Elevazione dei privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine forniscono agli utenti vCenter i privilegi di cui hanno bisogno per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi in vCenter del cloud privato.

Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma l'integrazione non fornisce la funzionalità Elevate privilege. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configurare le origini identità
  • Eseguire la gestione degli utenti
  • Elimina un gruppo di porte distribuite
  • Creazione di account di servizio

Puoi utilizzare uno qualsiasi dei seguenti ID utente della soluzione integrata:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottenere la password di un utente della soluzione

Per ottenere la password di un utente della soluzione:

API

Nell'API REST, effettua una richiesta GET al metodo showCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • REGION: la regione del cloud privato.
  • USERNAME_ID: uno degli ID utente della soluzione descritti in precedenza.

Reimpostare la password utente della soluzione

Per reimpostare la password di un utente della soluzione:

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD \
--project=PROJECT_ID \
--username=SOLUTION_USER_ID \
--location=REGION

API

Nell'API REST, effettua una richiesta POST al metodo showCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta.
  • REGION: la regione del cloud privato.
  • USERNAME_ID: uno degli ID utente della soluzione descritti in precedenza.

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, ripristina le modifiche per garantire che il servizio rimanga ininterrotto.

Azioni cluster

Le seguenti azioni del cluster sono vietate:

  • Rimozione di un cluster da vCenter.
  • Modifica dell'alta disponibilità (HA) vSphere in un cluster.
  • Aggiunta di un host al cluster da vCenter.
  • Rimozione di un host dal cluster da vCenter.
  • Modifica di vSphere Distributed Resource Scheduler (DRS) in un cluster.

Azioni dell'organizzatore

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi.
  • Disinstallazione dell'agente vCenter dall'host.
  • Modifica della configurazione dell'host.
  • Apportare modifiche ai profili dell'organizzatore.
  • Inserire un host in modalità di manutenzione.

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione dello switch virtuale distribuito (DVS) predefinito in un cloud privato.
  • Rimozione di un host dal DVS predefinito.
  • Importazione di qualsiasi impostazione DVS.
  • Riconfigurazione di qualsiasi impostazione del vDS.
  • Eseguire l'upgrade di qualsiasi DVS.
  • Eliminazione del gruppo di porte di gestione in corso.
  • Modifica del gruppo di porte di gestione.

In NSX-T Manager sono vietate le seguenti azioni di rete:

  • Aggiunta di un nuovo nodo NSX-T Edge.
  • Modifica di un nodo NSX-T Edge esistente.

Azioni di ruoli e autorizzazioni

Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione.
  • Modifica o rimozione di eventuali ruoli predefiniti.
  • Aumenta i privilegi di un ruolo a un livello superiore a quello di Cloud-Owner-Role.
  • Aggiunta di utenti e gruppi al gruppo Amministratore in vCenter.
  • Aggiunta di utenti e gruppi di Active Directory al gruppo Amministratore in vCenter.

Altre azioni

Le seguenti azioni sono inoltre vietate:

  • Rimuovere le licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX-T
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • VM di gestione della clonazione.
  • Assegnazione di una rete di gestione a una VM del carico di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni della gestione per un carico di lavoro VM.
  • Rinominare il data center.
  • Ridenominazione del cluster.
  • Configurazione dell'inoltro syslog tramite Gestione appliance vCenter Server l'interfaccia VAMI.
  • Configurazione dell'inoltro syslog sugli host ESXi direttamente utilizzando l'interfaccia utente vCenter. Apri un ticket di assistenza per questa attività.
  • Collega vCenter del tuo private cloud a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando gli strumenti VMware, le chiamate API o le appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti della password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche in vSphere Client.

Passaggi successivi