이제 VMware용 Anthos 클러스터는 VMware용 Google Distributed Cloud(소프트웨어 전용)입니다. 자세한 내용은 제품 개요를 참조하세요.

vSphere 요구사항

Google Distributed Cloud는 vSphere 환경의 온프레미스에서 실행됩니다. 이 문서에서는 vSphere 환경을 위한 요구사항을 설명합니다.

이 페이지는 회사 전략에 따라 IT 솔루션과 시스템 아키텍처를 정의하고, 사용자 권한과 관련된 정책을 만들고 관리하는 관리자 및 설계자를 대상으로 합니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할 및 예시 작업에 대해 자세히 알아보려면 일반 GKE 기업 사용자 역할 및 작업을 참조하세요.

버전 호환성

vSphere 요구사항은 사용 중인 Google Distributed Cloud 버전에 따라 다릅니다. 자세한 내용은 완전히 지원되는 버전의 버전 호환성 표를 참조하세요.

지원되는 버전

vSphere는 VMware의 서버 가상화 소프트웨어입니다. vSphere에는 ESXi 및 vCenter Server가 포함됩니다.

Google Distributed Cloud는 이러한 버전의 ESXi 및 vCenter Server를 지원합니다.

7.0 업데이트 2 및 7.0 버전 이후 업데이트
8.0 및 버전 8.0의 이후 업데이트

8.0 또는 7.0 업데이트 3 또는 버전 7.0의 이후 업데이트를 사용하는 것이 좋습니다.

CSI 볼륨 스냅샷을 만들려면 다음 버전 중 하나가 있어야 합니다.

7.0 업데이트 3 또는 7.0 버전 이후 업데이트
8.0 또는 버전 8.0의 이후 업데이트

라이선스 요구사항

다음 라이선스 중 하나가 필요합니다.

vSphere Enterprise Plus 라이선스. 이 라이선스와 함께 유효한 지원 구독이 있어야 합니다.
vSphere Standard 라이선스. 이 라이선스와 함께 유효한 지원 구독이 있어야 합니다. 이 라이선스를 사용하면 안티어피니티 그룹을 사용 설정할 수 없습니다. 또한 자체 리소스 풀을 지정할 수 없습니다. 기본 리소스 풀을 사용해야 합니다.

하드웨어 요구사항

Google Distributed Cloud는 VMware ESXi 하이퍼바이저를 실행하는 물리적 호스트 집합에서 실행됩니다. ESXi의 요구사항에 대해 알아보려면 ESXi 하드웨어 요구사항을 참조하세요.

프로덕션 환경에서는 다음을 수행하는 것이 좋습니다.

VMware Distributed Resource Scheduler(DRS)를 사용 설정합니다.
클러스터 VM에 사용 가능한 ESXi 호스트가 4개 이상 있어야 합니다.
동일한 vSphere 데이터 센터 내의 다른 vSphere 클러스터 또는 리소스 풀에 VMware용 Anthos 클러스터를 배포하려는 경우 OS 템플릿을 공유할 수 있도록 ESXi 호스트 간의 NFC(네트워크 파일 복사) 트래픽을 사용 설정합니다.
클러스터 구성 파일에서 antiAffinityGroups.enabled를 true로 설정합니다.

antiAffinityGroups.enabled를 true로 설정하면 Google Distributed Cloud가 클러스터 노드에 DRS 안티-어피니티 규칙을 만들어 3개 이상의 물리적 ESXi 호스트에 분산되도록 합니다. DRS 규칙에 따라 클러스터 노드가 3개의 ESXi 호스트에 분산되어야 하지만, 4개 이상의 ESXi 호스트를 사용하는 것이 좋습니다. 이렇게 하면 클러스터 컨트롤 플레인이 손실되지 않습니다. 예를 들어 ESXi 호스트가 3개만 있고 관리자 클러스터 제어 영역 노드가 오류가 발생한 ESXi 호스트에 있다고 가정해 보겠습니다. DRS 규칙은 제어 영역 노드가 나머지 두 ESXi 호스트 중 하나에 배치되지 않도록 합니다.

