Définir des autorisations VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter.

Google Cloud VMware Engine est désormais intégré à la console Google Cloud, mais cette intégration ne fournit pas la fonctionnalité Elevate privilege (Élever les droits d'accès). Pour effectuer ces tâches, vous pouvez utiliser un compte utilisateur de solution pour:

  • Configurer les sources d'identité
  • Gérer les utilisateurs
  • Supprimer un groupe de ports distribués
  • Créer des comptes de service

Comptes utilisateur de solution

Certains outils et produits utilisés avec votre cloud privé peuvent nécessiter qu'un utilisateur dispose de droits d'administrateur dans vSphere. Lorsque vous créez un cloud privé, VMware Engine crée également des comptes utilisateur avec des droits d'administrateur que vous pouvez utiliser avec les outils et produits tiers. Plusieurs comptes utilisateur de solution sont créés pour gérer différentes applications. À l'aide d'un compte utilisateur de solution spécifique, vous pouvez auditer les actions effectuées par chaque application. Ce document fournit des conseils sur la gestion de ces comptes utilisateur de solution dans vSphere.

Voici quelques exemples d'outils et de produits nécessitant des droits d'administrateur lors de la configuration :

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Avant de commencer

Avant de vous connecter à un outil ou produit tiers avec un compte utilisateur de solution, vérifiez que l'outil ou le produit nécessite des droits d'administrateur. Si l'outil ou le produit nécessite des droits déjà fournis par Cloud-Owner-Role, créez un utilisateur et ajoutez-le à Cloud-Owner-Group à la place.

Vous pouvez utiliser l'un des ID utilisateur de solution intégrés suivants:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtenir un mot de passe utilisateur de solution

Pour obtenir le mot de passe de l'utilisateur de la solution, procédez comme suit :

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Remplacez les éléments suivants :

  • PRIVATE_CLOUD_NAME: cloud privé pour cette requête
  • PROJECT_ID: projet de cette requête
  • USERNAME_ID: l'un des ID utilisateur de la solution
  • ZONE: zone du cloud privé

API

Dans l'API REST, envoyez une requête GET à la méthode showVcenterCredentials et fournissez l'ID utilisateur de la solution:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Remplacez les éléments suivants :

  • PROJECT_ID: projet de cette requête
  • ZONE: zone du cloud privé
  • PRIVATE_CLOUD_NAME: cloud privé pour cette requête
  • USERNAME_ID: l'un des ID utilisateur de la solution

Réinitialiser le mot de passe de l'utilisateur de la solution

Pour réinitialiser le mot de passe d'un utilisateur de la solution, procédez comme suit.

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Remplacez les éléments suivants :

  • PRIVATE_CLOUD_NAME: cloud privé pour cette requête
  • PROJECT_ID: projet de cette requête
  • USERNAME_ID: l'un des ID utilisateur de la solution
  • ZONE: zone du cloud privé

API

Dans l'API REST, envoyez une requête POST à la méthode resetVcenterCredentials et fournissez l'ID utilisateur de la solution dans le corps de la requête:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Remplacez les éléments suivants :

  • PROJECT_ID: projet de cette requête
  • ZONE: zone du cloud privé
  • USERNAME_ID: l'un des ID utilisateur de la solution

Actions interdites

Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

Les actions de cluster suivantes sont interdites :

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité de vSphere (HA) sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster à partir de vCenter
  • Modifier vSphere Distributed Resource Scheduler (DRS) sur un cluster

Actions pouvant être effectuées par l'hôte

Les actions d'hôte suivantes sont interdites :

  • Ajout ou suppression de datastores sur un hôte ESXi. Vous pouvez installer un datastore de reprise après sinistre temporaire, mais les contrats de niveau de service ne s'appliquent pas.
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

Les actions réseau suivantes sont interdites dans le serveur vCenter :

  • Supprimer le commutateur virtuel distribué (DVS) par défaut dans un cloud privé
  • Supprimer un hôte du commutateur virtuel distribué par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :

  • Ajouter un nœud NSX-T Edge
  • Modifier un nœud NSX-T Edge existant

Rôles et actions soumises à autorisations

Les actions suivantes associées aux rôles et aux autorisations sont interdites :

  • Modifier ou supprimer l'autorisation d'accès à un objet de gestion
  • Modifier ou supprimer les rôles par défaut
  • Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud
  • Ajouter des utilisateurs et des groupes au groupe Administrateurs dans vCenter
  • Ajouter des utilisateurs et des groupes Active Directory au groupe "Administrators" (Administrateurs) dans vCenter

Configurer des alertes par e-mail

Vous pouvez configurer VMware Engine pour qu'il informe un utilisateur des modifications apportées à votre configuration de cloud privé. Pour ajouter un contact, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Contacts essentiels.

    Accéder à "Contacts essentiels"

  2. Dans le menu déroulant de sélection de projet, sélectionnez l'organisation, le dossier ou le projet auquel vous souhaitez ajouter un contact.

  3. Cliquez sur Ajouter un contact.

  4. Dans les champs Adresse e-mail et Confirmer l'adresse e-mail, saisissez l'adresse e-mail du contact.

  5. Dans le menu déroulant Catégories de notifications, sélectionnez les catégories de notifications pour lesquelles vous souhaitez que le contact reçoive des communications. Pour obtenir la liste des catégories de notifications et des contacts recommandés, consultez la section Identifier des contacts sur cette page.

  6. Cliquez sur Enregistrer.

Autres actions

Les actions suivantes sont également interdites :

  • Supprimer les licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion
  • Attribuer un réseau de gestion à une VM de charge de travail
  • Utiliser une adresse IP dans la plage d'adresses IP internes de gestion pour une VM de charge de travail
  • Renommer le centre de données
  • Renommer le cluster
  • Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
  • Configurer le transfert syslog sur les hôtes ESXi directement à l'aide de l'interface utilisateur vCenter Utilisez plutôt le portail VMware Engine ou la Google Cloud CLI pour configurer le transfert syslog pour les hôtes vCenter Server ou ESXi.
  • Associer votre cloud privé vCenter à un domaine Active Directory
  • Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide d'outils VMware, d'appels d'API ou de dispositifs de gestion (vCenter/NSX Manager). Pour rappel, vous pouvez récupérer ou réinitialiser les identifiants générés, y compris les mises à jour de mot de passe, depuis la page d'informations du cloud privé dans le portail VMware Engine.
  • Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.

Étape suivante