Définir des autorisations VMware Engine
Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter.
Google Cloud VMware Engine est désormais intégré à la console Google Cloud, mais cette intégration ne fournit pas la fonctionnalité Elevate privilege (Élever les droits d'accès). Pour effectuer ces tâches, vous pouvez utiliser un compte utilisateur de solution pour:
- Configurer les sources d'identité
- Gérer les utilisateurs
- Supprimer un groupe de ports distribués
- Créer des comptes de service
Comptes utilisateur de solution
Certains outils et produits utilisés avec votre cloud privé peuvent nécessiter qu'un utilisateur dispose de droits d'administrateur dans vSphere. Lorsque vous créez un cloud privé, VMware Engine crée également des comptes utilisateur avec des droits d'administrateur que vous pouvez utiliser avec les outils et produits tiers. Ce document fournit des conseils sur la gestion de ces comptes utilisateur de solution dans vSphere.
Voici quelques exemples d'outils et de produits nécessitant des droits d'administrateur lors de la configuration :
- VMware Site Recovery Manager (SRM)
- VMware Cloud Director
- Zerto
Avant de commencer
Avant de vous connecter à un outil ou produit tiers avec un compte utilisateur de solution, vérifiez que l'outil ou le produit nécessite des droits d'administrateur. Si l'outil ou le produit nécessite des droits déjà fournis par Cloud-Owner-Role
, créez un utilisateur et ajoutez-le à Cloud-Owner-Group
à la place.
Vous pouvez utiliser l'un des ID utilisateur de solution intégrés suivants :
solution-user-01@gve.local
solution-user-02@gve.local
solution-user-03@gve.local
solution-user-04@gve.local
solution-user-05@gve.local
Obtenir le mot de passe d'un utilisateur de la solution
Pour obtenir un mot de passe utilisateur pour la solution, procédez comme suit :
gcloud
gcloud vmware private-clouds vcenter credentials describe \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
Remplacez les éléments suivants :
PRIVATE_CLOUD_NAME
: cloud privé pour cette requêtePROJECT_ID
: projet concerné par cette requêteUSERNAME_ID
: l'un des ID utilisateur de la solutionZONE
: zone du cloud privé
API
Dans l'API REST, envoyez une requête GET
à la méthode showVcenterCredentials
et fournissez l'ID utilisateur de la solution :
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:showVcenterCredentials?username=USERNAME_ID
Remplacez les éléments suivants :
PROJECT_ID
: projet concerné par cette requêteZONE
: zone du cloud privéPRIVATE_CLOUD_NAME
: cloud privé pour cette demanderUSERNAME_ID
: l'un des ID utilisateur de la solution
Réinitialiser le mot de passe de l'utilisateur de la solution
Pour réinitialiser le mot de passe d'un utilisateur de la solution, procédez comme suit.
gcloud
gcloud vmware private-clouds vcenter credentials reset \ --private-cloud=PRIVATE_CLOUD_NAME \ --project=PROJECT_ID \ --username=USERNAME_ID \ --location=ZONE
Remplacez les éléments suivants :
PRIVATE_CLOUD_NAME
: cloud privé pour cette requêtePROJECT_ID
: projet concerné par cette requêteUSERNAME_ID
: l'un des ID utilisateur de la solutionZONE
: zone du cloud privé
API
Dans l'API REST, envoyez une requête POST
à resetVcenterCredentials
.
et indiquez l'ID utilisateur de la solution dans le corps de la requête:
https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/privateClouds/PRIVATE_CLOUD_NAME:resetVcenterCredentials { "username": :"USERNAME_ID" }
Remplacez les éléments suivants :
PROJECT_ID
: projet concerné par cette requêteZONE
: zone du cloud privéUSERNAME_ID
: l'un des ID utilisateur de la solution
Actions interdites
Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.