평가 및 개념 증명의 경우 antiAffinityGroups.enabled를 false로 설정하고 하나의 ESXi 호스트만 사용할 수 있습니다. 자세한 내용은 최소 인프라 설정을 참조하세요.

vCenter 사용자 계정 권한

vSphere 환경을 설정하려면 조직 관리자가 vCenter Server 관리자 역할이 있는 vCenter 사용자 계정을 사용하도록 선택해야 할 수 있습니다. 이 역할은 모든 vSphere 객체에 대한 전체 액세스 권한을 제공합니다.

vSphere 환경이 설정된 후 클러스터 관리자가 관리자 클러스터 및 사용자 클러스터를 만들 수 있습니다. 클러스터 관리자에게는 vCenter Server 관리자 역할로 제공되는 모든 권한이 필요하지 않습니다.

클러스터 관리자 또는 개발자는 클러스터를 만들 때 사용자 인증 정보 구성 파일에서 vCenter 사용자 계정을 제공합니다. 사용자 인증 정보 구성 파일에 나열된 vCenter 사용자 계정에 클러스터 만들기 및 관리에 필요한 최소 권한이 포함된 커스텀 역할을 하나 이상 할당하는 것이 좋습니다.

조직 관리자는 다음과 같이 두 가지 다른 접근 방식을 사용할 수 있습니다.

권한 수준이 서로 다른 여러 역할을 만듭니다. 그런 후 이러한 제한된 역할을 개별 vSphere 객체의 사용자 또는 그룹에 할당하는 권한을 만듭니다.
필요한 권한을 모두 포함하는 하나의 역할을 만듭니다. 그런 후 vSphere 계층 구조에서 모든 객체에 대한 특정 사용자 또는 그룹에 이 역할을 할당하는 전역 권한을 만듭니다.

액세스를 제한하고 vCenter Server 환경의 보안을 향상시켜 주기 때문에 첫 번째 접근 방법이 권장됩니다. 자세한 내용은 역할을 사용하여 권한 할당 및 역할 및 권한 권장사항을 참조하세요.

두 번째 방식을 사용하는 방법에 대한 상세 설명은 전역 권한 만들기를 참조하세요.

다음 표에서는 조직 관리자가 만들 수 있는 4개의 커스텀 역할을 보여줍니다. 그런 후 관리자가 커스텀 역할을 사용해서 특정 vSphere 객체에 대해 권한을 할당할 수 있습니다.

맞춤 역할	권한	객체	하위 객체에 전파?
ClusterEditor	System.Read System.View System.Anonymous Host.Inventory.Modify 클러스터	클러스터	예
SessionValidator	System.Read System.View System.Anonymous Sessions.Validate 세션 Cns.Searchable 프로젝트 기반 스토리지.프로젝트 기반 스토리지 보기	루트 vCenter 서버	아니요
ReadOnly	System.Read System.View System.Anonymous	데이터 센터 네트워크	예
Anthos	Anthos 역할의 권한	datastore 리소스 풀 VM 폴더 네트워크	예

Anthos 커스텀 역할의 권한

Anthos 커스텀 역할의 권한을 확인합니다.

