Élever les privilèges VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter. Pour effectuer ces tâches, vous pouvez élever les privilèges d'un utilisateur vCenter pendant une durée limitée.

L'élévation des privilèges peut être nécessaire pour les raisons suivantes :

  • Configuration des sources d'identité
  • Gestion des utilisateurs
  • Suppression d'un groupe de ports distribués
  • Installation de solutions vCenter (telles que des applications de sauvegarde)
  • Création de comptes de service

Fonctionnement de l'élévation des privilèges

Vous ne pouvez élever les privilèges d'un utilisateur distant que si un fournisseur d'identité supplémentaire est configuré sur vCenter. L'élévation des privilèges consiste à ajouter l'utilisateur sélectionné au groupe d'administrateurs vSphere intégré.

Les utilisateurs issus de sources d'identité supplémentaires et nécessitant un accès administrateur doivent être ajoutés en tant que membres du groupe CloudOwner. Pour leur accorder moins de privilèges qu'au groupe CloudOwner, créez des groupes supplémentaires et attribuez-leur des utilisateurs.

Élever les privilèges

  1. Accédez au portail VMware Engine.
  2. Ouvrez la page Ressources.
  3. Sélectionnez le cloud privé pour lequel vous souhaitez élever les privilèges.
  4. Sur la page Résumé, sous Modifier les privilèges vSphere, cliquez sur Élever.
  5. Sélectionnez le type d'utilisateur vSphere. Seul l'utilisateur CloudOwner@gve.local peut bénéficier de privilèges élevés.
  6. Sélectionnez la période d'élévation dans la liste. Choisissez la période la plus courte qui vous permet de terminer la tâche.
  7. Cochez la case pour confirmer que vous comprenez les risques.
  8. Cliquez sur Confirmer.

L'élévation des privilèges commence et dure jusqu'à la fin de la période sélectionnée. Pendant cette période, vous pouvez vous connecter à votre cloud privé vCenter pour effectuer des tâches d'administration particulières.

Étendre l'élévation des privilèges

Si vous avez besoin de plus de temps pour effectuer vos tâches, vous pouvez prolonger la période d'élévation des privilèges. Choisissez la période d'élévation supplémentaire qui vous permet d'effectuer les tâches d'administration.

  1. Sur la page Ressources, sélectionnez le cloud privé pour lequel vous souhaitez prolonger l'élévation des privilèges.
  2. Dans l'onglet Résumé, cliquez sur Prolonger l'élévation des privilèges.
  3. Sélectionnez une période d'élévation dans la liste. Vérifiez la nouvelle heure de fin de la période d'élévation.
  4. Cliquez sur Enregistrer.

Restaurer les privilèges

Les privilèges sont automatiquement restaurés à la fin de la période d'élévation. Si vous terminez vos tâches d'administration avant la fin de la période d'élévation, nous vous recommandons de restaurer vos privilèges initiaux.

  1. Sur la page Ressources, sélectionnez le cloud privé pour lequel vous souhaitez restaurer les privilèges.
  2. Cliquez sur Restaurer.
  3. Cliquez sur OK.

Actions interdites

Au cours de la période d'élévation, certaines actions sont interdites. Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité de vSphere sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster à partir de vCenter

Actions pouvant être effectuées par l'hôte

  • Supprimer des datastores sur un hôte ESXi
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

  • Supprimer le commutateur virtuel distribué par défaut dans un cloud privé
  • Supprimer un hôte du commutateur virtuel distribué par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Rôles et actions soumises à autorisations

  • Créer un rôle global
  • Modifier ou supprimer l'autorisation d'accès à un objet de gestion
  • Modifier ou supprimer les rôles par défaut
  • Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud

Autres actions

  • Supprimer les licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion

Étape suivante