Requisiti di vSphere

Google Distributed Cloud viene eseguito on-premise in un ambiente vSphere. Questo documento descrive i requisiti per l'ambiente vSphere.

Questa pagina è rivolta ad amministratori e architetti che definiscono le soluzioni IT e l'architettura del sistema in base alla strategia aziendale e creano e gestiscono i criteri relativi alle autorizzazioni utente. Per scoprire di più sui ruoli comuni e sugli esempi di attività a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.

Compatibilità delle versioni

I requisiti di vSphere variano in base alla versione di Google Distributed Cloud in uso. Per ulteriori informazioni, consulta la matrice di compatibilità delle versioni per le versioni completamente supportate.

Versioni supportate

vSphere è il software di virtualizzazione dei server di VMware. vSphere include ESXi e vCenter Server.

Google Distributed Cloud supporta queste versioni di ESXi e vCenter Server

  • Aggiornamento 2 della versione 7.0 e aggiornamenti successivi della versione 7.0
  • 8.0 e aggiornamenti successivi della versione 8.0

Ti consigliamo di utilizzare la versione 8.0, l'aggiornamento 3 della versione 7.0 o un aggiornamento successivo della versione 7.0.

Se vuoi creare snapshot dei volumi CSI, devi disporre di una delle seguenti versioni:

  • Aggiornamento 3 della versione 7.0 o un aggiornamento successivo della versione 7.0
  • 8.0 o un aggiornamento successivo alla versione 8.0

Requisiti relativi alle licenze

Devi disporre di una delle seguenti licenze:

  • Licenza vSphere Enterprise Plus. Oltre a questa licenza, devi disporre di un abbonamento all'assistenza valido.

  • Licenza vSphere Standard. Oltre a questa licenza, devi disporre di un abbonamento all'assistenza valido. Con questa licenza, non puoi attivare i gruppi anti-affinità. Inoltre, non puoi specificare il tuo pool di risorse. Devi utilizzare il pool di risorse predefinito.

Requisiti hardware

Google Distributed Cloud viene eseguito su un insieme di host fisici che eseguono l'hypervisor ESXi di VMware. Per informazioni sui requisiti hardware per ESXi, consulta Requisiti hardware di ESXi.

Per gli ambienti di produzione, ti consigliamo vivamente di:

  • Attiva VMware Distributed Resource Scheduler (DRS).

  • Avere almeno quattro host ESXi disponibili per le VM del cluster.

  • Se prevedi di eseguire il deployment di Cluster Anthos su VMware su diversi cluster vSphere o pool di risorse all'interno dello stesso data center vSphere, abilita il traffico Network File Copy (NFC) tra gli host ESXi per consentire la condivisione del modello del sistema operativo.

  • Imposta antiAffinityGroups.enabled su true nei file di configurazione del cluster.

Se imposti antiAffinityGroups.enabled su true, Google Distributed Cloud crea regole anti-affinità DRS per i nodi del cluster, in modo da distribuirli su almeno tre host ESXi fisici. Anche se le regole DRS richiedono che i nodi del cluster siano distribuiti su tre host ESXi, ti consigliamo vivamente di avere almeno quattro host ESXi disponibili. In questo modo, eviterai di perdere il control plane del cluster. Ad esempio, supponi di avere solo tre host ESXi e che il nodo del piano di controllo del cluster amministrativo si trovi su un host ESXi che non funziona. La regola DRS impedisce di posizionare il nodo del control plane su uno dei due host ESXi rimanenti.

Per la valutazione e la prova del concetto, puoi impostare antiAffinityGroups.enabled su false e utilizzare un solo host ESXi. Per ulteriori informazioni, consulta Configurare un'infrastruttura minima.

Privilegi dell'account utente vCenter

Per configurare un ambiente vSphere, un amministratore dell'organizzazione potrebbe scegliere di utilizzare un account utente vCenter con il ruolo Amministratore server vCenter. Questo ruolo fornisce l'accesso completo a tutti gli oggetti vSphere.

Dopo aver configurato l'ambiente vSphere, un amministratore del cluster può creare cluster di amministrazione e cluster utente. L'amministratore del cluster non ha bisogno di tutti i privilegi forniti dal ruolo di amministratore di vCenter Server.

Quando un amministratore o uno sviluppatore di cluster crea un cluster, fornisce un account utente vCenter in un file di configurazione delle credenziali. Consigliamo di assegnare all'account utente vCenter elencato in un file di configurazione delle credenziali uno o più ruoli personalizzati con i privilegi minimi richiesti per la creazione e la gestione del cluster.

Un amministratore dell'organizzazione può adottare due approcci diversi:

  • Creare diversi ruoli con diversi gradi di privilegio. Poi crea le autorizzazioni che assegnano questi ruoli limitati a un utente o a un gruppo su singoli oggetti vSphere.

  • Crea un ruolo con tutti i privilegi necessari. Poi crea un'autorizzazione globale che assegni il ruolo a un determinato utente o gruppo su tutti gli oggetti nelle gerarchie vSphere.

