提升 VMware Engine 权限
Google Cloud VMware Engine 权限授予 vCenter 用户执行正常操作所需的权限。在私有云 vCenter 中,一些管理功能需要额外的权限。
Google Cloud VMware Engine 现已与 Google Cloud 控制台集成,但该集成不提供提升权限功能。如需执行这些任务,您可以使用解决方案用户账号执行以下操作:
- 配置身份源
- 执行用户管理
- 删除分布式端口组
- 创建服务账号
您可以使用以下任意内置解决方案用户 ID:
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
获取解决方案用户密码
如需获取解决方案用户密码,请按以下步骤操作:
API
在 REST API 中,向 showCredentials
方法发出 GET
请求,并提供解决方案用户 ID:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID
替换以下内容:
PROJECT_ID
:此请求的项目。REGION
:私有云的区域。USERNAME_ID
:上述解决方案用户 ID 之一。
重置解决方案用户密码
如需重置解决方案用户密码,请按以下步骤操作:
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD \ --project=PROJECT_ID \ --username=SOLUTION_USER_ID \ --location=REGION
API
在 REST API 中,向 showCredentials
方法发出 POST
请求,并在请求正文中提供解决方案用户 ID:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials { "username": :"USERNAME_ID" }
替换以下内容:
PROJECT_ID
:此请求的项目。REGION
:私有云的区域。USERNAME_ID
:上述解决方案用户 ID 之一。
禁止执行的操作
当 VMware Engine 检测到以下任何禁止执行的操作时,VMware Engine 会还原更改,以确保服务不会中断。
集群操作
以下集群操作会被禁止:
- 从 vCenter 中移除集群。
- 在集群上更改 vSphere 高可用性 (HA)。
- 通过 vCenter 向集群添加主机。
- 通过 vCenter 从集群中移除主机。
- 在集群上更改 vSphere 分布式资源调度器 (DRS)。
主持人可执行的操作
以下主机操作会被禁止:
- 添加或移除 ESXi 主机上的数据存储区。
- 从主机卸载 vCenter 代理。
- 修改主机配置。
- 对主机配置文件进行任何更改。
- 将主机置于维护模式。
网络操作
vCenter 服务器禁止以下网络操作:
- 删除私有云中默认的分布式虚拟交换机 (DDS)。
- 从默认的 DDS 中移除主机。
- 导入任何 DDS 设置。
- 重新配置任何 DVS 设置。
- 升级任何 DDS。
- 删除管理端口组。
- 修改管理端口组。
NSX-T Manager 禁止以下网络操作:
- 添加新的 NSX-T Edge 节点。
- 更改现有的 NSX-T Edge 节点。
角色和权限操作
以下角色和权限操作会被禁止:
- 修改或删除对任何管理对象的权限。
- 修改或移除任何默认角色。
- 提升角色的权限使其高于 Cloud-Owner-Role。
- 将用户和群组添加到 vCenter 上的管理员群组。
- 将任何 Active Directory 用户和群组添加到 vCenter 上的管理员群组。
其他操作
以下操作也会被禁止:
- 移除任意默认许可:
- vCenter 服务器
- ESXi 节点
- NSX-T
- HCX
- 修改或删除管理资源池。
- 克隆管理虚拟机。
- 为工作负载虚拟机分配管理网络。
- 使用工作负载虚拟机的管理内部 IP 地址范围中的 IP 地址。
- 重命名数据中心。
- 重命名集群。
- 使用 vCenter 服务器设备管理接口 (VAMI) 配置 syslog 转发。
- 使用 vCenter 界面直接在 ESXi 主机上配置 syslog 转发。创建此任务的支持服务工单。
- 将您的私有云 vCenter 加入 Active Directory 域。
- 使用 VMware 工具、API 调用或管理设备(vCenter/NSX 管理器)重置 vCenter 或 NSX-T 登录凭据。谨此提醒,您可以从 VMware Engine 门户中的私有云详情页面检索或重置生成的凭据,包括密码更新。
- 在 vSphere 客户端中更改统计信息收集间隔或统计信息级别。
后续步骤
- 了解如何设置 vCenter 身份源