Elevazione dei privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine forniscono agli utenti di vCenter i privilegi necessari per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi in vCenter del cloud privato.

Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma l'integrazione non fornisce la funzionalità di privilegio Elevate. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configura le origini identità
  • Esegui la gestione utenti
  • Elimina un gruppo di porte distribuito
  • Creazione di account di servizio

Puoi utilizzare uno dei seguenti ID utente delle soluzioni integrate:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottieni una password utente per la soluzione

Per ricevere una password utente per la soluzione, segui questi passaggi:

API

Nell'API REST, effettua una richiesta GET al metodo showCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • REGION: la regione del cloud privato.
  • USERNAME_ID: uno degli ID utente della soluzione descritti in precedenza.

Reimposta la password utente della soluzione

Per reimpostare la password utente di una soluzione, segui questi passaggi:

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD \
--project=PROJECT_ID \
--username=SOLUTION_USER_ID \
--location=REGION

API

Nell'API REST, effettua una richiesta POST al metodo showCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • REGION: la regione del cloud privato.
  • USERNAME_ID: uno degli ID utente della soluzione descritti in precedenza.

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga senza interruzioni.

Azioni cluster

Le seguenti azioni sul cluster sono vietate:

  • Rimozione di un cluster da vCenter.
  • Modifica dell'alta disponibilità (HA) di vSphere in un cluster.
  • Aggiunta di un host al cluster da vCenter.
  • Rimozione di un host dal cluster da vCenter.
  • Modifica di vSphere Distributed Resource Scheduler (DRS) su un cluster.

Azioni dell'organizzatore

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi.
  • Disinstallazione dell'agente vCenter dall'host.
  • Modificare la configurazione host.
  • Apportare modifiche ai profili host.
  • Impostazione di un host in modalità di manutenzione.

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione dello switch virtuale distribuito predefinito (DVS) in un cloud privato.
  • Rimozione di un host dalla versione predefinita di DVS.
  • Importazione di qualsiasi impostazione DVS in corso.
  • Riconfigurazione di qualsiasi impostazione DVS.
  • Upgrade di qualsiasi DVS.
  • Eliminazione del gruppo di porte di gestione in corso.
  • Modifica del gruppo di porte di gestione.

Le seguenti azioni di rete sono vietate in NSX-T Manager:

  • Aggiunta di un nuovo nodo NSX-T Edge.
  • Modifica di un nodo NSX-T Edge esistente.

Azioni relative a ruoli e autorizzazioni

Le seguenti azioni di ruoli e autorizzazioni sono vietate:

  • Autorizzazione di modifica o eliminazione per qualsiasi oggetto di gestione.
  • Modifica o rimozione di eventuali ruoli predefiniti.
  • Aumenta i privilegi di un ruolo a un livello superiore a quello di Cloud-Proprietario-Ruolo.
  • Aggiunta di utenti e gruppi al gruppo Amministratore su vCenter.
  • Aggiunta di eventuali utenti e gruppi di Active Directory al gruppo Amministratore su vCenter.

Altre azioni

Sono inoltre vietate le seguenti azioni:

  • Rimuovi tutte le licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX-T
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • Clonazione delle VM di gestione.
  • Assegnazione di una rete di gestione a una VM di un carico di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM dei carichi di lavoro.
  • Ridenominazione del data center.
  • Ridenominazione del cluster.
  • Configurazione dell'inoltro syslog mediante vCenter Server Appliance Management Interface (VAMI).
  • Configurazione dell'inoltro syslog su host ESXi utilizzando l'interfaccia utente di vCenter. Apri un ticket di assistenza per questa attività.
  • Unione del tuo vCenter del cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti delle password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche nel client vSphere.

Passaggi successivi