rôle personnalisé Anthos

Catégorie Droits
Cloud Native Store
  • Inclus dans l'index de recherche
Datastore
  • Allouer de l'espace
  • Parcourir le datastore
  • Configurer le datastore
  • Opérations sur les fichiers de bas niveau
  • Supprimer le fichier
  • Mettre à jour les fichiers de machines virtuelles
  • Mettre à jour les métadonnées de machines virtuelles
Opérations de chiffrement
  • Accès direct
Dossier
  • Créer un dossier
  • Supprimer le dossier
  • Déplacer le dossier
  • Renommer le dossier
Inventaire des hôtes
  • Modifier le cluster
Ajout de tags vSphere
  • Créer un tag vSphere
  • Supprimer le tag vSphere
  • Attribuer ou annuler l'attribution d'un tag vSphere
  • Attribuer ou annuler l'attribution d'un tag vSphere sur l'objet (vSphere 7)
Sessions
  • Valider la session
Réseau
  • Attribuer un réseau
Ressource
  • Appliquer la recommandation
  • Attribuer une machine virtuelle au pool de ressources
  • Migrer une machine virtuelle hors tension
  • Migrer une machine virtuelle sous tension
  • Interroger vMotion
Vues du stockage
  • Afficher
Système
  • Anonyme
  • Lire
  • Afficher
Tasks
  • Créer une tâche
  • Mettre à jour la tâche
vApp
  • Importer
  • Configuration de l'application vApp
  • Configuration de l'instance vApp
Machine virtuelle
  • Configuration
    • Ajouter un disque existant
    • Ajouter un disque
    • Ajouter ou supprimer un appareil
    • Configuration avancée
    • Modifier le nombre de processeurs
    • Modifier une ressource
    • Configurer ManagedBy
    • Activer/Désactiver le suivi des modifications du disque
    • Acquérir un bail de disque
    • Afficher les paramètres de connexion
    • Étendre le disque virtuel
    • Configurer l'appareil USB hôte.
    • Modifier la mémoire.
    • Modifier les paramètres de l'appareil
    • Vérifier la compatibilité avec la tolérance aux pannes
    • Interroger des fichiers sans propriétaire
    • Configurer l'appareil brut.
    • Recharger à partir du chemin
    • Supprimer le disque
    • Renommer
    • Réinitialiser les informations sur les invités
    • Définir une annotation
    • Modifier les paramètres.
    • Modifier l'emplacement du fichier d'échange.
    • Activer/désactiver le parent de duplication
    • Mettre à niveau la compatibilité des machines virtuelles
  • Opérations d'invité
    • Modification de l'alias d'opération d'invité
    • Requête d'alias d'opération d'invité
    • Modifications d'opération d'invité
    • Exécution du programme d'opération d'invité
    • Requêtes concernant les opérations d'invités
  • Interaction
    • Répondre à la question
    • Opération de sauvegarde sur une machine virtuelle
    • Configurer le support CD
    • Configurer le support disquette
    • Interaction avec la console
    • Créer une capture d'écran
    • Défragmenter tous les disques
    • Connexion de l'appareil
    • Glisser-déposer
    • Gestion de système d'exploitation invité par l'API VIX
    • Injecter des codes d'analyse USB HID
    • Mettre en pause ou reprendre
    • Exécuter des opérations d'effacement ou de réduction
    • Mettre hors tension
    • Mettre sous tension
    • Enregistrer une session sur une machine virtuelle
    • Revoir une session sur une machine virtuelle
    • Réinitialiser
    • Rétablir la tolérance aux pannes
    • Suspendre
    • Suspendre la tolérance aux pannes
    • Tester le basculement
    • Tester le redémarrage d'une VM secondaire
    • Désactiver la tolérance aux pannes
    • Activer la tolérance aux pannes
    • Installer VMware Tools
  • Inventaire
    • Créer à partir de données existantes
    • Créer
    • Déplacer
    • Enregistrer
    • Supprimer
    • Annuler l'enregistrement
  • Provisionnement
    • Autoriser l'accès au disque
    • Autoriser l'accès aux fichiers
    • Autoriser l'accès au disque en lecture seule
    • Autoriser le téléchargement d'une machine virtuelle
    • Autoriser l'importation de fichiers d'une machine virtuelle
    • Cloner le modèle
    • Cloner une machine virtuelle
    • Créer un modèle à partir d'une machine virtuelle
    • Personnaliser l'invité.
    • Déployer le modèle
    • Marquer comme modèle
    • Marquer comme machine virtuelle
    • Modifier la spécification de personnalisation
    • Promouvoir des disques
    • Lire les spécifications de personnalisation
  • Configuration de service
    • Autoriser les notifications
    • Autoriser l'interrogation des notifications d'événements globaux
    • Gérer des configurations de service
    • Modifier la configuration de service
    • Interroger les configurations de service
    • Lire la configuration de service
  • Gestion des instantanés
    • Créer un instantané
    • Supprimer un instantané
    • Renommer un instantané
    • Rétablir un instantané
  • Duplication de vSphere
    • Configurer la duplication
    • Gérer la duplication
    • Surveiller la duplication

