Como elevar os privilégios do VMware Engine
Os privilégios do Google Cloud VMware Engine oferecem aos usuários do vCenter os privilégios necessários para realizar operações normais. Algumas funções administrativas exigem privilégios adicionais no vCenter da nuvem particular.
O Google Cloud VMware Engine agora está integrado ao console do Google Cloud, mas a integração não fornece a funcionalidade de privilégio elevado. Para executar essas tarefas, é possível usar uma conta de usuário da solução para:
- Configurar origens de identidade
- Realizar o gerenciamento de usuários
- Excluir um grupo de portas distribuído
- Criar contas de serviço
Contas de usuários da solução
Algumas ferramentas e produtos usados em sua nuvem privada podem exigir que um usuário tenha privilégios de administrador no vSphere. Quando você cria uma nuvem privada, o VMware Engine também cria contas de usuário com privilégios de administrador que podem ser usados com as ferramentas e os produtos de terceiros. Este documento fornece orientações sobre como gerenciar essas contas de usuário da solução no vSphere.
Veja alguns exemplos de ferramentas e produtos que exigem privilégios de administrador durante a configuração:
- Gerenciador de Recuperação de Site do VMware (SRM)
- Diretor de nuvem do VMware
- Zerto
Antes de começar
Antes de fazer login em uma ferramenta ou produto de terceiros com uma conta de usuário da solução,
confirme se a ferramenta ou o produto requer privilégios de administrador. Se a ferramenta
ou produto exigir privilégios que já são
fornecidos por Cloud-Owner-Role
, crie um novo usuário
e adicione o usuário a Cloud-Owner-Group
.
É possível usar qualquer um dos seguintes IDs de usuário da solução integrada:
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
Gerar uma senha de usuário da solução
Para receber uma senha de usuário da solução, siga as etapas abaixo.
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_ID \ --username=USERNAME_ID \ --location=ZONE
Substitua:
PRIVATE_CLOUD_ID
: a nuvem privada para essa solicitaçãoUSERNAME_ID
: um dos IDs de usuário da soluçãoZONE
: a zona da nuvem privada.
API
Na API REST, faça uma solicitação GET
para o método showVcenterCredentials
e forneça o ID do usuário da solução:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:showVcenterCredentials?username=USERNAME_ID
Substitua:
PROJECT_ID
: o projeto para esta solicitaçãoPRIVATE_CLOUD_ID
: a nuvem privada para essa solicitaçãoZONE
: a zona da nuvem privada.USERNAME_ID
: um dos IDs de usuário da solução
Redefinir a senha do usuário da solução
Para redefinir uma senha de usuário da solução, siga as etapas abaixo.
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_ID \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
Substitua:
PRIVATE_CLOUD_ID
: a nuvem privada para essa solicitaçãoPROJECT_ID
: o projeto para esta solicitaçãoUSERNAME_ID
: um dos IDs de usuário da soluçãoZONE
: a zona da nuvem privada.
API
Na API REST, faça uma solicitação POST
para o método resetVcenterCredentials
e forneça o ID do usuário da solução no corpo da solicitação:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_ID:resetVcenterCredentials { "username": :"USERNAME_ID" }
Substitua:
PROJECT_ID
: o projeto para esta solicitaçãoZONE
: a zona da nuvem privada.USERNAME_ID
: um dos IDs de usuário da solução
Ações proibidas
Quando o VMware Engine detecta qualquer uma das seguintes ações proibidas, o VMware Engine reverte as alterações para garantir que o serviço permaneça ininterrupto.
Ações do cluster
As seguintes ações de cluster são proibidas:
- Como remover um cluster do vCenter.
- Como alterar a alta disponibilidade (HA) do vSphere em um cluster.
- Como adicionar um host ao cluster no vCenter.
- Como remover um host do cluster no vCenter.
- Como alterar o vSphere Distributed Resource Scheduler (DRS) em um cluster.
Ações do host
As seguintes ações de host são proibidas:
- Como adicionar ou remover armazenamentos de dados em um host ESXi.
- Desinstalando o agente vCenter do host.
- Modificação da configuração do host.
- Fazer alterações nos perfis do host.
- Como colocar um host no modo de manutenção.
Ações da rede
As seguintes ações de rede são proibidas no vCenter Server:
- Como excluir o interruptor virtual distribuído padrão (DVS) em uma nuvem privada
- Remover um host do DVS padrão.
- Importar qualquer configuração de DVS.
- Redefinição de qualquer configuração de DVS.
- Fazendo o upgrade de qualquer DVS.
- Como excluir o grupo de portas de gerenciamento.
- Editar o grupo de portas de gerenciamento.
As seguintes ações de rede são proibidas no NSX-T Manager:
- Adição de um novo nó do NSX-T Edge.
- Alterar um nó NSX-T Edge existente.
Ações de papéis e permissões
As seguintes funções e ações de permissão são proibidas:
- Modificar ou excluir permissão para qualquer objeto de gerenciamento.
- Modificar ou remover qualquer papel padrão.
- Aumente os privilégios de um papel para um papel maior que o Cloud-Owner-Role.
- Como adicionar usuários e grupos ao grupo de administradores no vCenter.
- Adicionar usuários e grupos do Active Directory ao grupo de administradores no vCenter.
Outras ações
As seguintes ações também são proibidas:
- Remover licenças padrão:
- Servidor vCenter
- Nós ESXi
- NSX-T
- HCX
- Como modificar ou excluir o pool de recursos de gerenciamento.
- Como clonar VMs de gerenciamento.
- Como atribuir uma rede de gerenciamento a uma VM de carga de trabalho.
- Como usar um endereço IP no intervalo de endereços IP interno de gerenciamento para uma VM de carga de trabalho.
- Como renomear o data center.
- Como renomear o cluster
- Como configurar o encaminhamento de syslog usando a interface de gerenciamento de aplicativos do servidor vCenter (VAMI, na sigla em inglês)
- Configurar o encaminhamento de syslog em hosts ESXi diretamente usando a interface do usuário do vCenter. Entre em contato com o suporte do Cloud para realizar essa tarefa.
- Como associar seu Cloud vCenter privado a um domínio do Active Directory.
- Redefinir as credenciais de login do vCenter ou do NSX-T usando ferramentas do VMware, chamadas de API ou dispositivos de gerenciamento (gerenciador vCenter/NSX). Lembre-se de que é possível recuperar ou redefinir credenciais geradas, incluindo atualizações de senha, na página de detalhes da nuvem privada no portal do VMware Engine.
- Alterar intervalos de coleta de estatísticas ou níveis de estatísticas no cliente vSphere.
A seguir
- Saiba como configurar origens de identidade do vCenter