Eleva i privilegi di VMware Engine

I privilegi di Google Cloud VMware Engine forniscono agli utenti vCenter i privilegi di cui hanno bisogno per eseguire le normali operazioni. Alcune funzioni amministrative richiedono i privilegi nel cloud privato vCenter.

Google Cloud VMware Engine è ora integrato con la console Google Cloud, ma integrazione non fornisce la funzionalità Elevate privilegi. Per eseguire queste attività, puoi utilizzare un account utente della soluzione per:

  • Configura origini identità
  • Eseguire la gestione utenti
  • Eliminare un gruppo di porte distribuite
  • Creazione di account di servizio

Account utente della soluzione

Alcuni strumenti e prodotti utilizzati con il cloud privato potrebbero richiedere all'utente dispongono di privilegi amministrativi in vSphere. Quando crei un cloud privato, VMware Engine crea anche account utente con privilegi amministrativi che puoi utilizzare per gli strumenti e i prodotti di terze parti. Questo documento fornisce indicazioni per la gestione di questi account utente della soluzione in vSphere.

Ecco alcuni esempi di strumenti e prodotti che richiedono privilegi amministrativi durante la configurazione:

  • VMware Site Recovery Manager (SRM)
  • VMware Cloud Director
  • Zerto

Prima di iniziare

Prima di accedere a uno strumento o un prodotto di terze parti con un account utente della soluzione, conferma che lo strumento o il prodotto richieda privilegi amministrativi. Se lo strumento o un prodotto richiede privilegi già esistenti fornita da Cloud-Owner-Role, quindi crea un nuovo utente e aggiungi l'utente a Cloud-Owner-Group.

Puoi utilizzare uno qualsiasi dei seguenti ID utente della soluzione integrata:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Ottieni una password utente per la soluzione

Per ottenere una password utente per la soluzione, segui questi passaggi.

gcloud

gcloud vmware private-clouds vcenter credentials describe \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il private cloud per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, invia una richiesta GET al metodo showVcenterCredentials e fornisci l'ID utente della soluzione:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Reimpostare la password utente della soluzione

Per reimpostare la password di un utente della soluzione, svolgi i passaggi che seguono.

gcloud

gcloud vmware private-clouds vcenter credentials reset \
  --private-cloud=PRIVATE_CLOUD_NAME \
  --project=PROJECT_ID \
  --username=USERNAME_ID \
  --location=ZONE

Sostituisci quanto segue:

  • PRIVATE_CLOUD_NAME: il cloud privato per questa richiesta
  • PROJECT_ID: il progetto per questa richiesta
  • USERNAME_ID: uno degli ID utente della soluzione
  • ZONE: la zona del cloud privato

API

Nell'API REST, effettua una richiesta POST a resetVcenterCredentials e fornisci l'ID utente della soluzione nel corpo della richiesta:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials

{
  "username": :"USERNAME_ID"
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • ZONE: la zona del cloud privato
  • USERNAME_ID: uno degli ID utente della soluzione

Azioni vietate

Quando VMware Engine rileva una delle seguenti azioni vietate, VMware Engine ripristina le modifiche per garantire che il servizio rimanga senza interruzioni.

Azioni sul cluster

Le seguenti azioni del cluster sono vietate:

  • Rimozione di un cluster da vCenter
  • Modifica dell'alta disponibilità (HA) vSphere in un cluster
  • Aggiunta di un host al cluster da vCenter
  • Rimozione di un host dal cluster da vCenter
  • Modifica di vSphere Distributed Resource Scheduler (DRS) in un cluster

Azioni dell'organizzatore

Le seguenti azioni dell'host sono vietate:

  • Aggiunta o rimozione di datastore su un host ESXi. Puoi montare un datastore di recupero dopo un disastro temporaneo, ma gli SLA non verranno applicati
  • Disinstallazione dell'agente vCenter dall'host
  • Modifica della configurazione host
  • Apportare modifiche ai profili host
  • Mettere un host in modalità di manutenzione

Azioni di rete

Le seguenti azioni di rete sono vietate in vCenter Server:

  • Eliminazione dello switch virtuale distribuito (DVS) predefinito in un cloud privato
  • Rimozione di un host da DVS predefinito
  • Importazione di qualsiasi impostazione DVS
  • Riconfigurazione delle impostazioni DVS
  • Upgrade di qualsiasi DVS
  • Eliminazione del gruppo di porte di gestione
  • Modifica del gruppo di porte di gestione

In NSX-T Manager sono vietate le seguenti azioni di rete:

  • Aggiunta di un nuovo nodo perimetrale NSX-T
  • Modifica di un nodo perimetrale NSX-T esistente

Azioni relative a ruoli e autorizzazioni

Le seguenti azioni relative a ruoli e autorizzazioni sono vietate:

  • Modifica o eliminazione dell'autorizzazione per qualsiasi oggetto di gestione
  • Modifica o rimozione di eventuali ruoli predefiniti
  • Aumentare i privilegi di un ruolo impostandoli su un ruolo superiore a quello di Cloud-Proprietario-Role
  • Aggiunta di utenti e gruppi al gruppo di amministratori su vCenter
  • Aggiunta di utenti e gruppi di Active Directory al gruppo di amministratori su vCenter

Altre azioni

Le seguenti azioni sono inoltre vietate:

  • Rimuovere le licenze predefinite:
    • vCenter Server
    • Nodi ESXi
    • NSX-T
    • HCX
  • Modifica o eliminazione del pool di risorse di gestione.
  • Clonazione delle VM di gestione.
  • Assegnazione di una rete di gestione a una VM del carico di lavoro.
  • Utilizzo di un indirizzo IP nell'intervallo di indirizzi IP interni della gestione per un carico di lavoro VM.
  • Ridenominazione del data center.
  • Ridenominazione del cluster.
  • Configurazione dell'inoltro syslog tramite Gestione appliance vCenter Server l'interfaccia VAMI.
  • Configurazione dell'inoltro syslog sugli host ESXi direttamente utilizzando l'utente vCenter a riga di comando. Utilizza invece il portale VMware Engine o Google Cloud CLI per configurare l'inoltro di syslog per vCenter Server o host ESXi.
  • Aggiunta del tuo vCenter del cloud privato a un dominio Active Directory.
  • Reimpostazione delle credenziali di accesso a vCenter o NSX-T utilizzando strumenti VMware, chiamate API o appliance di gestione (vCenter/NSX Manager). Ti ricordiamo che puoi recuperare o reimpostare le credenziali generate, inclusi gli aggiornamenti della password, dalla pagina dei dettagli del cloud privato nel portale VMware Engine.
  • Modifica degli intervalli di raccolta delle statistiche o dei livelli delle statistiche in vSphere Cliente.

Passaggi successivi