Consigliamo il primo approccio, perché limita l'accesso e aumenta la sicurezza dell'ambiente vCenter Server. Per ulteriori informazioni, consulta Utilizzare i ruoli per assegnare i privilegi e Best practice per ruoli e autorizzazioni

Per informazioni sull'utilizzo del secondo approccio, consulta Creare un'autorizzazione globale.

La tabella seguente mostra quattro ruoli personalizzati che un amministratore dell'organizzazione può creare. L'amministratore può quindi utilizzare i ruoli personalizzati per assegnare autorizzazioni su oggetti vSphere specifici:

Ruolo personalizzatoPrivilegiOggettiVuoi propagare ai
oggetti figlio?
ClusterEditor System.Read
System.View
System.Anonymous
Host.Inventory.Modify cluster 		cluster
SessionValidator System.Read
System.View
System.Anonymous
Sessions.Validate session
Cns.Searchable
Profile-driven storage.Profile-driven storage view 		Server vCenter principale No
ReadOnly System.Read
System.View
System.Anonymous 		data center
network
Anthos Privilegi nel ruolo Anthos datastore
pool di risorse
Cartella VM
network

Privilegi nel ruolo personalizzato Anthos

Categoria Privilegi
Cloud Native Store
  • Ricercabile
Datastore
  • Alloca spazio
  • Sfoglia il datastore
  • Configura il data store
  • Operazioni con i file a basso livello
  • Rimuovi file
  • Aggiorna i file della macchina virtuale
  • Aggiorna i metadati della macchina virtuale
Operazioni crittografiche
  • Accesso diretto
Cartella
  • Crea cartella
  • Elimina cartella
  • Sposta cartella
  • Rinomina cartella
Inventario host
  • Modifica cluster
Tagging vSphere
  • Crea tag vSphere
  • Elimina tag vSphere
  • Assegna o annulla l'assegnazione del tag vSphere
  • Assegna o annulla l'assegnazione del tag vSphere all'oggetto (vSphere 7)
Sessioni
  • Convalida sessione
Rete
  • Assegna rete
Risorsa
  • Applica consiglio
  • Assegna la macchina virtuale al pool di risorse
  • Esegui la migrazione della macchina virtuale spenta
  • Esegui la migrazione della macchina virtuale accesa
  • Esegui query su vMotion
Visualizzazioni dello spazio di archiviazione
  • Visualizza
Sistema
  • Anonimo
  • Leggi
  • Visualizza
Tasks
  • Crea attività
  • Aggiorna attività
vApp
  • Importa
  • Configurazione dell'applicazione vApp
  • Configurazione dell'istanza vApp
Macchina virtuale
  • Configurazione
    • Aggiungi disco esistente
    • Aggiungi nuovo disco
    • Aggiungere o rimuovere un dispositivo
    • Configurazione avanzata
    • Modificare il numero di CPU
    • Modifica risorsa
    • Configura managedBy
    • Attiva/disattiva il monitoraggio delle modifiche al disco
    • Acquista il leasing del disco
    • Visualizzare le impostazioni di connessione
    • Estendi il disco virtuale
    • Configura il dispositivo USB host.
    • Modifica ricordo.
    • Modificare le impostazioni del dispositivo
    • Esegui query sulla compatibilità con la tolleranza agli errori
    • Eseguire query sui file non di tua proprietà
    • Configura il dispositivo Raw.
    • Ricarica dal percorso
    • Rimuovi disco
    • Rinomina
    • Reimpostare i dati dell'ospite
    • Impostare l'annotazione
    • Modificare le impostazioni.
    • Modifica il posizionamento del file di scambio.
    • Attiva/disattiva la forchetta principale
    • Eseguire l'upgrade della compatibilità della macchina virtuale
  • Guest Operations
    • Modifica dell'alias dell'operazione ospite
    • Query sull'alias dell'operazione ospite
    • Modifiche all'operazione ospite
    • Esecuzione del programma di operazioni guest
    • Query sulle operazioni guest
  • Interazione
    • Rispondi alla domanda
    • Operazione di backup sulla macchina virtuale
    • Configurare i contenuti multimediali del CD
    • Configurare i supporti floppy
    • Interazione con la console
    • Crea screenshot
    • Defragment all disks (Defragmenta tutti i dischi)
    • Connessione del dispositivo
    • Trascina
    • Gestione del sistema operativo guest tramite l'API VIX
    • Iniettare codici di scansione HID USB
    • Mettere in pausa o riattivare la riproduzione
    • Esegui operazioni di reset o riduzione
    • Spegni
    • Accendi
    • Registra la sessione sulla macchina virtuale
    • Riproduci la sessione sulla macchina virtuale
    • Reimposta
    • Riprendi tolleranza di errore
    • Sospendi
    • Sospendi tolleranza di errore
    • Test del failover
    • Testa il riavvio della VM secondaria
    • Disattivare la tolleranza di errore
    • Attivare la tolleranza di errore
    • Installazione di VMware Tools
  • Inventario
    • Crea da esistente
    • Crea nuovo
    • Sposta
    • Registrati
    • Rimuovi
    • Annulla registrazione
  • Provisioning
    • Consenti l'accesso al disco
    • Consenti l'accesso ai file
    • Consenti l'accesso di sola lettura al disco
    • Consenti il download della macchina virtuale
    • Consenti il caricamento dei file della macchina virtuale
    • Clona modello
    • Clona macchina virtuale
    • Creare un modello da una macchina virtuale
    • Personalizza l'ospite.
    • Modello di deployment
    • Contrassegna come modello
    • Contrassegna come macchina virtuale
    • Modificare la specifica di personalizzazione
    • Promuovere i dischi
    • Leggi le specifiche di personalizzazione
  • Configurazione del servizio
    • Consenti notifiche
    • Consenti il polling delle notifiche di eventi globali
    • Gestire le configurazioni dei servizi
    • Modificare la configurazione del servizio
    • Esegui query sulle configurazioni dei servizi
    • Leggere la configurazione del servizio
  • Gestione degli snapshot
    • Crea snapshot
    • Rimuovi snapshot
    • Rinomina snapshot
    • Ripristina snapshot
  • Replicazione vSphere
    • Configura la replica
    • Gestisci la replica
    • Monitora la replica

