Aumenta los privilegios de VMware Engine

Los privilegios de Google Cloud VMware Engine brindan a los usuarios de vCenter los privilegios que necesitan para realizar operaciones normales. Algunas funciones administrativas requieren privilegios adicionales en el vCenter de nube privada. Para realizar estas tareas, puedes elevar los privilegios de un usuario de vCenter durante un intervalo de tiempo de elevación limitado.

Estos son algunos de los motivos por los cuales elevar privilegios:

  • Configuración de fuentes de identidad
  • Administración de usuarios
  • Eliminación de un grupo de puertos distribuidos
  • Crea cuentas de servicio

Cómo funciona la elevación de privilegios

Puedes elevar el privilegio de un usuario remoto solo si se configuras un proveedor de identidad adicional en vCenter. La elevación de privilegios implica agregar el usuario seleccionado al grupo de administradores integrado de vSphere.

Los usuarios de fuentes de identidad adicionales que necesitan acceso de administrador deben agregarse como miembros del grupo de CloudOwner. Para otorgar menos privilegios en comparación con el grupo de CloudOwner, crea grupos adicionales y asígnales usuarios.

Eleva privilegios

  1. Accede al portal de VMware Engine
  2. Abre la página Recursos.
  3. Selecciona la nube privada en la que deseas elevar los privilegios.
  4. En la página Resumen, en Cambiar los privilegios de vSphere, haz clic en Elevar.
  5. Selecciona el tipo de usuario de vSphere. Para usar una fuente de identidad configurada como Active Directory, elige Identidad remota y, luego, ingresa el usuario y el dominio en el formato de nombre principal del usuario (UPN) (por ejemplo, user@domain).
  6. Selecciona el intervalo de tiempo de elevación de la lista. Elige el intervalo de tiempo más corto que le permita completar la tarea.
  7. Seleccione la casilla de verificación para confirmar que comprende los riesgos.
  8. Haz clic en Confirm.

La elevación del privilegio comienza, y dura hasta el final del intervalo seleccionado. Durante este tiempo, puedes acceder al vCenter de nube privada para realizar tareas administrativas en particular.

Extiende la elevación de un privilegio

Si necesitas tiempo adicional para completar tus tareas, puedes extender el intervalo de tiempo de elevación del privilegio. Elige el intervalo de tiempo de elevación adicional que te permite completar las tareas administrativas.

  1. En la página Resources, selecciona la nube privada para la que deseas extender la elevación del privilegio.
  2. En la pestaña Summary, haz clic en Extend privilege elevation.
  3. Selecciona un intervalo de tiempo de elevación de la lista. Revisa la hora de finalización de la nueva elevación.
  4. Haz clic en Save.

Restablece privilegios

Los privilegios se restablecen automáticamente cuando finaliza el intervalo de tiempo de elevación. Si completas las tareas administrativas antes de que finalice el intervalo de tiempo de elevación, te recomendamos que restablezcas tus privilegios.

  1. En la página Resources, selecciona la nube privada en la que deseas restablecer los privilegios.
  2. Haz clic en Restore.
  3. Haz clic en Aceptar.

Acciones prohibidas

Cuando VMware Engine detecta cualquiera de las siguientes acciones prohibidas, revierte los cambios para garantizar que el servicio permanezca sin interrupciones.

Acciones del clúster

Las siguientes acciones de clúster están prohibidas:

  • Quita un clúster de vCenter.
  • Cambia la alta disponibilidad (HA) de vSphere en un clúster.
  • Agrega un host al clúster desde vCenter.
  • Quita un host del clúster desde vCenter.
  • Cambia el programador de recursos distribuidos de vSphere (DRS) en un clúster.
  • Cambiar el nombre del clúster.

Acciones del host

Las siguientes acciones de host están prohibidas:

  • Quita almacenes de datos en un host de ESXi.
  • Desinstala el agente de vCenter desde el host.
  • Modifica la configuración del host.
  • Realiza cambios en los perfiles del host.
  • Coloca un host en modo de mantenimiento.

Acciones de la red

Las siguientes acciones de red están prohibidas en el servidor de vCenter:

  • Borra el interruptor virtual distribuido (DVS) predeterminado en una nube privada.
  • Quita un host del DVS predeterminado.
  • Importa cualquier parámetro de configuración del DVS.
  • Reconfigura cualquier parámetro de configuración del DVS.
  • Actualiza cualquier DVS.
  • Borra el grupo de puertos de administración.
  • Edita el grupo de puertos de administración.

Las siguientes acciones de red están prohibidas en NSX-T Manager:

  • Agregar un nodo NSX-T Edge nuevo.
  • Cambiar un nodo NSX-T Edge existente.

Acciones de funciones y permisos

Las siguientes acciones de funciones y permisos están prohibidas:

  • Modifica o borra permisos de cualquier objeto de administración.
  • Modifica o quita cualquier función predeterminada.
  • Aumenta los privilegios de una función para que sean superiores a Cloud-Owner-Role.

Otras acciones

Tampoco se permiten las siguientes acciones:

  • Quita cualquier licencia predeterminada:
    • vCenter Server
    • Nodos de ESXi
    • NSX-T
    • HCX
  • Modifica o borra el grupo de recursos de administración.
  • Clona VM de administración.
  • Asigna una red de administración a una VM de carga de trabajo.
  • Usa una dirección IP en el rango de direcciones IP de la red de administración para una VM de carga de trabajo.
  • Cambiar el nombre del centro de datos.
  • Configura el reenvío de syslog con la interfaz de administración de dispositivos de servidor (VAMI) de vCenter.
  • Une tu vCenter de nube privada a un dominio de Active Directory.
  • Restablecer las credenciales de acceso de vCenter o NSX-T mediante las herramientas de VMware o las llamadas a la API. Como recordatorio, puedes recuperar o restablecer las credenciales generadas desde la página de detalles de la nube privada.
  • Cambiar los intervalos de recopilación de estadísticas o los niveles de estadísticas en el cliente de vSphere.

¿Qué sigue?