Eleva i privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine concedono agli utenti di vCenter i privilegi necessari per eseguire le normali operazioni. Alcune funzioni amministrative richiedono privilegi aggiuntivi nel vCenter del cloud privato.

Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma l'integrazione non fornisce la funzionalità Elevate privilegio. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configura le origini identità
  • Eseguire la gestione utenti
  • Elimina un gruppo di porte distribuite
  • Creazione di account di servizio

Account utente della soluzione

Alcuni strumenti e prodotti utilizzati con il tuo cloud privato potrebbero richiedere che un utente disponga di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Questo documento fornisce indicazioni sulla gestione di questi account utente delle soluzioni in vSphere.

Di seguito sono riportati alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Prima di iniziare

Prima di accedere a uno strumento o a un prodotto di terze parti con un account utente della soluzione, verifica che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o il prodotto richiede privilegi già forniti da Cloud-Owner-Role, crea un nuovo utente e aggiungi l'utente a Cloud-Owner-Group.

Puoi utilizzare uno qualsiasi dei seguenti ID utente della soluzione integrata:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottenere una password utente per la soluzione

Per ottenere una password utente della soluzione, svolgi i passaggi che seguono.

gcloud 

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_ID: il cloud privato per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, effettua una richiesta GET al metodo showVcenterCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • PRIVATE_CLOUD_ID: il cloud privato per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Reimposta la password utente della soluzione

Per reimpostare una password utente di una soluzione, svolgi i passaggi che seguono.

gcloud 

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_ID \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_ID: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, effettua una richiesta POST al metodo resetVcenterCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga senza interruzioni.

Azioni cluster

Le seguenti azioni per il cluster sono vietate:

  • Rimozione di un cluster da vCenter
  • Modifica dell'alta disponibilità (HA) di vSphere su un cluster
  • Aggiunta di un host al cluster da vCenter
  • Rimozione di un host dal cluster da vCenter
  • Modifica di vSphere Distributed Resource Scheduler (DRS) su un cluster

Azioni dell'organizzatore

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi; puoi montare un datastore di ripristino di emergenza temporaneo, ma gli SLA (accordi sul livello del servizio) non verranno applicati
  • Disinstallazione dell'agente vCenter dall'host in corso...
  • Modifica della configurazione host
  • Apportare modifiche ai profili host
  • attivare la modalità di manutenzione di un host

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione dello switch virtuale distribuito predefinito (DVS) in un cloud privato
  • Rimuovere un host dal DVS predefinito
  • Importazione di impostazioni DVS
  • Riconfigurazione di qualsiasi impostazione DVS
  • Upgrade di qualsiasi DVS
  • Eliminazione del gruppo di porte di gestione
  • Modifica del gruppo di porte di gestione

Le seguenti azioni di rete sono vietate in NSX-T Manager:

  • Aggiunta di un nuovo nodo NSX-T Edge
  • Modifica di un nodo NSX-T Edge esistente

Azioni relative a ruoli e autorizzazioni

Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
  • Modifica o rimozione di eventuali ruoli predefiniti
  • Aumenta i privilegi di un ruolo a un ruolo superiore a quello di Cloud-Proprietario-Ruolo
  • Aggiunta di utenti e gruppi al gruppo Amministratore su vCenter
  • Aggiunta di utenti e gruppi di Active Directory al gruppo Amministratore su vCenter

Altre azioni

Sono inoltre vietate le seguenti azioni:

  • Rimozione di tutte le licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX-T
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • Clonazione delle VM di gestione.
  • Assegnazione di una rete di gestione a una VM del carico di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni di gestione per una VM dei carichi di lavoro.
  • Ridenominazione del data center.
  • Ridenominazione del cluster.
  • Configurazione dell'inoltro syslog mediante vCenter Server Appliance Management Interface (VAMI).
  • Configurazione del forwarding syslog su host ESXi direttamente mediante l'interfaccia utente vCenter. Utilizza invece il portale VMware Engine o Google Cloud CLI per configurare l'inoltro syslog per gli host vCenter Server o ESXi.
  • Aggiunta del tuo vCenter del cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti delle password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche nel client vSphere.

Passaggi successivi