Persyaratan vSphere

Google Distributed Cloud berjalan di lokasi Anda di lingkungan vSphere. Dokumen ini menjelaskan persyaratan untuk lingkungan vSphere Anda.

Halaman ini ditujukan bagi Admin dan arsitek yang menentukan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan, serta membuat dan mengelola kebijakan terkait izin pengguna. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna GKE Enterprise umum.

Kompatibilitas versi

Persyaratan vSphere bervariasi sesuai versi Google Distributed Cloud yang Anda gunakan. Untuk informasi selengkapnya, lihat matriks kompatibilitas versi untuk versi yang didukung sepenuhnya.

Versi yang didukung

vSphere adalah software virtualisasi server VMware. vSphere mencakup ESXi dan vCenter Server.

Google Distributed Cloud mendukung versi ESXi dan vCenter Server berikut

  • 7.0 Update 2 dan update versi 7.0 yang lebih baru
  • Update versi 8.0 dan yang lebih baru dari versi 8.0

Sebaiknya gunakan 8.0, atau 7.0 Update 3, atau update versi 7.0 yang lebih baru.

Jika ingin membuat snapshot volume CSI, Anda harus memiliki salah satu versi berikut:

  • 7.0 Update 3 atau update versi 7.0 yang lebih baru
  • 8.0 atau update versi 8.0 yang lebih baru

Persyaratan lisensi

Anda memerlukan salah satu lisensi berikut:

  • Lisensi vSphere Enterprise Plus. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid.

  • Lisensi vSphere Standard. Bersama dengan lisensi ini, Anda harus memiliki langganan dukungan yang valid. Dengan lisensi ini, Anda tidak dapat mengaktifkan grup anti-afinitas. Selain itu, Anda tidak dapat menentukan kumpulan resource Anda sendiri. Anda harus menggunakan kumpulan resource default.

Persyaratan hardware

Google Distributed Cloud berjalan di serangkaian host fisik yang menjalankan VMware hypervisor ESXi. Untuk mempelajari persyaratan hardware ESXi, lihat Persyaratan Hardware ESXi.

Untuk lingkungan produksi, sebaiknya lakukan hal berikut:

Jika Anda menetapkan antiAffinityGroups.enabled ke true, Google Distributed Cloud akan membuat aturan anti-afinitas DRS untuk node cluster Anda, sehingga node tersebut tersebar di setidaknya tiga host ESXi fisik. Meskipun aturan DRS mengharuskan node cluster tersebar di tiga host ESXi, sebaiknya Anda memiliki minimal empat host ESXi. Hal ini melindungi Anda dari kehilangan bidang kontrol cluster. Misalnya, Anda hanya memiliki tiga host ESXi, dan node bidang kontrol cluster admin Anda berada di host ESXi yang gagal. Aturan DRS akan mencegah node bidang kontrol ditempatkan di salah satu dari dua host ESXi yang tersisa.

Untuk evaluasi dan bukti konsep, Anda dapat menetapkan antiAffinityGroups.enabled ke false, dan hanya menggunakan satu host ESXi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan infrastruktur minimal.

Hak istimewa akun pengguna vCenter

Untuk menyiapkan lingkungan vSphere, administrator organisasi dapat memilih untuk menggunakan akun pengguna vCenter yang memiliki peran vCenter Server Administrator. Peran ini memberikan akses penuh ke semua objek vSphere.

Setelah lingkungan vSphere disiapkan, administrator cluster dapat membuat cluster admin dan cluster pengguna. Administrator cluster tidak memerlukan semua hak istimewa yang disediakan oleh peran Administrator Server vCenter.

Saat administrator atau developer cluster membuat cluster, mereka memberikan akun pengguna vCenter dalam file konfigurasi kredensial. Sebaiknya akun pengguna vCenter yang tercantum dalam file konfigurasi kredensial diberi satu atau beberapa peran kustom yang memiliki hak istimewa minimum yang diperlukan untuk pembuatan dan pengelolaan cluster.

Ada dua pendekatan berbeda yang dapat dilakukan administrator organisasi:

  • Buat beberapa peran dengan tingkat hak istimewa yang berbeda. Kemudian, buat izin yang menetapkan peran terbatas tersebut kepada pengguna atau grup di setiap objek vSphere.

  • Buat satu peran yang memiliki semua hak istimewa yang diperlukan. Kemudian, buat izin global yang menetapkan peran tersebut kepada pengguna atau grup tertentu di semua objek dalam hierarki vSphere Anda.

Sebaiknya gunakan pendekatan pertama, karena pendekatan ini membatasi akses dan meningkatkan keamanan lingkungan vCenter Server Anda. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Peran untuk Menetapkan Hak Istimewa dan Praktik Terbaik untuk Peran dan Izin

Untuk informasi tentang cara menggunakan pendekatan kedua, lihat Membuat satu izin global.

