Élever les privilèges VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter.

Google Cloud VMware Engine est désormais intégré à la console Google Cloud, mais l'intégration n'offre pas la fonctionnalité Élever les privilèges. Pour effectuer ces tâches, vous pouvez utiliser un compte utilisateur de solution pour:

  • Configurer des sources d'identité
  • Gérer les utilisateurs
  • Supprimer un groupe de ports distribués
  • Créer des comptes de service

Comptes utilisateur de solution

Certains outils et produits utilisés avec votre cloud privé peuvent nécessiter qu'un utilisateur dispose de droits d'administrateur dans vSphere. Lorsque vous créez un cloud privé, VMware Engine crée également des comptes utilisateur avec des droits d'administrateur que vous pouvez utiliser avec les outils et produits tiers. Ce document fournit des conseils sur la gestion de ces comptes utilisateur de solution dans vSphere.

Voici quelques exemples d'outils et de produits nécessitant des droits d'administrateur lors de la configuration :

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Avant de commencer

Avant de vous connecter à un outil ou produit tiers avec un compte utilisateur de solution, vérifiez que l'outil ou le produit nécessite des droits d'administrateur. Si l'outil ou le produit nécessite des droits déjà fournis par Cloud-Owner-Role, créez un utilisateur et ajoutez-le à Cloud-Owner-Group à la place.

Vous pouvez utiliser l'un des ID utilisateur de solution intégrée suivants:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtenir un mot de passe utilisateur pour la solution

Pour obtenir un mot de passe utilisateur de solution, procédez comme suit.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_ID \
  --username=USERNAME_ID \
  --location=ZONE

Remplacez les éléments suivants :

  • PRIVATE_CLOUD_ID: cloud privé pour cette requête.
  • USERNAME_ID: l'un des ID utilisateur de la solution
  • ZONE: zone du cloud privé

API

Dans l'API REST, envoyez une requête GET à la méthode showVcenterCredentials et indiquez l'ID utilisateur de la solution:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

Remplacez les éléments suivants :

  • PROJECT_ID: projet concerné par cette requête
  • PRIVATE_CLOUD_ID: cloud privé pour cette requête.
  • ZONE: zone du cloud privé
  • USERNAME_ID: l'un des ID utilisateur de la solution

Réinitialiser le mot de passe utilisateur de la solution

Pour réinitialiser le mot de passe utilisateur d'une solution, procédez comme suit.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Remplacez les éléments suivants :

  • PRIVATE_CLOUD_ID: cloud privé pour cette requête.
  • PROJECT_ID: projet concerné par cette requête
  • USERNAME_ID: l'un des ID utilisateur de la solution
  • ZONE: zone du cloud privé

API

Dans l'API REST, envoyez une requête POST à la méthode resetVcenterCredentials et indiquez l'ID utilisateur de la solution dans le corps de la requête:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Remplacez les éléments suivants :

  • PROJECT_ID: projet concerné par cette requête
  • ZONE: zone du cloud privé
  • USERNAME_ID: l'un des ID utilisateur de la solution

Actions interdites

Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

Les actions de cluster suivantes sont interdites :

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité vSphere sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster de vCenter
  • Modifier le programmeur de ressources distribué (DRS) vSphere sur un cluster

Actions pouvant être effectuées par l'hôte

Les actions d'hôte suivantes sont interdites :

  • Ajout ou suppression de datastores sur un hôte ESXi ; vous pouvez installer un datastore temporaire de reprise après sinistre, mais les contrats de niveau de service ne s'appliquent pas
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

Les actions réseau suivantes sont interdites dans le serveur vCenter :

  • Supprimer le commutateur virtuel distribué (DVS) par défaut dans un cloud privé
  • Supprimer un hôte du système d'enregistrement vidéo par défaut par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :

  • Ajouter un nœud NSX-T Edge
  • Modifier un nœud NSX-T Edge existant

Rôles et actions soumises à autorisations

Les actions suivantes associées aux rôles et aux autorisations sont interdites :

  • modifier ou supprimer l'autorisation d'accès aux objets de gestion ;
  • Modifier ou supprimer les rôles par défaut
  • Augmenter les privilèges d'un rôle de niveau supérieur à ceux du rôle "Cloud-Propriétaire-Role"
  • Ajouter des utilisateurs et des groupes au groupe Administrateur sur vCenter
  • Ajouter des utilisateurs et des groupes Active Directory au groupe Administrateur sur vCenter

Autres actions

Les actions suivantes sont également interdites :

  • Suppression des licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion
  • Attribuer un réseau de gestion à une VM de charge de travail
  • Utiliser une adresse IP figurant dans la plage d'adresses IP internes de gestion pour une VM de charge de travail
  • Modification du nom du centre de données.
  • Renommer le cluster
  • Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
  • Configurer le transfert syslog sur des hôtes ESXi directement à l’aide de l’interface utilisateur vCenter Utilisez plutôt le portail VMware Engine ou la Google Cloud CLI pour configurer le transfert syslog pour les hôtes vCenter Server ou ESXi.
  • Associer votre cloud privé vCenter à un domaine Active Directory
  • Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide des outils VMware, des appels d'API ou des dispositifs de gestion (vCenter/NSX Manager) Pour rappel, vous pouvez récupérer ou réinitialiser les identifiants générés, y compris les mises à jour de mots de passe, à partir de la page d'informations du cloud privé du portail VMware Engine.
  • Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.

Étapes suivantes