Eleva i privilegi di VMware Engine
I privilegi di Google Cloud VMware Engine forniscono agli utenti vCenter i privilegi di cui hanno bisogno per eseguire le normali operazioni. Alcune funzioni amministrative richiedono i privilegi nel cloud privato vCenter.
Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma integrazione non fornisce la funzionalità Elevate privilegi. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:
- Configura origini identità
- Eseguire la gestione utenti
- Eliminare un gruppo di porte distribuite
- Creazione di account di servizio
Account utente della soluzione
Alcuni strumenti e prodotti utilizzati con il cloud privato potrebbero richiedere all'utente dispongono di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Questo documento fornisce indicazioni per la gestione di questi account utente della soluzione in vSphere.
Ecco alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:
- VMware Site Recovery Manager (SRM)
- VMware Cloud Director
- Zerto
Prima di iniziare
Prima di accedere a uno strumento o un prodotto di terze parti con un account utente della soluzione, conferma che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento
o un prodotto richiede privilegi già esistenti
fornita da Cloud-Owner-Role
, quindi crea un nuovo utente
e aggiungi l'utente a Cloud-Owner-Group
.
Puoi utilizzare uno qualsiasi dei seguenti ID utente della soluzione integrata:
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
Ottieni una password utente per la soluzione
Per ottenere una password utente per la soluzione, segui questi passaggi.
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_NAME \ --username=USERNAME_ID \ --location=ZONE
Sostituisci quanto segue:
PRIVATE_CLOUD_NAME
: il private cloud per questa richiestaUSERNAME_ID
: uno degli ID utente della soluzioneZONE
: la zona del cloud privato
API
Nell'API REST, invia una richiesta GET
al metodo showVcenterCredentials
e fornisci l'ID utente della soluzione:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID
Sostituisci quanto segue:
PROJECT_ID
: il progetto per questa richiestaPRIVATE_CLOUD_NAME
: il cloud privato per questa richiestaZONE
: la zona del cloud privatoUSERNAME_ID
: uno degli ID utente della soluzione
Reimpostare la password utente della soluzione
Per reimpostare la password di un utente della soluzione, svolgi i passaggi che seguono.
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
Sostituisci quanto segue:
PRIVATE_CLOUD_NAME
: il cloud privato per questa richiestaPROJECT_ID
: il progetto per questa richiestaUSERNAME_ID
: uno degli ID utente della soluzioneZONE
: la zona del cloud privato
API
Nell'API REST, effettua una richiesta POST
a resetVcenterCredentials
e fornisci l'ID utente della soluzione nel corpo della richiesta:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials { "username": :"USERNAME_ID" }
Sostituisci quanto segue:
PROJECT_ID
: il progetto per questa richiestaZONE
: la zona del cloud privatoUSERNAME_ID
: uno degli ID utente della soluzione
Azioni vietate
Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga senza interruzioni.
Azioni sul cluster
Le seguenti azioni del cluster sono vietate:
- Rimozione di un cluster da vCenter
- Modifica dell'alta disponibilità (HA) vSphere in un cluster
- Aggiunta di un host al cluster da vCenter
- Rimozione di un host dal cluster da vCenter
- Modifica di vSphere Distributed Resource Scheduler (DRS) in un cluster
Azioni dell'organizzatore
Le seguenti azioni dell'host sono vietate:
- Aggiunta o rimozione di datastore su un host ESXi. Puoi montare un datastore di recupero dopo un disastro temporaneo, ma gli SLA non verranno applicati
- Disinstallazione dell'agente vCenter dall'host
- Modifica della configurazione host
- Apportare modifiche ai profili host
- Mettere un host in modalità di manutenzione
Azioni di rete
Le seguenti azioni di rete sono vietate in vCenter Server:
- Eliminazione dello switch virtuale distribuito (DVS) predefinito in un cloud privato
- Rimozione di un host da DVS predefinito
- Importazione di qualsiasi impostazione DVS
- Riconfigurazione delle impostazioni DVS
- Upgrade di qualsiasi DVS
- Eliminazione del gruppo di porte di gestione
- Modifica del gruppo di porte di gestione
In NSX-T Manager sono vietate le seguenti azioni di rete:
- Aggiunta di un nuovo nodo perimetrale NSX-T
- Modifica di un nodo perimetrale NSX-T esistente
Azioni relative a ruoli e autorizzazioni
Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:
- Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
- Modifica o rimozione di eventuali ruoli predefiniti
- Aumentare i privilegi di un ruolo impostandoli su un ruolo superiore a quello di Cloud-Proprietario-Role
- Aggiunta di utenti e gruppi al gruppo di amministratori su vCenter
- Aggiunta di utenti e gruppi di Active Directory al gruppo di amministratori su vCenter
Altre azioni
Le seguenti azioni sono inoltre vietate:
- Rimuovere le licenze predefinite:
- vCenter Server
- Nodi ESXi
- NSX-T
- HCX
- Modifica o eliminazione del pool di risorse di gestione.
- Clonazione delle VM di gestione.
- Assegnazione di una rete di gestione a una VM del carico di lavoro.
- Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni della gestione per un carico di lavoro VM.
- Ridenominazione del data center.
- Ridenominazione del cluster.
- Configurazione dell'inoltro syslog tramite Gestione appliance vCenter Server l'interfaccia VAMI.
- Configurazione dell'inoltro syslog sugli host ESXi direttamente utilizzando l'utente vCenter a riga di comando. Utilizza invece il portale VMware Engine o Google Cloud CLI per configurare l'inoltro di syslog per vCenter Server o host ESXi.
- Aggiunta del tuo vCenter del cloud privato a un dominio Active Directory.
- Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti della password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
- Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche in vSphere Cliente.
Passaggi successivi
- Scopri come configurare le origini identità vCenter.