Google Cloud VMware Engine 권한은 vCenter 사용자가 일반 작업을 수행하는 데 필요한 권한을 부여합니다.
일부 관리 기능을 사용하려면 프라이빗 클라우드 vCenter에서 추가 권한이 필요합니다.
이제 Google Cloud VMware Engine이 Google Cloud 콘솔과 통합되었지만 통합에서 권한 승격 기능을 제공하지 않습니다. 이러한 태스크를 수행하려면 솔루션 사용자 계정을 사용하여 다음을 수행하면 됩니다.
ID 소스 구성
사용자 관리 수행
분산 포트 그룹 삭제
서비스 계정 만들기
솔루션 사용자 계정
프라이빗 클라우드에서 사용되는 도구 및 제품을 사용하려면 사용자가 vSphere에서 관리자 권한이 필요할 수 있습니다. 프라이빗 클라우드를 만들면 VMware Engine에서는 타사 도구 및 제품에 사용할 수 있는 관리자 권한이 있는 사용자 계정도 만듭니다. 여러 솔루션 사용자 계정이 다양한 애플리케이션을 관리하기 위해 생성됩니다. 특정 솔루션 사용자 계정을 사용하여 각 애플리케이션에서 실행한 작업을 감사할 수 있습니다. 이 문서에서는 vSphere의 솔루션 사용자 계정을 관리하는 방법에 대한 안내를 제공합니다.
다음은 설정 중에 관리 권한이 필요한 도구 및 제품의 몇 가지 예시입니다.
VMware Site Recovery Manager(SRM)
VMware Cloud Director
Zerto
시작하기 전에
솔루션 사용자 계정으로 타사 도구 또는 제품에 로그인하기 전에 도구 또는 제품에 관리 권한이 필요한지 확인합니다. 도구 또는 제품에 이미 Cloud-Owner-Role에서 제공한 권한이 필요한 경우 새 사용자를 생성하고 사용자를 Cloud-Owner-Group으로 변경합니다.
VMware Engine에서 다음과 같은 금지된 작업을 감지하면 서비스가 중단 없이 유지되도록 VMware Engine이 변경 사항을 되돌립니다.
클러스터 작업
다음 클러스터 작업은 금지됩니다.
vCenter에서 클러스터 삭제
클러스터에서 vSphere 고가용성(HA) 변경
vCenter에서 클러스터에 호스트 추가
vCenter의 클러스터에서 호스트 삭제
클러스터에서 vSphere Distributed Resource Scheduler(DRS) 변경
VMware Engine에서 새 데이터 센터 만들기
호스팅 작업
다음 호스트 작업은 금지됩니다.
ESXi 호스트에서 데이터 스토어를 추가 또는 삭제. 임시 재해 복구 데이터 스토어를 마운트할 수 있지만 SLA는 적용되지 않습니다.
호스트에서 vCenter 에이전트 제거
호스트 구성 수정
호스트 프로필 변경
호스트를 유지보수 모드로 전환
네트워크 작업
vCenter Server에서 금지되는 네트워크 작업은 다음과 같습니다.
프라이빗 클라우드에서 기본 분산 가상 스위치(DVS) 삭제
기본 DVS에서 호스트 삭제
DVS 설정 가져오기
모든 DVS 설정 재구성
모든 DVS 업그레이드
관리 포트 그룹 삭제
관리 포트 그룹 수정
NSX Manager에서 금지되는 네트워크 작업은 다음과 같습니다.
새 NSX Edge 노드 추가
기존 NSX Edge 노드 변경
역할 및 권한 작업
다음 역할 및 권한 작업은 금지됩니다.
모든 관리 객체에 대한 권한 수정 또는 삭제
기본 역할 수정 또는 삭제
역할 권한을 Cloud-Owner-Role보다 높게 올리기
vCenter의 관리자 그룹에 사용자 및 그룹 추가
vCenter의 관리자 그룹에 Active Directory 사용자 및 그룹 추가
기타 작업
다음 작업은 추가로 금지됩니다.
기본 라이선스 삭제:
vCenter Server
ESXi 노드
NSX
HCX
관리 리소스 풀 수정 또는 삭제
관리 VM 클론
워크로드 VM에 관리 네트워크 할당
워크로드 VM의 관리 내부 IP 주소 범위에서 IP 주소 사용
데이터 센터 이름 변경
클러스터 이름 변경
vCenter Server Appliance 관리 인터페이스(VAMI)를 사용하여 syslog 전달 구성
vCenter 사용자 인터페이스를 사용하여 ESXi 호스트에서 직접 syslog 전달 구성. 대신 VMware Engine 포털이나 Google Cloud CLI를 사용하여 vCenter Server 또는 ESXi 호스트의 syslog 전달을 구성합니다.
