VMware Engine 권한 승격

Google Cloud VMware Engine 권한은 vCenter 사용자가 일반 작업을 수행하는 데 필요한 권한을 부여합니다. 일부 관리 기능을 사용하려면 프라이빗 클라우드 vCenter에서 추가 권한이 필요합니다.

이제 Google Cloud VMware Engine이 Google Cloud 콘솔과 통합되었지만 통합에서 권한 승격 기능을 제공하지 않습니다. 이러한 태스크를 수행하려면 솔루션 사용자 계정을 사용하여 다음을 수행하면 됩니다.

  • ID 소스 구성
  • 사용자 관리 수행
  • 분산 포트 그룹 삭제
  • 서비스 계정 만들기

솔루션 사용자 계정

프라이빗 클라우드에서 사용되는 도구 및 제품을 사용하려면 사용자가 vSphere에서 관리자 권한이 필요할 수 있습니다. 프라이빗 클라우드를 만들면 VMware Engine에서는 타사 도구 및 제품에 사용할 수 있는 관리자 권한이 있는 사용자 계정도 만듭니다. 이 문서에서는 vSphere의 솔루션 사용자 계정을 관리하는 방법에 대한 안내를 제공합니다.

다음은 설정 중에 관리 권한이 필요한 도구 및 제품의 몇 가지 예시입니다.

  • VMware Site Recovery Manager(SRM)
  • VMware Cloud Director
  • Zerto

시작하기 전에

솔루션 사용자 계정으로 타사 도구 또는 제품에 로그인하기 전에 도구 또는 제품에 관리 권한이 필요한지 확인합니다. 도구 또는 제품에 이미 Cloud-Owner-Role에서 제공한 권한이 필요한 경우 새 사용자를 생성하고 사용자를 Cloud-Owner-Group으로 변경합니다.

다음과 같은 기본 제공 솔루션 사용자 ID를 사용할 수 있습니다.

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

솔루션 사용자 비밀번호 가져오기

솔루션 사용자 비밀번호를 가져오려면 다음 단계를 수행합니다.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_ID \
  --username=USERNAME_ID \
  --location=ZONE

다음을 바꿉니다.

  • PRIVATE_CLOUD_ID: 이 요청의 프라이빗 클라우드
  • USERNAME_ID: 솔루션 사용자 ID 중 하나
  • ZONE: 프라이빗 클라우드 영역

API

REST API에서 GET 요청을 showVcenterCredentials 메서드로 보내고 솔루션 사용자 ID를 제공합니다.

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

다음을 바꿉니다.

  • PROJECT_ID: 이 요청의 프로젝트입니다.
  • PRIVATE_CLOUD_ID: 이 요청의 프라이빗 클라우드
  • ZONE: 프라이빗 클라우드 영역
  • USERNAME_ID: 솔루션 사용자 ID 중 하나

솔루션 사용자 비밀번호 재설정

솔루션 사용자 비밀번호를 재설정하려면 다음 단계를 수행합니다.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

다음을 바꿉니다.

  • PRIVATE_CLOUD_ID: 이 요청의 프라이빗 클라우드
  • PROJECT_ID: 이 요청의 프로젝트입니다.
  • USERNAME_ID: 솔루션 사용자 ID 중 하나
  • ZONE: 프라이빗 클라우드 영역

API

REST API에서 POST 요청을 resetVcenterCredentials 메서드로 보내고 요청 본문에 솔루션 사용자 ID를 제공합니다.

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

다음을 바꿉니다.

  • PROJECT_ID: 이 요청의 프로젝트입니다.
  • ZONE: 프라이빗 클라우드 영역
  • USERNAME_ID: 솔루션 사용자 ID 중 하나

금지된 작업

VMware Engine에서 다음과 같은 금지된 작업을 감지하면 서비스가 중단 없이 유지되도록 VMware Engine이 변경 사항을 되돌립니다.

클러스터 작업

다음 클러스터 작업은 금지됩니다.

  • vCenter에서 클러스터 삭제
  • 클러스터에서 vSphere 고가용성(HA) 변경
  • vCenter에서 클러스터에 호스트 추가
  • vCenter의 클러스터에서 호스트 삭제
  • 클러스터에서 vSphere Distributed Resource Scheduler(DRS) 변경

호스팅 작업

다음 호스트 작업은 금지됩니다.

  • ESXi 호스트에서 데이터 스토어를 추가 또는 삭제. 임시 재해 복구 데이터 스토어를 마운트할 수 있지만 SLA는 적용되지 않습니다.
  • 호스트에서 vCenter 에이전트 제거
  • 호스트 구성 수정
  • 호스트 프로필 변경
  • 호스트를 유지보수 모드로 전환

네트워크 작업

vCenter Server에서 금지되는 네트워크 작업은 다음과 같습니다.

  • 프라이빗 클라우드에서 기본 분산 가상 스위치(DVS) 삭제
  • 기본 DVS에서 호스트 삭제
  • DVS 설정 가져오기
  • 모든 DVS 설정 재구성
  • 모든 DVS 업그레이드
  • 관리 포트 그룹 삭제
  • 관리 포트 그룹 수정

NSX-T Manager에서 금지되는 네트워크 작업은 다음과 같습니다.

  • 새 NSX-T Edge 노드 추가
  • 기존 NSX-T Edge 노드 변경

역할 및 권한 작업

다음 역할 및 권한 작업은 금지됩니다.

  • 모든 관리 객체에 대한 권한 수정 또는 삭제
  • 기본 역할 수정 또는 삭제
  • 역할 권한을 Cloud-Owner-Role보다 높게 올리기
  • vCenter의 관리자 그룹에 사용자 및 그룹 추가
  • vCenter의 관리자 그룹에 Active Directory 사용자 및 그룹 추가

기타 작업

다음 작업은 추가로 금지됩니다.

  • 기본 라이선스 삭제:
    • vCenter Server
    • ESXi 노드
    • NSX-T
    • HCX
  • 관리 리소스 풀 수정 또는 삭제
  • 관리 VM 클론
  • 워크로드 VM에 관리 네트워크 할당
  • 워크로드 VM의 관리 내부 IP 주소 범위에서 IP 주소 사용
  • 데이터 센터 이름 변경
  • 클러스터 이름 변경
  • vCenter Server Appliance 관리 인터페이스(VAMI)를 사용하여 syslog 전달 구성
  • vCenter 사용자 인터페이스를 사용하여 ESXi 호스트에서 직접 syslog 전달 구성. 대신 VMware Engine 포털이나 Google Cloud CLI를 사용하여 vCenter Server 또는 ESXi 호스트의 syslog 전달을 구성합니다.
  • 프라이빗 클라우드 vCenter를 Active Directory 도메인에 조인
  • VMware 도구, API 호출, 관리 어플라이언스(vCenter/NSX Manager)를 사용하여 vCenter 또는 NSX-T 로그인 사용자 인증 정보 재설정. 다시 말하지만 VMware Engine 포털의 프라이빗 클라우드 세부정보 페이지에서 비밀번호 업데이트 등 생성된 사용자 인증 정보를 검색하거나 재설정할 수 있습니다.
  • vSphere 클라이언트에서 통계 수집 간격 또는 통계 수준 변경

다음 단계