Como elevar os privilégios do VMware Engine

Os privilégios do Google Cloud VMware Engine oferecem aos usuários do vCenter os privilégios necessários para realizar operações normais. Algumas funções administrativas exigem privilégios adicionais no vCenter da nuvem particular.

O Google Cloud VMware Engine agora está integrado ao console do Google Cloud, mas a integração não fornece a funcionalidade de privilégio elevado. Para executar essas tarefas, é possível usar uma conta de usuário da solução para:

• Configurar origens de identidade
• Realizar o gerenciamento de usuários
• Excluir um grupo de portas distribuído
• Criar contas de serviço

Contas de usuários da solução

Algumas ferramentas e produtos usados em sua nuvem privada podem exigir que um usuário tenha privilégios de administrador no vSphere. Quando você cria uma nuvem privada, o VMware Engine também cria contas de usuário com privilégios de administrador que podem ser usados com as ferramentas e os produtos de terceiros. Este documento fornece orientações sobre como gerenciar essas contas de usuário da solução no vSphere.

Veja alguns exemplos de ferramentas e produtos que exigem privilégios de administrador durante a configuração:

• Gerenciador de Recuperação de Site do VMware (SRM)
• Diretor de nuvem do VMware
• Zerto

Antes de começar

Antes de fazer login em uma ferramenta ou produto de terceiros com uma conta de usuário da solução, confirme se a ferramenta ou o produto requer privilégios de administrador. Se a ferramenta ou produto exigir privilégios que já são fornecidos por Cloud-Owner-Role, crie um novo usuário e adicione o usuário a Cloud-Owner-Group.

É possível usar qualquer um dos seguintes IDs de usuário da solução integrada:

• solution-user-01@gve.local
• solution-user-02@gve.local
• solution-user-03@gve.local
• solution-user-04@gve.local
• solution-user-05@gve.local

Gerar uma senha de usuário da solução

Para receber uma senha de usuário da solução, siga as etapas abaixo.

gcloud vmware private-clouds vcenter credentials describe \
--private-cloud=PRIVATE_CLOUD_ID \
--username=USERNAME_ID \
--location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID

Redefinir a senha do usuário da solução

Para redefinir uma senha de usuário da solução, siga as etapas abaixo.

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD_ID \
--project=PROJECT_ID \
--username=USERNAME_ID \
--location=ZONE

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

Ações proibidas

Quando o VMware Engine detecta qualquer uma das seguintes ações proibidas, o VMware Engine reverte as alterações para garantir que o serviço permaneça ininterrupto.

Ações do cluster

As seguintes ações de cluster são proibidas:

• Como remover um cluster do vCenter.
• Como alterar a alta disponibilidade (HA) do vSphere em um cluster.
• Como adicionar um host ao cluster no vCenter.
• Como remover um host do cluster no vCenter.
• Como alterar o vSphere Distributed Resource Scheduler (DRS) em um cluster.

Ações do host

As seguintes ações de host são proibidas:

• Como adicionar ou remover armazenamentos de dados em um host ESXi.
• Desinstalando o agente vCenter do host.
• Modificação da configuração do host.
• Fazer alterações nos perfis do host.
• Como colocar um host no modo de manutenção.

Ações da rede

As seguintes ações de rede são proibidas no vCenter Server:

• Como excluir o interruptor virtual distribuído padrão (DVS) em uma nuvem privada
• Remover um host do DVS padrão.
• Importar qualquer configuração de DVS.
• Redefinição de qualquer configuração de DVS.
• Fazendo o upgrade de qualquer DVS.
• Como excluir o grupo de portas de gerenciamento.
• Editar o grupo de portas de gerenciamento.

As seguintes ações de rede são proibidas no NSX-T Manager:

• Adição de um novo nó do NSX-T Edge.
• Alterar um nó NSX-T Edge existente.

Ações de papéis e permissões

As seguintes funções e ações de permissão são proibidas:

• Modificar ou excluir permissão para qualquer objeto de gerenciamento.
• Modificar ou remover qualquer papel padrão.
• Aumente os privilégios de um papel para um papel maior que o Cloud-Owner-Role.
• Como adicionar usuários e grupos ao grupo de administradores no vCenter.
• Adicionar usuários e grupos do Active Directory ao grupo de administradores no vCenter.

Outras ações

As seguintes ações também são proibidas:

• Remover licenças padrão:
  • Servidor vCenter
  • Nós ESXi
  • NSX-T
  • HCX
• Como modificar ou excluir o pool de recursos de gerenciamento.
• Como clonar VMs de gerenciamento.
• Como atribuir uma rede de gerenciamento a uma VM de carga de trabalho.
• Como usar um endereço IP no intervalo de endereços IP interno de gerenciamento para uma VM de carga de trabalho.
• Como renomear o data center.
• Como renomear o cluster
• Como configurar o encaminhamento de syslog usando a interface de gerenciamento de aplicativos do servidor vCenter (VAMI, na sigla em inglês)
• Configurar o encaminhamento de syslog em hosts ESXi diretamente usando a interface do usuário do vCenter. Entre em contato com o suporte do Cloud para realizar essa tarefa.
• Como associar seu Cloud vCenter privado a um domínio do Active Directory.
• Redefinir as credenciais de login do vCenter ou do NSX-T usando ferramentas do VMware, chamadas de API ou dispositivos de gerenciamento (gerenciador vCenter/NSX). Lembre-se de que é possível recuperar ou redefinir credenciais geradas, incluindo atualizações de senha, na página de detalhes da nuvem privada no portal do VMware Engine.
• Alterar intervalos de coleta de estatísticas ou níveis de estatísticas no cliente vSphere.

A seguir

• Saiba como configurar origens de identidade do vCenter