Tabel berikut menunjukkan empat peran kustom yang dapat dibuat oleh administrator organisasi. Administrator kemudian dapat menggunakan peran kustom untuk menetapkan izin pada objek vSphere tertentu:

Peran khususHak istimewaObjekMenyebarkan ke objek turunan
?
ClusterEditor System.Read
System.View
System.Anonymous
Host.Inventory.Modify cluster 		cluster Ya
SessionValidator System.Read
System.View
System.Anonymous
Sessions.Validate session
Cns.Searchable
Profile-driven storage.Profile-driven storage view 		Server vCenter Root Tidak
ReadOnly System.Read
System.View
System.Anonymous 		pusat data
jaringan 		Ya
Anthos Hak istimewa dalam peran Anthos datastore
resource pool
folder VM
jaringan 		Ya

Hak istimewa dalam peran kustom Anthos

Kategori Hak istimewa
Cloud Native Store
  • Dapat ditelusuri
Datastore
  • Mengalokasikan ruang
  • Menjelajahi datastore
  • Mengonfigurasi datastore
  • Operasi file level rendah
  • Hapus file
  • Memperbarui file virtual machine
  • Memperbarui metadata virtual machine
Operasi kriptografis
  • Akses Langsung
Folder
  • Buat folder
  • Hapus folder
  • Memindahkan folder
  • Mengganti nama folder
Inventaris Host
  • Mengubah cluster
Pemberian Tag vSphere
  • Membuat Tag vSphere
  • Menghapus Tag vSphere
  • Menetapkan atau Membatalkan Penetapan Tag vSphere
  • Menetapkan atau Membatalkan Penetapan Tag vSphere pada Objek (vSphere 7)
Sesi
  • Memvalidasi sesi
Jaringan
  • Menetapkan jaringan
Resource
  • Terapkan rekomendasi
  • Menetapkan virtual machine ke kumpulan resource
  • Memigrasikan virtual machine yang dinonaktifkan
  • Memigrasikan virtual machine yang diaktifkan
  • Mengkueri vMotion
Tampilan Penyimpanan
  • Lihat
Sistem
  • Anonim
  • Baca
  • Lihat
Tugas
  • Membuat tugas
  • Memperbarui tugas
vApp
  • Impor
  • Konfigurasi aplikasi vApp
  • Konfigurasi instance vApp
Mesin Virtual
  • Konfigurasi
    • Tambahkan disk yang ada
    • Tambahkan disk baru
    • Menambahkan atau menghapus perangkat
    • Konfigurasi lanjutan
    • Mengubah jumlah CPU
    • Mengubah resource
    • Mengonfigurasi managedBy
    • Mengaktifkan/menonaktifkan pelacakan perubahan disk
    • Mendapatkan sewa disk
    • Menampilkan setelan koneksi
    • Memperluas disk virtual
    • Mengonfigurasi perangkat USB Host.
    • Ubah Memori.
    • Mengubah setelan perangkat
    • Kompatibilitas Fault Tolerance Kueri
    • Membuat kueri file yang tidak dimiliki
    • Mengonfigurasi Perangkat Mentah.
    • Memuat ulang dari jalur
    • Menghapus disk
    • Ganti nama
    • Mereset informasi tamu
    • Menetapkan anotasi
    • Mengubah Setelan.
    • Mengubah penempatan Swapfile.
    • Beralih induk fork
    • Mengupgrade kompatibilitas virtual machine
  • Operasi Tamu
    • Perubahan Alias Operasi Tamu
    • Kueri Alias Operasi Tamu
    • Modifikasi Operasi Tamu
    • Eksekusi Program Operasi Tamu
    • Kueri Operasi Tamu
  • Interaksi
    • Menjawab pertanyaan
    • Operasi pencadangan di virtual machine
    • Mengonfigurasi media CD
    • Mengonfigurasi media floppy
    • Interaksi konsol
    • Membuat screenshot
    • Defragmentasi semua disk
    • Koneksi perangkat
    • Tarik lalu Lepas
    • Pengelolaan sistem operasi tamu oleh VIX API
    • Memasukkan kode pemindaian USB HID
    • Menjeda atau Menghentikan Jeda
    • Melakukan operasi penghapusan total atau penyingkatan
    • Matikan
    • Nyalakan
    • Merekam sesi di Virtual Machine
    • Memutar ulang sesi di Virtual Machine
    • Reset
    • Melanjutkan Fault Tolerance
    • Tangguhkan
    • Menangguhkan Fault Tolerance
    • Menguji failover
    • Menguji mulai ulang VM Sekunder
    • Menonaktifkan Fault Tolerance
    • Mengaktifkan Fault Tolerance
    • Penginstalan VMware Tools
  • Inventaris
    • Membuat dari yang ada
    • Buat baru
    • Pindahkan
    • Daftar
    • Hapus
    • Batalkan pendaftaran
  • Penyediaan
    • Mengizinkan akses disk
    • Mengizinkan akses file
    • Mengizinkan akses disk hanya baca
    • Mengizinkan download virtual machine
    • Mengizinkan upload file virtual machine
    • Meng-clone template
    • Meng-clone virtual machine
    • Membuat template dari virtual machine
    • Menyesuaikan tamu.
    • Men-deploy template
    • Menandai sebagai template
    • Menandai sebagai virtual machine
    • Mengubah spesifikasi penyesuaian
    • Mempromosikan disk
    • Membaca spesifikasi penyesuaian
  • Konfigurasi layanan
    • Mengizinkan notifikasi
    • Mengizinkan polling notifikasi peristiwa global
    • Mengelola konfigurasi layanan
    • Mengubah konfigurasi layanan
    • Mengkueri konfigurasi layanan
    • Membaca konfigurasi layanan
  • Pengelolaan snapshot
    • Buat snapshot
    • Menghapus snapshot
    • Mengganti nama snapshot
    • Kembali ke snapshot
  • Replikasi vSphere
    • Mengonfigurasi Replikasi
    • Mengelola Replikasi
    • Memantau Replikasi

