Augmenter les droits VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter. Pour effectuer ces tâches, vous pouvez élever les privilèges d'un utilisateur vCenter pendant une durée limitée.

L'élévation des privilèges peut être nécessaire pour les raisons suivantes :

  • Configuration des sources d'identité
  • Gestion des utilisateurs
  • Suppression d'un groupe de ports distribués
  • Créer des comptes de service

Fonctionnement de l'élévation des privilèges

Vous ne pouvez élever les privilèges d'un utilisateur distant que si un fournisseur d'identité supplémentaire est configuré sur vCenter. L'élévation des privilèges consiste à ajouter l'utilisateur sélectionné au groupe d'administrateurs vSphere intégré.

Les utilisateurs issus de sources d'identité supplémentaires et nécessitant un accès administrateur doivent être ajoutés en tant que membres du groupe CloudOwner. Pour leur accorder moins de privilèges qu'au groupe CloudOwner, créez des groupes supplémentaires et attribuez-leur des utilisateurs.

Élever les privilèges

  1. Accédez au portail VMware Engine.
  2. Ouvrez la page Ressources.
  3. Sélectionnez le cloud privé pour lequel vous souhaitez élever les privilèges.
  4. Sur la page Résumé, sous Modifier les privilèges vSphere, cliquez sur Élever.
  5. Sélectionnez le type d'utilisateur vSphere. Pour utiliser une source d'identité configurée telle qu'Active Directory, choisissez Identité à distance, puis saisissez l'utilisateur et le domaine au format du nom d'utilisateur principal (UPN) (par exemple, user@domain).
  6. Sélectionnez la période d'élévation dans la liste. Choisissez la période la plus courte qui vous permet de terminer la tâche.
  7. Cochez la case pour confirmer que vous comprenez les risques.
  8. Cliquez sur Confirmer.

L'élévation des privilèges commence et dure jusqu'à la fin de la période sélectionnée. Pendant cette période, vous pouvez vous connecter à votre cloud privé vCenter pour effectuer des tâches d'administration particulières.

Étendre l'élévation des privilèges

Si vous avez besoin de plus de temps pour effectuer vos tâches, vous pouvez prolonger la période d'élévation des privilèges. Choisissez la période d'élévation supplémentaire qui vous permet d'effectuer les tâches d'administration.

  1. Sur la page Ressources, sélectionnez le cloud privé pour lequel vous souhaitez prolonger l'élévation des privilèges.
  2. Dans l'onglet Résumé, cliquez sur Prolonger l'élévation des privilèges.
  3. Sélectionnez une période d'élévation dans la liste. Vérifiez la nouvelle heure de fin de la période d'élévation.
  4. Cliquez sur Enregistrer.

Restaurer les privilèges

Les privilèges sont automatiquement restaurés à la fin de la période d'élévation. Si vous terminez vos tâches d'administration avant la fin de la période d'élévation, nous vous recommandons de restaurer vos privilèges initiaux.

  1. Sur la page Ressources, sélectionnez le cloud privé pour lequel vous souhaitez restaurer les privilèges.
  2. Cliquez sur Restaurer.
  3. Cliquez sur OK.

Actions interdites

Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

Les actions de cluster suivantes sont interdites :

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité de vSphere sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster à partir de vCenter
  • Changer vSphere Distributed Resource Scheduler (DRS) sur un cluster.
  • Renommer le cluster

Actions pouvant être effectuées par l'hôte

Les actions d'hôte suivantes sont interdites :

  • Supprimer des datastores sur un hôte ESXi
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

Les actions réseau suivantes sont interdites dans le serveur vCenter :

  • Supprimer le commutateur virtuel distribué par défaut dans un cloud privé
  • Supprimer un hôte du commutateur virtuel distribué par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :

  • Ajouter un nœud NSX-T Edge
  • Modifier un nœud NSX-T Edge existant

Rôles et actions soumises à autorisations

Les actions suivantes associées aux rôles et aux autorisations sont interdites :

  • Modifier ou supprimer l'autorisation d'accès à un objet de gestion
  • Modifier ou supprimer les rôles par défaut
  • Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud

Autres actions

Les actions suivantes sont également interdites :

  • Supprimer les licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion
  • Attribuer un réseau de gestion à une VM de charge de travail
  • Utiliser une adresse IP dans la plage d'adresses IP du réseau de gestion pour une VM de charge de travail
  • Renommer le centre de données
  • Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
  • Associer votre cloud privé vCenter à un domaine Active Directory
  • Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide d'outils VMware ou d'appels d'API. Pour rappel, vous pouvez récupérer ou réinitialiser les identifiants générés depuis la page d'informations du cloud privé.
  • Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.

Étape suivante