Meningkatkan hak istimewa VMware Engine

Hak istimewa Google Cloud VMware Engine memberi pengguna vCenter hak istimewa yang mereka butuhkan untuk melakukan operasi normal. Beberapa fungsi administratif memerlukan hak istimewa tambahan di vCenter cloud pribadi.

Google Cloud VMware Engine kini terintegrasi dengan konsol Google Cloud, tetapi integrasi tersebut tidak menyediakan fitur Elevate privilege. Untuk melakukan tugas ini, Anda dapat menggunakan akun pengguna solusi untuk:

  • Mengonfigurasi sumber identitas
  • Melakukan pengelolaan pengguna
  • Menghapus grup port terdistribusi
  • Membuat akun layanan

Akun pengguna solusi

Beberapa alat dan produk yang digunakan dengan cloud pribadi Anda mungkin mengharuskan pengguna memiliki hak istimewa administratif di vSphere. Saat Anda membuat cloud pribadi, VMware Engine juga membuat akun pengguna dengan hak istimewa administratif yang dapat Anda gunakan untuk alat dan produk pihak ketiga. Beberapa akun pengguna solusi dibuat untuk mengelola berbagai aplikasi. Dengan menggunakan akun pengguna solusi tertentu, Anda dapat mengaudit tindakan yang dilakukan oleh setiap aplikasi. Dokumen ini memberikan panduan tentang cara mengelola akun pengguna solusi ini di vSphere.

Berikut adalah beberapa contoh alat dan produk yang memerlukan hak istimewa administratif selama penyiapan:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Sebelum memulai

Sebelum login ke alat atau produk pihak ketiga dengan akun pengguna solusi, confirmasikan bahwa alat atau produk tersebut memerlukan hak istimewa administratif. Jika alat atau produk memerlukan hak istimewa yang sudah disediakan oleh Cloud-Owner-Role, buat pengguna baru, lalu tambahkan pengguna tersebut ke Cloud-Owner-Group.

Anda dapat menggunakan salah satu ID pengguna solusi bawaan berikut:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Mendapatkan sandi pengguna solusi

Untuk mendapatkan sandi pengguna solusi, lakukan langkah-langkah berikut.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Ganti kode berikut:

  • PRIVATE_CLOUD_NAME: cloud pribadi untuk permintaan ini
  • PROJECT_ID: project untuk permintaan ini
  • USERNAME_ID: salah satu ID pengguna solusi
  • ZONE: zona cloud pribadi

API

Di REST API, buat permintaan GET ke metode showVcenterCredentials dan berikan ID pengguna solusi:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Ganti kode berikut:

  • PROJECT_ID: project untuk permintaan ini
  • ZONE: zona cloud pribadi
  • PRIVATE_CLOUD_NAME: cloud pribadi untuk permintaan ini
  • USERNAME_ID: salah satu ID pengguna solusi

Mereset sandi pengguna solusi

Untuk mereset sandi pengguna solusi, lakukan langkah-langkah berikut.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Ganti kode berikut:

  • PRIVATE_CLOUD_NAME: cloud pribadi untuk permintaan ini
  • PROJECT_ID: project untuk permintaan ini
  • USERNAME_ID: salah satu ID pengguna solusi
  • ZONE: zona cloud pribadi

API

Di REST API, buat permintaan POST ke metode resetVcenterCredentials dan berikan ID pengguna solusi dalam isi permintaan:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Ganti kode berikut:

  • PROJECT_ID: project untuk permintaan ini
  • ZONE: zona cloud pribadi
  • USERNAME_ID: salah satu ID pengguna solusi

Tindakan yang dilarang

Jika VMware Engine mendeteksi salah satu tindakan terlarang berikut, VMware Engine akan mengembalikan perubahan untuk memastikan layanan tetap tidak terganggu.