프라이빗 클라우드 vCenter를 Active Directory 도메인에 조인
VMware 도구, API 호출, 관리 어플라이언스 (vCenter/NSX Manager)를 사용하여 vCenter 또는 NSX 로그인 사용자 인증 정보 재설정 다시 말하지만 VMware Engine 포털의 프라이빗 클라우드 세부정보 페이지에서 비밀번호 업데이트 등 생성된 사용자 인증 정보를 검색하거나 재설정할 수 있습니다.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# Elevate VMware Engine privileges\n================================\n\nGoogle Cloud VMware Engine privileges give vCenter users the privileges they need to\nperform normal operations. Some administrative functions require additional\nprivileges in the private cloud vCenter.\n\nGoogle Cloud VMware Engine is now integrated with the Google Cloud console but the\nintegration does not provide the **Elevate privilege** feature. To perform\nthese tasks, you can use a solution user account to:\n\n- Configure identity sources\n- Perform user management\n- Delete a distributed port group\n- Create service accounts\n\nSolution user accounts\n----------------------\n\nSome tools and products used with your private cloud might require a user to\nhave administrative privileges in vSphere. When you create a private cloud,\nVMware Engine also creates user accounts with administrative\nprivileges that you can use for the third-party tools and products. Multiple\nsolution user accounts are created for managing different applications. Using a\nspecific solution user account, you can audit the actions performed by each\napplication. This document provides you with guidance on managing these\nsolution user accounts in vSphere.\n\nHere are some examples of tools and products that require administrative\nprivileges during setup:\n\n- VMware Site Recovery Manager (SRM)\n- VMware Cloud Director\n- Zerto\n\n| **Note:** If you want to disable or re-enable all solution user accounts, contact [Cloud Customer Care](/vmware-engine/docs/support).\n\nBefore you begin\n----------------\n\nBefore signing in to a third-party tool or product with a solution user account,\nconfirm that the tool or product requires administrative privileges. If the tool\nor product requires [privileges](/vmware-engine/docs/concepts-permission-model) that are already\nprovided by `Cloud-Owner-Role`, then [create a new user](/vmware-engine/docs/vmware-platform/howto-permissions-model)\nand add the user to `Cloud-Owner-Group` instead.\n| **Caution:** Solution user accounts have administrator privileges in vSphere. Only use solution user accounts for their intended purpose. VMware Engine reverts [forbidden actions](/vmware-engine/docs/private-clouds/howto-elevate-privilege#forbidden-actions) taken by these accounts automatically because of their potential for adverse impact on your private cloud.\n\nYou can use any of the following built-in solution user IDs:\n\n- `solution-user-01@gve.local`\n- `solution-user-02@gve.local`\n- `solution-user-03@gve.local`\n- `solution-user-04@gve.local`\n- `solution-user-05@gve.local`\n\nGet a solution user password\n----------------------------\n\nTo get a solution user password, take the following steps. \n\n### gcloud\n\n```\ngcloud vmware private-clouds vcenter credentials describe \\\n --private-cloud=PRIVATE_CLOUD_NAME \\\n --project=PROJECT_ID \\\n --username=USERNAME_ID \\\n --location=ZONE\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePRIVATE_CLOUD_NAME\u003c/var\u003e: the private cloud for this request\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project for this request\n- \u003cvar translate=\"no\"\u003eUSERNAME_ID\u003c/var\u003e: one of the solution user IDs\n- \u003cvar translate=\"no\"\u003eZONE\u003c/var\u003e: the zone of the private cloud\n\n### API\n\nIn the REST API, make a `GET` request to the `showVcenterCredentials` method\nand provide the provide the solution user ID: \n\n```\nhttps://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project for this request\n- \u003cvar translate=\"no\"\u003eZONE\u003c/var\u003e: the zone of the private cloud\n- \u003cvar translate=\"no\"\u003ePRIVATE_CLOUD_NAME\u003c/var\u003e: the private cloud for this request\n- \u003cvar translate=\"no\"\u003eUSERNAME_ID\u003c/var\u003e: one of the solution user IDs\n\nReset solution user password\n----------------------------\n\nTo reset a solution user password, take the following steps. \n\n### gcloud\n\n```\ngcloud vmware private-clouds vcenter credentials reset \\\n --private-cloud=PRIVATE_CLOUD_NAME \\\n --project=PROJECT_ID \\\n --username=USERNAME_ID \\\n --location=ZONE\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePRIVATE_CLOUD_NAME\u003c/var\u003e: the private cloud for this request\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project for this request\n- \u003cvar translate=\"no\"\u003eUSERNAME_ID\u003c/var\u003e: one of the solution user IDs\n- \u003cvar translate=\"no\"\u003eZONE\u003c/var\u003e: the zone of the private cloud\n\n### API\n\nIn the REST API, make a `POST` request to the `resetVcenterCredentials`\nmethod and provide the solution user ID in the request body: \n\n```\nhttps://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials\n\n{\n \"username\": :\"USERNAME_ID\"\n}\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: the project for this request\n- \u003cvar translate=\"no\"\u003eZONE\u003c/var\u003e: the zone of the private cloud\n- \u003cvar translate=\"no\"\u003eUSERNAME_ID\u003c/var\u003e: one of the solution user IDs\n\nForbidden actions\n-----------------\n\nWhen VMware Engine detects any of the following forbidden actions,\nVMware Engine reverts the changes to ensure that service remains\nuninterrupted.\n\n### Cluster actions\n\nThe following cluster actions are forbidden:\n\n- Removing a cluster from vCenter\n- Changing vSphere high availability (HA) on a cluster\n- Adding a host to the cluster from vCenter\n- Removing a host from the cluster from vCenter\n- Changing vSphere Distributed Resource Scheduler (DRS) on a cluster\n- Creating new Data Centers in VMware Engine\n\n### Host actions\n\nThe following host actions are forbidden:\n\n- Adding or removing datastores on an ESXi host; you can mount a temporary disaster recovery datastore, but SLAs won't apply\n- Uninstalling vCenter agent from host\n- Modifying the host configuration\n- Making any changes to the host profiles\n- Placing a host in maintenance mode\n\n### Network actions\n\nThe following network actions are forbidden in vCenter Server:\n\n- Deleting the default distributed virtual switch (DVS) in a private cloud\n- Removing a host from the default DVS\n- Importing any DVS setting\n- Reconfiguring any DVS setting\n- Upgrading any DVS\n- Deleting the management portgroup\n- Editing the management portgroup\n\nThe following network actions are forbidden in NSX Manager:\n\n- Adding a new NSX Edge node\n- Changing an existing NSX Edge node\n\n### Roles and permissions actions\n\nThe following roles and permissions actions are forbidden:\n\n- Modifying or deleting permission to any management objects\n- Modifying or removing any default roles\n- Increase the privileges of a role to higher than of Cloud-Owner-Role\n- Adding users and groups to the Administrator group on vCenter\n- Adding any Active Directory users and groups to the Administrator group on vCenter\n\n### Other actions\n\nThe following actions are additionally forbidden:\n\n- Removing any default licenses:\n - vCenter Server\n - ESXi nodes\n - NSX\n - HCX\n- Modifying or deleting the management resource pool.\n- Cloning management VMs.\n- Assigning a management network to a workload VM.\n- Using an IP address in the management internal IP address range for a workload VM.\n- Renaming the data center.\n- Renaming the cluster.\n- Configuring syslog forwarding using the vCenter Server Appliance Management Interface (VAMI).\n- Configuring syslog forwarding on ESXi Hosts directly using the vCenter user interface. Instead, use the VMware Engine portal or the [Google Cloud CLI](/sdk/gcloud/reference/vmware/private-clouds/logging-servers/create) to configure syslog forwarding for vCenter Server or ESXi Hosts.\n- Joining your private cloud vCenter to an Active Directory domain.\n- Resetting vCenter or NSX sign-in credentials using VMware tools, API calls, or management appliances (vCenter/NSX manager). As a reminder, you can [retrieve or reset generated credentials](/vmware-engine/docs/vmware-platform/classic-console/howto-access-vsphere-client#sign-in), including password updates, from the private cloud details page in the VMware Engine portal.\n- Changing statistics collection intervals or statistics levels in the vSphere Client.\n\nWhat's next\n-----------\n\n- Learn how to [set up vCenter identity sources](/vmware-engine/docs/vmware-platform/classic-console/howto-identity-sources)."]]