카테고리	권한
클라우드 기반 스토어	검색 가능
Datastore	공간 할당 Datastore 찾아보기 Datastore 구성 하위 수준 파일 작업 파일 삭제 가상 머신 파일 업데이트 가상 머신 메타데이터 업데이트
암호화 작업	직접 액세스
폴더	폴더 만들기 폴더 삭제 폴더 이동 폴더 이름 바꾸기
호스트 인벤토리	클러스터 수정
vSphere 태그하기	vSphere 태그 만들기 vSphere 태그 삭제 vSphere 태그 할당 또는 할당 해제 객체에 vSphere 태그 할당 또는 할당 해제 (vSphere 7)
세션	세션 확인
네트워크	네트워크 할당
리소스	권장사항 적용 리소스 풀에 가상 머신 할당 전원이 꺼진 가상 머신 마이그레이션 전원이 켜진 가상 머신 마이그레이션 vMotion 쿼리
스토리지 보기	보기
시스템	익명 읽기 보기
Tasks	할 일 만들기 Update task(작업 업데이트)
vApp	가져오기 vApp 애플리케이션 구성 vApp 인스턴스 구성
가상 머신	구성 기존 디스크 추가 새 디스크 추가 기기 추가 또는 삭제 고급 구성 CPU 수 변경 리소스 변경 managedBy 구성 디스크 변경 추적 전환 디스크 임대 기간 획득 디스플레이 연결 설정 가상 디스크 확장 호스트 USB 기기 구성 메모리 변경 기기 설정 수정 내결함성 호환성 쿼리 소유하지 않은 파일 쿼리 원시 기기 구성 경로에서 새로고침 디스크 삭제 이름 바꾸기 게스트 정보 재설정 주석 설정 설정을 변경합니다. Swapfile 배치를 변경합니다. 포크 상위 항목 전환 가상 머신 호환성 업그레이드 게스트 작업 게스트 작업 별칭 수정 게스트 작업 별칭 쿼리 게스트 작업 수정 게스트 작업 프로그램 실행 게스트 작업 쿼리 상호작용 질문에 답하기 가상 머신에서 백업 작업 CD 미디어 구성 플로피 미디어 구성 콘솔 상호작용 스크린샷 만들기 모든 디스크 조각 모음 기기 연결 드래그 앤 드롭 VIX API를 통한 게스트 운영체제 관리 USB HID 스캔 코드 삽입 일시중지 또는 일시중지 해제 완전 삭제 또는 축소 작업 수행 전원 끄기 전원 켜기 가상 머신에서 세션 기록 가상 머신에서 세션 재실행 재설정 내결함성 재개 정지 내결함성 정지 장애 조치 테스트 보조 VM 다시 시작 테스트 내결함성 사용 중지 내결함성 사용 설정 VMware 도구 설치 인벤토리 기존에서 만들기 새로 만들기 이동 등록 삭제 등록 취소 프로비저닝 디스크 액세스 허용 파일 액세스 허용 읽기 전용 디스크 액세스 허용 가상 머신 다운로드 허용 가상 머신 파일 업로드 허용 템플릿 클론 가상 머신 클론 가상 머신에서 템플릿 만들기 게스트 맞춤설정 템플릿 배포 템플릿으로 표시 가상 머신으로 표시 맞춤설정 사양 수정 디스크 승격 맞춤설정 사양 읽기 서비스 구성 알림 허용 글로벌 이벤트 알림 폴링 허용 서비스 구성 관리 서비스 구성 수정 서비스 구성 쿼리 서비스 구성 읽기 스냅샷 관리 스냅샷 만들기 스냅샷 삭제 스냅샷 이름 바꾸기 스냅샷으로 되돌리기 vSphere 복제 복제 구성 복제 관리 복제 모니터링

커스텀 역할 및 권한 만들기

조직 관리자가 govc 명령줄 도구를 사용하여 커스텀 역할 및 권한을 만들 수 있습니다.

조직 관리자에게 역할 및 권한 만들기를 위한 충분한 권한이 있는 vCenter Server 계정이 있어야 합니다. 예를 들어 관리자 역할이 있는 계정이면 적합합니다.

govc를 실행하기 전에 일부 환경 변수를 설정하세요.

GOVC_URL을 vCenter Server 인스턴스의 URL로 설정합니다.
GOVC_USERNAME을 조직 관리자의 vCenter Server 계정 사용자 이름으로 설정합니다.
GOVC_PASSWORD를 조직 관리자의 vCenter Server 계정 비밀번호로 설정합니다.

예를 들면 다음과 같습니다.

export GOVC_URL=vc-01.example
export GOVC_USERNAME=alice@vsphere.local
export GOVC_PASSWORD=8ODQYHo2Yl@

맞춤 역할 만들기

ClusterEditor, SessionValidator, ReadOnly 커스텀 역할을 만듭니다.

govc role.create ClusterEditor System.Read System.View System.Anonymous Host.Inventory.EditCluster
govc role.create SessionValidator System.Read System.View System.Anonymous Sessions.ValidateSession Cns.Searchable StorageProfile.View
govc role.create ReadOnly System.Read System.View System.Anonymous

Anthos 커스텀 역할을 만드는 명령어를 확인합니다.

