Eleve os privilégios do VMware Engine

Os privilégios do Google Cloud VMware Engine concedem aos utilizadores do vCenter os privilégios de que precisam para realizar operações normais. Algumas funções administrativas requerem privilégios adicionais no vCenter da nuvem privada.

O Google Cloud VMware Engine está agora integrado na Google Cloud consola, mas a integração não oferece a funcionalidade Privilégio de elevação. Para realizar estas tarefas, pode usar uma conta de utilizador da solução para:

  • Configure origens de identidade
  • Realize a gestão de utilizadores
  • Elimine um grupo de portas distribuído
  • Crie contas de serviço

Contas de utilizador da solução

Algumas ferramentas e produtos usados com a sua nuvem privada podem exigir que um utilizador tenha privilégios administrativos no vSphere. Quando cria uma nuvem privada, o VMware Engine também cria contas de utilizador com privilégios administrativos que pode usar para as ferramentas e os produtos de terceiros. São criadas várias contas de utilizador da solução para gerir diferentes aplicações. Ao usar uma conta de utilizador da solução específica, pode auditar as ações realizadas por cada aplicação. Este documento fornece orientações sobre a gestão destas contas de utilizador da solução no vSphere.

Seguem-se alguns exemplos de ferramentas e produtos que requerem privilégios administrativos durante a configuração:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Antes de começar

Antes de iniciar sessão numa ferramenta ou num produto de terceiros com uma conta de utilizador da solução, confirme se a ferramenta ou o produto requer privilégios administrativos. Se a ferramenta ou o produto exigir privilégios que já são fornecidos pelo Cloud-Owner-Role, crie um novo utilizador e adicione-o ao Cloud-Owner-Group.

Pode usar qualquer um dos seguintes IDs de utilizadores da solução incorporados:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtenha uma palavra-passe de utilizador da solução

Para obter a palavra-passe de um utilizador da solução, siga os passos seguintes.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Substitua o seguinte:

  • PRIVATE_CLOUD_NAME: a nuvem privada para este pedido
  • PROJECT_ID: o projeto para este pedido
  • USERNAME_ID: um dos IDs de utilizador da solução
  • ZONE: a zona da nuvem privada

API

Na API REST, faça um pedido GET ao método showVcenterCredentials e indique o ID do utilizador da solução:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Substitua o seguinte:

  • PROJECT_ID: o projeto para este pedido
  • ZONE: a zona da nuvem privada
  • PRIVATE_CLOUD_NAME: a nuvem privada para este pedido
  • USERNAME_ID: um dos IDs de utilizador da solução

Reponha a palavra-passe do utilizador da solução

Para repor a palavra-passe de um utilizador da solução, siga os passos seguintes.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Substitua o seguinte:

  • PRIVATE_CLOUD_NAME: a nuvem privada para este pedido
  • PROJECT_ID: o projeto para este pedido
  • USERNAME_ID: um dos IDs de utilizador da solução
  • ZONE: a zona da nuvem privada

API

Na API REST, faça um pedido POST ao método resetVcenterCredentials e forneça o ID do utilizador da solução no corpo do pedido:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Substitua o seguinte:

  • PROJECT_ID: o projeto para este pedido
  • ZONE: a zona da nuvem privada
  • USERNAME_ID: um dos IDs de utilizador da solução

Ações proibidas

Quando o VMware Engine deteta qualquer uma das seguintes ações proibidas, o VMware Engine reverte as alterações para garantir que o serviço permanece ininterrupto.

Ações de clusters

As seguintes ações de cluster são proibidas:

  • Remover um cluster do vCenter
  • Alterar a alta disponibilidade (HA) do vSphere num cluster
  • Adicionar um anfitrião ao cluster a partir do vCenter
  • Remover um anfitrião do cluster do vCenter
  • Alterar o vSphere Distributed Resource Scheduler (DRS) num cluster
  • Criar novos centros de dados no VMware Engine

Ações do anfitrião

As seguintes ações do anfitrião são proibidas:

  • Adicionar ou remover arquivos de dados num anfitrião ESXi; pode montar um arquivo de dados de recuperação de desastres temporário, mas os SLAs não se aplicam
  • Desinstalar o agente do vCenter do anfitrião
  • Modificar a configuração do anfitrião
  • Fazer alterações aos perfis de anfitriões
  • Colocar um anfitrião no modo de manutenção

Ações de rede

As seguintes ações de rede são proibidas no vCenter Server:

  • Eliminar o comutador virtual distribuído (DVS) predefinido numa nuvem privada
  • Remover um anfitrião do DVS predefinido
  • Importar qualquer definição do DVS
  • Reconfigurar qualquer definição de DVS
  • Atualizar qualquer DVS
  • Eliminar o grupo de portas de gestão
  • Editar o grupo de portas de gestão

As seguintes ações de rede são proibidas no NSX Manager:

  • Adicionar um novo nó do NSX Edge
  • Alterar um nó NSX Edge existente

Ações de funções e autorizações

As seguintes ações de funções e autorizações são proibidas:

  • Modificar ou eliminar a autorização de quaisquer objetos de gestão
  • Modificar ou remover funções predefinidas
  • Aumente os privilégios de uma função para um nível superior ao da função de proprietário da nuvem
  • Adicionar utilizadores e grupos ao grupo de administradores no vCenter
  • Adicionar utilizadores e grupos do Active Directory ao grupo de administradores no vCenter

Outras ações

As seguintes ações também são proibidas:

  • Remover quaisquer licenças predefinidas:
    • vCenter Server
    • Nós ESXi
    • NSX
    • HCX
  • Modificar ou eliminar o conjunto de recursos de gestão.
  • Clonagem de VMs de gestão.
  • Atribuir uma rede de gestão a uma VM de carga de trabalho.
  • Usar um endereço IP no intervalo de endereços IP internos de gestão para uma VM de carga de trabalho.
  • Mudar o nome do centro de dados.
  • Mudar o nome do cluster.
  • Configurar o encaminhamento de syslog através da interface de gestão do dispositivo vCenter Server (VAMI).
  • Configurar o encaminhamento de syslog diretamente nos anfitriões ESXi através da interface do utilizador do vCenter. Em alternativa, use o portal do VMware Engine ou a CLI do Google Cloud para configurar o encaminhamento de syslog para o vCenter Server ou os anfitriões ESXi.
  • Associar o seu vCenter na nuvem privada a um domínio do Active Directory.
  • Repor as credenciais de início de sessão do vCenter ou NSX através de ferramentas VMware, chamadas de API ou dispositivos de gestão (gestor do vCenter/NSX). Lembre-se de que pode obter ou repor credenciais geradas, incluindo atualizações de palavras-passe, na página de detalhes da nuvem privada no portal do VMware Engine.
  • Alterar os intervalos de recolha de estatísticas ou os níveis de estatísticas no vSphere Client.

O que se segue?