升级 VMware Engine 权限
Google Cloud VMware Engine 权限授予 vCenter 用户执行正常操作所需的权限。在私有云 vCenter 中,一些管理功能需要额外的权限。
Google Cloud VMware Engine 现已与 Google Cloud 控制台集成,但该集成不提供提升权限功能。如需执行这些任务,您可以使用解决方案用户账号执行以下操作:
- 配置身份源
- 执行用户管理
- 删除分布式端口组
- 创建服务账号
解决方案用户账号
与您的私有云搭配使用的一些工具和产品可能需要用户在 vSphere 中拥有管理员权限。创建私有云时,VMware Engine 还会创建具有管理员权限的用户账号,以便用于第三方工具和产品。系统会创建多个解决方案用户账号,以便管理不同的应用。您可以使用特定的解决方案用户账号审核每个应用执行的操作。本文档提供了有关在 vSphere 中管理这些解决方案用户账号的指导。
以下是在设置过程中需要管理员权限的工具和产品的示例:
- VMware Site Recovery Manager (SRM)
- VMware Cloud Director
- Zerto
准备工作
在使用解决方案用户账号登录第三方工具或产品之前,请确认相关工具或产品是否需要管理员权限。如果工具或产品需要 Cloud-Owner-Role
提供的权限,则创建新用户并将该用户改为添加到 Cloud-Owner-Group
。
您可以使用以下任意内置解决方案用户 ID:
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
获取解决方案用户密码
如需获取解决方案用户密码,请按以下步骤操作。
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
替换以下内容:
PRIVATE_CLOUD_NAME
:此请求的私有云PROJECT_ID
:此请求的项目USERNAME_ID
:解决方案用户 ID 之一ZONE
:私有云的可用区
API
在 REST API 中,向 showVcenterCredentials
方法发出 GET
请求,并提供解决方案用户 ID:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID
替换以下内容:
PROJECT_ID
:此请求的项目ZONE
:私有云的可用区PRIVATE_CLOUD_NAME
:此请求的私有云USERNAME_ID
:解决方案用户 ID 之一
重置解决方案用户密码
如需重置解决方案用户密码,请按以下步骤操作。
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
替换以下内容:
PRIVATE_CLOUD_NAME
:此请求的私有云PROJECT_ID
:此请求的项目USERNAME_ID
:解决方案用户 ID 之一ZONE
:私有云的可用区
API
在 REST API 中,向 resetVcenterCredentials
方法发出 POST
请求,并在请求正文中提供解决方案用户 ID:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials { "username": :"USERNAME_ID" }
替换以下内容:
PROJECT_ID
:此请求的项目ZONE
:私有云的可用区USERNAME_ID
:解决方案用户 ID 之一
禁止执行的操作
当 VMware Engine 检测到以下任何禁止执行的操作时,VMware Engine 会还原更改,以确保服务不会中断。
集群操作
以下集群操作会被禁止:
- 从 vCenter 中移除集群
- 在集群上更改 vSphere 高可用性 (HA)
- 通过 vCenter 向集群添加主机
- 通过 vCenter 从集群中移除主机
- 在集群上更改 vSphere 分布式资源调度器 (DRS)
主持人可执行的操作
以下主机操作会被禁止:
- 在 ESXi 主机上添加或移除数据存储区;您可以挂载临时灾难恢复数据存储区,但服务等级协议 (SLA) 不适用
- 从主机卸载 vCenter 代理
- 修改主机配置
- 对主机配置文件进行任何更改
- 将主机置于维护模式
网络操作
vCenter 服务器禁止以下网络操作:
- 删除私有云中默认的分布式虚拟交换机 (DVS)
- 从默认的 DVS 中移除主机
- 导入任何 DVS 设置
- 重新配置任何 DVS 设置
- 升级任何 DDS
- 删除管理端口组
- 修改管理端口组
NSX-T Manager 禁止以下网络操作:
- 添加新的 NSX-T Edge 节点
- 更改现有的 NSX-T Edge 节点
角色和权限操作
以下角色和权限操作会被禁止:
- 修改或删除对任何管理对象的权限
- 修改或移除任何默认角色
- 提升角色的权限使其高于 Cloud-Owner-Role
- 将用户和群组添加到 vCenter 上的管理员群组
- 将任何 Active Directory 用户和群组添加到 vCenter 上的管理员群组
设置电子邮件提醒
您可以将 VMware Engine 设置为在私有云配置发生更改时通知用户。如需添加联系人,请执行以下操作:
在 Google Cloud 控制台中,前往重要联系人页面。
在项目选择下拉菜单中,选择要向其添加联系人的组织、文件夹或项目。
点击
添加联系人。在电子邮件和确认电子邮件字段中,输入联系人的电子邮件地址。
从通知类别下拉菜单中,选择您希望联系人接收相关信息的通知类别。如需查看通知类别和建议的联系人的列表,请参阅本页面上的识别联系人。
点击保存。
其他操作
以下操作也会被禁止:
- 移除任意默认许可:
- vCenter 服务器
- ESXi 节点
- NSX-T
- HCX
- 修改或删除管理资源池。
- 克隆管理虚拟机。
- 为工作负载虚拟机分配管理网络。
- 使用工作负载虚拟机的管理内部 IP 地址范围中的 IP 地址。
- 重命名数据中心。
- 重命名集群。
- 使用 vCenter 服务器设备管理接口 (VAMI) 配置 syslog 转发。
- 使用 vCenter 界面直接在 ESXi 主机上配置 syslog 转发。请改用 VMware Engine 门户或 Google Cloud CLI 为 vCenter Server 或 ESXi 主机配置 syslog 转发。
- 将您的私有云 vCenter 加入 Active Directory 网域。
- 使用 VMware 工具、API 调用或管理设备(vCenter/NSX 管理器)重置 vCenter 或 NSX-T 登录凭据。谨此提醒,您可以从 VMware Engine 门户中的私有云详情页面检索或重置生成的凭据,包括密码更新。
- 在 vSphere 客户端中更改统计信息收集间隔或统计信息级别。
后续步骤
- 了解如何设置 vCenter 身份源。