Eleva i privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine forniscono agli utenti di vCenter i privilegi di cui hanno bisogno per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi in vCenter del cloud privato.

Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma l'integrazione non fornisce la funzionalità Elevate privilege. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configurare le origini identità
  • Esegui la gestione degli utenti
  • Eliminare un gruppo di porte distribuite
  • Creazione di account di servizio

Account utente della soluzione

Alcuni strumenti e prodotti utilizzati con il tuo cloud privato potrebbero richiedere all'utente di avere privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Vengono creati più account utente della soluzione per gestire applicazioni diverse. Utilizzando un account utente della soluzione specifico, puoi controllare le azioni eseguite da ogni applicazione. Questo documento fornisce indicazioni per la gestione di questi account dell'utente della soluzione in vSphere.

Ecco alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Prima di iniziare

Prima di accedere a uno strumento o un prodotto di terze parti con un account utente della soluzione, conferma che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o il prodotto richiede privilegi già forniti da Cloud-Owner-Role, crea un nuovo utente e aggiungilo a Cloud-Owner-Group.

Puoi utilizzare uno dei seguenti ID utente della soluzione integrata:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottenere la password di un utente della soluzione

Per ottenere la password di un utente della soluzione, svolgi i passaggi che seguono.

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta GET al metodo showVcenterCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione

Reimpostare la password utente della soluzione

Per reimpostare la password di un utente della soluzione, svolgi i passaggi che seguono.

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta POST al metodo resetVcenterCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, ripristina le modifiche per garantire che il servizio rimanga ininterrotto.

Azioni cluster

Le seguenti azioni del cluster sono vietate:

  • Rimozione di un cluster da vCenter
  • Modificare la disponibilità elevata (HA) di vSphere in un cluster
  • Aggiunta di un host al cluster da vCenter
  • Rimozione di un host dal cluster da vCenter
  • Modificare DRS (Distributed Resource Scheduler) di vSphere in un cluster

Azioni dell'organizzatore

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi. Puoi montare un datastore di ripristino di emergenza dall'incidente temporaneo, ma gli SLA non verranno applicati
  • Disinstallazione dell'agente vCenter dall'host
  • Modifica della configurazione dell'host
  • Apportare modifiche ai profili degli organizzatori
  • Mettere un host in modalità di manutenzione

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione dello switch virtuale distribuito (DVS) predefinito in un cloud privato
  • Rimozione di un host dal DVS predefinito
  • Importazione di qualsiasi impostazione DVS
  • Riconfigurazione di qualsiasi impostazione DVS
  • Eseguire l'upgrade di qualsiasi DVS
  • Eliminazione del gruppo di porte di gestione
  • Modificare il gruppo di porte di gestione

Le seguenti azioni di rete sono vietate in NSX-T Manager:

  • Aggiunta di un nuovo nodo NSX-T Edge
  • Modificare un nodo NSX-T Edge esistente

Azioni di ruoli e autorizzazioni

Le seguenti azioni di ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
  • Modificare o rimuovere i ruoli predefiniti
  • Aumentare i privilegi di un ruolo a un livello superiore a quello di Cloud-Proprietario-Role
  • Aggiunta di utenti e gruppi al gruppo Amministratore in vCenter
  • Aggiunta di utenti e gruppi Active Directory al gruppo Amministratore su vCenter

Configurare gli avvisi email

Puoi configurare VMware Engine in modo che invii una notifica a un utente in caso di modifiche alla configurazione del tuo cloud privato. Per aggiungere un contatto:

  1. Nella console Google Cloud, vai alla pagina Contatti essenziali.

    Andare ai contatti necessari

  2. Nel menu a discesa di selezione del progetto, seleziona l'organizzazione, la cartella o il progetto a cui vuoi aggiungere un contatto.

  3. Fai clic su Aggiungi contatto.

  4. Nei campi Email e Conferma email, inserisci l'indirizzo email del contatto.

  5. Nel menu a discesa Categorie di notifica, seleziona le categorie di notifica per cui il contatto deve ricevere le comunicazioni. Per un elenco delle categorie di notifica e dei contatti consigliati, consulta Identificare i contatti in questa pagina.

  6. Fai clic su Salva.

Altre azioni

Sono inoltre vietate le seguenti azioni:

  • Rimuovere le licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX-T
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • VM di gestione della clonazione.
  • Assegnazione di una rete di gestione a una VM del carico di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM del carico di lavoro.
  • Rinominare il data center.
  • Ridenominazione del cluster.
  • Configurazione dell'inoltro syslog utilizzando l'interfaccia di gestione dell'appliance vCenter Server (VAMI).
  • Configurazione dell'inoltro syslog sugli host ESXi direttamente utilizzando l'interfaccia dell'utente vCenter. Utilizza invece il portale VMware Engine o l'interfaccia a riga di comando Google Cloud per configurare il reindirizzamento di syslog per vCenter Server o gli host ESXi.
  • Collega vCenter del tuo cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti della password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche in vSphere Client.

Passaggi successivi