Eleva i privilegi di VMware Engine
I privilegi di Google Cloud VMware Engine concedono agli utenti di vCenter i privilegi necessari per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi nel vCenter del cloud privato.
Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma l'integrazione non fornisce la funzionalità Elevate privilegio. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:
- Configura le origini identità
- Eseguire la gestione utenti
- Elimina un gruppo di porte distribuite
- Creazione di account di servizio
Account utente della soluzione
Alcuni strumenti e prodotti utilizzati con il tuo cloud privato potrebbero richiedere che un utente disponga di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Questo documento fornisce indicazioni sulla gestione di questi account utente delle soluzioni in vSphere.
Di seguito sono riportati alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:
- VMware Site Recovery Manager (SRM)
- VMware Cloud Director
- Zerto
Prima di iniziare
Prima di accedere a uno strumento o a un prodotto di terze parti con un account utente della soluzione, verifica che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o il prodotto richiede privilegi già forniti da Cloud-Owner-Role
, crea un nuovo utente e aggiungi l'utente a Cloud-Owner-Group
.
Puoi utilizzare uno qualsiasi dei seguenti ID utente della soluzione integrata:
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
Ottenere una password utente per la soluzione
Per ottenere una password utente della soluzione, svolgi i passaggi che seguono.
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_ID \ --username=USERNAME_ID \ --location=ZONE
Sostituisci quanto segue:
PRIVATE_CLOUD_ID
: il cloud privato per questa richiestaUSERNAME_ID
: uno degli ID utente della soluzioneZONE
: la zona del cloud privato
API
Nell'API REST, effettua una richiesta GET
al metodo showVcenterCredentials
e fornisci l'ID utente della soluzione:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID
Sostituisci quanto segue:
PROJECT_ID
: il progetto per questa richiestaPRIVATE_CLOUD_ID
: il cloud privato per questa richiestaZONE
: la zona del cloud privatoUSERNAME_ID
: uno degli ID utente della soluzione
Reimposta la password utente della soluzione
Per reimpostare una password utente di una soluzione, svolgi i passaggi che seguono.
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_ID \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
Sostituisci quanto segue:
PRIVATE_CLOUD_ID
: il cloud privato per questa richiestaPROJECT_ID
: il progetto per questa richiestaUSERNAME_ID
: uno degli ID utente della soluzioneZONE
: la zona del cloud privato
API
Nell'API REST, effettua una richiesta POST
al metodo resetVcenterCredentials
e fornisci l'ID utente della soluzione nel corpo della richiesta:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials { "username": :"USERNAME_ID" }
Sostituisci quanto segue:
PROJECT_ID
: il progetto per questa richiestaZONE
: la zona del cloud privatoUSERNAME_ID
: uno degli ID utente della soluzione
Azioni vietate
Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga senza interruzioni.
Azioni cluster
Le seguenti azioni per il cluster sono vietate:
- Rimozione di un cluster da vCenter
- Modifica dell'alta disponibilità (HA) di vSphere su un cluster
- Aggiunta di un host al cluster da vCenter
- Rimozione di un host dal cluster da vCenter
- Modifica di vSphere Distributed Resource Scheduler (DRS) su un cluster
Azioni dell'organizzatore
Le seguenti azioni dell'host sono vietate:
- Aggiunta o rimozione di datastore su un host ESXi; puoi montare un datastore di ripristino di emergenza temporaneo, ma gli SLA (accordi sul livello del servizio) non verranno applicati
- Disinstallazione dell'agente vCenter dall'host in corso...
- Modifica della configurazione host
- Apportare modifiche ai profili host
- attivare la modalità di manutenzione di un host
Azioni di rete
Le seguenti azioni di rete sono vietate in vCenter Server:
- Eliminazione dello switch virtuale distribuito predefinito (DVS) in un cloud privato
- Rimuovere un host dal DVS predefinito
- Importazione di impostazioni DVS
- Riconfigurazione di qualsiasi impostazione DVS
- Upgrade di qualsiasi DVS
- Eliminazione del gruppo di porte di gestione
- Modifica del gruppo di porte di gestione
Le seguenti azioni di rete sono vietate in NSX-T Manager:
- Aggiunta di un nuovo nodo NSX-T Edge
- Modifica di un nodo NSX-T Edge esistente
Azioni relative a ruoli e autorizzazioni
Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:
- Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
- Modifica o rimozione di eventuali ruoli predefiniti
- Aumenta i privilegi di un ruolo a un ruolo superiore a quello di Cloud-Proprietario-Ruolo
- Aggiunta di utenti e gruppi al gruppo Amministratore su vCenter
- Aggiunta di utenti e gruppi di Active Directory al gruppo Amministratore su vCenter
Altre azioni
Sono inoltre vietate le seguenti azioni:
- Rimozione di tutte le licenze predefinite:
- vCenter Server
- Nodi ESXi
- NSX-T
- HCX
- Modifica o eliminazione del pool di risorse di gestione.
- Clonazione delle VM di gestione.
- Assegnazione di una rete di gestione a una VM del carico di lavoro.
- Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM dei carichi di lavoro.
- Ridenominazione del data center.
- Ridenominazione del cluster.
- Configurazione dell'inoltro syslog mediante vCenter Server Appliance Management Interface (VAMI).
- Configurazione del forwarding syslog su host ESXi direttamente mediante l'interfaccia utente vCenter. Utilizza invece il portale VMware Engine o Google Cloud CLI per configurare l'inoltro syslog per gli host vCenter Server o ESXi.
- Aggiunta del tuo vCenter del cloud privato a un dominio Active Directory.
- Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti delle password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
- Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche nel client vSphere.
Passaggi successivi
- Scopri come configurare le origini identità vCenter