Augmenter les droits VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter.

Google Cloud VMware Engine est désormais intégré à la console Google Cloud, mais l'intégration ne fournit pas la fonctionnalité Élever les privilèges. Pour effectuer ces tâches, vous pouvez utiliser un compte utilisateur de solution pour:

  • Configurer des sources d'identité
  • Gérer les utilisateurs
  • Supprimer un groupe de ports distribués
  • Créer des comptes de service

Vous pouvez utiliser n'importe lequel des ID utilisateur de solutions intégrées suivants:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtenir le mot de passe utilisateur de la solution

Pour obtenir un mot de passe utilisateur de solution, procédez comme suit:

API

Dans l'API REST, envoyez une requête GET à la méthode showCredentials et indiquez l'ID utilisateur de la solution:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID

Remplacez les éléments suivants :

  • PROJECT_ID: projet pour cette requête
  • REGION: région du cloud privé.
  • USERNAME_ID: l'un des ID utilisateur de la solution décrits précédemment.

Réinitialiser le mot de passe utilisateur de la solution

Pour réinitialiser le mot de passe d'un utilisateur de solution, procédez comme suit:

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD \
--project=PROJECT_ID \
--username=SOLUTION_USER_ID \
--location=REGION

API

Dans l'API REST, envoyez une requête POST à la méthode showCredentials et indiquez l'ID utilisateur de la solution dans le corps de la requête:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

Remplacez les éléments suivants :

  • PROJECT_ID: projet pour cette requête
  • REGION: région du cloud privé.
  • USERNAME_ID: l'un des ID utilisateur de la solution décrits précédemment.

Actions interdites

Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

Les actions de cluster suivantes sont interdites :

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité de vSphere sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster à partir de vCenter
  • Changer vSphere Distributed Resource Scheduler (DRS) sur un cluster.

Actions pouvant être effectuées par l'hôte

Les actions d'hôte suivantes sont interdites :

  • Ajouter ou supprimer des datastores sur un hôte ESXi
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

Les actions réseau suivantes sont interdites dans le serveur vCenter :

  • Supprimer le commutateur virtuel distribué par défaut dans un cloud privé
  • Supprimer un hôte du commutateur virtuel distribué par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :

  • Ajouter un nœud NSX-T Edge
  • Modifier un nœud NSX-T Edge existant

Rôles et actions soumises à autorisations

Les actions suivantes associées aux rôles et aux autorisations sont interdites :

  • Modifier ou supprimer l'autorisation d'accès à un objet de gestion
  • Modifier ou supprimer les rôles par défaut
  • Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud
  • Ajouter des utilisateurs et des groupes au groupe Administrateur sur vCenter
  • Ajouter des utilisateurs et des groupes Active Directory au groupe Administrateur sur vCenter.

Autres actions

Les actions suivantes sont également interdites :

  • Suppression des licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion
  • Attribuer un réseau de gestion à une VM de charge de travail
  • Utilisation d'une adresse IP dans la plage d'adresses IP internes de gestion d'une VM de charge de travail.
  • Modification du nom du centre de données.
  • Renommer le cluster
  • Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
  • Configurer le transfert syslog sur les hôtes ESXi directement à l'aide de l'interface utilisateur vCenter Ouvrez une demande d'assistance pour cette tâche.
  • Associer votre cloud privé vCenter à un domaine Active Directory
  • Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide d'outils VMware, d'appels d'API ou de dispositifs de gestion (vCenter/NSX Manager) Pour rappel, vous pouvez récupérer ou réinitialiser les identifiants générés, y compris les mises à jour de mots de passe, sur la page d'informations du cloud privé du portail VMware Engine.
  • Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.

Étapes suivantes