govc role.create anthos
Cns.Searchable
Cryptographer.Access
Datastore.AllocateSpace
Datastore.Browse
Datastore.Config
Datastore.FileManagement
Datastore.DeleteFile
Datastore.UpdateVirtualMachineFiles
Datastore.UpdateVirtualMachineMetadata
Folder.Create
Folder.Delete
Folder.Move
Folder.Rename
Host.Inventory.EditCluster
InventoryService.Tagging.CreateTag
InventoryService.Tagging.DeleteTag
InventoryService.Tagging.AttachTag
InventoryService.Tagging.ObjectAttachable
Sessions.ValidateSession
Network.Assign
Resource.ApplyRecommendation
Resource.AssignVMToPool
Resource.ColdMigrate
Resource.HotMigrate
Resource.QueryVMotion
StorageViews.View
System.Anonymous
System.Read
System.View
Task.Create
Task.Update
VApp.Import
VApp.ApplicationConfig
VApp.InstanceConfig
VirtualMachine.Config.AddExistingDisk
VirtualMachine.Config.AddNewDisk
VirtualMachine.Config.AddRemoveDevice
VirtualMachine.Config.AdvancedConfig
VirtualMachine.Config.Annotation
VirtualMachine.Config.CPUCount
VirtualMachine.Config.Resource
VirtualMachine.Config.ManagedBy
VirtualMachine.Config.ChangeTracking
VirtualMachine.Config.DiskLease
VirtualMachine.Config.MksControl
VirtualMachine.Config.DiskExtend
VirtualMachine.Config.HostUSBDevice
VirtualMachine.Config.Memory
VirtualMachine.Config.EditDevice
VirtualMachine.Config.QueryFTCompatibility
VirtualMachine.Config.QueryUnownedFiles
VirtualMachine.Config.RawDevice
VirtualMachine.Config.ReloadFromPath
VirtualMachine.Config.RemoveDisk
VirtualMachine.Config.Rename
VirtualMachine.Config.ResetGuestInfo
VirtualMachine.Config.Settings
VirtualMachine.Config.SwapPlacement
VirtualMachine.Config.ToggleForkParent
VirtualMachine.Config.UpgradeVirtualHardware
VirtualMachine.GuestOperations.ModifyAliases
VirtualMachine.GuestOperations.QueryAliases
VirtualMachine.GuestOperations.Modify
VirtualMachine.GuestOperations.Execute
VirtualMachine.GuestOperations.Query
VirtualMachine.Interact.AnswerQuestion
VirtualMachine.Interact.Backup
VirtualMachine.Interact.SetCDMedia
VirtualMachine.Interact.SetFloppyMedia
VirtualMachine.Interact.ConsoleInteract
VirtualMachine.Interact.CreateScreenshot
VirtualMachine.Interact.DefragmentAllDisks
VirtualMachine.Interact.DeviceConnection
VirtualMachine.Interact.DnD
VirtualMachine.Interact.GuestControl
VirtualMachine.Interact.PutUsbScanCodes
VirtualMachine.Interact.Pause
VirtualMachine.Interact.SESparseMaintenance
VirtualMachine.Interact.PowerOff
VirtualMachine.Interact.PowerOn
VirtualMachine.Interact.Record
VirtualMachine.Interact.Replay
VirtualMachine.Interact.Reset
VirtualMachine.Interact.EnableSecondary
VirtualMachine.Interact.Suspend
VirtualMachine.Interact.DisableSecondary
VirtualMachine.Interact.MakePrimary
VirtualMachine.Interact.TerminateFaultTolerantVM
VirtualMachine.Interact.TurnOffFaultTolerance
VirtualMachine.Interact.CreateSecondary
VirtualMachine.Interact.ToolsInstall
VirtualMachine.Inventory.CreateFromExisting
VirtualMachine.Inventory.Create
VirtualMachine.Inventory.Move
VirtualMachine.Inventory.Register
VirtualMachine.Inventory.Delete
VirtualMachine.Inventory.Unregister
VirtualMachine.Provisioning.DiskRandomAccess
VirtualMachine.Provisioning.FileRandomAccess
VirtualMachine.Provisioning.DiskRandomRead
VirtualMachine.Provisioning.GetVmFiles
VirtualMachine.Provisioning.PutVmFiles
VirtualMachine.Provisioning.CloneTemplate
VirtualMachine.Provisioning.Clone
VirtualMachine.Provisioning.CreateTemplateFromVM
VirtualMachine.Provisioning.Customize
VirtualMachine.Provisioning.DeployTemplate
VirtualMachine.Provisioning.MarkAsTemplate
VirtualMachine.Provisioning.MarkAsVM
VirtualMachine.Provisioning.ModifyCustSpecs
VirtualMachine.Provisioning.PromoteDisks
VirtualMachine.Provisioning.ReadCustSpecs
VirtualMachine.Namespace.Event
VirtualMachine.Namespace.EventNotify
VirtualMachine.Namespace.Management
VirtualMachine.Namespace.ModifyContent
VirtualMachine.Namespace.Query
VirtualMachine.Namespace.ReadContent
VirtualMachine.State.CreateSnapshot
VirtualMachine.State.RemoveSnapshot
VirtualMachine.State.RenameSnapshot
VirtualMachine.State.RevertToSnapshot
VirtualMachine.Hbr.ConfigureReplication
VirtualMachine.Hbr.ReplicaManagement
VirtualMachine.Hbr.MonitorReplication

