VMware Engine の権限の昇格

Google Cloud VMware Engine の権限は、通常の操作を行うために必要な権限を vCenter ユーザーに付与します。一部の管理機能には、プライベート クラウド vCenter の追加の権限が必要になります。

Google Cloud VMware Engine は Google Cloud コンソールと統合されましたが、この統合には権限昇格機能はありません。 これらのタスクを実行するには、ソリューション ユーザー アカウントを使用して、次のことを行います。

• ID ソースを構成する
• ユーザー管理を行う
• 分散ポートグループを削除する
• サービス アカウントを作成する

ソリューション ユーザー アカウント

プライベート クラウドで使用する一部のツールやプロダクトは、vSphere の管理者権限を必要とします。プライベート クラウドを作成すると、サードパーティのツールやプロダクトで使用できる管理者権限のあるユーザー アカウントも VMware Engine によって作成されます。このドキュメントでは、vSphere でこれらのソリューション ユーザー アカウントを管理するためのガイダンスを示します。

セットアップ中に管理者権限を必要とするツールやプロダクトの例を次に示します。

• VMware Site Recovery Manager（SRM）
• VMware Cloud Director
• Zerto

始める前に

ソリューション ユーザー アカウントでサードパーティ ツールまたはプロダクトにログインする前に、そのツールまたはプロダクトに管理者権限が必要であることを確認してください。そのツールまたはプロダクトに、Cloud-Owner-Role によって付与される権限が必要な場合は、代わりに新しいユーザーを作成して Cloud-Owner-Group に追加します。

次のいずれかの組み込みソリューション ユーザー ID を使用できます。

• solution-user-01@gve.local
• solution-user-02@gve.local
• solution-user-03@gve.local
• solution-user-04@gve.local
• solution-user-05@gve.local

ソリューション ユーザーのパスワードを取得する

ソリューション ユーザーのパスワードを取得する手順は次のとおりです。

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_ID \
  --username=USERNAME_ID \
  --location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

ソリューション ユーザーのパスワードを再設定する

ソリューション ユーザーのパスワードを再設定する手順は次のとおりです。

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

禁止されている操作

VMware Engine によって禁止された操作のいずれかが検出されると、サービスを中断させることなく変更は元に戻されます。

クラスタ操作

次のクラスタ アクションは禁止されています。

• vCenter からクラスタを削除する。
• クラスタの vSphere High Availability（HA）を変更する。
• vCenter のクラスタにホストを追加する。
• vCenter のクラスタからホストを削除する。
• クラスタの vSphere Distributed Resource Scheduler（DRS）を変更する。

ホスト操作

次のホスト アクションは禁止されています。

• ESXi ホストでデータストアを追加または削除する場合、一時的な障害復旧データストアをマウントできるが、SLA は適用されない。
• ホストから vCenter エージェントをアンインストールする。
• ホスト構成を変更する。
• ホスト プロファイルに対する変更を行う。
• ホストをメンテナンス モードにする。

ネットワーク操作

次のネットワーク操作は、vCenter Server で禁止されています。

• プライベート クラウド内のデフォルトの分散仮想スイッチ（DVS）を削除する。
• デフォルトの DVS からホストを削除する。
• DVS 設定をインポートする。
• DVS 設定を再構成する。
• DVS をアップグレードする。
• 管理ポートグループを削除する。
• 管理ポートグループを編集する。

次のネットワーク操作は、NSX-T Manager で禁止されています。

• 新しい NSX-T Edge ノードを追加する。
• 既存の NSX-T Edge ノードを変更する。

ロールと権限の操作

ロールと権限に対する次の操作は禁止されています。

• 管理オブジェクトに対する権限を変更または削除する。
• デフォルトのロールを変更または削除する。
• ロールの権限を Cloud-Owner-Role よりも高い権限にする。
• vCenter の管理者グループにユーザーとグループを追加する。
• Active Directory のユーザーとグループを vCenter の管理者グループに追加する。

その他の操作

次の操作も禁止されています。

• 以下のデフォルト ライセンスを削除する。
  • vCenter Server
  • ESXi ノード
  • NSX-T
  • HCX
• 管理リソースプールを変更または削除する。
• 管理 VM のクローンを作成する。
• ワークロード VM に管理ネットワークを割り当てる。
• ワークロード VM に対して管理内部 IP アドレス範囲の IP アドレスを使用する。
• データセンターの名前を変更する。
• クラスタの名前を変更する。
• vCenter Server Appliance Management Interface（VAMI）を使用して Syslog 転送を構成する。
• vCenter ユーザー インターフェースを使用して、直接に ESXi ホスト上で Syslog 転送を構成する。代わりに、VMware Engine ポータルまたは Google Cloud CLI を使用して、vCenter Server または ESXi ホストの syslog 転送を構成する。
• プライベート クラウド vCenter を Active Directory ドメインに参加させる。
• VMware ツール、API 呼び出し、管理アプライアンス（vCenter/NSX Manager）のいずれかを使用して、vCenter または NSX-T のログイン認証情報をリセットする。なお、VMware Engine ポータルのプライベート クラウドの詳細ページから、パスワードの更新を含めて、生成された認証情報を取得またはリセットできます。
• vSphere Client で統計情報の収集間隔またはレベルを変更する。

次のステップ

• vCenter ID ソースを設定する方法を確認する。