Actions sur les clusters
Les actions de cluster suivantes sont interdites :
- Supprimer un cluster de vCenter
- Modifier la haute disponibilité vSphere sur un cluster
- Ajouter un hôte au cluster à partir de vCenter
- Supprimer un hôte du cluster à partir de vCenter
- Modifier le planificateur de ressources distribué (DRS) vSphere sur un cluster
Actions pouvant être effectuées par l'hôte
Les actions d'hôte suivantes sont interdites :
- Ajout ou suppression de datastores sur un hôte ESXi. Vous pouvez installer un datastore de reprise après sinistre temporaire, mais les contrats de niveau de service ne s'appliquent pas.
- Désinstaller l'agent vCenter de l'hôte
- Modifier la configuration de l'hôte
- Apporter des modifications aux profils hôtes
- Placer un hôte en mode de maintenance
Actions sur le réseau
Les actions réseau suivantes sont interdites dans le serveur vCenter :
- Supprimer le commutateur virtuel distribué (DVS) par défaut dans un cloud privé
- Supprimer un hôte du DVS par défaut
- Importer un paramètre DVS
- Reconfigurer un paramètre DVS
- Mettre à niveau un DVS
- Supprimer le groupe de ports de gestion
- Modifier le groupe de ports de gestion
Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :
- Ajouter un nœud NSX-T Edge
- Modifier un nœud Edge NSX-T existant
Rôles et actions soumises à autorisations
Les actions suivantes associées aux rôles et aux autorisations sont interdites :
- Modifier ou supprimer l'autorisation d'accès à un objet de gestion
- Modifier ou supprimer des rôles par défaut
- Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud
- Ajouter des utilisateurs et des groupes au groupe Administrateur sur vCenter
- Ajouter des utilisateurs et des groupes Active Directory au groupe Administrateur sur vCenter
Configurer des alertes par e-mail
Vous pouvez configurer VMware Engine pour qu'il informe un utilisateur des modifications apportées à votre configuration de cloud privé. Pour ajouter un contact, procédez comme suit :
Dans la console Google Cloud, accédez à la page Contacts essentiels.
Dans le menu déroulant de sélection de projet, sélectionnez l'organisation, le dossier ou le projet auquel vous souhaitez ajouter un contact.
Cliquez sur
Ajouter un contact.Dans les champs Adresse e-mail et Confirmer l'adresse e-mail, saisissez l'adresse e-mail du contact.
Dans le menu déroulant Catégories de notifications, sélectionnez les catégories de notifications pour lesquelles vous souhaitez que le contact reçoive des communications. Pour obtenir la liste des catégories de notifications et des contacts recommandés, consultez la section Identifier des contacts sur cette page.
Cliquez sur Enregistrer.
Autres actions
Les actions suivantes sont également interdites :
- Supprimer les licences par défaut :
- Serveur vCenter
- Nœuds ESXi
- NSX-T
- HCX
- Modifier ou supprimer le pool de ressources de gestion
- Cloner des VM de gestion
- Attribuer un réseau de gestion à une VM de charge de travail
- Utiliser une adresse IP dans la plage d'adresses IP internes de gestion pour une VM de charge de travail
- Modification du nom du centre de données.
- Renommer le cluster
- Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
- Configuration du transfert syslog sur les hôtes ESXi directement à l'aide de l'utilisateur vCenter de commande. Utilisez plutôt le portail VMware Engine ou la Google Cloud CLI pour configurer le transfert syslog pour les hôtes vCenter Server ou ESXi.
- Associer votre cloud privé vCenter à un domaine Active Directory
- Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide d'outils VMware, d'appels d'API ou de dispositifs de gestion (vCenter/NSX Manager). Pour rappel, vous pouvez récupérer ou réinitialiser les identifiants générés, y compris les mises à jour de mot de passe, depuis la page d'informations du cloud privé dans le portail VMware Engine.
- Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.
Étape suivante
- Découvrez comment configurer des sources d'identité vCenter.