ClusterEditor 역할을 부여하는 권한을 만듭니다.

권한은 (사용자, 역할) 쌍을 가져와서 이를 객체와 연결합니다. 객체에 대해 권한을 할당할 때 권한을 하위 객체에 전파할지 여부를 지정할 수 있습니다. govc의 경우에 이렇게 하려면 --propagate 플래그를 true 또는 false로 설정합니다. 기본값은 false입니다.

클러스터 객체의 사용자에게 ClusterEditor 역할을 부여하는 권한을 만듭니다. 이 권한은 클러스터 객체의 모든 하위 객체에 전파됩니다.

govc permissions.set -principal ACCOUNT \
 -role ClusterEditor -propagate=true CLUSTER_PATH`

다음을 바꿉니다.

ACCOUNT: 역할을 부여할 vCenter 서버 사용자 계정입니다.
CLUSTER_PATH: vSphere 객체 계층 구조의 클러스터 경로입니다.

예를 들어 다음 명령어는 쌍(bob@vsphere.local, ClusterEditor와 my-dc/host/my-cluster)을 연결하는 권한을 만듭니다. 이 권한은 my-dc/host/my-cluster의 모든 하위 객체에 전파됩니다.

govc permissions.set -principal bob@vsphere.local \
    -role ClusterEditor -propagate=true my-dc/host/my-cluster

추가 권한 만들기

이 섹션에서는 추가 권한 만들기 예시를 보여줍니다. 해당 환경의 필요에 따라 예시 객체 경로를 바꿉니다.

루트 vCenter Server 객체의 계정에 SessionValidator 역할을 부여하는 권한을 만듭니다. 이 권한은 하위 객체에 적용되지 않습니다.

govc permissions.set -principal ACCOUNT \
    -role SessionValidator -propagate=false

데이터 센터 객체 및 네트워크 객체의 계정에 읽기 전용 역할을 부여하는 권한을 만듭니다. 이러한 권한은 하위 객체에 전파됩니다.

govc permissions.set -principal ACCOUNT \
    -role ReadOnly -propagate=true \
    /my-dc \
    /my-dc/network/my-net

Datastore, VM 폴더, 리소스 풀, 네트워크의 네 가지 객체에 대한 계정에 Anthos 역할을 부여하는 권한을 만듭니다. 이러한 권한은 하위 객체에 전파됩니다.

govc permissions.set -principal ACCOUNT -role Anthos -propagate=true \
    /my-dc/datastore/my-ds  \
    /my-dc/vm/my-folder \
    /my-dc/host/my-cluster/Resources/my-rp \
    /my-dc/network/my-net

전역 권한 1개 만들기

이 섹션에서는 여러 역할과 여러 권한을 만드는 대신 사용할 수 있습니다. 이 방법은 vSphere 계층 구조의 모든 객체에 대한 큰 권한 집합을 부여하므로 권장되지 않습니다.

Anthos 커스텀 역할을 아직 만들지 않았으면 지금 만드세요.

전역 권한 1개 만들기:

govc permissions.set -principal ACCOUNT \
 -role Anthos -propagate=true

다음을 바꿉니다.

ACCOUNT를 역할을 부여받을 vCenter Server 사용자 계정으로 바꿉니다.

예를 들어 다음 명령어는 Anthos 역할을 bob@vsphere.local에 부여하는 전역 권한을 만듭니다. 이 권한은 vSphere 계층 구조의 모든 객체에 전파됩니다.

govc permissions.set -principal bob@vsphere.local -role Anthos -propagate=true

알려진 문제

vSphere 데이터 디스크를 만들 때 설치 프로그램 오류를 참조하세요.

다음 단계

CPU, RAM, 스토리지 요구사항