VMware Engine の権限を昇格させる

Google Cloud VMware Engine の権限は、通常の操作を行うために必要な権限を vCenter ユーザーに付与します。一部の管理機能には、プライベート クラウド vCenter の追加の権限が必要になります。

Google Cloud VMware Engine は Google Cloud コンソールと統合されましたが、この統合には権限昇格機能はありません。これらのタスクを実行するには、ソリューション ユーザー アカウントを使用して、次のことを行います。

  • ID ソースを構成する
  • ユーザー管理を行う
  • 分散ポートグループを削除する
  • サービス アカウントを作成する

次のいずれかの組み込みソリューション ユーザー ID を使用できます。

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

ソリューション ユーザーのパスワードを取得する

ソリューション ユーザーのパスワードを取得する手順は次のとおりです。

API

REST API では、showCredentials メソッドに対して GET リクエストを行い、ソリューション ユーザー ID を指定します。

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID

次のように置き換えます。

  • PROJECT_ID: このリクエストのプロジェクト。
  • REGION: プライベート クラウドのリージョン。
  • USERNAME_ID: 前述のソリューション ユーザー ID のいずれか。

ソリューション ユーザーのパスワードを再設定する

ソリューション ユーザーのパスワードを再設定する手順は次のとおりです。

gcloud

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD \
--project=PROJECT_ID \
--username=SOLUTION_USER_ID \
--location=REGION

API

REST API では、showCredentials メソッドに対して POST リクエストを行い、リクエスト本文にソリューション ユーザー ID を指定します。

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

次のように置き換えます。

  • PROJECT_ID: このリクエストのプロジェクト。
  • REGION: プライベート クラウドのリージョン。
  • USERNAME_ID: 前述のソリューション ユーザー ID のいずれか。

禁止されている操作

VMware Engine によって禁止された操作のいずれかが検出されると、サービスを中断させることなく変更は元に戻されます。

クラスタ操作

次のクラスタ アクションは禁止されています。

  • vCenter からクラスタを削除する。
  • クラスタの vSphere High Availability(HA)を変更する。
  • vCenter のクラスタにホストを追加する。
  • vCenter のクラスタからホストを削除する。
  • クラスタの vSphere Distributed Resource Scheduler(DRS)を変更する。

ホスト操作

次のホスト アクションは禁止されています。

  • ESXi ホストでデータストアを追加または削除する。
  • ホストから vCenter エージェントをアンインストールする。
  • ホスト構成を変更する。
  • ホスト プロファイルに対する変更を行う。
  • ホストをメンテナンス モードにする。

ネットワーク操作

次のネットワーク操作は、vCenter Server で禁止されています。

  • プライベート クラウド内のデフォルトの分散仮想スイッチ(DVS)を削除する。
  • デフォルトの DVS からホストを削除する。
  • DVS 設定をインポートする。
  • DVS 設定を再構成する。
  • DVS をアップグレードする。
  • 管理ポートグループを削除する。
  • 管理ポートグループを編集する。

次のネットワーク操作は、NSX-T Manager で禁止されています。

  • 新しい NSX-T Edge ノードを追加する。
  • 既存の NSX-T Edge ノードを変更する。

ロールと権限の操作

ロールと権限に対する次の操作は禁止されています。

  • 管理オブジェクトに対する権限を変更または削除する。
  • デフォルトのロールを変更または削除する。
  • ロールの権限を Cloud-Owner-Role よりも高い権限にする。
  • vCenter の管理者グループにユーザーとグループを追加する。‏
  • Active Directory のユーザーとグループを vCenter の管理者グループに追加する。

その他の操作

次の操作も禁止されています。

  • 以下のデフォルト ライセンスを削除する。
    • vCenter Server
    • ESXi ノード
    • NSX-T
    • HCX
  • 管理リソースプールを変更または削除する。
  • 管理 VM のクローンを作成する。
  • ワークロード VM に管理ネットワークを割り当てる。
  • ワークロード VM に対して管理内部 IP アドレス範囲の IP アドレスを使用する。
  • データセンターの名前を変更する。
  • クラスタの名前を変更する。
  • vCenter Server Appliance Management Interface(VAMI)を使用して Syslog 転送を構成する。
  • vCenter ユーザー インターフェースを使用して、直接に ESXi ホスト上で Syslog 転送を構成する。このタスクが必要な場合はサポート チケットを作成してください。
  • プライベート クラウド vCenter を Active Directory ドメインに参加させる。
  • VMware ツール、API 呼び出し、管理アプライアンス(vCenter/NSX Manager)のいずれかを使用して、vCenter または NSX-T のログイン認証情報をリセットする。なお、VMware Engine ポータルのプライベート クラウドの詳細ページで、生成された認証情報を取得またはリセットできます。パスワードの更新も可能です。
  • vSphere Client で統計情報の収集間隔またはレベルを変更する。

次のステップ