Eleva los privilegios de VMware Engine

Los privilegios de Google Cloud VMware Engine brindan a los usuarios de vCenter los privilegios que necesitan para realizar operaciones normales. Algunas funciones administrativas requieren privilegios adicionales en el vCenter de nube privada.

Google Cloud VMware Engine ahora está integrado en la consola de Google Cloud, pero la integración no proporciona la funcionalidad de privilegio de Elevate. A fin de realizar estas tareas, puedes usar una cuenta de usuario de solución para hacer lo siguiente:

  • Configura las fuentes de identidad
  • Realiza la administración de usuarios
  • Borra un grupo de puertos distribuido
  • Crea cuentas de servicio

Cuentas de usuario de solución

Algunas herramientas y productos que se usan con tu nube privada pueden requerir que un usuario tenga privilegios administrativos en vSphere. Cuando creas una nube privada, VMware Engine también crea cuentas de usuario con privilegios administrativos que puedes usar con las herramientas y los productos de terceros. En este documento, se proporciona orientación para administrar estas cuentas de usuario de solución en vSphere.

Estos son algunos ejemplos de herramientas y productos que requieren privilegios administrativos durante la configuración:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Antes de comenzar

Antes de acceder a una herramienta o un producto de terceros con una cuenta de usuario de solución, confirma que la herramienta o el producto requieren privilegios administrativos. Si la herramienta o el producto requieren privilegios que ya proporciona Cloud-Owner-Role, crea un usuario nuevo y agrégalo a Cloud-Owner-Group.

Puedes usar cualquiera de los siguientes ID de usuario de la solución integrada:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtener una contraseña de usuario de solución

Para obtener una contraseña de usuario de solución, sigue estos pasos.

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_ID \
  --username=USERNAME_ID \
  --location=ZONE

Reemplaza lo siguiente:

  • PRIVATE_CLOUD_ID: Es la nube privada para esta solicitud.
  • USERNAME_ID: Uno de los IDs de usuario de la solución
  • ZONE: Es la zona de la nube privada.

API

En la API de REST, realiza una solicitud GET al método showVcenterCredentials y proporciona el ID de usuario de la solución:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto para esta solicitud.
  • PRIVATE_CLOUD_ID: Es la nube privada para esta solicitud.
  • ZONE: Es la zona de la nube privada.
  • USERNAME_ID: Uno de los IDs de usuario de la solución

Restablecer la contraseña de usuario de la solución

Para restablecer la contraseña de un usuario de solución, sigue estos pasos.

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Reemplaza lo siguiente:

  • PRIVATE_CLOUD_ID: Es la nube privada para esta solicitud.
  • PROJECT_ID: Es el proyecto para esta solicitud.
  • USERNAME_ID: Uno de los IDs de usuario de la solución
  • ZONE: Es la zona de la nube privada.

API

En la API de REST, realiza una solicitud POST al método resetVcenterCredentials y proporciona el ID de usuario de la solución en el cuerpo de la solicitud:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto para esta solicitud.
  • ZONE: Es la zona de la nube privada.
  • USERNAME_ID: Uno de los IDs de usuario de la solución

Acciones prohibidas

Cuando VMware Engine detecta cualquiera de las siguientes acciones prohibidas, revierte los cambios para garantizar que el servicio permanezca sin interrupciones.

Acciones del clúster

Las siguientes acciones de clúster están prohibidas:

  • Quita un clúster de vCenter
  • Cambia la alta disponibilidad (HA) de vSphere en un clúster
  • Agrega un host al clúster desde vCenter
  • Quita un host del clúster de vCenter
  • Cambia el programador de recursos distribuidos (DRS) de vSphere en un clúster

Acciones del host

Las siguientes acciones de host están prohibidas:

  • Agregar o quitar almacenes de datos en un host de ESXi; puedes activar un almacén de datos temporal de recuperación ante desastres, pero no se aplicarán los ANS.
  • Desinstala el agente de vCenter desde el host
  • Modifica la configuración del host
  • Realiza cambios en los perfiles de host
  • Coloca un host en modo de mantenimiento

Acciones de la red

Las siguientes acciones de red están prohibidas en el servidor de vCenter:

  • Borra el interruptor virtual distribuido (DVS) predeterminado en una nube privada
  • Quita un host del DVS predeterminado
  • Importa cualquier parámetro de configuración de DVS
  • Reconfigurar cualquier parámetro de configuración del DVS
  • Actualiza cualquier DVS
  • Borra el grupo de puertos de administración
  • Edita el grupo de puertos de administración

Las siguientes acciones de red están prohibidas en NSX-T Manager:

  • Agrega un nodo de NSX-T Edge nuevo
  • Cambia un nodo de NSX-T Edge existente

Acciones de funciones y permisos

Las siguientes acciones de funciones y permisos están prohibidas:

  • Modifica o borra permisos de cualquier objeto de administración
  • Modifica o quita roles predeterminados
  • Aumenta los privilegios de un rol para que sean superiores a los de Cloud-propietario-Role
  • Agrega usuarios y grupos al grupo de administradores en vCenter
  • Agrega usuarios y grupos de Active Directory al grupo de administradores en vCenter

Otras acciones

Tampoco se permiten las siguientes acciones:

  • Quita cualquier licencia predeterminada:
    • vCenter Server
    • Nodos de ESXi
    • NSX-T
    • HCX
  • Modifica o borra el grupo de recursos de administración.
  • Clona VM de administración.
  • Asigna una red de administración a una VM de carga de trabajo.
  • Usar una dirección IP en el rango de direcciones IP internas de administración para una VM de carga de trabajo
  • Se está cambiando el nombre del centro de datos.
  • Cambiar el nombre del clúster.
  • Configura el reenvío de syslog con la interfaz de administración de dispositivos de servidor (VAMI) de vCenter.
  • Configuración del reenvío de syslog en hosts ESXi directamente con la interfaz de usuario de vCenter. En su lugar, usa el portal de VMware Engine o Google Cloud CLI a fin de configurar el reenvío de syslog para vCenter Server o los hosts ESXi.
  • Une tu vCenter de nube privada a un dominio de Active Directory.
  • Restablece las credenciales de acceso de vCenter o NSX-T mediante las herramientas de VMware, las llamadas a la API o los dispositivos de administración (administrador de vCenter/NSX). Como recordatorio, puedes recuperar o restablecer las credenciales generadas, incluidas las actualizaciones de contraseñas, desde la página de detalles de la nube privada en el portal de VMware Engine.
  • Cambiar los intervalos de recopilación de estadísticas o los niveles de estadísticas en el cliente de vSphere.

¿Qué sigue?