Tindakan cluster

Tindakan cluster berikut dilarang:

  • Menghapus cluster dari vCenter
  • Mengubah ketersediaan tinggi (HA) vSphere di cluster
  • Menambahkan host ke cluster dari vCenter
  • Menghapus host dari cluster dari vCenter
  • Mengubah vSphere Distributed Resource Scheduler (DRS) di cluster

Tindakan host

Tindakan host berikut dilarang:

  • Menambahkan atau menghapus datastore di host ESXi; Anda dapat memasang datastore pemulihan dari bencana sementara, tetapi SLA tidak akan berlaku
  • Meng-uninstal agen vCenter dari host
  • Mengubah konfigurasi host
  • Melakukan perubahan pada profil penyelenggara
  • Menempatkan host dalam mode pemeliharaan

Tindakan jaringan

Tindakan jaringan berikut dilarang di vCenter Server:

  • Menghapus distributed virtual switch (DVS) default di cloud pribadi
  • Menghapus host dari DVS default
  • Mengimpor setelan DVS apa pun
  • Mengonfigurasi ulang setelan DVS
  • Mengupgrade DVS apa pun
  • Menghapus portgroup pengelolaan
  • Mengedit portgroup pengelolaan

Tindakan jaringan berikut dilarang di NSX-T Manager:

  • Menambahkan node NSX-T Edge baru
  • Mengubah node NSX-T Edge yang ada

Tindakan peran dan izin

Tindakan peran dan izin berikut dilarang:

  • Mengubah atau menghapus izin ke objek pengelolaan apa pun
  • Mengubah atau menghapus peran default
  • Meningkatkan hak istimewa peran menjadi lebih tinggi dari Cloud-Owner-Role
  • Menambahkan pengguna dan grup ke grup Administrator di vCenter
  • Menambahkan pengguna dan grup Active Directory ke grup Administrator di vCenter

Menyiapkan notifikasi email

Anda dapat menyiapkan VMware Engine untuk memberi tahu pengguna tentang perubahan pada konfigurasi cloud pribadi Anda. Untuk menambahkan kontak, lakukan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman Kontak penting.

    Buka Kontak penting

  2. Di drop-down pilihan project, pilih organisasi, folder, atau project yang ingin Anda tambahi kontak.

  3. Klik Tambahkan kontak.

  4. Di kolom Email dan Confirm email, masukkan alamat email kontak.

  5. Dari menu drop-down Notification categories, pilih kategori notifikasi yang Anda inginkan untuk komunikasi yang diterima kontak. Untuk mengetahui daftar kategori notifikasi dan kontak yang direkomendasikan, lihat Mengidentifikasi kontak di halaman ini.

  6. Klik Simpan.

Tindakan lainnya

Tindakan berikut juga dilarang:

  • Menghapus lisensi default:
    • Server vCenter
    • Node ESXi
    • NSX-T
    • HCX
  • Mengubah atau menghapus kumpulan resource pengelolaan.
  • Meng-clone VM pengelolaan.
  • Menetapkan jaringan pengelolaan ke VM workload.
  • Menggunakan alamat IP dalam rentang alamat IP internal pengelolaan untuk VM beban kerja.
  • Mengganti nama pusat data.
  • Mengganti nama cluster.
  • Mengonfigurasi penerusan syslog menggunakan Antarmuka Pengelolaan Perangkat vCenter Server (VAMI).
  • Mengonfigurasi penerusan syslog di Host ESXi secara langsung menggunakan antarmuka pengguna vCenter. Sebagai gantinya, gunakan portal VMware Engine atau Google Cloud CLI untuk mengonfigurasi penerusan syslog untuk Server vCenter atau Host ESXi.
  • Menggabungkan vCenter private cloud Anda ke domain Active Directory.
  • Mereset kredensial login vCenter atau NSX-T menggunakan alat VMware, panggilan API, atau appliance pengelolaan (pengelola vCenter/NSX). Sebagai pengingat, Anda dapat mengambil atau mereset kredensial yang dibuat, termasuk pembaruan sandi, dari halaman detail cloud pribadi di portal VMware Engine.
  • Mengubah interval pengumpulan statistik atau level statistik di Klien vSphere.

Langkah selanjutnya