Creare ruoli e autorizzazioni personalizzati

Un amministratore dell'organizzazione può utilizzare lo strumento a riga di comando govc per creare ruoli e autorizzazioni personalizzati.

L'amministratore dell'organizzazione deve disporre di un account vCenter Server con privilegi sufficienti per creare ruoli e autorizzazioni. Ad esempio, è appropriato un account con il ruolo di amministratore.

Prima di eseguire govc, imposta alcune variabili di ambiente:

  • Imposta GOVC_URL sull'URL della tua istanza di vCenter Server.

  • Imposta GOVC_USERNAME sul nome utente dell'account vCenter Server dell'amministratore dell'organizzazione.

  • Imposta GOVC_PASSWORD sulla password dell'account vCenter Server dell'amministratore dell'organizzazione.

Ad esempio:

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

Creare ruoli personalizzati

Crea i ruoli personalizzati ClusterEditor, SessionValidator e ReadOnly:

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

Crea un'autorizzazione che conceda il ruolo ClusterEditor

Un'autorizzazione prende una coppia (utente, ruolo) e la associa a un oggetto. Quando assegni un'autorizzazione a un oggetto, puoi specificare se deve essere propagata agli oggetti secondari. Con govc, puoi farlo impostando il --propagate su true o false. Il valore predefinito è false.

Crea un'autorizzazione che conceda il ruolo ClusterEditor a un utente su un oggetto cluster. Questa autorizzazione si propaga a tutti gli oggetti secondari dell'oggetto cluster:

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

Sostituisci quanto segue:

  • ACCOUNT: l'account utente vCenter Server a cui viene concesso il ruolo

  • CLUSTER_PATH: il percorso del cluster nella gerarchia degli oggetti vSphere

Ad esempio, il seguente comando crea un'autorizzazione che associa la coppia (bob@vsphere.local, ClusterEditor con my-dc/host/my-cluster. L'autorizzazione viene propagata a tutti gli oggetti secondari di my-dc/host/my-cluster:

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

Creare autorizzazioni aggiuntive

Questa sezione fornisce esempi di creazione di autorizzazioni aggiuntive. Sostituisci i percorsi degli oggetti di esempio in base alle esigenze del tuo ambiente.

Crea un'autorizzazione che conceda il ruolo SessionValidator a un account nell'oggetto vCenter Server principale. Questa autorizzazione non viene propagata agli oggetti secondari:

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

Crea autorizzazioni che concedono il ruolo ReadOnly a un account su un oggetto data center e un oggetto di rete. Queste autorizzazioni si propagano agli oggetti secondari:

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Crea autorizzazioni che concedono il ruolo Anthos a un account su quattro oggetti: un datastore, una cartella VM, un pool di risorse e una rete. Queste autorizzazioni vengono propagate agli oggetti secondari:

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

Crea un'autorizzazione globale

Questa sezione offre un'alternativa alla creazione di diversi ruoli e diverse autorizzazioni. Sconsigliamo questo approccio perché concede un ampio insieme di privilegi su tutti gli oggetti nelle gerarchie vSphere.

Se non hai ancora creato il ruolo personalizzato Anthos, crealo ora.

Crea un'autorizzazione globale:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

Sostituisci quanto segue:

Sostituisci ACCOUNT con l'account utente di vCenter Server a cui viene concesso il ruolo

Ad esempio, il seguente comando crea un'autorizzazione globale che concede il ruolo Anthos a bob@vsphere.local. L'autorizzazione viene propagata a tutti gli oggetti nelle gerarchie vSphere:

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

Problemi noti

Consulta L'installazione non va a buon fine durante la creazione del datadisk vSphere.

Passaggi successivi

Requisiti di archiviazione, CPU e RAM