Créer des rôles et des autorisations personnalisés

Un administrateur d'organisation peut utiliser l'outil de ligne de commande govc pour créer des rôles et des autorisations personnalisés.

L'administrateur de l'organisation doit disposer d'un compte serveur vCenter disposant des droits suffisants pour créer des rôles et des autorisations. Par exemple, un compte disposant du rôle d'administrateur serait approprié.

Avant d'exécuter govc, définissez certaines variables d'environnement :

  • Définissez GOVC_URL sur l'URL de votre instance vCenter Server.

  • Définissez GOVC_USERNAME sur le nom d'utilisateur du compte vCenter Server de l'administrateur de l'organisation.

  • Définissez GOVC_PASSWORD sur le mot de passe du compte vCenter Server de l'administrateur de l'organisation.

Exemple :

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Créer des rôles personnalisés

Créez les rôles personnalisés ClusterEditor, SessionValidator et ReadOnly :

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Créer une autorisation qui accorde le rôle ClusterEditor

Une autorisation utilise une paire (utilisateur, rôle) et l'associe à un objet. Lorsque vous attribuez une autorisation sur un objet, vous pouvez indiquer si celle-ci se propage aux objets enfants. Pour ce faire, définissez l'option --propagate sur true ou false avec govc. La valeur par défaut est false.

Créez une autorisation qui accorde le rôle ClusterEditor à un utilisateur sur un objet de cluster. Cette autorisation se propage à tous les objets enfants de l'objet de cluster :

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Remplacez les éléments suivants :

  • ACCOUNT : compte utilisateur vCenter Server disposant du rôle

  • CLUSTER_PATH : chemin d'accès du cluster dans la hiérarchie des objets vSphere

Par exemple, la commande suivante crée une autorisation qui associe la paire (bob@vsphere.local, ClusterEditor) à my-dc/host/my-cluster. L'autorisation se propage à tous les objets enfants de my-dc/host/my-cluster :

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Créer des autorisations supplémentaires

Cette section donne des exemples de création d'autorisations supplémentaires. Remplacez les exemples de chemin d'accès aux objets selon les besoins de votre environnement.

Créez une autorisation qui attribue le rôle SessionValidator à un compte sur l'objet racine vCenter Server. Cette autorisation ne se propage pas aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Créez des autorisations qui accordent le rôle ReadOnly à un compte sur un objet de centre de données et un objet réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Créez des autorisations qui attribuent le rôle Anthos à un compte sur quatre objets : un datastore, un dossier de VM, un pool de ressources et un réseau. Ces autorisations se propagent aux objets enfants :

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Créer une autorisation globale

Cette section propose une alternative à la création de plusieurs rôles et de plusieurs autorisations. Nous ne recommandons pas cette approche, car elle accorde un grand nombre de droits sur tous les objets de vos hiérarchies vSphere.

Si vous n'avez pas encore créé le rôle personnalisé Anthos, créez-le maintenant.

Créez une autorisation globale :

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Remplacez les éléments suivants :

Remplacez ACCOUNT par le compte d'utilisateur vCenter Server auquel le rôle est attribué

Par exemple, la commande suivante crée une autorisation globale qui attribue le rôle Anthos à bob@vsphere.local. L'autorisation se propage à tous les objets de vos hiérarchies vSphere :

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problèmes connus

Consultez la section Échec de l'installation lors de la création du disque de données vSphere.

Étape suivante

Exigences concernant le processeur, la RAM et l'espace de stockage