Membuat peran dan izin khusus

Administrator organisasi dapat menggunakan alat command line govc untuk membuat peran dan izin kustom.

Administrator organisasi harus memiliki akun vCenter Server yang memiliki hak istimewa yang memadai untuk membuat peran dan izin. Misalnya, akun yang memiliki peran Administrator akan sesuai.

Sebelum menjalankan govc, tetapkan beberapa variabel lingkungan:

  • Tetapkan GOVC_URL ke URL instance vCenter Server Anda.

  • Tetapkan GOVC_USERNAME ke nama pengguna akun Server vCenter administrator organisasi.

  • Tetapkan GOVC_PASSWORD ke sandi akun Server vCenter administrator organisasi.

Contoh:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Membuat peran khusus

Buat peran khusus ClusterEditor, SessionValidator, dan ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Membuat izin yang memberikan peran ClusterEditor

Izin menggunakan pasangan (pengguna, peran) dan mengaitkannya dengan objek. Saat menetapkan izin pada objek, Anda dapat menentukan apakah izin tersebut akan diterapkan ke objek turunan. Dengan govc, Anda melakukannya dengan menetapkan flag --propagate ke true atau false. Defaultnya adalah false.

Buat izin yang memberikan peran ClusterEditor kepada pengguna di objek cluster. Izin ini diterapkan ke semua objek turunan dari objek cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Ganti kode berikut:

  • ACCOUNT: akun pengguna vCenter Server yang diberi peran tersebut

  • CLUSTER_PATH: jalur cluster dalam hierarki objek vSphere

Misalnya, perintah berikut membuat izin yang mengaitkan pasangan (bob@vsphere.local, ClusterEditor dengan my-dc/host/my-cluster. Izin tersebut akan diterapkan ke semua objek turunan my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Membuat izin tambahan

Bagian ini memberikan contoh pembuatan izin tambahan. Ganti contoh jalur objek sesuai kebutuhan untuk lingkungan Anda.

Buat izin yang memberikan peran SessionValidator ke akun di objek root vCenter Server. Izin ini tidak diterapkan ke objek turunan:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Buat izin yang memberikan peran ReadOnly ke akun di objek data center dan objek jaringan. Izin ini diterapkan ke objek turunan:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Buat izin yang memberikan peran Anthos ke akun di empat objek: datastore, folder VM, kumpulan resource, dan jaringan. Izin ini diterapkan ke objek turunan:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Membuat satu izin global

Bagian ini memberikan alternatif untuk membuat beberapa peran dan beberapa izin. Kami tidak merekomendasikan pendekatan ini karena memberikan serangkaian hak istimewa yang besar pada semua objek dalam hierarki vSphere Anda.

Jika Anda belum membuat peran kustom Anthos, buat sekarang.

Buat satu izin global:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Ganti kode berikut:

Ganti ACCOUNT dengan akun pengguna vCenter Server yang diberikan peran

Misalnya, perintah berikut membuat izin global yang memberikan peran Anthos ke bob@vsphere.local. Izin akan diterapkan ke semua objek dalam hierarki vSphere Anda:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Masalah umum

Lihat Penginstal gagal saat membuat datadisk vSphere.

Langkah selanjutnya

Persyaratan CPU, RAM, dan penyimpanan